Question
Fenêtre bleue furtive et aléatoire
- Kaou
- Auteur du sujet
- Hors Ligne
- Membre junior
-
Réduire
Plus d'informations
- Messages : 24
- Remerciements reçus 1
il y a 1 an 2 mois #34692
par Kaou
Réponse de Kaou sur le sujet Fenêtre bleue furtive et aléatoire
Le PID 2412 correspond à " svchost.exe " processus hôte pour les services windows
Connexion ou Créer un compte pour participer à la conversation.
- Kaou
- Auteur du sujet
- Hors Ligne
- Membre junior
-
Réduire
Plus d'informations
- Messages : 24
- Remerciements reçus 1
il y a 1 an 2 mois #34693
par Kaou
Réponse de Kaou sur le sujet Fenêtre bleue furtive et aléatoire
Bonjour,
J'ai pensé un moment que cette fenêtre bleue pouvait provenir du gestionnaire de paquets Chocolatey, j'ai isolé ce matin les deux répertoires le concernant, et j'ai quand même eu cette fenêtre bleue, c'est donc ailleurs qu'il faut rechercher, et que votre aide sera précieuse.
Sur la façon dont le phénomène intervient :
Au démarrage du PC, dans le gestionnaire des tâches, rubrique "détails", il n'y a il n'y a aucun programme Powershell en exécution.
Plus tard, plus d'une heure après le démarrage du PC, cette fenêtre apparaît, et dans la rubrique "détails" du gestionnaire de tâches, je trouve 6 process powershell.exe avec des PID différents en cours d'exécution et la description indique Windows PowerShell
En espérant que cela puisse aider à la compréhension du problème...
Merci
J'ai pensé un moment que cette fenêtre bleue pouvait provenir du gestionnaire de paquets Chocolatey, j'ai isolé ce matin les deux répertoires le concernant, et j'ai quand même eu cette fenêtre bleue, c'est donc ailleurs qu'il faut rechercher, et que votre aide sera précieuse.
Sur la façon dont le phénomène intervient :
Au démarrage du PC, dans le gestionnaire des tâches, rubrique "détails", il n'y a il n'y a aucun programme Powershell en exécution.
Plus tard, plus d'une heure après le démarrage du PC, cette fenêtre apparaît, et dans la rubrique "détails" du gestionnaire de tâches, je trouve 6 process powershell.exe avec des PID différents en cours d'exécution et la description indique Windows PowerShell
En espérant que cela puisse aider à la compréhension du problème...
Merci
Connexion ou Créer un compte pour participer à la conversation.
- Kaou
- Auteur du sujet
- Hors Ligne
- Membre junior
-
Réduire
Plus d'informations
- Messages : 24
- Remerciements reçus 1
il y a 1 an 2 mois - il y a 1 an 2 mois #34694
par Kaou
Réponse de Kaou sur le sujet Fenêtre bleue furtive et aléatoire
Je viens de récupérer la liste des tâches actives lancées à la suite de l'apparition de la fenêtre furtive bleue, c'est sous forme de copies écran en fichiers jpeg dans les pièces jointes.
Autrement, quelqu'un saurait-il décrypter le détail de cet évènement ?+System -Provider [ Name]PowerShell -EventID600 [ Qualifiers]0 Version0 Level4 Task6 Opcode0 Keywords0x80000000000000 -TimeCreated [ SystemTime]2025-02-25T16:08:04.9244464Z EventRecordID22111 Correlation -Execution [ ProcessID]25380 [ ThreadID]0 ChannelWindows PowerShell ComputerYANN-DESKTOP-65BTMQS Security-EventData Variable Started ProviderName=Variable NewProviderState=Started SequenceNumber=11 HostName=ServerRemoteHost HostVersion=1.0.0.0 HostId=f247c73a-75f9-40d6-9821-3581f9c902fb HostApplication=C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -Version 5.1 -s -NoLogo -NoProfile EngineVersion= RunspaceId= PipelineId= CommandName= CommandType= ScriptName= CommandPath= CommandLine=
Autrement, quelqu'un saurait-il décrypter le détail de cet évènement ?+System -Provider [ Name]PowerShell -EventID600 [ Qualifiers]0 Version0 Level4 Task6 Opcode0 Keywords0x80000000000000 -TimeCreated [ SystemTime]2025-02-25T16:08:04.9244464Z EventRecordID22111 Correlation -Execution [ ProcessID]25380 [ ThreadID]0 ChannelWindows PowerShell ComputerYANN-DESKTOP-65BTMQS Security-EventData Variable Started ProviderName=Variable NewProviderState=Started SequenceNumber=11 HostName=ServerRemoteHost HostVersion=1.0.0.0 HostId=f247c73a-75f9-40d6-9821-3581f9c902fb HostApplication=C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -Version 5.1 -s -NoLogo -NoProfile EngineVersion= RunspaceId= PipelineId= CommandName= CommandType= ScriptName= CommandPath= CommandLine=
Pièces jointes :
Dernière édition: il y a 1 an 2 mois par Kaou.
Connexion ou Créer un compte pour participer à la conversation.
- Kaou
- Auteur du sujet
- Hors Ligne
- Membre junior
-
Réduire
Plus d'informations
- Messages : 24
- Remerciements reçus 1
il y a 1 an 2 mois #34696
par Kaou
Réponse de Kaou sur le sujet Fenêtre bleue furtive et aléatoire
Bonjour, Je me suis senti un peu seul ces derniers temps, mais les premiers conseils m'ont incité à chercher par moi-même dans les arcanes de PowerShell, il faut bien avancer, et j'ai fini par trouver des process suspects , je n'ai pas d'action powershell inattendue depuis, donc c'est résolu, au moins pour l'instant. Merci
Connexion ou Créer un compte pour participer à la conversation.
- xyz
- Hors Ligne
- Modérateur
-
Réduire
Plus d'informations
- Messages : 6311
- Remerciements reçus 69
il y a 1 an 2 mois #34697
par xyz
Tutoriels PowerShell
Réponse de xyz sur le sujet Fenêtre bleue furtive et aléatoire
Désolé j'étais occupé,
en fait il serait intéressant de voir le code généré par la ligne de commande que tu avais citée, avec ceci par exemple dans une console Powershell :
Il te faudrait trouver un code similaire à celui proposé page 30 de ce tutoriel WMI .
Je doute que cette technique soit encore d'actualité mais c'est un moyen pour tracer les applications qui exécutent un process particulier (ici powershell.exe) cela doit exister sur Github mais je n'ai pas le temps d'aller plus avant sur le sujet.
Peut être demander sur le forum de ce site forum.malekal.com/ si qq connait un tel outil.
en fait il serait intéressant de voir le code généré par la ligne de commande que tu avais citée, avec ceci par exemple dans une console Powershell :
"$e=Get-Content -Path 'C:\Windows\sys.txt' -Raw -Encoding Byte
$a=[System.Security.Cryptography.Aes]::Create()
$a.Key=@(105,201,149,232,136,123,85,176,56,19,130,220,82,40,93,120,9,196,76,239,53,91,88,114,222,161,149,67,67,243,7,175)
$a.IV=@(248,114,199,61,179,50,120,196,216,70,158,55,141,248,92,114)
$Code=[System.Text.Encoding]::UTF8.GetString( $a.CreateDecryptor().TransformFinalBlock($e,0,$e.Length) )
Write-host $CodeIl te faudrait trouver un code similaire à celui proposé page 30 de ce tutoriel WMI .
Je doute que cette technique soit encore d'actualité mais c'est un moyen pour tracer les applications qui exécutent un process particulier (ici powershell.exe) cela doit exister sur Github mais je n'ai pas le temps d'aller plus avant sur le sujet.
Peut être demander sur le forum de ce site forum.malekal.com/ si qq connait un tel outil.
Tutoriels PowerShell
Connexion ou Créer un compte pour participer à la conversation.
- Kaou
- Auteur du sujet
- Hors Ligne
- Membre junior
-
Réduire
Plus d'informations
- Messages : 24
- Remerciements reçus 1
il y a 1 an 2 mois #34698
par Kaou
Réponse de Kaou sur le sujet Fenêtre bleue furtive et aléatoire
Pas de problème, tout le monde a ses occupations, et la participation sur un forum c'est du bénévolat.
Ce fichier C:\Windows\sys.txt était à l'origine du problème, il contenait du code, je l'ai supprimé, et pour l'instant tout semble redevenu normal ; je surveille.
Bonne soirée.
Ce fichier C:\Windows\sys.txt était à l'origine du problème, il contenait du code, je l'ai supprimé, et pour l'instant tout semble redevenu normal ; je surveille.
Bonne soirée.
Connexion ou Créer un compte pour participer à la conversation.
Temps de génération de la page : 0.048 secondes
- Vous êtes ici :
-
Accueil
-
forum
-
PowerShell
-
Entraide pour les débutants
- Fenêtre bleue furtive et aléatoire