Problème virus powershell

Résolu/Fermé
Germain - Modifié le 3 mai 2023 à 15:32
bazfile Messages postés 56741 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 28 décembre 2024 - 3 mai 2023 à 17:06

Bonjour à tous,

Je viens solliciter votre aide car depuis quelques semaines Avast détecte et empêche le lancement d'une activité liée à Powershell.

Après lecture de quelques post sur ce forum, je me suis empressé de télécharger FRST, mais je ne sais quelle procédure suivre afin de supprimer définitivement ce problème.

Voici les 2 fichiers générés :

https://pjjoint.malekal.com/files.php?id=20230503_t5u9e11h13b6 

https://pjjoint.malekal.com/files.php?id=FRST_20230503_o13k8r5h14h8 

Merci d'avance pour votre aide !


Windows / Firefox 112.0

A voir également:

3 réponses

bazfile Messages postés 56741 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 28 décembre 2024 19 345
3 mai 2023 à 15:31

Bonjour.

Procédure à faire dans l'ordre indiqué :
 

En premier désinstalle Web Companion c'est un adware.

Puis fait ce qui suit.


1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
Task: {9389683F-C5FF-4BAD-9EFD-EDC41DA05101} - System32\Tasks\MSI Task Host - Detect_Monitor => "powershell" -ExecutionPolicy ByPass -WindowStyle Hidden C:\Users\papy_\AppData\Roaming\Winsoft\core.ps1
Task: {A45E74EA-020A-405A-BA8B-7FAE3164706F} - System32\Tasks\ViGEmBusUpdater1 => "powershell" -ExecutionPolicy Bypass C:\WINDOWS\core.ps1
Edge Extension: (Pas de nom) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [non trouvé(e)]
Edge Extension: (Pas de nom) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [non trouvé(e)]
Edge Extension: (Pas de nom) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [non trouvé(e)]
Edge Extension: (Pas de nom) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [non trouvé(e)]
FF Homepage: Mozilla\Firefox\Profiles\9q93qscm.default -> hxxps://mynewtab.co?pId=IC150206&searchEngine=bing&iDate=032220
FF NewTab: Mozilla\Firefox\Profiles\9q93qscm.default -> hxxps://mynewtab.co?pId=IC150206&searchEngine=bing&iDate=032220
FF Extension: (Avast SafePrice | Comparaison, offres, coupons) - C:\Users\papy_\AppData\Roaming\Mozilla\Firefox\Profiles\9q93qscm.default\Extensions\sp@avast.com.xpi [2020-03-01]
CHR DefaultSearchURL: Default -> hxxps://www.bing.com/search?q={searchTerms}&pc=COS2&ptag=D032220-N0640A21ABFDD9D88F4162B1F&form=CONBDF&conlogo=CT3332016
CHR DefaultSearchKeyword: Default -> Bing®
CHR DefaultNewTabURL: Default -> hxxps://www.bing.com/chrome/newtab?pc=COS2&ptag=D032220-N0630A21ABFDD9D88F4162B1F&form=CONMHP&conlogo=CT3332016
CHR DefaultSuggestURL: Default -> hxxp://api.bing.com/osjson.aspx?query={searchTerms}
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction 
HKU\S-1-5-21-3499434908-1355792771-3333923416-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe [9255120 2023-02-08] (Lavasoft Software Canada Inc. -> Lavasoft) 
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction 
HKLM\SOFTWARE\Policies\Google: Restriction 
C:\Users\papy_\AppData\Roaming\Winsoft\core.ps1
SearchScopes: HKU\S-1-5-21-3499434908-1355792771-3333923416-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
BHO: Pas de nom -> {B3CAF594-36B9-42A4-9072-B30DB7157E13}' -> Pas de fichier
BHO-x32: Pas de nom -> {B3CAF594-36B9-42A4-9072-B30DB7157E13}' -> Pas de fichier
FirewallRules: [UDP Query User{0DF8E829-B06F-479F-AD0A-E982E0C2A4EB}C:\program files (x86)\airdroid\airdroid.exe] => (Allow) C:\program files (x86)\airdroid\airdroid.exe => Pas de fichier
FirewallRules: [TCP Query User{0EBA850D-599F-4E62-9F17-D0549EFF92B3}C:\program files (x86)\airdroid\airdroid.exe] => (Allow) C:\program files (x86)\airdroid\airdroid.exe => Pas de fichier
FirewallRules: [{AD6DFC70-92EC-429E-90D2-0FDE51656839}] => (Allow) C:\Program Files\Common Files\McAfee\MMSSHost\MMSSHost.exe => Pas de fichier
FirewallRules: [{686B7CA2-B6B5-4EF0-A94D-4AB067F8EE4A}] => (Allow) C:\Program Files (x86)\Common Files\Mcafee\MMSSHost\MMSSHost.exe => Pas de fichier
IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
IE trusted site: HKU\S-1-5-21-3499434908-1355792771-3333923416-1001\...\webcompanion.com -> hxxp://webcompanion.com
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur PJJOINT puis donne le lien généré par PJJOINT dans ta réponse.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT.

Pour information.

Ta version de Windows 10 n'est pas à jour, pour le vérifier va dans Windows Update la mise à jour vers la version 22H2 doit t'y être proposée si ce n'est pas le cas va sur cette page clique sur Mettre à jour maintenant, cela lancera le téléchargement de l'outil de Microsoft, il suffira de l'ouvrir et il te permettra de mettre à jour Windows 10 vers la dernière version et te dira si elle est compatible avec ton pc, attention cette mise à jour dure un certain temps.


1

Merci beaucoup pour ta réponse !

J'ai suivi le procédure et voici le rapport :

https://pjjoint.malekal.com/files.php?id=20230503_i12s5y8u7y5 

Dès que j'ai un moment, je lancerai la MAJ de Windows 10.

J'attendrai demain aussi pour voir si le problème est réglé car le programme se lançait toujours vers 13h !

0
bazfile Messages postés 56741 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 28 décembre 2024 19 345
Modifié le 3 mai 2023 à 17:07

Le fixlog est OK, powershell ne devrait plus t'embêter.


Si de ton côté tout est également OK, tu peux désinstaller FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.


0