Sujet Précédent Sujet Suivant

Supprimer le virus Powershell ?

Résolu/Fermé
AlArash33 - Modifié le 14 mai 2024 à 01:15
bazfile Messages postés 56737 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 28 décembre 2024 - 23 mars 2024 à 16:11

Bonjour à tous. J'ai depuis pas mal de temps mon Cpu qui tourne à 50% de charge en idle (non indiqué dans l'onglet performance de windows mais bien dans CoreTemp) depuis pas mal de temps. Je me suis rendu compte qu'un processus Powershell popait discrètement et qu'a la fermeture de celui-ci le watercooling se calme, mais que dans les secondes qui suivent il re pop de la même manière et ce de manière infinie.

Une solution ? Merci d'avance

A voir également:

4 réponses

Réponse 1 / 4
bazfile Messages postés 56737 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 28 décembre 2024 19 351
Modifié le 23 mars 2024 à 15:45

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction 
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction 
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction 
HKLM\SOFTWARE\Policies\Google: Restriction 
HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction 
HKU\S-1-5-21-1502531641-4055691904-2232484488-1001\...\Run: [Reference 4 Systemwide.exe] => C:\Program Files\Sonarworks\Reference 4\Systemwide\Reference 4 Systemwide.exe --hide-systemwide (Pas de fichier)
HKU\S-1-5-21-1502531641-4055691904-2232484488-1001\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-21-1502531641-4055691904-2232484488-1001\...\Policies\Explorer\DisallowRun: [1] mshta.exe
HKU\S-1-5-21-1502531641-4055691904-2232484488-1001\...\Policies\Explorer\DisallowRun: [2] powershell.exe
Task: {83BC1E46-CC05-4C74-AE39-9EB55B8FC4CB} - System32\Tasks\Microsoft\Windows\Bluetooth\UninstallDeviceTask => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [450560 2024-01-25] (Microsoft Windows -> Microsoft Corporation) -> -ExecutionPolicy Bypass -WindowStyle Hidden -File C:\WINDOWS\mid.ps1
Task: {60045ADC-4B30-4BA9-B364-D67269EA2829} - System32\Tasks\MSI Task Host - Detect_Monitor => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [450560 2024-01-25] (Microsoft Windows -> Microsoft Corporation) -> -ExecutionPolicy ByPass -WindowStyle Hidden C:\Users\guill\AppData\Roaming\Winsoft\core.ps1
Task: {A1F32BA1-0415-4FF4-8D36-61C35B500091} - System32\Tasks\ASUS Live Update2 => "C:\Program Files\Google\Chrome\Application\chrome.exe"  localdrive.win (Pas de fichier)
Task: {7B8ADEC5-CC2E-4B48-8AE2-0FC1BFFD00F6} - System32\Tasks\ASUS\P508PowerAgent_sdk => C:\Program Files (x86)\ASUS\ArmouryDevice\dll\ShareFromArmouryIII\Mouse\ROG STRIX CARRY\P508PowerAgent.exe  (Pas de fichier)
Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => %SystemRoot%\System32\MbaeParserTask.exe  (Pas de fichier)
Task: {A90EC9FE-EF04-419E-815A-43F4BB3CFF6B} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => %systemroot%\system32\MusNotification.exe  /RunOnAC RebootDialog (Pas de fichier)
Task: {0DC50CB9-2136-4170-83A9-89D9BD77BBD3} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery => %systemroot%\system32\MusNotification.exe  /RunOnBattery RebootDialog (Pas de fichier)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Pas de fichier)
FF Plugin HKU\S-1-5-21-1502531641-4055691904-2232484488-1001: @acestream.net/acestreamplugin,version=3.1.74 -> C:\Users\guill\AppData\Roaming\ACEStream\player\npace_plugin.dll [Pas de fichier]
S3 EAAntiCheat; system32\drivers\eaanticheat.sys [X]
S3 HWiNFO_180; \??\C:\Users\guill\AppData\Local\Temp\HWiNFO64A_180.SYS [X] 
S1 MSIO; \??\C:\Windows\system32\drivers\MsIo64.sys [X]
S3 R0FanControl; \??\C:\Users\guill\AppData\Local\Temp\Rar$EXa6784.49800\FanControl.sys [X] 
S3 SIUSBXP; \??\C:\Windows\system32\drivers\SiUSBXp.sys [X]
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
CustomCLSID: HKU\S-1-5-21-1502531641-4055691904-2232484488-1001_Classes\CLSID\{021E4F06-9DCC-49AD-88CF-ECC2DA314C8A}\localserver32 -> "C:\Users\guill\AppData\Local\Microsoft\OneDrive\23.147.0716.0001\FileCoAuth.exe" => Pas de fichier
CustomCLSID: HKU\S-1-5-21-1502531641-4055691904-2232484488-1001_Classes\CLSID\{07CA83F0-DF06-4E67-89DD-E80924A49512}\localserver32 -> "C:\Users\guill\AppData\Local\Microsoft\OneDrive\23.147.0716.0001\FileCoAuth.exe" => Pas de fichier
CustomCLSID: HKU\S-1-5-21-1502531641-4055691904-2232484488-1001_Classes\CLSID\{0827D883-485C-4D62-BA2C-A332DBF3D4B0}\localserver32 -> "C:\Users\guill\AppData\Local\Microsoft\OneDrive\23.147.0716.0001\FileCoAuth.exe" => Pas de fichier
CustomCLSID: HKU\S-1-5-21-1502531641-4055691904-2232484488-1001_Classes\CLSID\{389510b7-9e58-40d7-98bf-60b911cb0ea9}\localserver32 -> "C:\Users\guill\AppData\Local\Microsoft\OneDrive\23.147.0716.0001\FileCoAuth.exe" => Pas de fichier
CustomCLSID: HKU\S-1-5-21-1502531641-4055691904-2232484488-1001_Classes\CLSID\{4410DC33-BC7C-496B-AA84-4AEA3EEE75F7}\InprocServer32 -> C:\Users\guill\AppData\Local\Microsoft\OneDrive\23.147.0716.0001\FileCoAuthLib64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-1502531641-4055691904-2232484488-1001_Classes\CLSID\{47E6DCAF-41F8-441C-BD0E-A50D5FE6C4D1}\localserver32 -> "C:\Users\guill\AppData\Local\Microsoft\OneDrive\23.147.0716.0001\Microsoft.SharePoint.exe" => Pas de fichier
CustomCLSID: HKU\S-1-5-21-1502531641-4055691904-2232484488-1001_Classes\CLSID\{71DCE5D6-4B57-496B-AC21-CD5B54EB93FD}\localserver32 -> "C:\Users\guill\AppData\Local\Microsoft\OneDrive\23.147.0716.0001\FileCoAuth.exe" => Pas de fichier
CustomCLSID: HKU\S-1-5-21-1502531641-4055691904-2232484488-1001_Classes\CLSID\{917E8742-AA3B-7318-FA12-10485FB322A2}\localserver32 -> "C:\Users\guill\AppData\Local\Microsoft\OneDrive\23.147.0716.0001\Microsoft.SharePoint.exe" => Pas de fichier
CustomCLSID: HKU\S-1-5-21-1502531641-4055691904-2232484488-1001_Classes\CLSID\{94269C4E-071A-4116-90E6-52E557067E4E}\localserver32 -> "C:\Users\guill\AppData\Local\Microsoft\OneDrive\23.147.0716.0001\FileCoAuth.exe" => Pas de fichier
CustomCLSID: HKU\S-1-5-21-1502531641-4055691904-2232484488-1001_Classes\CLSID\{9489FEB2-1925-4D01-B788-6D912C70F7F2}\localserver32 -> "C:\Users\guill\AppData\Local\Microsoft\OneDrive\23.147.0716.0001\FileCoAuth.exe" => Pas de fichier
CustomCLSID: HKU\S-1-5-21-1502531641-4055691904-2232484488-1001_Classes\CLSID\{A926714B-7BFC-4D08-A035-80021395FFA8}\localserver32 -> "C:\Users\guill\AppData\Local\Microsoft\OneDrive\23.147.0716.0001\FileCoAuth.exe" => Pas de fichier
CustomCLSID: HKU\S-1-5-21-1502531641-4055691904-2232484488-1001_Classes\CLSID\{F37369D9-1C22-40A0-A997-0B4D5F7B6637}\localserver32 -> "C:\Users\guill\AppData\Local\Microsoft\OneDrive\23.147.0716.0001\FileCoAuth.exe" => Pas de fichier
HKLM\Software\...\Authentication\Credential Providers: [{C885AA15-1764-4293-B82A-0586ADD46B35}] -> 
C:\Windows\svshost.exe
C:\Windows\DlHost.exe
C:\Users\guill\AppData\Roaming\Winsoft 
cmd: netsh advfirewall reset
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://www.cjoint.com/ puis donne le lien généré par https://www.cjoint.com/ dans ta réponse.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT.
1
AlArash33
23 mars 2024 à 15:59

Fixlog : https://www.cjoint.com/c/NCxo20o6mBT

Ca a l'air de fonctionner ! Merci !

0
Réponse 2 / 4
bazfile Messages postés 56737 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 28 décembre 2024 19 351
23 mars 2024 à 14:22

Bonjour.

Télécharge FRST .

Une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :

Attend que le message l'outil est prêt à fonctionner s'affiche puis clique sur Analyser

Attention, attendre que les messages disant que l'analyse est terminée s'affichent.

À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition.

Ensuite envoie les rapports FRST et ADDITION sur https://www.cjoint.com/ puis donne les deux liens générés par https://www.cjoint.com/ dans ta réponse. 
0
Réponse 3 / 4
AlArash33
Modifié le 23 mars 2024 à 15:41

Merci.

Voici mes deux résultats FRST :

https://www.cjoint.com/c/NCxnMSAapyT 

https://www.cjoint.com/c/NCxnNVVFfHT 
0
Réponse 4 / 4
bazfile Messages postés 56737 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 28 décembre 2024 19 351
23 mars 2024 à 16:11

Le fixlog est OK.


Désinstalle FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.
0