Powershell intempestif

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Jekonovic
Messages : 6
Inscription : 22 oct. 2023 04:31

Powershell intempestif

par Jekonovic »

Bonjour,

J'ai eu le même soucis que ce monsieur :
viewtopic.php?t=72915

Fenêtres Powershell intempestives, PC qui chauffe, utilisation CPU gonflée.
Je trouvais le fameux "mid.ps1" relié à quelque chose via Powershell, hidden window etc...

J'ai appliqué le fix que Malekal lui à donné sur son topic.
Je viens de le faire, mais je ne sais pas si vous sauriez y trouver quelque chose, je n'y connais rien à vrai dire, je suis tombé sur ce forum en fouillant un peu et en tombant par hasard sur ce que je cherchais.

Je vous joins les analyses avant ainsi que la copie du fix.

Sauriez vous m'orienter sur la marche à suivre pour éviter que cet éventuel pirate n'aie accès à mes informations ? Si bien sur le fix à fonctionné, ce que je ne saurai vérifier par moi même.

Réinitialisation de tous mes mots de passe ?
J'ai désinstallé ma version crackée de Adobe ainsi que Wondershare Filmora comme conseillé sur son topic depuis, même si ça ne semble pas coller (installés 2 mois avant, apparemment le script Powershell aurait débuté de 13/10/23).

Merci beaucoup !
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Jekonovic
Messages : 6
Inscription : 22 oct. 2023 04:31

Re: Powershell intempestif

par Jekonovic »

Je vous joins également le nouveau rapport FRST que j'ai effectué suite au fix.

Concernant les pistes via lesquelles j'aurai pu être infecté (à mon sens, après, ce ne sont que des suppositions et les cracks logiciels/jeux datent)

Crack Adobe
Crack Hogwarts Legacy
Crack Cyberpunk 2077

J'ai également lu quelque part une infection courante via des sites de conversion en MP3, je m'en suis servi de quelques uns pour une soundboard.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Malekal_morte
Messages : 116329
Inscription : 10 sept. 2005 13:57

Re: Powershell intempestif

par Malekal_morte »

Salut,

Tu as infecté ton PC en téléchargeant des cracks :
Date: 2023-10-19 14:33:47
Description:
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Nom : HackTool:Win32/crack
ID : 2147734096
Gravité : Élevée
Catégorie : Outil
Chemin : file:_E:\Hogwarts Legacy Digital Deluxe Edition (All DLCs + MULTi14) – [EMPRESS CLC Repack]\HLCO\EMP.dll; file:_E:\Hogwarts Legacy Digital Deluxe Edition (All DLCs + MULTi14) – [EMPRESS CLC Repack]\Hogwarts Legacy\EMP.dll
Origine de la détection : Ordinateur local
Type de détection : Concret
Source de détection : Utilisateur
Utilisateur : DESKTOP-41I4SKV\FlowJ
Nom du processus : Unknown
Version de la veille de sécurité : AV: 1.399.939.0, AS: 1.399.939.0, NIS: 1.399.939.0
Version du moteur : AM: 1.1.23090.2007, NIS: 1.1.23090.2007
~~

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
Task: {0ED79DEF-76F7-44E2-9639-A572B1101D89} - System32\Tasks\MSI Task Host - Detect_Monitor => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [493568 2023-10-13] (Microsoft Windows -> Microsoft Corporation) -> -ExecutionPolicy ByPass -WindowStyle Hidden C:\Users\FlowJ\AppData\Roaming\Winsoft\core.ps1
C:\Users\FlowJ\AppData\Roaming\Winsoft
RemoveProxy:
Reboot:
End:
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)



2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises : 3)
Faire un nettoyage Malwarebytes Anti-Malware (MBAM ) version gratuite

4)
Refais un scan FRST et donne les nouveaux rapports via pjjoint
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Jekonovic
Messages : 6
Inscription : 22 oct. 2023 04:31

Re: Powershell intempestif

par Jekonovic »

Bonjour, merci pour ta réponse, j'ai appliqué le fix et joint le fixlog en pièces jointes.
Fixlog.txt
Malwarebytes m'a trouvé deux fichiers (dont un lié à pjjoint ?)

Image

J'ai également joint les fichiers sur le post. Je n'arrive pas à me servir de pjjoint...
A chaque upload de fichiers je me retrouve sur une page blanche.
FRST.txt
Addition.txt
Merci beaucoup !
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Malekal_morte
Messages : 116329
Inscription : 10 sept. 2005 13:57

Re: Powershell intempestif

par Malekal_morte »

Pour pjjoint, ça ne vient pas de toi.
Regarde si tu as encore des ouvertures de PowerShell et change tous tes mos de passe.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Avatar de l’utilisateur
Parisien_entraide
Messages : 18376
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Powershell intempestif

par Parisien_entraide »

Bonjour

Tu peux utiliser https://textup.fr pour les rapports au format .txt

Au passage, en relisant, dans ton premier message tu dis avoir utilisé le "fix" de quelqu'un d'autre
Tu as eu beaucoup de chance... Suivant le contenu au mieux cela peut nettoyer, mais dans la majorité des cas tu aurais pu te retrouver avec un BSOD et réinstallation de Windows à la clé

Les "fix" sont générés pour une personne et pour un cas particulier

Sinon j'avais marqué en "rouge" tes suppositions où tu évacuaient la cause des jeux et applis crackées comme source de tes problèmes du fait que cela datait..
En attendant que Malekal te réponde tu peux lire :
viewtopic.php?t=71178

Où tu apprendras que les nouvelles menaces se cachent, peuvent rester en sommeil etc être actives pendant la première période (pour la récup de données et pour leur exfiltration) , puis s'endormir et se réveiller pour se connecter et installer par ex un autre malware (comme un ransomware)
A cela on y ajoute que l'antivirus peut ne pas voir pendant une période la menace

Edit : Malekal est intervenu entre temps donc fais ce qu'il dit (changement des mots de passe)
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Jekonovic
Messages : 6
Inscription : 22 oct. 2023 04:31

Re: Powershell intempestif

par Jekonovic »

Malekal_morte a écrit : 23 oct. 2023 15:05 Pour pjjoint, ça ne vient pas de toi.
Regarde si tu as encore des ouvertures de PowerShell et change tous tes mos de passe.
Merci beaucoup pour ton aide qui s'est avérée très précieuse, je me voyais déjà repartir sur une installation propre de Windows partant de zéro.
Concernant le changement des mots de passe, je peux le faire sur mon PC ou il serait plus judicieux de tous les changer sur un autre appareil ?
Parisien_entraide a écrit : 23 oct. 2023 15:06 Bonjour

Tu peux utiliser https://textup.fr pour les rapports au format .txt

Au passage, en relisant, dans ton premier message tu dis avoir utilisé le "fix" de quelqu'un d'autre
Tu as eu beaucoup de chance... Suivant le contenu au mieux cela peut nettoyer, mais dans la majorité des cas tu aurais pu te retrouver avec un BSOD et réinstallation de Windows à la clé

Les "fix" sont générés pour une personne et pour un cas particulier

Sinon j'avais marqué en "rouge" tes suppositions où tu évacuaient la cause des jeux et applis crackées comme source de tes problèmes du fait que cela datait..
En attendant que Malekal te réponde tu peux lire :
viewtopic.php?t=71178

Où tu apprendras que les nouvelles menaces se cachent, peuvent rester en sommeil etc être actives pendant la première période (pour la récup de données et pour leur exfiltration) , puis s'endormir et se réveiller pour se connecter et installer par ex un autre malware (comme un ransomware)
A cela on y ajoute que l'antivirus peut ne pas voir pendant une période la menace

Edit : Malekal est intervenu entre temps donc fais ce qu'il dit (changement des mots de passe)
Merci pour ta réponse ! Effectivement, j'ai lu sur un autre topic après l'avoir fait que le fix était personnel, j'aurai du m'en douter en lisant de plus près le contenu du fix. Dans la panique, j'ai voulu faire trop vite. J'ai survolé le contenu et vu que ça comprenait la même chose que ce que j'ai pu détecter sur mon PC et ait agi dans la hâte.

Je comprends mieux la manière dont agissent ces menaces maintenant !

Merci beaucoup pour l'aide que vous m'avez apporté !
Avatar de l’utilisateur
Parisien_entraide
Messages : 18376
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Powershell intempestif

par Parisien_entraide »

Si tu télécharges/installe des programmes/jeux crackés (même comportement) que sur ce PC, et ce meme si tu ne vois rien (pas d'alerte), il serait plus judicieux de le faire sur celui qui a été nettoyé

Dans mon précédent message j'indiquais un lien, mais regarde le dernier message aussi de ce meme lien
viewtopic.php?p=544690#p544690
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Jekonovic
Messages : 6
Inscription : 22 oct. 2023 04:31

Re: Powershell intempestif

par Jekonovic »

Parisien_entraide a écrit : 23 oct. 2023 15:10 Si tu télécharges/installe des programmes/jeux crackés (même comportement) que sur ce PC, et ce meme si tu ne vois rien (pas d'alerte), il serait plus judicieux de le faire sur celui qui a été nettoyé

Dans mon précédent message j'indiquais un lien, mais regarde le dernier message aussi de ce meme lien
viewtopic.php?p=544690#p544690
Je ne me sers de mes autres devices que pour du traitement de texte de la recherche sur internet et du visionnage de vidéos, je ne les allume que quelques fois par an, mais maintenant que tout est propre je vais faire ça sur mon PC principal en espérant que ça ait réglé le problème.

Merci !
Avatar de l’utilisateur
Parisien_entraide
Messages : 18376
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Powershell intempestif

par Parisien_entraide »

Tu dis :
Je ne me sers de mes autres devices que pour du traitement de texte de la recherche sur internet et du visionnage de vidéos,
C'est le mot de trop surtout si en streaming par ex (films séries) hors des plates formes légales (Netflix etc)

et
"je ne les allume que quelques fois par an,"
Là aussi, cela signifie que "peut etre " windows est à jour lorsque tu rallumes et que tu te tapes X maj, mais il reste les applications tierces dont le navigateur, surtout si Chrome (des centaines de maj depuis le début de l'année) ou base chromium (Opera, Brave, ..) par ex, d'outils dangereux si pas à jour comme WInRar etc


Edit (parce qu'il n'y a pas que les cracks) : https://www.malekal.com/proteger-pc-virus-pirates/
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Jekonovic
Messages : 6
Inscription : 22 oct. 2023 04:31

Re: Powershell intempestif

par Jekonovic »

Par visionnage de vidéos je ne parle que de Netflix ou de Youtube, ou de DVD quand je le branche à une télé. Pas de soucis à se faire là dessus !
Je ne visite pas de sites internet hors Netflix/Youtube/Google, quelques forums et ne télécharge rien dessus
Normalement ils sont à l'abri des menaces

Merci pour les conseils !
Avatar de l’utilisateur
Parisien_entraide
Messages : 18376
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Powershell intempestif

par Parisien_entraide »

Comme quoi la précision dans les énoncés, explications etc est importante :-)
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »