VIRUS supprimer fenêtre powershell qui s'ouvre au démarrage. Résolu/Fermé

Question

Bonjour,

A des moment random une fenêtre powershell s'ouvre toute seul, j'ai tendance a télécharger des jeux sans passer par les version payante pour les tester, je sais c'est pas super légal :(, mais ça me permet d'évité de payer un jeux que je n'aime pas au final. Je crois que j'ai un virus. Je connais FRST mais je ne sais pas comment l'utilisé quelqu'un peut-il m'aidé ?

Voici mes deux lien :

FRST : https://www.cjoint.com/c/MHEkd0RCvvN

Addition : https://www.cjoint.com/c/MHEkeGYxaSN

Si une âme charitable veux bien m’aidè, je lui en serais très reconnaissante.
Windows / Firefox 117.0

bazfile · Answer

Bonjour.

Le rapport FRST est incomplet il faut bien attendre la fin de l'analyse, il n'était pas nécessaire de décocher la case registre de la fenêtre FRST lors de l'analyse.

Voici une correction avec les renseignements que j'ai c'est à dire avec un rapport incomplet.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

Start::
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction
Task: {7A70751C-23F7-432C-B450-478310605364} - System32\Tasks\MSI Task Host - Detect_Monitor => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [492032 2023-05-11] (Microsoft Windows -> Microsoft Corporation) -> -ExecutionPolicy ByPass -WindowStyle Hidden C:\Users\Leviathan\AppData\Roaming\Winsoft\core.ps1
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://security-x.fr/up/ puis donne le lien généré par https://security-x.fr/up/ dans ta réponse.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

Animal565485 · Answer

ReBonjour,

Le site https://security-x.fr/up/ me donne une erreur 404. Je les donc upload sur cjoint, ça ne pose pas de problème ?

Fixlog https://www.cjoint.com/c/MHEkAsJiGsN

Esque je dois refaire une analyse FRST correct ?

Merci beaucoup pour votre temps et votre réponse.

Edit:

La fenetre PowerShell c'est ouverte aux démarage de mon PC. Avant de passer en Admistrateur et de ce fermer.

Animal565485 · Answer

Voici mes document fais avec la nouvelle procédure :

Addition : https://pjjoint.malekal.com/files.php?id=20230830_s12z8c9n10i6

FRST : https://pjjoint.malekal.com/files.php?id=20230830_n14o7g8f13f5

Merci beaucoup pour votre pédagogie.

bazfile · Answer

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

Start::
CreateRestorePoint:
CloseProcesses:
VirusTotal: C:\Windows\svshost.exe
(WindowsPowerShell\v1.0\powershell.exe ->) () [Fichier non signé] C:\Windows\svshost.exe
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction 
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction 
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction 
Task: {D0E1D12D-DC09-4965-9DD9-EF5352A3F9B0} - System32\Tasks\Microsoft\Windows\Bluetooth\UninstallDeviceTask => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [492032 2023-05-11] (Microsoft Windows -> Microsoft Corporation) -> -ExecutionPolicy Bypass -WindowStyle Hidden -File C:\WINDOWS\mid.ps1
HKU\S-1-5-21-1032198485-903467430-2464463542-1001\...\Run: [GalaxyClient] => [X]
S3 cpuz149; \??\C:\Users\LEVIAT~1\AppData\Local\Temp\cpuz149\cpuz149_x64.sys [X] 
FirewallRules: [{455280DF-F773-4AC9-BEAA-D22142CD9E30}] => (Block) C:\Program Files\BorisFX\Sapphire 2023.5 Adobe\update-check\update-check.exe => Pas de fichier
FirewallRules: [{3EAE2CF5-247B-43BA-816A-CFFA0F2A7C17}] => (Block) C:\Program Files\BorisFX\Sapphire 2023.5 Adobe\update-check\update-check.exe => Pas de fichier
FirewallRules: [{50543213-7688-4DEF-8F08-F8C0DBFD4249}] => (Block) C:\Program Files\BorisFX\Sapphire 2023.5 Adobe\license-tool\license-tool.exe => Pas de fichier
FirewallRules: [{4AAF20C0-3A33-4DD0-8F7A-F0214919574B}] => (Block) C:\Program Files\BorisFX\Sapphire 2023.5 Adobe\license-tool\license-tool.exe => Pas de fichier
FirewallRules: [{52141385-A566-4DEC-8948-A568C4D0790A}] => (Block) C:\Program Files\BorisFX\ContinuumAE\16\utilities\bfx-version-update\bfx-version-update.exe => Pas de fichier
FirewallRules: [{F0CD4D59-53C4-4691-A31D-BA36548B0441}] => (Block) C:\Program Files\BorisFX\ContinuumAE\16\utilities\bfx-version-update\bfx-version-update.exe => Pas de fichier
FirewallRules: [{89C814F1-0B4A-4867-817F-A05903C0CCD9}] => (Block) C:\Program Files\BorisFX\ContinuumAE\16\utilities\bfx-license-tool\bfx-license-tool.exe => Pas de fichier
FirewallRules: [{DC7EF0A2-8165-4E23-AAEB-72CEB07997B5}] => (Block) C:\Program Files\BorisFX\ContinuumAE\16\utilities\bfx-license-tool\bfx-license-tool.exe => Pas de fichier
FirewallRules: [TCP Query User{FF36790F-BEF8-408E-92E9-5239758CCECF}D:\games\diablo iv\diablo iv.exe] => (Allow) D:\games\diablo iv\diablo iv.exe => Pas de fichier
FirewallRules: [UDP Query User{3B7B3375-8348-4DF5-8ED5-925E8D12E035}D:\games\diablo iv\diablo iv.exe] => (Allow) D:\games\diablo iv\diablo iv.exe => Pas de fichier
FirewallRules: [TCP Query User{3073BAC3-C668-4969-BC8D-42A95376CF28}D:\games\grounded\content\maine\binaries\wingdk\maine-wingdk-shipping.exe] => (Allow) D:\games\grounded\content\maine\binaries\wingdk\maine-wingdk-shipping.exe => Pas de fichier
FirewallRules: [UDP Query User{035A31C0-5D67-4365-8DAD-53BF091C802B}D:\games\grounded\content\maine\binaries\wingdk\maine-wingdk-shipping.exe] => (Allow) D:\games\grounded\content\maine\binaries\wingdk\maine-wingdk-shipping.exe => Pas de fichier
FirewallRules: [{0568E9C4-2BF4-43AA-8FA9-3169CC9A1447}] => (Allow) C:\Users\Leviathan\AppData\Roaming\Zoom\bin\airhost.exe => Pas de fichier
FirewallRules: [{E2CAB4FE-3A33-494D-97B2-08D663769327}] => (Allow) C:\Users\Leviathan\AppData\Roaming\Zoom\bin\airhost.exe => Pas de fichier
C:\Users\Leviathan\AppData\Roaming\Winsoft\core.ps1
C:\Windows\svshost.exe
C:\WINDOWS\mid.ps1
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://security-x.fr/up/ puis donne le lien généré par https://security-x.fr/up/ dans ta réponse.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

Animal565485 · Answer

Merci,

voicie le fichier fixlog : https://www.cjoint.com/c/MHEnfxjPoqN

Je n'est pas vue la fenêtre powershell ce lancé au démarrage du pc.

bazfile · Answer

Le fixlog est OK.

Si de ton côté tout est également OK, tu peux désinstaller FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.

Animal565485 · Answer

Merci beaucoup pour ton aide, tu as était très pédagogue je te remercie, bonne journée.