Menace powershell / aide lecture fichier FRST [Résolu]

Menace powershell / aide lecture fichier FRST MP4 - Fichier MP4 » Articles SWF Opener » Télécharger - Lecteurs vidéo Comment ouvrir fichier CSV (Résolu) » Forum - Windows Lire un fichier texte en java (Résolu) » Forum - Java Fichier VOB » Articles

Bonjour à tous,

Depuis un petit moment maintenant j'ai Avast qui régulièrement (pratiquement 1 fois/jour) me signale une menace liée à Powershell.exe.
Après quelques recherches j'ai réalisé une analyse FRST mais n'étant pas fin connaisseur de ce type d'opérations j'aurais besoin d'un petit coup de main pour m'aider à y voir plus clair.

Voici les différents liens obtenus:
https://pjjoint.malekal.com/files.php?id=FRST_20180810_g5l13y7q7p9
https://pjjoint.malekal.com/files.php?id=20180810_y8t10r12v14z10
https://pjjoint.malekal.com/files.php?id=20180810_q9n11w7z12u12

Merci d'avance.


Forum

Menace powershell / aide lecture fichier FRST MP4 - Fichier MP4 » Articles SWF Opener » Télécharger - Lecteurs vidéo Comment ouvrir fichier CSV (Résolu) » Forum - Windows Lire un fichier texte en java (Résolu) » Forum - Java Fichier VOB » Articles

Web: www.shapebootstrap.net

7 réponses

Marsh

NOVEMBER 9, 2013 AT 9:15 PM

Salut,

Pas grand chose,
tu peux donner des infos sur la détection ?

Tu as des programmes qui ont été installés à l'achat de l'ordinateur ou installés par la suite et qui sont pas forcément utiles.
Ils encombrent Windows et peuvent le ralentir.
Tu peux donc les désinstaller.
Vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Désinstalle :

Avast Secure Browser
CyberLink
hohosearch - Uninstall


PS : CCleaner n'est pas vraiment utile, même si on le recommande de partout.
Si tu veux le garder, désactive la surveillance de CCleaner, inutile, ça se met au démarrage de Windows et le ralentit avec ces nettoyages incessants, voir : https://www.malekal.com/supprimer-ccleaner-demarrage-windows/


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

CreateRestorePoint:
CloseProcesses:
Task: {DF743FF1-FE74-41C3-9D4D-E5D7BF3C23B7} - \{087A0447-0805-0978-0A11-0B057D7A110B} -> Pas de fichier <==== ATTENTION
Task: {326F9C90-5C94-4A1B-B81E-6C2CBF126520} - \Boxore Update -> Pas de fichier <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Enregistre le contenu par le menu fichier puis enregistrer.

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

Reply
réponses:
  • tristemps

    Salut Malekal, merci pour ta réactivité


    La détection m'a l'air d’apparaître aléatoirement dans la journée, je n'est pas remarqué de lien avec une action particulière que j'effectuerais. Je connais pas l'historique de l'ordinateur, c'est un ordi professionnel que j'ai récupéré pour mon service civique...

    J'ai bien désinstallé les différents programmes, mis à part hohosearch qui apparemment doit déjà être désinstallé mais continue d’apparaître dans mes programmes, une boite de dialogues me dit " module spécifié introuvable".

    Concernant FRST voici le fichier Fixlog obtenu :


    Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 02.08.2018
    Exécuté par Emilie (11-08-2018 11:04:51) Run:1
    Exécuté depuis C:\Users\Emilie\Desktop
    Profils chargés: UpdatusUser & Emilie (Profils disponibles: UpdatusUser & Emilie)
    Mode d'amorçage: Normal
    ==============================================

    fixlist contenu:

    CreateRestorePoint:
    CloseProcesses:
    Task: {DF743FF1-FE74-41C3-9D4D-E5D7BF3C23B7} - \{087A0447-0805-0978-0A11-0B057D7A110B} -> Pas de fichier <==== ATTENTION
    Task: {326F9C90-5C94-4A1B-B81E-6C2CBF126520} - \Boxore Update -> Pas de fichier <==== ATTENTION
    Hosts:
    EmptyTemp:
    RemoveProxy:
    Reboot:


    Le Point de restauration a été créé avec succès.
    Processus fermé avec succès.
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{DF743FF1-FE74-41C3-9D4D-E5D7BF3C23B7}" => supprimé(es) avec succès
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DF743FF1-FE74-41C3-9D4D-E5D7BF3C23B7}" => supprimé(es) avec succès
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{087A0447-0805-0978-0A11-0B057D7A110B}" => supprimé(es) avec succès
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{326F9C90-5C94-4A1B-B81E-6C2CBF126520}" => supprimé(es) avec succès
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{326F9C90-5C94-4A1B-B81E-6C2CBF126520}" => supprimé(es) avec succès
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Boxore Update => non trouvé(e)
    C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
    Hosts restauré(es) avec succès.

    ========= RemoveProxy: =========

    "HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
    "HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
    "HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
    "HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
    "HKU\S-1-5-21-1724352176-4064436240-338118630-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
    "HKU\S-1-5-21-1724352176-4064436240-338118630-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


    ========= Fin de RemoveProxy: =========


    =========== EmptyTemp: ==========

    BITS transfer queue => 7888896 B
    DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 17223215 B
    Java, Flash, Steam htmlcache => 1204 B
    Windows/system/drivers => 34375808 B
    Edge => 6687404 B
    Chrome => 823733089 B
    Firefox => 12275459 B
    Opera => 0 B

    Temp, IE cache, history, cookies, recent:
    Default => 0 B
    Users => 0 B
    ProgramData => 0 B
    Public => 0 B
    systemprofile => 0 B
    systemprofile32 => 0 B
    LocalService => 19232 B
    LocalService => 0 B
    NetworkService => 0 B
    NetworkService => 0 B
    UpdatusUser => 0 B
    Emilie => 89220607 B

    RecycleBin => 0 B
    EmptyTemp: => 945.5 MB données temporaires supprimées.

    ================================


    Le système a dû redémarrer.
    Fin de Fixlog 11:09:41
    Merci pour ton aide

Marsh

NOVEMBER 9, 2013 AT 9:15 PM

essaye de donner des infos sur la détection
sinon fouille dans les logs comme expliqué sur cette page : https://forum.malekal.com/viewtopic.php?t=26356&start=
zip les et envoie les sur https://pjjoint.malekal.com
je regarderai.

Reply
réponses:
  • tristemps

    Concernant les infos, je suis aller voir dans la zone quarantaine d'Avast il indique comme menace :
    " IDP.HELU.PSE13 - fileless malware" et comme fichier infecté "Powershell.exe" j'espère que ça peut aider comme infos. Pour le moment, je n'ai pas eu d'alertes Avast aujourd'hui.

    Pour la suite, après avoir fouillé un peu partout, aucune trace de logs ou de dossier Report malgré le fait que la case "générer un fichier de rapport " soit bien cochée dans les paramètres avast.

    Je me doute que ça ne va pas t'aider plus que ça du coup... :/

  • Malekal_morte-

    ok vois si ça revient.

  • tristemps

    Salut,
    plus de signalement de menaces ! Merci pour ton aide

  • Malekal_morte-

    de rien :)


    Supprime le dossier C:\FRST

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed