Powershell s'ouvre tout seul virus
Résolu/Fermébazfile Messages postés 56309 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 3 novembre 2024 - 18 août 2022 à 17:08
1 réponse
18 août 2022 à 16:11
Bonjour.
Procédure à faire dans l'ordre indiqué :
1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3485545277-516421276-3083729566-1001\...\Run: [WCUpate] => powershell.exe -WindowStyle Hidden -ExecutionPolicy bypass -c "& 'C:\Users\igorw\AppData\Roaming\BBWC\updater.exe' /silentall -nofreqcheck" (Pas de fichier)
HKU\S-1-5-21-3485545277-516421276-3083729566-1001\...\Run: [WCStartup] => powershell.exe -ExecutionPolicy bypass -c "$w="$env:APPDATA"+'/BBWC/'; [Reflection.Assembly]::Load([System.IO.File]::ReadAllBytes($w+'WebCompanion.dll'));[WebCompanion.StartUp]::Start()" (Pas de fichier)
HKU\S-1-5-21-3485545277-516421276-3083729566-1001\...\Run: [WCEUpdater] => powershell.exe -WindowStyle Hidden -ExecutionPolicy bypass -c "$w='C:\Users\igorw\AppData\Roaming\Browser Extension\updater.exe' & $w /silentall -nofreqcheck" (Pas de fichier)
HKU\S-1-5-21-3485545277-516421276-3083729566-1001\...\Run: [WCEStartup] => powershell.exe -ExecutionPolicy bypass -c "$w="$env:APPDATA"+'/Browser Extension/';[Reflection.Assembly]::Load([System.IO.File]::ReadAllBytes($w+'BrowserExtension.dll'));[WebCompanion.BrowserExtension (l'élément de données a 13 caractères en plus). (Pas de fichier)
Task: {17417294-B9D2-405A-BF37-01837DF2DC45} - \McAfee Remediation (Prepare) -> Pas de fichier
Task: {6CBEF361-EE00-46F9-B3B8-D803788F07C8} - \Microsoft\Windows\Management\Provisioning\PostResetBoot -> Pas de fichier
Task: {7B2E86AC-E74D-4292-8B27-0602FA410619} - \Dell SupportAssistAgent AutoUpdate -> Pas de fichier
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access.lnk:A1B76439FE [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Immersive Control Panel.lnk:DC8F23BC3A [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.lnk:E77773B271 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outlook.lnk:5465085A2F [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Publisher.lnk:104946E0EA [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Word.lnk:7AD7FA8AB1 [3434]
FirewallRules: [{55C9ADC4-E046-42E1-9CED-5DC7F696DD38}] => (Allow) C:\Program Files\WindowsApps\ScreenovateTechnologies.DellMobileConnect_3.2.9660.0_x64__0vhbc3ng4wbp0\app\DellMobileConnectClient.exe => Pas de fichier
FirewallRules: [{A4F0813E-49BB-41A5-BF80-55ABF20DE221}] => (Allow) C:\Program Files\WindowsApps\ScreenovateTechnologies.DellMobileConnect_3.2.9660.0_x64__0vhbc3ng4wbp0\app\DellMobileConnectClient.exe => Pas de fichier
FirewallRules: [{C931708C-798E-4863-B289-65E97F9386D3}] => (Allow) C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe => Pas de fichier
C:\Users\igorw\AppData\Roaming\BBWC
C:\Users\igorw\AppData\Roaming\Browser Extension
EmptyTemp:
End::
3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne le lien généré par Cjoint dans ton prochain message.
18 août 2022 à 16:57
Un grand merci pour votre réponse rapide voici dont le document Fixlog :
https://www.cjoint.com/c/LHsorqGKqUI
Le promblème a été vraisemblablement réglé, PowerShell ne s'est pas relancé au redémarrage. Merci beaucoup pour votre temps accordé !
18 août 2022 à 17:08
Le fixlog est OK.
Vu que de ton côté tout est également OK, tu peux désinstaller FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.