Supprimer Powershell/Malgent!MSR [résolu]

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

AlanLJ44
Messages : 5
Inscription : 06 janv. 2024 23:33

Supprimer Powershell/Malgent!MSR [résolu]

par AlanLJ44 »

Salut à tous et bonne année en passant!

Bon, on ne vas pas faire dans l'original: je viens de m'apercevoir que depuis quelques jours, mon ordi a reçu son "cadeau" de Noël empoisonné, à savoir la petite alerte Powershell/Malgent!MSR qui va bien.

On ne vas pas se le cacher, y'a du crack et tout sur le PC donc ça devait arriver j'imagine...

Bien sûr il semble trop tard pour agiter la carte MalwareBytes qui ne résout pas le problème, ni Defender qui se contente de faire des alertes. J'ai lancé une analyse complète en passant, mais vu que j'ai 3 SSD et 2 HDD dans le bousin, ça s'annonce très long PDT_001

Voici les rapports FRST:
https://pjjoint.malekal.com/files.php?i ... 11f15q5r15
https://pjjoint.malekal.com/files.php?i ... 3z10l6i9w7
https://pjjoint.malekal.com/files.php?i ... 10v86f10r5

Merci pour votre aide! PDT_018
Avatar de l’utilisateur
Parisien_entraide
Messages : 19119
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Malgent!MSR

par Parisien_entraide »

Bonsoir

Effectivement vu ce qui traine sur ton PC cela devait arriver obligatoirement...
Windows defender t'a protégé d'une action de la partie malveillante mais n'a pas supprimé totalement l'action via powershell

Malekal ou Angélique s'occuperont de ton cas

A lire pour actualiser tes connaissances des nouvelles infections (Les stealer)
viewtopic.php?t=71178

Au plus court pout les conséquences : viewtopic.php?t=71178

Après lecture tu constateras qu'aucun antivirus ne peut faire face et le pire, c'est qu'ils volent tes données, s'auto détruisent et il ne reste plus grandes traces de l'infection.. Que des scories
APRES désinfection il te faudra réinitialiser les navgigateurs (chrome en tous les cas est infecté), et changer tous les mots de passe

Mais Malekal te donnera la marche à suivre
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
AlanLJ44
Messages : 5
Inscription : 06 janv. 2024 23:33

Re: Malgent!MSR

par AlanLJ44 »

Merci pour les infos!
Et merci d'avance à Malekal et Angélique
AlanLJ44
Messages : 5
Inscription : 06 janv. 2024 23:33

Re: Malgent!MSR

par AlanLJ44 »

J'en profite pour une petite question au passage.
On entend souvent parler des faiblesses supposées de Chrome en matière de protection des données. Je comptais tout migré sur Brave par exemple. Est-ce une bien meilleure idée (et perdre le côté si pratique de Chrome et son écosystème)?
Y'aurait-il eu moins de risque avec cette infection si j'avais été sur Brave ou bien cela n'aurait-il rien changé de toute façon?
Malekal_morte
Messages : 116842
Inscription : 10 sept. 2005 13:57

Re: Supprimer Powershell/Malgent!MSR

par Malekal_morte »

Bonsoir,

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
KU\S-1-5-21-3273624213-2077053231-3583145533-1006\...\Run: [ISUSPM] => C:\ProgramData\FLEXnet\Connect\11\ISUSPM.exe -scheduler (Pas de fichier)
Task: {4CA580E9-B5D2-4ABB-A34F-B125E87C1D27} - System32\Tasks\Microsoft\Windows\Windows Error Reporting\SysInfo => %appdata%\\toolsyshost\\sihost.exe  -st -tu 6 (Pas de fichier) <==== ATTENTION
Task: {570AFADA-1F9B-48B3-A25E-9707B40AA231} - System32\Tasks\Session agent for Process Lasso => C:\Program Files\Process Lasso\bitsumsessionagent.exe [173160 2022-05-09] (Bitsum Technologies (Bitsum LLC) -> Bitsum LLC)
Task: {53EC083E-3704-4A74-B163-43703EC540E9} - System32\Tasks\ViGEmBusUpdater => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [493568 2023-11-15] (Microsoft Windows -> Microsoft Corporation) -> -ExecutionPolicy ByPass -WindowStyle Hidden C:\Users\Alan\AppData\Roaming\Webgard\cor.ps1 <==== ATTENTION
2024-01-06 23:05 - 2022-08-18 15:07 - 000000000 ____D C:\Users\Alan\AppData\Roaming\Webgard
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
AlanLJ44
Messages : 5
Inscription : 06 janv. 2024 23:33

Re: Supprimer Powershell/Malgent!MSR

par AlanLJ44 »

Merci pour la réponse rapide.

Voici le fixlog:
https://pjjoint.malekal.com/files.php?i ... 8n14j13u12
Avatar de l’utilisateur
Parisien_entraide
Messages : 19119
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Supprimer Powershell/Malgent!MSR

par Parisien_entraide »

Bonjour

Concernant ta question au sujet de Brave... En fait cela ne change pas grand chose, puisque la majorité des navigateurs sont sous base Chromium et la majorité des vulnérabilités touchent Chromium (et d'autres spécifiques à Chrome)

En 2023, Chrome/chromium a vu passer 8 "zero day" exploitées. Dans l'absolu c'est normal, les malfaisants s'attaquent en priorité à ce qui est le plus diffusé et connu, sans compter que les 3/4 des gens ont installé "Chrome" à l'insu de leur plein gré (ils ne lisent pas et ne savent pas lire) via d'autres applications, ce qui fait de Chrome, le navigateur le plus utilisé

https://nvd.nist.gov/vuln/detail/CVE-2023-7024

Au lieu de Brave si tu tiens à du Chromium il vaut mieux prendre "Vivaldi", https://vivaldi.com/fr/
sinon hors Chromium, Firefox (Que je conseille en version ESR)
Lien direct de la dernière version en FR de la version ESR : https://ftp.mozilla.org/pub/firefox/rel ... /win64/fr/
Ensuite il suffit de lui ajouter les bonnes extensions viewtopic.php?p=527443/

Concernant la protection des données pour Chrome/Chromium , on peut en rajouter une couche du fait du fameux Manifest V3 qui a ses limitations
viewtopic.php?p=547497
"L'un des principaux problèmes de Manifest V3 est qu'il impose une limite fixe de 330 000 règles pour toutes les extensions installées dans Chrome. Chaque extension a un accès garanti à 30 000 règles.
Le nombre peut sembler beaucoup, mais les bloqueurs de contenu reposent sur des dizaines de milliers voire des centaines de milliers de règles, la limitation devient immédiatement évidente.
Prenez uBlock Origin comme exemple. La configuration par défaut d'uBlock Origin utilise 80435 filtres réseau et 45243 filtres cosmétiques
Si le nombre est dépassé, les règles ne fonctionnent plus...

Les règles dynamiques ont une limite encore plus stricte de 5 000, qui inclut une limite de 1 000 règles d'expression régulière. Lorsque la limite est dépassée, seules les 5000 premières règles seront appliquées par le bloqueur de contenu, tandis que toutes les autres règles n'ont aucun effet.

Ceci dit l'API WebRequest est idéale pour espionner les utilisateurs et les rediriger vers des sites Web malveillants
La nouvelles règle définie par Manifest v3 oblige les extensions à confier désormais leurs règles au navigateur lui-même qui effectue ensuite le blocage conformément à ces règles.
Cela apporte une plus grande sécurité, si.. Google ne s'était pas amuser à limiter le nombre total de règles pouvant être appliquées

Cela a vraiment été fait uniquement pour paralyser les bloqueurs de publicités et rien d'autre (du reste Google modifie ses politiques Play Store. À partir du 1er novembre 2022, tous les VPN disponibles sur le Play Store ne doivent plus bloquer le trafic publicitaire...)
A noter que pour Brave ou Vivald par ex, ceux-ci ont des capacités de blocage intégrées directement dans les navigateurs, ils ne sont pas affectés par les modifications de Manifest V3. (Après il y a d'autres points discutables sur Brave)
Concernant Brave, ce n'est pas tant du fait de ses capacités que je ne choisirais pas ce navigateur mais du "background"
viewtopic.php?t=66172
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Malekal_morte
Messages : 116842
Inscription : 10 sept. 2005 13:57

Re: Supprimer Powershell/Malgent!MSR

par Malekal_morte »

Vérifie que tu n'as pas plus de nouvelles détections Powershell/Malgent!MSR
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
AlanLJ44
Messages : 5
Inscription : 06 janv. 2024 23:33

Re: Supprimer Powershell/Malgent!MSR

par AlanLJ44 »

Hello!
Pour l'instant, Defender ne m'a pas envoyé de nouvelles alertes donc ça m'a l'air réglé. Encore merci! Du coup, je laisse un p'tit avis sur Trustpilot, si ça peut aider.

Merci aussi pour les conseils navigateurs, je vais mettre ça en pratique. J'avais entendu parlé du coup des limitations du Manifest V3, mais effectivement, à ce point là... clairement une manigance à peine voilée pour se débarrasser des bloqueurs de pubs. Du point de vue de Google et de son business, je peux comprendre remarque.

Mais du point de vue de l'utilisateur, non merci, c'est invivable
Malekal_morte
Messages : 116842
Inscription : 10 sept. 2005 13:57

Re: Supprimer Powershell/Malgent!MSR [résolu]

par Malekal_morte »

Merci pour le commentaire TrustPilot, mais c'est surtout sur Bing qu'il faudrait noter, si tu peux : Evaluer le site malekal.com

Supprime C:\FRST et ses restes.

A lire : que faire après une attaque de virus informatique.
Change tes mots de passe et suis les instructions pour la bonne conduite pour ne plus te faire infecter.

Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »