Les fenêtres contextuelles Trojan:PowerShell/DownInfo.BA qui s’enchaînent toutes les quelques minutes indiquent qu’un script PowerShell chiffré s’exécute en tâche de fond ; sans une démarche méthodique, la menace revient après chaque redémarrage.
Problème – alertes incessantes Windows Defender « Trojan:PowerShell/DownInfo.BA »
Depuis la mise à jour des signatures Windows Defender v 1.429.460.0 (10 juin 2025), de nombreux administrateurs voient apparaître des alertes toutes les 1‑2 minutes, classées « Remediation incomplete ». Le logiciel malveillant était déjà implanté : seule la détection vient d’être ajoutée. La proximité de la publication du correctif cumulatif KB5060533 est accidentelle ; il ne déclenche pas l’infection, mais il peut avoir entraîné le redémarrage qui a révélé les tâches planifiées malveillantes.
Nature de l’infection
- Script PowerShell chiffré lancé à intervalles réguliers par des tâches planifiées :
EdgePathUpdaterTask,EdgePathInstallerTask,WindowsSoftwareAgent… - Charge utile copiée dans
C:\Windows\System32\DomainAuthHost\: fichiers.node, base LevelDB, copie locale denode.exe*. - Évasion antivirus : ajout d’exclusions pour
powershell.exeet%SystemRoot%\System32dans Windows Defender. - Détournement réseau : modification du proxy WinHTTP/IE – redirection de trafic, résolutions DNS incohérentes et perte de connectivité après tentative de suppression.
- Persistance : un wrapper NodeJS recrée la tâche et l’exclusion si elles sont supprimées.
Fonctionnement interne du bloc PowerShell chiffré
Le payload exécute un long -EncodedCommand de 64 lignes ; après déchiffrement Base64 + Gzip on retrouve :
- Téléchargement d’un fichier NodeJS depuis un CDN compromis.
- Écriture dans
%SystemRoot%\System32\DomainAuthHost\. - Ajout ou réactivation de la tâche planifiée (intervalle 5 min, contexte SYSTEM).
- Insertion d’exclusions Defender via
Set-MpPreference -ExclusionPath. - Forçage d’un proxy τύπου
http=127.0.0.1:8081pour intercepter les requêtes sortantes.
La charge finale est généralement un voleur de données ou un mineur qui s’active lorsque la machine est inutilisée.
Symptômes les plus fréquents
| Symptôme | Détails |
|---|---|
| Fenêtres contextuelles Defender | Détection « Trojan:PowerShell/DownInfo.BA » toutes les 1‑2 min, statut Remediation incomplete |
| Perte d’Internet | Proxy forcé, DNS incorrect, erreurs réseau intermittentes |
| Processus PowerShell anormal | Instance powershell.exe en boucle, argument -EncodedCommand |
| Réapparition après redémarrage | La tâche planifiée recrée le script et l’exclusion |
| Chemins exclus de Defender | powershell.exe, %SystemRoot%\System32 |
Procédure complète de désinfection
Un script correctif FRST (fixlist.txt) doit toujours être généré pour la machine concernée ; n’utilisez pas le fichier d’un autre poste.
A. Préparation
- Démarrez en Mode sans échec (avec prise en charge réseau si possible).
- Téléchargez Farbar Recovery Scan Tool 64‑bit (
FRST64.exe) et placez-le dansC:\FRST.
Si l’OS n’est pas en anglais, renommez-le enFRST64English.exe.
B. Collecte de logs
- Lancez FRST → Scan (laisser toutes les cases par défaut).
- Transférez
FRST.txtetAddition.txtsur OneDrive ou GoFile pour qu’un analyste puisse préparer le correctif.
C. Exécution du script correctif
- Copiez
fixlist.txtdans le même dossier que FRST. - Fermez toutes les applications, cliquez Fix.
- Redémarrez ; conservez
Fixlog.txtcomme preuve de nettoyage.
D. Nettoyage manuel complémentaire
En Invite de commandes administrateur :
schtasks /delete /f /tn EdgePathUpdaterTask
schtasks /delete /f /tn EdgePathInstallerTask
schtasks /delete /f /tn WindowsSoftwareAgent
netsh winhttp reset proxy
bitsadmin /util /setieproxy localsystem NO_PROXY RESET
rd /s /q C:\Windows\System32\DomainAuthHost
Si rd échoue (« Accès refusé »), redémarrez à nouveau en mode sans échec ou tuez le processus node.exe verrouillant le dossier.
E. Réinitialisation complète de Windows Defender
- Ouvrez Regedit :
- Supprimez C:\WINDOWS\system32 dans
HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths. - Supprimez powershell.EXE dans
HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes.
- Supprimez C:\WINDOWS\system32 dans
- Vérifiez la clé
ThreatIDDefaultAction: si311999est présent, effacez‑la pour annuler toute action personnalisée. - Lancez Analyse hors ligne Defender puis, en option, Kaspersky Virus Removal Tool (KVRT) hors ligne pour un second avis.
F. Restauration du réseau
- Désactivez tout proxy dans Paramètres › Réseau et Internet › Proxy.
- Ouvrez PowerShell :
ipconfig /flushdnspuis redémarrez. - Si la pile TCP/IP est corrompue : Paramètres › Réseau & Internet › Réinitialisation réseau.
Points d’attention (à ne pas négliger)
| Risque | Comment l’éviter |
|---|---|
| Ré‑exécution du malware | S’assurer que toutes les tâches planifiées malveillantes sont supprimées après le redémarrage. |
| Perte réseau post‑fix | Recontrôler WinHTTP/Proxy ; un KMS illégal peut écrire à nouveau les clés. |
| Fixlist réutilisée | Chaque machine produit ses propres chemins ; ne jamais appliquer un correctif d’un autre PC. |
| Logiciels piratés | Supprimer les activateurs KMS/Office LTSC pirates ; ils réintroduisent des exclusions et un proxy. |
Bonnes pratiques après l’incident
- Mettre à jour Windows et Windows Defender (moteur + signatures).
- Désinstaller tout logiciel douteux, y compris les activateurs KMS.
- Activer SmartScreen, bloquer l’exécution de scripts PowerShell non signés si inutile.
- Mettre en place une sauvegarde hors ligne (image système + données).
- Utiliser un compte utilisateur standard au quotidien ; réserver l’admin à la maintenance.
- Réviser régulièrement les tâches planifiées via Autoruns ou Planificateur de tâches.
Que faire si la procédure échoue ?
- Générez de nouveaux logs FRST et capturez la « Protection History » de Defender.
- En cas de coupure Internet, transférez les fichiers via clé USB depuis un poste sain.
- Si des composants système critiques sont touchés, ouvrez un ticket auprès du support Microsoft.
Résumé express
Un script PowerShell chiffré, lancé par une tâche planifiée, installe sa charge dans DomainAuthHost, force un proxy, puis s’auto‑protège en excluant powershell.exe de Windows Defender. La seule méthode fiable est : scan FRST → fixlist personnalisée → suppression des tâches → réinitialisation proxy / DNS → nettoyage des exclusions Defender. Terminez par un scan hors ligne pour valider qu’aucune menace ne subsiste.