Virus PowerShell.

Résolu

Belze - Modifié le 29 janv. 2024 à 22:32
bazfile Messages postés 54258 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 19 mai 2024 - 23 janv. 2024 à 21:44

Bonjour, j’ai le même problème que certaine personne une fenêtre qui pop quelque seconde à l’ouverture de mon pc écrits C:\Windows\System32\WindowsPowerShell\v1.0/powershell.exe avec un écran vide il est dit que c’est probablement un virus quelqu’un pourrais m’aider

iPhone / Safari 17.2

A voir également:

Rtkauduservice64 c'est quoi
Powershell virus - Guide
Svchost.exe virus - Guide
Youtu.be virus - Guide
Faux message virus iphone - Forum iPhone
Myavids virus ✓ - Forum Téléphones & tablettes Android

2 réponses

Réponse 1 / 2

bazfile Messages postés 54258 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 19 mai 2024 18 653
23 janv. 2024 à 09:51

Bonjour.

Télécharge FRST .

Une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :

Attend que le message l'outil est prêt à fonctionner s'affiche puis clique sur Analyser

Attention, attendre que les messages disant que l'analyse est terminée s'affichent.

À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition.

Ensuite envoie les rapports FRST et ADDITION sur https://www.cjoint.com/ puis donne les deux liens générés par https://www.cjoint.com/ dans ta réponse.

belze
Modifié le 23 janv. 2024 à 15:00

merci voici les liens https://www.cjoint.com/c/NAxnX3xMELL https://www.cjoint.com/c/NAxn2z7PYjL

bazfile Messages postés 54258 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 19 mai 2024 18 653 > belze
23 janv. 2024 à 15:13

Pas d'infection sur ton pc, la fenêtre powershell est probablement due à un logiciel légitime qui se lance au démarrage du pc, l'infection powershell se caractérise par des fenêtres incessantes qui se lancent à intervalles régulier et non pas uniquement au démarrage du pc.

Il y a juste quelques processus orphelins si tu souhaites les supprimer fait ce qui suit.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
Task: {2A7FF86C-15E5-4B9D-A057-3268CD7494D6} - pas de chemin du fichier. 
HKLM\...\Run: [RtkAudUService] => "C:\WINDOWS\System32\RtkAudUService64.exe" -background (Pas de fichier)
HKU\S-1-5-21-2373737111-2348557844-526988117-1001\...\Run: [GoogleDriveSync] => "C:\Program Files\Google\Drive\googledrivesync.exe" /autostart (Pas de fichier)
HKU\S-1-5-21-2373737111-2348557844-526988117-1001\...\Run: [Adobe Reader Synchronizer] => "C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\AdobeCollabSync.exe" (Pas de fichier)
HKU\S-1-5-21-2373737111-2348557844-526988117-1001\...\Run: [TouchPortal] => C:\Program Files (x86)\Touch Portal\TouchPortal.exe (Pas de fichier)
HKU\S-1-5-18\...\Run: [Norton Download ManagerFORCE_UPGRADE_22_22_9] => C:\PROGRA~3\Norton\{0C55C~1\NORTON~1.EXE /m /noui /instversion "22.22.9" (Pas de fichier)
HKU\S-1-5-18\...\Run: [Norton Download ManagerFORCE_UPGRADE_22_23_5] => C:\PROGRA~3\Norton\{0C55C~1\NORTON~1.EXE /m /noui /instversion "22.23.5" (Pas de fichier)
Task: {19044182-4CD7-487C-9DB9-78810057606E} - System32\Tasks\ASUS\ArmouryAIOFanServer => C:\Program Files (x86)\ASUS\ArmouryDevice\dll\AIOFanSDK\ArmouryAIOFanServer.exe  (Pas de fichier)
Task: {D4FCA209-1B58-4812-9B8F-9769A5B94EB6} - System32\Tasks\ASUS\P508PowerAgent_sdk => C:\Program Files (x86)\ASUS\ArmouryDevice\dll\ShareFromArmouryIII\Mouse\ROG STRIX CARRY\P508PowerAgent.exe  (Pas de fichier)
Task: {2174523E-7286-47E1-B83A-D877325AE4F2} - System32\Tasks\NahimicAPISvc32Run => "C:\Program Files\NahimicAPI\x86\NahimicAPISvc32.exe"  $(Arg0) $(Arg1) $(Arg2) $(Arg3) $(Arg4) $(Arg5) $(Arg6) $(Arg7) (Pas de fichier)
Task: {EB58468C-FEA8-4E86-8F0F-F8099AA19BAF} - System32\Tasks\NahimicAPISvc64Run => "C:\Program Files\NahimicAPI\NahimicAPISvc64.exe"  $(Arg0) $(Arg1) $(Arg2) $(Arg3) $(Arg4) $(Arg5) $(Arg6) $(Arg7) (Pas de fichier)
Task: {2E35C522-FA6D-479D-AA77-BAE247FCB8D1} - System32\Tasks\NahimicSvc32Run => "C:\Windows\SysWOW64\NahimicSvc32.exe"  $(Arg0) $(Arg1) $(Arg2) $(Arg3) $(Arg4) $(Arg5) $(Arg6) $(Arg7) (Pas de fichier)
Task: {3467C22F-E476-44EE-A1E2-19D72677DA1D} - System32\Tasks\NahimicSvc64Run => "C:\Windows\system32\NahimicSvc64.exe"  $(Arg0) $(Arg1) $(Arg2) $(Arg3) $(Arg4) $(Arg5) $(Arg6) $(Arg7) (Pas de fichier)
Task: {BCB40335-71D8-47FE-8008-849ACDCA6BC4} - System32\Tasks\NahimicTask32 => C:\WINDOWS\system32\..\SysWOW64\NahimicSvc32.exe  $(Arg0) $(Arg1) $(Arg2) $(Arg3) $(Arg4) $(Arg5) $(Arg6) $(Arg7) (Pas de fichier)
Task: {98124611-DE1A-4010-8A99-72817FAECEE3} - System32\Tasks\NahimicTask64 => C:\WINDOWS\system32\.\NahimicSvc64.exe  $(Arg0) $(Arg1) $(Arg2) $(Arg3) $(Arg4) $(Arg5) $(Arg6) $(Arg7) (Pas de fichier)
Task: {110E7F6D-769C-400C-9F6C-62ED97745C02} - System32\Tasks\Overwolf Updater Task => C:\Program Files (x86)\Overwolf\OverwolfUpdater.exe  /RunningFrom Schedule (Pas de fichier)
S3 digiSPTIService64; "C:\Program Files\Avid\Pro Tools First\digisptiservice64.exe" [X]
S2 HPPrintScanDoctorService; "C:\Program Files\HPPrintScanDoctor\HPPrintScanDoctorService.exe" [X]
S2 NahimicService; "%SystemRoot%\system32\NahimicService.exe" [X]
S3 OverwolfUpdater; "C:\Program Files (x86)\Overwolf\OverwolfUpdater.exe" /RunningFrom SCM [X]
S3 UElevationService; "C:\Program Files\Ultra\Application\8.0.1.21\elevation_service.exe" [X]
S3 cpuz152; \??\C:\WINDOWS\temp\cpuz152\cpuz152_x64.sys [X] 
S3 cpuz154; \??\C:\WINDOWS\temp\cpuz154\cpuz154_x64.sys [X] 
S3 cpuz158; \??\C:\WINDOWS\temp\cpuz158\cpuz158_x64.sys [X] 
S1 EneTechIo; \??\C:\Windows\system32\drivers\ene.sys [X]
cmd: netsh advfirewall reset
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://www.cjoint.com/ puis donne le lien généré par https://www.cjoint.com/ dans ta réponse.

Belze > bazfile Messages postés 54258 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 19 mai 2024
23 janv. 2024 à 15:33

Super merci à toi

belze > bazfile Messages postés 54258 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 19 mai 2024
23 janv. 2024 à 15:51

voici le liens https://www.cjoint.com/c/NAxoZlmpOOL

Réponse 2 / 2

bazfile Messages postés 54258 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 19 mai 2024 18 653
23 janv. 2024 à 16:06

Le fixlog est OK.

Désinstalle FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.

Belze
23 janv. 2024 à 21:37

Merci beaucoup encore ☺️

bazfile Messages postés 54258 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 19 mai 2024 18 653 > Belze
23 janv. 2024 à 21:44

De rien.

@+ sur CCM.

Discussions similaires

Est ce que le site tlauncher est dangereux ?

4 virus en raison d’un porno ????

Comment savoir si j'ai attrapé un virus sur mon téléphone ?

Virus Altruistic

problême Opéra est ce un virus??

Virus PowerShell.

2 réponses

Votre réponse

Discussions similaires

Newsletters