Virus Powershell
MisteryBean Messages postés 8874 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour à tous, :)
J'ai 2 machines se sont fait infecté par un virus BAT/Agent.OHH
Mon antivirus à mis en quarantaine 2 fichiers
SYSTEMDRIVE|\Users\fortinet\Music\LOGOFALL.bat
SYSTEMDRIVE|\Users\fortinet\Music\LOGOFALL1.bat
De plus je vois qu'il bloque le dialogue vers 2 ip (xx.213.145.101 et xx.213.145.99)
Ce dialogue se fait via le processus powershell qui se lance au demarrage de la machine avec le compte systéme. Si je le coupe plus de dialogue.
Je ne trouve pas quel programme lance le powershell.
Je n'ai rien trouvé dans les taches planifié ni dans la BDR
Le virus m'a crée 2 comptes utilisateurs nomée fortinet et library que j'ai supprimer.
J'ai également supprimé une tache planifié qui se nommer MEGA et qui pointé dans le appdata du user library.
Comment puis je trouver et arreter le programme qui lance le powershell et idéalement supprimer le virus?
Je vous joins un rapport de FRST et celui de addition
Je l'ai examiner et la seul ligne que je trouve de louche est celle ci:
Qu'en pensez vous?
Merci de votre retour :)
Windows / Chrome 114.0.0.0
- Virus Powershell
- Virus mcafee - Accueil - Piratage
- Virus powershell - Guide
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
1 réponse
Bonjour,
Ne pas les poster directement dans les messages car ils sont illisibles et incomplets
Sont attendus les rapports FRST.txt et Addition.txt
Tous les rapports doivent être hébergés sur https://security-x.fr/up/ et tu indiques les liens obtenus dans ta réponse
