Menu

Alerte Avast pour PowerShell [Résolu]

North34 19 Messages postés jeudi 7 septembre 2017Date d'inscription 3 mars 2018 Dernière intervention - 7 sept. 2017 à 09:59 - Dernière réponse : Malekal_morte- 151263 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 23 mai 2018 Dernière intervention
- 18 sept. 2017 à 23:04
Bonjour à tous,

Après une grosse "vérole" il y a 2 semaines sur mon ordi, tout est à présent bien à plat et tourne parfaitement, mais il ne me reste qu'une ou 2 fois par jour une alerte Avast à propos de PowerShell.exe

http://img110.xooimage.com/files/6/b/9/powershell-53008c5.jpg

J'ai bien vu ce post, mais je ne sais pas trop à qui m'adresser...

http://www.commentcamarche.net/forum/affich-33395623-activite-suspecte-et-url-mal-de-powershell-exe

Je suis sous Windows 10 Pro 64bits

Merci d'avance pour votre aide !
Afficher la suite 

Votre réponse

18 réponses

Malekal_morte- 151263 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 23 mai 2018 Dernière intervention - 7 sept. 2017 à 10:04
0
Utile
Salut,

Commence par ceci :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

Commenter la réponse de Malekal_morte-
Commenter la réponse de North34
Malekal_morte- 151263 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 23 mai 2018 Dernière intervention - 7 sept. 2017 à 11:37
0
Utile
ouaip infecté,

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
2017-08-16 08:41 - 2017-08-18 17:32 - 000000028 _____ C:\Users\conta\AppData\Roaming\kulerdata.json
Task: {BC2C53D6-3D23-46A5-9754-072E59FDF6C4} - System32\Tasks\7b2ba75c5155f25fd96a06a7da18137d => powershell.exe -NoProfile -NoLogo -NonInteractive -ExecutionPolicy Bypass -File "C:\Windows\7b2ba75c5155f25fd96a06a7da18137d.ps1" <==== ATTENTION
Task: {4346FED9-39A2-430E-BF19-70DDD6593315} - \FXo7xbkbqR -> Pas de fichier <==== ATTENTION
Task: {E8C37523-6BA0-4D4E-8E63-BD3DD6E607D3} - System32\Tasks\hueBZWkXtRq4 => huebzwkxtrq4.exe
2017-08-22 09:04 - 2017-08-22 09:21 - 000000000 ____D C:\Users\conta\AppData\Roaming\ed69f1c633754f758d09199a4d1bb378
2017-08-22 09:04 - 2017-08-22 09:20 - 000000000 ____D C:\Users\conta\AppData\Local\c75817af494a423cad8e24fc4d59d89a
2017-08-22 09:04 - 2017-08-22 09:20 - 000000000 ____D C:\ProgramData\3d239b3f01804119b59d727e33fa0dfa
2017-08-22 09:04 - 2017-08-22 09:04 - 000000290 __RSH C:\Users\conta\ntuser.pol
2017-08-22 09:03 - 2017-08-22 09:20 - 000000000 ____D C:\Program Files (x86)\dCHHaxjOpqUn
2017-08-22 09:02 - 2017-08-22 09:21 - 000000000 ____D C:\Users\conta\AppData\Roaming\3420b10bb5814b9982a5853a68b92d2f
2017-08-22 09:02 - 2017-08-22 09:20 - 000000000 ____D C:\Users\conta\AppData\Local\1bffd96240f945689e6ad388944dd638
2017-08-22 09:02 - 2017-08-22 09:20 - 000000000 ____D C:\ProgramData\79def16adc4b4af1bb694d2a2b46ce2d
2017-08-22 09:02 - 2017-08-22 09:04 - 000000322 _____ C:\Windows\Tasks\uuxHwpnMkRCRpJh.job
RemoveProxy:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
Commenter la réponse de Malekal_morte-
North34 19 Messages postés jeudi 7 septembre 2017Date d'inscription 3 mars 2018 Dernière intervention - 7 sept. 2017 à 11:59
0
Utile
Yep, voilà le contenu de Fixlog.txt après redémarrage:

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 20-08-2017
Exécuté par conta (07-09-2017 11:54:47) Run:1
Exécuté depuis C:\Users\conta\Desktop
Profils chargés: conta (Profils disponibles: conta)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
2017-08-16 08:41 - 2017-08-18 17:32 - 000000028 _____ C:\Users\conta\AppData\Roaming\kulerdata.json
Task: {BC2C53D6-3D23-46A5-9754-072E59FDF6C4} - System32\Tasks\7b2ba75c5155f25fd96a06a7da18137d => powershell.exe -NoProfile -NoLogo -NonInteractive -ExecutionPolicy Bypass -File "C:\Windows\7b2ba75c5155f25fd96a06a7da18137d.ps1" <==== ATTENTION
Task: {4346FED9-39A2-430E-BF19-70DDD6593315} - \FXo7xbkbqR -> Pas de fichier <==== ATTENTION
Task: {E8C37523-6BA0-4D4E-8E63-BD3DD6E607D3} - System32\Tasks\hueBZWkXtRq4 => huebzwkxtrq4.exe
2017-08-22 09:04 - 2017-08-22 09:21 - 000000000 ____D C:\Users\conta\AppData\Roaming\ed69f1c633754f758d09199a4d1bb378
2017-08-22 09:04 - 2017-08-22 09:20 - 000000000 ____D C:\Users\conta\AppData\Local\c75817af494a423cad8e24fc4d59d89a
2017-08-22 09:04 - 2017-08-22 09:20 - 000000000 ____D C:\ProgramData\3d239b3f01804119b59d727e33fa0dfa
2017-08-22 09:04 - 2017-08-22 09:04 - 000000290 __RSH C:\Users\conta\ntuser.pol
2017-08-22 09:03 - 2017-08-22 09:20 - 000000000 ____D C:\Program Files (x86)\dCHHaxjOpqUn
2017-08-22 09:02 - 2017-08-22 09:21 - 000000000 ____D C:\Users\conta\AppData\Roaming\3420b10bb5814b9982a5853a68b92d2f
2017-08-22 09:02 - 2017-08-22 09:20 - 000000000 ____D C:\Users\conta\AppData\Local\1bffd96240f945689e6ad388944dd638
2017-08-22 09:02 - 2017-08-22 09:20 - 000000000 ____D C:\ProgramData\79def16adc4b4af1bb694d2a2b46ce2d
2017-08-22 09:02 - 2017-08-22 09:04 - 000000322 _____ C:\Windows\Tasks\uuxHwpnMkRCRpJh.job
RemoveProxy:
Reboot:


Le Point de restauration a été créé avec succès.
C:\Users\conta\AppData\Roaming\kulerdata.json => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{BC2C53D6-3D23-46A5-9754-072E59FDF6C4} => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{BC2C53D6-3D23-46A5-9754-072E59FDF6C4} => clé supprimé(es) avec succès
C:\Windows\System32\Tasks\7b2ba75c5155f25fd96a06a7da18137d => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\7b2ba75c5155f25fd96a06a7da18137d => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{4346FED9-39A2-430E-BF19-70DDD6593315} => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{4346FED9-39A2-430E-BF19-70DDD6593315} => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\FXo7xbkbqR => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{E8C37523-6BA0-4D4E-8E63-BD3DD6E607D3} => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E8C37523-6BA0-4D4E-8E63-BD3DD6E607D3} => clé supprimé(es) avec succès
C:\Windows\System32\Tasks\hueBZWkXtRq4 => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\hueBZWkXtRq4 => clé supprimé(es) avec succès
C:\Users\conta\AppData\Roaming\ed69f1c633754f758d09199a4d1bb378 => déplacé(es) avec succès
C:\Users\conta\AppData\Local\c75817af494a423cad8e24fc4d59d89a => déplacé(es) avec succès
C:\ProgramData\3d239b3f01804119b59d727e33fa0dfa => déplacé(es) avec succès
C:\Users\conta\ntuser.pol => déplacé(es) avec succès
C:\Program Files (x86)\dCHHaxjOpqUn => déplacé(es) avec succès
C:\Users\conta\AppData\Roaming\3420b10bb5814b9982a5853a68b92d2f => déplacé(es) avec succès
C:\Users\conta\AppData\Local\1bffd96240f945689e6ad388944dd638 => déplacé(es) avec succès
C:\ProgramData\79def16adc4b4af1bb694d2a2b46ce2d => déplacé(es) avec succès
C:\Windows\Tasks\uuxHwpnMkRCRpJh.job => déplacé(es) avec succès

========= RemoveProxy: =========

HKLM\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies\\ => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-4086913352-2080678621-2803426076-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-4086913352-2080678621-2803426076-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========



Le système a dû redémarrer.

Fin de Fixlog 11:54:59

Commenter la réponse de North34
Malekal_morte- 151263 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 23 mai 2018 Dernière intervention - 7 sept. 2017 à 12:08
Commenter la réponse de Malekal_morte-
North34 19 Messages postés jeudi 7 septembre 2017Date d'inscription 3 mars 2018 Dernière intervention - 7 sept. 2017 à 12:24
0
Utile
Je viens de passer ADW Cleaner Malwarebytes, voici les logs après nettoyage:

# AdwCleaner 7.0.2.1 - Logfile created on Thu Sep 07 10:21:48 2017
# Updated on 2017/29/08 by Malwarebytes
# Running on Windows 10 Pro (X64)
# Mode: clean
# Support: https://www.malwarebytes.com/support
          • [ Services ] *****


No malicious services deleted.
          • [ Folders ] *****


No malicious folders deleted.
          • [ Files ] *****


No malicious files deleted.
          • [ DLL ] *****


No malicious DLLs cleaned.
          • [ WMI ] *****


No malicious WMI cleaned.
          • [ Shortcuts ] *****


No malicious shortcuts cleaned.
          • [ Tasks ] *****


No malicious tasks deleted.
          • [ Registry ] *****


Deleted: [Key] - HKLM\SOFTWARE\Microsoft\PrAmNP
Deleted: [Key] - HKU\S-1-5-21-4086913352-2080678621-2803426076-1002\Software\Microsoft\PrAmNP
Deleted: [Key] - HKCU\Software\Microsoft\PrAmNP
Deleted: [Key] - HKLM\SOFTWARE\Microsoft\PrIncub
Deleted: [Key] - HKLM\SOFTWARE\Microsoft\{cc6eb6d8-85b7-435p-8b86-51e4d16ea76d}
Deleted: [Key] - HKU\S-1-5-21-4086913352-2080678621-2803426076-1002\Software\Microsoft\{cc6eb6d8-85b7-435p-8b86-51e4d16ea76d}
Deleted: [Key] - HKCU\Software\Microsoft\{cc6eb6d8-85b7-435p-8b86-51e4d16ea76d}
          • [ Firefox (and derivatives) ] *****


No malicious Firefox entries deleted.
          • [ Chromium (and derivatives) ] *****


No malicious Chromium entries deleted.


::Tracing keys deleted
::Winsock settings cleared
::Additional Actions: 0


C:/AdwCleaner/AdwCleaner[C0].txt - [8878 B] - [2017/8/22 8:22:7]
C:/AdwCleaner/AdwCleaner[C1].txt - [1432 B] - [2017/8/22 10:9:44]
C:/AdwCleaner/AdwCleaner[S0].txt - [10154 B] - [2017/8/22 8:21:27]
C:/AdwCleaner/AdwCleaner[S1].txt - [1328 B] - [2017/8/22 10:9:26]
C:/AdwCleaner/AdwCleaner[S2].txt - [1212 B] - [2017/8/23 6:38:12]
C:/AdwCleaner/AdwCleaner[S3].txt - [2086 B] - [2017/8/31 7:6:59]
C:/AdwCleaner/AdwCleaner[S4].txt - [1974 B] - [2017/9/7 10:21:31]


########## EOF - C:\AdwCleaner\AdwCleaner[C2].txt ##########





Tu penses que tout est résolu ?
Malekal_morte- 151263 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 23 mai 2018 Dernière intervention - 7 sept. 2017 à 12:28
Il faut passer Malwarebytes, pas AdwCleaner.
AdwCleaner ne vise pas les trojans.
North34 19 Messages postés jeudi 7 septembre 2017Date d'inscription 3 mars 2018 Dernière intervention - 7 sept. 2017 à 14:09
Ok, Malwarebyes passé, aucune menace identifiée:



Malwarebytes Anti-Malware
www.malwarebytes.org

Date de l'analyse: 07/09/2017
Heure de l'analyse: 14:04
Fichier journal:
Administrateur: Oui

Version: 2.2.1.1043
Base de données de programmes malveillants: v2017.09.07.05
Base de données de rootkits: v2017.08.02.01
Licence: Gratuit
Protection contre les programmes malveillants: Désactivé
Protection contre les sites Web malveillants: Désactivé
Autoprotection: Désactivé

Système d'exploitation: Windows 10
Processeur: x64
Système de fichiers: NTFS
Utilisateur: conta

Type d'analyse: Analyse des menaces
Résultat: Terminé
Objets analysés: 261292
Temps écoulé: 2 min, 0 s

Mémoire: Activé
Démarrage: Activé
Système de fichiers: Activé
Archives: Activé
Rootkits: Désactivé
Heuristique: Activé
PUP: Activé
PUM: Activé

Processus: 0
(Aucun élément malveillant détecté)

Modules: 0
(Aucun élément malveillant détecté)

Clés du Registre: 0
(Aucun élément malveillant détecté)

Valeurs du Registre: 0
(Aucun élément malveillant détecté)

Données du Registre: 0
(Aucun élément malveillant détecté)

Dossiers: 0
(Aucun élément malveillant détecté)

Fichiers: 0
(Aucun élément malveillant détecté)

Secteurs physiques: 0
(Aucun élément malveillant détecté)


(end)
North34 19 Messages postés jeudi 7 septembre 2017Date d'inscription 3 mars 2018 Dernière intervention > North34 19 Messages postés jeudi 7 septembre 2017Date d'inscription 3 mars 2018 Dernière intervention - 7 sept. 2017 à 14:10
Au passage, je n'ai plus eu l'alerte Avast depuis le FRST de ce matin ;)
Commenter la réponse de North34
Malekal_morte- 151263 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 23 mai 2018 Dernière intervention - 7 sept. 2017 à 14:20
0
Utile
parfait, change tous tes mots de passe.

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : Dossier Adwares/PUPs : programmes indésirables et parasites
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)


1) Comment se protéger des scripts malicieux sur Windows

2) Firewall Windows : les bon réglages

North34 19 Messages postés jeudi 7 septembre 2017Date d'inscription 3 mars 2018 Dernière intervention - 7 sept. 2017 à 14:37
Je vais lire tout ça de suite !
Un énorme MERCI à toi pour ton aide et ta réactivité, ça fait plaisir ! :)
Malekal_morte- 151263 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 23 mai 2018 Dernière intervention > North34 19 Messages postés jeudi 7 septembre 2017Date d'inscription 3 mars 2018 Dernière intervention - 7 sept. 2017 à 14:38
de rien :)
Commenter la réponse de Malekal_morte-
North34 19 Messages postés jeudi 7 septembre 2017Date d'inscription 3 mars 2018 Dernière intervention - Modifié par North34 le 8/09/2017 à 08:25
0
Utile
Erratum...ce matin en sortie de veille de Windows, à nouveau un blocage d'Avast:

http://img110.xooimage.com/files/6/b/9/powershell-53008c5.jpg
Malekal_morte- 151263 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 23 mai 2018 Dernière intervention - 8 sept. 2017 à 09:30
Refais un scan FRST pour voir et donne les rapports via pjjoint.
North34 19 Messages postés jeudi 7 septembre 2017Date d'inscription 3 mars 2018 Dernière intervention > Malekal_morte- 151263 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 23 mai 2018 Dernière intervention - 8 sept. 2017 à 12:17
Commenter la réponse de North34
Malekal_morte- 151263 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 23 mai 2018 Dernière intervention - Modifié par Malekal_morte- le 8/09/2017 à 13:18
0
Utile
Plus rien de néfaste visible sur les rapports.
Tu as des détections systématiques ou tu n'en as qu'une seule depuis la correction ?

Pour supprimer quelques restes :

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
RemoveProxy:
Task: {4E5369BA-183B-4F78-8D02-245E8243F246} - \{7A797947-0D0A-7F05-7E11-090B787A117F} -> Pas de fichier <==== ATTENTION
Task: {93A2A611-8E5A-4B2E-9798-E12FBE7858E2} - \Complete Security 2010 Lite -> Pas de fichier <==== ATTENTION
Reboot:



Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.



Veuillez appuyer sur une touche pour continuer la désinfection...
North34 19 Messages postés jeudi 7 septembre 2017Date d'inscription 3 mars 2018 Dernière intervention - 18 sept. 2017 à 10:08
Écoutes en fait plus de soucis... je touche du bois... Par conte j'ouvrirais un autre post pour un autre ordi qui a une autre merde :D
Grand merci à toi.
Malekal_morte- 151263 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 23 mai 2018 Dernière intervention > North34 19 Messages postés jeudi 7 septembre 2017Date d'inscription 3 mars 2018 Dernière intervention - 18 sept. 2017 à 23:04
super =)
Commenter la réponse de Malekal_morte-