Menace powershell / aide lecture fichier FRST
Résolu/Fermé
tristemps
Messages postés
4
Date d'inscription
vendredi 10 août 2018
Statut
Membre
Dernière intervention
18 août 2018
-
Modifié le 10 août 2018 à 19:47
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 18 août 2018 à 18:24
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 18 août 2018 à 18:24
A voir également:
- Avast powershell.exe
- Fichier rar - Guide
- Comment réduire la taille d'un fichier - Guide
- Comment ouvrir un fichier epub ? - Guide
- Fichier host - Guide
- Ouvrir fichier .bin - Guide
2 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
10 août 2018 à 22:14
10 août 2018 à 22:14
Salut,
Pas grand chose,
tu peux donner des infos sur la détection ?
Tu as des programmes qui ont été installés à l'achat de l'ordinateur ou installés par la suite et qui sont pas forcément utiles.
Ils encombrent Windows et peuvent le ralentir.
Tu peux donc les désinstaller.
Vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Désinstalle :
Avast Secure Browser
CyberLink
hohosearch - Uninstall
PS : CCleaner n'est pas vraiment utile, même si on le recommande de partout.
Si tu veux le garder, désactive la surveillance de CCleaner, inutile, ça se met au démarrage de Windows et le ralentit avec ces nettoyages incessants, voir : https://www.malekal.com/supprimer-ccleaner-demarrage-windows/
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
Enregistre le contenu par le menu fichier puis enregistrer.
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Pas grand chose,
tu peux donner des infos sur la détection ?
Tu as des programmes qui ont été installés à l'achat de l'ordinateur ou installés par la suite et qui sont pas forcément utiles.
Ils encombrent Windows et peuvent le ralentir.
Tu peux donc les désinstaller.
Vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Désinstalle :
Avast Secure Browser
CyberLink
hohosearch - Uninstall
PS : CCleaner n'est pas vraiment utile, même si on le recommande de partout.
Si tu veux le garder, désactive la surveillance de CCleaner, inutile, ça se met au démarrage de Windows et le ralentit avec ces nettoyages incessants, voir : https://www.malekal.com/supprimer-ccleaner-demarrage-windows/
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
CreateRestorePoint:
CloseProcesses:
Task: {DF743FF1-FE74-41C3-9D4D-E5D7BF3C23B7} - \{087A0447-0805-0978-0A11-0B057D7A110B} -> Pas de fichier <==== ATTENTION
Task: {326F9C90-5C94-4A1B-B81E-6C2CBF126520} - \Boxore Update -> Pas de fichier <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Enregistre le contenu par le menu fichier puis enregistrer.
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
11 août 2018 à 12:34
11 août 2018 à 12:34
essaye de donner des infos sur la détection
sinon fouille dans les logs comme expliqué sur cette page : https://forum.malekal.com/viewtopic.php?t=26356&start=
zip les et envoie les sur https://pjjoint.malekal.com
je regarderai.
sinon fouille dans les logs comme expliqué sur cette page : https://forum.malekal.com/viewtopic.php?t=26356&start=
zip les et envoie les sur https://pjjoint.malekal.com
je regarderai.
tristemps
Messages postés
4
Date d'inscription
vendredi 10 août 2018
Statut
Membre
Dernière intervention
18 août 2018
11 août 2018 à 15:04
11 août 2018 à 15:04
Concernant les infos, je suis aller voir dans la zone quarantaine d'Avast il indique comme menace :
" IDP.HELU.PSE13 - fileless malware" et comme fichier infecté "Powershell.exe" j'espère que ça peut aider comme infos. Pour le moment, je n'ai pas eu d'alertes Avast aujourd'hui.
Pour la suite, après avoir fouillé un peu partout, aucune trace de logs ou de dossier Report malgré le fait que la case "générer un fichier de rapport " soit bien cochée dans les paramètres avast.
Je me doute que ça ne va pas t'aider plus que ça du coup... :/
" IDP.HELU.PSE13 - fileless malware" et comme fichier infecté "Powershell.exe" j'espère que ça peut aider comme infos. Pour le moment, je n'ai pas eu d'alertes Avast aujourd'hui.
Pour la suite, après avoir fouillé un peu partout, aucune trace de logs ou de dossier Report malgré le fait que la case "générer un fichier de rapport " soit bien cochée dans les paramètres avast.
Je me doute que ça ne va pas t'aider plus que ça du coup... :/
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
>
tristemps
Messages postés
4
Date d'inscription
vendredi 10 août 2018
Statut
Membre
Dernière intervention
18 août 2018
11 août 2018 à 15:28
11 août 2018 à 15:28
ok vois si ça revient.
tristemps
Messages postés
4
Date d'inscription
vendredi 10 août 2018
Statut
Membre
Dernière intervention
18 août 2018
18 août 2018 à 15:01
18 août 2018 à 15:01
Salut,
plus de signalement de menaces ! Merci pour ton aide
plus de signalement de menaces ! Merci pour ton aide
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
>
tristemps
Messages postés
4
Date d'inscription
vendredi 10 août 2018
Statut
Membre
Dernière intervention
18 août 2018
18 août 2018 à 18:24
18 août 2018 à 18:24
de rien :)
Supprime le dossier C:\FRST
Supprime le dossier C:\FRST
11 août 2018 à 11:41
La détection m'a l'air d’apparaître aléatoirement dans la journée, je n'est pas remarqué de lien avec une action particulière que j'effectuerais. Je connais pas l'historique de l'ordinateur, c'est un ordi professionnel que j'ai récupéré pour mon service civique...
J'ai bien désinstallé les différents programmes, mis à part hohosearch qui apparemment doit déjà être désinstallé mais continue d’apparaître dans mes programmes, une boite de dialogues me dit " module spécifié introuvable".
Concernant FRST voici le fichier Fixlog obtenu :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 02.08.2018
Exécuté par Emilie (11-08-2018 11:04:51) Run:1
Exécuté depuis C:\Users\Emilie\Desktop
Profils chargés: UpdatusUser & Emilie (Profils disponibles: UpdatusUser & Emilie)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
Task: {DF743FF1-FE74-41C3-9D4D-E5D7BF3C23B7} - \{087A0447-0805-0978-0A11-0B057D7A110B} -> Pas de fichier <==== ATTENTION
Task: {326F9C90-5C94-4A1B-B81E-6C2CBF126520} - \Boxore Update -> Pas de fichier <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{DF743FF1-FE74-41C3-9D4D-E5D7BF3C23B7}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DF743FF1-FE74-41C3-9D4D-E5D7BF3C23B7}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{087A0447-0805-0978-0A11-0B057D7A110B}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{326F9C90-5C94-4A1B-B81E-6C2CBF126520}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{326F9C90-5C94-4A1B-B81E-6C2CBF126520}" => supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Boxore Update => non trouvé(e)
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.
========= RemoveProxy: =========
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-1724352176-4064436240-338118630-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-1724352176-4064436240-338118630-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
========= Fin de RemoveProxy: =========
=========== EmptyTemp: ==========
BITS transfer queue => 7888896 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 17223215 B
Java, Flash, Steam htmlcache => 1204 B
Windows/system/drivers => 34375808 B
Edge => 6687404 B
Chrome => 823733089 B
Firefox => 12275459 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 19232 B
LocalService => 0 B
NetworkService => 0 B
NetworkService => 0 B
UpdatusUser => 0 B
Emilie => 89220607 B
RecycleBin => 0 B
EmptyTemp: => 945.5 MB données temporaires supprimées.
================================
Le système a dû redémarrer.
Fin de Fixlog 11:09:41
Merci pour ton aide