none
Powershell script: content and has been blocked by your antivirus software RRS feed

  • Question

  • Bonjour

    Svp, comment sortir de cette problème?

    J'utilise Microsoft Defender

    Il m'est impossible d'ouvrir "Sécurité Windows"

    Je suis en réseaux privé 

    Merci pour votre aide

    Arnold

    ============================

    Nota bene:

    At C:\....list-audio-streaming.ps1:1 char:1
    + Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    This script contains malicious content and has been blocked by
    your antivirus software.
        + CategoryInfo          : ParserError: (:) [], ParseException
        + FullyQualifiedErrorId : ScriptContainedMaliciousContent.

    mardi 13 octobre 2020 08:34

Réponses

  • Ah bon, v'la autre chose !

    Pourtant "Windows Defender Antivirus detects and removes this threat."

    (Et depuis mars 2018)

    Voir => https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:PowerShell/Mountsi.A!ml&ThreatID=-2147240807


    Ex-helpeur de Community. Désormais sur http://dechily.org/Forum_Aski/

    • Marqué comme réponse arnold_ mardi 13 octobre 2020 20:18
    mardi 13 octobre 2020 10:53
  • Bonjour Monsieur

    J'ai réinstaller Win 10

    Merci

    @r

    • Marqué comme réponse arnold_ mercredi 21 octobre 2020 16:53
    mercredi 21 octobre 2020 16:52

Toutes les réponses

  • Bonjour.

    Le message ne serait-il pas exactement celui-ci :

    "This script contains malicious content been blocked by your antivirus software:xxxxxxxxxxxxx"

    (Les xxxxx donnant une info importante)

    Nota : De plus, êtes-vous bien sûr de n'avoir QUE Windows Defender comme AV ?


    Ex-helpeur de Community. Désormais sur http://dechily.org/Forum_Aski/


    • Modifié Georges News mardi 13 octobre 2020 08:51 Ajout Nota
    mardi 13 octobre 2020 08:49
  • Bonjour Monsieur

    Merci pour votre réponse

    Merci

    Arnold

    J'ai crée un ficher sans nom, et sa donne sa:

    At C:\Users\admin\AppData\Local\Temp\fe9b0a82-dabb-4af8-8780-2f6bc
    095d417.ps1:1 char:1
    + Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    This script contains malicious content and has been blocked by
    your antivirus software.
        + CategoryInfo          : ParserError: (:) [], ParseException
        + FullyQualifiedErrorId : ScriptContainedMaliciousContent

    mardi 13 octobre 2020 09:06
  • Désolé.

    J'avais cru ceci : "Il m'est impossible d'ouvrir "Sécurité Windows" qui provoquait cela : "This script contains malicious content and has been blocked by your antivirus software"

    Mais, à priori, il s'agit d'un autre problème, où vous parlez de création de "fichier sans nom". Moi-même, je n'y arrive pas, mais sans message d'erreur.

    Avez-vous vu mon Nota ?

    Peut-être qu'un autre participant du forum comprendra votre problème ?

    Bonne chance.


    Ex-helpeur de Community. Désormais sur http://dechily.org/Forum_Aski/

    mardi 13 octobre 2020 09:28
  • Bonjour Monsieur

    Merci pour votre répons

    Le fichier nome de PS1 m'avait donne la 1er répons, poste ici.

    Le 2eme fichier est le même en copy "sans nom". et je l'avait poste la répons aussi ici

    Et voila: Monsieur :)

    Merci!

    Arnold

    NB

    Bien sur j'ai que Defender et rien autre chose.

    • Modifié arnold_ mardi 13 octobre 2020 09:55 Donne un NB en plus
    mardi 13 octobre 2020 09:52
  • Messieurs

    Voila le Trojan:PowerShell/Mountsi.A!ml

    Comment s'en débarrasse?

    Le "full scan" est fait, sans résultat. L'animal persiste

    Merci

    Arnold


    • Modifié arnold_ mardi 13 octobre 2020 10:44 "
    mardi 13 octobre 2020 10:43
  • Ah bon, v'la autre chose !

    Pourtant "Windows Defender Antivirus detects and removes this threat."

    (Et depuis mars 2018)

    Voir => https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:PowerShell/Mountsi.A!ml&ThreatID=-2147240807


    Ex-helpeur de Community. Désormais sur http://dechily.org/Forum_Aski/

    • Marqué comme réponse arnold_ mardi 13 octobre 2020 20:18
    mardi 13 octobre 2020 10:53
  • Bonjour Monsieur

    Merci

    En mode sans échec ok

    En normal :( Defender est aveugle ...

    Mais le virus est toujours présent

    J'ai vais joindre: http://dechily.org/Forum_Aski/viewforum.php?f=67&sid=7ef4c26e885bd7a012ae8485dde78d50

    Pour comprendre

    Arnold



    • Modifié arnold_ mardi 13 octobre 2020 14:17
    mardi 13 octobre 2020 14:16
  • OK

    Je vous ai pris en charge.


    Ex-helpeur de Community. Désormais sur http://dechily.org/Forum_Aski/

    mardi 13 octobre 2020 15:20
  • Dossier clos.

    Affaire résolue par mise en exclusion de WD du fichier "list-audio-streaming.ps1"qui n'était qu'un faux positif.


    Ex-helpeur de Community. Désormais sur http://dechily.org/Forum_Aski/

    • Proposé comme réponse Georges News mercredi 14 octobre 2020 08:33
    mercredi 14 octobre 2020 08:33
  • Bonjour Arnold_

    S'il s'avère que ce n'est effectivement qu'un faux positif, ce pb peut se représenter à chaque fois que tu auras un script qui contiendra do code "offusqué". Un effet, on peut au sein d'un script (qui n'est qu'un fichier texte) cacher des commandes (y compris des malicieuses) en les encodant.

    http://techgenix.com/powershell-script-obfuscation/

    et une démo via un exemple sur le Site de Mike Roobins : https://mikefrobbins.com/2017/06/15/simple-obfuscation-with-powershell-using-base64-encoding/

    POurquoi offusquer ?

    • Parce qu'un script c'est du texte et qu'on ne veut pas légitimement passé soit vu (des clés de registre par ex) ou pour effectuer des actions malicieuses en prétextant faire autre chose qu'il fait effectivement le petit sal... pour tromper son monde. Et c'est comme cela qu'on se retrouve avec un joli vers de le fruit et que quelques temps plus tard, on s'aperçoit qu'on est vicitime d'un crytolocker ou une autre bebete du même genre.

    cordialement

    Olivier

    jeudi 15 octobre 2020 05:08
  • Bonjour

    Merci pour votre répons. Désole pour mon retard :(

    Ce pire en pire ...

    Toute est bloque

    @r

    lundi 19 octobre 2020 17:23
  • Bonjour.

    Donc, ça a mis 5 jours pour se bloquer ?

    Ça veut dire quoi exactement "Tout es bloqué" ?

    Qu'avez-vous fait ou installé depuis le 14 octobre ?


    Ex-helpeur de Community. Désormais sur http://dechily.org/Forum_Aski/

    lundi 19 octobre 2020 17:40
  • Bonsoir Monsieur

    Merci pour votre demande

    Les scripte sont actionne uniquement avec le task Scheduler

    J'ai ne pas besoin d'intervenir

    Powershell version 2; fait fonctionner les scripte, mais sans rien faire ...

    Les résultats ne sont pas inscrit dans les fichier xml ou html

    merci

    @r

    lundi 19 octobre 2020 20:04
  • Bonjour.

    Désolé, mais je ne comprends pas vos réponses à mes questions qui me semblaient pourtant simples.

    De plus, ne suis vraiment pas familier de Powershell.

    (Notamment son utilité pour aller écouter cette station FM que vous m'avez indiquée : https://arenas.pagesperso-orange.fr/GradientExample/france-countdown.html )

    Peut-être qu'un autre intervenant de ce forum pourra vous orienter vers une solution pour "tout débloquer"


    Ex-helpeur de Community. Désormais sur http://dechily.org/Forum_Aski/

    mardi 20 octobre 2020 06:53
  • Bonjour Monsieur

    J'ai réinstaller Win 10

    Merci

    @r

    • Marqué comme réponse arnold_ mercredi 21 octobre 2020 16:53
    mercredi 21 octobre 2020 16:52
  • Bonjour.

    Parfait pour cette solution ultime. J'espère que vous avez installé W10 version 20H2 (sorti hier soir)


    Ex-helpeur de Community. Désormais sur http://dechily.org/Forum_Aski/


    mercredi 21 octobre 2020 17:38