Aplicación de PowerShell potencialmente maliciosa bloqueada
ResueltoYouXI Mensajes publicados 5 Estado Miembro -
Hola, Bitdefender me envía regularmente notificaciones de ataques bloqueados por PowerShell:
3 respuestas
-
Hola,
Según sus capturas de pantalla, parece que Bitdefender detecta un comportamiento sospechoso relacionado con un script de PowerShell que accede y verifica claves del registro de Windows (específicamente en BagMRU, que gestiona las configuraciones de visualización de carpetas en el Explorador). El código mostrado verifica si un parámetro de vista de carpeta está "dañado" (a través de $isBroken), lo que podría estar relacionado con una herramienta de diagnóstico o un script legítimo, pero Bitdefender lo marca como sospechoso (firma AB30BF9243AD5IA0). Esto podría ser un falso positivo, ya que Bitdefender es conocido por generar algunos de estos en procesos normales de Windows o scripts inofensivos.
Para la actualización bloqueada al 22%:
Los problemas de actualizaciones atascadas en Bitdefender son frecuentes (a menudo en 0%, 80% o 84%, pero el 22% podría ser similar).Descargue la herramienta de actualización manual desde el sitio de Bitdefender (bitdefender.com). Ejecútela y vea si lo logra. A veces, las actualizaciones automáticas se quedan atascadas, pero la manual funciona.
Algunas actualizaciones pueden parecer estancadas pero se reanudarán después de 10-15 minutos (como se ha notado para otros porcentajes).Desinstalación segura:
Utilice la herramienta de desinstalación oficial de Bitdefender (disponible en su sitio) para una eliminación limpia. Desconecte internet durante la desinstalación/reinstalación si está paranoico (eso bloquea los ataques en red).
Reinstale inmediatamente:Una vez desinstalado, instale la nueva versión de inmediato. La protección de Bitdefender no está completamente desactivada durante las actualizaciones normales, pero para una reinstalación, toma unos minutos como máximo.
Si tiene Windows 10/11, el firewall incorporado y Defender ofrecen una protección básica mientras tanto.
-
Hola,
En resumen, PowerShell está integrado en Windows y no es sistemáticamente malicioso.
Son ciertos scripts los que pueden serlo, pero ciertos procesos legítimos pueden utilizarlo, ya sea relacionados o no con ciertos programas (por ejemplo, es la vía legítima para actualizar las bases de datos de mi software de seguridad).
Un script de PowerShell, sea malicioso o no, no caerá del cielo.
Puede ser ejecutado a partir de un malware integrado en un ejecutable que hayamos descargado, pero de lo contrario, y si debe ejecutarse en línea, tendría que penetrar en el ordenador, y esta vez no es tarea del antivirus, sino del cortafuegos y del sistema de defensa del software de seguridad interceptar llamadas anormales a ejecutables.En el caso que nos interesa y a menos que un ejecutable malicioso lo haya suplantado, es probable que se trate solo de un script resultante de la telemetría de Windows CompatTelRunner, que se supone que examina la compatibilidad de las diferentes aplicaciones y la reporta a Microsoft.
Se puede desactivar.
-
-
-
Hola @YouXI EstadoMiembro.
Powershell a veces se usa para infecciones, especialmente para los Troyanos mineros de criptomonedas; para comprobar si la PC está infectada, haz lo siguiente.
Descargar FRST.
Una vez descargado, guarda FRST en el escritorio, luego haz clic con el botón derecho del ratón sobre FRST y elige Ejecutar como administrador, lo que mostrará esto:
Espera a que aparezca el mensaje la herramienta está lista para funcionar, luego haz clic en Analizar.
Para información:
Si recibes una alerta de Microsoft Defender, no la tomes en cuenta, haz clic en Más información y luego en Ejecutar de todos modos, ver abajo.
Atención, espera a que aparezcan los mensajes que indiquen que el análisis ha terminado.
Al final del análisis, los dos informes FRST y Addition estarán en el escritorio.
Enviar los informes FRST y ADDITION a https://pjjoint.malekal.com/ o https://www.catupload.com/.
Luego adjunta los dos enlaces generados por https://pjjoint.malekal.com/ o https://www.catupload.com/ en tu respuesta.
bazfile
Moderador/Contribuidor de seguridad.
un saludo, una respuesta, un gracias siempre son bienvenidos. -
Hola,
Acabo de inspeccionar sus dos informes.
Personalmente, no veo nada sospechoso.
En general, sus informes no muestran ninguna infección. Los únicos verdaderos puntos de atención son:
Actualizar Bitdefender (o reinstalarlo).
Limpie los restos de Avira.
Verifique si necesita el servicio Brother no firmado.














