Menace powershell / aide lecture fichier FRST

Résolu/Fermé
tristemps Messages postés 4 Date d'inscription vendredi 10 août 2018 Statut Membre Dernière intervention 18 août 2018 - Modifié le 10 août 2018 à 19:47
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 18 août 2018 à 18:24
Bonjour à tous,

Depuis un petit moment maintenant j'ai Avast qui régulièrement (pratiquement 1 fois/jour) me signale une menace liée à Powershell.exe.
Après quelques recherches j'ai réalisé une analyse FRST mais n'étant pas fin connaisseur de ce type d'opérations j'aurais besoin d'un petit coup de main pour m'aider à y voir plus clair.

Voici les différents liens obtenus:
https://pjjoint.malekal.com/files.php?id=FRST_20180810_g5l13y7q7p9
https://pjjoint.malekal.com/files.php?id=20180810_y8t10r12v14z10
https://pjjoint.malekal.com/files.php?id=20180810_q9n11w7z12u12

Merci d'avance.


2 réponses

Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 580
10 août 2018 à 22:14
Salut,

Pas grand chose,
tu peux donner des infos sur la détection ?

Tu as des programmes qui ont été installés à l'achat de l'ordinateur ou installés par la suite et qui sont pas forcément utiles.
Ils encombrent Windows et peuvent le ralentir.
Tu peux donc les désinstaller.
Vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Désinstalle :

Avast Secure Browser
CyberLink
hohosearch - Uninstall


PS : CCleaner n'est pas vraiment utile, même si on le recommande de partout.
Si tu veux le garder, désactive la surveillance de CCleaner, inutile, ça se met au démarrage de Windows et le ralentit avec ces nettoyages incessants, voir : https://www.malekal.com/supprimer-ccleaner-demarrage-windows/


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

CreateRestorePoint:
CloseProcesses:
Task: {DF743FF1-FE74-41C3-9D4D-E5D7BF3C23B7} - \{087A0447-0805-0978-0A11-0B057D7A110B} -> Pas de fichier <==== ATTENTION
Task: {326F9C90-5C94-4A1B-B81E-6C2CBF126520} - \Boxore Update -> Pas de fichier <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Enregistre le contenu par le menu fichier puis enregistrer.

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

0
tristemps Messages postés 4 Date d'inscription vendredi 10 août 2018 Statut Membre Dernière intervention 18 août 2018
11 août 2018 à 11:41
Salut Malekal, merci pour ta réactivité


La détection m'a l'air d’apparaître aléatoirement dans la journée, je n'est pas remarqué de lien avec une action particulière que j'effectuerais. Je connais pas l'historique de l'ordinateur, c'est un ordi professionnel que j'ai récupéré pour mon service civique...

J'ai bien désinstallé les différents programmes, mis à part hohosearch qui apparemment doit déjà être désinstallé mais continue d’apparaître dans mes programmes, une boite de dialogues me dit " module spécifié introuvable".

Concernant FRST voici le fichier Fixlog obtenu :


Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 02.08.2018
Exécuté par Emilie (11-08-2018 11:04:51) Run:1
Exécuté depuis C:\Users\Emilie\Desktop
Profils chargés: UpdatusUser & Emilie (Profils disponibles: UpdatusUser & Emilie)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
Task: {DF743FF1-FE74-41C3-9D4D-E5D7BF3C23B7} - \{087A0447-0805-0978-0A11-0B057D7A110B} -> Pas de fichier <==== ATTENTION
Task: {326F9C90-5C94-4A1B-B81E-6C2CBF126520} - \Boxore Update -> Pas de fichier <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{DF743FF1-FE74-41C3-9D4D-E5D7BF3C23B7}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DF743FF1-FE74-41C3-9D4D-E5D7BF3C23B7}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{087A0447-0805-0978-0A11-0B057D7A110B}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{326F9C90-5C94-4A1B-B81E-6C2CBF126520}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{326F9C90-5C94-4A1B-B81E-6C2CBF126520}" => supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Boxore Update => non trouvé(e)
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-1724352176-4064436240-338118630-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-1724352176-4064436240-338118630-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 7888896 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 17223215 B
Java, Flash, Steam htmlcache => 1204 B
Windows/system/drivers => 34375808 B
Edge => 6687404 B
Chrome => 823733089 B
Firefox => 12275459 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 19232 B
LocalService => 0 B
NetworkService => 0 B
NetworkService => 0 B
UpdatusUser => 0 B
Emilie => 89220607 B

RecycleBin => 0 B
EmptyTemp: => 945.5 MB données temporaires supprimées.

================================


Le système a dû redémarrer.
Fin de Fixlog 11:09:41
Merci pour ton aide
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 580
11 août 2018 à 12:34
essaye de donner des infos sur la détection
sinon fouille dans les logs comme expliqué sur cette page : https://forum.malekal.com/viewtopic.php?t=26356&start=
zip les et envoie les sur https://pjjoint.malekal.com
je regarderai.
0
tristemps Messages postés 4 Date d'inscription vendredi 10 août 2018 Statut Membre Dernière intervention 18 août 2018
11 août 2018 à 15:04
Concernant les infos, je suis aller voir dans la zone quarantaine d'Avast il indique comme menace :
" IDP.HELU.PSE13 - fileless malware" et comme fichier infecté "Powershell.exe" j'espère que ça peut aider comme infos. Pour le moment, je n'ai pas eu d'alertes Avast aujourd'hui.

Pour la suite, après avoir fouillé un peu partout, aucune trace de logs ou de dossier Report malgré le fait que la case "générer un fichier de rapport " soit bien cochée dans les paramètres avast.

Je me doute que ça ne va pas t'aider plus que ça du coup... :/
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 580 > tristemps Messages postés 4 Date d'inscription vendredi 10 août 2018 Statut Membre Dernière intervention 18 août 2018
11 août 2018 à 15:28
ok vois si ça revient.
0
tristemps Messages postés 4 Date d'inscription vendredi 10 août 2018 Statut Membre Dernière intervention 18 août 2018
18 août 2018 à 15:01
Salut,
plus de signalement de menaces ! Merci pour ton aide
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 580 > tristemps Messages postés 4 Date d'inscription vendredi 10 août 2018 Statut Membre Dernière intervention 18 août 2018
18 août 2018 à 18:24
de rien :)


Supprime le dossier C:\FRST
0