Powershell au démarrage de windows

Bonjour.

Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :

Attend que le message l'outil est prêt à fonctionner s'affiche puis clique sur Analyser

Attention, attendre que les messages disant que l'analyse est terminée s'affichent.

À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition.

Ensuite envoie les rapports FRST et ADDITION sur https://pjjoint.malekal.com/ puis donne les deux liens générés par https://pjjoint.malekal.com/ dans ta réponse. 

Salut :) 
Voilà c'est fait

https://pjjoint.malekal.com/files.php?id=20230831_z8r5w5d14n7

https://pjjoint.malekal.com/files.php?id=20230831_q5j9e9g14f6

@kevlod

Si tu arrêtes de télécharger et d'installer des logiciels ou jeux piratés, tu n'auras plus ce genre de soucis.

Une fois la désinfection terminée, je te conseille vivement de changer tes mots de passe en ligne sensibles, ils ont pu être dérobés, si tu as utilisé ta CB via ton pc surveille ton compte en banque.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
VirusTotal: C:\Windows\DlHost.exe
Task: {327BA226-F947-4418-A658-EF0BACE977A7} - System32\Tasks\Microsoft\Windows\Bluetooth\UninstallDeviceTask => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [450560 2023-08-23] (Microsoft Windows -> Microsoft Corporation) -> -ExecutionPolicy Bypass -WindowStyle Hidden -File C:\WINDOWS\mid.ps1
Task: {086CA152-94C2-4BFD-8F05-CD8287E62A69} - System32\Tasks\MSI Task Host - Detect_Monitor => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [450560 2023-08-23] (Microsoft Windows -> Microsoft Corporation) -> -ExecutionPolicy ByPass -WindowStyle Hidden C:\Users\l30--\AppData\Roaming\Winsoft\core.ps1
Task: {02DBF419-D8E3-4993-BF86-F6769224E177} - System32\Tasks\Google Play Games Notifier => C:\Program Files\Google\Play Games\Bootstrapper.exe [370976 2023-08-30] (Google LLC -> Google LLC) 
Task: {DA473725-24FA-441F-B3BF-A248359C6D4F} - System32\Tasks\GamingOSDAutoStartUp => C:\Program Files\GamingOSD\GamingOSD.exe  -autostart (Pas de fichier)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Pas de fichier)
Task: {91EB5C10-5CCF-4BDB-A1BC-5751FB2E62AB} - System32\Tasks\MonitorMicroKey => C:\Program Files\GamingOSD\MonitorMicroKeyDetector.exe  (Pas de fichier)
Task: {EBF87FC2-C6AA-45A0-A349-FA958309F553} - System32\Tasks\MonitorMysticLight => C:\Program Files\GamingOSD\MysticLight\MysticLightController.exe  (Pas de fichier)
Task: {5A35C1C9-DBA4-46C3-AE75-336A7A0AFE51} - System32\Tasks\MonitorWeatherDetector => C:\Program Files\GamingOSD\WeatherDetector.exe  (Pas de fichier)
Task: {22E0017F-3F90-4A60-B06E-403866552129} - System32\Tasks\Trojan Remover => "C:\Program Files\Loaris Trojan Remover\ltr.exe"  (Pas de fichier)
S2 IDMWFP; pas de ImagePath
S1 WinSetupMon; pas de ImagePath
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction 
GroupPolicy: Restriction ? 
Policies: C:\ProgramData\NTUSER.pol: Restriction 
HKU\S-1-5-21-2584233007-2365939368-3098843968-1001\Software\Classes\regfile:  
HKU\S-1-5-21-2584233007-2365939368-3098843968-1001\Software\Classes\.reg:  =>  
HKU\S-1-5-21-2584233007-2365939368-3098843968-1001\Software\Classes\.bat:  =>  
HKU\S-1-5-21-2584233007-2365939368-3098843968-1001\Software\Classes\.cmd:  =>
AutoConfigURL: [{5677E26D-593E-45B0-8AE5-63B8A4A4D4F5}] => hxxp://localhost:8446/sos.pac 
AlternateDataStreams: C:\ProgramData\TEMP:CB0AACC9 [152]
C:\Users\l30--\AppData\Roaming\Winsoft
C:\WINDOWS\mid.ps1
C:\Windows\svshost.exe
C:\Windows\DlHost.exe
cmd: netsh advfirewall reset
RemoveProxy:
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://pjjoint.malekal.com/ puis donne le lien généré par https://pjjoint.malekal.com/ dans ta réponse.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

voici le fixlog
https://pjjoint.malekal.com/files.php?id=20230831_b15o13m5s14m11

tu sais de quoi ça pouvait venir? justement on avait tenté pendant plusieurs semaines (si pas mois) de pirater l'un de mes emails

J'ai un gestionnaire de mdp (du coup si c'est pas ouvert c'est crypté) est-ce que tu penses que j'dois changer le mdp principal et tous les mdp dedans? 

Pourtant je fais généralement attention aux endroits où je prends mes fichiers / soft etc

d'ailleurs je n'avais pas vu dans d'autres post  que tu parlais de faire attentions aux mdp etc , les menaces que j'avais étaient pires? 

je vais faire ça merci :D 
c'est dommage qu'on ne sache pas voir de quel logiciel ou jeu ça vient 
merci beaucoup :)