Virus powershell
Résolu
Ygor
-
bazfile Messages postés 58581 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
bazfile Messages postés 58581 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
Je me suis aussi fait avoir par le virus powershell.
Voici mes Cjoint:
FRST:
https://www.cjoint.com/c/NIxqkNBeHQy
Adition:
https://www.cjoint.com/c/NIxql7Pa3ty
Merci beaucoup!
Windows / Chrome 128.0.0.0
A voir également:
- Virus powershell
- Virus mcafee - Accueil - Piratage
- Virus powershell - Guide
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
2 réponses
Bonjour.
Procédure à faire dans l'ordre indiqué :
1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3325502090-3881661430-1837460602-1001\...\Run: [RiotClient] => C:\Riot Games\Riot Client\RiotClientServices.exe --launch-background-mode (Pas de fichier)
HKU\S-1-5-21-3325502090-3881661430-1837460602-1001\...\Policies\Explorer: []
GroupPolicy: Restriction ?
Policies: C:\ProgramData\NTUSER.pol: Restriction
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction
Task: {56287F68-3283-4C39-BA5D-C229658D70C5} - System32\Tasks\Microsoft\Windows\Bluetooth\UninstallDeviceTask => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [455680 2024-02-14] (Microsoft Windows -> Microsoft Corporation) -> -ExecutionPolicy Bypass -WindowStyle Hidden -File C:\WINDOWS\mid.ps1
Task: {73EFCD00-A172-4843-85DA-7BAC6FE4A1A4} - System32\Tasks\MSI Task Host - Detect_Monitor => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [455680 2024-02-14] (Microsoft Windows -> Microsoft Corporation) -> -ExecutionPolicy ByPass -WindowStyle Hidden C:\Users\waza9\AppData\Roaming\Winsoft\core.ps1
CHR Notifications: Default -> hxxps://cymatics.fm
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
SearchScopes: HKU\S-1-5-21-3325502090-3881661430-1837460602-1001 -> DefaultScope {DCDEDC04-BABE-487E-8812-35344B3792F5} URL =
SearchScopes: HKU\S-1-5-21-3325502090-3881661430-1837460602-1001 -> {DCDEDC04-BABE-487E-8812-35344B3792F5} URL =
FirewallRules: [{BFC0E7A0-5ACF-4426-98D4-33DE0DEB0150}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe => Pas de fichier
FirewallRules: [{A601BB38-F6B9-47C2-9F05-1AD1E6AAD7C7}] => (Allow) C:\Program Files\MALightingTechnology\gma3_1.6.1\bin\app_updater.exe => Pas de fichier
FirewallRules: [{FB851273-1CD0-48A5-B588-FE4DFD325956}] => (Allow) C:\Program Files\MALightingTechnology\gma3_1.6.1\bin\app_terminal.exe => Pas de fichier
FirewallRules: [{A732A72A-98D6-48FF-90D5-A25B68E0F48B}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => Pas de fichier
FirewallRules: [{222C9F38-902B-4F3E-A1BA-C2E6A1D3C732}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => Pas de fichier
FirewallRules: [{151EF1B2-252A-4E74-9895-A98AF5607B07}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Pas de fichier
FirewallRules: [{09FD1788-56D4-497E-A5B3-77F6552B02E1}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Pas de fichier
FirewallRules: [{ED7546B3-6797-442C-B2A0-0E88DE5B5614}] => (Allow) C:\Users\waza9\AppData\Roaming\Zoom\bin\airhost.exe => Pas de fichier
FirewallRules: [{281F4EC0-34A7-4E42-9418-BEEC814C5B89}] => (Allow) C:\Users\waza9\AppData\Roaming\Zoom\bin\airhost.exe => Pas de fichier
FirewallRules: [TCP Query User{2A5E72C9-19EB-42A5-8FC8-BFD966A802A7}C:\program files (x86)\epic games\launcher\engine\binaries\win64\epicwebhelper.exe] => (Allow) C:\program files (x86)\epic games\launcher\engine\binaries\win64\epicwebhelper.exe => Pas de fichier
FirewallRules: [UDP Query User{D434CA1C-0149-4575-AF78-FBDF98F714CF}C:\program files (x86)\epic games\launcher\engine\binaries\win64\epicwebhelper.exe] => (Allow) C:\program files (x86)\epic games\launcher\engine\binaries\win64\epicwebhelper.exe => Pas de fichier
FirewallRules: [TCP Query User{C16FCD70-1078-4F35-8A1D-192B6919C24A}C:\users\waza9\appdata\local\discord\app-1.0.9004\discord.exe] => (Allow) C:\users\waza9\appdata\local\discord\app-1.0.9004\discord.exe => Pas de fichier
FirewallRules: [UDP Query User{372E9CFE-14DA-4AFE-ACF3-AE02018BFCEF}C:\users\waza9\appdata\local\discord\app-1.0.9004\discord.exe] => (Allow) C:\users\waza9\appdata\local\discord\app-1.0.9004\discord.exe => Pas de fichier
FirewallRules: [TCP Query User{8E107931-41E8-40F8-B007-2BEA3BE4B8F3}C:\program files\epic games\borderlands3\oakgame\binaries\win64\borderlands3.exe] => (Allow) C:\program files\epic games\borderlands3\oakgame\binaries\win64\borderlands3.exe => Pas de fichier
FirewallRules: [UDP Query User{BC1C99E9-A28B-4A9F-86BE-D5C7BD321950}C:\program files\epic games\borderlands3\oakgame\binaries\win64\borderlands3.exe] => (Allow) C:\program files\epic games\borderlands3\oakgame\binaries\win64\borderlands3.exe => Pas de fichier
FirewallRules: [{13E82CC0-C0B8-4BD2-B597-AAE3C8714A4C}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Mortal Online 2\MortalOnline2Launcher.exe => Pas de fichier
FirewallRules: [{212DE9B6-FFCF-4FE0-8A15-4F1AE6BD9751}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Mortal Online 2\MortalOnline2Launcher.exe => Pas de fichier
FirewallRules: [{E33EE942-9C6A-4390-BBA3-A8A69192AF99}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Mortal Online 2\MortalOnline2\Binaries\Win64\MortalOnline2-Win64-Shipping.exe => Pas de fichier
FirewallRules: [{CEF0C1FC-C651-4C0A-BD1A-66ED62804E9A}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Mortal Online 2\MortalOnline2\Binaries\Win64\MortalOnline2-Win64-Shipping.exe => Pas de fichier
FirewallRules: [TCP Query User{478F613D-9669-4AD2-A5CF-73E44FDC3A72}C:\program files\cast software\wysiwyg release 48 demo and viewer\bin64\wygviewer.exe] => (Allow) C:\program files\cast software\wysiwyg release 48 demo and viewer\bin64\wygviewer.exe => Pas de fichier
FirewallRules: [UDP Query User{A7FE0F0C-AE59-4275-B8E8-C3D3676BF79C}C:\program files\cast software\wysiwyg release 48 demo and viewer\bin64\wygviewer.exe] => (Allow) C:\program files\cast software\wysiwyg release 48 demo and viewer\bin64\wygviewer.exe => Pas de fichier
FirewallRules: [TCP Query User{21455B69-5163-4907-8AD1-1B622F966F6F}C:\program files\cast software\wysiwyg release 48 demo and viewer\bin64\wygdemo.exe] => (Allow) C:\program files\cast software\wysiwyg release 48 demo and viewer\bin64\wygdemo.exe => Pas de fichier
FirewallRules: [UDP Query User{9D0200AC-DCB2-45F2-9038-3E5BB768929D}C:\program files\cast software\wysiwyg release 48 demo and viewer\bin64\wygdemo.exe] => (Allow) C:\program files\cast software\wysiwyg release 48 demo and viewer\bin64\wygdemo.exe => Pas de fichier
FirewallRules: [TCP Query User{E88D4B9F-A96A-4247-A7F0-52ED3651AD0C}C:\program files\ma lighting technologies\grandma\grandma2 onpc 3.9.60.45\gma2onpc.exe] => (Allow) C:\program files\ma lighting technologies\grandma\grandma2 onpc 3.9.60.45\gma2onpc.exe => Pas de fichier
FirewallRules: [UDP Query User{029FC693-CB28-44CC-A93D-24E314AD47A4}C:\program files\ma lighting technologies\grandma\grandma2 onpc 3.9.60.45\gma2onpc.exe] => (Allow) C:\program files\ma lighting technologies\grandma\grandma2 onpc 3.9.60.45\gma2onpc.exe => Pas de fichier
FirewallRules: [TCP Query User{2F9D2419-9C7C-49EA-8CDF-0D3FEE39313C}C:\xboxgames\grounded\content\maine\binaries\wingdk\maine-wingdk-shipping.exe] => (Allow) C:\xboxgames\grounded\content\maine\binaries\wingdk\maine-wingdk-shipping.exe => Pas de fichier
FirewallRules: [UDP Query User{FE0285AF-02F9-4C09-BFCB-F96837A8A4D2}C:\xboxgames\grounded\content\maine\binaries\wingdk\maine-wingdk-shipping.exe] => (Allow) C:\xboxgames\grounded\content\maine\binaries\wingdk\maine-wingdk-shipping.exe => Pas de fichier
FirewallRules: [{180AADA5-4F46-4141-93DC-EAD670156DF4}] => (Allow) C:\Users\waza9\AppData\Roaming\uTorrent\uTorrent.exe => Pas de fichier
FirewallRules: [{E90B49D5-1E9C-41FD-B9A8-29DA545764C9}] => (Allow) C:\Users\waza9\AppData\Roaming\uTorrent\uTorrent.exe => Pas de fichier
FirewallRules: [TCP Query User{23770518-005D-49BA-BA5C-84E6269F8B57}C:\users\waza9\appdata\local\packages\microsoft.4297127d64ec6_8wekyb3d8bbwe\localcache\local\runtime\java-runtime-gamma\windows-x64\java-runtime-gamma\bin\javaw.exe] => (Allow) C:\users\waza9\appdata\local\packages\microsoft.4297127d64ec6_8wekyb3d8bbwe\localcache\local\runtime\java-runtime-gamma\windows-x64\java-runtime-gamma\bin\javaw.exe => Pas de fichier
FirewallRules: [UDP Query User{82EDB7C4-2BF3-449A-86DC-6DC6E5281884}C:\users\waza9\appdata\local\packages\microsoft.4297127d64ec6_8wekyb3d8bbwe\localcache\local\runtime\java-runtime-gamma\windows-x64\java-runtime-gamma\bin\javaw.exe] => (Allow) C:\users\waza9\appdata\local\packages\microsoft.4297127d64ec6_8wekyb3d8bbwe\localcache\local\runtime\java-runtime-gamma\windows-x64\java-runtime-gamma\bin\javaw.exe => Pas de fichier
FirewallRules: [TCP Query User{4BA202E5-F0FC-4910-86EF-EC6AF0E030A0}C:\users\waza9\onedrive\bureau\serv\bedrock_server.exe] => (Allow) C:\users\waza9\onedrive\bureau\serv\bedrock_server.exe => Pas de fichier
FirewallRules: [UDP Query User{338D0480-3DB5-4306-B76D-554800158076}C:\users\waza9\onedrive\bureau\serv\bedrock_server.exe] => (Allow) C:\users\waza9\onedrive\bureau\serv\bedrock_server.exe => Pas de fichier
FirewallRules: [TCP Query User{E7B88CDF-947C-4899-A539-533418E3CF01}C:\riot games\riot client\riotclientelectron\riot client.exe] => (Allow) C:\riot games\riot client\riotclientelectron\riot client.exe => Pas de fichier
FirewallRules: [UDP Query User{BADD1167-EC6F-4A3D-B8B3-2AD306D72FBD}C:\riot games\riot client\riotclientelectron\riot client.exe] => (Allow) C:\riot games\riot client\riotclientelectron\riot client.exe => Pas de fichier
C:\WINDOWS\mid.ps1
C:\Users\waza9\AppData\Roaming\Winsoft
EmptyTemp:
End::
3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://www.cjoint.com/ ou https://pixeldrain.com/
Puis donne le lien généré par https://www.cjoint.com/ ou https://pixeldrain.com/ dans ta réponse.
5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT.
Le fixlog est OK.
Par prudence change tes mots de passe en ligne qui sont sensibles et importants pour toi.
Désinstalle FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.
Je pense que ça a fonctionné, en tout cas rien au démarrage et un gain de fluidité net sur chrome. Je n'avais plus accès au messenger de Facebook et c'est maintenant réglé.
C'est une bonne leçon j'achèterais toujours mes logiciels maintenant!
Merci beaucoup!
Le lien:
https://www.cjoint.com/c/NIzjESTy30y