Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
1637 connectés 

  FORUM HardWare.fr
  Windows & Software
  Virus/Spywares

  Windows Script Host [Résolu]

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Windows Script Host [Résolu]

n°3321112
lynthia
Posté le 07-10-2018 à 10:21:05  profilanswer
 

Hello !
 
Comme indiqué dans le sujet j'ai un problème avec Windows Script Host, assez classique apparemment, j'ai vu pas mal d'autres posts dessus et en suis venu à la conclusion que je ne peux le régler tout seul :p, je viens donc chercher votre aide.
Il y a une procédure bien spécifique avec FRST à faire qui a l'air d’être toujours la même donc je vous post en avance les rapports si cela peut vous être utile.
j'ai pris la procédure indiquée ici : https://forum.hardware.fr/hfr/Windo [...] 6034_1.htm
 
https://www.cjoint.com/c/HJgwkFukZv1   Lien FRST
https://www.cjoint.com/c/HJgwkYL11c1   Lien Addition
 
Ps: J'ai déja essayé pas mal de solutions, notamment avec Malware bytes qui m'avais détecté un trojan un peu partout sur le pc, tout a été mis en quarantaine et supprimé mais en refaisant des analyses des traces du trojan réapparaissaient un peu tous les jours..
J'ai aussi du créer une exception pour le site Cjoint avec Malware byte car il me le détectait comme Trojan.. Apparamment c'est courant donc bon..
 
Je vous remercie de votre aide.
Cordialement,
Guilhaume


Message édité par lynthia le 09-10-2018 à 20:40:19
mood
Publicité
Posté le 07-10-2018 à 10:21:05  profilanswer
 

n°3321115
lilidurhon​e
Posté le 07-10-2018 à 10:26:17  profilanswer
 

Coucou Guilhaume  
En attendant qu'un helper vienne t'aider(à moins que je puisse le faire )
Pourrais tu me dire pourquoi Defender est désactivé?
Réactiver aussi la restauration du système on ne sait jamais ^^

n°3321118
lynthia
Posté le 07-10-2018 à 10:34:31  profilanswer
 

Hello lilidurhone, je te réponds ici plutôt que las bas ^^ Je trouvais juste defender un peu envahissant et pas forcément des plus efficace, mais je me trompe peut être^^.
Je fais généralement très attention et sans anti virus je n'ai pas eu de soucis pendant de nombreuses années, donc la j'ai du merdé quelque part ;).
J'ai aussi malware bytes en version premium qui est plutôt bien efficace donc voila :/.
Je vais faire ca pour la restau système ;) c'est pas normal que ce soit désactivé par contre non ? ^^.

Message cité 1 fois
Message édité par lynthia le 07-10-2018 à 10:36:29
n°3321119
lilidurhon​e
Posté le 07-10-2018 à 10:44:07  profilanswer
 

lynthia a écrit :

Hello lilidurhone, je te réponds ici plutôt que las bas ^^ Je trouvais juste defender un peu envahissant et pas forcément des plus efficace, mais je me trompe peut être^^.
Je fais généralement très attention et sans anti virus je n'ai pas eu de soucis pendant de nombreuses années, donc la j'ai du merdé quelque part ;).
J'ai aussi malware bytes en version premium qui est plutôt bien efficace donc voila :/.
Je vais faire ca pour la restau système ;) c'est pas normal que ce soit désactivé par contre non ? ^^.


 
 
Au contraire windows defender est efficace à condition qu'on ne crack pas certains logiciels  :D (adobe dans ton cas)
 
Pour la restauration du système après chaque grosse mise à jour elle se désactive  
Si tu as Mbam en premium normal donc si Defender soit désactivé  ;)  

n°3321187
lynthia
Posté le 07-10-2018 à 16:01:33  profilanswer
 

Hello,  
ouaip pour WDefender je l'ai peut etre desactivé justement à cause d'adobe ! ^^
J'en profite, vaut mieux que je fasse un point restau apres avoir reglé ca non?  vu que j'ai jamais eu de gros soucis jusqu'à maintenant j'ai pas pris l'habitude d'en faire.. Je me rends pas trop compte en fait :/.

n°3321210
lilidurhon​e
Posté le 07-10-2018 à 17:53:57  profilanswer
 

lynthia a écrit :

Hello,
ouaip pour WDefender je l'ai peut etre desactivé justement à cause d'adobe ! ^^
J'en profite, vaut mieux que je fasse un point restau apres avoir reglé ca non? vu que j'ai jamais eu de gros soucis jusqu'à maintenant j'ai pas pris l'habitude d'en faire.. Je me rends pas trop compte en fait :/.

 

Avant et après si jamais quelque chose se passe mal

n°3321234
lilidurhon​e
Posté le 07-10-2018 à 19:43:50  profilanswer
 

Bon je crois comprendre comment tu t'es chopé ça c'est en cliquant sur un mail qui contenait un lien piégé  
 
J'espère que Monk viendra t'aider sinon ça sera moi ^^

n°3321236
lynthia
Posté le 07-10-2018 à 20:03:22  profilanswer
 

Hello !
merci de tes explications en tout cas ;).
Moi qui croyait être plus malin que ça.. je me rappelle très bien comment j'ai chopé ça du coup.
 
Pour la petite histoire j'essaie d'apprendre un peu à mon père à détecter les mails foireux, scam fishing PUP etc.. et il avait reçu un mail bien foutu genre la poste votre colis est arrivé blabla.. (au moment ou mon frangin avait justement envoyé un colis qui devait arriver donc ça tombait à pic ^^), du coup je lui ai montré que le truc à voir dans ce cas la c'est la provenance, donc checker le mail de l'expéditeur, si c'est un truc avec pleins de chiffres et de lettres du genre an354ge3@jesaispastropquoi.net et pas service-client@laposte.net (bien plus officiel mais à vérifier quand même sur internet au cas ou) c'est foireux.. ce qui était le cas ! Et par la même occasion je lui ai montré qu'on pouvait, en mettant sa souris sur le lien en bleu, voir en bas de son navigateur internet vers ou le lien nous redirige (dans ce cas la c'était évidemment un url foireux incompréhensible et clairement pas sur le site de la poste ;) ), mais bon pour aller au bout du raisonnement j'ai cliqué sur le lien pour bien montrer que ça redirigeait vers un site bidon, ce qui était aussi le cas, puis j'ai clos le machin.
 
J'avais en tête que pour me choper un trojan/virus ou autre il fallait forcément à un moment ou un autre dl quelque chose, lancer un .exe ou quelque chose comme ça, mais jamais que je pourrai en choper un juste en cliquant sur un lien! rien n'avait été dl sur le moment, aucune extension rajoutée, autorisation demandée ou autre..j'avais pas encore MBAM à ce moment la ;).
Donc bon! tu m'apprends quelque chose d'important la :p.
 
Mon pc tourne cependant plutot bien pour le moment, donc il y a pas l'air d'avoir de grosse urgence.. Si Monk est pas dispo je patienterai ;) et si t'as la foi de m'aider je t'en suis déja reconnaissant :p.
 
Guilhaume

n°3321237
lilidurhon​e
Posté le 07-10-2018 à 20:07:30  profilanswer
 

Sur ton rapport on voit bien comment tu t'es chopé l'infection  
 
2018-09-21 12:22 - 2018-09-21 12:22 - 000005316 _____ C:\Users\Guilhaume\Downloads\%40Info-Relay(1).zip
 
Ce que tu pourrais faire c'est au moins supprimer ce  dossier si c'est possible  
 
Après j'ai déjà fait le script au cas où Monk ne viendrait pas

n°3321245
lynthia
Posté le 07-10-2018 à 22:02:07  profilanswer
 

Ok !
Bon j'ai du dl ca du coup, je me rapelle pas :( mince.
je l'ai bien supprimé, et de la corbeille aussi, sans soucis ;).
Merci ;).

mood
Publicité
Posté le 07-10-2018 à 22:02:07  profilanswer
 

n°3321260
lilidurhon​e
Posté le 08-10-2018 à 06:19:36  profilanswer
 

lynthia a écrit :

Ok !
Bon j'ai du dl ca du coup, je me rapelle pas :( mince.
je l'ai bien supprimé, et de la corbeille aussi, sans soucis ;).
Merci ;).

 

En fait c'est moi qui vais t'occuper de ta désinfection ce soir en rentrant du travail
Ensuite on passera à la sécurisation de Windows

n°3321353
lilidurhon​e
Posté le 08-10-2018 à 17:07:37  profilanswer
 

Je suis dispo tu l'es?

n°3321360
Trit'
Posté le 08-10-2018 à 19:19:03  profilanswer
 

lilidurhone a écrit :

Je suis dispo tu l'es?


C’est pas un chat, ici : le mieux est de lui donner tes instructions, d’attendre sa réponse et ainsi de suite.

n°3321361
lilidurhon​e
Posté le 08-10-2018 à 19:45:42  profilanswer
 

Trit' a écrit :


C’est pas un chat, ici : le mieux est de lui donner tes instructions, d’attendre sa réponse et ainsi de suite.


 
D'accord je vais lui donner les instructions
 
 
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.  
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.  
Le bloc-note va s'ouvrir, copie/colle ceci.  
 
 
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1652084678-2015630781-2717873566-1001\...\Run: [System.vbs] => C:\ProgramData\System.vbs [20150 2018-09-24] () <==== ATTENTION  
HKU\S-1-5-21-1652084678-2015630781-2717873566-1001\...\Run: [XthnEqldMB] => wscript.exe //B "C:\Users\Guilhaume\AppData\Roaming\XthnEqldMB.vbs"  
HKU\S-1-5-21-1652084678-2015630781-2717873566-1001\...\Run: [W4V8FBQC7Q] => wscript.exe //B "C:\ProgramData\W4V8FBQC7Q.vbs" <==== ATTENTION  
HKU\S-1-5-21-1652084678-2015630781-2717873566-1001\...\Run: [Y2SVEWCFLI] => wscript.exe //B "C:\ProgramData\Y2SVEWCFLI.vbs" <==== ATTENTION  
HKU\S-1-5-21-1652084678-2015630781-2717873566-1001\...\Run: [PizbOnbrkq] => wscript.exe //B "C:\Users\Guilhaume\AppData\Roaming\PizbOnbrkq.vbs"  
HKU\S-1-5-21-1652084678-2015630781-2717873566-1001\...\Run: [GoogleChrome.exe] => "C:\Users\Guilhaume\AppData\Local\Temp\2165.exe" .. <==== ATTENTION
Startup: C:\Users\Guilhaume\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CXAisFbEJq.vbs [2018-09-28] ()  
Startup: C:\Users\Guilhaume\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PizbOnbrkq.vbs [2018-09-27] ()  
Startup: C:\Users\Guilhaume\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\System.vbs [2018-09-24] () <==== ATTENTION  
Startup: C:\Users\Guilhaume\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\W4V8FBQC7Q.vbs [2018-09-25] ()  
Startup: C:\Users\Guilhaume\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\XthnEqldMB.vbs [2018-09-24] ()  
Startup: C:\Users\Guilhaume\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Y2SVEWCFLI.vbs [2018-09-26] ()  
Task: {5454646A-4459-4EE8-BA86-0F6ACC2C0403} - System32\Tasks\NYAN => C:\Users\GUILHA~1\AppData\Local\Temp\2165.exe <==== ATTENTION  
Task: {65D36A8D-1A31-41EB-B274-18C90BE6F651} - System32\Tasks\NYANP => C:\Users\GUILHA~1\AppData\Local\Temp\5260.exe <==== ATTENTION  
2018-09-27 15:10 - 2018-09-27 15:10 - 000020501 _____ C:\Users\Guilhaume\AppData\Roaming\PizbOnbrkq.vbs  
2018-09-26 01:06 - 2018-09-26 01:06 - 000076443 _____ C:\ProgramData\Y2SVEWCFLI.vbs  
2018-09-25 20:17 - 2018-09-25 20:17 - 000076443 _____ C:\ProgramData\W4V8FBQC7Q.vbs  
2018-09-24 20:04 - 2018-09-24 20:04 - 000020450 _____ C:\Users\Guilhaume\AppData\Roaming\XthnEqldMB.vbs  
2018-09-21 13:13 - 2018-10-04 12:19 - 000000000 ____D C:\Users\Guilhaume\AppData\Roaming\Imminent  
2018-09-21 12:39 - 2018-09-24 18:36 - 000020150 _____ C:\ProgramData\System.vbs  
2018-09-21 12:39 - 2018-09-24 18:36 - 000020150 _____ () C:\ProgramData\System.vbs  
2018-09-25 20:17 - 2018-09-25 20:17 - 000076443 _____ () C:\ProgramData\W4V8FBQC7Q.vbs  
2018-09-26 01:06 - 2018-09-26 01:06 - 000076443 _____ () C:\ProgramData\Y2SVEWCFLI.vbs  
C:\Users\Guilhaume\AppData\Roaming\PizbOnbrkq.vbs  
2018-09-24 20:04 - 2018-09-24 20:04 - 000020450 _____ () C:\Users\Guilhaume\AppData\Roaming\XthnEqldMB.vbs  
EmptyTemp:
Reboot:
 
 
Enregistre le contenu par le menu fichier puis enregistrer.  
 
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"  
Un redémarrage sera peut-être nécessaire et automatique.  
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.  
 
Redémarre l'ordinateur.  
 

n°3321365
lynthia
Posté le 08-10-2018 à 20:20:22  profilanswer
 

Hello,
Je viens de faire ca!
Je lance le redémarrage maintenant, voici le contenu de Fixlog.txt :
 


Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 06.10.2018
Exécuté par Guilhaume (08-10-2018 20:15:12) Run:1
Exécuté depuis C:\Users\Guilhaume\Desktop
Profils chargés: Guilhaume (Profils disponibles: Guilhaume)
Mode d'amorçage: Normal
==============================================
 
fixlist contenu:
*****************
CreateRestorePoint:  
CloseProcesses:  
HKU\S-1-5-21-1652084678-2015630781-2717873566-1001\...\Run: [System.vbs] => C:\ProgramData\System.vbs [20150 2018-09-24] () <==== ATTENTION  
HKU\S-1-5-21-1652084678-2015630781-2717873566-1001\...\Run: [XthnEqldMB] => wscript.exe //B "C:\Users\Guilhaume\AppData\Roaming\XthnEqldMB.vbs"  
HKU\S-1-5-21-1652084678-2015630781-2717873566-1001\...\Run: [W4V8FBQC7Q] => wscript.exe //B "C:\ProgramData\W4V8FBQC7Q.vbs" <==== ATTENTION  
HKU\S-1-5-21-1652084678-2015630781-2717873566-1001\...\Run: [Y2SVEWCFLI] => wscript.exe //B "C:\ProgramData\Y2SVEWCFLI.vbs" <==== ATTENTION  
HKU\S-1-5-21-1652084678-2015630781-2717873566-1001\...\Run: [PizbOnbrkq] => wscript.exe //B "C:\Users\Guilhaume\AppData\Roaming\PizbOnbrkq.vbs"  
HKU\S-1-5-21-1652084678-2015630781-2717873566-1001\...\Run: [GoogleChrome.exe] => "C:\Users\Guilhaume\AppData\Local\Temp\2165.exe" .. <==== ATTENTION  
Startup: C:\Users\Guilhaume\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CXAisFbEJq.vbs [2018-09-28] ()  
Startup: C:\Users\Guilhaume\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PizbOnbrkq.vbs [2018-09-27] ()  
Startup: C:\Users\Guilhaume\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\System.vbs [2018-09-24] () <==== ATTENTION  
Startup: C:\Users\Guilhaume\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\W4V8FBQC7Q.vbs [2018-09-25] ()  
Startup: C:\Users\Guilhaume\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\XthnEqldMB.vbs [2018-09-24] ()  
Startup: C:\Users\Guilhaume\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Y2SVEWCFLI.vbs [2018-09-26] ()  
Task: {5454646A-4459-4EE8-BA86-0F6ACC2C0403} - System32\Tasks\NYAN => C:\Users\GUILHA~1\AppData\Local\Temp\2165.exe <==== ATTENTION  
Task: {65D36A8D-1A31-41EB-B274-18C90BE6F651} - System32\Tasks\NYANP => C:\Users\GUILHA~1\AppData\Local\Temp\5260.exe <==== ATTENTION    
2018-09-27 15:10 - 2018-09-27 15:10 - 000020501 _____ C:\Users\Guilhaume\AppData\Roaming\PizbOnbrkq.vbs  
2018-09-26 01:06 - 2018-09-26 01:06 - 000076443 _____ C:\ProgramData\Y2SVEWCFLI.vbs  
2018-09-25 20:17 - 2018-09-25 20:17 - 000076443 _____ C:\ProgramData\W4V8FBQC7Q.vbs  
2018-09-24 20:04 - 2018-09-24 20:04 - 000020450 _____ C:\Users\Guilhaume\AppData\Roaming\XthnEqldMB.vbs  
2018-09-21 13:13 - 2018-10-04 12:19 - 000000000 ____D C:\Users\Guilhaume\AppData\Roaming\Imminent  
2018-09-21 12:39 - 2018-09-24 18:36 - 000020150 _____ C:\ProgramData\System.vbs  
2018-09-21 12:39 - 2018-09-24 18:36 - 000020150 _____ () C:\ProgramData\System.vbs  
2018-09-25 20:17 - 2018-09-25 20:17 - 000076443 _____ () C:\ProgramData\W4V8FBQC7Q.vbs  
2018-09-26 01:06 - 2018-09-26 01:06 - 000076443 _____ () C:\ProgramData\Y2SVEWCFLI.vbs  
C:\Users\Guilhaume\AppData\Roaming\PizbOnbrkq.vbs  
2018-09-24 20:04 - 2018-09-24 20:04 - 000020450 _____ () C:\Users\Guilhaume\AppData\Roaming\XthnEqldMB.vbs  
EmptyTemp:  
Reboot:  
*****************
 
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
"HKU\S-1-5-21-1652084678-2015630781-2717873566-1001\Software\Microsoft\Windows\CurrentVersion\Run\\System.vbs" => supprimé(es) avec succès
"HKU\S-1-5-21-1652084678-2015630781-2717873566-1001\Software\Microsoft\Windows\CurrentVersion\Run\\XthnEqldMB" => supprimé(es) avec succès
"HKU\S-1-5-21-1652084678-2015630781-2717873566-1001\Software\Microsoft\Windows\CurrentVersion\Run\\W4V8FBQC7Q" => supprimé(es) avec succès
"HKU\S-1-5-21-1652084678-2015630781-2717873566-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Y2SVEWCFLI" => supprimé(es) avec succès
"HKU\S-1-5-21-1652084678-2015630781-2717873566-1001\Software\Microsoft\Windows\CurrentVersion\Run\\PizbOnbrkq" => supprimé(es) avec succès
"HKU\S-1-5-21-1652084678-2015630781-2717873566-1001\Software\Microsoft\Windows\CurrentVersion\Run\\GoogleChrome.exe" => supprimé(es) avec succès
C:\Users\Guilhaume\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CXAisFbEJq.vbs => déplacé(es) avec succès
C:\Users\Guilhaume\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PizbOnbrkq.vbs => déplacé(es) avec succès
"C:\Users\Guilhaume\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\System.vbs" => non trouvé(e)
C:\Users\Guilhaume\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\W4V8FBQC7Q.vbs => déplacé(es) avec succès
C:\Users\Guilhaume\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\XthnEqldMB.vbs => déplacé(es) avec succès
C:\Users\Guilhaume\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Y2SVEWCFLI.vbs => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5454646A-4459-4EE8-BA86-0F6ACC2C0403}" => non trouvé(e)
"C:\WINDOWS\System32\Tasks\NYAN" => non trouvé(e)
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\NYAN" => non trouvé(e)
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{65D36A8D-1A31-41EB-B274-18C90BE6F651}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{65D36A8D-1A31-41EB-B274-18C90BE6F651}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\NYANP => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\NYANP" => supprimé(es) avec succès
C:\Users\Guilhaume\AppData\Roaming\PizbOnbrkq.vbs => déplacé(es) avec succès
C:\ProgramData\Y2SVEWCFLI.vbs => déplacé(es) avec succès
C:\ProgramData\W4V8FBQC7Q.vbs => déplacé(es) avec succès
C:\Users\Guilhaume\AppData\Roaming\XthnEqldMB.vbs => déplacé(es) avec succès
C:\Users\Guilhaume\AppData\Roaming\Imminent => déplacé(es) avec succès
C:\ProgramData\System.vbs => déplacé(es) avec succès
"C:\ProgramData\System.vbs" => non trouvé(e)
"C:\ProgramData\W4V8FBQC7Q.vbs" => non trouvé(e)
"C:\ProgramData\Y2SVEWCFLI.vbs" => non trouvé(e)
"C:\Users\Guilhaume\AppData\Roaming\PizbOnbrkq.vbs" => non trouvé(e)
"C:\Users\Guilhaume\AppData\Roaming\XthnEqldMB.vbs" => non trouvé(e)
 
=========== EmptyTemp: ==========
 
BITS transfer queue => 9199616 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 26226738 B
Java, Flash, Steam htmlcache => 516209701 B
Windows/system/drivers => 860997 B
Edge => 336043 B
Chrome => 370329321 B
Firefox => 33967386 B
Opera => 0 B
 
Temp, IE cache, history, cookies, recent:
Default => 6656 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 31392 B
LocalService => 0 B
NetworkService => 6656 B
NetworkService => 0 B
Guilhaume => 109127154 B
 
RecycleBin => 0 B
EmptyTemp: => 1016.9 MB données temporaires supprimées.
 
================================
 
 
Le système a dû redémarrer.
 
==== Fin de Fixlog 20:17:32 ====

n°3321366
lilidurhon​e
Posté le 08-10-2018 à 20:21:32  profilanswer
 

Refais frst s'il te plait normalement tu ne devrais plus avoir de message de VBS

n°3321371
lynthia
Posté le 08-10-2018 à 20:37:30  profilanswer
 

Alors voici les liens :
 
Addition : https://www.cjoint.com/c/HJisLydFEZ1  
FRST :     https://www.cjoint.com/c/HJisLhzlBt1

n°3321373
lilidurhon​e
Posté le 08-10-2018 à 20:39:44  profilanswer
 

Lynthia ton rapport n'est pas complet....
 
Peux tu refaire aussi Mbam pour voir si il détecte encore quelque chose en ayant vider la quarantaine
 
Une fois que tout ça sera fait il faudra vacciner tes clés usb  avec Usbfix par exemple  
Ensuite  
Te protéger contre les scripts malicieux  
https://www.malekal.com/proteger-scripts-malicieux/


Message édité par lilidurhone le 08-10-2018 à 20:44:40
n°3321374
lynthia
Posté le 08-10-2018 à 20:43:42  profilanswer
 

Ah c'est bizarre :/
J'ai supprimé les anciens rapports pendant que l'analyse était en cours au cas ou donc ca a peut etre beugé la, je vais le refaire ;).

n°3321375
lynthia
Posté le 08-10-2018 à 20:46:20  profilanswer
 

FRST : https://www.cjoint.com/c/HJisTBz3I61
Addition : https://www.cjoint.com/c/HJisTM1tlD1
 
Pour l'analyse Mbam ca risque de prendre un peu plus de temps.. je te tiens au courant dès que c'est fini ;).


Message édité par lynthia le 08-10-2018 à 20:46:59
n°3321376
lilidurhon​e
Posté le 08-10-2018 à 20:48:32  profilanswer
 

Passe à la suite  
Peux tu refaire aussi Mbam pour voir si il détecte encore quelque chose en ayant vider la quarantaine  
 
Une fois que tout ça sera fait il faudra vacciner tes clés usb  avec Usbfix par exemple  
Ensuite  
Te protéger contre les scripts malicieux  
https://www.malekal.com/proteger-scripts-malicieux/

n°3321379
lynthia
Posté le 08-10-2018 à 20:51:50  profilanswer
 

Que veux-tu dire par passe à la suite ?
Bon pour Mbam il galère à se lancer je ne sais pas trop pourquoi.. des fois il faut 10 15 min avant qu'il ne se lance.. Je ne peux donc pas encore lancer de scan.
Ca marche pour usbfix et pour les scripts malicieux je vais checker ca ;).

Message cité 1 fois
Message édité par lynthia le 08-10-2018 à 20:52:20
n°3321380
lilidurhon​e
Posté le 08-10-2018 à 20:53:11  profilanswer
 

lynthia a écrit :

Que veux-tu dire par passe à la suite ?
Bon pour Mbam il galère à se lancer je ne sais pas trop pourquoi.. des fois il faut 10 15 min avant qu'il ne se lance.. Je ne peux donc pas encore lancer de scan.
Ca marche pour usbfix et pour les scripts malicieux je vais checker ca ;).


 
 
Oui c'était bien ça pour la suite d'après ton dernier rapport tu es clean  :D  
 
En attente du rapport de mbam  :jap:

n°3321381
lynthia
Posté le 08-10-2018 à 20:55:03  profilanswer
 

Ok nickel ;) ca me rassure ;) merci!
Je vais lancer le scan dès que Mbam se lance et en profiter pour aller brouffer! Je te tiens au courant dès que le scan est fini.

n°3321385
lynthia
Posté le 08-10-2018 à 21:35:53  profilanswer
 

Bon, encore quelques menaces détéctés dans le rapport :/.
trojan.stolendata et trojan.trace/gen.
 
Si ca peut aider :  
https://www.cjoint.com/c/HJitJsHy8I1
 
Je quarantaine tout ca je supprime et je relance un scan.

n°3321387
lilidurhon​e
Posté le 08-10-2018 à 21:46:35  profilanswer
 


 
Et le dossier  Imminent justement a été supprimé avec FRST  
 
Donc en gros tu pourrais refaire un script correcteur de FRST avec
 
CreateRestorePoint:  
CloseProcesses:  
2018-09-24 20:00 - 2018-10-08 10:44 - 000000000 ____D C:\Users\Guilhaume\AppData\Roaming\Update Defender  
2018-09-24 20:00 - 2018-09-24 20:00 - 000000000 ____D C:\Update Defender  
HKU\S-1-5-21-1652084678-2015630781-2717873566-1001\...\Run: [Windows Defender] => C:\Users\Guilhaume\AppData\Roaming\Update Defender\DefenderUpdate.exe [985776 2018-10-08] (Company name)  
HKU\S-1-5-21-1652084678-2015630781-2717873566-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-10082018202950911\...\Run: [Windows Defender] => C:\Users\Guilhaume\AppData\Roaming\Update Defender\DefenderUpdate.exe [985776 2018-10-08] (Company name)
Reboot:
 
 
 

n°3321388
lynthia
Posté le 08-10-2018 à 21:48:39  profilanswer
 

Ca marche je fais ca de suite.

n°3321391
lynthia
Posté le 08-10-2018 à 21:54:29  profilanswer
 

Voila le fixlog :  
 
 
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 06.10.2018
Exécuté par Guilhaume (08-10-2018 21:48:26) Run:2
Exécuté depuis C:\Users\Guilhaume\Desktop
Profils chargés: Guilhaume &  (Profils disponibles: Guilhaume)
Mode d'amorçage: Normal
==============================================
 
fixlist contenu:
*****************
CreateRestorePoint:  
CloseProcesses:  
2018-09-24 20:00 - 2018-10-08 10:44 - 000000000 ____D C:\Users\Guilhaume\AppData\Roaming\Update Defender  
2018-09-24 20:00 - 2018-09-24 20:00 - 000000000 ____D C:\Update Defender  
HKU\S-1-5-21-1652084678-2015630781-2717873566-1001\...\Run: [Windows Defender] => C:\Users\Guilhaume\AppData\Roaming\Update Defender\DefenderUpdate.exe [985776 2018-10-08] (Company name)  
HKU\S-1-5-21-1652084678-2015630781-2717873566-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-10082018202950911\...\Run: [Windows Defender] => C:\Users\Guilhaume\AppData\Roaming\Update Defender\DefenderUpdate.exe [985776 2018-10-08] (Company name)  
Reboot:  
*****************
 
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
C:\Users\Guilhaume\AppData\Roaming\Update Defender => déplacé(es) avec succès
C:\Update Defender => déplacé(es) avec succès
"HKU\S-1-5-21-1652084678-2015630781-2717873566-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Windows Defender" => supprimé(es) avec succès
HKU\S-1-5-21-1652084678-2015630781-2717873566-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-10082018202950911\...\Run: [Windows Defender] => C:\Users\Guilhaume\AppData\Roaming\Update Defender\DefenderUpdate.exe [985776 2018-10-08] (Company name) => Erreur: Pas de correction automatique trouvée pour cet élément.
 
 
Le système a dû redémarrer.
 
==== Fin de Fixlog 21:50:48 ====

n°3321392
lilidurhon​e
Posté le 08-10-2018 à 21:56:25  profilanswer
 

Refais un dernier FRST

n°3321393
lynthia
Posté le 08-10-2018 à 22:05:52  profilanswer
 
n°3321395
lilidurhon​e
Posté le 08-10-2018 à 22:31:07  profilanswer
 

 


Un dernier fixlist

 

CreateRestorePoint:  
CloseProcesses:
C:\Users\Guilhaume\AppData\Roaming\Imminent
2018-10-08 20:15 - 2018-10-08 21:50 - 000001802 _____ 
Reboot:

  

Ensuite il faudra absolument changer tout tes mots de passe puis un dernier scan en ligne

 


https://www.commentcamarche.com/faq [...] eset-nod32

 

Ensuite vide la quarantaine de Mbam et pour demain tu referras un scan de Mbam


Message édité par lilidurhone le 08-10-2018 à 22:34:49
n°3321396
lynthia
Posté le 08-10-2018 à 22:38:44  profilanswer
 

Voila pour le Fixlog :  
 
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 06.10.2018
Exécuté par Guilhaume (08-10-2018 22:33:05) Run:3
Exécuté depuis C:\Users\Guilhaume\Desktop
Profils chargés: Guilhaume &  (Profils disponibles: Guilhaume)
Mode d'amorçage: Normal
==============================================
 
fixlist contenu:
*****************
CreateRestorePoint:  
CloseProcesses:
C:\Users\Guilhaume\AppData\Roaming\Imminent
2018-10-08 20:15 - 2018-10-08 21:50 - 000001802 _____  
*****************
 
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
C:\Users\Guilhaume\AppData\Roaming\Imminent => déplacé(es) avec succès
"2018-10-08 20:15 - 2018-10-08 21:50 - 000001802 _____" => non trouvé(e)
 
 
Le système a dû redémarrer.
 
==== Fin de Fixlog 22:35:29 ====
 
 
Je m'attaque au scan en ligne et je change les mdp ;).

n°3321398
lilidurhon​e
Posté le 08-10-2018 à 22:50:55  profilanswer
 

lynthia a écrit :

Voila pour le Fixlog :

 

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 06.10.2018
Exécuté par Guilhaume (08-10-2018 22:33:05) Run:3
Exécuté depuis C:\Users\Guilhaume\Desktop
Profils chargés: Guilhaume & (Profils disponibles: Guilhaume)
Mode d'amorçage: Normal
==============================================

 

fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
C:\Users\Guilhaume\AppData\Roaming\Imminent
2018-10-08 20:15 - 2018-10-08 21:50 - 000001802 _____
*****************

 

Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
C:\Users\Guilhaume\AppData\Roaming\Imminent => déplacé(es) avec succès
"2018-10-08 20:15 - 2018-10-08 21:50 - 000001802 _____" => non trouvé(e)

 


Le système a dû redémarrer.

 

==== Fin de Fixlog 22:35:29 ====

 


Je m'attaque au scan en ligne et je change les mdp ;).

 

Super on continue demain

n°3321399
lynthia
Posté le 08-10-2018 à 22:53:32  profilanswer
 

Ca marche, merci en tout cas ca avance bien ;).
A demain

n°3321499
lynthia
Posté le 09-10-2018 à 19:49:14  profilanswer
 

Hello !
Je viens de refaire un scan(4heures!) avec eset et tout est clean ! RAS
Je vais en faire un avec Mbam maintenant(si j'arrive à le lancer :( ).
Du coup un petite idée de pourquoi Mbam ne se lance qu'une fois sur deux et met un temps fou à se lancer ? :/

n°3321500
lilidurhon​e
Posté le 09-10-2018 à 19:54:57  profilanswer
 

lynthia a écrit :

Hello !
Je viens de refaire un scan(4heures!) avec eset et tout est clean ! RAS
Je vais en faire un avec Mbam maintenant(si j'arrive à le lancer :( ).
Du coup un petite idée de pourquoi Mbam ne se lance qu'une fois sur deux et met un temps fou à se lancer ? :/

 

Pour Mbam essaie de le réinstaller

 

Et mets aussi par la même occasion Windows à jour ;)

n°3321502
lynthia
Posté le 09-10-2018 à 19:58:21  profilanswer
 

Ca marche je fais ca ;).

n°3321506
lilidurhon​e
Posté le 09-10-2018 à 20:19:23  profilanswer
 

Après pour virer FRST tu supprimes le dossier C:/FRST

n°3321508
lynthia
Posté le 09-10-2018 à 20:33:08  profilanswer
 

OK !
Bon, analyse Mbam faite, RAS, windows mis à jour, tout roule nickel, j'ai réinstallé Mbam ca s'est lancé direct ;).
Je vire FRST ok :).
 
Merci beaucoup de ton aide en tout cas! tout est clean, je ferai attention par la suite :p.

Message cité 1 fois
Message édité par lynthia le 09-10-2018 à 20:33:29
n°3321510
lilidurhon​e
Posté le 09-10-2018 à 20:37:43  profilanswer
 

lynthia a écrit :

OK !
Bon, analyse Mbam faite, RAS, windows mis à jour, tout roule nickel, j'ai réinstallé Mbam ca s'est lancé direct ;).
Je vire FRST ok :).
 
Merci beaucoup de ton aide en tout cas! tout est clean, je ferai attention par la suite :p.


 
 
 :bounce:  :love:  
 
De rien c'était avec plaisir  ;)

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Virus/Spywares

  Windows Script Host [Résolu]

 

Sujets relatifs
Windows Script Host [Fermé]Windows Script Host
Windows host script désactivé...Windows script host, au démarrage
Windows Script host est désactivé ....Windows Script Host
Erreur Windows Script HostProblème sur Win XP depuis que j'ai formaté ( Windows Script Host )
script malveillant détecté -> windows script host shell objet[Win2000] Erreur Windows Script Host
Plus de sujets relatifs à : Windows Script Host [Résolu]


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR