Powershell Application potentiellement malveillante bloquée

Résolu
YouXI Messages postés 5 Date d'inscription   Statut Membre Dernière intervention   -  
YouXI Messages postés 5 Date d'inscription   Statut Membre Dernière intervention   -

Bonjour, bitdefender m'envoie régulièrement des notifications d'attaque bloqué par powershell:

Mon bitdefender n'ai pas à jour mais quand je lance la mise à jour la recherche de mise à jour reste bloqué à 22% et je n'ose pas désinstaller puis réinstaller bitdefender par peur d'une attaque pendant ce moment

Merci d'avance pour votre aideWindows / Firefox 142.0

3 réponses

Bruno83200_6929 Messages postés 622 Date d'inscription   Statut Membre Dernière intervention   138
 

Bonjour,

D'après vos captures d'écran, il semble que Bitdefender détecte un comportement suspect lié à un script PowerShell qui accède et vérifie des clés de registre Windows (spécifiquement dans BagMRU, qui gère les paramètres d'affichage des dossiers dans l'Explorateur). Le code montré vérifie si un paramètre de vue de dossier est "cassé" (via $isBroken), ce qui pourrait être lié à un outil de diagnostic ou à un script légitime, mais Bitdefender le flag comme suspect (signature AB30BF9243AD5IA0). Cela pourrait être un faux positif, car Bitdefender est connu pour en générer parfois sur des processus Windows normaux ou des scripts inoffensifs.

Pour la mise à jour bloquée à 22% :


Les problèmes de mises à jour coincées chez Bitdefender sont fréquents (souvent à 0%, 80% ou 84%, mais 22% pourrait être similaire).

Téléchargez l'outil de mise à jour manuel depuis le site Bitdefender (bitdefender.com). Exécutez-le et voyez si ça passe. Parfois, les mises à jour automatiques coincent, mais la manuelle fonctionne.


Certaines mises à jour peuvent sembler coincées mais reprennent après 10-15 minutes (comme noté pour d'autres pourcentages).

Désinstallez en sécurité :

Utilisez l'outil de désinstallation officiel de Bitdefender (disponible sur leur site) pour une suppression propre. Déconnectez internet pendant la désinstallation/réinstallation si vous êtes parano (ça bloque les attaques réseau).


Réinstallez immédiatement :

Une fois désinstallé, installez la nouvelle version tout de suite. La protection Bitdefender n'est pas complètement désactivée pendant les mises à jour normales, mais pour une réinstallation, ça prend quelques minutes max.


Si vous avez Windows 10/11, le pare-feu intégré et Defender offrent une protection basique en attendant.


1
brucine Messages postés 21672 Date d'inscription   Statut Membre Dernière intervention   3 424
 

Bonjour,

Bref, PowerShell est intégré à Windows et n'est pas systématiquement malveillant.

Ce sont certains scripts qui peuvent l'être, mais certains processus légitimes peuvent l'utiliser liés ou non à certains logiciels (c'est par exemple la voie légitime de mise à jour des bases de mon logiciel de sécurité).

Un script PowerShell malveillant ou pas ne tombera par ailleurs pas du ciel.

Il peut être exécuté à partir d'un malware intégré dans un exécutable qu'on aura téléchargé, mais sinon et s'il devait s'exécuter en ligne, il faudrait qu'il pénètre l'ordinateur et ce n'est cette fois-ci plus le rôle de l'antivirus mais celui du pare-feu et du système de défense du logiciel de sécurité que d'intercepter des appels anormaux à des exécutables.

1
brucine Messages postés 21672 Date d'inscription   Statut Membre Dernière intervention   3 424 > brucine Messages postés 21672 Date d'inscription   Statut Membre Dernière intervention  
 

Dans le cas qui nous intéresse et sauf à un exécutable malveillant à l'avoir usurpé, il est probable qu'il s'agisse seulement d'un script résultant de la télémétrie Windows CompatTelRunner qui est censée examiner la compatibilité des différentes applications et la reporter à Microsoft.

On peut la désactiver.

1
YouXI Messages postés 5 Date d'inscription   Statut Membre Dernière intervention   1 > brucine Messages postés 21672 Date d'inscription   Statut Membre Dernière intervention  
 

Bonjour, merci pour vos informations !  

0
YouXI Messages postés 5 Date d'inscription   Statut Membre Dernière intervention   1
 

Bonjour, merci beaucoup pour votre message, concernant bitdefender j'ai essayé l'outil de mise a jour manuel (je ne connaissais pas cette technique merci pour l'info !)  mais cela n'a pas sembler fonctionner je vais donc le réinstaller

cdt

0
bazfile Messages postés 58587 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   19 791
 

Bonjour @YouXI StatutMembre.

Powershell sert parfois à des infections, notamment aux Trojan coin miner, pour voir si le pc est infecté faire ce qui suit.

Télécharger FRST .
 

Une fois téléchargé enregistrer FRST sur le bureau puis cliquer avec le bouton droit de la souris sur FRST et choisir Exécuter en tant qu'administrateur ce qui donne ceci :

Attendre que le message l'outil est prêt à fonctionner s'affiche puis cliquer sur Analyser.


Pour information :

Si tu as une alerte de Microsoft Defender ne pas en tenir compte cliquer sur Informations complémentaires puis sur Exécuter quand même, voir ci-dessous.


Attention, attendre que les messages disant que l'analyse est terminée s'affichent.

À la fin de l'analyse les deux rapports FRST et Addition seront sur le bureau.

Envoyer les rapports FRST et ADDITION sur https://pjjoint.malekal.com/ ou https://www.catupload.com/.

Puis joindre les deux liens générés par https://pjjoint.malekal.com/ ou https://www.catupload.com/ dans ta réponse.


1
YouXI Messages postés 5 Date d'inscription   Statut Membre Dernière intervention   1
 

Bonjour, merci pour votre aide j'ai fait ce que vous m'avez dit voici les 2 liens :

https://pjjoint.malekal.com/files.php?id=FRST_20250903_k5p12g14j14f7

https://pjjoint.malekal.com/files.php?id=20250903_d7p7z10k1214

0
Bruno83200_6929 Messages postés 622 Date d'inscription   Statut Membre Dernière intervention   138
 

Bonjour,

Je viens d'inspecter vos deux rapports.

Personnellement je ne vois rien de suspect.

Globalement, vos rapports ne montrent pas d’infection. Les seuls vrais points d’attention sont :

Mettre à jour Bitdefender (ou réinstaller).

Nettoyer les restes d’Avira.

Vérifier si vous avez besoin du service Brother non signé.


1
YouXI Messages postés 5 Date d'inscription   Statut Membre Dernière intervention   1
 

D'accord merci Bruno pour votre réponse rapide et vos conseilles :) !

Je vous souhaite une agréable soiré 

cdt 

1