Virus Powershell

Bonjour à tous, :)

J'ai 2 machines se sont fait infecté par un virus BAT/Agent.OHH

Mon antivirus à mis en quarantaine 2 fichiers

SYSTEMDRIVE|\Users\fortinet\Music\LOGOFALL.bat

SYSTEMDRIVE|\Users\fortinet\Music\LOGOFALL1.bat

De plus je vois qu'il bloque le dialogue vers 2 ip  (xx.213.145.101 et xx.213.145.99)

Ce dialogue se fait via le processus powershell qui se lance au demarrage de la machine avec le compte systéme. Si je le coupe plus de dialogue.

Je ne trouve pas quel programme lance le powershell.

Je n'ai rien trouvé dans les taches planifié ni dans la BDR

Le virus m'a crée 2 comptes utilisateurs nomée fortinet et library que j'ai supprimer.

J'ai également supprimé une tache planifié qui se nommer MEGA et qui pointé dans le appdata du user library.

Comment puis je trouver et arreter le programme qui lance le powershell et idéalement supprimer le virus?

Je vous joins un rapport de FRST et celui de addition

Je l'ai examiner et la seul ligne que je trouve de louche est celle ci:

Qu'en pensez vous? 

Merci de votre retour :)

Windows / Chrome 114.0.0.0