Problème virus powershell
Résolu/Fermébazfile Messages postés 56741 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 28 décembre 2024 - 3 mai 2023 à 17:06
- Problème virus powershell
- Windows powershell virus - Guide
- Youtu.be virus - Accueil - Guide virus
- Svchost.exe virus - Guide
- Faux message virus ordinateur - Accueil - Arnaque
- Tinyurl.com virus - Forum Virus
3 réponses
3 mai 2023 à 15:31
Bonjour.
Procédure à faire dans l'ordre indiqué :
En premier désinstalle Web Companion c'est un adware.
Puis fait ce qui suit.
1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
Task: {9389683F-C5FF-4BAD-9EFD-EDC41DA05101} - System32\Tasks\MSI Task Host - Detect_Monitor => "powershell" -ExecutionPolicy ByPass -WindowStyle Hidden C:\Users\papy_\AppData\Roaming\Winsoft\core.ps1
Task: {A45E74EA-020A-405A-BA8B-7FAE3164706F} - System32\Tasks\ViGEmBusUpdater1 => "powershell" -ExecutionPolicy Bypass C:\WINDOWS\core.ps1
Edge Extension: (Pas de nom) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [non trouvé(e)]
Edge Extension: (Pas de nom) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [non trouvé(e)]
Edge Extension: (Pas de nom) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [non trouvé(e)]
Edge Extension: (Pas de nom) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [non trouvé(e)]
FF Homepage: Mozilla\Firefox\Profiles\9q93qscm.default -> hxxps://mynewtab.co?pId=IC150206&searchEngine=bing&iDate=032220
FF NewTab: Mozilla\Firefox\Profiles\9q93qscm.default -> hxxps://mynewtab.co?pId=IC150206&searchEngine=bing&iDate=032220
FF Extension: (Avast SafePrice | Comparaison, offres, coupons) - C:\Users\papy_\AppData\Roaming\Mozilla\Firefox\Profiles\9q93qscm.default\Extensions\sp@avast.com.xpi [2020-03-01]
CHR DefaultSearchURL: Default -> hxxps://www.bing.com/search?q={searchTerms}&pc=COS2&ptag=D032220-N0640A21ABFDD9D88F4162B1F&form=CONBDF&conlogo=CT3332016
CHR DefaultSearchKeyword: Default -> Bing®
CHR DefaultNewTabURL: Default -> hxxps://www.bing.com/chrome/newtab?pc=COS2&ptag=D032220-N0630A21ABFDD9D88F4162B1F&form=CONMHP&conlogo=CT3332016
CHR DefaultSuggestURL: Default -> hxxp://api.bing.com/osjson.aspx?query={searchTerms}
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction
HKU\S-1-5-21-3499434908-1355792771-3333923416-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe [9255120 2023-02-08] (Lavasoft Software Canada Inc. -> Lavasoft)
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction
HKLM\SOFTWARE\Policies\Google: Restriction
C:\Users\papy_\AppData\Roaming\Winsoft\core.ps1
SearchScopes: HKU\S-1-5-21-3499434908-1355792771-3333923416-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
BHO: Pas de nom -> {B3CAF594-36B9-42A4-9072-B30DB7157E13}' -> Pas de fichier
BHO-x32: Pas de nom -> {B3CAF594-36B9-42A4-9072-B30DB7157E13}' -> Pas de fichier
FirewallRules: [UDP Query User{0DF8E829-B06F-479F-AD0A-E982E0C2A4EB}C:\program files (x86)\airdroid\airdroid.exe] => (Allow) C:\program files (x86)\airdroid\airdroid.exe => Pas de fichier
FirewallRules: [TCP Query User{0EBA850D-599F-4E62-9F17-D0549EFF92B3}C:\program files (x86)\airdroid\airdroid.exe] => (Allow) C:\program files (x86)\airdroid\airdroid.exe => Pas de fichier
FirewallRules: [{AD6DFC70-92EC-429E-90D2-0FDE51656839}] => (Allow) C:\Program Files\Common Files\McAfee\MMSSHost\MMSSHost.exe => Pas de fichier
FirewallRules: [{686B7CA2-B6B5-4EF0-A94D-4AB067F8EE4A}] => (Allow) C:\Program Files (x86)\Common Files\Mcafee\MMSSHost\MMSSHost.exe => Pas de fichier
IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
IE trusted site: HKU\S-1-5-21-3499434908-1355792771-3333923416-1001\...\webcompanion.com -> hxxp://webcompanion.com
EmptyTemp:
End::
3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur PJJOINT puis donne le lien généré par PJJOINT dans ta réponse.
5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT.
Pour information.
Ta version de Windows 10 n'est pas à jour, pour le vérifier va dans Windows Update la mise à jour vers la version 22H2 doit t'y être proposée si ce n'est pas le cas va sur cette page clique sur Mettre à jour maintenant, cela lancera le téléchargement de l'outil de Microsoft, il suffira de l'ouvrir et il te permettra de mettre à jour Windows 10 vers la dernière version et te dira si elle est compatible avec ton pc, attention cette mise à jour dure un certain temps.
Merci beaucoup pour ta réponse !
J'ai suivi le procédure et voici le rapport :
https://pjjoint.malekal.com/files.php?id=20230503_i12s5y8u7y5
Dès que j'ai un moment, je lancerai la MAJ de Windows 10.
J'attendrai demain aussi pour voir si le problème est réglé car le programme se lançait toujours vers 13h !
Modifié le 3 mai 2023 à 17:07
Le fixlog est OK, powershell ne devrait plus t'embêter.
Si de ton côté tout est également OK, tu peux désinstaller FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.