VIRUS supprimer fenêtre powershell qui s'ouvre au démarrage.

Résolu/Fermé
Animal565485 - Modifié le 30 août 2023 à 16:20
bazfile Messages postés 56650 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 18 décembre 2024 - 30 août 2023 à 15:48

Bonjour,

A des moment random une fenêtre powershell s'ouvre toute seul, j'ai tendance a télécharger des jeux sans passer par les version payante pour les tester, je sais c'est pas super légal :(, mais ça me permet d'évité de payer un jeux que je n'aime pas au final. Je crois que j'ai un virus. Je connais FRST mais je ne sais pas comment l'utilisé quelqu'un peut-il m'aidé ?

Voici mes deux lien :

FRST : https://www.cjoint.com/c/MHEkd0RCvvN

Addition : https://www.cjoint.com/c/MHEkeGYxaSN

Si une âme charitable veux bien m’aidè, je lui en serais très reconnaissante.
Windows / Firefox 117.0

A voir également:

7 réponses

bazfile Messages postés 56650 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 18 décembre 2024 19 332
Modifié le 31 août 2023 à 08:28

Bonjour.

Le rapport FRST est incomplet il faut bien attendre la fin de l'analyse, il n'était pas nécessaire de décocher la case registre de la fenêtre FRST lors de l'analyse.

Voici une correction avec les renseignements que j'ai c'est à dire avec un rapport incomplet.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction
Task: {7A70751C-23F7-432C-B450-478310605364} - System32\Tasks\MSI Task Host - Detect_Monitor => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [492032 2023-05-11] (Microsoft Windows -> Microsoft Corporation) -> -ExecutionPolicy ByPass -WindowStyle Hidden C:\Users\Leviathan\AppData\Roaming\Winsoft\core.ps1
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://security-x.fr/up/ puis donne le lien généré par https://security-x.fr/up/ dans ta réponse.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT


1

ReBonjour,

Le site https://security-x.fr/up/ me donne une erreur 404. Je les donc upload sur cjoint, ça ne pose pas de problème ?

Fixlog https://www.cjoint.com/c/MHEkAsJiGsN

Esque je dois refaire une analyse FRST correct ?

Merci beaucoup pour votre temps et votre réponse.

Edit:

La fenetre PowerShell c'est ouverte aux démarage de mon PC. Avant de passer en Admistrateur et de ce fermer.

0
bazfile Messages postés 56650 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 18 décembre 2024 19 332
30 août 2023 à 13:21

Le site https://security-x.fr/up/ me donne une erreur 404. Je les donc upload sur cjoint,

Non cela ne pose pas problème ce qui pose problème c'est le rapport FRST qui n'est pas complet.

Recommence et fait comme cela est indiqué:

Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :

Attend que le message l'outil est prêt à fonctionner s'affiche puis clique sur Analyser


Attention, attendre que les messages disant que l'analyse est terminée s'affichent.

À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition.

Ensuite envoie les rapports FRST et ADDITION sur https://pjjoint.malekal.com/ puis donne les deux liens générés par https://pjjoint.malekal.com/ dans ta réponse. 

0

Voici mes document fais avec la nouvelle procédure :

Addition : https://pjjoint.malekal.com/files.php?id=20230830_s12z8c9n10i6 

FRST : https://pjjoint.malekal.com/files.php?id=20230830_n14o7g8f13f5 

Merci beaucoup pour votre pédagogie.

0
bazfile Messages postés 56650 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 18 décembre 2024 19 332
Modifié le 30 août 2023 à 15:04

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
VirusTotal: C:\Windows\svshost.exe
(WindowsPowerShell\v1.0\powershell.exe ->) () [Fichier non signé] C:\Windows\svshost.exe
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction 
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction 
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction 
Task: {D0E1D12D-DC09-4965-9DD9-EF5352A3F9B0} - System32\Tasks\Microsoft\Windows\Bluetooth\UninstallDeviceTask => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [492032 2023-05-11] (Microsoft Windows -> Microsoft Corporation) -> -ExecutionPolicy Bypass -WindowStyle Hidden -File C:\WINDOWS\mid.ps1
HKU\S-1-5-21-1032198485-903467430-2464463542-1001\...\Run: [GalaxyClient] => [X]
S3 cpuz149; \??\C:\Users\LEVIAT~1\AppData\Local\Temp\cpuz149\cpuz149_x64.sys [X] 
FirewallRules: [{455280DF-F773-4AC9-BEAA-D22142CD9E30}] => (Block) C:\Program Files\BorisFX\Sapphire 2023.5 Adobe\update-check\update-check.exe => Pas de fichier
FirewallRules: [{3EAE2CF5-247B-43BA-816A-CFFA0F2A7C17}] => (Block) C:\Program Files\BorisFX\Sapphire 2023.5 Adobe\update-check\update-check.exe => Pas de fichier
FirewallRules: [{50543213-7688-4DEF-8F08-F8C0DBFD4249}] => (Block) C:\Program Files\BorisFX\Sapphire 2023.5 Adobe\license-tool\license-tool.exe => Pas de fichier
FirewallRules: [{4AAF20C0-3A33-4DD0-8F7A-F0214919574B}] => (Block) C:\Program Files\BorisFX\Sapphire 2023.5 Adobe\license-tool\license-tool.exe => Pas de fichier
FirewallRules: [{52141385-A566-4DEC-8948-A568C4D0790A}] => (Block) C:\Program Files\BorisFX\ContinuumAE\16\utilities\bfx-version-update\bfx-version-update.exe => Pas de fichier
FirewallRules: [{F0CD4D59-53C4-4691-A31D-BA36548B0441}] => (Block) C:\Program Files\BorisFX\ContinuumAE\16\utilities\bfx-version-update\bfx-version-update.exe => Pas de fichier
FirewallRules: [{89C814F1-0B4A-4867-817F-A05903C0CCD9}] => (Block) C:\Program Files\BorisFX\ContinuumAE\16\utilities\bfx-license-tool\bfx-license-tool.exe => Pas de fichier
FirewallRules: [{DC7EF0A2-8165-4E23-AAEB-72CEB07997B5}] => (Block) C:\Program Files\BorisFX\ContinuumAE\16\utilities\bfx-license-tool\bfx-license-tool.exe => Pas de fichier
FirewallRules: [TCP Query User{FF36790F-BEF8-408E-92E9-5239758CCECF}D:\games\diablo iv\diablo iv.exe] => (Allow) D:\games\diablo iv\diablo iv.exe => Pas de fichier
FirewallRules: [UDP Query User{3B7B3375-8348-4DF5-8ED5-925E8D12E035}D:\games\diablo iv\diablo iv.exe] => (Allow) D:\games\diablo iv\diablo iv.exe => Pas de fichier
FirewallRules: [TCP Query User{3073BAC3-C668-4969-BC8D-42A95376CF28}D:\games\grounded\content\maine\binaries\wingdk\maine-wingdk-shipping.exe] => (Allow) D:\games\grounded\content\maine\binaries\wingdk\maine-wingdk-shipping.exe => Pas de fichier
FirewallRules: [UDP Query User{035A31C0-5D67-4365-8DAD-53BF091C802B}D:\games\grounded\content\maine\binaries\wingdk\maine-wingdk-shipping.exe] => (Allow) D:\games\grounded\content\maine\binaries\wingdk\maine-wingdk-shipping.exe => Pas de fichier
FirewallRules: [{0568E9C4-2BF4-43AA-8FA9-3169CC9A1447}] => (Allow) C:\Users\Leviathan\AppData\Roaming\Zoom\bin\airhost.exe => Pas de fichier
FirewallRules: [{E2CAB4FE-3A33-494D-97B2-08D663769327}] => (Allow) C:\Users\Leviathan\AppData\Roaming\Zoom\bin\airhost.exe => Pas de fichier
C:\Users\Leviathan\AppData\Roaming\Winsoft\core.ps1
C:\Windows\svshost.exe
C:\WINDOWS\mid.ps1
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://security-x.fr/up/ puis donne le lien généré par https://security-x.fr/up/ dans ta réponse.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT


0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Merci,

voicie le fichier fixlog : https://www.cjoint.com/c/MHEnfxjPoqN 

Je n'est pas vue la fenêtre powershell ce lancé au démarrage du pc.

0
bazfile Messages postés 56650 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 18 décembre 2024 19 332
30 août 2023 à 15:44

Le fixlog est OK.


Si de ton côté tout est également OK, tu peux désinstaller FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.


0
Animal565485
30 août 2023 à 15:46

Merci beaucoup pour ton aide, tu as était très pédagogue je te remercie, bonne journée.

0
bazfile Messages postés 56650 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 18 décembre 2024 19 332
30 août 2023 à 15:48

Bonne journée également.

0