Problème powershell menace TR/SensorBased

Résolu/Fermé

Cipher - 8 sept. 2022 à 17:52
bazfile Messages postés 56632 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 16 décembre 2024 - 10 sept. 2022 à 13:08

Bonjour,

depuis hier soir une fenêtre powershell s'ouvre souvent et mon anti virus réagi en la bloquant et en cliquant je vois que c'est une menace de type cheval de Troie je sait qu'avec un logiciel je peux l'enlever mais je ne me souviens plus ni lequel ni comment faire

ps: je suis sur windows 10

A voir également:

Tr/sensor based
Google tr - Télécharger - Traduction
Sennheiser tr 4200 problème - Forum TV & Vidéo
Problème casque sennheiser 4200 - Forum Casque et écouteurs
Que veut dire tr ✓ - Forum Loisirs / Divertissements
We tr - Guide

1 réponse

Réponse 1 / 1

bazfile Messages postés 56632 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 16 décembre 2024 19 324
8 sept. 2022 à 17:53

Bonjour.
Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :

Clique sur Analyser

Attention, attendre que les messages disant que l'analyse est terminée s'affichent.

À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition.

Ensuite envoie les rapports FRST et ADDITION sur CJOINT voir CE TUTORIEL puis donne les deux liens générés par Cjoint dans ta réponse.

Cipher
Modifié le 10 sept. 2022 à 11:46

excusez moi de ne pas avoir pu effectuer plus tôt les manipulations mais donc le fichier nommé FRST est la https://www.cjoint.com/c/LIki3PdVegG

et le fichier Addition est ici https://www.cjoint.com/c/LIki5ROYEdG

bazfile Messages postés 56632 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 16 décembre 2024 19 324 > Cipher
Modifié le 10 sept. 2022 à 12:10

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer1.log:F107EE40EF [3306]
AlternateDataStreams: C:\ProgramData\DisplaySessionContainer2.log_backup1:0544EFE2DB [3306]
AlternateDataStreams: C:\ProgramData\NvcDispCorePlugin.log:AAE9D2281E [3306]
AlternateDataStreams: C:\ProgramData\NvcDispCorePlugin.log_backup1:E79F04DA79 [3306]
AlternateDataStreams: C:\ProgramData\NVDisplay.ContainerLocalSystem.log_backup1:A416BDA264 [3306]
AlternateDataStreams: C:\ProgramData\NVDisplayContainerWatchdog.log:204739A7F2 [3306]
AlternateDataStreams: C:\ProgramData\NVDisplayContainerWatchdog.log_backup1:C3CA1050CA [3306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3306]
HKU\S-1-5-21-4112475713-5470514-2756610412-1001\...\Run: [opensubtitles-uploader] => C:\Users\cipher\AppData\Roaming\opensubtitles-uploader\opensubtitles-uploader.exe [2402304 2022-01-19] (The NW.js Community) [Fichier non signé] 
C:\Users\cipher\AppData\Local\opensubtitles-uploader
C:\Users\cipher\AppData\Roaming\opensubtitles-uploader
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [3306]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [7840]
FirewallRules: [UDP Query User{F2FC8DF8-C7DD-4E39-AD64-27FFEB0964F5}E:\mes téléchargements\mutilate.a.doll.2.v0.123\mutilate.a.doll.2.v0.123\mutilate.a.doll.2.v0.123\mad2.exe] => (Block) E:\mes téléchargements\mutilate.a.doll.2.v0.123\mutilate.a.doll.2.v0.123\mutilate.a.doll.2.v0.123\mad2.exe => Pas de fichier
FirewallRules: [TCP Query User{0B3EEA2F-9004-4821-ABD8-E1004C6485A6}E:\mes téléchargements\mutilate.a.doll.2.v0.123\mutilate.a.doll.2.v0.123\mutilate.a.doll.2.v0.123\mad2.exe] => (Block) E:\mes téléchargements\mutilate.a.doll.2.v0.123\mutilate.a.doll.2.v0.123\mutilate.a.doll.2.v0.123\mad2.exe => Pas de fichier
FirewallRules: [TCP Query User{6B3F846A-94B3-46C4-9B4D-5B702D9F4C40}E:\mes téléchargements\mutilate.a.doll.2.v0.123\mutilate.a.doll.2.v0.123\mutilate.a.doll.2.v0.123\mad2.exe] => (Block) E:\mes téléchargements\mutilate.a.doll.2.v0.123\mutilate.a.doll.2.v0.123\mutilate.a.doll.2.v0.123\mad2.exe => Pas de fichier
FirewallRules: [UDP Query User{5BBA5692-7B5B-4636-9C2C-9FCE5431A25B}E:\mes téléchargements\mutilate.a.doll.2.v0.123\mutilate.a.doll.2.v0.123\mutilate.a.doll.2.v0.123\mad2.exe] => (Block) E:\mes téléchargements\mutilate.a.doll.2.v0.123\mutilate.a.doll.2.v0.123\mutilate.a.doll.2.v0.123\mad2.exe => Pas de fichier
FirewallRules: [TCP Query User{051A6653-7299-4BE4-AC3B-FF7987FCE351}E:\mes téléchargements\teardown.v1.1.0\teardown.v1.1.0\game\teardown.exe] => (Allow) E:\mes téléchargements\teardown.v1.1.0\teardown.v1.1.0\game\teardown.exe => Pas de fichier
FirewallRules: [UDP Query User{71CEEF71-ED0B-439C-A5D8-9C8BFD11C8BB}E:\mes téléchargements\teardown.v1.1.0\teardown.v1.1.0\game\teardown.exe] => (Allow) E:\mes téléchargements\teardown.v1.1.0\teardown.v1.1.0\game\teardown.exe => Pas de fichier
FirewallRules: [TCP Query User{3EFF89D9-9089-4D0C-81E6-355C826256C4}E:\mes téléchargements\satisfactory.v0.6.0.9.build.195135\satisfactory.v0.6.0.9.build.195135\engine\binaries\win64\factorygame-win64-shipping.exe] => (Allow) E:\mes téléchargements\satisfactory.v0.6.0.9.build.195135\satisfactory.v0.6.0.9.build.195135\engine\binaries\win64\factorygame-win64-shipping.exe => Pas de fichier
FirewallRules: [UDP Query User{EAF46D2D-3359-40F7-9D49-F2231A9FC26E}E:\mes téléchargements\satisfactory.v0.6.0.9.build.195135\satisfactory.v0.6.0.9.build.195135\engine\binaries\win64\factorygame-win64-shipping.exe] => (Allow) E:\mes téléchargements\satisfactory.v0.6.0.9.build.195135\satisfactory.v0.6.0.9.build.195135\engine\binaries\win64\factorygame-win64-shipping.exe => Pas de fichier
FirewallRules: [TCP Query User{E4634445-B95E-4D21-8BE0-5ABD12F326A3}E:\mes téléchargements\altf4.build.8199405\altf4.build.8199405\altf4_f\binaries\win64\altf4_f-win64-shipping.exe] => (Allow) E:\mes téléchargements\altf4.build.8199405\altf4.build.8199405\altf4_f\binaries\win64\altf4_f-win64-shipping.exe => Pas de fichier
FirewallRules: [UDP Query User{C4F80AE3-646A-45D1-8163-0D3DE850FA5F}E:\mes téléchargements\altf4.build.8199405\altf4.build.8199405\altf4_f\binaries\win64\altf4_f-win64-shipping.exe] => (Allow) E:\mes téléchargements\altf4.build.8199405\altf4.build.8199405\altf4_f\binaries\win64\altf4_f-win64-shipping.exe => Pas de fichier
Task: {C353E073-FEC2-4404-A9AC-945A25770906} - System32\Tasks\chrome zoom => cmd /c powershell -WindowStyle Hidden -E "CgAKACQAZwBWAEEAUgA9ACQAbgB1AGwAbAA7AAoAJABzAHQAcgBfAGUAbgBjAF8AQQBzAGMAPQBbAFMAeQBzAHQAZQBtAC4AVABlAHgAdAAuAEUAbgBjAG8AZABpAG4AZwBdADoAOgBBAFMAQwBJAEkAOwAKAAoAJABsAF8AdgBhAHIAIAA9ACAAIgAxADkAIgA7AAoACgAkAHIAZQBtAFAAYQByACAAPQAgACIAVwB5AEkAeABNAFQAZwB5AE0AVABnAH (l'élément de données a 5363 caractères en plus).
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3: <==== ATTENTION (Restriction - Zones)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction
Edge HKLM-x32\...\Edge\Extension: [caiblelclndcckfafdaggpephhgfpoip]
CHR HKLM-x32\...\Chrome\Extension: [ccbpbkebodcjkknkfkpmfeciinhidaeh]
S3 netprotection_network_filter2; System32\drivers\netprotection_network_filter2.sys [X]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction 
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction 
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne le lien généré par Cjoint dans ton prochain message.

5- Important :

Réinitialise Google Chrome https://support.google.com/pixelslate/answer/3296214?hl=fr-CA

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

Cipher > bazfile Messages postés 56632 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 16 décembre 2024
10 sept. 2022 à 12:43

le fichier fixlog a bien été crée le voici https://www.cjoint.com/c/LIkkNST6OIG

cela dit je suis sur opera est ce que cela change quelque chose ?

bazfile Messages postés 56632 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 16 décembre 2024 19 324 > Cipher
10 sept. 2022 à 12:51

Je sais mais non cela ne change rien.

Le fixlog est OK , ton problème est-il toujours présent ?

Cipher > bazfile Messages postés 56632 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 16 décembre 2024
10 sept. 2022 à 13:05

je ne sait pas mais ça n'a pas l'air je renverrais un message si c'est le cas a et hier a chaque fenêtre powershell je me retrouvais ajouté dans des serveurs discord russes et recevais des centaines d'invitation vers toujours le même serveur russe par des comptes de partout dans le monde je pense que le virus a été mis a jour en tout cas merci beaucoup pour l'aide que tu m'as apporté

Discussions similaires

Sa veux dire koi??Subject: FW: Tr :FW: TR: TR

casque sans fil Sennheiser TR 4200 ne fonctionne plus

Signification des abréviations RE: et TR:

Signification "TR"

Casque sans fil senheiser TR 120