Powershell crash

Résolu/Fermé
TypedLapple - 5 févr. 2023 à 15:48
bazfile Messages postés 52870 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 29 février 2024 - 8 févr. 2023 à 18:05

Bonjour,
 

Mon PowerShell s'active a des moments au hasard, et comme je n'ai pas une grosse config, fait ltieralement crash mon pc, pourtant je l'ai désactiver etc, s'agirais d'un virus  ? mon anti virus ne détecte rien pourtant, pouvez vous m'aidez ?

A voir également:

3 réponses

bazfile Messages postés 52870 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 29 février 2024 18 335
5 févr. 2023 à 17:15

Bonjour.

Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :

Clique sur Analyser


Attention, attendre que les messages disant que l'analyse est terminée s'affichent.

À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition.

Ensuite envoie les rapports FRST et ADDITION sur PJJOINT voir CE TUTORIEL puis donne les deux liens générés par PJJOINT dans ta réponse.


0

Bonjour, tout d'abord merci beaucoup de ta réponse !

Voici les deux fichiers demandé ; 

FRST : https://pjjoint.malekal.com/files.php?id=20230206_d10s15p10g8w15 
ADDITION : https://pjjoint.malekal.com/files.php?id=20230206_w9t12x11r10c15 

0
bazfile Messages postés 52870 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 29 février 2024 18 335 > TypedLapple
6 févr. 2023 à 19:32

Les deux rapports sont vides il faut bien attendre la fin de l'analyse avant de les envoyer.

0
TypedLapple > bazfile Messages postés 52870 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 29 février 2024
Modifié le 6 févr. 2023 à 20:11

Enfaite j'avais bougez les fichiers après fin de l'analyse et je pense que sa a perturbé l'écriture des fichiers
J'ai re effectué le test et voici les liens :

ADDITION.TXT https://pjjoint.malekal.com/files.php?id=20230206_d8w13u5h12f15  %3B= 
FRST.TXT          https://pjjoint.malekal.com/files.php?id=FRST_20230206_m8j6c15b14c11  %3B=

0
bazfile Messages postés 52870 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 29 février 2024 18 335 > TypedLapple
Modifié le 7 févr. 2023 à 09:53

En premier:

1- L'antivirus TotalAV est une arnaque voir CETTE PAGE, il ne te protège pas la preuve ton pc est infecté,  je te conseille de le désinstaller avec RevoUninstaller sinon il ne se désinstallera pas complètement (voir le tutoriel de RevoUninstaller en fin de message) l'antivirus de Windows prendra automatiquement le relais il est efficace et suffisant, à toi de voir.
 

2- Désinstalle WebAdvisor par McAfee et Wondershare Helper Compact ce sont des un adwares inutiles.
 

3- Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe [2133728 2017-09-12] (Wondershare Technology Co.,Ltd -> Wondershare)
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction
HKLM\SOFTWARE\Policies\Google: Restriction 
HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction
Task: {E219123D-7EAE-4BB1-B487-CBFEB40A66F6} - System32\Tasks\Updater_PrivacyBlocker_PR1 => powershell -File C:/Windows/System32/PrivacyBlockerWindows.ps1
Edge Notifications: Default -> hxxps://linkvertise.com; hxxps://www.puregamemedia.fr; hxxps://www87.darenjarvis.pro
CHR DefaultSearchURL: Default -> hxxps://fr.search.yahoo.com/search?fr=mcafee&type=E210FR91082G0&p={searchTerms}
CHR DefaultSearchKeyword: Default -> mcafee
CHR DefaultSuggestURL: Default -> hxxps://fr.search.yahoo.com/sugg/gossip/gossip-fr-partner?output=fxjson&appid=mca&source=yahoo_mcafee_searchassist&command={searchTerms}
CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho]
CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho]
HKLM\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe (Pas de fichier)
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-3224105228-2866342401-1329256103-1001\...\Run: [] => [X]
HKU\S-1-5-18\...\Run: [] => [X]
S3 EpicOnlineServices; "C:\Program Files (x86)\Epic Games\Epic Online Services\service\EpicOnlineServicesHost.exe" [X]
R1 webshieldfilter; C:\Windows\System32\drivers\webshieldfilter.sys [96264 2022-09-27] (Microsoft Windows Hardware Compatibility Publisher -> Windows (R) Win 7 DDK provider) 
AlternateDataStreams: C:\Windows\system32\9EarsSurroundSound.dll:72B1DE377E [3434]
AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [3434]
AlternateDataStreams: C:\ProgramData\Steam.lnk:F5836851DE [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Premiere Pro 2020.lnk:E07F759D69 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Audacity.lnk:09A0A90EF3 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVG Driver Updater.lnk:837EB8C671 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AZ Launcher - Minecraft.lnk:EE97536411 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BakkesMod.lnk:14E057C8D9 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks 5 Multi-Instance Manager.lnk:35C0D57199 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks 5.lnk:088221F38A [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks Multi-Instance Manager.lnk:FE00AE19CB [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks.lnk:6BCDFBBA1F [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iCUE.lnk:36398BE0BF [3434]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [4368]
AlternateDataStreams: C:\Users\tintin\Application Data:d988fd1ce0beed92b2bcb751f85f2bf5 [394]
AlternateDataStreams: C:\Users\tintin\AppData\Roaming:d988fd1ce0beed92b2bcb751f85f2bf5 [394]
AlternateDataStreams: C:\Users\tintin\AppData\Local\Temp:$DATA​ [16]
C:/Windows/System32/PrivacyBlockerWindows.ps1
cmd: netsh advfirewall reset
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur PJJOINT puis donne le lien généré par PJJOINT dans ta réponse.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT.


Pour information.

Ta version de Windows 10 n'est pas à jour, pour le vérifier va dans Windows Update la mise à jour vers la version 22H2 doit t'y être proposée si ce n'est pas le cas va sur cette page clique sur Mettre à jour maintenant, cela lancera le téléchargement de l'outil de Microsoft, il suffira de l'ouvrir et il te permettra de mettre à jour Windows 10 vers la dernière version et te dira si elle est compatible avec ton pc, attention cette mise à jour dure un certain temps.



Tutoriel Revo Uninstaller à lire attentivement.

Accepter la désinstallation du programme que l'on souhaite désinstaller et si il y a un message d'erreur disant que la désinstallation est impossible fermer le message d'erreur et continuer la procédure.

Cocher "Scan avancé" puis cliquer sur "Scan".

Cliquer sur "Sélectionner tout" puis sur "Supprimer" si une deuxième liste apparaît faire de même puis une fois que tout est supprimé cliquer sur "Fini" un redémarrage sera peut-être demandé.

0

Re, Ducoup j'ai fait tout se que tu m'a dis hier, et je n'ai eu aucun soucis aujourd'hui , je pense donc que cela fonctionne, tu saurais me dire d'où venait le problème ?

Voici le fichier fixlog : https://pjjoint.malekal.com/files.php?id=20230208_u14v11o9w14l14 

En tout cas je te remercie , sa faisait quelques mois que j'avais ce soucis, et sa m'embêtait un peu que mon pc crash touts les jours... 

0
bazfile Messages postés 52870 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 29 février 2024 18 335
Modifié le 8 févr. 2023 à 18:12

Le fixlog est OK.

Ton pc était infecté par un malware type cheval de Troie qui se lançait via une tâche planifiée, donc par prudence change tes mots de passe en ligne (email, réseaux sociaux, login de sites bancaires etc etc.....).


Désinstalle FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.


0