Virus via Powershell non détecté par antivirus
Résolu/Fermébazfile Messages postés 57171 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 31 janvier 2025 - 22 janv. 2024 à 13:19
- Virus via Powershell non détecté par antivirus
- Clé usb non detecté - Guide
- Comodo antivirus - Télécharger - Sécurité
- Panda antivirus - Télécharger - Antivirus & Antimalwares
- L'ordinateur de mustapha a été infecté par un virus répertorié récemment. son anti-virus ne l'a pas détecté. qu'a-t-il pu se passer ? - Forum Virus
- Desactiver antivirus windows 10 - Guide
4 réponses
21 janv. 2024 à 20:55
Bonjour.
Procédure à faire dans l'ordre indiqué :
1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction
Task: {5BDF7750-104E-4305-AFB4-A6A5EE7E71CC} - System32\Tasks\Disable-StorageBusDisk_QoS => C:\Windows\system32\conhost.exe [867328 2023-11-15] (Microsoft Windows -> Microsoft Corporation) -> --headless powershell .$([char](9811-9706)+'ex') (get-content 'C:\Users\Moi\AppData\Local\Microsoft\FontCache\Disable-StorageBusDisk_QoS.log' -raw)
Task: {0FD97DBC-EB72-4D2F-8C85-DFA80F5CD1E9} - System32\Tasks\Remove-SmbMapping => C:\Windows\system32\conhost.exe [867328 2023-11-15] (Microsoft Windows -> Microsoft Corporation) -> --headless powershell .$([char](9666-9561)+'ex') (get-content 'C:\Users\Moi\AppData\Roaming\Evernote\Remove-SmbMapping.log' -raw)
CustomCLSID: HKU\S-1-5-21-100550643-309752111-2504242606-1001_Classes\CLSID\{d1b22d3d-8585-53a6-acb3-0e803c7e8d2a}\localserver32 -> "C:\Users\Moi\AppData\Local\Microsoft\Teams\current\Teams.exe" --toast => Pas de fichier
ContextMenuHandlers1: [PDFCreator.ShellContextMenu] -> {d9cea52e-100d-4159-89ea-76e845bc13e1} => -> Pas de fichier
FirewallRules: [{AB82685C-A804-401D-A689-F2CC6976CC1C}] => (Allow) C:\Users\Moi\AppData\Roaming\Zoom\bin\Zoom.exe => Pas de fichier
FirewallRules: [{B8C1F800-5A6C-4410-BD96-23A58E65D618}] => (Allow) C:\Users\Moi\AppData\Roaming\Zoom\bin\airhost.exe => Pas de fichier
FirewallRules: [{CDE9013F-2AD4-4B07-BBF9-BB4DFE36F6E3}] => (Allow) C:\Users\Moi\AppData\Roaming\Zoom\bin\airhost.exe => Pas de fichier
FirewallRules: [TCP Query User{48BF4937-BD83-4396-BC4D-523B834C6EB9}C:\users\moi\appdata\local\microsoft\teams\current\teams.exe] => (Block) C:\users\moi\appdata\local\microsoft\teams\current\teams.exe => Pas de fichier
FirewallRules: [UDP Query User{0386DB80-7819-4240-A10F-2346D1047168}C:\users\moi\appdata\local\microsoft\teams\current\teams.exe] => (Block) C:\users\moi\appdata\local\microsoft\teams\current\teams.exe => Pas de fichier
FirewallRules: [TCP Query User{8242F23C-D2D5-4953-A308-D2CE8ABEE833}C:\users\moi\appdata\local\microsoft\teams\current\teams.exe] => (Allow) C:\users\moi\appdata\local\microsoft\teams\current\teams.exe => Pas de fichier
FirewallRules: [UDP Query User{48ED6887-9F4D-4BFC-B827-2882819E68F8}C:\users\moi\appdata\local\microsoft\teams\current\teams.exe] => (Allow) C:\users\moi\appdata\local\microsoft\teams\current\teams.exe => Pas de fichier
FirewallRules: [{8584D4CD-E04E-4429-B972-F5CF80206ED1}] => (Allow) powershell.exe => Pas de fichier
FirewallRules: [{45D117A2-2887-4E35-8A24-4A4A5D52742D}] => (Allow) powershell.exe => Pas de fichier
FirewallRules: [{1435E397-3753-44AD-9BFA-A34C0629D09D}] => (Allow) powershell.exe => Pas de fichier
FirewallRules: [{B37DBD4C-7378-474A-8B0D-9B71097B3FB6}] => (Allow) powershell.exe => Pas de fichier
EmptyTemp:
End::
3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://www.cjoint.com/ puis donne le lien généré par https://www.cjoint.com/ dans ta réponse.
5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT
22 janv. 2024 à 10:08
Le fixlog est OK.
Si tout est OK pour toi :
Désinstalle FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.
Bonjour et merci beaucoup d'avoir pris le temps de me répondre :)
J'ai suivi ton mode d'emploi et voici le lien du fichier Fixlog obtenu :
https://www.cjoint.com/c/NAwi7aqCKRO
Je croise les doigts pour que ce soit suffisant (en tout cas, j'ai moins de messages de l'antivirus, et l'ordi me paraît plus rapide).
Un immense merci pour l'aide efficace et rapide que tu m'as apportée ! C'est un vrai soulagement de "récupérer" mon pc avec un fonctionnement normal :)
J'en profite pour remettre un certain nombre de choses à niveau. Je vais désormais utiliser Bitwarden pour mes mots de passe. Pour ce qui est des antivirus, est-ce que tu en aurais un à me conseiller, pour éviter ce type d'intrusions ?
22 janv. 2024 à 13:19
Pour ce qui est des intrusions un antivirus quel qu'il soit ne peut pas tout empêcher, tu as Bitdefender c'est un excellent antivirus donc ne change rien, pour information Windows a son propre antivirus, il est gratuit et efficace il s'active automatiquement dés qu'aucun autre antivirus n'est installé sur le pc.
