Supprimer le virus Powershell ?

Résolu/Fermé

AlArash33 -
bazfile Messages postés 58606 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention - 23 mars 2024 à 16:11

Bonjour à tous. J'ai depuis pas mal de temps mon Cpu qui tourne à 50% de charge en idle (non indiqué dans l'onglet performance de windows mais bien dans CoreTemp) depuis pas mal de temps. Je me suis rendu compte qu'un processus Powershell popait discrètement et qu'a la fermeture de celui-ci le watercooling se calme, mais que dans les secondes qui suivent il re pop de la même manière et ce de manière infinie.

Une solution ? Merci d'avance

Afficher la suite

A voir également:

Dlhost
Supprimer rond bleu whatsapp - Guide
Supprimer une page word - Guide
Comment supprimer fausse alerte virus mcafee - Accueil - Piratage
Supprimer pub youtube - Accueil - Streaming
Fichier impossible à supprimer - Guide

4 réponses

Réponse 1 / 4

bazfile Messages postés 58606 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 19 804

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction 
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction 
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction 
HKLM\SOFTWARE\Policies\Google: Restriction 
HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction 
HKU\S-1-5-21-1502531641-4055691904-2232484488-1001\...\Run: [Reference 4 Systemwide.exe] => C:\Program Files\Sonarworks\Reference 4\Systemwide\Reference 4 Systemwide.exe --hide-systemwide (Pas de fichier)
HKU\S-1-5-21-1502531641-4055691904-2232484488-1001\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-21-1502531641-4055691904-2232484488-1001\...\Policies\Explorer\DisallowRun: [1] mshta.exe
HKU\S-1-5-21-1502531641-4055691904-2232484488-1001\...\Policies\Explorer\DisallowRun: [2] powershell.exe
Task: {83BC1E46-CC05-4C74-AE39-9EB55B8FC4CB} - System32\Tasks\Microsoft\Windows\Bluetooth\UninstallDeviceTask => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [450560 2024-01-25] (Microsoft Windows -> Microsoft Corporation) -> -ExecutionPolicy Bypass -WindowStyle Hidden -File C:\WINDOWS\mid.ps1
Task: {60045ADC-4B30-4BA9-B364-D67269EA2829} - System32\Tasks\MSI Task Host - Detect_Monitor => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [450560 2024-01-25] (Microsoft Windows -> Microsoft Corporation) -> -ExecutionPolicy ByPass -WindowStyle Hidden C:\Users\guill\AppData\Roaming\Winsoft\core.ps1
Task: {A1F32BA1-0415-4FF4-8D36-61C35B500091} - System32\Tasks\ASUS Live Update2 => "C:\Program Files\Google\Chrome\Application\chrome.exe"  localdrive.win (Pas de fichier)
Task: {7B8ADEC5-CC2E-4B48-8AE2-0FC1BFFD00F6} - System32\Tasks\ASUS\P508PowerAgent_sdk => C:\Program Files (x86)\ASUS\ArmouryDevice\dll\ShareFromArmouryIII\Mouse\ROG STRIX CARRY\P508PowerAgent.exe  (Pas de fichier)
Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => %SystemRoot%\System32\MbaeParserTask.exe  (Pas de fichier)
Task: {A90EC9FE-EF04-419E-815A-43F4BB3CFF6B} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => %systemroot%\system32\MusNotification.exe  /RunOnAC RebootDialog (Pas de fichier)
Task: {0DC50CB9-2136-4170-83A9-89D9BD77BBD3} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery => %systemroot%\system32\MusNotification.exe  /RunOnBattery RebootDialog (Pas de fichier)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Pas de fichier)
FF Plugin HKU\S-1-5-21-1502531641-4055691904-2232484488-1001: @acestream.net/acestreamplugin,version=3.1.74 -> C:\Users\guill\AppData\Roaming\ACEStream\player\npace_plugin.dll [Pas de fichier]
S3 EAAntiCheat; system32\drivers\eaanticheat.sys [X]
S3 HWiNFO_180; \??\C:\Users\guill\AppData\Local\Temp\HWiNFO64A_180.SYS [X] 
S1 MSIO; \??\C:\Windows\system32\drivers\MsIo64.sys [X]
S3 R0FanControl; \??\C:\Users\guill\AppData\Local\Temp\Rar$EXa6784.49800\FanControl.sys [X] 
S3 SIUSBXP; \??\C:\Windows\system32\drivers\SiUSBXp.sys [X]
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
CustomCLSID: HKU\S-1-5-21-1502531641-4055691904-2232484488-1001_Classes\CLSID\{021E4F06-9DCC-49AD-88CF-ECC2DA314C8A}\localserver32 -> "C:\Users\guill\AppData\Local\Microsoft\OneDrive\23.147.0716.0001\FileCoAuth.exe" => Pas de fichier
CustomCLSID: HKU\S-1-5-21-1502531641-4055691904-2232484488-1001_Classes\CLSID\{07CA83F0-DF06-4E67-89DD-E80924A49512}\localserver32 -> "C:\Users\guill\AppData\Local\Microsoft\OneDrive\23.147.0716.0001\FileCoAuth.exe" => Pas de fichier
CustomCLSID: HKU\S-1-5-21-1502531641-4055691904-2232484488-1001_Classes\CLSID\{0827D883-485C-4D62-BA2C-A332DBF3D4B0}\localserver32 -> "C:\Users\guill\AppData\Local\Microsoft\OneDrive\23.147.0716.0001\FileCoAuth.exe" => Pas de fichier
CustomCLSID: HKU\S-1-5-21-1502531641-4055691904-2232484488-1001_Classes\CLSID\{389510b7-9e58-40d7-98bf-60b911cb0ea9}\localserver32 -> "C:\Users\guill\AppData\Local\Microsoft\OneDrive\23.147.0716.0001\FileCoAuth.exe" => Pas de fichier
CustomCLSID: HKU\S-1-5-21-1502531641-4055691904-2232484488-1001_Classes\CLSID\{4410DC33-BC7C-496B-AA84-4AEA3EEE75F7}\InprocServer32 -> C:\Users\guill\AppData\Local\Microsoft\OneDrive\23.147.0716.0001\FileCoAuthLib64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-1502531641-4055691904-2232484488-1001_Classes\CLSID\{47E6DCAF-41F8-441C-BD0E-A50D5FE6C4D1}\localserver32 -> "C:\Users\guill\AppData\Local\Microsoft\OneDrive\23.147.0716.0001\Microsoft.SharePoint.exe" => Pas de fichier
CustomCLSID: HKU\S-1-5-21-1502531641-4055691904-2232484488-1001_Classes\CLSID\{71DCE5D6-4B57-496B-AC21-CD5B54EB93FD}\localserver32 -> "C:\Users\guill\AppData\Local\Microsoft\OneDrive\23.147.0716.0001\FileCoAuth.exe" => Pas de fichier
CustomCLSID: HKU\S-1-5-21-1502531641-4055691904-2232484488-1001_Classes\CLSID\{917E8742-AA3B-7318-FA12-10485FB322A2}\localserver32 -> "C:\Users\guill\AppData\Local\Microsoft\OneDrive\23.147.0716.0001\Microsoft.SharePoint.exe" => Pas de fichier
CustomCLSID: HKU\S-1-5-21-1502531641-4055691904-2232484488-1001_Classes\CLSID\{94269C4E-071A-4116-90E6-52E557067E4E}\localserver32 -> "C:\Users\guill\AppData\Local\Microsoft\OneDrive\23.147.0716.0001\FileCoAuth.exe" => Pas de fichier
CustomCLSID: HKU\S-1-5-21-1502531641-4055691904-2232484488-1001_Classes\CLSID\{9489FEB2-1925-4D01-B788-6D912C70F7F2}\localserver32 -> "C:\Users\guill\AppData\Local\Microsoft\OneDrive\23.147.0716.0001\FileCoAuth.exe" => Pas de fichier
CustomCLSID: HKU\S-1-5-21-1502531641-4055691904-2232484488-1001_Classes\CLSID\{A926714B-7BFC-4D08-A035-80021395FFA8}\localserver32 -> "C:\Users\guill\AppData\Local\Microsoft\OneDrive\23.147.0716.0001\FileCoAuth.exe" => Pas de fichier
CustomCLSID: HKU\S-1-5-21-1502531641-4055691904-2232484488-1001_Classes\CLSID\{F37369D9-1C22-40A0-A997-0B4D5F7B6637}\localserver32 -> "C:\Users\guill\AppData\Local\Microsoft\OneDrive\23.147.0716.0001\FileCoAuth.exe" => Pas de fichier
HKLM\Software\...\Authentication\Credential Providers: [{C885AA15-1764-4293-B82A-0586ADD46B35}] -> 
C:\Windows\svshost.exe
C:\Windows\DlHost.exe
C:\Users\guill\AppData\Roaming\Winsoft 
cmd: netsh advfirewall reset
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://www.cjoint.com/ puis donne le lien généré par https://www.cjoint.com/ dans ta réponse.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT.

AlArash33

Fixlog : https://www.cjoint.com/c/NCxo20o6mBT

Ca a l'air de fonctionner ! Merci !

Réponse 2 / 4

bazfile Messages postés 58606 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 19 804

Bonjour.

Télécharge FRST .

Une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :

Attend que le message l'outil est prêt à fonctionner s'affiche puis clique sur Analyser

Attention, attendre que les messages disant que l'analyse est terminée s'affichent.

À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition.

Ensuite envoie les rapports FRST et ADDITION sur https://www.cjoint.com/ puis donne les deux liens générés par https://www.cjoint.com/ dans ta réponse.

Réponse 3 / 4

AlArash33

Merci.

Voici mes deux résultats FRST :

https://www.cjoint.com/c/NCxnMSAapyT

https://www.cjoint.com/c/NCxnNVVFfHT

Réponse 4 / 4

bazfile Messages postés 58606 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 19 804

Le fixlog est OK.

Désinstalle FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.