Powershell Application potentiellement malveillante bloquée
RésoluYouXI Messages postés 5 Date d'inscription Statut Membre Dernière intervention -
Bonjour, bitdefender m'envoie régulièrement des notifications d'attaque bloqué par powershell:
Mon bitdefender n'ai pas à jour mais quand je lance la mise à jour la recherche de mise à jour reste bloqué à 22% et je n'ose pas désinstaller puis réinstaller bitdefender par peur d'une attaque pendant ce moment
Merci d'avance pour votre aideWindows / Firefox 142.0
- Powershell Application potentiellement malveillante bloquée
- Boite gmail bloquée - Guide
- Nommez une application d'appel vidéo ou de visioconférence - Guide
- Desinstaller application windows - Guide
- Comment supprimer une application préinstallée sur android - Guide
- Windows application démarrage - Guide
3 réponses
Bonjour,
D'après vos captures d'écran, il semble que Bitdefender détecte un comportement suspect lié à un script PowerShell qui accède et vérifie des clés de registre Windows (spécifiquement dans BagMRU, qui gère les paramètres d'affichage des dossiers dans l'Explorateur). Le code montré vérifie si un paramètre de vue de dossier est "cassé" (via $isBroken), ce qui pourrait être lié à un outil de diagnostic ou à un script légitime, mais Bitdefender le flag comme suspect (signature AB30BF9243AD5IA0). Cela pourrait être un faux positif, car Bitdefender est connu pour en générer parfois sur des processus Windows normaux ou des scripts inoffensifs.
Pour la mise à jour bloquée à 22% :
Les problèmes de mises à jour coincées chez Bitdefender sont fréquents (souvent à 0%, 80% ou 84%, mais 22% pourrait être similaire).
Téléchargez l'outil de mise à jour manuel depuis le site Bitdefender (bitdefender.com). Exécutez-le et voyez si ça passe. Parfois, les mises à jour automatiques coincent, mais la manuelle fonctionne.
Certaines mises à jour peuvent sembler coincées mais reprennent après 10-15 minutes (comme noté pour d'autres pourcentages).
Désinstallez en sécurité :
Utilisez l'outil de désinstallation officiel de Bitdefender (disponible sur leur site) pour une suppression propre. Déconnectez internet pendant la désinstallation/réinstallation si vous êtes parano (ça bloque les attaques réseau).
Réinstallez immédiatement :
Une fois désinstallé, installez la nouvelle version tout de suite. La protection Bitdefender n'est pas complètement désactivée pendant les mises à jour normales, mais pour une réinstallation, ça prend quelques minutes max.
Si vous avez Windows 10/11, le pare-feu intégré et Defender offrent une protection basique en attendant.
Bonjour @YouXI StatutMembre.
Powershell sert parfois à des infections, notamment aux Trojan coin miner, pour voir si le pc est infecté faire ce qui suit.
Télécharger FRST .
Une fois téléchargé enregistrer FRST sur le bureau puis cliquer avec le bouton droit de la souris sur FRST et choisir Exécuter en tant qu'administrateur ce qui donne ceci :
Attendre que le message l'outil est prêt à fonctionner s'affiche puis cliquer sur Analyser.
Pour information :
Si tu as une alerte de Microsoft Defender ne pas en tenir compte cliquer sur Informations complémentaires puis sur Exécuter quand même, voir ci-dessous.
Attention, attendre que les messages disant que l'analyse est terminée s'affichent.
À la fin de l'analyse les deux rapports FRST et Addition seront sur le bureau.
Envoyer les rapports FRST et ADDITION sur https://pjjoint.malekal.com/ ou https://www.catupload.com/.
Puis joindre les deux liens générés par https://pjjoint.malekal.com/ ou https://www.catupload.com/ dans ta réponse.
Bonjour,
Je viens d'inspecter vos deux rapports.
Personnellement je ne vois rien de suspect.
Globalement, vos rapports ne montrent pas d’infection. Les seuls vrais points d’attention sont :
Mettre à jour Bitdefender (ou réinstaller).
Nettoyer les restes d’Avira.
Vérifier si vous avez besoin du service Brother non signé.
Bonjour,
Bref, PowerShell est intégré à Windows et n'est pas systématiquement malveillant.
Ce sont certains scripts qui peuvent l'être, mais certains processus légitimes peuvent l'utiliser liés ou non à certains logiciels (c'est par exemple la voie légitime de mise à jour des bases de mon logiciel de sécurité).
Un script PowerShell malveillant ou pas ne tombera par ailleurs pas du ciel.
Il peut être exécuté à partir d'un malware intégré dans un exécutable qu'on aura téléchargé, mais sinon et s'il devait s'exécuter en ligne, il faudrait qu'il pénètre l'ordinateur et ce n'est cette fois-ci plus le rôle de l'antivirus mais celui du pare-feu et du système de défense du logiciel de sécurité que d'intercepter des appels anormaux à des exécutables.
Dans le cas qui nous intéresse et sauf à un exécutable malveillant à l'avoir usurpé, il est probable qu'il s'agisse seulement d'un script résultant de la télémétrie Windows CompatTelRunner qui est censée examiner la compatibilité des différentes applications et la reporter à Microsoft.
On peut la désactiver.
Bonjour, merci pour vos informations !
Bonjour, merci beaucoup pour votre message, concernant bitdefender j'ai essayé l'outil de mise a jour manuel (je ne connaissais pas cette technique merci pour l'info !) mais cela n'a pas sembler fonctionner je vais donc le réinstaller
cdt