[Réglé] Fenêtres Powershell intempestives

[wldx]

Bonjour,
Depuis environ 3 semaines, le ventilateur de mon PC Portable tourne beaucoup plus qu'avant (je sais qu'il fait très chaud, mais quand même !), et surtout, j'ai régulièrement des fenêtres Powershell qui s'ouvrent inopinément.
En cherchant des solutions ici et là, j'ai téléchargé FRST, et j'ai 2 rapports, que je suis incapable d'analyser moi-même. Quelqu'un pourrait-il m'aider s'il vous plaît ?
Merci d'avance

[routman54]

Bonjour,

Ce serait mieux si tu nous envoyais tes rapports FRST. Tu peux utiliser pour cela Cjoint ICI, tu glisses ton rapport et clique sur créer le lien Cjoint pour chacun de tes rapports, c'est ce lien que tu nous mets en retour.
Bonne journée.
Un modérateur je pense redirigera ce post dans la rubrique Sécurité. Merci d"avance à lui.

[wldx]

Merci pour le modop' !
Premier lien : https://www.cjoint.com/c/MIioDrj4qAm
Second lien : https://www.cjoint.com/c/MIioEN5xKTm

[heracles]

Bonjour wldx,



Effectue cette procédure à la lettre:

/!\ Attention, ce script a été établi uniquement pour le problème de cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows. Nous déclinons notre responsabilité en cas d'utilisation abusive malgré nos recommandations. /!\


/!\ Les outils ne doivent être lancés qu'une seule fois afin de ne pas fausser les rapports demandés. /!\

• Fait un clic droit sur FRST64.exe puis sélectionne exécuter en tant qu'administrateur.
• Accède à ce lien puis clique sur Télécharger
• Un fichier fixlist.txt sera enregistré sur ton bureau
• Ferme toutes les applications, y compris ton navigateur
• Sur le menu principal de FRST, clique une seule fois sur Corriger et patiente le temps de la correction.
• Le pc redémarrera à la suite de la suppression.
• L'outil va créer un rapport de correction Fixlog.txt sur ton bureau, poste ce rapport

Nota: si le logiciel FRST64.exe semble bloqué, laisse le travailler jusqu'au bout et ne l'arrête pas car j'ai inclus une commande de réparation des fichiers système.

Est attendu le rapport fixlog.txt

A+

[wldx]

MErci.
Voici le fichier demandé : https://www.cjoint.com/c/MIiqmIfgiom

[heracles]

Re,

Tu as toujours des fenêtres Powershell qui s'ouvrent inopinément ?
Si tu n'as plus de fenêtre PowerShell, on finalise le sujet


Suppression des logiciels:

• Télécharge sur le bureau : kprm.exe
• Lance l'exécution par clic-droit -> Exécuter en tant qu'administrateur
• Coche les cases suivante:
  
  1. Supprimer des outils (case précochée)
  2. Supprimer les points de restauration
  3. Créer un point de restauration
  4. Sous la rubrique supprimer les quarantaines, coche la case Supprimer maintenant.
• Clique sur [Exécuter]...
• Quand le message suivant apparait "Toutes les opérations sont terminées", clique sur [OK]
• Un rapport kprm-aaaammjjhhmm.txt sera créé sur le bureau et s'ouvrira,
  (il est aussi enregistré sous C:\KPRM\kprm-aaaammjjhhmm.txt)
• Héberge le rapport sur Cjoint
• Donne le lien créé dans ta réponse.

====================================================================

Consignes de sécurité à vérifier pour éviter les failles de sécurités:

• Tu dois impérativement veiller à maintenir tes logiciels et ton système à jour :
• Recommandation, installe le logiciel ci-dessous et vérifie périodiquement que des mises à jours soient disponibles.

• Télécharge UCheck sur ton bureau.
• Accepter les conditions d'utilisation, le navigateur s'ouvrira sur la page "Adlice Software" de UCheck... en cliquant sur "accepter"
• Dans l'onglet "Tableau de bord", clique sur [Scanner] pour lancer la détection...
• Si des mises à jours sont trouvées, sous le logo "mise à jours", clique sur "Mises à jour en attente"
• Pour chaque programme à mettre à jour, clique sur "Action" -> "Télécharger"
• Patiente le temps du téléchargement puis clique sur "Action" -> "Installer"
  (il est possible de cliquer sur "Ouvrir le site officiel" pour faire les mises à jour manuellement)
  

Consignes préventives à retenir:

• Important: Internet est un boulevard peuplé d'inconnus. Adopte une bonne attitude de surf: tu réfléchies, tu cliques et non l'inverse.
• /!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur. Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
• /!\ Etre vigilant au moment de l'installation d'une application
• Maintient ton Système à jours ainsi que tes logiciels de sécurité.
• Sauvegarde régulièrement les données personnelles sur un support externe
• Ne jamais ouvrir une pièce-jointe dans un mail d'un expéditeur inconnu
• Évite d'installer des programmes depuis des sites inconnus ou douteux (Softonic, TutoPC4, 01 du Net, sites de Cracks, P2P, porno, etc.). Privilégie plutôt le site de l'éditeur.
• Lis bien les clauses avant d'installer un programme et décoche d'éventuelle toolbar ou logiciel qui pourrait infecté ton PC
  

Est attendu le rapport:

C:\kprm.txt


A+

[wldx]

Miracle ? Déjà, le ventilateur ne tourne plus aussi fort qu'avant (bien qu'il fasse toujours aussi chaud !) ; de plus, j'avais plusieurs fois essayé de "tuer" le Powershell.exe" à l'aide de "procexp64.exe", et il revenait toujours (avec l'apparition brève de ces fenêtres bleues...)
Maintenant plus de fenêtre Powershell, et "procexp64.exe" ne me liste plus d'instance Powershell.
J'attends encore un peu, je vais redémarrer une ou deux fois, et je passe à la suite !
Déjà un grand merci !

[heracles]

Re,

Pour information, il y avait 2 tâches de maintenance qui ouvraient les fenêtres Powershell. Le malware responsable était un cheval de Troie.

Trojan[Miner]/Win64.Xmrig.gen

Le processus Powershell.exe est légitime.

• Le fichier responsable est C:\WINDOWS\DlHost.exe et il a la même connotation mais une syntaxe différente que le fichier légitime.

• Le fichier légitime est localisé sous C:\Windows\System32\dllhost.exe

Tu peux également utiliser Autoruns pour tous lister.

A+

[wldx]

Et voici le rapport demandé :
https://www.cjoint.com/c/MIiqVJEJmPm

[heracles]

Re,


Ok pour le rapport KPRM. Un modérateur se chargera de passer le sujet en mode résolu. Merci d'avance.
J'ai édité mon dernier message pour expliquer la cause de l'infection.

Bonne fin de journée

[wldx]

Je ne sais comment vous dire MERCI !!!
A une époque où l'individualisme outrancier devient malheureusement la règle, c'est vraiment remarquable qu'il existe encore une entraide désintéressée entre internautes anonymes ; c'est plus que remarquable, c'est précieux, et indispensable !
Vous me direz, c'est peut-être facile pour vous, alors que régler un tel problème pour moi (qui a tout de même quelques connaissances en informatique), c'était un casse-tête sans fin, mais l'essentiel est que vous m'avez grandement aidé, alors vraiment, merci, et bravo pour ce que vous faites.

[heracles]

Re,

Je ne sais comment vous dire MERCI !!!
A une époque où l'individualisme outrancier devient malheureusement la règle, c'est vraiment remarquable qu'il existe encore une entraide désintéressée entre internautes anonymes ; c'est plus que remarquable, c'est précieux, et indispensable !
Vous me direz, c'est peut-être facile pour vous, alors que régler un tel problème pour moi (qui a tout de même quelques connaissances en informatique), c'était un casse-tête sans fin, mais l'essentiel est que vous m'avez grandement aidé, alors vraiment, merci, et bravo pour ce que vous faites.

Un simple merci suffira.

On fait partie d'une génération où nos ainés nous ont inculqué le respect et on essaie de conserver cet acquis. Comme on dit la politesse est la clé du dialogue.
C'est de notre devoir de venir en aide et de prodiguer des conseils de sécurité.
En tant que membre de la sécurité de ce forum, on a suivi une formation spécifique pour venir à bout des désinfections et autres problèmes courant.
Eventuellement, si tu as quelques connaissance en informatique et si tu es intéressé par nos techniques de désinfection, tu peux venir nous rejoindre sur notre forum où je suis modérateur/formateur. La formation est gratuite et tu la fais à ton rythme.


Bonne soirée

[diogene]

Bonjour à vous deux, et bravo pour la résolution du problème.

Je me suis chargé de l'édition du titre.
Bonne continuation !

[Lid]

Bonjour,
J'ai parcouru vos discussions.
J'apprécie l'esprit d'entraide qui règne dans les forums.
La nouvelle génération apporte vraiment des changements.

[heracles]

Bonjour Lid,

La nouvelle génération apporte vraiment des changements.

! Plutôt de l'ancienne génération: je fais partie de la fin de la génération des Baby-boomers

https://www.journalducm.com/generations-x-y-z/

les Baby-boomers, personnes nées entre 1946 et 1965,
la génération x, personnes nées entre 1965 et 1980,
la génération y, personnes nées entre 1980 et 2000,
la génération z, personnes nées à partir de l’an 2000

Bonne fin de journée