Virus via Powershell non détecté par antivirus

Résolu
neva -  
bazfile Messages postés 58513 Date d'inscription   Statut Modérateur Dernière intervention   -

Bonjour,

Mes fenêtres de navigation internet se ferment toutes seules de façon intempestive et mon ordinateur est incroyablement lent...

Le scan de l'antivirus ne détecte pas de virus :-/ Même chose en changeant d'antivirus, si ce n'est que maintenant, j'ai un message toutes les minutes pour m'indiquer que PowerShell tente de télécharger une "ressource malveillante"...

Comment faire pour me débarrasser de ce virus ?

J'ai téléchargé FRST et réalisé une analyse, et j'ai obtenu les fichiers suivants :

FRST : https://www.cjoint.com/c/NAvtGdBoQjO 

Addition : https://www.cjoint.com/c/NAvtHGZr3OO 

Est-ce que quelqu'un pourrait m'aider à résoudre le problème, svp ?

Merci d'avance !

4 réponses

  1. bazfile Messages postés 58513 Date d'inscription   Statut Modérateur Dernière intervention   20 276
     

    Bonjour.

    Procédure à faire dans l'ordre indiqué :

    1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
    2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

     
    Start::
    CreateRestorePoint:
    CloseProcesses:
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction
    Task: {5BDF7750-104E-4305-AFB4-A6A5EE7E71CC} - System32\Tasks\Disable-StorageBusDisk_QoS => C:\Windows\system32\conhost.exe [867328 2023-11-15] (Microsoft Windows -> Microsoft Corporation) -> --headless powershell .$([char](9811-9706)+'ex') (get-content 'C:\Users\Moi\AppData\Local\Microsoft\FontCache\Disable-StorageBusDisk_QoS.log' -raw)
    Task: {0FD97DBC-EB72-4D2F-8C85-DFA80F5CD1E9} - System32\Tasks\Remove-SmbMapping => C:\Windows\system32\conhost.exe [867328 2023-11-15] (Microsoft Windows -> Microsoft Corporation) -> --headless powershell .$([char](9666-9561)+'ex') (get-content 'C:\Users\Moi\AppData\Roaming\Evernote\Remove-SmbMapping.log' -raw)
    CustomCLSID: HKU\S-1-5-21-100550643-309752111-2504242606-1001_Classes\CLSID\{d1b22d3d-8585-53a6-acb3-0e803c7e8d2a}\localserver32 -> "C:\Users\Moi\AppData\Local\Microsoft\Teams\current\Teams.exe" --toast => Pas de fichier
    ContextMenuHandlers1: [PDFCreator.ShellContextMenu] -> {d9cea52e-100d-4159-89ea-76e845bc13e1} =>  -> Pas de fichier
    FirewallRules: [{AB82685C-A804-401D-A689-F2CC6976CC1C}] => (Allow) C:\Users\Moi\AppData\Roaming\Zoom\bin\Zoom.exe => Pas de fichier
    FirewallRules: [{B8C1F800-5A6C-4410-BD96-23A58E65D618}] => (Allow) C:\Users\Moi\AppData\Roaming\Zoom\bin\airhost.exe => Pas de fichier
    FirewallRules: [{CDE9013F-2AD4-4B07-BBF9-BB4DFE36F6E3}] => (Allow) C:\Users\Moi\AppData\Roaming\Zoom\bin\airhost.exe => Pas de fichier
    FirewallRules: [TCP Query User{48BF4937-BD83-4396-BC4D-523B834C6EB9}C:\users\moi\appdata\local\microsoft\teams\current\teams.exe] => (Block) C:\users\moi\appdata\local\microsoft\teams\current\teams.exe => Pas de fichier
    FirewallRules: [UDP Query User{0386DB80-7819-4240-A10F-2346D1047168}C:\users\moi\appdata\local\microsoft\teams\current\teams.exe] => (Block) C:\users\moi\appdata\local\microsoft\teams\current\teams.exe => Pas de fichier
    FirewallRules: [TCP Query User{8242F23C-D2D5-4953-A308-D2CE8ABEE833}C:\users\moi\appdata\local\microsoft\teams\current\teams.exe] => (Allow) C:\users\moi\appdata\local\microsoft\teams\current\teams.exe => Pas de fichier
    FirewallRules: [UDP Query User{48ED6887-9F4D-4BFC-B827-2882819E68F8}C:\users\moi\appdata\local\microsoft\teams\current\teams.exe] => (Allow) C:\users\moi\appdata\local\microsoft\teams\current\teams.exe => Pas de fichier
    FirewallRules: [{8584D4CD-E04E-4429-B972-F5CF80206ED1}] => (Allow) powershell.exe => Pas de fichier
    FirewallRules: [{45D117A2-2887-4E35-8A24-4A4A5D52742D}] => (Allow) powershell.exe => Pas de fichier
    FirewallRules: [{1435E397-3753-44AD-9BFA-A34C0629D09D}] => (Allow) powershell.exe => Pas de fichier
    FirewallRules: [{B37DBD4C-7378-474A-8B0D-9B71097B3FB6}] => (Allow) powershell.exe => Pas de fichier
    EmptyTemp:
    End::

    3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
     


    Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

    Puis une fois ton ordinateur redémarré :
    4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://www.cjoint.com/ puis donne le lien généré par https://www.cjoint.com/ dans ta réponse.

    5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT


    1
  2. bazfile Messages postés 58513 Date d'inscription   Statut Modérateur Dernière intervention   20 276
     

    Le fixlog est OK.

    Si tout est OK pour toi :
    Désinstalle FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.


    1
  3. neva
     

    Bonjour et merci beaucoup d'avoir pris le temps de me répondre :)

    J'ai suivi ton mode d'emploi et voici le lien du fichier Fixlog obtenu :

    https://www.cjoint.com/c/NAwi7aqCKRO

    Je croise les doigts pour que ce soit suffisant (en tout cas, j'ai moins de messages de l'antivirus, et l'ordi me paraît plus rapide).

    0
  4. neva
     

    Un immense merci pour l'aide efficace et rapide que tu m'as apportée ! C'est un vrai soulagement de "récupérer" mon pc avec un fonctionnement normal :)

    J'en profite pour remettre un certain nombre de choses à niveau. Je vais désormais utiliser Bitwarden pour mes mots de passe. Pour ce qui est des antivirus, est-ce que tu en aurais un à me conseiller, pour éviter ce type d'intrusions ?

    0
    1. bazfile Messages postés 58513 Date d'inscription   Statut Modérateur Dernière intervention   20 276
       

      Pour ce qui est des intrusions un antivirus quel qu'il soit ne peut pas tout empêcher, tu as Bitdefender c'est un excellent antivirus donc ne change rien, pour information Windows a son propre antivirus, il est gratuit et efficace il s'active automatiquement dés qu'aucun autre antivirus n'est installé sur le pc.

      1