Virus powershell ouverture de fenetre intempestive
Résolu
olivier
-
9 avril 2024 à 08:49
bazfile Messages postés 54018 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 7 mai 2024 - 9 avril 2024 à 15:22
bazfile Messages postés 54018 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 7 mai 2024 - 9 avril 2024 à 15:22
A voir également:
- Virus powershell ouverture de fenetre intempestive
- Powershell virus - Guide
- Svchost.exe virus - Guide
- Page d'ouverture google - Guide
- Raccourci agrandir fenetre - Guide
- Fenetre privée - Guide
6 réponses
bazfile
Messages postés
54018
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
7 mai 2024
18 570
9 avril 2024 à 14:25
9 avril 2024 à 14:25
Bonjour.
Pas mal de choses ont été modifiées sur ton pc notamment des restrictions logicielles est-ce toi qui les a modifiées ?
En fonction de ta réponse je te ferais un script de désinfection.
j'ai juste restreint l'ouverture de PowerShell en essayant de le bloquer et je me suis vite aperçu que cela ne servais à rien
cordialement
bazfile
Messages postés
54018
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
7 mai 2024
18 570
Modifié le 9 avril 2024 à 14:45
Modifié le 9 avril 2024 à 14:45
Désinstalle WebAdvisor par McAfee c'est un adware.
Procédure à faire dans l'ordre indiqué :
1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction
GroupPolicy: Restriction ?
GroupPolicy\User: Restriction ?
Policies: C:\ProgramData\NTUSER.pol: Restriction
HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction
HKU\S-1-5-21-269562173-765046628-634544201-1006\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction
HKU\S-1-5-21-269562173-765046628-634544201-1008\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction
HKLM\...\RunOnce: [Delete Cached Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Program Files\Microsoft OneDrive\Update\OneDriveSetup.exe" (Pas de fichier)
HKU\S-1-5-21-269562173-765046628-634544201-1006\...\Policies\Explorer\DisallowRun: [1] powershell.exe
Task: {C95B2047-ACAC-4618-99CC-E7E243B0350A} - System32\Tasks\Microsoft\Windows\Bluetooth\UninstallDeviceTask => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [450560 2024-01-24] (Microsoft Windows -> Microsoft Corporation) -> -ExecutionPolicy Bypass -WindowStyle Hidden -File C:\WINDOWS\mid.ps1
Task: {86F78C51-A6C5-4388-955C-B3B5E4708024} - System32\Tasks\Acronis => C:\Windows\system32\acronis_reset.bat -task (Pas de fichier)
Task: {EB180DF4-446F-4E4A-904A-A26B6A645F82} - System32\Tasks\Intelligent StandbyList Cleaner => C:\Users\atelier\Downloads\ISLC v1.0.2.9\Intelligent standby list cleaner ISLC.exe (Pas de fichier)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe (Pas de fichier)
S4 EpsonCustomerResearchParticipation; "C:\Program Files\EPSON\EpsonCustomerResearchParticipation\EPCP.exe" [X]
U4 DiagTrack; pas de ImagePath
CustomCLSID: HKU\S-1-5-21-269562173-765046628-634544201-1006_Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}\InprocServer32 -> => Pas de fichier
ShellIconOverlayIdentifiers: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => -> Pas de fichier
ShellIconOverlayIdentifiers: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => -> Pas de fichier
ShellIconOverlayIdentifiers: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => -> Pas de fichier
FirewallRules: [TCP Query User{FB3D726E-8F75-46FB-87E5-869C083A5C75}C:\gog games\baldurs gate 3\bin\bg3_dx11.exe] => (Allow) C:\gog games\baldurs gate 3\bin\bg3_dx11.exe => Pas de fichier
FirewallRules: [UDP Query User{F84359C8-9557-438B-B4CE-50CAD26AE1AB}C:\gog games\baldurs gate 3\bin\bg3_dx11.exe] => (Allow) C:\gog games\baldurs gate 3\bin\bg3_dx11.exe => Pas de fichier
FirewallRules: [TCP Query User{41AE9DE3-29BC-4FC8-8B15-4D61E4210C24}C:\games\cities skylines ii\cities2.exe] => (Allow) C:\games\cities skylines ii\cities2.exe => Pas de fichier
FirewallRules: [UDP Query User{DCFF5764-4A1A-441E-89EB-CCC4E7AE0546}C:\games\cities skylines ii\cities2.exe] => (Allow) C:\games\cities skylines ii\cities2.exe => Pas de fichier
FirewallRules: [TCP Query User{19299F40-B4BD-4533-95C7-421D6264E1EE}C:\users\atelier\downloads\enshrouded\enshrouded.exe] => (Allow) C:\users\atelier\downloads\enshrouded\enshrouded.exe => Pas de fichier
FirewallRules: [UDP Query User{C5C8EEB9-0A62-456D-9D34-33ACB3CE0F0B}C:\users\atelier\downloads\enshrouded\enshrouded.exe] => (Allow) C:\users\atelier\downloads\enshrouded\enshrouded.exe => Pas de fichier
FirewallRules: [TCP Query User{0082BCD1-AE4F-451C-929E-B0F89129D7BD}C:\users\atelier\downloads\infection.free.zone.build.13680534-1\infection.free.zone.build.13680534\infection free zone.exe] => (Allow) C:\users\atelier\downloads\infection.free.zone.build.13680534-1\infection.free.zone.build.13680534\infection free zone.exe => Pas de fichier
FirewallRules: [UDP Query User{07AADBD2-D132-4A33-B200-7D2E544A5A66}C:\users\atelier\downloads\infection.free.zone.build.13680534-1\infection.free.zone.build.13680534\infection free zone.exe] => (Allow) C:\users\atelier\downloads\infection.free.zone.build.13680534-1\infection.free.zone.build.13680534\infection free zone.exe => Pas de fichier
FirewallRules: [{ECF33972-ED3F-4C19-9EAA-7FD2DB56763C}] => (Allow) C:\Program Files (x86)\Overwolf\0.243.0.9\OverwolfBrowser.exe => Pas de fichier
FirewallRules: [{0BFAFA5A-47C6-4397-886F-D7A9A02A980C}] => (Allow) C:\Program Files (x86)\Overwolf\0.243.0.9\OverwolfBrowser.exe => Pas de fichier
FirewallRules: [{73460832-092E-4BBA-9CB7-CE1DB4A59567}] => (Block) C:\Program Files (x86)\Overwolf\0.243.0.9\OverwolfBrowser.exe => Pas de fichier
FirewallRules: [{147DB696-BB12-4350-84CA-79FF1BF3BA11}] => (Block) C:\Program Files (x86)\Overwolf\0.243.0.9\OverwolfBrowser.exe => Pas de fichier
C:\WINDOWS\mid.ps1
End::
3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://www.cjoint.com/ puis donne le lien généré par https://www.cjoint.com/ dans ta réponse.
5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
bazfile
Messages postés
54018
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
7 mai 2024
18 570
9 avril 2024 à 15:22
9 avril 2024 à 15:22
Le fixlog est OK.
Désinstalle FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.
