Fenêtre Windows PowerShell intempestive

Résolu
Yann295 Messages postés 3 Date d'inscription mardi 25 février 2025 Statut Membre Dernière intervention 27 février 2025 - 25 févr. 2025 à 19:00
bazfile Messages postés 58021 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 14 mai 2025 - 27 févr. 2025 à 17:55

Bonjour,

Je rencontre depuis quelques temps un problème de fenêtre bleue furtive générée par PowerShell.

Sur la façon dont le phénomène intervient :
Au démarrage du PC, dans le gestionnaire des tâches, rubrique "détails", il n'y a  il n'y a aucun programme Powershell en exécution.
Plus tard, plus d'une heure après le démarrage du PC, cette fenêtre bleue apparaît, et dans la rubrique "détails" du gestionnaire de tâches, je trouve 6 process powershell.exe avec des PID différents en cours d'exécution et la description indique Windows PowerShell.

Les process :

Avira_Security_Systray
X
Démarré Durée d'exécution Action actuelle
Non disponible Non disponible C:\ Program Files (x86)


CacheTask Non disponible Non disponible Wininet Cache task obj


DashboardNotificationManager Task Non disponible Non disponible C:\ Program Files (x86),


Hard Disk Sentinel_**** Non disponible Non disponible C:\ Program Files (x86)\


LicenseAcquisitionE9b9u2 Non disponible Non disponible C:\Windows\system32,


SamsungMagician Non disponible Non disponible C:\ Program Files (x86)\S


System SoundsService  Non disponible Non disponible Microsoft PlaySound


J'ai fait une capture écran des tâches actives dans le planificateur de tâches, mais je n'ai pas pu avoir le chemin complet.

Merci pour l'aide que vous pourriez m'apporter.


Windows / Firefox 135.0

A voir également:

3 réponses

Réponse 1 / 3
Yann295 Messages postés 3 Date d'inscription mardi 25 février 2025 Statut Membre Dernière intervention 27 février 2025
25 févr. 2025 à 19:14

J'ajoute une précision, si ça peut aider à la recherche du problème, la fenêtre bleue furtive générée par PowerShell est totalement vide, il n'y a que le nom de la fenêtre qui figure, c'est :

C:\Windows\System32\WindowsPowerShell\v1.0\PowerShell.exe
0
Réponse 2 / 3
bazfile Messages postés 58021 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 14 mai 2025 19 648
25 févr. 2025 à 20:27

Bonjour @Yann295 StatutMembre .

Une fenêtre powershell n'est pas obligatoirement digne d'infection elle peut être générée par un logiciel légitime, pour voir si le pc est infecté faire ce qui suit.

Télécharger FRST .
 

Une fois téléchargé enregistrer FRST sur le bureau puis cliquer avec le bouton droit de la souris sur FRST et choisir Exécuter en tant qu'administrateur ce qui donne ceci :

Attendre que le message l'outil est prêt à fonctionner s'affiche puis cliquer sur Analyser

Attention, attendre que les messages disant que l'analyse est terminée s'affichent.

À la fin de l'analyse les deux rapports FRST et Addition seront sur le bureau.

Envoyer les rapports FRST et ADDITION sur cjoint.com ou sur pixeldrain.com .

Puis joindre les deux liens générés par cjoint.com ou pixeldrain.com dans votre message. 
0
Réponse 3 / 3
Yann295 Messages postés 3 Date d'inscription mardi 25 février 2025 Statut Membre Dernière intervention 27 février 2025
27 févr. 2025 à 17:12

Bonjour

Le problème provenait de process lancés par powershell.exe , quelques manipulations dans PowerShell m'ont permis de les localiser et de les supprimer ; je n'ai pas eu de fenêtre bleue ce matin, mais je surveille...
0
bazfile Messages postés 58021 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 14 mai 2025 19 648
27 févr. 2025 à 17:55

Merci pour le retour, comme je te l'ai dit plus haut une fenêtre powershell n'est pas obligatoirement le signe d'une infection.

0