Supprimer virus Powershell .Résolu/Fermé

Question

Bonjour à tous,

Mon système est actuellement infecté par le virus Powershell que je ne parviens pas à supprimer définitivement.

Je suis sous Windows 11 avec Nod32 Internet Security comme antivirus, sauf qu'a chaque fois que j'éteins / rallume mon ordinateur, a un moment donné, powershell s'ouvre et malgré que Nod32 me dise qu'il le supprime, il revient sans cesse et je ne sais pas quoi faire.

Pouvez-vous m'aider ?

Je vous en remercie par avance.

Cordialement,

Rudy

bazfile · Answer

Bonjour.

Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :

Clique sur Analyser

Attention, attendre que les messages disant que l'analyse est terminée s'affichent.

À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition.

Ensuite envoie les rapports FRST et ADDITION sur PJJOINT voir CE TUTORIEL puis donne les deux liens générés par PJJOINT dans ta réponse.

Rudy_Paris · Answer

@bazfile :

FRST : https://pjjoint.malekal.com/files.php?id=FRST_20230113_q12p15m5s10m6

Addition : https://pjjoint.malekal.com/files.php?id=20230113_i12w11e13q10w15

Merci pour ton aide !

Rudy_Paris · Answer

Hello @bazfile, je t'ai déjà joint les liens des deux txts.

Je te remercie en tout cas pour ta sympathie et ta réactivité !

Je pense avoir également le virus sur deux autres de mes ordinateurs..

Bien à toi,
Rudy

bazfile · Answer

Une fois la désinfection terminée change tous tes mots de passe en ligne ils ont pu être dérobés (email, réseaux sociaux, logins de sites bancaires etc etc....).

Tu utilises des logiciels piratés (Microsoft Office et/ou Windows) je te conseille d'arrêter ça d'autant plus que c'est prendre beaucoup de risques pour rien, voir cette page et cette page.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

Start::
CreateRestorePoint:
CloseProcesses:
BHO: Bitdefender Wallet -> {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} -> C:\Program Files\Bitdefender\Bitdefender Security\pmbxie.dll => Pas de fichier
BHO-x32: Bitdefender Wallet -> {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} -> C:\Program Files\Bitdefender\Bitdefender Security\Antispam32\pmbxie.dll => Pas de fichier
Toolbar: HKLM - Bitdefender Wallet - {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} - C:\Program Files\Bitdefender\Bitdefender Security\pmbxie.dll Pas de fichier
Toolbar: HKLM-x32 - Bitdefender Wallet - {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} - C:\Program Files\Bitdefender\Bitdefender Security\Antispam32\pmbxie.dll Pas de fichier
FirewallRules: [{303638A2-AA4E-4319-9A33-62457D60F0BF}] => (Allow) C:\Users\Rudy TORDJEMAN\AppData\Roaming\Zoom\bin\airhost.exe => Pas de fichier
FirewallRules: [{0295BC9A-88F3-434D-9D8B-C8E0A6F1DF45}] => (Allow) C:\Users\Rudy TORDJEMAN\AppData\Roaming\Zoom\bin\airhost.exe => Pas de fichier
HKLM\Software\...\Authentication\Credential Providers: [{C885AA15-1764-4293-B82A-0586ADD46B35}] -> 
IFEO\osppsvc.exe: [VerifierDlls] SppExtComObjHook.dll
IFEO\SppExtComObj.exe: [VerifierDlls] SppExtComObjHook.dll
HKLM\...\Run: [] => [X]
HKLM\...\Run: [CL-25-F33D36F4-AAA6-4945-B37B-E911D136FF89] => "C:\Program Files\Common Files\Bitdefender\SetupInformation\CL-25-F33D36F4-AAA6-4945-B37B-E911D136FF89\setuplauncher.exe" /run:Installer.exe /args:"/setup-folder:"CL-25-F33D36F4-AAA6-4945-B37B-E911D13 (l'élément de données a 7 caractères en plus). (Pas de fichier)
Task: {02415FDA-83EE-4317-962F-1FE35A5D9485} - \Winrar -> Pas de fichier
Task: {6020405E-79E6-42CA-BE70-40EB40AE90D2} - System32\Tasks\EdgeCrashHandler => C:\Program Files (x86)\Microsoft\Edge\Application\mshandler.exe (Pas de fichier) 
Task: {CC9E531F-81AA-4232-BAC5-2575045F85DC} - \Crash Handler -> Pas de fichier 
Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => C:\WINDOWS\System32\MbaeParserTask.exe (Pas de fichier)
Task: {D8D1B8F8-9501-4696-AFA7-3128519EA50A} - \Microsoft\Windows\Management\Provisioning\aBMYcDh\436ABF07-1656-4260-9E57-357415EA4FE8 -> Pas de fichier
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => C:\WINDOWS\system32\MusNotification.exe (Pas de fichier)
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction 
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction 
Task: {368A2802-07E5-4B1B-B44D-E95121EF8C37} - System32\Tasks\Microsoft\Windows\Management
1LDhtQmd => powershell.exe -WindowStyle Hidden -ExecutionPolicy Bypass -File "C:\WINDOWS\System32\52DD.tmp\52DE.tmp.ps1" 
Task: {D4F3BFA3-9B90-4BDF-A499-8B9AB31E3D79} - System32\Tasks\Microsoft\Windows\DeviceDirectoryClient\RegisterDevicePeriodic24mztCvhYcb => powershell.exe -WindowStyle Hidden -ExecutionPolicy Bypass -File "C:\WINDOWS\System32\7822.tmp\7823.tmp.ps1" 
Task: {EBBC415C-920F-4439-9230-E5450DC8712F} - System32\Tasks\Microsoft\Windows\Application Experience\StartupAppTasknbRcaSW => powershell.exe -WindowStyle Hidden -ExecutionPolicy Bypass -File "C:\WINDOWS\System32\E060280D-9105-477C-9FB1-62C15838E78A.ps1"
C:\WINDOWS\System32\52DD.tmp\52DE.tmp.ps1 
C:\WINDOWS\System32\E060280D-9105-477C-9FB1-62C15838E78A.ps1
C:\WINDOWS\System32\7822.tmp\7823.tmp.ps1
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur PJJOINT puis donne le lien généré par PJJOINT dans ta réponse.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

Rudy_Paris · Answer

@bazfile Je te remercie sincèrement.

Voici le lien du fixlog : https://pjjoint.malekal.com/files.php?id=20230113_h125t6d12p11

Bien à toi,

Rudy

bazfile · Answer

Le fixlog est OK.

Si de ton côté tout est également OK, tu peux désinstaller FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.

Rudy_Paris · Answer

Je te remercie mille fois de ta gentillesse, en effet tu as raison, j'avais installé Office en version non officielle et je ne savais pas que Cdiscount proposait des licences Windows / Office à prix aussi bas.

De ce fait, je vais suivre tes conseils et arrêter ça immédiatement, le risque n'en vaut pas la chandelle

Accepterait tu également de m'aider à supprimer le virus sur mes deux autres postes ?

Je t'en remercie vraiment par avance.

Chaleureusement,

Rudy_Paris · Answer

T'es au TOP, vraiment je sais pas comment te remercier !

La je suis au boulot, les deux autres PC sont à la maison. J'y serai pour 18 heures.

Je te fais cela gentiment à mon arrivé, et t'invite à prendre tout ton temps pour me répondre si tu as d'autres chantiers / priorités.

Encore une fois, merci pour tout Baz !

Rudy

Rudy_Paris · Answer

Cher @bazfile ,

Donnant suite à nos échanges de ce matin et de ton aide précieuse pour laquelle je t'adresse de nouveau mes remerciements les plus sincères, tu trouveras ci-après les liens des .Txt suite à l'analyse de ma seconde machine.

Prend le temps qu'il te faut, pas d'urgence :

FRST : https://pjjoint.malekal.com/files.php?id=FRST_20230113_n514m6u14e12

Addition : https://pjjoint.malekal.com/files.php?id=20230113_t12k14g8n12s8

Merci à toi de nouveau.
Rudy

Rudy_Paris · Answer

@bazfile ,

Comme demandé, j'ai refais l'analyse complète, voici le lien du nouveau fichier :

FRST: https://pjjoint.malekal.com/files.php?id=20230113_x13s12z14t7i12

Bien à toi,

Rudy

Rudy_Paris · Answer

Pardonne moi, j'ai pas fais gaffe ... La fatigue !

Voici le lien ADDITION : https://pjjoint.malekal.com/files.php?id=20230113_x13s12z14t7i12

A te lire,

Rudy

Rudy_Paris · Answer

Pardonne moi une nouvelle fois !

Le voici : https://pjjoint.malekal.com/files.php?id=FRST_20230113_w9q10p14s10c15

Rudy_Paris · Answer

Tant mieux, c'est une bonne nouvelle ! Pas de Powershell, c'est cool. Oui, je voudrais garder Office pour être le plus sincère avec toi. Après si cela pose un soucis pour ton script, je peux faire un pas vers toi histoire de te faciliter le boulot, car j'ai encore un diagnostic a te demander sur ma dernière machine. Mais pour ce cas la, si je peux garder Office, c'est top.

Amicalement,

Rudy

Rudy_Paris · Answer

Baz,

Merci, ca à l'air de rouler.

Ci-après le Fixlog :

https://pjjoint.malekal.com/files.php?id=20230113_d11h15v11z14g14

et pour finir (ma troisième machine)

Addition : https://pjjoint.malekal.com/files.php?id=20230113_d15x7z8x9s13

FRST : https://pjjoint.malekal.com/files.php?id=FRST_20230113_m1312i11z13l8

Merci mille fois de nouveau, tu gères grave.

Si tu proposes des formations même payante, je suis preneur.

Rudy

bazfile · Answer

Le fixlog est OK tes pc sont propres.

Pour FRST tu peux commencer par potasser ceci https://forum.security-x.fr/tutoriels-317/tutoriel-frst

Tu peux désinstaller FRST voir mon message 6.

Rudy_Paris · Answer

Salut Baz,

J'espère que tu vas bien depuis hier.

Hélas, j'ai pu faire les mises à jours Windows sur 1 des deux postes.

En effet, l'un des deux, pour aller plus loin dans l'installation, m'informait que je ne pouvais pas conserver mes fichiers, dossiers, logiciels ect, donc j'ai laissé tombé.

Ce que je voulais te demander, c'est la chose suivante: en fonction des scripts que tu as saisis pour aider d'autres personnes dans mon cas, est-ce que pour supprimer le virus c'est une saisie au cas par cas ou ce que tu saisies sur ce qui peux etre mon script, celui du voisin, de la voisine ect pour supprimer le virus est la même chose ?

Merci et belle journée

Rudy_Paris · Answer

Bonjour Baz,

j'espère que tu vas bien. Tu m'avais apporté ton aide précieuse au mois de Janvier et je t'en remercie de nouveau.

J'ai remarqué qu'une de mes 4 machines sur lesquels tu avais interagis reste infecté par un virus suite à l'installation d'Adobe Acrobat version non officielle, bien avant de faire ta connaissance pour obtenir ton aide concernant Powershell.

Le soucis, est que je ne suis pas en mesure de pouvoir désinstaller cette version d'Adobe Acrobat, en obtenant un message : "Windows Installer" The feature you are trying to use is on a network ressource that is unabailable"

Ce qui laisse sans doute un accès au pirate pour prendre le control de ma machine, puisque Nod32 me l'indique

Est-il possible d'une nouvelle fois te demander ton aide afin de désinstaller de façon forcé cette version non officielle d'Adobe, et de supprimer définitivement le virus permettant au hacker de faire sa vie en grande détente.

Je te remercie une nouvelle fois pour ton aide.

bazfile · Answer

Bonjour.

Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :

Attend que le message l'outil est prêt à fonctionner s'affiche puis clique sur Analyser

Attention, attendre que les messages disant que l'analyse est terminée s'affichent.

À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition.

Ensuite envoie les rapports FRST et ADDITION sur https://security-x.fr/up/ puis donne les deux liens générés par https://security-x.fr/up/ dans ta réponse.

Rudy_Paris · Answer

Salut @bazfile

FRST : https://up.security-x.fr/file.php?h=Rc133e265eed613cd423c3164e46c8bf4

ADDITION :  https://up.security-x.fr/file.php?h=Rfdc5cc7d9362bb6081c24f022329889e

Merci à toi.

bazfile · Answer

Il y a toujours Microsoft Office qui n'est pas officiel.

Je t'avais prévenu dans mon message 25 qu'Adobe n'était pas officiel, pas étonnant que tu ais ce message lors de sa désinstallation, le fichier hosts a été modifié afin que les connexions vers les différents sites d'Adobe soient bloquées.

Pour restaurer le fichier hosts, procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

Start::
CreateRestorePoint:
CloseProcesses:
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Pas de fichier
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction 
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction 
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction
ShortcutTarget: $McRebootA5E6DEAA56$.lnk -> (Pas de fichier)
Hosts:
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://security-x.fr/up/ puis donne le lien généré par https://security-x.fr/up/ dans ta réponse.

5- Désinstalle Adobe Acrobat avec Revo Uninstaller en mode scan avancé.

Tutoriel Revo Uninstaller à lire attentivement.

Accepter la désinstallation du programme que l'on souhaite désinstaller et si il y a un message d'erreur disant que la désinstallation est impossible fermer le message d'erreur et continuer la procédure.

Cocher "Scan avancé" puis cliquer sur "Scan".

Cliquer sur "Sélectionner tout" puis sur "Supprimer" si une deuxième liste apparaît faire de même puis une fois que tout est supprimé cliquer sur "Fini" un redémarrage sera peut-être demandé.

Rudy_Paris · Answer

Salut @bazfile

Voici le Fixlog : https://up.security-x.fr/file.php?h=R42a993e8251c72a905948a3806a565de

Tout à été fait selon tes instructions sur Revo.

Merci à toi,

Rudy

Rudy_Paris · Answer

Oui, je te le confirme.

Plus aucune trace.

Rudy_Paris · Answer

Pas encore le cas, je te remercie sincèrement, a toi également, il se peut que je demande de checker une autre analyse dans les prochains jours si tu es toujours dispo, et si c'est pas le cas, profite bien !

Merci

Rudy_Paris · Answer

Salut @bazfile

(Encore moi -_-...)

Avant toute chose, j'espère que tu vas bien et que tu as passé de belles vacances.

Je reviens (de nouveau) vers toi, car mon PC gamer sur lequel tu avais également interagis est d'après moi encore infecté.

Lors d'un démarrage du système sur deux, j'ouvre ma session, et la tu as deux espèces de fenêtre d'invites de commandes qui s'ouvrent et qui se ferment immédiatement, après cela, le CPU commence à monter en température pour rien ect.

Voici les rapports FRST & ADDITION de scan que je viens d'effectuer .

Le soucis est pour le FRST & ADDITION, https://security-x.fr/up/ n'a plus l'air de fonctionnement, as-tu un site relais ?

Merci à toi par avance.

Rudy

Rudy_Paris · Answer

Hello @bazfile,

FRST : https://pjjoint.malekal.com/files.php?id=20230828_e12n13j8r15g6

ADDITION : https://pjjoint.malekal.com/files.php?id=20230828_e5q13c14m11g10

Merci, t'es au Top

Supprimer virus Powershell .

25 réponses

Discussions similaires

Newsletters