Supprimer virus powershell et proxy Win.pac . Résolu/Fermé

Question

bonsoir

besoin d aide pour une popup d'Avast qui s'affiche toutes les 5 minutes. en parcourant les sujets une analyse avec le logiciel frst est nécessaire. par anticipation je fait cette analyse et les fichier qui en résultent sont ci-joint.  svp j ai besoin de votre aide pour analyser ses fichiers et mettre un terme a ce popup d'avast. merci d avance pour votre aide.

https://up.security-x.fr/file.php?h=R8b524911e9fa2c953ef510b72f73d0d7

https://up.security-x.fr/file.php?h=Rb3dce4f27430dae598e5de545cbfef57

https://up.security-x.fr/file.php?h=Rf0c9dd6a7d22c425e2cb4494dfd1353f

bazfile · Answer

Bonjour.

Ton pc est bien infecté, pas très efficace Avast vu qu'il a été incapable de supprimer l'infection.

Désinstalle WebAdvisor par McAfee c'est un adware.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

Start::
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3926317589-2388772206-2298508924-1002\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe [9255120 2022-09-28] (Lavasoft Software Canada Inc. -> Lavasoft)
S2 DCIService; C:\Program Files (x86)\Lavasoft\Web Companion\Service\x64\DCIService.exe [3413424 2022-09-28] (Lavasoft Software Canada Inc. -> )
R2 WCAssistantService; C:\Program Files (x86)\Lavasoft\Web Companion\Application\Lavasoft.WCAssistant.WinService.exe [27864 2022-09-28] (Lavasoft Software Canada Inc. -> )
Task: {977FBF57-E746-449D-A949-597BF8FE61F7} - System32\Tasks\MSI Task Host - Detect_Monitor => "powershell" -ExecutionPolicy ByPass -WindowStyle Hidden C:\Users\solarhydrowatt\AppData\Roaming\Winsoft\core.ps1
Task: {FE33EFB9-C802-4871-9C66-72F27A33524F} - System32\Tasks\ViGEmBusUpdater1 => "powershell" -ExecutionPolicy Bypass C:\Windows\core.ps1
AutoConfigURL: [{DC5A8C76-28B3-45FD-9291-9A3CA566B607}] => hxxp://34.80.59.191/win.pac
AutoConfigURL: [S-1-5-21-3926317589-2388772206-2298508924-1002] => hxxp://34.80.59.191/win.pac
AutoConfigURL: [{DC5A8C76-28B3-45FD-9291-9A3CA566B607}] => hxxp://34.80.59.191/win.pac 
AutoConfigURL: [S-1-5-21-3926317589-2388772206-2298508924-1002] => hxxp://34.80.59.191/win.pac
CHR StartupUrls: Default -> "hxxps://fr.search.yahoo.com/search?fr=mcafee&type=E210FR105G0&p=Global_Mapper_Pro_23.0_Build_091421","hxxps://www.google.fr/search?tbm=vid&q=Global+Mapper+Pro+23.0+Build+091421+crack&spell=1&sa=X&ved=2ahUKEwiws8CT4MT8AhU7SkEAHeZCBbkQBSgAegQIBhAB&biw=1514&bih=698&dpr=1.25","hxxps://fr.search.yahoo.com/search;_ylt=Awr.pPcWqsFjqesLLEAk24lQ;_ylc=X1MDMTM1MTIxMTgxMgRfcgMyBGZyA21jYWZlZQRmcjIDc2ItdG9wBGdwcmlkA1lSUHUwUXdCUUtPV1g1SjJGSXB0WUEEbl9yc2x0AzAEbl9zdWdnAzIEb3JpZ2luA2ZyLnNlYXJjaC55YWhvby5jb20EcG9zAzAEcHFzdHIDBHBxc3RybAMwBHFzdHJsAzIyBHF1ZXJ5A2RuZyUyMGVuJTIwaXNvJTIwc3VyJTIwd2luZG93cwR0X3N0bXADMTY3MzYzNjQwMQ--?p=dng+en+iso+sur+windows&fr2=sb-top&fr=mcafee&type=E210FR105G0","hxxps://uniconverter.wondershare.fr/convert-other-format/convert-dmg-to-iso.html","hxxps://fr.video.search.yahoo.com/search/video;_ylt=Awr.gZpPrsFjtusLYLMk24lQ;_ylu=Y29sbwNpcjIEcG9zAzEEdnRpZAMEc2VjA3BpdnM-?p=dmg2img&fr2=piv-web&type=E210FR105G0&fr=mcafee","hxxps://fr.video.search.yahoo.com/search/video;_ylt=Awr98rE8q8Fjw1ALzQEk24lQ;_ylu=Y29sbwNncTEEcG9zAzEEdnRpZAMEc2VjA3BpdnM-?p=dmg2img&fr2=piv-web&type=E210FR105G0&fr=mcafee","hxxps://www.youtube.com/watch?v=DaANZkxwoRw","hxxp://www.mediafire.com/?3g6irx1fbs4slbj","hxxps://www.softpedia.com/get/System/Hard-Disk-Utils/?utm_source=spd&utm_campaign=postdl_redir","hxxps://www.youtube.com/watch?v=k2cLvagI4aY","hxxps://www.synonyme-du-mot.com/les-articles/comment-graver-un-dvd-bootable-mac-sous-windows","hxxps://fr.search.yahoo.com/search?fr=mcafee&type=E210FR105G0&p=google","hxxps://imageusb.fr.uptodown.com/windows/telecharger","hxxps://fr.search.yahoo.com/search?fr=mcafee&type=E210FR105G0&p=intaller+son+mac+book+pro+en+ligne","hxxps://support.apple.com/fr-fr/HT204904"
Task: {778142D3-131B-4F59-B9DB-8DB5ABB72AEC} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-3926317589-2388772206-2298508924-1001 => C:\Users\solarhydrowatt\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe /reporting (Pas de fichier)
Task: {8542EB1F-0E54-4FC0-8A4C-260D85FC6706} - System32\Tasks\dllhost => C:\ProgramData\Dllhost\dllhost.exe (Pas de fichier) 
Task: {A630AE63-F7AA-4CEC-994F-72472C751C55} - System32\Tasks\NvStray\NvStrayService_bk8934 => C:\ProgramData\Dllhost\dllhost.exe (Pas de fichier) 
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => C:\WINDOWS\system32\MusNotification.exe (Pas de fichier)
S1 glkasqkv; \??\C:\WINDOWS\system32\drivers\glkasqkv.sys [X]
S1 lvzuoxwd; \??\C:\WINDOWS\system32\drivers\lvzuoxwd.sys [X]
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
GroupPolicy: Restriction ? 
Policies: C:\ProgramData\NTUSER.pol: Restriction 
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction
FirewallRules: [{1682A13E-BD1C-4992-BF16-4D885AA0DE0C}] => (Allow) C:\Users\solarhydrowatt\AppData\Local\Temp\bittorrent\bittorrent.exe => Pas de fichier
FirewallRules: [{55B55F09-53EC-48CD-85EA-74B62021851E}] => (Allow) C:\Users\solarhydrowatt\AppData\Local\Temp\bittorrent\bittorrent.exe => Pas de fichier
FirewallRules: [{756532FE-E219-40B4-B087-D2042F37A4B7}] => (Block) D:\LOGICIELS\Wondershare PDFelement Professional v8.3.5.1199 + Fix\PDFelement.exe => Pas de fichier
FirewallRules: [{F70DC676-1A1D-4F8E-A676-7D46E3F647DE}] => (Allow) C:\Program Files\WindowsApps\MicrosoftTeams_22168.200.1405.7434_x64__8wekyb3d8bbwe\msteams.exe => Pas de fichier
FirewallRules: [{F8FEFD13-BE76-4268-BE5D-066A9599C7D9}] => (Allow) C:\Program Files\WindowsApps\MicrosoftTeams_22168.200.1405.7434_x64__8wekyb3d8bbwe\msteams.exe => Pas de fichier
FirewallRules: [TCP Query User{4CC0C0BA-418D-4486-B9A4-CE6835E5AC5D}C:\program files (x86)\efootball pes 2021\pes2021.exe] => (Allow) C:\program files (x86)\efootball pes 2021\pes2021.exe => Pas de fichier
FirewallRules: [UDP Query User{076A771A-705A-4DC1-9095-02ABDF400950}C:\program files (x86)\efootball pes 2021\pes2021.exe] => (Allow) C:\program files (x86)\efootball pes 2021\pes2021.exe => Pas de fichier
C:\Program Files (x86)\Lavasoft\Web Companion
C:\Users\solarhydrowatt\AppData\Roaming\Winsoft\core.ps1
RemoveProxy:
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur PJJOINT puis donne le lien généré par PJJOINT dans ta réponse.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

bazfile · Answer

Le script FRST l'a normalement supprimé, pour vérifier fait une nouvelle analyse FRST et donne les liens des rapports DE FRST et addition.

Supprimer virus powershell et proxy Win.pac .

2 réponses

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

6- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT