Activité Suspecte et URL:MAL de Powershell.exe
Résolu
thisismypic
Messages postés
12
Statut
Membre
-
Malekal_morte- Messages postés 178136 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 178136 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
Depuis quelques temps j'ai constaté une petite tache de powershell.exe qui s'affiche pendant le demarrage .
Et maintenant chaque fois que je demarre mon pc , apres un certain temps , une fenetre de avast free antivirus me dit que powershell communique avec une adresse .ru (en tout cas c'est ce que j'ai compris ) .

est ce que c'est une menace ? est ce que c'est le vrai service powershell de microsoft ? et qu'est ce que je dois faire . MERCI
Depuis quelques temps j'ai constaté une petite tache de powershell.exe qui s'affiche pendant le demarrage .
Et maintenant chaque fois que je demarre mon pc , apres un certain temps , une fenetre de avast free antivirus me dit que powershell communique avec une adresse .ru (en tout cas c'est ce que j'ai compris ) .

est ce que c'est une menace ? est ce que c'est le vrai service powershell de microsoft ? et qu'est ce que je dois faire . MERCI
5 réponses
-
Salut,
Surement un Malware fileless style Kovter,
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Veuillez appuyer sur une touche pour continuer la désinfection... -
Je confirme malware fileless,
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3494909506-307055643-2725329465-1000\...\Run: [{B8C5EA85-D80F-4CCD-919B-68EE51714F36}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\HHHKGBTOELADSHK').LqRjlGAV)));
reg: reg delete "HKEY_CURRENT_USER\Software\Classes\HHHKGBTOELADSHK""
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Refais un scan FRST et donne les nouveaux rapports via pjjoint.
Veuillez appuyer sur une touche pour continuer la désinfection... -
vois si les alertes s'arretent.
-
il ya des chances, refais un scan FRST et donne les rapports via pjjoint pour confirmer
Veuillez appuyer sur une touche pour continuer la désinfection... -
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
ça me paraît good =)
Quelques conseils :
Comment se protéger des scripts malicieux sur Windows
Renforce la sécurité de ton Windows : Comment sécuriser mon Windows