Activité Suspecte et URL:MAL de Powershell.exe
Résolu
thisismypic
Messages postés
12
Date d'inscription
Statut
Membre
Dernière intervention
-
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
Depuis quelques temps j'ai constaté une petite tache de powershell.exe qui s'affiche pendant le demarrage .
Et maintenant chaque fois que je demarre mon pc , apres un certain temps , une fenetre de avast free antivirus me dit que powershell communique avec une adresse .ru (en tout cas c'est ce que j'ai compris ) .

est ce que c'est une menace ? est ce que c'est le vrai service powershell de microsoft ? et qu'est ce que je dois faire . MERCI
Depuis quelques temps j'ai constaté une petite tache de powershell.exe qui s'affiche pendant le demarrage .
Et maintenant chaque fois que je demarre mon pc , apres un certain temps , une fenetre de avast free antivirus me dit que powershell communique avec une adresse .ru (en tout cas c'est ce que j'ai compris ) .

est ce que c'est une menace ? est ce que c'est le vrai service powershell de microsoft ? et qu'est ce que je dois faire . MERCI
A voir également:
- Powershell.exe -noexit -command
- Url - Guide
- Compte orange bloqué activité suspecte ✓ - Forum Mail
- Compte amazon bloqué activité suspecte - Forum Consommation & Internet
- Activité instagram - Guide
- Compte Amazon "temporairement verrouillé" - Forum Services en ligne
5 réponses
Salut,
Surement un Malware fileless style Kovter,
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Veuillez appuyer sur une touche pour continuer la désinfection...
Surement un Malware fileless style Kovter,
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Veuillez appuyer sur une touche pour continuer la désinfection...
Je confirme malware fileless,
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Refais un scan FRST et donne les nouveaux rapports via pjjoint.
Veuillez appuyer sur une touche pour continuer la désinfection...
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3494909506-307055643-2725329465-1000\...\Run: [{B8C5EA85-D80F-4CCD-919B-68EE51714F36}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\HHHKGBTOELADSHK').LqRjlGAV)));
reg: reg delete "HKEY_CURRENT_USER\Software\Classes\HHHKGBTOELADSHK""
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Refais un scan FRST et donne les nouveaux rapports via pjjoint.
Veuillez appuyer sur une touche pour continuer la désinfection...
il ya des chances, refais un scan FRST et donne les rapports via pjjoint pour confirmer
Veuillez appuyer sur une touche pour continuer la désinfection...
Veuillez appuyer sur une touche pour continuer la désinfection...
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
ça me paraît good =)
Quelques conseils :
Comment se protéger des scripts malicieux sur Windows
Renforce la sécurité de ton Windows : Comment sécuriser mon Windows
Quelques conseils :
Comment se protéger des scripts malicieux sur Windows
Renforce la sécurité de ton Windows : Comment sécuriser mon Windows
Rapport envoyés par PM
Merci