Sujet Précédent Sujet Suivant

Powershell infecté, Chrome bugé, FRST fournit

Fermé
Ross - Modifié le 1 sept. 2022 à 18:58
bazfile Messages postés 55814 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 15 septembre 2024 - 1 sept. 2022 à 22:30

Bonjour,

Je vous contacte car j'ai remarqué suite à des ouvertures à intervalles réguliers de l'invite de commande Windows ainsi que le hight rate de mon processeur causé par Powershell qui se lance en boucle à intervalles réguliers. J'ai vu également que ce problème pouvait impacter Chrome ce qui est mon cas car depuis celui-ci se ferme et se relance sans aucune raison.

Je vous joints ci-contre le FRST que j'ai réalisé :

FRST : https://www.cjoint.com/c/LIbbwMkHbfE

Addition : https://www.cjoint.com/c/LIbbCmMjq6E

Dans l'espoir que vous trouviez une solution à ce problème qui commence à faire souffrir mon pc. Merci par avance.


Windows / Chrome 104.0.0.0

A voir également:

2 réponses

Réponse 1 / 2
bazfile Messages postés 55814 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 15 septembre 2024 19 104
Modifié le 1 sept. 2022 à 19:24

Bonjour.

En premier désinstalle les logiciels qui suivent :

Search the Web (Yahoo)

SSOption

Web Search (Yahoo! Provided)

WinZip Malware Protector

Puis fait ce qui suit :

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Pas de fichier
ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Pas de fichier
AlternateDataStreams: C:\ProgramData\3738993435:C292A9EB33 [4298]
AlternateDataStreams: C:\ProgramData\61975284106803634231.exe:C206AF6627 [4298]
AlternateDataStreams: C:\ProgramData\678759991:423C1F46D3 [4298]
AlternateDataStreams: C:\ProgramData\DP45977C.lfl:677104FCAA [4298]
AlternateDataStreams: C:\ProgramData\freebl3.dll:73198F5FA8 [4298]
AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [4298]
AlternateDataStreams: C:\ProgramData\mozglue.dll:E70ABABF3B [4298]
AlternateDataStreams: C:\ProgramData\msvcp140.dll:377D193849 [4298]
AlternateDataStreams: C:\ProgramData\nss3.dll:4D85C0477E [4298]
AlternateDataStreams: C:\ProgramData\NvTelemetryContainer.log:0187E934E2 [4298]
AlternateDataStreams: C:\ProgramData\NvTelemetryContainer.log_backup1:E30122514B [4298]
AlternateDataStreams: C:\ProgramData\xeovjhnl.ufd:6160E67F4A [4298]
AlternateDataStreams: C:\ProgramData\{ybvuwci.uhn:3B65483965 [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acrobat Reader DC.lnk:075A04AA92 [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop 2021.lnk:6E6E4AA64E [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AlphaConsole.lnk:94C70AA927 [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Apple Software Update.lnk:B026C77744 [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BakkesMod.lnk:14E057C8D9 [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Black Desert.lnk:54240D998C [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FACEIT AC.lnk:550995E265 [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk:C8B6D970BF [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HowToRemove.html.lnk:25E2AF459E [4298]
AlternateDataStreams: C:\Users\Public\AppData:CSM [480]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [484]
Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} -  Pas de fichier
FirewallRules: [TCP Query User{74164E5B-3E49-4BDA-AD99-5439CA67AD65}D:\steam\steamapps\common\paladins\binaries\win32\paladins.exe] => (Allow) D:\steam\steamapps\common\paladins\binaries\win32\paladins.exe => Pas de fichier
FirewallRules: [UDP Query User{6570FDC9-BE54-4E8B-88AD-CD4B7BA562C5}D:\steam\steamapps\common\paladins\binaries\win32\paladins.exe] => (Allow) D:\steam\steamapps\common\paladins\binaries\win32\paladins.exe => Pas de fichier
FirewallRules: [TCP Query User{721AC714-4DF5-4FAF-9274-8A19201B7BE7}C:\users\alexis\downloads\fivem.exe] => (Allow) C:\users\alexis\downloads\fivem.exe => Pas de fichier
FirewallRules: [UDP Query User{888950E9-490A-45CD-91ED-6FC871C9C0D4}C:\users\alexis\downloads\fivem.exe] => (Allow) C:\users\alexis\downloads\fivem.exe => Pas de fichier
FirewallRules: [TCP Query User{BC263057-9D1F-41D5-890A-4DF58789D827}D:\steam\steamapps\common\paladins\binaries\win64\paladins.exe] => (Allow) D:\steam\steamapps\common\paladins\binaries\win64\paladins.exe => Pas de fichier
FirewallRules: [UDP Query User{FEDA4AB3-DB68-44B1-AB2E-501AA168ED1C}D:\steam\steamapps\common\paladins\binaries\win64\paladins.exe] => (Allow) D:\steam\steamapps\common\paladins\binaries\win64\paladins.exe => Pas de fichier
FirewallRules: [{6E3217AC-A843-436F-A156-452FD5A0C4E1}] => (Allow) D:\Program Files (x86)\Rainbow extinction\Tom Clancy’s Rainbow Six Extraction\R6-Extraction_BE.exe => Pas de fichier
FirewallRules: [{C849BD5B-44B6-4BDD-A97E-43860C27EF19}] => (Allow) D:\Program Files (x86)\Rainbow extinction\Tom Clancy’s Rainbow Six Extraction\R6-Extraction_BE.exe => Pas de fichier
FirewallRules: [{2E7A070D-BC01-4953-8955-FB2AA8AEDAAC}] => (Allow) D:\Program Files (x86)\Rainbow extinction\Tom Clancy’s Rainbow Six Extraction\R6-Extraction.exe => Pas de fichier
FirewallRules: [{27E260F5-F899-4C8F-B271-170667BA0888}] => (Allow) D:\Program Files (x86)\Rainbow extinction\Tom Clancy’s Rainbow Six Extraction\R6-Extraction.exe => Pas de fichier
FirewallRules: [{4E1D04ED-6EF6-47F8-B026-CA74DEB6614B}] => (Allow) D:\Rainbow\Tom Clancy's Rainbow Six Siege\RainbowSix_BE.exe => Pas de fichier
FirewallRules: [{A6B9546E-62ED-4659-B9FF-4F7BEC5592F3}] => (Allow) D:\Rainbow\Tom Clancy's Rainbow Six Siege\RainbowSix_BE.exe => Pas de fichier
FirewallRules: [{C77934CF-260E-4672-BCCB-89B341F5D497}] => (Allow) D:\Rainbow\Tom Clancy's Rainbow Six Siege\RainbowSix.exe => Pas de fichier
FirewallRules: [{DF120D14-05F5-4754-8A19-931E0A50956A}] => (Allow) D:\Rainbow\Tom Clancy's Rainbow Six Siege\RainbowSix.exe => Pas de fichier
Task: {04B91D6A-2FF3-48E6-8E11-6ECFFBDFDBCF} - System32\Tasks\Opera scheduled Autoupdate 1502269982 => C:\Users\Alexis\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (Pas de fichier)
Task: {0BDAFE93-76CB-494C-8A59-E3BD4F5151BB} - System32\Tasks\Start Registry Reviver Update => C:\Program Files\ReviverSoft\Registry Reviver\RegistryReviver.exe -update (Pas de fichier)
Task: {34B54C9C-5207-44DB-A8B9-81E9F2BE3663} - System32\Tasks\{400C57BA-66A3-5769-7D12-7D134BD81688} => C:\Users\Alexis\AppData\Roaming\400C57~1\UpdTask.exe /Check (Pas de fichier) <==== ATTENTION
Task: {802CF929-1FF7-423D-B9D8-01F89AA6F419} - System32\Tasks\Start Registry Reviver Schedule => C:\Program Files\ReviverSoft\Registry Reviver\RegistryReviver.exe -ipm (Pas de fichier)
Task: {854CF745-2A26-4C3A-BC86-52B977144C4F} - System32\Tasks\Local Security Authority Process{K8G5D4S3V5F5D4-O63D4F5S6V-F7G8V3A2D4} => C:\Users\Alexis\AppData\Roaming\Windows\System32\lsass.exe (Pas de fichier) 
Task: {9C63F925-01DD-4305-A94A-4A7F7155D946} - System32\Tasks\Tomanekebu\{4DE30780-B2AA-C481-1F14-50CD4E3EB4A5} => C:\Users\Alexis\AppData\Local\FOMUPA~1\TOMANE~1.EXE /Cocegi (Pas de fichier) 
Task: {A8729606-51B0-45BF-94AA-8A6255651A79} - \Microsoft\Windows\UNP\RunCampaignManager -> Pas de fichier 
Task: {BB10CEA5-8100-4C0E-969C-EA8CBBE4AC84} - System32\Tasks\Start WinZip Driver Updater for DESKTOP-LFJS86A@Alexis(logon) => C:\Program Files\WinZip Driver Updater\DriverUpdater.exe StartAndScan (Pas de fichier)
Task: {D7239E1B-36B4-42CA-AA66-8BE949F58B53} - System32\Tasks\Event Viewer Snap-in Launcher (29762912) => C:\Users\Alexis\AppData\Roaming\EventViewer\eventvwr.exe (Pas de fichier)
Task: {E2769203-367D-4827-A400-AAFABA6F9445} - System32\Tasks\Start Registry Reviver for DESKTOP-LFJS86A@Alexis(logon) => C:\Program Files\ReviverSoft\Registry Reviver\RegistryReviver.exe -StartScan -StartedAutomatically (Pas de fichier)
Task: {E3801559-A9DE-4B08-93E2-7B8E095D3A86} - System32\Tasks\Start WinZip Driver Updater Update => C:\Program Files\WinZip Driver Updater\DriverUpdater.exe -update (Pas de fichier)
Task: {FCD26E94-AF15-417B-95EB-5EAC454E4901} - System32\Tasks\Start WinZip Driver Updater Schedule => C:\Program Files\WinZip Driver Updater\DriverUpdater.exe -ipm (Pas de fichier)
Task: {FCF5D1FE-6871-4CBC-B148-33BCDE963FD2} - System32\Tasks\Overwolf Updater Task => C:\Program Files (x86)\Overwolf\OverwolfUpdater.exe /RunningFrom Schedule (Pas de fichier)
CHR HKLM\...\Chrome\Extension: [ehlceeijggpdgfcefmipcmdelickjgfg] - <pas de Path/update_url>
CHR HKU\S-1-5-21-1512325586-3760182826-2242535600-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ehlceeijggpdgfcefmipcmdelickjgfg] - <pas de Path/update_url>
CHR HKLM-x32\...\Chrome\Extension: [ehlceeijggpdgfcefmipcmdelickjgfg] - <pas de Path/update_url>
S2 PlutoentertainmentGeroce; C:\Program Files (x86)\PlutoentertainmentGeroce\PlutoentertainmentGeroce.exe -system -token 277614 [X]
S3 CrucialSMBusScan; \??\C:\Users\Alexis\AppData\Local\Temp\CrucialSMBusScan_V64.sys [X] 
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction 
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction 
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction 
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction 
GroupPolicy: Restriction ? 
Policies: C:\ProgramData\NTUSER.pol: Restriction 
Task: {3C84407B-48B6-4E1A-A6F0-A19A00633563} - System32\Tasks\WinZip Malware Protector_startup => C:\Program Files (x86)\WinZip Malware Protector\WinZipMalwareProtector.exe [7514112 2020-03-26] (Corel Corporation -> Nico Mak Computing) 
Task: {A8CE9D02-5988-44A6-8B7D-94CCA2F7D575} - System32\Tasks\chrome nav => cmd /c powershell -WindowStyle Hidden -E "JABhAHMAYwBFAG4AYwBTAHQAcgA9AFsAUwB5AHMAdABlAG0ALgBUAGUAeAB0AC4ARQBuAGMAbwBkAGkAbgBnAF0AOgA6AEEAUwBDAEkASQA7AAoACgAKACQAbgBWAGEAcgA9ACQAbgB1AGwAbAA7AAoAJABsAG8AYwBWACAAPQAgACIAMQA3ACIAOwAKACQAcgBlAG0AXwBwACAAPQAgACIAVwB5AEkAMgBOAFQAYwAwAE4AVABFADUATwBUAEkANQBPAE (l'élément de données a 5119 caractères en plus). 
Task: C:\WINDOWS\Tasks\{400C57BA-66A3-5769-7D12-7D134BD81688}.job => C:\Users\Alexis\AppData\Roaming\400C57~1\UpdTask.exe 
C:\Users\Alexis\AppData\Roaming\400C57~1
Edge HomePage: Default -> hxxp://www.surf-live.com/
Edge StartupUrls: Default -> "hxxps://fr.search.yahoo.com/yhs/web?hspart=arh&hsimp=yhs-001&type=zxy_03e3205678eddd43bb¶m1=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%3D¶m2=NGVaMaNaMat9Nd%3D%3D","hxxp://www.surf-live.com/"
Edge DefaultSearchURL: Default -> hxxps://fr.search.yahoo.com/yhs/search?hspart=arh&hsimp=yhs-001&type=zxy_03e3205678eddd43bb¶m1=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%3D¶m2=NqVaMWBaLWp4LJ%3D%3D&p={searchTerms}
Edge DefaultSearchKeyword: Default -> fr.search.yahoo.com
dge HomeButtonPage: HKU\S-1-5-21-1512325586-3760182826-2242535600-1001 -> hxxp://www.surf-live.com/
Edge Extension: (Pas de nom) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [non trouvé(e)]
Edge Extension: (Pas de nom) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [non trouvé(e)]
Edge Extension: (Pas de nom) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [non trouvé(e)]
Edge Extension: (Pas de nom) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [non trouvé(e)]
Task: C:\WINDOWS\Tasks\Secured Yahoo Powered lific.job => Wscript exe
Task: C:\WINDOWS\Tasks\Start Registry Reviver for DESKTOP-LFJS86A@Alexis(logon).job => C:\Program Files\ReviverSoft\Registry Reviver\RegistryReviver.exe
Task: C:\WINDOWS\Tasks\Start WinZip Driver Updater for DESKTOP-LFJS86A@Alexis(logon).job => C:\Program Files\WinZip Driver Updater\DriverUpdater.exe
FF Homepage: Mozilla\Firefox\Profiles\bnvlw8rl.default -> hxxps://defaultsearch.co/homepage?hp=1&pId=BT171003&iDate=2020-07-14 12:13:14&bName=&bitmask=0600
FF NewTab: Mozilla\Firefox\Profiles\bnvlw8rl.default -> hxxps://defaultsearch.co/homepage?hp=1&pId=BT171003&iDate=2020-07-14 12:13:14&bName=&bitmask=0600
Task: {6D7CCC31-8AC9-4825-81ED-4DB828B2B236} - System32\Tasks\Secured Yahoo Powered lific => C:\Windows\system32\wscript.exe "C:\ProgramData\{40278544-CA65-0F82-4CA3-91C0D6E11A0E}\dira" "68747470733a2f2f64337331746b67396634323534712e636c6f756466726f6e742e6e6574" "433a5c50726f6772616d446174615c7b34303237383534342d434136352d304638322d344341332d3931433044364531314130457d5c6d6f6e696d6f" "433a5c50726f6772616d446174615c7b343032 (l'élément de données a 116 caractères en plus).
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :

4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne le lien généré par Cjoint dans ton prochain message.

5- Important.

Réinitialise Google Chrome https://support.google.com/pixelslate/answer/3296214?hl=fr-CA

6- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

Pour information.

Ta version de Windows 10 n'est pas à jour, pour le vérifier va sur cette page clique sur Mettre à jour maintenant, cela lancera le téléchargement de l'outil de Microsoft, il suffira de l'ouvrir et il te permettra de mettre à jour Windows 10 vers la dernière version et te dira si elle est compatible avec ton pc, attention cette mise à jour dure un certain temps.
0
Réponse 2 / 2
Ross
1 sept. 2022 à 22:19

Merci pour votre réponse, j'ai fait tout ce que vous m'avez dit mais j'arrive juste pas à désintaller Web Search (Yahoo! Provided) et Search the Web (Yahoo).

Voici le fixlog : https://www.cjoint.com/c/LIbupMyEb2E 

Dites moi si tout semble ok et je vous donnerai des nouvelles si tout s'est améliorer.
0
bazfile Messages postés 55814 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 15 septembre 2024 19 104
1 sept. 2022 à 22:30

Le fixlog est OK, pour  Web Search (Yahoo! Provided) et Search the Web (Yahoo) désinstalle-les  avec Revo Uninstaller en mode scan avancé.

Tutoriel Revo Uninstaller à lire attentivement.

Accepter la désinstallation du programme que l'on souhaite désinstaller et si il y a un message d'erreur disant que la désinstallation est impossible fermer le message d'erreur et continuer la procédure.

Cocher "Scan avancé" puis cliquer sur "Scan".

Cliquer sur "Sélectionner tout" puis sur "Supprimer" si une deuxième liste apparaît faire de même puis une fois que tout est supprimé cliquer sur "Fini" un redémarrage sera peut-être demandé.

0

Discussions similaires

sxstrace.exe.???
yanisde -
hatoucha -

4 réponses
Où trouver le dossier des favoris de Chrome ?
Fefewil -
sephi -

4 réponses