Windows PowerShell s'ouvre au démarrage de mon PC Résolu/Fermé

Question

Bonjour,

Il y a quelques semaines j'ai voulu télécharger un logiciel version cracké mais ce logiciel était en fait un virus.

Depuis, j'ai Windows PowerShell qui s'ouvre au démarrage de mon PC (Windows 10) pendant 3-4 secondes puis se referme. J'ai aussi été banni de façon permanente de Youtube pour "botting" et quand je navigue sur Youtube sans être connecté à un compte je me suis aperçu que dans mes recherches récentes il y a ceci (que je n'ai JAMAIS chercher de moi même sur youtube):

Aussi, sur Discord sur tous les serveurs et à tous mes contacts, un lien dangereux à été envoyé depuis mon compte.

Tout ceci s'est passé le même soir pendant que je dormais et est arrivé 1 ou 2 semaines après le téléchargement du soi-disant logiciel. (Depuis ceci j'ai changer tous mes mots de passe et activer l'A2F et il y a plus rien eu sauf la fenetre Windows PowerShell qui s'ouvre encore)

J'ai donc chercher sur internet les solutions, suite à quoi j'ai fait un scan avec FRST et j'ai obtenu 2 fichiers que j'ai uploadé sur pjjoint.malekal.com. (liens ci dessous)

Fichier "FRST": https://pjjoint.malekal.com/files.php?id=FRST_20220805_u10l9k9j11k8

Fichier "Addition": https://pjjoint.malekal.com/files.php?id=20220805_j14r12k11u6x13

J'aimerai donc obtenir une analyse de ce rapport et les solutions afin de régler ce problème s'il vous plait.

Je vous remercie d'avance pour le temps que vous accorderez à mon problème.

bazfile · Answer

Bonjour.

Ton pc est infecté, une fois la désinfection terminée change tous tes mots de passe en ligne (login de sites réseaux sociaux etc etc....), vu que tu as cette infection depuis un certain temps ils ont pu être dérobés, si tu as commandé sur internet et utilisé ta CB depuis que ton pc est infecté surveille ton compte bancaire.

La procédure qui suit supprimera l'infection et des processus orphelins ou obsolètes,  elle supprimera aussi les restes d'Avast que tu as désinstallé mais malgré tout il reste des tâches planifiées actives.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

Start::
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction 
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction 
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction
Task: {4104CA7E-7009-4A34-BEA6-C327AF2FBDAE} - System32\Tasks\chrome => powershell -EncodedCommand "PAAjAHQAegB6ACMAPgAgAFMAdABhAHIAdAAtAFAAcgBvAGMAZQBzAHMAIAAtAEYAaQBsAGUAUABhAHQAaAAgACcAQwA6AFwAVQBzAGUAcgBzAFwAYgByAGkAYwBlAFwAQQBwAHAARABhAHQAYQBcAFIAbwBhAG0AaQBuAGcAXABHAG8AbwBnAGwAZQBcAEcAbwBvAGcAbABlAFUAcABkAGEAdABlAFwAYwBoAHIAbwBtAGUALgBlAHgAZQAnACAALQBWAGUAcgBiACAAUgB1AG4AQQB (l'élément de données a 30 caractères en plus).
Task: {C4CE1BD8-E1E5-444B-BF4F-0743EDC3EEE7} - System32\Tasks\Service\Diagnostic => C:\Users\brice\AppData\Roaming\ServiceGet\Dimasev.exe -> "C:\Users\brice\AppData\Roaming\ServiceGet\Dimasev.dat"
C:\Users\brice\AppData\Roaming\ServiceGet
Task: {D9906DA3-FE50-42E3-85E6-43E52BD61048} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(1): schtasks.exe -> /Change /TN "\Adobe Acrobat Update Task" /ENABLE
Task: {D9906DA3-FE50-42E3-85E6-43E52BD61048} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(2): schtasks.exe -> /Change /TN "\AdobeGCInvoker-1.0" /ENABLE
Task: {D9906DA3-FE50-42E3-85E6-43E52BD61048} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(3): schtasks.exe -> /Change /TN "\ASC_SkipUac_brice" /ENABLE
Task: {D9906DA3-FE50-42E3-85E6-43E52BD61048} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(4): schtasks.exe -> /Change /TN "\CCleaner Update" /ENABLE
Task: {D9906DA3-FE50-42E3-85E6-43E52BD61048} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(5): schtasks.exe -> /Change /TN "\CCleanerSkipUAC" /ENABLE
Task: {D9906DA3-FE50-42E3-85E6-43E52BD61048} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(6): schtasks.exe -> /Change /TN "\Driver Booster Scheduler" /ENABLE
Task: {D9906DA3-FE50-42E3-85E6-43E52BD61048} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(7): schtasks.exe -> /Change /TN "\Driver Booster SkipUAC (brice)" /ENABLE
Task: {D9906DA3-FE50-42E3-85E6-43E52BD61048} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(8): schtasks.exe -> /Change /TN "\Driver Booster Update" /ENABLE
Task: {D9906DA3-FE50-42E3-85E6-43E52BD61048} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(9): schtasks.exe -> /Change /TN "\GoogleUpdateTaskMachineCore" /ENABLE
Task: {D9906DA3-FE50-42E3-85E6-43E52BD61048} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(10): schtasks.exe -> /Change /TN "\GoogleUpdateTaskMachineUA" /ENABLE
Task: {D9906DA3-FE50-42E3-85E6-43E52BD61048} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(11): schtasks.exe -> /Change /TN "\HPAudioSwitch" /ENABLE
Task: {D9906DA3-FE50-42E3-85E6-43E52BD61048} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(12): schtasks.exe -> /Change /TN "\McAfeeLogon" /ENABLE
Task: {D9906DA3-FE50-42E3-85E6-43E52BD61048} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(13): schtasks.exe -> /Change /TN "\MicrosoftEdgeUpdateTaskMachineCore1d69818579163d5" /ENABLE
Task: {D9906DA3-FE50-42E3-85E6-43E52BD61048} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(14): schtasks.exe -> /Change /TN "\MicrosoftEdgeUpdateTaskMachineUA" /ENABLE
Task: {D9906DA3-FE50-42E3-85E6-43E52BD61048} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(15): schtasks.exe -> /Change /TN "\OneDrive Per-Machine Standalone Update Task" /ENABLE
Task: {D9906DA3-FE50-42E3-85E6-43E52BD61048} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(16): schtasks.exe -> /Change /TN "\update-S-1-5-21-2327397881-63849419-3080970442-1001" /ENABLE
Task: {D9906DA3-FE50-42E3-85E6-43E52BD61048} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(17): schtasks.exe -> /Change /TN "\update-sys" /ENABLE
Task: {D9906DA3-FE50-42E3-85E6-43E52BD61048} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(18): schtasks.exe -> /Change /TN "\AVAST Software\Gaming mode Task Scheduler recovery" /DISABLE
HKU\S-1-5-19\...\RunOnce: [OneDrive] => C:\Program Files (x86)\Microsoft OneDrive\OneDrive.exe /background /setautostart (Pas de fichier)
HKU\S-1-5-20\...\RunOnce: [OneDrive] => C:\Program Files (x86)\Microsoft OneDrive\OneDrive.exe /background /setautostart (Pas de fichier)
Task: {047CB6C0-44C6-4811-929D-1E5BF1C44851} - System32\Tasks\Sump Task (One-Time) => C:\Program Files (x86)\IObit\Advanced SystemCare\sump.exe /sup2 (Pas de fichier)
S3 cpuz145; pas de ImagePath
U3 aspnet_state; pas de ImagePath
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Creative Cloud.lnk:7661CCE9BF [10]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Lightroom.lnk:BCD3E320D4 [10]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avast Free Antivirus.lnk:21661D084B [10]
FirewallRules: [{C0F4EAB3-5C36-4819-B72A-FE2FA36A5651}] => (Allow) C:\Users\brice\AppData\Local\Temp\EPSON L355 Series_Export\Network\EpsonNetSetup\Data\ENEasyApp.exe => Pas de fichier
FirewallRules: [{3CDF3413-4878-4899-9368-53E1E2129639}] => (Allow) C:\Users\brice\AppData\Local\Temp\EPSON L355 Series_Export\Network\EpsonNetSetup\Data\ENEasyApp.exe => Pas de fichier
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne le lien généré par Cjoint dans ton prochain message.

IMPORTANT :

5- Réinitialise Google Chrome VOIR CETTE PAGE.

6- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

Windows PowerShell s'ouvre au démarrage de mon PC

1 réponse

IMPORTANT :

5- Réinitialise Google Chrome VOIR CETTE PAGE.

6- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

Tutoriel Revo Uninstaller à lire attentivement.

Accepter la désinstallation du programme que l'on souhaite désinstaller et si il y a un message d'erreur disant que la désinstallation est impossible fermer le message d'erreur et continuer la procédure.

Cocher "Scan avancé" puis cliquer sur "Scan".

Cliquer sur "Sélectionner tout" puis sur "Supprimer" si une deuxième liste apparaît faire de même puis une fois que tout est supprimé cliquer sur "Fini" un redémarrage sera peut-être demandé.