Powershell s'ouvre tout seul, et trappe Cd aussi...

Résolu
matt97354 Messages postés 4 Date d'inscription mardi 7 février 2023 Statut Membre Dernière intervention 8 février 2023 - 7 févr. 2023 à 09:28
bazfile Messages postés 47323 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mars 2023 - 8 févr. 2023 à 12:08

Bonjour à tous,

Voici mon problème, depuis quelques jours , la trappe du lecteur cd s'ouvre toute seule sur le PC de mon fils, et une fenetre powershell s'ouvre et se ferme régulièrement.

Je ne suis pas tout le temps derrière lui, mais il me dit qu'il n'a rien installé récemment.

Surement un truc pas très clean qui traine...

Merci par avance.

A voir également:

6 réponses

bazfile Messages postés 47323 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mars 2023 17 922
7 févr. 2023 à 09:43

Bonjour.

Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :

Clique sur Analyser


Attention, attendre que les messages disant que l'analyse est terminée s'affichent.

À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition.

Ensuite envoie les rapports FRST et ADDITION sur PJJOINT voir CE TUTORIEL puis donne les deux liens générés par PJJOINT dans ta réponse.


bazfile
Modérateur/Contributeur sécurité.
un bonjour, une réponse, un merci font toujours plaisir.

0
matt97354 Messages postés 4 Date d'inscription mardi 7 février 2023 Statut Membre Dernière intervention 8 février 2023
Modifié le 7 févr. 2023 à 10:24
0
bazfile Messages postés 47323 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mars 2023 17 922
Modifié le 7 févr. 2023 à 10:34

ATTENTION :

Une fois la désinfection terminée il faudra changer tous les mots de passe en ligne ils ont pu être dérobés (email, réseaux sociaux, site de login de banques etc etc.....).

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
FirewallRules: [TCP Query User{104599D2-3DB0-4404-A00E-85F9B2BB58F7}C:\program files\plex\plex\plex.exe] => (Allow) C:\program files\plex\plex\plex.exe => Pas de fichier
FirewallRules: [UDP Query User{E1D1FD8E-AF8A-4F1B-AD54-2533F8D7154F}C:\program files\plex\plex\plex.exe] => (Allow) C:\program files\plex\plex\plex.exe => Pas de fichier
FirewallRules: [{C4539FD1-E5F0-43D2-9FBA-EB4512954696}] => (Allow) C:\Users\E-M\AppData\Local\Temp\WF-7620\Common\EpsonNet Setup\ENEasyApp.exe => Pas de fichier
FirewallRules: [{9FDC462D-C0BF-40E2-BFF2-B386BF1C93A7}] => (Allow) C:\Users\E-M\AppData\Local\Temp\WF-7620\Common\EpsonNet Setup\ENEasyApp.exe => Pas de fichier
FirewallRules: [TCP Query User{F32E1506-E5C7-433E-B90D-646BEF86BA86}C:\users\e-m\appdata\local\temp\7zo89e7bb77\ratiomaster.net.exe] => (Allow) C:\users\e-m\appdata\local\temp\7zo89e7bb77\ratiomaster.net.exe => Pas de fichier
FirewallRules: [UDP Query User{28027322-2AB6-4ED6-853F-D710FA7BF6BC}C:\users\e-m\appdata\local\temp\7zo89e7bb77\ratiomaster.net.exe] => (Allow) C:\users\e-m\appdata\local\temp\7zo89e7bb77\ratiomaster.net.exe => Pas de fichier
Task: {D5044FF0-C500-420A-930C-5735F19562CF} - System32\Tasks\ViGEmBusUpdater => "powershell" -ExecutionPolicy ByPass -WindowStyle Hidden C:\Users\E-M\AppData\Roaming\Webgard\cor.ps1
Policies: C:\ProgramData\NTUSER.pol: Restriction
Task: {2A5DD9D0-63F7-4DF2-8878-39ADC3D9A5F3} - System32\Tasks\CorelUpdateHelperTask-7C10FC1313898D4641BE0F5F084B3414 => C:\Program Files (x86)\Corel\CUH\v2\CUH.exe -resume (Pas de fichier)
C:\Users\E-M\AppData\Roaming\Webgard\cor.ps1
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur PJJOINT puis donne le lien généré par PJJOINT dans ta réponse.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT


bazfile
Modérateur/Contributeur sécurité.
un bonjour, une réponse, un merci font toujours plaisir.

0
matt97354 Messages postés 4 Date d'inscription mardi 7 février 2023 Statut Membre Dernière intervention 8 février 2023
Modifié le 7 févr. 2023 à 13:48

https://pjjoint.malekal.com/files.php?id=20230207_v10p8m15u14w15 

Merci tout semble aller beaucoup mieux !

Peux-tu m'expliquer d'où venait le problème ?

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
bazfile Messages postés 47323 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mars 2023 17 922
Modifié le 7 févr. 2023 à 13:59

Le fixlog est OK.

Le problème venait d'un script PowerShell infectieux qui se lançait via une tâche planifiée, ce type d'infection arrive le plus souvent suite à un téléchargement et une activation non officielle d'un logiciel récupéré sur le réseau torrent ou via des sites de téléchargement illégaux, je vois que le logiciel qBittorrent est installé sur le pc donc cela vient probablement du téléchargement et l'installation d'un logiciel effectué via le réseau Torrent.


Désinstalle FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.


bazfile
Modérateur/Contributeur sécurité.
un bonjour, une réponse, un merci font toujours plaisir.

0
matt97354 Messages postés 4 Date d'inscription mardi 7 février 2023 Statut Membre Dernière intervention 8 février 2023
8 févr. 2023 à 12:00

Merci pour ton retour.

Plus aucun problème de Powershell, en revanche la trappe du cd s'ouvre toujours après le démarrage...

J'ai désinstallé le lecteur, mais le problème persiste...

0
bazfile Messages postés 47323 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mars 2023 17 922
Modifié le 9 févr. 2023 à 10:21

Tu peux éventuellement désactiver l'exécution automatique du lecteur de CD via les paramètres de Windows, mais ce problème est un problème qui n'a rien à voir avec l'infection et donc rien à voir avec le forum virus/sécurité, si ma proposition de désactiver l'exécution automatique ne fonctionne pas, pose ta question dans un des autres forums.

0