Activité Suspecte et URL:MAL de Powershell.exe
Résolu/Fermé
thisismypic
Messages postés
12
Date d'inscription
mercredi 6 janvier 2016
Statut
Membre
Dernière intervention
20 octobre 2016
-
Modifié par Malekal_morte- le 13/04/2016 à 16:01
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 21 avril 2016 à 08:42
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 21 avril 2016 à 08:42
A voir également:
- Powershell.exe -noexit -command
- Lien url - Guide
- Url scam ✓ - Forum Mail
- Url blacklist - Forum Virus
- Url masquée pour votre sécurité - Forum TV & Vidéo
- Compte amazon bloqué activité suspecte ✓ - Forum Réseaux sociaux
5 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
Modifié par Malekal_morte- le 12/04/2016 à 23:43
Modifié par Malekal_morte- le 12/04/2016 à 23:43
Salut,
Surement un Malware fileless style Kovter,
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Veuillez appuyer sur une touche pour continuer la désinfection...
Surement un Malware fileless style Kovter,
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Veuillez appuyer sur une touche pour continuer la désinfection...
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
Modifié par Malekal_morte- le 13/04/2016 à 16:26
Modifié par Malekal_morte- le 13/04/2016 à 16:26
Je confirme malware fileless,
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Refais un scan FRST et donne les nouveaux rapports via pjjoint.
Veuillez appuyer sur une touche pour continuer la désinfection...
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3494909506-307055643-2725329465-1000\...\Run: [{B8C5EA85-D80F-4CCD-919B-68EE51714F36}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\HHHKGBTOELADSHK').LqRjlGAV)));
reg: reg delete "HKEY_CURRENT_USER\Software\Classes\HHHKGBTOELADSHK""
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Refais un scan FRST et donne les nouveaux rapports via pjjoint.
Veuillez appuyer sur une touche pour continuer la désinfection...
thisismypic
Messages postés
12
Date d'inscription
mercredi 6 janvier 2016
Statut
Membre
Dernière intervention
20 octobre 2016
Modifié par thisismypic le 13/04/2016 à 16:25
Modifié par thisismypic le 13/04/2016 à 16:25
rapports envoyés .
merci
merci
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
13 avril 2016 à 16:25
13 avril 2016 à 16:25
vois si les alertes s'arretent.
thisismypic
Messages postés
12
Date d'inscription
mercredi 6 janvier 2016
Statut
Membre
Dernière intervention
20 octobre 2016
13 avril 2016 à 16:27
13 avril 2016 à 16:27
D'accord .
Je dois utiliser mon pc pour un certain temps pour voir si les alertes s'arretent.
merci.
Je dois utiliser mon pc pour un certain temps pour voir si les alertes s'arretent.
merci.
thisismypic
Messages postés
12
Date d'inscription
mercredi 6 janvier 2016
Statut
Membre
Dernière intervention
20 octobre 2016
20 avril 2016 à 20:12
20 avril 2016 à 20:12
Salut,
Les alertent sont disparus . Cela veut dire que mon pc est complètement nettoyé ?
Les alertent sont disparus . Cela veut dire que mon pc est complètement nettoyé ?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
Modifié par Malekal_morte- le 20/04/2016 à 20:15
Modifié par Malekal_morte- le 20/04/2016 à 20:15
il ya des chances, refais un scan FRST et donne les rapports via pjjoint pour confirmer
Veuillez appuyer sur une touche pour continuer la désinfection...
Veuillez appuyer sur une touche pour continuer la désinfection...
thisismypic
Messages postés
12
Date d'inscription
mercredi 6 janvier 2016
Statut
Membre
Dernière intervention
20 octobre 2016
20 avril 2016 à 20:34
20 avril 2016 à 20:34
Salut ,
les resultats sont envoyés par message .
merci
les resultats sont envoyés par message .
merci
thisismypic
Messages postés
12
Date d'inscription
mercredi 6 janvier 2016
Statut
Membre
Dernière intervention
20 octobre 2016
20 avril 2016 à 20:37
20 avril 2016 à 20:37
SVP , veuillez verifer si il y a des menaces autres que powershell .
Merci beaucoup .
Merci beaucoup .
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
21 avril 2016 à 08:42
21 avril 2016 à 08:42
ça me paraît good =)
Quelques conseils :
Comment se protéger des scripts malicieux sur Windows
Renforce la sécurité de ton Windows : Comment sécuriser mon Windows
Quelques conseils :
Comment se protéger des scripts malicieux sur Windows
Renforce la sécurité de ton Windows : Comment sécuriser mon Windows
13 avril 2016 à 15:57
Rapport envoyés par PM
Merci