Powershell intempestif

[Jekonovic]

Bonjour,

J'ai eu le même soucis que ce monsieur :
viewtopic.php?t=72915

Fenêtres Powershell intempestives, PC qui chauffe, utilisation CPU gonflée.
Je trouvais le fameux "mid.ps1" relié à quelque chose via Powershell, hidden window etc...

J'ai appliqué le fix que Malekal lui à donné sur son topic.
Je viens de le faire, mais je ne sais pas si vous sauriez y trouver quelque chose, je n'y connais rien à vrai dire, je suis tombé sur ce forum en fouillant un peu et en tombant par hasard sur ce que je cherchais.

Je vous joins les analyses avant ainsi que la copie du fix.

Sauriez vous m'orienter sur la marche à suivre pour éviter que cet éventuel pirate n'aie accès à mes informations ? Si bien sur le fix à fonctionné, ce que je ne saurai vérifier par moi même.

Réinitialisation de tous mes mots de passe ?
J'ai désinstallé ma version crackée de Adobe ainsi que Wondershare Filmora comme conseillé sur son topic depuis, même si ça ne semble pas coller (installés 2 mois avant, apparemment le script Powershell aurait débuté de 13/10/23).

Merci beaucoup !

[Jekonovic]

Je vous joins également le nouveau rapport FRST que j'ai effectué suite au fix.

Concernant les pistes via lesquelles j'aurai pu être infecté (à mon sens, après, ce ne sont que des suppositions et les cracks logiciels/jeux datent)

Crack Adobe
Crack Hogwarts Legacy
Crack Cyberpunk 2077

J'ai également lu quelque part une infection courante via des sites de conversion en MP3, je m'en suis servi de quelques uns pour une soundboard.

[Malekal_morte]

Salut,

Tu as infecté ton PC en téléchargeant des cracks :

Date: 2023-10-19 14:33:47
Description:
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Nom : HackTool:Win32/crack
ID : 2147734096
Gravité : Élevée
Catégorie : Outil
Chemin : file:_E:\Hogwarts Legacy Digital Deluxe Edition (All DLCs + MULTi14) – [EMPRESS CLC Repack]\HLCO\EMP.dll; file:_E:\Hogwarts Legacy Digital Deluxe Edition (All DLCs + MULTi14) – [EMPRESS CLC Repack]\Hogwarts Legacy\EMP.dll
Origine de la détection : Ordinateur local
Type de détection : Concret
Source de détection : Utilisateur
Utilisateur : DESKTOP-41I4SKV\FlowJ
Nom du processus : Unknown
Version de la veille de sécurité : AV: 1.399.939.0, AS: 1.399.939.0, NIS: 1.399.939.0
Version du moteur : AM: 1.1.23090.2007, NIS: 1.1.23090.2007

~~

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
Task: {0ED79DEF-76F7-44E2-9639-A572B1101D89} - System32\Tasks\MSI Task Host - Detect_Monitor => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [493568 2023-10-13] (Microsoft Windows -> Microsoft Corporation) -> -ExecutionPolicy ByPass -WindowStyle Hidden C:\Users\FlowJ\AppData\Roaming\Winsoft\core.ps1
C:\Users\FlowJ\AppData\Roaming\Winsoft
RemoveProxy:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)



2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :

• Réparer Mozilla Firefox (premier paragraphe)
• Réparer Google Chrome (premier paragraphe)
• Comment réparer ou réinitialiser Microsoft Edge

3)
Faire un nettoyage Malwarebytes Anti-Malware (MBAM ) version gratuite

4)
Refais un scan FRST et donne les nouveaux rapports via pjjoint

[Jekonovic]

Bonjour, merci pour ta réponse, j'ai appliqué le fix et joint le fixlog en pièces jointes.

Fixlog.txt

Malwarebytes m'a trouvé deux fichiers (dont un lié à pjjoint ?)



J'ai également joint les fichiers sur le post. Je n'arrive pas à me servir de pjjoint...
A chaque upload de fichiers je me retrouve sur une page blanche.

FRST.txt

Addition.txt

Merci beaucoup !

[Malekal_morte]

Pour pjjoint, ça ne vient pas de toi.
Regarde si tu as encore des ouvertures de PowerShell et change tous tes mos de passe.

[Parisien_entraide]

Bonjour

Tu peux utiliser https://textup.fr pour les rapports au format .txt

Au passage, en relisant, dans ton premier message tu dis avoir utilisé le "fix" de quelqu'un d'autre
Tu as eu beaucoup de chance... Suivant le contenu au mieux cela peut nettoyer, mais dans la majorité des cas tu aurais pu te retrouver avec un BSOD et réinstallation de Windows à la clé

Les "fix" sont générés pour une personne et pour un cas particulier

Sinon j'avais marqué en "rouge" tes suppositions où tu évacuaient la cause des jeux et applis crackées comme source de tes problèmes du fait que cela datait..
En attendant que Malekal te réponde tu peux lire :
viewtopic.php?t=71178

Où tu apprendras que les nouvelles menaces se cachent, peuvent rester en sommeil etc être actives pendant la première période (pour la récup de données et pour leur exfiltration) , puis s'endormir et se réveiller pour se connecter et installer par ex un autre malware (comme un ransomware)
A cela on y ajoute que l'antivirus peut ne pas voir pendant une période la menace

Edit : Malekal est intervenu entre temps donc fais ce qu'il dit (changement des mots de passe)

[Jekonovic]

Pour pjjoint, ça ne vient pas de toi.
Regarde si tu as encore des ouvertures de PowerShell et change tous tes mos de passe.

Merci beaucoup pour ton aide qui s'est avérée très précieuse, je me voyais déjà repartir sur une installation propre de Windows partant de zéro.
Concernant le changement des mots de passe, je peux le faire sur mon PC ou il serait plus judicieux de tous les changer sur un autre appareil ?

Bonjour

Tu peux utiliser https://textup.fr pour les rapports au format .txt

Au passage, en relisant, dans ton premier message tu dis avoir utilisé le "fix" de quelqu'un d'autre
Tu as eu beaucoup de chance... Suivant le contenu au mieux cela peut nettoyer, mais dans la majorité des cas tu aurais pu te retrouver avec un BSOD et réinstallation de Windows à la clé

Les "fix" sont générés pour une personne et pour un cas particulier

Sinon j'avais marqué en "rouge" tes suppositions où tu évacuaient la cause des jeux et applis crackées comme source de tes problèmes du fait que cela datait..
En attendant que Malekal te réponde tu peux lire :
viewtopic.php?t=71178

Où tu apprendras que les nouvelles menaces se cachent, peuvent rester en sommeil etc être actives pendant la première période (pour la récup de données et pour leur exfiltration) , puis s'endormir et se réveiller pour se connecter et installer par ex un autre malware (comme un ransomware)
A cela on y ajoute que l'antivirus peut ne pas voir pendant une période la menace

Edit : Malekal est intervenu entre temps donc fais ce qu'il dit (changement des mots de passe)

Merci pour ta réponse ! Effectivement, j'ai lu sur un autre topic après l'avoir fait que le fix était personnel, j'aurai du m'en douter en lisant de plus près le contenu du fix. Dans la panique, j'ai voulu faire trop vite. J'ai survolé le contenu et vu que ça comprenait la même chose que ce que j'ai pu détecter sur mon PC et ait agi dans la hâte.

Je comprends mieux la manière dont agissent ces menaces maintenant !

Merci beaucoup pour l'aide que vous m'avez apporté !

[Parisien_entraide]

Si tu télécharges/installe des programmes/jeux crackés (même comportement) que sur ce PC, et ce meme si tu ne vois rien (pas d'alerte), il serait plus judicieux de le faire sur celui qui a été nettoyé

Dans mon précédent message j'indiquais un lien, mais regarde le dernier message aussi de ce meme lien
viewtopic.php?p=544690#p544690

[Jekonovic]

Si tu télécharges/installe des programmes/jeux crackés (même comportement) que sur ce PC, et ce meme si tu ne vois rien (pas d'alerte), il serait plus judicieux de le faire sur celui qui a été nettoyé

Dans mon précédent message j'indiquais un lien, mais regarde le dernier message aussi de ce meme lien
viewtopic.php?p=544690#p544690

Je ne me sers de mes autres devices que pour du traitement de texte de la recherche sur internet et du visionnage de vidéos, je ne les allume que quelques fois par an, mais maintenant que tout est propre je vais faire ça sur mon PC principal en espérant que ça ait réglé le problème.

Merci !

[Parisien_entraide]

Tu dis :

Je ne me sers de mes autres devices que pour du traitement de texte de la recherche sur internet et du visionnage de vidéos,

C'est le mot de trop surtout si en streaming par ex (films séries) hors des plates formes légales (Netflix etc)

et

"je ne les allume que quelques fois par an,"

Là aussi, cela signifie que "peut etre " windows est à jour lorsque tu rallumes et que tu te tapes X maj, mais il reste les applications tierces dont le navigateur, surtout si Chrome (des centaines de maj depuis le début de l'année) ou base chromium (Opera, Brave, ..) par ex, d'outils dangereux si pas à jour comme WInRar etc


Edit (parce qu'il n'y a pas que les cracks) : https://www.malekal.com/proteger-pc-virus-pirates/

[Jekonovic]

Par visionnage de vidéos je ne parle que de Netflix ou de Youtube, ou de DVD quand je le branche à une télé. Pas de soucis à se faire là dessus !
Je ne visite pas de sites internet hors Netflix/Youtube/Google, quelques forums et ne télécharge rien dessus
Normalement ils sont à l'abri des menaces

Merci pour les conseils !

[Parisien_entraide]

Comme quoi la précision dans les énoncés, explications etc est importante :-)