Supprimer virus Powershell .

Résolu/Fermé
Rudy_Paris Messages postés 50 Date d'inscription   Statut Membre Dernière intervention   -  
bazfile Messages postés 58606 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -

Bonjour à tous,

Mon système est actuellement infecté par le virus Powershell que je ne parviens pas à supprimer définitivement.

Je suis sous Windows 11 avec Nod32 Internet Security comme antivirus, sauf qu'a chaque fois que j'éteins / rallume mon ordinateur, a un moment donné, powershell s'ouvre et malgré que Nod32 me dise qu'il le supprime, il revient sans cesse et je ne sais pas quoi faire.

Pouvez-vous m'aider ?

Je vous en remercie par avance.

Cordialement,

Rudy 

A voir également:

42 réponses

Précédent
Réponse 41 / 42
Rudy_Paris Messages postés 50 Date d'inscription   Statut Membre Dernière intervention   1
 

Salut  Fabul,

J'avais besoin d'une bonne nuit de repos car je commençais à saturer 

Heureusement que j'ai attendu que vous me répondiez car j'aurais certainement supprimer le fichier twfdaeeb.sys donc j'ai bien compris que je devais ne pas y toucher et que vous me confirmer qu'il est signé Microsoft.

En ce qui concerne les fichiers reconnus comme drviers : oftwuclr.sys, pjuemdif.sys et djrhzoiw.sys, dois-je les supprimer via Reanimator ?  
0
Réponse 42 / 42
Rudy_Paris Messages postés 50 Date d'inscription   Statut Membre Dernière intervention   1
 

Salut @bazfile StatutModérateur, Contributeur sécurité,

J'espère sincèrement que tu vas bien, j'ai un peu tarder a te répondre car semaine chargé.

Je te joins les nouvelles analyses, cela dit mon PC Gamer reste anormalement très très lent comparé à d'habitude. Aurais-tu une aide complémentaire à me proposer car je t'avoue qu'il tourne grave sans qu'aucune appli soit lancé, donc en jeu ca devient presque impossible. Penses-tu que la seule alternative qu'il me reste est le formatage ? (J'aimerais éviter je t'avoue, après s'il n'y à que cela a faire... 

Merci à toi par avance

FRST : https://pjjoint.malekal.com/files.php?id=FRST_20250913_w6y8e14h7q10 

Addition : https://pjjoint.malekal.com/files.php?id=FRST_20250913_f13k5e15n7x10 
0
bazfile Messages postés 58606 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   19 800
 

@Rudy_Paris StatutMembre

Tu as mis deux fois le rapport FRST il manque le rapport addition.
 

Il n'y a apparemment pas d'infection sur ton pc le problème est ailleurs, je te mets juste une correction FRST pour supprimer les processus orphelins, je pense que ton problème vient de ton disque C qui est plein ou peut-être qu'il est en fin de vie, pour voir si c'est le cas teste ton disque dur/SSD avec CrystalDiskInfo sert-toi des codes couleur qui suivent pour interpréter les résultats :

Correction FRST :
 

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

Start::
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [RegRun WinBait] => C:\WINDOWS\winbait.exe (Pas de fichier)
HKLM-x32\...\Run: [@RegRunOnSecure] => E:\PROGRA~1\REGRUN~1\OnSecure.exe (Pas de fichier)
Task: {077BA067-7C15-40F0-B22E-C9DC2A54B4A2} - System32\Tasks\Microsoft\Windows\Location\Notifications => %windir%\System32\LocationNotificationWindows.exe  (Pas de fichier)
Task: {F3E6E7ED-A196-4E44-8803-55FAB3AD4E29} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Pas de fichier)
FF Plugin: @videolan.org/vlc,version=3.0.17.4 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [Pas de fichier]
FF Plugin: @videolan.org/vlc,version=3.0.18 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [Pas de fichier]
S1 djrhzoiw; \??\C:\WINDOWS\system32\drivers\djrhzoiw.sys [X]
S3 MpKsla105b28e; \??\C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{4FB75B63-E16C-4C16-96D8-0DB0A3D07B4F}\MpKslDrv.sys [X]
S1 oftwuclr; \??\C:\WINDOWS\system32\drivers\oftwuclr.sys [X]
S1 pjuemdif; \??\C:\WINDOWS\system32\drivers\pjuemdif.sys [X]
S1 twfdaeeb; \??\C:\WINDOWS\system32\drivers\twfdaeeb.sys [X]
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé
 

En presque 3 ans ce post est devenu un vrai capharnaüm on ne s'y retrouve plus il faut chercher les messages qui s'entremêlent.
 

En conséquence je ferme ce post, vu que ton problème ne vient pas d'une infection je te propose de poser ta question dans le Forum Windows 11 tu peux notifier Fabul (salut :) ) ou moi lors de la création de ce nouveau post via @ suivi du pseudo .
 

Bonne continuation

0