Trojan:PowerShell/Malgent!MSR [Résolu]

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Flaquette
Messages : 9
Inscription : 24 sept. 2023 22:42

Trojan:PowerShell/Malgent!MSR [Résolu]

par Flaquette »

Bonjour à tous,
Je me permets de solliciter votre aide.

Depuis peu l'Antimalware Service Executable de Windows Defender me prend toute la puissance du processeur.

J'ai effectué un Scan avec Windows Defender.
Résultat : Trojan:PowerShell/Malgent!MSR

J'ai beau le supprimer, il revient toutes les deux minutes lors de l'analyse.

Lorsque Malwarebytes Anti-Malware (MBAM) est activé, Malwarebytes bloque toutes les deux minutes ceci :

Domaine : sysnod.duckdns.org
Adresse IP : 104.244.76.183
Port : 3434
Type : En sortie
Fichier C:\Windows\System32\WindowsPowerSell\v1.0\powershell.exe

Lorsque Malwarebytes est activé, Antimalware Service Executable n'apparait plus dans le gestionnaire des tâches et l'utilisation du processeur est normale.

Qu'en pensez-vous ?

Les fichiers .txt son en pièce-jointe car je n'ai pas réussi à les télécharger sur pjjoint, rien ne se produit quand je clique sur envoyer.

J'ai récemment téléchargé des logiciels sur fitgirl sans bêtement les avoir tous contrôlé... on ne m'y reprendra plus...

Un grand merci
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Avatar de l’utilisateur
angelique
Messages : 32241
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Trojan:PowerShell/Malgent!MSR

par angelique »

Bonjour/Bonsoir

Oui A 18:30 environ aujourd'hui Windows defender t'a protégé d'une action de ta part malveillante mais n'a pas supprimé totalement le powershell agressif.





Image Télécharge à coté de FRST64.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

➯ Relance FRST64(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix

Un redémarrage peut être nécessaire, ne touche à rien et accepte le redémarrage

Un fichier texte apparaît peut être nommé fixlog.txt au même endroit que frst64.exe et que fixlist.txt, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique PDT_018 Merci.
Image
Avatar de l’utilisateur
Parisien_entraide
Messages : 17092
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Trojan:PowerShell/Malgent!MSR

par Parisien_entraide »

Bonsoir

Malekal ou Angélique traiteront ton cas

Mais déjà Daemon Tools peut etre une source d'instabilité..

En plus tu les accumules.. Regarde ce qu'est ton VPN
viewtopic.php?p=529187#p529187

uTorrent..
https://www.malekal.com/utorrent-et-les-virus/

Et il n'y a pas de baguette magique... Tu as utilisé
MalwareBytes
RogueKiller
HijackThis
OTL

En plus tes téléchargement via torrent ce n'est pas récent (programme jeux, films...)
Vu ce qui a été téléchargé, regarde ce que tu risques
viewtopic.php?t=71178


Edit : Angélique a été plus rapide, donc fais la manip proposée
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Flaquette
Messages : 9
Inscription : 24 sept. 2023 22:42

Re: Trojan:PowerShell/Malgent!MSR

par Flaquette »

Bonsoir,
Merci pour vos réponses.
Parisien-entraide je vais lire très attentivement les explications fournies, merci

Angélique, voici le contenu de fixlog :

Code : Tout sélectionner

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 25-09-2023
Exécuté par Flaquette (27-09-2023 20:27:16) Run:1
Exécuté depuis C:\Users\Flaquette\Desktop
Profils chargés: Flaquette
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
HKU\S-1-5-21-3053371813-1251820648-1213958866-1001\...\Run: [utweb] => "C:\Users\Flaquette\AppData\Roaming\uTorrent Web\utweb.exe" /MINIMIZED (Pas de fichier)
Task: {AB05B368-13F7-468A-9B30-E553C06B5449} - System32\Tasks\Microsoft\Windows\Bluetooth\UninstallDeviceTask => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [486400 2023-09-15] (Microsoft Windows -> Microsoft Corporation) -> -ExecutionPolicy Bypass -WindowStyle Hidden -File C:\WINDOWS\mid.ps1
Task: {6E8BB763-5A51-4BB2-9C89-2F4FFF4C7849} - System32\Tasks\ViGEmBusUpdater => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [486400 2023-09-15] (Microsoft Windows -> Microsoft Corporation) -> -ExecutionPolicy ByPass -WindowStyle Hidden C:\Users\Flaquette\AppData\Roaming\Webgard\cor.ps1
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R 
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R 
CMD: "C:\Windows\SysWOW64\lodctr.exe" /R
CMD: "C:\Windows\SYSTEM32\lodctr.exe" /R 
StartPowershell:
DISM /Online /Cleanup-image /Restorehealth
sfc /scannow
EndPowershell:
EmptyTemp:


*****************

Le Point de restauration a été créé avec succès.
"HKU\S-1-5-21-3053371813-1251820648-1213958866-1001\Software\Microsoft\Windows\CurrentVersion\Run\\utweb" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{AB05B368-13F7-468A-9B30-E553C06B5449}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{AB05B368-13F7-468A-9B30-E553C06B5449}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\Microsoft\Windows\Bluetooth\UninstallDeviceTask => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Bluetooth\UninstallDeviceTask" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{6E8BB763-5A51-4BB2-9C89-2F4FFF4C7849}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6E8BB763-5A51-4BB2-9C89-2F4FFF4C7849}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\ViGEmBusUpdater => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ViGEmBusUpdater" => supprimé(es) avec succès

========= "%WINDIR%\SYSTEM32\lodctr.exe" /R =========


Infosÿ: Reconstruction du paramŠtre de compteur de performance r‚ussie … partir du magasin de stockage systŠme

========= Fin de CMD: =========


========= "%WINDIR%\SysWOW64\lodctr.exe" /R =========


Infosÿ: Reconstruction du paramŠtre de compteur de performance r‚ussie … partir du magasin de stockage systŠme

========= Fin de CMD: =========


========= "C:\Windows\SysWOW64\lodctr.exe" /R =========


Infosÿ: Reconstruction du paramŠtre de compteur de performance r‚ussie … partir du magasin de stockage systŠme

========= Fin de CMD: =========


========= "C:\Windows\SYSTEM32\lodctr.exe" /R =========


Infosÿ: Reconstruction du paramŠtre de compteur de performance r‚ussie … partir du magasin de stockage systŠme

========= Fin de CMD: =========


========= Powershell: =========


Outil Gestion et maintenance des images de déploiement
Version : 10.0.19041.844

Version de l'image : 10.0.19045.3448


[==========================100.0%==========================] 
La restauration a été effectuée.
L'opération a réussi.

 
 
 D Ú b u t   d e   l  a n a l y s e   d u   s y s t Þ m e .   C e t t e   o p Ú r a t i o n   p e u t   n Ú c e s s i t e r   u n   c e r t a i n   t e m p s . 
 
 
 
 
 
 D Ú m a r r a g e   d e   l a   p h a s e   d e   v Ú r i f i c a t i o n   d e   l  a n a l y s e   d u   s y s t Þ m e . 
 
 L a   v Ú r i f i c a t i o n   e s t   Ó   1 0 0 %   t e r m i n Ú e . 
 
 
 
 
 L a   P r o t e c t i o n   d e s   r e s s o u r c e s   W i n d o w s   a   d Ú t e c t Ú   d e s   f i c h i e r s   c o r r o m p u s   e t   l e s   a   r Ú p a r Ú s . 
 
 
 P o u r   l e s   r Ú p a r a t i o n s   e n   l i g n e ,   l e s   d Ú t a i l s   s o n t   i n c l u s   d a n s   l e   f i c h i e r   j o u r n a l   d e   C B S   s i t u Ú   Ó   l ' e m p l a c e m e n t   s u i v a n t á : 
 
 
 w i n d i r \ L o g s \ C B S \ C B S . l o g .   E x e m p l e á :   C : \ W i n d o w s \ L o g s \ C B S \ C B S . l o g .   P o u r   l e s   r Ú p a r a t i o n s 
 
 
 h o r s   c o n n e x i o n ,   l e s   d Ú t a i l s   s o n t   i n c l u s   d a n s   l e   f i c h i e r   j o u r n a l   f o u r n i   p a r   l ' i n d i c a t e u r   / O F F L O G F I L E .   
 
 
 

========= Fin de Powershell: =========


=========== EmptyTemp: ==========

FlushDNS => terminé(e)
BITS transfer queue => 1310720 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 328053315 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 530572924 B
Windows/system/drivers => 10493254 B
Edge => 0 B
Firefox => 0 B
Opera => 284748118 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 1164285227 B
systemprofile32 => 1265453917 B
LocalService => 1265509005 B
NetworkService => 1265828323 B
Flaquette => 1722170642 B
OVRLibraryService => 1722170642 B

RecycleBin => 2626456068 B
EmptyTemp: => 11.4 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 20:37:50 ====
Avatar de l’utilisateur
angelique
Messages : 32241
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Trojan:PowerShell/Malgent!MSR

par angelique »

Plus de powershell d'alerte ?
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique PDT_018 Merci.
Image
Flaquette
Messages : 9
Inscription : 24 sept. 2023 22:42

Re: Trojan:PowerShell/Malgent!MSR

par Flaquette »

Windows Defender me signale toujours la présence du trojan et antimalware defender consomme toujours beaucoup de puissance mais plus en continu comme avant.
De son côté, quand Malwarebytes est activé, il ne signale plus rien alors qu'avant il bloquait toutes les deux minutes ceci :

Domaine : sysnod.duckdns.org
Adresse IP : 104.244.76.183
Port : 3434
Type : En sortie
Fichier C:\Windows\System32\WindowsPowerSell\v1.0\powershell.exe

Il y donc du mieux

Je viens d'effectuer une nouvelle analyse avec FRST, j'ai posté les résultats en pièce-jointe

Merci à vous
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Malekal_morte
Messages : 115610
Inscription : 10 sept. 2005 13:57

Re: Trojan:PowerShell/Malgent!MSR

par Malekal_morte »

Sur tes derniers rapports, il n'y a plus de trace de malware.

Supprime ces fichiers si existants :
C:\WINDOWS\mid.ps1
C:\Users\Flaquette\AppData\Roaming\Webgard

Redémarre le PC pour voir si les alertes continuent.

~~

Apparemment, ça vient par des cracks sur Torrent.
Quel site as-tu utilisé et ou as-tu une idée de quel torrent t'a refilé ça ?

~~

Sinon rien à voir avec le problème mais :

Opera - tu l'as installé volontairement ? sinon désinstalle .
Et surtout ce Bright VPN, tu as réalisé qu'il utilise ta connexion internet pour collecter des données.
Bright-VPN.jpg
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Avatar de l’utilisateur
Parisien_entraide
Messages : 17092
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Trojan:PowerShell/Malgent!MSR

par Parisien_entraide »

Le site qu'il a utilisé principalement en tous les cas : FitGirl

Site bien connu, la majorité des gens qui passent par le forum et d'autres, sont infectés suite à des téléchargements de jeux et programmes qu'ils proposent en "repack"

Les gens se fient aux commentaires, mais ils n'ont pas compris qu'il y a des commentaires bidons, ou alors pour attirer les naifs, ils proposent une première version "repack" mais qui fonctionnera mal sans packs et mods associés

C'est là (mais ce n'est qu'un exemple), que sera proposé peut après un nouveau repack (mais les commentaires positifs de la première version restent) et/ou des modules additionnels infectés avec stealer et/ou ransomware et pas par des anciennes versions de ces saloperies (on note que les Bitdefender etc ne voient rien)

Sinon au premier jet le "repack" sera vérolé avec des malwares non détectés ou détectés mais bloqués seulement en partie

C'est ce qui se passe actuellement avec Starfield viewtopic.php?p=544690#p544690

Quant au VPN "BRIGHT VPN" je remets le lien.. TOUT EST DIT
viewtopic.php?p=529190#p529190
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Flaquette
Messages : 9
Inscription : 24 sept. 2023 22:42

Re: Trojan:PowerShell/Malgent!MSR

par Flaquette »

Tout est revenu à la normale, un grand merci !
j'ai effectué un don à Angélique ;)
Bonne journée à vous
Avatar de l’utilisateur
Parisien_entraide
Messages : 17092
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Trojan:PowerShell/Malgent!MSR

par Parisien_entraide »

Ok je passe le sujet en résolu et Angélique te remerciera pour le don :-)
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Avatar de l’utilisateur
angelique
Messages : 32241
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Trojan:PowerShell/Malgent!MSR [Résolu]

par angelique »

Bien reçu, ça fait plaisir ;)
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique PDT_018 Merci.
Image
ben277
Messages : 2
Inscription : 18 nov. 2023 00:47

Re: Trojan:PowerShell/Malgent!MSR [Résolu]

par ben277 »

Bonjour,

J'ai eu le même "virus" sur mon pc, et je n'ai pas installé de jeux dessu. (peut etre une appli craké, mais je ne vois pas, car ça fait longtemps que j'en ai pas utilisé.

En lisant ce sujet, j'ai supprimé la tache planifiée située dans Tasks\Microsoft\Windows\Bluetooth\UninstallDeviceTask
j'ai ensuite supprimé les fichiers C:\WINDOWS\mid.*

Et là, je n'ai plus de popup intempestif, ça a l'air de fonctionner.

Merci !
Malekal_morte
Messages : 115610
Inscription : 10 sept. 2005 13:57

Re: Trojan:PowerShell/Malgent!MSR [Résolu]

par Malekal_morte »

Salut,

Merci du retour.
Si c'est le même, en général, ça vient par un crack
Peut-être confirmer avec un nettoyage Tutoriel Malwarebytes Anti-Malware version gratuite (ou FRST si tu veux).

Enfin à lire : que faire après une attaque de virus informatique.
Change tes mots de passe et suis les instructions pour la bonne conduite pour ne plus te faire infecter.

Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?

Si l'aide t'a contenu ou si les tutoriels du site t'ont aidé, tu peux prendre le temps d'évaluer le site sur Bing, ce serait sympa : Evaluer le site malekal.com
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
ben277
Messages : 2
Inscription : 18 nov. 2023 00:47

Re: Trojan:PowerShell/Malgent!MSR [Résolu]

par ben277 »

Salut, j'ai fait un scan avec malwarebyte et RogueKiller avant de m'en débarrasser et il n'avait rien trouvé. J'ai pas encore essayé frst (je suis pas sur mon pc là) En y réfléchissant, j'ai bien un programme cracké , Adobe première que j'ai trouvé sur un site de torrent, il est possible que défender est viré le crack sans que j'y prête attention, mais le mal était déjà fait ?
Avatar de l’utilisateur
Parisien_entraide
Messages : 17092
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Trojan:PowerShell/Malgent!MSR [Résolu]

par Parisien_entraide »

Bonjour

Souvent on note que tel trojan est bloqué/neutralisé par Defender, mais à quel moment, et qu'est ce qui s'est passé entre temps ?
Vu le mode de fonctionnement des trojan actuels il vaut mieux miser sur le fait que les données personnelles sont déjà exfiltrées du PC

Le crack n'est que la partie visible de l'iceberg et Defender peut bloquer le crack du fait de sa nature (comme il peut le faire pour des KMS qui ne sont pas vérolés)

Relis depuis le début ce sujet
Angélique disait par ex pour un autre forumeur,
"Windows defender t'a protégé d'une action de ta part malveillante mais n'a pas supprimé totalement le powershell agressif.
Détails fonctionnement, liens du site sur les stealer etc où tu apprendras que les stealer désactive les anti virus, pompent les données, les exfiltrent, s'autodétruisent ensuite. Les nouvelles générations avant cela en profitent pour télécharger d'autres malware (dont ransomware par ex)
Au final, il ne reste plus de traces (hormis un defender qu'il est difficile de réactiver etc) quelques dysfonctionnements etc et tu ne sais meme pas que tes données sont dans la nature
viewtopic.php?t=71178

Ensuite il ne faut pas confondre infection et le rapport de Defender qui peut continuer à afficher des alertes... passées
https://www.malekal.com/comment-supprim ... -defender/
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »