Trojan Avast_64 via Powershell qui installe Worker.exe au démarage de Windows 10

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Feyd
Messages : 20
Inscription : 02 sept. 2023 12:47

Re: Trojan Avast_64 via Powershell qui installe Worker.exe au démarage de Windows 10

par Feyd »

Alors dans l'ordre:

J'ai fini par accepter le message de Windows Powershell (il arrêtait pas de poper).

J'ai réiniailiser les naviguateurs (de loin c'est Chrome que j'utilise le plus).

J'ai repasser les deux fixlist dans l'ordre:

https://pjjoint.malekal.com/files.php?i ... s10h13m9i5

puis

https://pjjoint.malekal.com/files.php?i ... 15m12d6o14

Les deux nouveaux rapports:

https://pjjoint.malekal.com/files.php?i ... 11f15q1510
https://pjjoint.malekal.com/files.php?i ... w11x7u9l13

J'ai accepter les fonctionnalités de confidentialités proposer par windows (le message continué à poper également).

Les trojans "avast" sont toujours présents.
Avatar de l’utilisateur
angelique
Messages : 32253
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Trojan Avast_64 via Powershell qui installe Worker.exe au démarage de Windows 10

par angelique »

Fatiguée de mes journées de taf, un correctif ci dessous, malekal jetera un œil aussi lol

Faut faire un commentaire suite la correction, ce qui change, les améliorations, etc...

Image Télécharge à coté de FRST64.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

➯ Relance FRST64(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix

Un redémarrage peut être nécessaire (pas obligatoire).

Un fichier texte apparaît peut être nommé fixlog.txt au même endroit que frst64.exe et que fixlist.txt, copie/colle le contenu ici dans un nouveau message avec ton commentaire.


/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique PDT_018 Merci.
Image
Feyd
Messages : 20
Inscription : 02 sept. 2023 12:47

Re: Trojan Avast_64 via Powershell qui installe Worker.exe au démarage de Windows 10

par Feyd »

Désolé, je suis conscient du temps que vous me consacrez et que vous avez une vie à côté. Merci beaucoup pour votre aide.

Voici le rapport:

https://pjjoint.malekal.com/files.php?i ... u10t11g7m9

Il y a toujours les trojans avast_32, avast_64, Windows Powershell qui me demande de faire des modifications et worker.exe qui se déclenche.

En gros, rien n'a changé :'(

De ce que j'ai pu remarquer, tout reviens (les trojans) lors du démarage de Windows avant même que je n'aille sur internet.
Malekal_morte
Messages : 116045
Inscription : 10 sept. 2005 13:57

Re: Trojan Avast_64 via Powershell qui installe Worker.exe au démarage de Windows 10

par Malekal_morte »

Tu peux envoyer les fichiers via mediafire comme demandé à la fin de ce cette procédure : viewtopic.php?p=543637#p543637

Les fichiers malveillants se recréés.
Essaye de faire la correction en mode sans échec pour voir : Comment démarrer Windows en mode sans échec
Puis reviens en mode normal.
Refais une analyse FRST décoche la liste blanche et relance le scan.
Redonne les rapports pour voir si les fichiers se recréent à novueau.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Feyd
Messages : 20
Inscription : 02 sept. 2023 12:47

Re: Trojan Avast_64 via Powershell qui installe Worker.exe au démarage de Windows 10

par Feyd »

Voici le lien que tu m'as demandé:

https://www.mediafire.com/file/j9212ns1 ... e.rar/file

LA correction effectueur en mode sans échec cette fois:

https://pjjoint.malekal.com/files.php?i ... 812s9k8h10

Nouvelle analyse faite en repassant en mode normal:

https://pjjoint.malekal.com/files.php?i ... l15e14l9r9
https://pjjoint.malekal.com/files.php?i ... 14q6v10m11
https://pjjoint.malekal.com/files.php?i ... q6y6j14z13

Les trojans avast_32 et avast_64 sont toujours présents.

Image
Malekal_morte
Messages : 116045
Inscription : 10 sept. 2005 13:57

Re: Trojan Avast_64 via Powershell qui installe Worker.exe au démarage de Windows 10

par Malekal_morte »

Envoie C:\ProgramData\CanonUnity\Canon.exe sur le portail VirusTotal
Si un message te dit que le fichier à déjà été analysé, ré-analyse le une nouvelle fois.
Copie/colle l'URL affichée dans la barre d'adresse de ton navigateur dans ta réponse.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Feyd
Messages : 20
Inscription : 02 sept. 2023 12:47

Re: Trojan Avast_64 via Powershell qui installe Worker.exe au démarage de Windows 10

par Feyd »

J'ai lancé une nouvelle annalyse comme tu me l'as demandé avec VirusTotal (la première étant "bonne").

Voici le lien:

c5e76fd1b882cd417d6ce3ebaff6977b2ad3e8444919dfef76055dd61d0f0397

Je ne sais pas si il y a un rapport, mais il y a la ligne ''Impossible de traiter le type de fichie'' avec un logo d'oeil barré sur le nom "Avast-Mobile".

Image

Image
Malekal_morte
Messages : 116045
Inscription : 10 sept. 2005 13:57

Re: Trojan Avast_64 via Powershell qui installe Worker.exe au démarage de Windows 10

par Malekal_morte »

Juste pour comprendre, c'est quoi ce Avast_64 que tu vois ?
Tu peux donner une capture d'écran ?


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
Task: {4DABF9B2-336D-41D3-BCC0-0AD426C69918} - System32\Tasks\Avira_BACKUP => rhc.exe  -> php.exe pcl.php <==== ATTENTION
Task: {FD866B38-BFEB-4777-8DDF-8C76B5591413} - System32\Tasks\Avira_BACKUP => rhc.exe  -> php.exe pcl.php <==== ATTENTION
Task: {679E45F4-0BFC-44A0-90BB-C90CD8B978C4} - System32\Tasks\AviraNew_BACKUP => rhc.exe  -> php.exe pcl.php <==== ATTENTION
Task: {9B744036-8FF1-4780-85D8-CA316CB568C9} - System32\Tasks\AviraNew_BACKUP => rhc.exe  -> php.exe pcl.php <==== ATTENTION
Task: {0CA5F44B-8EFB-4795-A3F7-E2FD57928B40} - System32\Tasks\AviraNewService_BACKUP => rhc.exe  -> php.exe index.php <==== ATTENTION
Task: {C7A7E2C5-8A95-4DDE-A7B6-DEE65FB5CF05} - System32\Tasks\AviraNewService_BACKUP => rhc.exe  -> php.exe index.php <==== ATTENTION
Task: {4BAABB98-1CBE-4F40-A36B-8DB7ED9F1701} - System32\Tasks\AviraService_BACKUP => rhc.exe  -> php.exe index.php <==== ATTENTION
Task: {783F1B4D-B00A-49AC-BFD5-66D559E9C7BB} - System32\Tasks\getadmin_BACKUP => C:\Users\Feyd\AppData\Roaming\BlueStacksBackup\rhc.exe [1536 2023-09-02] () [Fichier non signé] -> php.exe index.php <==== ATTENTION
2023-09-02 20:52 - 2023-09-02 20:52 - 000003386 _____ C:\WINDOWS\system32\Tasks\getadmin_BACKUP
2023-09-02 20:52 - 2023-09-02 20:52 - 000000733 _____ C:\Users\Feyd\AppData\Local\getadmin.vbs
2023-09-02 20:52 - 2023-09-02 20:52 - 000000000 ____D C:\Users\Feyd\AppData\Roaming\BlueStacksBackup
2023-09-02 20:51 - 2023-09-03 10:37 - 000000000 ____D C:\Users\Feyd\AppData\Roaming\imageclass
2023-09-02 18:38 - 2023-09-03 10:36 - 000003860 _____ C:\WINDOWS\system32\Tasks\AviraNewService_BACKUP
2023-09-02 18:38 - 2023-09-02 20:51 - 000003362 _____ C:\WINDOWS\system32\Tasks\AviraNew_BACKUP
2023-09-02 18:37 - 2023-09-03 10:36 - 000003854 _____ C:\WINDOWS\system32\Tasks\AviraService_BACKUP
2023-09-02 18:37 - 2023-09-02 20:51 - 000003356 _____ C:\WINDOWS\system32\Tasks\Avira_BACKUP
C:\Users\Feyd\AppData\Roaming\BlueStacksBackup
HKU\S-1-5-21-1288249675-1853528808-517763949-1001\...\Run: [canonsolutions_bgp64] => C:\ProgramData\CanonUnity\Canon.exe [390296 2023-06-30] (Canon Inc. -> CANON INC.)
C\ProgramData\CanonUnity
RemoveProxy:
Reboot:
End:
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Feyd
Messages : 20
Inscription : 02 sept. 2023 12:47

Re: Trojan Avast_64 via Powershell qui installe Worker.exe au démarage de Windows 10

par Feyd »

Alors voici la capture d'écran que tu m'as demandé concernant avast_64:
virus-avast-64.jpg
Puis la correction effecuter avec FRST avec ce que tu m'as communiqué:

https://pjjoint.malekal.com/files.php?i ... x6g15j6i12
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Malekal_morte
Messages : 116045
Inscription : 10 sept. 2005 13:57

Re: Trojan Avast_64 via Powershell qui installe Worker.exe au démarage de Windows 10

par Malekal_morte »

ha oui ce script n'apparaît pas sur FRST.
Tu peux le supprimer, il revient ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Feyd
Messages : 20
Inscription : 02 sept. 2023 12:47

Re: Trojan Avast_64 via Powershell qui installe Worker.exe au démarage de Windows 10

par Feyd »

Oui il revient sans cesse, que je le supprime manuellement ou avec Malwarbytes et c'est pareil pour avast_32.

Image
Malekal_morte
Messages : 116045
Inscription : 10 sept. 2005 13:57

Re: Trojan Avast_64 via Powershell qui installe Worker.exe au démarage de Windows 10

par Malekal_morte »

Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur https://pjjoint.malekal.com/ et donne le lien ici.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Feyd
Messages : 20
Inscription : 02 sept. 2023 12:47

Re: Trojan Avast_64 via Powershell qui installe Worker.exe au démarage de Windows 10

par Feyd »

J'ai réalisé deux anaylyses, la deuxième je l'ai faite après avoir redémarré l'ordinateurs.

Mais j'ai l'impression que les deux analyses n'ont rien donné, j'ai reçu à chaque fois un message me disant que rien n'avait été trouvé.

https://pjjoint.malekal.com/files.php?i ... 011s6v8c15
https://pjjoint.malekal.com/files.php?i ... 4s11w15r14
Malekal_morte
Messages : 116045
Inscription : 10 sept. 2005 13:57

Re: Trojan Avast_64 via Powershell qui installe Worker.exe au démarage de Windows 10

par Malekal_morte »

ok je te propose soit une prise en main à distance.

Soit de réinitialiser Windows 10, vu qu'on ne semble pas pouvoir le supprimer
=> réinitialiser Windows 10
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Feyd
Messages : 20
Inscription : 02 sept. 2023 12:47

Re: Trojan Avast_64 via Powershell qui installe Worker.exe au démarage de Windows 10

par Feyd »

Alors depuis hier et je ne sais pas pourquoi avast_32 et avast_64 ne semblent pas revenir mais je ne veux pas crier victoire trop vite (car ils finissent toujours par revenir).

Ce que je te propose si cela ne te dérange pas, c'est d'attendre qu'ils reviennent et dans ce cas là je te préviens et voir en effet avec toi pour une prise en main à distance.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »