Windows PowerShell s'ouvre au démarrage de mon PC

Résolu/Fermé
Bricembs Messages postés 4 Date d'inscription vendredi 5 août 2022 Statut Membre Dernière intervention 5 août 2022 - Modifié le 5 août 2022 à 13:27
bazfile Messages postés 54748 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 12 juin 2024 - 5 août 2022 à 16:16

Bonjour,

Il y a quelques semaines j'ai voulu télécharger un logiciel version cracké mais ce logiciel était en fait un virus.

Depuis, j'ai Windows PowerShell qui s'ouvre au démarrage de mon PC (Windows 10) pendant 3-4 secondes puis se referme. J'ai aussi été banni de façon permanente de Youtube pour "botting" et quand je navigue sur Youtube sans être connecté à un compte je me suis aperçu que dans mes recherches récentes il y a ceci (que je n'ai JAMAIS chercher de moi même sur youtube):

Aussi, sur Discord sur tous les serveurs et à tous mes contacts, un lien dangereux à été envoyé depuis mon compte.

Tout ceci s'est passé le même soir pendant que je dormais et est arrivé 1 ou 2 semaines après le téléchargement du soi-disant logiciel. (Depuis ceci j'ai changer tous mes mots de passe et activer l'A2F et il y a plus rien eu sauf la fenetre Windows PowerShell qui s'ouvre encore)

J'ai donc chercher sur internet les solutions, suite à quoi j'ai fait un scan avec FRST et j'ai obtenu 2 fichiers que j'ai uploadé sur pjjoint.malekal.com. (liens ci dessous) 

Fichier "FRST": https://pjjoint.malekal.com/files.php?id=FRST_20220805_u10l9k9j11k8 

Fichier "Addition": https://pjjoint.malekal.com/files.php?id=20220805_j14r12k11u6x13 

J'aimerai donc obtenir une analyse de ce rapport et les solutions afin de régler ce problème s'il vous plait. 

Je vous remercie d'avance pour le temps que vous accorderez à mon problème.

A voir également:

1 réponse

bazfile Messages postés 54748 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 12 juin 2024 18 773
Modifié le 5 août 2022 à 13:53

Bonjour.

Ton pc est infecté, une fois la désinfection terminée change tous tes mots de passe en ligne (login de sites réseaux sociaux etc etc....), vu que tu as cette infection depuis un certain temps ils ont pu être dérobés, si tu as commandé sur internet et utilisé ta CB depuis que ton pc est infecté surveille ton compte bancaire.

La procédure qui suit supprimera l'infection et des processus orphelins ou obsolètes,  elle supprimera aussi les restes d'Avast que tu as désinstallé mais malgré tout il reste des tâches planifiées actives.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction 
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction 
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction
Task: {4104CA7E-7009-4A34-BEA6-C327AF2FBDAE} - System32\Tasks\chrome => powershell -EncodedCommand "PAAjAHQAegB6ACMAPgAgAFMAdABhAHIAdAAtAFAAcgBvAGMAZQBzAHMAIAAtAEYAaQBsAGUAUABhAHQAaAAgACcAQwA6AFwAVQBzAGUAcgBzAFwAYgByAGkAYwBlAFwAQQBwAHAARABhAHQAYQBcAFIAbwBhAG0AaQBuAGcAXABHAG8AbwBnAGwAZQBcAEcAbwBvAGcAbABlAFUAcABkAGEAdABlAFwAYwBoAHIAbwBtAGUALgBlAHgAZQAnACAALQBWAGUAcgBiACAAUgB1AG4AQQB (l'élément de données a 30 caractères en plus).
Task: {C4CE1BD8-E1E5-444B-BF4F-0743EDC3EEE7} - System32\Tasks\Service\Diagnostic => C:\Users\brice\AppData\Roaming\ServiceGet\Dimasev.exe -> "C:\Users\brice\AppData\Roaming\ServiceGet\Dimasev.dat"
C:\Users\brice\AppData\Roaming\ServiceGet
Task: {D9906DA3-FE50-42E3-85E6-43E52BD61048} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(1): schtasks.exe -> /Change /TN "\Adobe Acrobat Update Task" /ENABLE
Task: {D9906DA3-FE50-42E3-85E6-43E52BD61048} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(2): schtasks.exe -> /Change /TN "\AdobeGCInvoker-1.0" /ENABLE
Task: {D9906DA3-FE50-42E3-85E6-43E52BD61048} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(3): schtasks.exe -> /Change /TN "\ASC_SkipUac_brice" /ENABLE
Task: {D9906DA3-FE50-42E3-85E6-43E52BD61048} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(4): schtasks.exe -> /Change /TN "\CCleaner Update" /ENABLE
Task: {D9906DA3-FE50-42E3-85E6-43E52BD61048} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(5): schtasks.exe -> /Change /TN "\CCleanerSkipUAC" /ENABLE
Task: {D9906DA3-FE50-42E3-85E6-43E52BD61048} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(6): schtasks.exe -> /Change /TN "\Driver Booster Scheduler" /ENABLE
Task: {D9906DA3-FE50-42E3-85E6-43E52BD61048} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(7): schtasks.exe -> /Change /TN "\Driver Booster SkipUAC (brice)" /ENABLE
Task: {D9906DA3-FE50-42E3-85E6-43E52BD61048} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(8): schtasks.exe -> /Change /TN "\Driver Booster Update" /ENABLE
Task: {D9906DA3-FE50-42E3-85E6-43E52BD61048} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(9): schtasks.exe -> /Change /TN "\GoogleUpdateTaskMachineCore" /ENABLE
Task: {D9906DA3-FE50-42E3-85E6-43E52BD61048} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(10): schtasks.exe -> /Change /TN "\GoogleUpdateTaskMachineUA" /ENABLE
Task: {D9906DA3-FE50-42E3-85E6-43E52BD61048} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(11): schtasks.exe -> /Change /TN "\HPAudioSwitch" /ENABLE
Task: {D9906DA3-FE50-42E3-85E6-43E52BD61048} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(12): schtasks.exe -> /Change /TN "\McAfeeLogon" /ENABLE
Task: {D9906DA3-FE50-42E3-85E6-43E52BD61048} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(13): schtasks.exe -> /Change /TN "\MicrosoftEdgeUpdateTaskMachineCore1d69818579163d5" /ENABLE
Task: {D9906DA3-FE50-42E3-85E6-43E52BD61048} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(14): schtasks.exe -> /Change /TN "\MicrosoftEdgeUpdateTaskMachineUA" /ENABLE
Task: {D9906DA3-FE50-42E3-85E6-43E52BD61048} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(15): schtasks.exe -> /Change /TN "\OneDrive Per-Machine Standalone Update Task" /ENABLE
Task: {D9906DA3-FE50-42E3-85E6-43E52BD61048} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(16): schtasks.exe -> /Change /TN "\update-S-1-5-21-2327397881-63849419-3080970442-1001" /ENABLE
Task: {D9906DA3-FE50-42E3-85E6-43E52BD61048} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(17): schtasks.exe -> /Change /TN "\update-sys" /ENABLE
Task: {D9906DA3-FE50-42E3-85E6-43E52BD61048} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(18): schtasks.exe -> /Change /TN "\AVAST Software\Gaming mode Task Scheduler recovery" /DISABLE
HKU\S-1-5-19\...\RunOnce: [OneDrive] => C:\Program Files (x86)\Microsoft OneDrive\OneDrive.exe /background /setautostart (Pas de fichier)
HKU\S-1-5-20\...\RunOnce: [OneDrive] => C:\Program Files (x86)\Microsoft OneDrive\OneDrive.exe /background /setautostart (Pas de fichier)
Task: {047CB6C0-44C6-4811-929D-1E5BF1C44851} - System32\Tasks\Sump Task (One-Time) => C:\Program Files (x86)\IObit\Advanced SystemCare\sump.exe /sup2 (Pas de fichier)
S3 cpuz145; pas de ImagePath
U3 aspnet_state; pas de ImagePath
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Creative Cloud.lnk:7661CCE9BF [10]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Lightroom.lnk:BCD3E320D4 [10]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avast Free Antivirus.lnk:21661D084B [10]
FirewallRules: [{C0F4EAB3-5C36-4819-B72A-FE2FA36A5651}] => (Allow) C:\Users\brice\AppData\Local\Temp\EPSON L355 Series_Export\Network\EpsonNetSetup\Data\ENEasyApp.exe => Pas de fichier
FirewallRules: [{3CDF3413-4878-4899-9368-53E1E2129639}] => (Allow) C:\Users\brice\AppData\Local\Temp\EPSON L355 Series_Export\Network\EpsonNetSetup\Data\ENEasyApp.exe => Pas de fichier
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne le lien généré par Cjoint dans ton prochain message.

IMPORTANT :

5- Réinitialise Google Chrome VOIR CETTE PAGE.

6- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT


1
Bricembs Messages postés 4 Date d'inscription vendredi 5 août 2022 Statut Membre Dernière intervention 5 août 2022
Modifié le 5 août 2022 à 14:07

Déjà je te remercie énormément de l'aide, de la rapidité et de l'attention que tu portes à mon problème.

Voici le fichier "Fixlog" demandé

https://www.cjoint.com/c/LHfl7whotoY 

A-présent je vais réinitialiser Google Chrome comme tu l'as dis et je te tiendrai au courant si le problème persiste.

0
bazfile Messages postés 54748 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 12 juin 2024 18 773 > Bricembs Messages postés 4 Date d'inscription vendredi 5 août 2022 Statut Membre Dernière intervention 5 août 2022
5 août 2022 à 14:09

Le fixlog est OK normalement ton problème ne devrait plus être présent.

1
Bricembs Messages postés 4 Date d'inscription vendredi 5 août 2022 Statut Membre Dernière intervention 5 août 2022 > bazfile Messages postés 54748 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 12 juin 2024
Modifié le 5 août 2022 à 15:43

Désolé de te déranger, alors j'aimerai utiliser Windows Defender plutot que Iobit Advanced System Care 15 Ultimate comme Antivirus, quand je vais dans les paramètres ... Sécurité ... Antivirus ... Qui me protège ? Gérer mes fournisseurs, c'est écrit que Microsoft Defender est désactivé. J'ai donc suivi ce tuto:

https://docs.microsoft.com/fr-fr/mem/intune/user-help/turn-on-defender-windows

Mais je ne trouve pas l'Editeur de stratégie de groupe, j'ai donc suivi ce tuto:

https://www.varonis.com/fr/blog/guide-de-lediteur-de-strategie-de-groupe-configuration-et-utilisation#:~:text=Ouvrez%20Rechercher%20dans%20la%20barre,Ex%C3%A9cuter%20et%20cliquez%20sur%20OK .

Mais il n'y a rien...

Pourrait tu m'aider stp ?

0
bazfile Messages postés 54748 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 12 juin 2024 18 773 > Bricembs Messages postés 4 Date d'inscription vendredi 5 août 2022 Statut Membre Dernière intervention 5 août 2022
5 août 2022 à 15:46

Désinstalle Iobit Advanced System Care avec Revo Uninstaller en mode scan avancé (voir tutoriel ci-dessous) Windows Defender prendra automatiquement le relais.

Tutoriel Revo Uninstaller à lire attentivement.

Accepter la désinstallation du programme que l'on souhaite désinstaller et si il y a un message d'erreur disant que la désinstallation est impossible fermer le message d'erreur et continuer la procédure.

Cocher "Scan avancé" puis cliquer sur "Scan".

Cliquer sur "Sélectionner tout" puis sur "Supprimer" si une deuxième liste apparaît faire de même puis une fois que tout est supprimé cliquer sur "Fini" un redémarrage sera peut-être demandé.

0
Bricembs Messages postés 4 Date d'inscription vendredi 5 août 2022 Statut Membre Dernière intervention 5 août 2022 > bazfile Messages postés 54748 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 12 juin 2024
5 août 2022 à 15:54

Merci ENORMEMENT,

Bonne continuation et bon courage !

0