Virus Powershell - Comment le supprimer ?

Bonjour @elecaii1981 StatutMembre .

Certaines infections utilisent powershell je pense que c'est peut-être ton cas pour le savoir fait ce qui suit :

Télécharge FRST .

Une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :

Attend que le message l'outil est prêt à fonctionner s'affiche puis clique sur Analyser

Attention, attendre que les messages disant que l'analyse est terminée s'affichent.

À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition.

Ensuite envoie les rapports FRST et ADDITION sur https://www.cjoint.com/ puis donne les deux liens générés par https://www.cjoint.com/ dans ta réponse. 

https://www.cjoint.com/c/MJCsQo5HNpw 

https://www.cjoint.com/c/MJCsRFip1mw 

@elecaii1981 StatutMembre .

Attention lire attentivement ce qui suit je le dis car certains survolent et ne font pas exactement ce qui est indiqué.

Apparemment ta version de Windows n'est pas officielle, on le voit dans cet extrait du rapport:

IFEO\osppsvc.exe: [VerifierDlls] 
IFEO\SppExtComObj.exe: [VerifierDlls] 

Je n'y touche pas, mais d'après ce que je vois dans les rapports, fait plus attention à ce que tu télécharges et installe sur ton pc.

Désinstalle WebAdvisor par McAfee c'est un adware.

Tu as le logiciel Malware Hunter qui est installé sur ton pc, je ne vois pas l'intérêt d'installer ce genre de truc inutile, surtout quand on a déjà un antivirus..

Tu as modifié pas mal de chose sur ton pc, je n'y touche pas car c'est ton choix, exemple de modifications:

HKLM\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1
HKLM\...\Policies\Explorer: [NoInternetOpenWith] 1
HKLM\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
HKLM\...\Policies\Explorer: [NoResolveSearch] 1
HKLM\...\Policies\Explorer: [NoThumbnailCache] 0
HKLM\...\Policies\Explorer: [DisableThumbnailCache] 0

Il y a un proxy qui est configuré sur ton pc, j'ai fait deux scripts de correction:

- Si ce n'est pas toi qui a configuré ce proxy,  prends le script avec suppression du proxy.

- Si c'est toi qui a configuré ce proxy prend le script sans suppression du proxy.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

SCRIPT AVEC SUPPRESSION DU PROXY:
 

 
Start::
CreateRestorePoint:
CloseProcesses:
AV: Spybot - Search and Destroy (Disabled - Out of date) {F77C7796-45C4-531E-0DAE-B4A8229B11C8}
AV: System Shield (Disabled - Up to date) {85385B05-8E3E-65BB-DB9F-5F1E3AB43231}
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction 
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction 
GroupPolicy: Restriction ? 
Policies: C:\ProgramData\NTUSER.pol: Restriction 
HKLM\SOFTWARE\Policies\Google: Restriction 
HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction 
Task: {14a610ab-cb0c-4b41-8525-09f979ceff01} - pas de chemin du fichier. 
Task: {24B6A651-1301-47B4-9A26-0D6BC6A41984} - System32\Tasks\Microsoft\Windows\BitLocker\BitLocker MDM policy Refresh1kMgxEF => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [493568 2023-10-12] (Microsoft Windows -> Microsoft Corporation) -> -WindowStyle Hidden -ExecutionPolicy Bypass -File "C:\WINDOWS\System32\EBEB.tmp\EBEC.tmp.ps1" 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction 
FCheck: C:\WINDOWS\SysWOW64\version_IObitDel.dll [2022-05-14] <==== ATTENTION (zéro octet Fichier/Dossier)
HKLM\...\Print\Monitors\HP1100LM: HP1100LM.DLL (Pas de fichier)
U1 aswbdisk; pas de ImagePath
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Pas de fichier
ContextMenuHandlers1: [Glary Utilities] -> {B3C418F8-922B-4faf-915E-59BC14448CF7} =>  -> Pas de fichier
ContextMenuHandlers2: [SecureExt] -> {D23C3BA7-6DC3-4DDF-9BDF-12599E852A40} =>  -> Pas de fichier
C:\WINDOWS\System32\EBEB.tmp
RemoveProxy:
EmptyTemp:
End::

SCRIPT SANS SUPPRESSION DU PROXY. 

Start::
CreateRestorePoint:
CloseProcesses:
AV: Spybot - Search and Destroy (Disabled - Out of date) {F77C7796-45C4-531E-0DAE-B4A8229B11C8}
AV: System Shield (Disabled - Up to date) {85385B05-8E3E-65BB-DB9F-5F1E3AB43231}
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction 
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction 
GroupPolicy: Restriction ? 
Policies: C:\ProgramData\NTUSER.pol: Restriction 
HKLM\SOFTWARE\Policies\Google: Restriction 
HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction 
Task: {14a610ab-cb0c-4b41-8525-09f979ceff01} - pas de chemin du fichier. 
Task: {24B6A651-1301-47B4-9A26-0D6BC6A41984} - System32\Tasks\Microsoft\Windows\BitLocker\BitLocker MDM policy Refresh1kMgxEF => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [493568 2023-10-12] (Microsoft Windows -> Microsoft Corporation) -> -WindowStyle Hidden -ExecutionPolicy Bypass -File "C:\WINDOWS\System32\EBEB.tmp\EBEC.tmp.ps1" 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction 
FCheck: C:\WINDOWS\SysWOW64\version_IObitDel.dll [2022-05-14] <==== ATTENTION (zéro octet Fichier/Dossier)
HKLM\...\Print\Monitors\HP1100LM: HP1100LM.DLL (Pas de fichier)
U1 aswbdisk; pas de ImagePath
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Pas de fichier
ContextMenuHandlers1: [Glary Utilities] -> {B3C418F8-922B-4faf-915E-59BC14448CF7} =>  -> Pas de fichier
ContextMenuHandlers2: [SecureExt] -> {D23C3BA7-6DC3-4DDF-9BDF-12599E852A40} =>  -> Pas de fichier
C:\WINDOWS\System32\EBEB.tmp
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://www.cjoint.com/ puis donne le lien généré par https://www.cjoint.com/ dans ta réponse.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

Oui tout à fait d'accord avec toi sur les trois points que t'as mentionnés, donc c'est pas la peine de répéter ce que t'as dis.

A propos de si le problème est toujours là ou pas, je te ferai signe demain.

Voici le lien du rapport Fixlog:

https://www.cjoint.com/c/MJCwdwQUWnw

Bonne nuit.

Pour conclure, problème résolu, merci beaucoup et bonne chance !