Sujet Précédent Sujet Suivant

Powershell au démarrage de windows

Résolu
kevlod - 31 août 2023 à 04:26
bazfile Messages postés 54128 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 13 mai 2024 - 1 sept. 2023 à 08:22

Bonjour , j'ai depuis quelques temps une fenêtre powershell qui s'ouvre 
j'ai vu que vous conseillez d'utiliser frst 
Mais qu'il était conseillé d'attendre de l'aide
Si quelqu'un pouvait me guider ce serait super gentil 
d'avance je vous remercie

A voir également:

5 réponses

Réponse 1 / 5
bazfile Messages postés 54128 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 13 mai 2024 18 627
31 août 2023 à 08:23

Bonjour.

Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :

Attend que le message l'outil est prêt à fonctionner s'affiche puis clique sur Analyser

Attention, attendre que les messages disant que l'analyse est terminée s'affichent.

À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition.

Ensuite envoie les rapports FRST et ADDITION sur https://pjjoint.malekal.com/ puis donne les deux liens générés par https://pjjoint.malekal.com/ dans ta réponse. 
0
Réponse 2 / 5
kevlod Messages postés 3 Date d'inscription jeudi 31 août 2023 Statut Membre Dernière intervention 1 septembre 2023
Modifié le 31 août 2023 à 22:26

Salut :) 
Voilà c'est fait

https://pjjoint.malekal.com/files.php?id=20230831_z8r5w5d14n7


https://pjjoint.malekal.com/files.php?id=20230831_q5j9e9g14f6
0
Réponse 3 / 5
bazfile Messages postés 54128 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 13 mai 2024 18 627
Modifié le 31 août 2023 à 23:07

@kevlod

Si tu arrêtes de télécharger et d'installer des logiciels ou jeux piratés, tu n'auras plus ce genre de soucis.

Une fois la désinfection terminée, je te conseille vivement de changer tes mots de passe en ligne sensibles, ils ont pu être dérobés, si tu as utilisé ta CB via ton pc surveille ton compte en banque.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
VirusTotal: C:\Windows\DlHost.exe
Task: {327BA226-F947-4418-A658-EF0BACE977A7} - System32\Tasks\Microsoft\Windows\Bluetooth\UninstallDeviceTask => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [450560 2023-08-23] (Microsoft Windows -> Microsoft Corporation) -> -ExecutionPolicy Bypass -WindowStyle Hidden -File C:\WINDOWS\mid.ps1
Task: {086CA152-94C2-4BFD-8F05-CD8287E62A69} - System32\Tasks\MSI Task Host - Detect_Monitor => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [450560 2023-08-23] (Microsoft Windows -> Microsoft Corporation) -> -ExecutionPolicy ByPass -WindowStyle Hidden C:\Users\l30--\AppData\Roaming\Winsoft\core.ps1
Task: {02DBF419-D8E3-4993-BF86-F6769224E177} - System32\Tasks\Google Play Games Notifier => C:\Program Files\Google\Play Games\Bootstrapper.exe [370976 2023-08-30] (Google LLC -> Google LLC) 
Task: {DA473725-24FA-441F-B3BF-A248359C6D4F} - System32\Tasks\GamingOSDAutoStartUp => C:\Program Files\GamingOSD\GamingOSD.exe  -autostart (Pas de fichier)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Pas de fichier)
Task: {91EB5C10-5CCF-4BDB-A1BC-5751FB2E62AB} - System32\Tasks\MonitorMicroKey => C:\Program Files\GamingOSD\MonitorMicroKeyDetector.exe  (Pas de fichier)
Task: {EBF87FC2-C6AA-45A0-A349-FA958309F553} - System32\Tasks\MonitorMysticLight => C:\Program Files\GamingOSD\MysticLight\MysticLightController.exe  (Pas de fichier)
Task: {5A35C1C9-DBA4-46C3-AE75-336A7A0AFE51} - System32\Tasks\MonitorWeatherDetector => C:\Program Files\GamingOSD\WeatherDetector.exe  (Pas de fichier)
Task: {22E0017F-3F90-4A60-B06E-403866552129} - System32\Tasks\Trojan Remover => "C:\Program Files\Loaris Trojan Remover\ltr.exe"  (Pas de fichier)
S2 IDMWFP; pas de ImagePath
S1 WinSetupMon; pas de ImagePath
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction 
GroupPolicy: Restriction ? 
Policies: C:\ProgramData\NTUSER.pol: Restriction 
HKU\S-1-5-21-2584233007-2365939368-3098843968-1001\Software\Classes\regfile:  
HKU\S-1-5-21-2584233007-2365939368-3098843968-1001\Software\Classes\.reg:  =>  
HKU\S-1-5-21-2584233007-2365939368-3098843968-1001\Software\Classes\.bat:  =>  
HKU\S-1-5-21-2584233007-2365939368-3098843968-1001\Software\Classes\.cmd:  =>
AutoConfigURL: [{5677E26D-593E-45B0-8AE5-63B8A4A4D4F5}] => hxxp://localhost:8446/sos.pac 
AlternateDataStreams: C:\ProgramData\TEMP:CB0AACC9 [152]
C:\Users\l30--\AppData\Roaming\Winsoft
C:\WINDOWS\mid.ps1
C:\Windows\svshost.exe
C:\Windows\DlHost.exe
cmd: netsh advfirewall reset
RemoveProxy:
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://pjjoint.malekal.com/ puis donne le lien généré par https://pjjoint.malekal.com/ dans ta réponse.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT
0
Réponse 4 / 5
kevlod Messages postés 3 Date d'inscription jeudi 31 août 2023 Statut Membre Dernière intervention 1 septembre 2023
Modifié le 31 août 2023 à 23:51

voici le fixlog
https://pjjoint.malekal.com/files.php?id=20230831_b15o13m5s14m11



tu sais de quoi ça pouvait venir? justement on avait tenté pendant plusieurs semaines (si pas mois) de pirater l'un de mes emails

J'ai un gestionnaire de mdp (du coup si c'est pas ouvert c'est crypté) est-ce que tu penses que j'dois changer le mdp principal et tous les mdp dedans? 

Pourtant je fais généralement attention aux endroits où je prends mes fichiers / soft etc

d'ailleurs je n'avais pas vu dans d'autres post  que tu parlais de faire attentions aux mdp etc , les menaces que j'avais étaient pires? 
0
bazfile Messages postés 54128 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 13 mai 2024 18 627
Modifié le 1 sept. 2023 à 00:24

  Le fixlog est OK.

d'ailleurs je n'avais pas vu dans d'autres post  que tu parlais de faire attentions aux mdp

Si j'en parle assez souvent tout dépend de l'infection.
 

Dans mon script FRST en plus de supprimer les infections, j'ai demandé une analyse d'un des fichiers infectieux qui était sur ton pc, voici ce que cela donne voir cette page.
 

Pour information ton pc a été infecté le 3 juillet 2023 vers 8h00.
 

IMPORTANT :

Si de ton côté tout est également OK, désinstalle FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 5
kevlod Messages postés 3 Date d'inscription jeudi 31 août 2023 Statut Membre Dernière intervention 1 septembre 2023
1 sept. 2023 à 01:06

je vais faire ça merci :D 
c'est dommage qu'on ne sache pas voir de quel logiciel ou jeu ça vient 
merci beaucoup :) 
0
bazfile Messages postés 54128 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 13 mai 2024 18 627
Modifié le 2 sept. 2023 à 06:55

c'est dommage qu'on ne sache pas voir de quel logiciel ou jeu ça vient.

Cela fait deux mois, il aurait fallu faire une analyse avec "fichiers 90" jours cochés, de toute façon cela n'a aucune importance la seule chose à retenir c'est de ne plus installer de logiciels ou jeux piratés sur ton pc .

0