[Réglé] Fenêtre furtive Windows 10

[Colonel35]

Bonsoir,

Depuis quelques jours, j'ai des fenêtres furtives et qui apparaissent et disparaissent automatiquement. J'ai pû apercevoir que c'était des fenêtres PowerShell. Est-ce dû à cause d'un virus ?

Bien cordialement

[routman54]

Bonjour,

On peut commencer par ce petit contrôle :
On va faire une vérification des fichiers système.


Pour ouvrir une invite de commande ou Powershell, on appuie sur les touches Windows et X en même temps ce sera proposé. Tu peux également taper dans ta recherche cmd et ce te sera proposé.
On ouvre une invite de commande ou Powershell, en W11 Terminal Windows en tant qu'administrateur:
Dans la fenêtre qui s'ouvre on tape ou copie /colle:
Dism /Online /Cleanup-Image /ScanHealth
et on clique sur Entrée.
Si aucun endommagement du magasin de composants n'a été détecté, c'est parfait. On passe directement à un SFC /scannow
Sinon on tape cette nouvelle invite de commande :
Dism /Online /Cleanup-Image /CheckHealth
Là on vérifie que le système soit réparable.
Toujours en invite de commande on continue:
Dism /Online /Cleanup-Image /RestoreHealth
Si tout se passe bien ce sera marqué La restauration a été effectué. L'opération à réussi.
Dans ce cas on complète toujours en invite de commande administrateur par un :
sfc /scannow
Celle-ci vérifie que les fichiers systèmes sont réparés et répare aussi quelques erreurs.
Marque nous le résultat du SFC et dis nous si ça va mieux , sinon un helper te prendra en charge.
Bonne continuation.

[Colonel35]

Bonsoir, merci pour la réponse, voici le résultat SFC :

Microsoft Windows [version 10.0.19045.3324]
(c) Microsoft Corporation. Tous droits réservés.

C:\WINDOWS\system32>Dism /Online /Cleanup-Image /ScanHealth

Outil Gestion et maintenance des images de déploiement
Version : 10.0.19041.844

Version de l’image : 10.0.19045.3324

[==========================100.0%==========================] Aucun endommagement du magasin de composants n’a été détecté.
L’opération a réussi.

C:\WINDOWS\system32>/scannow
'/scannow' n’est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.

C:\WINDOWS\system32>SFC /scannow

Début de l’analyse du système. Cette opération peut nécessiter un certain temps.

Démarrage de la phase de vérification de l’analyse du système.
La vérification est à 100% terminée.

Le programme de protection des ressources Windows n’a trouvé aucune violation d’intégrité.

J'ai cependant toujours le problème. À l'aide !

[Colonel35]

Voici le rapport FRST !

Merci d'avance

[routman54]

Re,

C'est un Helper qui te prendra en charge,eux seuls sont autorisés et c'est normal. Il y a du nettoyage à faire, rien de bien méchant on voit que tu as du aller voir un autre site puisque je trouve du ZHP et nos amis ici ne l'emploie guère, c'est un bon logiciel aussi et Nicolas son développeur est même inscrit ici, si il s'en rappelle, il est tellement partout.
Bonne continuation.

[Colonel35]

Re,

C'est un Helper qui te prendra en charge,eux seuls sont autorisés et c'est normal. Il y a du nettoyage à faire, rien de bien méchant on voit que tu as du aller voir un autre site puisque je trouve du ZHP et nos amis ici ne l'emploie guère, c'est un bon logiciel aussi et Nicolas son développeur est même inscrit ici, si il s'en rappelle, il est tellement partout.
Bonne continuation.

Oui j'ai essayé quelques solutions, sans trop pousser ! On m'a conseillé ce site.

Merci à toi et bonne soirée !

[heracles]

Bonjour Colonel35,

Bonsoir,

Depuis quelques jours, j'ai des fenêtres furtives et qui apparaissent et disparaissent automatiquement. J'ai pû apercevoir que c'était des fenêtres PowerShell. Est-ce dû à cause d'un virus ?

Concernant tes fenêtres PowerShell, elles sont dues à 2 tâches de maintenance core.ps1 et
mid.ps1 lancées au démarrage de ton PC. Je les ai inclus dans le correctif

Code: Tout sélectionner

Task: {C37859C5-8CE0-44C5-8EAC-AACA401B5A46} - System32\Tasks\MSI Task Host - Detect_Monitor => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [492032 2023-05-10] (Microsoft Windows -> Microsoft Corporation) -> -ExecutionPolicy ByPass -WindowStyle Hidden C:\Users\Vincent\AppData\Roaming\Winsoft\core.ps1
Task: {82548B1A-E737-4582-AAB7-12C498ECDF3A} - System32\Tasks\Microsoft\Windows\Bluetooth\UninstallDeviceTask => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [492032 2023-05-10] (Microsoft Windows -> Microsoft Corporation) -> -ExecutionPolicy Bypass -WindowStyle Hidden -File C:\WINDOWS\mid.ps1

Bonne nouvelle, ces tâches PowerShell ne sont pas des "virus".


Un correctif à appliquer

/!\ Attention, ce script a été établi uniquement pour le problème de cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows. Nous déclinons notre responsabilité en cas d'utilisation abusive malgré nos recommandations. /!\


/!\ Les outils ne doivent être lancés qu'une seule fois afin de ne pas fausser les rapports demandés. /!\

• Fait un clic droit sur FRST64.exe puis sélectionne exécuter en tant qu'administrateur.
• Télécharge le fichier ci-dessous sur ton bureau et pas ailleurs.
  
  fixlist.txt
  
  
• Ferme toutes les applications, y compris ton navigateur
• Sur le menu principal de FRST, clique une seule fois sur Corriger et patiente le temps de la correction.
• Le pc redémarrera à la suite de la suppression.
• L'outil va créer un rapport de correction Fixlog.txt sur ton bureau, poste ce rapport

Est attendu le rapport fixlog.txt

Nota: indique si tu as toujours cette fenêtre furtive


Bonne journée

[Colonel35]

Salut !

Le problème a l'air d'avoir disparu, merci beaucoup !

Bonne journée à toi

PS : voici le Fixlog :

[heracles]

Re,


Tout est bon pour moi, on finalise le sujet.


Suppression des logiciels:

• Télécharge sur le bureau : kprm.exe
• Lance l'exécution par clic-droit -> Exécuter en tant qu'administrateur
• Coche les cases suivante:
  
  1. Supprimer des outils (case précochée)
  2. Supprimer les points de restauration
  3. Créer un point de restauration
  4. Sous la rubrique supprimer les quarantaines, coche la case Supprimer maintenant.
• Clique sur [Exécuter]...
• Quand le message suivant apparait "Toutes les opérations sont terminées", clique sur [OK]
• Un rapport kprm-aaaammjjhhmm.txt sera créé sur le bureau et s'ouvrira,
  (il est aussi enregistré sous C:\KPRM\kprm-aaaammjjhhmm.txt)
• Héberge le rapport sur Cjoint
• Donne le lien créé dans ta réponse.

====================================================================

Consignes de sécurité à vérifier pour éviter les failles de sécurités:

• Tu dois impérativement veiller à maintenir tes logiciels et ton système à jour :
• Recommandation, installe le logiciel ci-dessous et vérifie périodiquement que des mises à jours soient disponibles.

• Télécharge UCheck sur ton bureau.
• Accepter les conditions d'utilisation, le navigateur s'ouvrira sur la page "Adlice Software" de UCheck... en cliquant sur "accepter"
• Dans l'onglet "Tableau de bord", clique sur [Scanner] pour lancer la détection...
• Si des mises à jours sont trouvées, sous le logo "mise à jours", clique sur "Mises à jour en attente"
• Pour chaque programme à mettre à jour, clique sur "Action" -> "Télécharger"
• Patiente le temps du téléchargement puis clique sur "Action" -> "Installer"
  (il est possible de cliquer sur "Ouvrir le site officiel" pour faire les mises à jour manuellement)
  

Consignes préventives à retenir:

• Important: Internet est un boulevard peuplé d'inconnus. Adopte une bonne attitude de surf: tu réfléchies, tu cliques et non l'inverse.
• /!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur. Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
• /!\ Etre vigilant au moment de l'installation d'une application
• Maintient ton Système à jours ainsi que tes logiciels de sécurité.
• Sauvegarde régulièrement les données personnelles sur un support externe
• Ne jamais ouvrir une pièce-jointe dans un mail d'un expéditeur inconnu
• Évite d'installer des programmes depuis des sites inconnus ou douteux (Softonic, TutoPC4, 01 du Net, sites de Cracks, P2P, porno, etc.). Privilégie plutôt le site de l'éditeur.
• Lis bien les clauses avant d'installer un programme et décoche d'éventuelle toolbar ou logiciel qui pourrait infecté ton PC
  

Est attendu le rapport:

C:\kprm.txt

A te relire

[Colonel35]

C'est fait !

Voici le rapport kprm : https://www.cjoint.com/c/MHvpMjecQ7f

[heracles]

Re,


tout est bon pour moi.

Bonne semaine

[Colonel35]

Re,


tout est bon pour moi.

Bonne semaine

Merci à toi aussi et encore merci pour l'aide !