Virus powershell ouverture de fenetre intempestive

Résolu
olivier -  
bazfile Messages postés 58573 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -

Bonjour, Depuis un moment déja j'ai ce problème de fenètre intempestive windows powershell qui souvre réguliérement. J'ai lu pas mal de sujet à ce propos et fait  mes 2 fichiers FRST pour avoir un petit coup de main

https://www.cjoint.com/c/NDjgSYv8a7q

https://www.cjoint.com/c/NDjgTn7zwGq

merci d'avance


Windows / Firefox 124.0

A voir également:

6 réponses

bazfile Messages postés 58573 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   19 786
 

Bonjour.

Pas mal de choses ont été modifiées sur ton pc notamment des restrictions logicielles est-ce toi qui les a modifiées ?

En fonction de ta réponse je te ferais un script de désinfection.


0
olivier
 

j'ai juste restreint l'ouverture de PowerShell en essayant de le bloquer et je me suis vite aperçu que cela ne servais à rien

cordialement  

0
bazfile Messages postés 58573 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   19 786
 

Désinstalle WebAdvisor par McAfee c'est un adware.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% 
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% 
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction 
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction 
GroupPolicy: Restriction ? 
GroupPolicy\User: Restriction ? 
Policies: C:\ProgramData\NTUSER.pol: Restriction 
HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction 
HKU\S-1-5-21-269562173-765046628-634544201-1006\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction 
HKU\S-1-5-21-269562173-765046628-634544201-1008\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction 
HKLM\...\RunOnce: [Delete Cached Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Program Files\Microsoft OneDrive\Update\OneDriveSetup.exe" (Pas de fichier)
HKU\S-1-5-21-269562173-765046628-634544201-1006\...\Policies\Explorer\DisallowRun: [1] powershell.exe
Task: {C95B2047-ACAC-4618-99CC-E7E243B0350A} - System32\Tasks\Microsoft\Windows\Bluetooth\UninstallDeviceTask => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [450560 2024-01-24] (Microsoft Windows -> Microsoft Corporation) -> -ExecutionPolicy Bypass -WindowStyle Hidden -File C:\WINDOWS\mid.ps1
Task: {86F78C51-A6C5-4388-955C-B3B5E4708024} - System32\Tasks\Acronis => C:\Windows\system32\acronis_reset.bat  -task (Pas de fichier)
Task: {EB180DF4-446F-4E4A-904A-A26B6A645F82} - System32\Tasks\Intelligent StandbyList Cleaner => C:\Users\atelier\Downloads\ISLC v1.0.2.9\Intelligent standby list cleaner ISLC.exe  (Pas de fichier)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Pas de fichier)
S4 EpsonCustomerResearchParticipation; "C:\Program Files\EPSON\EpsonCustomerResearchParticipation\EPCP.exe" [X]
U4 DiagTrack; pas de ImagePath
CustomCLSID: HKU\S-1-5-21-269562173-765046628-634544201-1006_Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}\InprocServer32 ->  => Pas de fichier
ShellIconOverlayIdentifiers: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} =>  -> Pas de fichier
ShellIconOverlayIdentifiers: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} =>  -> Pas de fichier
ShellIconOverlayIdentifiers: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} =>  -> Pas de fichier
FirewallRules: [TCP Query User{FB3D726E-8F75-46FB-87E5-869C083A5C75}C:\gog games\baldurs gate 3\bin\bg3_dx11.exe] => (Allow) C:\gog games\baldurs gate 3\bin\bg3_dx11.exe => Pas de fichier
FirewallRules: [UDP Query User{F84359C8-9557-438B-B4CE-50CAD26AE1AB}C:\gog games\baldurs gate 3\bin\bg3_dx11.exe] => (Allow) C:\gog games\baldurs gate 3\bin\bg3_dx11.exe => Pas de fichier
FirewallRules: [TCP Query User{41AE9DE3-29BC-4FC8-8B15-4D61E4210C24}C:\games\cities skylines ii\cities2.exe] => (Allow) C:\games\cities skylines ii\cities2.exe => Pas de fichier
FirewallRules: [UDP Query User{DCFF5764-4A1A-441E-89EB-CCC4E7AE0546}C:\games\cities skylines ii\cities2.exe] => (Allow) C:\games\cities skylines ii\cities2.exe => Pas de fichier
FirewallRules: [TCP Query User{19299F40-B4BD-4533-95C7-421D6264E1EE}C:\users\atelier\downloads\enshrouded\enshrouded.exe] => (Allow) C:\users\atelier\downloads\enshrouded\enshrouded.exe => Pas de fichier
FirewallRules: [UDP Query User{C5C8EEB9-0A62-456D-9D34-33ACB3CE0F0B}C:\users\atelier\downloads\enshrouded\enshrouded.exe] => (Allow) C:\users\atelier\downloads\enshrouded\enshrouded.exe => Pas de fichier
FirewallRules: [TCP Query User{0082BCD1-AE4F-451C-929E-B0F89129D7BD}C:\users\atelier\downloads\infection.free.zone.build.13680534-1\infection.free.zone.build.13680534\infection free zone.exe] => (Allow) C:\users\atelier\downloads\infection.free.zone.build.13680534-1\infection.free.zone.build.13680534\infection free zone.exe => Pas de fichier
FirewallRules: [UDP Query User{07AADBD2-D132-4A33-B200-7D2E544A5A66}C:\users\atelier\downloads\infection.free.zone.build.13680534-1\infection.free.zone.build.13680534\infection free zone.exe] => (Allow) C:\users\atelier\downloads\infection.free.zone.build.13680534-1\infection.free.zone.build.13680534\infection free zone.exe => Pas de fichier
FirewallRules: [{ECF33972-ED3F-4C19-9EAA-7FD2DB56763C}] => (Allow) C:\Program Files (x86)\Overwolf\0.243.0.9\OverwolfBrowser.exe => Pas de fichier
FirewallRules: [{0BFAFA5A-47C6-4397-886F-D7A9A02A980C}] => (Allow) C:\Program Files (x86)\Overwolf\0.243.0.9\OverwolfBrowser.exe => Pas de fichier
FirewallRules: [{73460832-092E-4BBA-9CB7-CE1DB4A59567}] => (Block) C:\Program Files (x86)\Overwolf\0.243.0.9\OverwolfBrowser.exe => Pas de fichier
FirewallRules: [{147DB696-BB12-4350-84CA-79FF1BF3BA11}] => (Block) C:\Program Files (x86)\Overwolf\0.243.0.9\OverwolfBrowser.exe => Pas de fichier
C:\WINDOWS\mid.ps1
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://www.cjoint.com/ puis donne le lien généré par https://www.cjoint.com/ dans ta réponse.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT


0
olivier
 

voici le lien de Fixlog

https://www.cjoint.com/c/NDjmZ5Q2YKq

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
olivier
 

le problème est apparemment bien disparu et je t'en remercie

0
bazfile Messages postés 58573 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   19 786
 

Le fixlog est OK.


Désinstalle FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.


0