Powershell [Résolu]

Signaler
-
 Fredsim80 -
Bonjour,

J'ai besoin d'aide : depuis ce matin, des fenêtres Windows Powershell s'ouvrent de manière intempestive sur mon ordinateur, est-ce un virus ?
Merci de m'aider si vous pouvez, je suis désemparée. En plus avec l'école à distance, on n'arrive plus rien à faire.
L'antivirus : avast a juste mis 1 fichier en quarantaine mais ça persiste.
Merci d'avance pour votre aide.
Cordialement

Fredédérique

8 réponses

Messages postés
26510
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
13 juillet 2020
9 351
Bonjour,
Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis ouvre-le tu auras ceci:

Clique sur Analyser à la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition envoie ces rapports sur https://pjjoint.malekal.com/ voir ce tutoriel paragraphe Envoyer les rapports d’analyse sur pjjoint puis donne les deux liens générés par Pjoint dans ton prochain message.
Bonsoir,

Merci pour la réponse, voici les liens que j'ai obtenus :
https://pjjoint.malekal.com/files.php?id=20200326_9b8u14u10r13
https://pjjoint.malekal.com/files.php?id=FRST_20200326_q5g8i12t714
Merci de me dire ce qu'il faut que je fasse maintenant.

Cordialement

Frédérique
Messages postés
26510
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
13 juillet 2020
9 351
Désdinstalle Spybot - Search & Destroy ce logiciel est inutile et totalement inefficace.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction
Task: {0831EB48-A73D-4318-9888-354806A6AF92} - System32\Tasks\amchi => C:\Users\Utilisateur\AppData\Roaming\Lanceur.vbs [3864 2020-03-26] () [Fichier non signé]
HKU\S-1-5-21-2948691114-1216548284-660493376-1001\...\Run: [StartTest] => C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Templates\start.vbe [6037593 2020-03-25] () [Fichier non signé]
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.
5- Réinitialise tes navigateurs internet https://www.commentcamarche.net/faq/26679-reinitialiser-son-navigateur
6- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT.
Voila le lien du fichier généré :

https://pjjoint.malekal.com/files.php?id=20200326_z13u14c157g7

Hélas, le problème est toujours présent :-(
Messages postés
26510
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
13 juillet 2020
9 351
Fait un nouveau frst
Messages postés
26510
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
13 juillet 2020
9 351
Le script FRST est incomplet il faut attendre le message disant que c'est terminé avant de l'envoyer, recommence
Messages postés
26510
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
13 juillet 2020
9 351
Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2948691114-1216548284-660493376-1001\...\Run: [StartTest] => C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Templates\start.vbe [6037593 2020-03-25] () [Fichier non signé]
Task: {8D779A14-127D-4EFD-9928-A5BD21B6AB86} - System32\Tasks\amchi => C:\Users\Utilisateur\AppData\Roaming\Lanceur.vbs [3864 2020-03-26] () [Fichier non signé]
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction
EmtpyTemp:
End::

3- Une fois le script copié clique sur Corriger.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.
5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT.
https://pjjoint.malekal.com/files.php?id=20200326_p7y10n5r15t8

J'ai l'impression que le problème est résolu.

Si tel est le cas, merci énormément.

Bonne soirée.

Frédérique
Messages postés
26510
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
13 juillet 2020
9 351
C'est OK le rapport est fixlog est bon, par contre tu as infecté ton pc via un média amovible USB comme par exemple une clé USB, si cette clé USB est encore en ta possession désinfecte-la, sinon l'infection reviendra dés que tu la connecteras à ton pc.
Pour désinfecter ta clé USB:
Télécharge Remediate VBS WORM ouvre Remediate VBS WORM prend l'option B comme ceci :


Puis appuie sur la touche Entrée, une fenêtre apparaît met la lettre de ta clé USB à désinfecter attention ne jamais mettre le disque C :

Appuie sur la touche Entrée, quand la désinfection sera terminée ouvre le disque C tu y trouveras un fichier nommé Rem-VBS.log envoie-le sur https://pjjoint.malekal.com/ met le lien généré dans ta réponse.
Voila le lien rem vbs :
https://pjjoint.malekal.com/files.php?id=20200327_c11j7t6t10j9
Messages postés
26510
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
13 juillet 2020
9 351
La clé est désinfectée.
Attention de ne pas connecter tes clés USB sur des pc tiers potentiellement infectés, si tu connectes une clé USB sur un pc infecté il infecte ta clé USB et ensuite tu infectes ton pc en y connectant cette clé, c'est son mode de propagation et il est très efficace.
Pour en savoir un peu plus lis CETTE PAGE.
Voilà c'est tout, je te souhaite une bonne soirée.
OK, merci beaucoup pour tout tu m'as bien aidée.
Excellente soirée à toi.