Problème virus powershell

Résolu
Germain -  
bazfile Messages postés 58496 Date d'inscription   Statut Modérateur Dernière intervention   -

Bonjour à tous,

Je viens solliciter votre aide car depuis quelques semaines Avast détecte et empêche le lancement d'une activité liée à Powershell.

Après lecture de quelques post sur ce forum, je me suis empressé de télécharger FRST, mais je ne sais quelle procédure suivre afin de supprimer définitivement ce problème.

Voici les 2 fichiers générés :

https://pjjoint.malekal.com/files.php?id=20230503_t5u9e11h13b6 

https://pjjoint.malekal.com/files.php?id=FRST_20230503_o13k8r5h14h8 

Merci d'avance pour votre aide !


Windows / Firefox 112.0

3 réponses

  1. bazfile Messages postés 58496 Date d'inscription   Statut Modérateur Dernière intervention   20 273
     

    Bonjour.

    Procédure à faire dans l'ordre indiqué :
     

    En premier désinstalle Web Companion c'est un adware.

    Puis fait ce qui suit.


    1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
    2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

     
    Start::
    CreateRestorePoint:
    CloseProcesses:
    Task: {9389683F-C5FF-4BAD-9EFD-EDC41DA05101} - System32\Tasks\MSI Task Host - Detect_Monitor => "powershell" -ExecutionPolicy ByPass -WindowStyle Hidden C:\Users\papy_\AppData\Roaming\Winsoft\core.ps1
    Task: {A45E74EA-020A-405A-BA8B-7FAE3164706F} - System32\Tasks\ViGEmBusUpdater1 => "powershell" -ExecutionPolicy Bypass C:\WINDOWS\core.ps1
    Edge Extension: (Pas de nom) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [non trouvé(e)]
    Edge Extension: (Pas de nom) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [non trouvé(e)]
    Edge Extension: (Pas de nom) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [non trouvé(e)]
    Edge Extension: (Pas de nom) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [non trouvé(e)]
    FF Homepage: Mozilla\Firefox\Profiles\9q93qscm.default -> hxxps://mynewtab.co?pId=IC150206&searchEngine=bing&iDate=032220
    FF NewTab: Mozilla\Firefox\Profiles\9q93qscm.default -> hxxps://mynewtab.co?pId=IC150206&searchEngine=bing&iDate=032220
    FF Extension: (Avast SafePrice | Comparaison, offres, coupons) - C:\Users\papy_\AppData\Roaming\Mozilla\Firefox\Profiles\9q93qscm.default\Extensions\sp@avast.com.xpi [2020-03-01]
    CHR DefaultSearchURL: Default -> hxxps://www.bing.com/search?q={searchTerms}&pc=COS2&ptag=D032220-N0640A21ABFDD9D88F4162B1F&form=CONBDF&conlogo=CT3332016
    CHR DefaultSearchKeyword: Default -> Bing®
    CHR DefaultNewTabURL: Default -> hxxps://www.bing.com/chrome/newtab?pc=COS2&ptag=D032220-N0630A21ABFDD9D88F4162B1F&form=CONMHP&conlogo=CT3332016
    CHR DefaultSuggestURL: Default -> hxxp://api.bing.com/osjson.aspx?query={searchTerms}
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction 
    HKU\S-1-5-21-3499434908-1355792771-3333923416-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe [9255120 2023-02-08] (Lavasoft Software Canada Inc. -> Lavasoft) 
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction 
    HKLM\SOFTWARE\Policies\Google: Restriction 
    C:\Users\papy_\AppData\Roaming\Winsoft\core.ps1
    SearchScopes: HKU\S-1-5-21-3499434908-1355792771-3333923416-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
    BHO: Pas de nom -> {B3CAF594-36B9-42A4-9072-B30DB7157E13}' -> Pas de fichier
    BHO-x32: Pas de nom -> {B3CAF594-36B9-42A4-9072-B30DB7157E13}' -> Pas de fichier
    FirewallRules: [UDP Query User{0DF8E829-B06F-479F-AD0A-E982E0C2A4EB}C:\program files (x86)\airdroid\airdroid.exe] => (Allow) C:\program files (x86)\airdroid\airdroid.exe => Pas de fichier
    FirewallRules: [TCP Query User{0EBA850D-599F-4E62-9F17-D0549EFF92B3}C:\program files (x86)\airdroid\airdroid.exe] => (Allow) C:\program files (x86)\airdroid\airdroid.exe => Pas de fichier
    FirewallRules: [{AD6DFC70-92EC-429E-90D2-0FDE51656839}] => (Allow) C:\Program Files\Common Files\McAfee\MMSSHost\MMSSHost.exe => Pas de fichier
    FirewallRules: [{686B7CA2-B6B5-4EF0-A94D-4AB067F8EE4A}] => (Allow) C:\Program Files (x86)\Common Files\Mcafee\MMSSHost\MMSSHost.exe => Pas de fichier
    IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
    IE trusted site: HKU\S-1-5-21-3499434908-1355792771-3333923416-1001\...\webcompanion.com -> hxxp://webcompanion.com
    EmptyTemp:
    End::

    3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
     


    Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

    Puis une fois ton ordinateur redémarré :
    4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur PJJOINT puis donne le lien généré par PJJOINT dans ta réponse.

    5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT.

    Pour information.

    Ta version de Windows 10 n'est pas à jour, pour le vérifier va dans Windows Update la mise à jour vers la version 22H2 doit t'y être proposée si ce n'est pas le cas va sur cette page clique sur Mettre à jour maintenant, cela lancera le téléchargement de l'outil de Microsoft, il suffira de l'ouvrir et il te permettra de mettre à jour Windows 10 vers la dernière version et te dira si elle est compatible avec ton pc, attention cette mise à jour dure un certain temps.


    1
  2. bazfile Messages postés 58496 Date d'inscription   Statut Modérateur Dernière intervention   20 273
     

    Le fixlog est OK, powershell ne devrait plus t'embêter.


    Si de ton côté tout est également OK, tu peux désinstaller FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.


    0