Powershell infecté / crypto malware redondant / FRST fourni

Résolu
Nabooh Messages postés 2 Date d'inscription   Statut Membre Dernière intervention   -  
bazfile Messages postés 58598 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -

Bonjour la compagnie!

Le petit geek que je suis ayant l'habitude de régler les soucis par soi-même, il semblerait que cette fois, à l'image de SEGA, ce soit plus fort que moi.

En effet, il y a quelques jours, j'ai constaté que mon PC soufflait anormalement fort sans raison, et en installant malwarebytes, j'ai constaté la présence d'un malware mineur de crypto, raison de la suractivité de mon GPU. Je l'ai donc mis en quarantaine, et supprimé.

Soucis, le lendemain... il était revenu! Je me suis donc dis qu'il devait y avoir un accès à mon PC par un moyen ou un autre, et en laissant malwarebytes tourner en fond avec la sécurité en temps réel, je constate qu'il bloque à intervalle exacte de 6h à chaque fois, une tentative de connexion à wowsofts.xyz, l'endroit ou je suppose que le malware provient, le tout via Powershell...

Là, j'avoue que l'on dépasse mes capacités en terme de détection de menace et suppression, vu que l'analyse doit être plus manuelle et précise, j'en viens donc à demander votre aide!

Vous trouverez ci joint mes fichier FRST et Addition

FRST: https://www.cjoint.com/c/LHFmVpBkHzM 
Addition: https://www.cjoint.com/c/LHFmUfzVy7M 

Merci d'avance pour votre aide :)
Windows / Chrome 104.0.0.0

A voir également:

1 réponse

Réponse 1 / 1
bazfile Messages postés 58598 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   19 798
 

Bonjour.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction 
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction
HKLM\Software\...\Authentication\Credential Providers: [{C885AA15-1764-4293-B82A-0586ADD46B35}] -> 
GroupPolicy: Restriction ? 
Policies: C:\ProgramData\NTUSER.pol: Restriction 
HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction
Task: {16FB3071-814A-481D-98B4-F1C31FDF35DD} - System32\Tasks\ViGEmBusUpdater1 => "powershell" -ExecutionPolicy Bypass C:\WINDOWS\core.ps1
C:\WINDOWS\core.ps1
Task: {F5E65251-FAE6-4E0D-A53F-C58A405C58F4} - System32\Tasks\MSI Task Host - Detect_Monitor => "powershell" -ExecutionPolicy ByPass -WindowStyle Hidden C:\Users\thelo\AppData\Roaming\Winsoft\core.ps1
C:\Users\thelo\AppData\Roaming\Winsoft
Edge Extension: (Pas de nom) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [non trouvé(e)]
Edge Extension: (Pas de nom) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [non trouvé(e)]
Edge Extension: (Pas de nom) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [non trouvé(e)]
Edge Extension: (Pas de nom) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [non trouvé(e)]
Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => C:\WINDOWS\System32\MbaeParserTask.exe (Pas de fichier)
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
CustomCLSID: HKU\S-1-5-21-1834950749-1924284422-65540750-1001_Classes\CLSID\{eb1fdd5b-8f70-4b5a-b230-998a2dc19303}\localserver32 -> C:\Program Files\KDE Connect\bin\SnoreToast.exe => Pas de fichier
CustomCLSID: HKU\S-1-5-21-1834950749-1924284422-65540750-1001_Classes\CLSID\{fa5312d1-0b58-428a-bd93-3b87ef89945d}\localserver32 -> "C:\Program Files\Skylum\Luminar Neo\Luminar Neo.exe" -ToastActivated => Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Pas de fichier
ContextMenuHandlers5: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} =>  -> Pas de fichier
cmd: netsh advfirewall reset
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne le lien généré par Cjoint dans ton prochain message.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT
0
Nabooh Messages postés 2 Date d'inscription   Statut Membre Dernière intervention  
 

Un grand merci pour ton coup de main!

Voici le Fixlog:
https://www.cjoint.com/c/LHFnnkJk3JM 

Pour l'instant, pas d'alerte de Malwarebytes au démarrage, je laisse tourner dans la journée et je préviens si jamais il détecte une tentative de connexion non désiré!

0
bazfile Messages postés 58598 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   19 798 > Nabooh Messages postés 2 Date d'inscription   Statut Membre Dernière intervention  
 

Le fixlog est OK normalement il ne devrait plus y avoir d'alerte.

Si de ton côté tout est également OK, tu peux désinstaller FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.

0

Discussions similaires

supprimer tor.jack android
sabinelouisonbruno -
akaloupile -

4 réponses
Tor.Jack.Malware
Camille -
bazfile -

1 réponse
Win64:Malware-gen
ptb35 -
MisteryBean -

3 réponses
Win64 malware gen
jules555 -
bazfile -

1 réponse
Pc infecté ? Analyse de Gridinsoft
slimocb -
bazfile -

7 réponses