Trojan Avast_64 via Powershell qui installe Worker.exe au démarage de Windows 10

[Feyd]

Bonjour,

Je suis désolé que mon premier poste soit une demande d'aide, mais je n'ai trouvé que vous qui en parler sur internet (du moins concernant les sites francophones).

Je suis confronté à un soucis que je n'arrive pas à gérer avec un trojan du nom d'Avast_64 qui active en permanence au démarrage un message "Activer une fonctionnalité de confidentialité des annonces" et si j'accepte, un virus (ou cheval de Troie) du nom de Worker.exe s'installe sur mon disque. J'ai eu beau tout faire pour retirer ce cheval de Troie, je n'arrive pas à le faire complètement et du coup il finit toujours par revenir.

J'aurais besoin de votre aide s'il vous plait, il semble que vous utilisiez la bonne méthode mais je n'arrive pas à l'appliquer sur mon ordinateur.

Tout ceci semble lié à Powershell mais n'ayant pas le niveau de vos compétences je patauge. Malwarebytes arrivent à supprimer les fichiers mais ceux ci reviennent encore et toujours.

[Parisien_entraide]

Bonjour

La procédure de Malekal
__________________
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut. ----> Ne pas oublier de cocher la case qui figure sur l'écran d'accueil
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).

[Feyd]

Je te remercie pour ta réponse, j'espère ne pas avoir commis d'erreur:

https://pjjoint.malekal.com/files.php?r ... s514d12b12
https://pjjoint.malekal.com/files.php?r ... f11i8b7g11
https://pjjoint.malekal.com/files.php?r ... c8c6p10r10

[Parisien_entraide]

Vu les infections présentes (normal vu ce qui traine sur ce PC sans compter les "passwords") Malekal ou Angélique donneront la conduite à tenir

[Feyd]

Merci pour votre aide, je surveillerais le topique en attendant leurs messages du coup.

[angelique]

Bonjour/Bonsoir





Télécharge à coté de FRST64.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

➯ Relance FRST64(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix

Un redémarrage peut être nécessaire , ne touche à rien et accepte quand redémarrer est demandé.

Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

[Feyd]

Voici le fichier:

https://pjjoint.malekal.com/files.php?i ... i6x13d5h15

J'espère ne pas avoir commis d'erreur car deux fois un message s'est affiché m'indiquant une modification sur Windows Powershell (une fois pendant la correction et une fois au redémarrage de l'ordinateur), ne sachant pas quoi répondre, j'ai mis "non" pour les deux messages (j'aurais peut être du mettre "oui"?).

Pour le fichier fixlist.txt je l'ai copié à côté de FRST64.EXE sur le bureau Windows (là encore j'espère que je ne me suis pas trompé).

Merci encore pour votre aide.

edit: a chaque fois que je redémarre j'ai un message de l'application Windows Powershell qui me demande si je veux appliquer des modifications à cet ordinateur quand j'arrive sur le bureau de Windows (encore une fois j'ai mis non).

[angelique]

Tu refais 2 nouveaux rapports frst.txt et addition.txt et tu communiques les liens pjjoint

[Feyd]

Les voici:

https://pjjoint.malekal.com/files.php?i ... 0b7t6v8o15
https://pjjoint.malekal.com/files.php?i ... j13l12h9g9

[Malekal_morte]

Hello,

Tu sembles télécharger des par des exploits WEB ou le téléchargement de cracks/keygen. et du coup tu infectes ton PC.

Date: 2023-08-11 05:23:31
Description:
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Nom : Trojan:Script/Wacatac.H!ml
ID : 2147814524
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : file:_D:\Téléchargements\Passw0rds_4321_Newest_Full_Filez_Free.rar; webfile:_D:\Téléchargements\Passw0rds_4321_Newest_Full_Filez_Free.rar
Origine de la détection : Internet
Type de détection : Chemin rapide
Source de détection : Téléchargements et pièces jointes
Utilisateur : PC-PRINCIPAL\Feyd
Nom du processus : Unknown
Version de la veille de sécurité : AV: 1.395.140.0, AS: 1.395.140.0, NIS: 1.395.140.0
Version du moteur : AM: 1.1.23070.1005, NIS: 1.1.23070.1005

Date: 2023-08-11 05:20:44
Description:
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Nom : Trojan:Win32/Cloxer
ID : 2147726362
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : file:_D:\Téléchargements\Complete_File_Setup_123_As_PassWord.rar; webfile:_D:\Téléchargements\Complete_File_Setup_123_As_PassWord.rar
Origine de la détection : Internet
Type de détection : Chemin rapide
Source de détection : Téléchargements et pièces jointes
Utilisateur : PC-PRINCIPAL\Feyd
Nom du processus : Unknown
Version de la veille de sécurité : AV: 1.395.140.0, AS: 1.395.140.0, NIS: 1.395.140.0
Version du moteur : AM: 1.1.23070.1005, NIS: 1.1.23070.1005

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
Task: {D5DCDC98-2B91-4D29-BA88-32AAF9BC3765} - System32\Tasks\Avira_BACKUP => rhc.exe  -> php.exe pcl.php <==== ATTENTION
Task: {C31DD2D6-3574-4C7C-9732-CD773EAC4B8D} - System32\Tasks\AviraNew_BACKUP => rhc.exe  -> php.exe pcl.php <==== ATTENTION
Task: {8124BEBF-6372-4669-9FF6-63B0F9313CDB} - System32\Tasks\AviraNewService_BACKUP => rhc.exe  -> php.exe index.php <==== ATTENTION
Task: {292A8F45-3D94-44FD-844A-C3B1ED7DCD2D} - System32\Tasks\AviraService_BACKUP => rhc.exe  -> php.exe index.php <==== ATTENTION
2023-09-02 15:58 - 2023-09-02 15:58 - 000003860 _____ C:\WINDOWS\system32\Tasks\AviraNewService_BACKUP
2023-09-02 15:58 - 2023-09-02 15:58 - 000003854 _____ C:\WINDOWS\system32\Tasks\AviraService_BACKUP
2023-09-02 15:58 - 2023-09-02 15:58 - 000003362 _____ C:\WINDOWS\system32\Tasks\AviraNew_BACKUP
2023-09-02 15:58 - 2023-09-02 15:58 - 000003356 _____ C:\WINDOWS\system32\Tasks\Avira_BACKUP
2023-09-02 15:58 - 2023-09-02 15:58 - 000003258 _____ C:\WINDOWS\system32\Tasks\getadmin_BACKUP
2023-09-02 15:58 - 2023-09-02 15:58 - 000000733 _____ C:\Users\Feyd\AppData\Local\getadmin.vbs
Task: {2BAA6503-EC11-4216-8882-B1DE622C1403} - System32\Tasks\getadmin_BACKUP => C:\Users\Feyd\AppData\Local\getadmin.vbs [733 2023-09-02] () [Fichier non signé]
RemoveProxy:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)



2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :

• Réparer Mozilla Firefox (premier paragraphe)
• Réparer Google Chrome (premier paragraphe)
• Comment réparer ou réinitialiser Microsoft Edge

3) Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine =fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur https://www.mediafire.com/
Donne le lien ici.

[angelique]

Refait une correction frst64 avec ce fixlist en pièce jointe et poste le rapport.

[Feyd]

Alors du coup j'en ai fait deux dans l'ordre de vos messages:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

https://pjjoint.malekal.com/files.php?i ... 5i10h15f15

Refait une correction frst64 avec ce fixlist en pièce jointe et poste le rapport.

https://pjjoint.malekal.com/files.php?i ... 15z13w13g8

J'ai toujours le message de Windows Powershell qui me demande si "oui" ou "non" je veux faire des modifications à cet ordinateur.

[angelique]

Fait une capture de ta fenêtre powershell quand elle s'affiche et communique la ici.

[Feyd]

J'ai tenté à plusieurs reprises de prendre une capture d'écran de la fenêtre Windows Powshell mais cela ne fonctionne pas, du coup j'ai pris une photo de l'écran:



Par contre j'ai pu prendre une capture d'écran d'un autre problème qui vient de réapparaitre (même si je pense qu'ils sont tous liés entre eux) à savoir la fenêtre "Activer une fonctionnalité de confidentialité des annonces". Si je l'active, cela va relancer le trojan "Worker.exe" que je retire à chaque fois en suivant le tuto d'une vidéo Youtube.



La vidéo qui me permet de retirer temporairement Worker.exe (mais qui finit par revenir malgré tout):

https://www.youtube.com/watch?v=oN097iS_zdo

Les fichiers du Trojan "avast_32" sont réapparu aussi.



J'ai ces problèmes à chaque démarrage et même si Malwarbytes supprime les fichiers avast_32 et avast_64, ils reviennent automatiquement en redémarrant l'ordinateur (pour info je n'ai jamais installé l'antivirus Avast).

[angelique]

c'est que y'a un truc qui les remet.

Commence par réinitialiser tes navigateurs , repasse les 2 derniers fixlist.txt et refait 2 nouveau rapports frst.txt et addition.txt