Virus powershell ouverture de fenetre intempestive

Résolu
olivier -  
bazfile Messages postés 58573 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -

Bonjour, Depuis un moment déja j'ai ce problème de fenètre intempestive windows powershell qui souvre réguliérement. J'ai lu pas mal de sujet à ce propos et fait  mes 2 fichiers FRST pour avoir un petit coup de main

https://www.cjoint.com/c/NDjgSYv8a7q

https://www.cjoint.com/c/NDjgTn7zwGq

merci d'avance


Windows / Firefox 124.0

A voir également:

6 réponses

Réponse 1 / 6
bazfile Messages postés 58573 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   19 786
 

Bonjour.

Pas mal de choses ont été modifiées sur ton pc notamment des restrictions logicielles est-ce toi qui les a modifiées ?

En fonction de ta réponse je te ferais un script de désinfection.
0
Réponse 2 / 6
olivier
 

j'ai juste restreint l'ouverture de PowerShell en essayant de le bloquer et je me suis vite aperçu que cela ne servais à rien

cordialement  
0
Réponse 3 / 6
bazfile Messages postés 58573 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   19 786
 

Désinstalle WebAdvisor par McAfee c'est un adware.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% 
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% 
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction 
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction 
GroupPolicy: Restriction ? 
GroupPolicy\User: Restriction ? 
Policies: C:\ProgramData\NTUSER.pol: Restriction 
HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction 
HKU\S-1-5-21-269562173-765046628-634544201-1006\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction 
HKU\S-1-5-21-269562173-765046628-634544201-1008\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction 
HKLM\...\RunOnce: [Delete Cached Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Program Files\Microsoft OneDrive\Update\OneDriveSetup.exe" (Pas de fichier)
HKU\S-1-5-21-269562173-765046628-634544201-1006\...\Policies\Explorer\DisallowRun: [1] powershell.exe
Task: {C95B2047-ACAC-4618-99CC-E7E243B0350A} - System32\Tasks\Microsoft\Windows\Bluetooth\UninstallDeviceTask => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [450560 2024-01-24] (Microsoft Windows -> Microsoft Corporation) -> -ExecutionPolicy Bypass -WindowStyle Hidden -File C:\WINDOWS\mid.ps1
Task: {86F78C51-A6C5-4388-955C-B3B5E4708024} - System32\Tasks\Acronis => C:\Windows\system32\acronis_reset.bat  -task (Pas de fichier)
Task: {EB180DF4-446F-4E4A-904A-A26B6A645F82} - System32\Tasks\Intelligent StandbyList Cleaner => C:\Users\atelier\Downloads\ISLC v1.0.2.9\Intelligent standby list cleaner ISLC.exe  (Pas de fichier)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Pas de fichier)
S4 EpsonCustomerResearchParticipation; "C:\Program Files\EPSON\EpsonCustomerResearchParticipation\EPCP.exe" [X]
U4 DiagTrack; pas de ImagePath
CustomCLSID: HKU\S-1-5-21-269562173-765046628-634544201-1006_Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}\InprocServer32 ->  => Pas de fichier
ShellIconOverlayIdentifiers: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} =>  -> Pas de fichier
ShellIconOverlayIdentifiers: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} =>  -> Pas de fichier
ShellIconOverlayIdentifiers: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} =>  -> Pas de fichier
FirewallRules: [TCP Query User{FB3D726E-8F75-46FB-87E5-869C083A5C75}C:\gog games\baldurs gate 3\bin\bg3_dx11.exe] => (Allow) C:\gog games\baldurs gate 3\bin\bg3_dx11.exe => Pas de fichier
FirewallRules: [UDP Query User{F84359C8-9557-438B-B4CE-50CAD26AE1AB}C:\gog games\baldurs gate 3\bin\bg3_dx11.exe] => (Allow) C:\gog games\baldurs gate 3\bin\bg3_dx11.exe => Pas de fichier
FirewallRules: [TCP Query User{41AE9DE3-29BC-4FC8-8B15-4D61E4210C24}C:\games\cities skylines ii\cities2.exe] => (Allow) C:\games\cities skylines ii\cities2.exe => Pas de fichier
FirewallRules: [UDP Query User{DCFF5764-4A1A-441E-89EB-CCC4E7AE0546}C:\games\cities skylines ii\cities2.exe] => (Allow) C:\games\cities skylines ii\cities2.exe => Pas de fichier
FirewallRules: [TCP Query User{19299F40-B4BD-4533-95C7-421D6264E1EE}C:\users\atelier\downloads\enshrouded\enshrouded.exe] => (Allow) C:\users\atelier\downloads\enshrouded\enshrouded.exe => Pas de fichier
FirewallRules: [UDP Query User{C5C8EEB9-0A62-456D-9D34-33ACB3CE0F0B}C:\users\atelier\downloads\enshrouded\enshrouded.exe] => (Allow) C:\users\atelier\downloads\enshrouded\enshrouded.exe => Pas de fichier
FirewallRules: [TCP Query User{0082BCD1-AE4F-451C-929E-B0F89129D7BD}C:\users\atelier\downloads\infection.free.zone.build.13680534-1\infection.free.zone.build.13680534\infection free zone.exe] => (Allow) C:\users\atelier\downloads\infection.free.zone.build.13680534-1\infection.free.zone.build.13680534\infection free zone.exe => Pas de fichier
FirewallRules: [UDP Query User{07AADBD2-D132-4A33-B200-7D2E544A5A66}C:\users\atelier\downloads\infection.free.zone.build.13680534-1\infection.free.zone.build.13680534\infection free zone.exe] => (Allow) C:\users\atelier\downloads\infection.free.zone.build.13680534-1\infection.free.zone.build.13680534\infection free zone.exe => Pas de fichier
FirewallRules: [{ECF33972-ED3F-4C19-9EAA-7FD2DB56763C}] => (Allow) C:\Program Files (x86)\Overwolf\0.243.0.9\OverwolfBrowser.exe => Pas de fichier
FirewallRules: [{0BFAFA5A-47C6-4397-886F-D7A9A02A980C}] => (Allow) C:\Program Files (x86)\Overwolf\0.243.0.9\OverwolfBrowser.exe => Pas de fichier
FirewallRules: [{73460832-092E-4BBA-9CB7-CE1DB4A59567}] => (Block) C:\Program Files (x86)\Overwolf\0.243.0.9\OverwolfBrowser.exe => Pas de fichier
FirewallRules: [{147DB696-BB12-4350-84CA-79FF1BF3BA11}] => (Block) C:\Program Files (x86)\Overwolf\0.243.0.9\OverwolfBrowser.exe => Pas de fichier
C:\WINDOWS\mid.ps1
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://www.cjoint.com/ puis donne le lien généré par https://www.cjoint.com/ dans ta réponse.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT
0
Réponse 4 / 6
olivier
 

voici le lien de Fixlog

https://www.cjoint.com/c/NDjmZ5Q2YKq
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 6
olivier
 

le problème est apparemment bien disparu et je t'en remercie
0
Réponse 6 / 6
bazfile Messages postés 58573 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   19 786
 

Le fixlog est OK.


Désinstalle FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.
0

Discussions similaires

iCloud affichage fenêtres intempestives. Réglages impossible.
jemlabd -
jemlabd -

9 réponses
Conhost.exe
ThaBestGamer -
bazfile -

3 réponses
Fenetre intempestive
coco7676 -
coco7676 -

4 réponses
Fenêtre de connexion iCloud...
Utilisateur anonyme -
Utilisateur anonyme -

16 réponses
Caler une adresse au niveau de la fenêtre d'une enveloppe
®omain -
kent -

15 réponses