Supprimer virus Powershell .
Résolu/Fermé
bazfile Messages postés 58606 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour à tous,
Mon système est actuellement infecté par le virus Powershell que je ne parviens pas à supprimer définitivement.
Je suis sous Windows 11 avec Nod32 Internet Security comme antivirus, sauf qu'a chaque fois que j'éteins / rallume mon ordinateur, a un moment donné, powershell s'ouvre et malgré que Nod32 me dise qu'il le supprime, il revient sans cesse et je ne sais pas quoi faire.
Pouvez-vous m'aider ?
Je vous en remercie par avance.
Cordialement,
Rudy
- Supprimer virus Powershell .
- Supprimer rond bleu whatsapp - Guide
- Supprimer une page word - Guide
- Comment supprimer fausse alerte virus mcafee - Accueil - Piratage
- Supprimer pub youtube - Accueil - Streaming
- Fichier impossible à supprimer - Guide
42 réponses
Pas encore le cas, je te remercie sincèrement, a toi également, il se peut que je demande de checker une autre analyse dans les prochains jours si tu es toujours dispo, et si c'est pas le cas, profite bien !
Merci
Salut @bazfile StatutModérateur, Contributeur sécurité
(Encore moi -_-...)
Avant toute chose, j'espère que tu vas bien et que tu as passé de belles vacances.
Je reviens (de nouveau) vers toi, car mon PC gamer sur lequel tu avais également interagis est d'après moi encore infecté.
Lors d'un démarrage du système sur deux, j'ouvre ma session, et la tu as deux espèces de fenêtre d'invites de commandes qui s'ouvrent et qui se ferment immédiatement, après cela, le CPU commence à monter en température pour rien ect.
Voici les rapports FRST & ADDITION de scan que je viens d'effectuer .
Le soucis est pour le FRST & ADDITION, https://security-x.fr/up/ n'a plus l'air de fonctionnement, as-tu un site relais ?
Merci à toi par avance.
Rudy
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Hello @bazfile StatutModérateur, Contributeur sécurité,
FRST : https://pjjoint.malekal.com/files.php?id=20230828_e12n13j8r15g6
ADDITION : https://pjjoint.malekal.com/files.php?id=20230828_e5q13c14m11g10
Merci, t'es au Top
Hello @bazfile StatutModérateur, Contributeur sécurité (Alias mon Sauveur),
J'espère que tu vas bien depuis nos derniers échanges.
J'ai de nouveau besoin de ton aide.
En gros, je voulais remettre à jour les drivers du Bluetooth de mon pc de gamer, et je crois avec télécharger un .exe un peu véreux...
Le pare-feu Windows, via le Contrôle des Applications et du navigateur m'informe qu'une application potentiellement indésirable à été détécter, le soucis est que lorsque je clique sur "Révision" que j'essaie de le mettre en quarantaine ou le supprimer, il revient toujours et je ne parviens pas à le supprimer. Peux-tu m'aider et voir s'il y a pas d'autres fruits pourris qui trainent dans ce bazar ?
Lien FRST : https://pjjoint.malekal.com/files.php?id=FRST_20240710_q7o8w9c10m6
Lien Addition : https://pjjoint.malekal.com/files.php?id=20240710_q6s556b13
Merci à toi par avance !
Rudy
Salut @Rudy_Paris StatutMembre .
Rien de bien grave c'est juste Windows Defender qui te préviens que le fichier que tu as téléchargé contient un PUP, c'est le fichier driver-hub-install__28.exe qui se trouve dans :
E:\Téléchargements\driver-hub-install__28.exe.
Si Windows Defender n'a pas supprimé ce fichier, supprime-le et tu n'auras plus d'alerte, par contre il faut que tu saches que l'alerte peut toujours être présente dans Windows Defender, dans ce cas c'est l'historique de Windows Defender pas une nouvelle alerte, c'est pour cela qu'il faut toujours regarder la date et l'heure de l'alerte.
Salut
@bazfile
StatutModérateur, Contributeur sécurité,
j’espère sincèrement que tu vas et que tu as passé de très belles vacances d’été.
J’ai besoin de ton aide Baz, mon pc gamer est salement infecté par le virus suivant, qui fait beaucoup de mal à l’ordi, je n’ai pas réussi à le supprimer, penses-tu pouvoir m’aider ? Il s’agit du virus Trojan:Win32/Vigorf.A dans RemoteSystemMonitorSensor.sys.
Si besoin je fais FRST + ADDITION, je t’en supplie, sauve mon ordi.
Bonsoir,
Si @bazfile est occupé en ce moment, et que vous voulez tenter de supprimer rapidement vous pouvez essayer RegRun Reanimator
https://forums.commentcamarche.net/forum/affich-38206831-alors-vous-voulez-supprimer-les-virus-vous-meme-comment
Bien lire sous le "PS:" pour vérifier en profondeur, > Inspection Mode (Si il faut) ou directement Filter set > "Display All but Exclude Signed by Microsoft/Google/Greatis"
Pour vérifier dans tous les onglets en haut plutôt que cliquer sur Go Next.
Les drivers (.sys) se trouvent dans l'onglet Services après analyse.
Faites des captures si vous ne savez pas quoi faire.
Puis dites, ou créez des logs FRST
Bonjour @fabul StatutModérateur,
Un grand merci que vous preniez le relais sur l'urgence de ma demande.
Je vous confirme avoir bien télécharger RegGun Reanimator et me trouve sur l'accueil de l'application, mais je vous avoue être perdu et ne pas comprendre la feuille de route que vous m'avez donné.
Pourriez-vous s'il vous plait me dire ou aller à partir de ces menus ?
Je vous joins d'avance mes rapports FRST & ADDITION ci-après :
FRST : https://up.security-x.fr/file.php?h=Rf81535c6d09dc1ddca6a0e01c03fbf6c
ADDITION : https://up.security-x.fr/file.php?h=Re5839b98f81ae44be9646b6a314576a5
Merci à vous par avance.
@Rudy_Paris StatutMembre .
Les rapports FRST doivent être uploader sur https://pjjoint.malekal.com/ car up.security-x.fr est HS depuis plusieurs années.
@bazfile StatutModérateur, Contributeur sécurité, @fabul StatutModérateur
Voici les rapports Uploadé :
FRST : https://pjjoint.malekal.com/files.php?id=FRST_20250906_m14d8l15m6p11
ADDITION : https://pjjoint.malekal.com/files.php?id=20250906_i9v7t5c6k14
@fabul : Je fais ce que tu m'as dis de ce pas
@Rudy_Paris StatutMembre .
C'est un faux positif, les alertes de Windows Defender sont à propos du logiciel d'analyse réseau Remote System Monitor Server de la société TRIGONE, c'est la fonction de ce logiciel qui analyse le réseau et donc qui parait suspect qui a déclenché l'alerte, si c'est toi qui l'a installé il n'y a aucun problème.
Par contre tu vas finir par avoir des problèmes, ton disque C est pratiquement plein, ce serait bien d'en prendre un de plus grande taille, car les mises à jour Windows finiront par ne plus se faire par manque de place, actuellement comme disque C tu as un SSD SanDisk SDSSDHP128G de 128 GB je te conseille d'en prendre un d'au minimum 500 GB.
@bazfile StatutModérateur, Contributeur sécurité, Merci Baz.
Je me rappel pas l'avoir installé pour être sincère, et oui je suis d'accord avec toi, faut vite que je change mon disque. Selon toi, comment je m'en débarrasse de ce truc, car les performances de l'ordinateur ont complètement changé du jour au lendemain et même si sur le principe que mon disque principal est bientôt plein, je pense que derrière, le virus pompe mon CPU comme si quelqu'un utilisé ma machine pour de de la crypto.
Re Bonjour,
En même temps, je crois que c'est un faux positif.
(Un peut normal pour un "Remote tool" d'être détecté comme suspect de quelque chose)
Et ce logiciel n'est pas nouveau pour vous https://www.trigonesoft.com/
Vous pouvez analyser le fichier sur VirusTotal pour nous donner le lien ensuite
https://www.virustotal.com/gui/home/upload
Je l'ai téléchargé mais n'ai pas trouvé le fichiers .sys dans le setup.
Pour RegRun
Pour analyser cliquez sur Fix Problems
En ensuite, dans la page qui s'ouvre, le bouton Rouge en haut à gauche > Fix Malware issues
Si rien ne semble détecté par défaut à la première analyse, cliquez en bas à gauche sur Inspection mode, et postez une capture (Fenêtre agrandie) pour qu'on voie le plus possible)
La fonction Filter Set > "Display All but Exclude Signed by Microsoft/Google/Greatis" permet de trier parmi les éléments Non signés (Pas nécessairement mauvais), il faut vérifier et juger surtout de ce qui n'est pas en Vert.
Si on veut supprimer des éléments marqués en vert, il faut avoir de bonnes raisons.
Edit: Je vois que vous avez installé RegRun Security Suite
Pour lancer l'équivalent de Reanimator, c'est avec le clic droit sur l'icône dans la zone de notifications > RegRun Start Control
Ou par l'icône RegRun Control Center sur le bureau dans l'onglet Anti Malwares > Scan for viruses...
Salut
@fabul
StatutModérateur
Merci pour votre réactivité. Je ne suis pas chez moi et donc je ne suis pas en mesure de faire ce que vous m’avez demandé. J’essaierai cela à mon retour et vous en remercie de nouveau. En revanche, je vous avoue ne pas avoir trop compris le début de votre précédent message qui concerne le fait que que le logiciel de trigonesoft.com ne m’est pas inconnu, s’agit -il du remote tool dont vous parlez car je ne savais pas que j’avais installé ce programme, donc en gros, c’est ce programme là que vous me demandez de faire analyser sur virustotal.com ? Je vous tiens au courant pour le reste dès que je suis à mon domicile, dans les heures à suivre. Merci en tout cas
Je n'arrive pas à commenter, "paramètre incorrect", donc nouvelle réponse (Bug latence en entraine un autre)
https://forums.commentcamarche.net/forum/affich-37771883-supprimer-virus-powershell?page=2#p37903207
ET @Bazfile et vous avez posté en même temps ou à peu près, une réponse.
https://forums.commentcamarche.net/forum/affich-37771883-supprimer-virus-powershell?page=2#p38226831
Si vous n'avez pas installé vous même, supprimez, ce n'est pas la peine de l'analyser avant. (Ce qui concerne RemoteSystemMonitorSensor.sys et ses semblables...)
Et il n'y a pas beaucoup d'espace disque dans le Addition de FRST
La restauration système est désactivée.
Quelques recommandations:
Vous pouvez tout supprimer dans le dossier
C:\Windows\SoftwareDistribution\Download
Dans la zone de recherche tapez Nettoyage de disque et choisissez > C:
Vous pourrez choisir de nettoyer les "fichiers système", "Précédentes installations de Windows" si il y a, ainsi que tout le reste.
Paramétrez votre navigateur Internet pour qu'il télécharge dans un dossier sur D:\ si il y a une partition ou un disque D:\ plutôt que dans votre répertoire C:\UtilisateursVotreNom\Téléchargements
Vous pouvez classer ailleurs sur D:\ ou sur un disque externe ce qu'il y a dans vos sous dossiers personnels de C:\Utilisateurs\VotreNom\...
TreeSize Free peut aider à voir ce qui prend le plus d'espace
https://www.jam-software.com/treesize_free
Nettoyez ensuite avec:
Wise Disk Cleaner
https://www.commentcamarche.net/telecharger/utilitaires/24193-wise-disk-cleaner/
ATF-Cleaner
https://www.majorgeeks.com/files/details/atf_cleaner.html
Ensuite cliquez droit sur Ce PC > Propriétés > Protection du système
Ou faire "Rechercher" pour systempropertiesprotection.exe
Choisissez C:\
Configurer > Activer la protection du système
Revenez en arrière > Créer
Salut @fabul StatutModérateur
Je confirme avoir avoir effectué l'analyse pour Reanimator, je suis parvenu à supprimer quelques menaces détéctées via le Fix Malware issues. Je me trouve désormais dans le mode Inspection mode, je constate d'autres choses qui ont l'air un peu farfelu, je vous joins une capture avant de faire une boulette :
Également, je vous confirme avoir tout supprimer dans le dossier : C:\Windows\SoftwareDistribution\Download
Pour le nettoyage disque, je le fais assez régulièrement, donc oui, je vais checker voir si j'ai des anciennes mises à jours à supprimer.
Pour le reste, j'ai bien télécharger les utilitaires que vous m'avez conseillés, je le ferai à partir du moment ou j'aurais la certitude d'avoir supprimé le virus car je vous avoue que pour l'heure, c'est ma priorité absolu.
Dans l'attente de votre retour
Vous êtes dans l'onglet Processus Cochez les deux Remotesystemmonitorserver
(2 des des 5 en Bleu)
Et cliquez sur le bouton Rouge en bas, et acceptez la responsabilité et confirmer avec Terminate (Quand proposé)
Puis ensuite passez à l'onglet Startup Programs, faites une capture
(Ou supprimer les éléments reliés à notre problème, ou éléments malsains de la même manière)
Puis passez à l'onglet Services, faites une capture,
(Ou supprimer les éléments reliés à notre problème, ou éléments malsains de la même manière)
Après. aller à l'onglet Finish! , et Reboot Computer... pour redémarrer Windows
-
Puis vous pouvez faire le ménage dans les processus Inutiles avec Autoruns64.exe comme expliqué dans la deuxième partie du tuto plus bas
https://forums.commentcamarche.net/forum/affich-38206831-alors-vous-voulez-supprimer-les-virus-vous-meme-comment
VIA XHCI... je ne crois pas que ce soit nécessaire en démarrage automatique (Par exemple).
Décochez avec Autoruns tout l'inutile dans Logon et Scheduled Tasks
@fabul StatutModérateur
Merci encore.
Pour RegRun Reanimator, je vous confirme avoir procéder à l'analyse et avoir supprimer environs 6 menaces potentielles via l'option Fix Malware issues
Je me trouve donc actuellement dans le mode inspection et en effet, je vois encore des choses qui me paraissent farfelues, je vous joins la capture, j'attends vos instructions avant de faire une erreur malencontreuse.
Pour le nettoyage disque, merci, c'est quelque chose que j'utilises régulièrement.
Concernant les autres applications que vous me recommandez, je vous confirme les avoir télécharger, mais j'aimerais d'abord que vous me confirmer que ma machine est débarrasser des virus / malwares car cela reste ma priorité absolu. Pouvez-vous également m'aider pour que j'ai le minimum d'application en taches de fond qui évite de faire grimper ma RAM pour rien ?
Merci
On a croisées nos réponses, et vous pouvez éditer vos réponses vous savez:
https://forums.commentcamarche.net/forum/affich-37771883-supprimer-virus-powershell?page=2#p38226886
En haut à gauche dans Reanimator, il y a Filter Set
"Display All but Exclude Signed by Microsoft/Google/Greatis"
Ça filtre pour sortir moins de faux positifs que Display All
(C'est plus ciblé vers les processus non Windows, ça aide à trier).
Il ne semble pas y avoir d'infection.
Vous avec des Multi-Boot Windows ?
RegRun Security Suite semble installé sur le disque e:
Pourriez analyser sur VirusTotal le fichier Windows\System32\Drivers\twfdaeeb.sys
Et aussi "oftwuclr.sys"
J'ai beau chercher sur Google le nom du fichier twfdaeeb.sys je ne trouve rien
Mais il ne faus pas supprimer si pas détecté comme un malware sur VirusTotal
Un Driver peut être Important.
Merci de nouveau.
Je vous confirme ne pas avoir de Multi-Boot Windows.
RegRun Security Suite est installé sur le disque e:, car je me suis trompé de version au départ au lieu de télécharger Reanimator.
Je ne parviens à trouver le fichier twfdaeeb.sys pour procéder à l'analyse que vous me demander d'effectuer, et j'ai bien regardé dans C:\Windows\System32\Drivers\ ce fichier me parait caché quelque part (sauf erreur de ma part)
En ce qui concerne twfdaeeb.sys, c'est la même, j'arrive pas à mettre la main dessus.
Il est indiqué que ces fichiers se trouveraient potentiellement dans \??\C:\Windows\System32\Drivers\
En utilisant Executer, je ne parviens pas a trouver le dossier ou se trouvent ces fichiers.
Selon vous, ou dois-je chercher ?
Voici la capture pour l'onglet Startup Programs (en attendant vos instructions) :
Voila la capture, selon le filtre "Display All but Exclude Signed by Microsoft/Google/Greatis"
Selon vous, que dois-je corriger la dedans ?
Vous pensez que le soucis est réglé à ce stade ?
J'ai toujours l'impression que l'ordi tourne comme si j'avais 50 applis ouvertes ...
La latence est grave, je n'arrive pas à lire votre dernier message depuis un moment, donc je Up.
Merci de nouveau.
Je vous confirme ne pas avoir de Multi-Boot Windows.
RegRun Security Suite est installé sur le disque e:, car je me suis trompé de version au départ au lieu de télécharger Reanimator.
Je ne parviens à trouver le fichier twfdaeeb.sys pour procéder à l'analyse que vous me demander d'effectuer, et j'ai bien regardé dans C:\Windows\System32\Drivers\ ce fichier me parait caché quelque part (sauf erreur de ma part)
En ce qui concerne twfdaeeb.sys, c'est la même, j'arrive pas à mettre la main dessus.
Il est indiqué que ces fichiers se trouveraient potentiellement dans \??\C:\Windows\System32\Drivers\
En utilisant Exécuter, je ne parviens pas a trouver le dossier ou se trouvent ces fichiers.
Selon vous, ou dois-je chercher ?
Je rencontre également des difficultés avec le forum.
Regardez dans Autoruns64.exe dans la section Drivers si vous avez plus d'info sur ces drivers, si la ligne est en Jaune, c'est qu'il ne les trouve pas non plus.
(Quoi que RegRun aussi peut donner plus d'infos en double cliquant ou par clic droit > More info...).
Plutôt que C:\Windows\System32\Drivers
Ils peuvent aussi se trouver dans C:\Windows\SysWow64\Drivers
Si ils ne se trouvent vraiment part, c'est peut être qu'ils n'existent pas vraiment, à supprimer avec Reanimator ou Autoruns
C:\Windows\System32\Drivers\twfdaeeb.sys
Et aussi C:\Windows\System32\Drivers\oftwuclr.sys
Ou
C:\Windows\SysWOW64\Drivers\twfdaeeb.sys
Et aussi C:\Windows\SysWOW64\Drivers\oftwuclr.sys
Je rencontre également des difficultés avec le forum.
Je tente de vous joindre la capture de l'analyse des deux fichiers via VirusTotal proposé par l'application elle-même :
twfdaeeb.sys :
oftwuclr.sys :
Dans l'attente
Il s n'ont pas été vérifiés sur VirusTotal puisqu'ils n'existent pas.
Il dit Bad 20%, et si vous cliquez sur Why ? (Pourquoi ?) Il dira que les fichiers n'existent pas, il me semble.
Ou sinon 100% Bad = n'existe pas, plus certain.
Ou 0% Good, le fichier n'existe pas.
À supprimer.
Mais conseil, assurez vous toujours d'avoir un point de restauration Windows avant de supprimer un driver, même si le nom ne signifie rien pour Google ni pour vous.
Edit:
Le premier, il semble bon, j'ai regardé le log FRST, semble signé Microsoft
Malgré que difficile de trouver c'est quoi.
1 twfdaeeb; C:\WINDOWS\system32\drivers\twfdaeeb.sys [52512 2025-09-05] (Microsoft Windows -> Microsoft Corporation)
Mais pas d'inquiétude quand c'est en Vert normalement, mais je trouvais leur noms étranges, et en cherchant, difficile de trouver des concordances avec Google
Il était à Display All
Display All but Exclude Signed by Microsoft/Google/Greatis Montre moins de faux positifs ou de fichiers Microsoft, c'est plus facile de trier dans les deux onglets les plus importants pour démarrages et services Windows etc, 'Startup Programs' et 'Services'
Salut @fabul StatutModérateur,
J'espère que vous allez bien, je n'ai pas eu retour à mon dernier message, je me permet de le reposter ci-après :
Salut Fabul,
J'avais besoin d'une bonne nuit de repos car je commençais à saturer
Heureusement que j'ai attendu que vous me répondiez car j'aurais certainement supprimer le fichier twfdaeeb.sys donc j'ai bien compris que je devais ne pas y toucher et que vous me confirmer qu'il est signé Microsoft.
En ce qui concerne les fichiers reconnus comme drviers : oftwuclr.sys, pjuemdif.sys et djrhzoiw.sys, dois-je les supprimer via Reanimator ?
Le fixlog est correct, Adobe Acrobat s'est bien désinstallé ?