Powershell s'ouvre tout seul, et trappe Cd aussi...
Résolu/Fermébazfile Messages postés 53529 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 16 avril 2024 - 8 févr. 2023 à 12:08
- Powershell s'ouvre tout seul, et trappe Cd aussi...
- Hiren boot cd - Télécharger - Divers Utilitaires
- Cd burner - Télécharger - Gravure
- Yahoo mail ne s'ouvre plus - Guide
- Écouteur jbl sans fil un seul fonctionne - Forum Casque et écouteurs
- Mon téléphone envoie des sms tout seul - Forum Samsung
6 réponses
7 févr. 2023 à 09:43
Bonjour.
Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :
Clique sur Analyser
Attention, attendre que les messages disant que l'analyse est terminée s'affichent.
À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition.
Ensuite envoie les rapports FRST et ADDITION sur PJJOINT voir CE TUTORIEL puis donne les deux liens générés par PJJOINT dans ta réponse.
Modifié le 7 févr. 2023 à 10:24
Modifié le 7 févr. 2023 à 10:34
ATTENTION :
Une fois la désinfection terminée il faudra changer tous les mots de passe en ligne ils ont pu être dérobés (email, réseaux sociaux, site de login de banques etc etc.....).
Procédure à faire dans l'ordre indiqué :
1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
FirewallRules: [TCP Query User{104599D2-3DB0-4404-A00E-85F9B2BB58F7}C:\program files\plex\plex\plex.exe] => (Allow) C:\program files\plex\plex\plex.exe => Pas de fichier
FirewallRules: [UDP Query User{E1D1FD8E-AF8A-4F1B-AD54-2533F8D7154F}C:\program files\plex\plex\plex.exe] => (Allow) C:\program files\plex\plex\plex.exe => Pas de fichier
FirewallRules: [{C4539FD1-E5F0-43D2-9FBA-EB4512954696}] => (Allow) C:\Users\E-M\AppData\Local\Temp\WF-7620\Common\EpsonNet Setup\ENEasyApp.exe => Pas de fichier
FirewallRules: [{9FDC462D-C0BF-40E2-BFF2-B386BF1C93A7}] => (Allow) C:\Users\E-M\AppData\Local\Temp\WF-7620\Common\EpsonNet Setup\ENEasyApp.exe => Pas de fichier
FirewallRules: [TCP Query User{F32E1506-E5C7-433E-B90D-646BEF86BA86}C:\users\e-m\appdata\local\temp\7zo89e7bb77\ratiomaster.net.exe] => (Allow) C:\users\e-m\appdata\local\temp\7zo89e7bb77\ratiomaster.net.exe => Pas de fichier
FirewallRules: [UDP Query User{28027322-2AB6-4ED6-853F-D710FA7BF6BC}C:\users\e-m\appdata\local\temp\7zo89e7bb77\ratiomaster.net.exe] => (Allow) C:\users\e-m\appdata\local\temp\7zo89e7bb77\ratiomaster.net.exe => Pas de fichier
Task: {D5044FF0-C500-420A-930C-5735F19562CF} - System32\Tasks\ViGEmBusUpdater => "powershell" -ExecutionPolicy ByPass -WindowStyle Hidden C:\Users\E-M\AppData\Roaming\Webgard\cor.ps1
Policies: C:\ProgramData\NTUSER.pol: Restriction
Task: {2A5DD9D0-63F7-4DF2-8878-39ADC3D9A5F3} - System32\Tasks\CorelUpdateHelperTask-7C10FC1313898D4641BE0F5F084B3414 => C:\Program Files (x86)\Corel\CUH\v2\CUH.exe -resume (Pas de fichier)
C:\Users\E-M\AppData\Roaming\Webgard\cor.ps1
EmptyTemp:
End::
3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur PJJOINT puis donne le lien généré par PJJOINT dans ta réponse.
5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT
Modifié le 7 févr. 2023 à 13:48
https://pjjoint.malekal.com/files.php?id=20230207_v10p8m15u14w15
Merci tout semble aller beaucoup mieux !
Peux-tu m'expliquer d'où venait le problème ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Modifié le 7 févr. 2023 à 13:59
Le fixlog est OK.
Le problème venait d'un script PowerShell infectieux qui se lançait via une tâche planifiée, ce type d'infection arrive le plus souvent suite à un téléchargement et une activation non officielle d'un logiciel récupéré sur le réseau torrent ou via des sites de téléchargement illégaux, je vois que le logiciel qBittorrent est installé sur le pc donc cela vient probablement du téléchargement et l'installation d'un logiciel effectué via le réseau Torrent.
Désinstalle FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.
8 févr. 2023 à 12:00
Merci pour ton retour.
Plus aucun problème de Powershell, en revanche la trappe du cd s'ouvre toujours après le démarrage...
J'ai désinstallé le lecteur, mais le problème persiste...
Modifié le 9 févr. 2023 à 10:21
Tu peux éventuellement désactiver l'exécution automatique du lecteur de CD via les paramètres de Windows, mais ce problème est un problème qui n'a rien à voir avec l'infection et donc rien à voir avec le forum virus/sécurité, si ma proposition de désactiver l'exécution automatique ne fonctionne pas, pose ta question dans un des autres forums.
