Est-ce que C:WindowsSystem32wscript.exe est un malware ou pas ?


Comme d'autres l'ont correctement indiqué, cela ressemble à un fichier système Windows. S'il s'agit d'un fichier malveillant, vous pouvez trouver le nom du fichier comme "exemple:-wscriptt.exe", quelques caractères supplémentaires ajoutés au nom du fichier original. Ici, dans mon exemple, vous pouvez remarquer un "t" alphabétique à la fin du nom de fichier original.

Pour vérifier techniquement s'il s'agit d'un fichier malveillant, suivez les étapes ci-dessous:

  1. Trouver un couple de machine windows avec la même build sur un réseau différent.
  2. Suivant cette étape, vérifiez la build : Cliquez sur Démarrer > Exécuter > tapez "winver" et cliquez sur le bouton ok. De cette façon, vous pouvez vérifier la build du système d'exploitation. Exemple de build :- version 1703 (OS Build 15062.1022)
  3. Sur les machines identifiées, ouvrez une invite de commande. Tapez la commande ci-dessous et cliquez sur entrée.

certutil -hashfile c:windowssystem32wscript.exe md5

Sortie:

  1. Valeur de hachage MD5 du fichier c:windowssystem32wscript.exe : 
  2. 03e5dfd4c18d75763eb6136cf22c7a84 
  3. certutil: -hashfile command completed successfully 
  1. Compare the hash with the other same build machine.
  2. If there is a difference in the MD5 file value, then something is wrong. Try to figure out which machine is compromised.

Please feel free to reach out to me for further informations.