Fenêtre powershell intempestive, supprimer virus powershell.
Résolu/Fermébazfile Messages postés 56437 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 19 novembre 2024 - 15 nov. 2023 à 15:37
- Fenêtre powershell intempestive, supprimer virus powershell.
- Mcafee fenetre intempestive - Accueil - Piratage
- Raccourci agrandir fenetre - Guide
- Fenêtre hors écran windows 11 - Guide
- Fenêtre - Guide
- Fenetre privée - Guide
5 réponses
30 oct. 2023 à 11:53
Bonjour.
Télécharge FRST .
Une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :
Attend que le message l'outil est prêt à fonctionner s'affiche puis clique sur Analyser
Attention, attendre que les messages disant que l'analyse est terminée s'affichent.
À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition.
Ensuite envoie les rapports FRST et ADDITION sur https://www.cjoint.com/ puis donne les deux liens générés par https://www.cjoint.com/ dans ta réponse.
Modifié le 30 oct. 2023 à 12:32
Le fixlog est OK, ton pc n'est plus infecté.
Désinstalle FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.
30 oct. 2023 à 12:38
Bonne journée également.
Bonjour,
Je rencontre les mêmes problèmes (3 fenêtres script powershell), j'ai installé frst
voici les deux liens après analyse
https://www.cjoint.com/c/MKpjAErBuUv
https://www.cjoint.com/c/MKpjBgPZMCv
Bonne journée
15 nov. 2023 à 11:21
Procédure à faire dans l'ordre indiqué :
1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction
GroupPolicy: Restriction ?
Policies: C:\ProgramData\NTUSER.pol: Restriction
HKU\S-1-5-21-821717747-1728088732-3174729382-1001\...\Run: [AMDNoiseSuppression] => "C:\WINDOWS\system32\AMD\ANR\AMDNoiseSuppression.exe" (Pas de fichier)
Task: {BC0A6097-F752-4DF9-A567-0D788B2215D2} - \Microsoft\Windows\Bluetooth\UninstallDeviceTask -> Pas de fichier
Task: {7F5C217E-773F-4D8B-8390-F9AB846BCB7E} - System32\Tasks\CCleaner Update => C:\Program Files\CCleaner\CCUpdate.exe (Pas de fichier)
Task: {C9A88254-AEEC-4034-8931-C33E7DE72590} - System32\Tasks\CCleanerSkipUAC => "C:\Program Files\CCleaner\CCleaner.exe" $(Arg0) (Pas de fichier)
Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => %SystemRoot%\System32\MbaeParserTask.exe (Pas de fichier)
Task: {134CC06A-EFBD-40A9-9B62-2FF41883B85D} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\MusUx_LogonUpdateResults => %systemroot%\system32\MusNotification.exe LogonUpdateResults (Pas de fichier)
Task: {7C1DAA9A-3E57-42F8-84C4-86199A1943E1} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\MusUx_UpdateInterval => %systemroot%\system32\MusNotification.exe Display (Pas de fichier)
Task: {77880370-7C25-4E04-B1CA-927DCBD26818} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => %systemroot%\system32\MusNotification.exe /RunOnAC ReadyToReboot (Pas de fichier)
Task: {78B6F2BD-0B32-4D65-93CB-A031794EF830} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery => %systemroot%\system32\MusNotification.exe /RunOnBattery ReadyToReboot (Pas de fichier)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe (Pas de fichier)
Task: {FAD6ED5F-C4B9-46B2-8207-F3E34B2CA922} - System32\Tasks\Opera scheduled Autoupdate 1667388388 => C:\Users\theo-\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (Pas de fichier)
FF Plugin: @videolan.org/vlc,version=3.0.10 -> D:\vlc\npvlc.dll [Pas de fichier]
FF Plugin: @videolan.org/vlc,version=3.0.14 -> D:\vlc\npvlc.dll [Pas de fichier]
FF Plugin: @videolan.org/vlc,version=3.0.16 -> D:\vlc\npvlc.dll [Pas de fichier]
S2 ShieldVPNService; "C:\Program Files (x86)\ShieldVPN\shieldsvc.exe" [X]
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
Task: {83F8EA17-8073-4426-B13A-730DF989BBF3} - System32\Tasks\Microsoft\Windows\ExploitGuard\ExploitGuard MDM policy RefresheIt9qX => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [491520 2023-10-12] (Microsoft Windows -> Microsoft Corporation) -> -WindowStyle Hidden -ExecutionPolicy Bypass -File "C:\WINDOWS\System32\2203.tmp\2204.tmp.ps1"
Task: {5410C6AD-0EB1-4E91-84EF-8A578762B08E} - System32\Tasks\Microsoft\Windows\License Manager\TempSignedLicenseExchangeKbhYOwk => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [491520 2023-10-12] (Microsoft Windows -> Microsoft Corporation) -> -WindowStyle Hidden -ExecutionPolicy Bypass -File "C:\WINDOWS\System32\986C.tmp\986D.tmp.ps1"
Task: {C3AC2219-CD76-42C3-9274-C1F973EC7CEF} - System32\Tasks\Microsoft\Windows\Maintenance\WinSAT4zzXx6 => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [491520 2023-10-12] (Microsoft Windows -> Microsoft Corporation) -> -WindowStyle Hidden -ExecutionPolicy Bypass -File "C:\WINDOWS\System32\728.tmp\729.tmp.ps1"
Task: {3C264CB4-5855-4A6A-8319-FA8965CAF0F3} - System32\Tasks\Microsoft\Windows\RestartManager\Gm3Ige => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [491520 2023-10-12] (Microsoft Windows -> Microsoft Corporation) -> -WindowStyle Hidden -ExecutionPolicy Bypass -File "C:\WINDOWS\System32\60D3.tmp\60D4.tmp.ps1"
Task: {8EFE3E3E-25DB-40C2-B195-D59792AB2BCD} - System32\Tasks\Microsoft\Windows\WindowsColorSystem\Calibration LoaderGS7Qp6E => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [491520 2023-10-12] (Microsoft Windows -> Microsoft Corporation) -> -WindowStyle Hidden -ExecutionPolicy Bypass -File "C:\WINDOWS\System32\CA10.tmp\CA20.tmp.ps1"
CustomCLSID: HKU\S-1-5-21-821717747-1728088732-3174729382-1001_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92}\InprocServer32 -> C:\Users\theo-\AppData\Local\Microsoft\TeamsMeetingAddin\1.0.20244.4\x64\Microsoft.Teams.AddinLoader.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-821717747-1728088732-3174729382-1001_Classes\CLSID\{d1b22d3d-8585-53a6-acb3-0e803c7e8d2a}\localserver32 -> "C:\Users\theo-\AppData\Local\Microsoft\Teams\current\Teams.exe" --toast => Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> Pas de fichier
SearchScopes: HKU\S-1-5-21-821717747-1728088732-3174729382-1001 -> DefaultScope {119F8581-76FD-49B7-9F0E-4554003495E9} URL =
C:\WINDOWS\System32\CA10.tmp
C:\WINDOWS\System32\60D3.tmp
C:\WINDOWS\System32\728.tmp
C:\WINDOWS\System32\986C.tmp
C:\WINDOWS\System32\2203.tmp
EmptyTemp:
End::
3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://www.cjoint.com/ puis donne le lien généré par https://www.cjoint.com/ dans ta réponse.
5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT
Merci ! voici le fixlog
https://www.cjoint.com/c/MKpl3AYuESC
bonne journée
15 nov. 2023 à 13:32
Le fixlog est OK, normalement tu ne dois plus être embêté par powershell, par prudence change tes mots de passe en ligne qui sont sensibles et importants pour toi.
Désinstalle FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre questionPlus de powershell, merci beaucoup !
Je vais changer mes mots de passe.
bonne journée
15 nov. 2023 à 15:37
Bonne journée également.
Modifié le 30 oct. 2023 à 12:34
Bonjour,
Merci beaucoup pour votre réponse rapide !
Voilà les deux liens :
https://www.cjoint.com/c/MJElaBlxxql
https://www.cjoint.com/c/MJElbg8xqNl
Autre question : Hier, j'ai envoyé un mail très important avec des documents pdf en pièce jointe, est-ce que ces messages représentent un danger pour mon destinataire ?
Modifié le 30 oct. 2023 à 12:33
Bonjour.
Non.
Par contre une fois la désinfection terminée je te conseille de changer tes mots de passe en ligne sensibles et importants pour toi.
Procédure à faire dans l'ordre indiqué :
1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://www.cjoint.com/ puis donne le lien généré par https://www.cjoint.com/ dans ta réponse.
5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT
Modifié le 30 oct. 2023 à 12:30
Voilà le lien du fichier Fixlog : https://www.cjoint.com/c/MJElycKceUl
La fenêtre indésirable est apparue pendant pendant que FRST s'exécutait mais je ne l'ai pas revue depuis le redémarrage, merci !