Besoin d'aide pour se débarasser du virus Powershell

Bonjour @VeridisQuo StatutMembre.

Si tu le souhaites tu peux désinstaller Spybot Search & Destroy ce logiciel n'est pas vraiment utile.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

Start::
CreateRestorePoint:
CloseProcesses:
File: C:\Windows\System32\80D1.tmp\80D2.tmp.ps1
File: C:\ProgramData\updates.ps1
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction 
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction 
Task: {6CC7826F-389E-4AC9-9D5F-BCF1B98CC1F4} - System32\Tasks\Check system => C:\Windows\system32\WindowsPowerShell\v1.0\PowerShell.exe [455680 2024-02-23] (Microsoft Windows -> Microsoft Corporation) -> -windowstyle Hidden C:\ProgramData\updates.ps1 
Task: {51E76355-8392-4BA3-AEF5-86FA6F1059D0} - System32\Tasks\Microsoft\Windows\Bluetooth\Chromeniumscrypt => C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe [455680 2024-02-23] (Microsoft Windows -> Microsoft Corporation) -> -WindowStyle Hidden -File C:\Users\Public\updates.ps1
Task: {719D5385-347D-415F-B402-C0B804C27FC1} - System32\Tasks\Microsoft\Windows\NetTrace\GatherNetworkInfoUDhudAIF => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [455680 2024-02-23] (Microsoft Windows -> Microsoft Corporation) -> -WindowStyle Hidden -ExecutionPolicy Bypass -File "C:\Windows\System32\80D1.tmp\80D2.tmp.ps1"
Task: {0F270334-49AE-4ACA-8AF6-9CDEDABBDCE5} - System32\Tasks\Microsoft\Windows\Bluetooth\java => C:\ProgramData\java.exe  (Pas de fichier)
S3 cpuz145; \??\C:\Windows\temp\cpuz145\cpuz145_x64.sys [X] 
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [4832]
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
FirewallRules: [TCP Query User{F32C8146-FA0A-4B3E-B95C-A012576A4556}C:\program files (x86)\common files\adobe\cep\extensions\com.frameio.panel\bin\frameiohelper.exe] => (Allow) C:\program files (x86)\common files\adobe\cep\extensions\com.frameio.panel\bin\frameiohelper.exe => Pas de fichier
FirewallRules: [UDP Query User{FBEEB23C-7F2E-402E-B02E-DB984998BAA5}C:\program files (x86)\common files\adobe\cep\extensions\com.frameio.panel\bin\frameiohelper.exe] => (Allow) C:\program files (x86)\common files\adobe\cep\extensions\com.frameio.panel\bin\frameiohelper.exe => Pas de fichier
FirewallRules: [TCP Query User{50A97719-7224-4387-A6C6-05C8E44E3D7C}C:\program files (x86)\common files\adobe\cep\extensions\com.frameio.panel\bin\frameiohelper.exe] => (Allow) C:\program files (x86)\common files\adobe\cep\extensions\com.frameio.panel\bin\frameiohelper.exe => Pas de fichier
FirewallRules: [UDP Query User{9BF883F1-44C7-4E37-8ABB-3E369B6BA597}C:\program files (x86)\common files\adobe\cep\extensions\com.frameio.panel\bin\frameiohelper.exe] => (Allow) C:\program files (x86)\common files\adobe\cep\extensions\com.frameio.panel\bin\frameiohelper.exe => Pas de fichier
FirewallRules: [{B111574E-D1C4-4B6C-980A-AC993620FA68}] => (Allow) C:\Users\jeanb\AppData\Roaming\Zoom\bin\airhost.exe => Pas de fichier
FirewallRules: [{E5EA6000-CF96-4B5F-8093-6D295B2E4C84}] => (Allow) C:\Users\jeanb\AppData\Roaming\Zoom\bin\airhost.exe => Pas de fichier
FirewallRules: [{7BFF9E60-344D-4101-8053-BD1260D87BF3}] => (Allow) C:\Program Files\BlueStacks_nxt\HD-Player.exe => Pas de fichier
FirewallRules: [TCP Query User{E850309A-2A1B-4A89-B423-B28E27D25C10}C:\users\jeanb\appdata\local\programs\immutable-launcher\immutable.exe] => (Allow) C:\users\jeanb\appdata\local\programs\immutable-launcher\immutable.exe => Pas de fichier
FirewallRules: [UDP Query User{7AF4E3C2-347C-41F1-B064-A30EC55F4792}C:\users\jeanb\appdata\local\programs\immutable-launcher\immutable.exe] => (Allow) C:\users\jeanb\appdata\local\programs\immutable-launcher\immutable.exe => Pas de fichier
FirewallRules: [{EA591E32-1851-4775-8423-4B7B0473BD3B}] => (Block) C:\users\jeanb\appdata\local\programs\immutable-launcher\immutable.exe => Pas de fichier
FirewallRules: [{C2A166D3-B06E-4004-A2DD-C095A283DB52}] => (Block) C:\users\jeanb\appdata\local\programs\immutable-launcher\immutable.exe => Pas de fichier
FirewallRules: [TCP Query User{C1E4994D-35A7-4943-AACC-951739420E81}C:\users\jeanb\appdata\local\godsunchained\gods unchained\standalonewindows64\gods.exe] => (Allow) C:\users\jeanb\appdata\local\godsunchained\gods unchained\standalonewindows64\gods.exe => Pas de fichier
FirewallRules: [UDP Query User{13C14C2B-328F-4F57-8437-EB14038DCC89}C:\users\jeanb\appdata\local\godsunchained\gods unchained\standalonewindows64\gods.exe] => (Allow) C:\users\jeanb\appdata\local\godsunchained\gods unchained\standalonewindows64\gods.exe => Pas de fichier
FirewallRules: [{7CCDF07E-059D-422A-87E4-09B1E2F6106E}] => (Block) C:\users\jeanb\appdata\local\godsunchained\gods unchained\standalonewindows64\gods.exe => Pas de fichier
FirewallRules: [{FE3E951B-DC4A-4B11-B8F1-35DD3F0AEE5F}] => (Block) C:\users\jeanb\appdata\local\godsunchained\gods unchained\standalonewindows64\gods.exe => Pas de fichier
FirewallRules: [TCP Query User{4B742F14-5B7F-4162-994B-BF5AC258AA21}C:\users\jeanb\appdata\roaming\utorrent\utorrent.exe] => (Block) C:\users\jeanb\appdata\roaming\utorrent\utorrent.exe => Pas de fichier
FirewallRules: [UDP Query User{FDC0D129-CE52-4F81-A780-38322B6B0E3E}C:\users\jeanb\appdata\roaming\utorrent\utorrent.exe] => (Block) C:\users\jeanb\appdata\roaming\utorrent\utorrent.exe => Pas de fichier
FirewallRules: [{80F2E06E-4CFD-464F-83FA-A3ECF2FB93B6}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Northgard\ng32\Northgard.exe => Pas de fichier
FirewallRules: [{C5C7A6BF-DD10-4220-9391-0E2FB6B6B71B}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Northgard\ng32\Northgard.exe => Pas de fichier
FirewallRules: [TCP Query User{73F0E24A-903E-4F01-A1F8-F24C6F3C9A68}C:\users\jeanb\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\jeanb\appdata\roaming\utorrent\utorrent.exe => Pas de fichier
FirewallRules: [UDP Query User{FA930093-8311-451A-8854-D566E1DE514F}C:\users\jeanb\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\jeanb\appdata\roaming\utorrent\utorrent.exe => Pas de fichier
FirewallRules: [{A5B52F4B-4BDA-485D-B1E0-4BBC3CD959B1}] => (Allow) D:\SteamLibrary\steamapps\common\Total War SHOGUN 2\launcher\launcher.exe => Pas de fichier
FirewallRules: [{A8FBCE95-B7C1-44C7-B8A3-753A96B66594}] => (Allow) D:\SteamLibrary\steamapps\common\Total War SHOGUN 2\launcher\launcher.exe => Pas de fichier
FirewallRules: [TCP Query User{4CAA1BFF-52C9-4509-8024-4AF7B9FC469C}D:\steamlibrary\steamapps\common\total war shogun 2\shogun2.exe] => (Allow) D:\steamlibrary\steamapps\common\total war shogun 2\shogun2.exe => Pas de fichier
FirewallRules: [UDP Query User{9F4BC2ED-2D67-4961-BCA5-F9FE0B304815}D:\steamlibrary\steamapps\common\total war shogun 2\shogun2.exe] => (Allow) D:\steamlibrary\steamapps\common\total war shogun 2\shogun2.exe => Pas de fichier
FirewallRules: [{530AD7F7-4A49-4C24-8A39-8DEE2FE28163}] => (Allow) C:\Users\jeanb\AppData\Roaming\uTorrent\uTorrent.exe => Pas de fichier
FirewallRules: [{77559C3B-AF5A-447E-A984-95364D2E807A}] => (Allow) C:\Users\jeanb\AppData\Roaming\uTorrent\uTorrent.exe => Pas de fichier
C:\Users\Public\updates.ps1
C:\ProgramData\updates.ps1
C:\Windows\System32\80D1.tmp\80D2.tmp.ps1
Hosts:
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://www.cjoint.com/ ou https://pixeldrain.com/ 
 

Puis donne le lien généré par https://www.cjoint.com/ ou https://pixeldrain.com/ dans ta réponse.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

Hello @bazfile StatutModérateur, Contributeur sécurité

Un grand merci pour ta réponse rapide. C'est noté pour Spybot, je vais le supprimer.

La correction s'est bien déroulée, voici le Fixlog : https://www.cjoint.com/c/NHEojcdBMFM 

Je n'ai pas eu de fenêtre pop-up Powershell au démarrage, donc j'ai l'impression que le problème est réglé ! Je vais quand même attendre 1 jour d'utilisation avant de crier victoire, mais ça sent bon.

Encore merci pour cette précieuse aide :)

@VeridisQuo StatutMembre .

Le fixlog est OK, ton pc est désinfecté.

Ton pc était infecté par ceci :

https://www.virustotal.com/gui/file/a81384307

Change tes mots de passe en ligne qui sont sensibles et importants pour toi.

Désinstalle FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.

C'est tout bon, je vais mettre à jour mes mots de passe de ce pas.

Merci pour ton efficacité et ta rapidité !