Menace détectée en rapport avec powershell
Résolu/Fermé
Dalyda
Messages postés
4
Date d'inscription
vendredi 29 décembre 2017
Statut
Membre
Dernière intervention
29 décembre 2017
-
29 déc. 2017 à 15:06
Dalyda Messages postés 4 Date d'inscription vendredi 29 décembre 2017 Statut Membre Dernière intervention 29 décembre 2017 - 29 déc. 2017 à 21:20
Dalyda Messages postés 4 Date d'inscription vendredi 29 décembre 2017 Statut Membre Dernière intervention 29 décembre 2017 - 29 déc. 2017 à 21:20
Bonjour à tous,
Depuis plusieurs jours maintenant, j'ai remarqué une activité suspecte liée à powershell.exe , avast me le détectant comme menace potentielle. N'y connaissant rien, je suis allée fouiner sur les forums et j'ai trouvé quelques post similaires indiquant la marche à suivre, j'ai donc suivis le tutoriel de FRST à la lettre et voilà les trois liens que j'ai obtenu (FRST-Addition-Shortcut) : https://pjjoint.malekal.com/files.php?id=FRST_20171229_f8j7z11p15d6
https://pjjoint.malekal.com/files.php?id=20171229_r8c10l8e12i12
https://pjjoint.malekal.com/files.php?id=20171229_h8k9k10g5s6
Est-ce que quelqu'un peut voler à mon secours, me traduire tout ça et m'expliquer ce qu'il faut faire ?
Merci d'avance
Depuis plusieurs jours maintenant, j'ai remarqué une activité suspecte liée à powershell.exe , avast me le détectant comme menace potentielle. N'y connaissant rien, je suis allée fouiner sur les forums et j'ai trouvé quelques post similaires indiquant la marche à suivre, j'ai donc suivis le tutoriel de FRST à la lettre et voilà les trois liens que j'ai obtenu (FRST-Addition-Shortcut) : https://pjjoint.malekal.com/files.php?id=FRST_20171229_f8j7z11p15d6
https://pjjoint.malekal.com/files.php?id=20171229_r8c10l8e12i12
https://pjjoint.malekal.com/files.php?id=20171229_h8k9k10g5s6
Est-ce que quelqu'un peut voler à mon secours, me traduire tout ça et m'expliquer ce qu'il faut faire ?
Merci d'avance
A voir également:
- Menace détectée en rapport avec powershell
- Clé usb non détectée - Guide
- Formate de menace interpol ✓ - Forum Vos droits sur internet
- Plan rapport de stage - Guide
- Formate de menace ✓ - Forum Vos droits sur internet
- Chantage brouteur ivoirien publication sur facebook - Forum Vos droits sur internet
1 réponse
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 672
29 déc. 2017 à 15:33
29 déc. 2017 à 15:33
Salut,
Deux antivirus, c'est mal :
AV: Avast Antivirus (Enabled - Up to date) {8EA8924E-BC81-DC44-8BB0-8BAE75D86EBF}
AV: Bitdefender Antivirus (Enabled - Out of date) {3FB17364-4FCC-0FA7-6BBF-973897395371}
Désinstaller celui en trop.
A désinstaller probablement inutile :
Dropbox
MEGAsync
Tu as des serveurs DNS des pays-bas...
Tu n'as pas des pubs CounterFlix, DNSUnlocker ou autres ?
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Remets/Vérifie que tous les serveurs de noms (DNS) sont automatiques. Suis le paragraphe "manuellement" du tutoriel pour réintialiser les DNS PUIS vide ensuite le cache DNS et internet. Ces 3 étapes sont importantes et à faire sinon les publicités vont continuer.
Deux antivirus, c'est mal :
AV: Avast Antivirus (Enabled - Up to date) {8EA8924E-BC81-DC44-8BB0-8BAE75D86EBF}
AV: Bitdefender Antivirus (Enabled - Out of date) {3FB17364-4FCC-0FA7-6BBF-973897395371}
Désinstaller celui en trop.
A désinstaller probablement inutile :
Dropbox
MEGAsync
Tu as des serveurs DNS des pays-bas...
Tu n'as pas des pubs CounterFlix, DNSUnlocker ou autres ?
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CreateRestorePoint:
CloseProcesses:()
Task: {630D4C2A-0B38-4A63-90D7-07034E7A9C79} - \{7E7E7947-0C0C-0408-7A11-0B080D081108} -> Pas de fichier <==== ATTENTION
Task: {7A9A3C7A-0444-4246-B016-B4CCA362F2B9} - \{EBB0048F-7414-45C6-075C-E8E99C6EEC63} -> Pas de fichier <==== ATTENTION
2016-10-07 22:52 - 2010-11-11 15:34 - 000201728 _____ (Freebyte.com) C:\Program Files\hjsplit.exe
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Remets/Vérifie que tous les serveurs de noms (DNS) sont automatiques. Suis le paragraphe "manuellement" du tutoriel pour réintialiser les DNS PUIS vide ensuite le cache DNS et internet. Ces 3 étapes sont importantes et à faire sinon les publicités vont continuer.
29 déc. 2017 à 16:53
Alors, impossible de désinstaller Bitdefender car windows demande l'autorisation de l'administrateur (alors que je suis connecté avec le compte administrateur) comment faire ? Pour Dropbox, il me met qu'il ne peut pas se supprimer car il y a des fichiers en cours d'utilisation mais il n'y en a aucun, nul part, même après redémarrage ça ne fonctionne toujours pas.
Pour FRST j'ai obtenu ceci :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 26-12-2017
Exécuté par apoll (29-12-2017 16:14:39) Run:1
Exécuté depuis C:\Users\apoll\Desktop
Profils chargés: apoll (Profils disponibles: apoll)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:()
Task: {630D4C2A-0B38-4A63-90D7-07034E7A9C79} - \{7E7E7947-0C0C-0408-7A11-0B080D081108} -> Pas de fichier <==== ATTENTION
Task: {7A9A3C7A-0444-4246-B016-B4CCA362F2B9} - \{EBB0048F-7414-45C6-075C-E8E99C6EEC63} -> Pas de fichier <==== ATTENTION
2016-10-07 22:52 - 2010-11-11 15:34 - 000201728 _____ (Freebyte.com) C:\Program Files\hjsplit.exe
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{630D4C2A-0B38-4A63-90D7-07034E7A9C79} => impossible à supprimer clé. ErrorCode1: 0x00000002
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{630D4C2A-0B38-4A63-90D7-07034E7A9C79}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{7E7E7947-0C0C-0408-7A11-0B080D081108}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{7A9A3C7A-0444-4246-B016-B4CCA362F2B9}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7A9A3C7A-0444-4246-B016-B4CCA362F2B9}" => supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{EBB0048F-7414-45C6-075C-E8E99C6EEC63} => clé non trouvé(e)
C:\Program Files\hjsplit.exe => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.
========= RemoveProxy: =========
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-661365944-237191921-2339304053-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-661365944-237191921-2339304053-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
========= Fin de RemoveProxy: =========
=========== EmptyTemp: ==========
BITS transfer queue => 7364608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 36020097 B
Java, Flash, Steam htmlcache => 61933750 B
Windows/system/drivers => 4236336 B
Edge => 2306057 B
Chrome => 519362504 B
Firefox => 401484792 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 11712 B
NetworkService => 3558 B
apoll => 75817065 B
RecycleBin => 51313148100 B
EmptyTemp: => 48.8 GB données temporaires supprimées.
================================
Le système a dû redémarrer.
Fin de Fixlog 16:17:51
J'ai suivi le tutoriel pour les DNS (effectivement ça n'allait pas, honte à moi), tout est en ordre de ce côté désormais.Merci encore pour ton aide
29 déc. 2017 à 17:02
Essaye en mode sans échec.
29 déc. 2017 à 18:27
29 déc. 2017 à 19:05
et sinon on fera avec FRST.
29 déc. 2017 à 21:20
Merci beaucoup et bonne soirée !