Windows Script Host colis.vbs

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 92760
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows Script Host colis.vbs

Message par Malekal_morte » 04 oct. 2017 08:24

il y a d'autres appareils branchés sur cette box ?
Ca rame avec eux aussi ou seulement cet ordinateur ?


Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


decuyper
newbie expert
newbie expert
Messages : 70
Inscription : 07 mars 2008 14:19

Re: Windows Script Host colis.vbs

Message par decuyper » 04 oct. 2017 21:26

Bonsoir,

Illumination nocturne. Le technicien Orange est venu la semaine dernière et a déplacé la prise pour le branchement de la box...cette dernière est maintenant sur le même tableau électrique que l'ordi. J'ai donc pu ce matin remplacer la connexion par dongle wifi par des boitiers CPL...et ça marche !
C'est comme si le dongle wifi qui marchait très bien avant avait été contaminé par le virus.Est-ce possible ?

Encore grand merci pour votre support, la cagnotte à dons va grossir...

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 92760
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows Script Host colis.vbs

Message par Malekal_morte » 04 oct. 2017 21:54

Non je pense pas pour le virus.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 92760
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows Script Host colis.vbs

Message par Malekal_morte » 05 oct. 2017 12:16

Test en filaire depuis un ordinateur portable ou un téléphone en Wifi proche.
Si c'est lent, ça vient de ta connexion
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

max_17
Messages : 2
Inscription : 07 janv. 2018 15:25

Re: Windows Script Host colis.vbs

Message par max_17 » 07 janv. 2018 15:27



Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 92760
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows Script Host colis.vbs

Message par Malekal_morte » 07 janv. 2018 19:43

Bonsoir,



Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt [2018-01-07] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt [2018-01-07] ()
Task: {821F5C89-9B57-4A29-9DF2-0227E4590DF2} - System32\Tasks\Skype => C:\Users\user\AppData\Local\Temp\colis-suivi.vbs <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

2)
Pour te protéger des infections amovibles type Wscript (Windows Script Host) et virus sur clé usb.
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host puis modifier pour prendre en compte les modifications.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).

3)


Pour nettoyer les disques amovibles infecté par un virus par clé USB, suivre dans l'ordre les étapes du tutoriel : insère un à un tes clefs USB et disques durs externes que tu as pour les nettoyer. Envoie ensuite les rapports sur https://pjjoint.malekal.com/ et donne les liens menant à ces rapports pour que l'on puisse les consulter.

1°) Brancher toutes les clefs USB et autres périphériques amovibles.
* Télécharger Remediate VBS Worm
* Lance Remediate VBS Worm puis choisis l'option B
* Taper la lettre de la clef USB, par exemple, E et entrée
ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR !
* Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.
Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

max_17
Messages : 2
Inscription : 07 janv. 2018 15:25

Re: Windows Script Host colis.vbs

Message par max_17 » 10 janv. 2018 00:04

Bonjour,

Merci beaucoup pour ta réponse tu m'as sauvé la vie ;-)

voila le rapport de rem-vbs.
Merci encore pour ton aide.
PDT_012 PDT_012 PDT_012

Rem-VBSworm v8.0

=========== - General info:

Running under: user on profile: C:\Users\user
Computer name: USER-PC

Operating System:
Microsoft Windows 10 Famille

Boot Mode:
Normal boot

Antivirus software installed:
Avast Antivirus

Windows Defender


Executed on: 09/01/2018 @ 13:34:42,16

=========== - Drive info:

Listing currently attached drives:
Caption Description VolumeName

C: Disque mont‚ local eMachines

D: Disque CD-ROM

E: Disque amovible

F: Disque amovible

G: Disque amovible

H: Disque amovible

I: Disque amovible

K: Disque amovible




Physical drives information:
C: \Device\HarddiskVolume3 NTFS
K: \Device\HarddiskVolume9 FAT

=========== - Disinfection info:


=========== - USB drive info:

k: selected

USB Device ID:
USBSTOR\DISK&VEN_GENERIC&PROD_MICROSD&REV_0.00\00000000000006&2

USBSTOR\DISK&VEN_GENERIC&PROD_COMPACT_FLASH&REV_0.00\00000000000006&0

USBSTOR\DISK&VEN_GENERIC&PROD_SD/MMC&REV_0.00\00000000000006&1

USBSTOR\DISK&VEN_GENERIC&PROD_MS/MS-PRO&REV_0.00\00000000000006&3

USBSTOR\DISK&VEN_GENERIC&PROD_SM/XD-PICTURE&REV_0.00\00000000000006&4

SCSI\DISK&VEN_WDC_WD10&PROD_EADS-22M2B0\4&6BF76C&0&000000

USBSTOR\DISK&VEN_&PROD_USB_FLASH_MEMORY&REV_PMAP\000FEAFB7A105B89010C174C&0




WARNING... Possible Andromeda/Gamarue infection...
Listing root contents of k:
Le volume dans le lecteur K n'a pas de nom.
Le num‚ro de s‚rie du volume est 8736-6898

R‚pertoire de K:\

13/02/2010 18:25 <DIR> 2010
19/02/2011 15:07 <DIR> 2011
13/07/2011 09:41 <DIR> 2009
25/02/2012 11:44 <DIR> 2012
19/01/2013 18:01 <DIR> 2013
18/12/2013 19:54 807ÿ924ÿ947 HB Daphn‚1.mp4
18/12/2013 20:56 807ÿ838ÿ816 HB Daphn‚1.mp4.zip
18/12/2013 21:51 <DIR> .fseventsd
18/12/2013 21:51 <DIR> .Spotlight-V100
18/12/2013 21:51 4ÿ096 ._.Trashes
18/12/2013 21:51 <DIR> .Trashes
18/12/2013 21:54 4ÿ096 ._HB Daphn‚1.mp4
05/03/2015 15:33 <DIR> 2014
27/12/2015 18:50 <DIR> 2015
07/01/2017 18:54 <DIR> 2016
30/07/2017 10:33 <DIR> 2017
4 fichier(s) 1ÿ615ÿ771ÿ955 octets
13 R‚p(s) 2ÿ427ÿ117ÿ568 octets libres

USB drive disinfected and files unhidden!!


=========== - USB drive info:

j: selected

USB Device ID:
USBSTOR\DISK&VEN_GENERIC&PROD_MICROSD&REV_0.00\00000000000006&2

USBSTOR\DISK&VEN_GENERIC&PROD_COMPACT_FLASH&REV_0.00\00000000000006&0

USBSTOR\DISK&VEN_GENERIC&PROD_SD/MMC&REV_0.00\00000000000006&1

USBSTOR\DISK&VEN_GENERIC&PROD_MS/MS-PRO&REV_0.00\00000000000006&3

USBSTOR\DISK&VEN_GENERIC&PROD_SM/XD-PICTURE&REV_0.00\00000000000006&4

SCSI\DISK&VEN_WDC_WD10&PROD_EADS-22M2B0\4&6BF76C&0&000000

USBSTOR\DISK&VEN_&PROD_USB_FLASH_MEMORY&REV_PMAP\000FEAFB7A105B89010C174C&0

USBSTOR\DISK&VEN_SEAGATE&PROD_PORTABLE&REV_SF06\2GH7CD4B&0

USBSTOR\DISK&VEN_&PROD_MIMOBOT&REV_3000\AA00000000001655&0

USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07\C24411BC&0




Fichier supprim‚ - j:\NANOU POWER POINT\Ordinateur - Raccourci.lnk
Fichier supprim‚ - j:\Photoshop 6.0\Helpers\Jump To HTML Editor\Adobe GoLive 5.0.lnk
Fichier supprim‚ - j:\Photoshop 6.0\Helpers\Jump To HTML Editor\Bloc-notes.lnk
Fichier supprim‚ - j:\Photoshop 6.0\Helpers\Preview In\Internet Explorer.lnk
Fichier supprim‚ - j:\$RECYCLE.BIN\S-1-5-21-316366558-1582522515-1078234491-1000\$RA70A2U\Mount&Blade original\Modules\300\ModuleSystem~300\build_module.bat
Fichier supprim‚ - j:\$RECYCLE.BIN\S-1-5-21-316366558-1582522515-1078234491-1000\$RA70A2U\Mount&Blade original\Modules\300\ModuleSystem~300\build_module_check_tags.bat
Fichier supprim‚ - j:\$RECYCLE.BIN\S-1-5-21-316366558-1582522515-1078234491-1000\$RA70A2U\Mount&Blade original\Modules\Age of Machinery\ModuleSystem\build_module.bat
Fichier supprim‚ - j:\$RECYCLE.BIN\S-1-5-21-316366558-1582522515-1078234491-1000\$RA70A2U\Mount&Blade original\Modules\Age of Machinery\ModuleSystem\build_module_check_tags.bat
Fichier supprim‚ - j:\$RECYCLE.BIN\S-1-5-21-316366558-1582522515-1078234491-1000\$RA70A2U\Mount&Blade original\Modules\Battlestar Galactica Tactical\ModuleSystem\build_module.bat
Fichier supprim‚ - j:\$RECYCLE.BIN\S-1-5-21-316366558-1582522515-1078234491-1000\$RA70A2U\Mount&Blade original\Modules\Battlestar Galactica Tactical\ModuleSystem\build_module_check_tags.bat
Fichier supprim‚ - j:\$RECYCLE.BIN\S-1-5-21-316366558-1582522515-1078234491-1000\$RA70A2U\Mount&Blade original\Modules\Battlestar Galactica Tactical\ModuleSystem - Battlestar Galactica Tactical\build_module.bat
Fichier supprim‚ - j:\$RECYCLE.BIN\S-1-5-21-316366558-1582522515-1078234491-1000\$RA70A2U\Mount&Blade original\Modules\Battlestar Galactica Tactical\ModuleSystem - Battlestar Galactica Tactical\build_module_check_tags.bat
Fichier supprim‚ - j:\$RECYCLE.BIN\S-1-5-21-316366558-1582522515-1078234491-1000\$RA70A2U\Mount&Blade original\Modules\Battlestar Galactica Tactical\ModuleSystem - Battlestar Galactica Tactical\build_module_less.bat
Fichier supprim‚ - j:\$RECYCLE.BIN\S-1-5-21-316366558-1582522515-1078234491-1000\$RA70A2U\Mount&Blade original\Modules\Crusader-Byzantine Glory\ModuleSystem\build_module.bat
Fichier supprim‚ - j:\$RECYCLE.BIN\S-1-5-21-316366558-1582522515-1078234491-1000\$RA70A2U\Mount&Blade original\Modules\Crusader-Byzantine Glory\ModuleSystem\build_module_check_tags.bat
Fichier supprim‚ - j:\$RECYCLE.BIN\S-1-5-21-316366558-1582522515-1078234491-1000\$RA70A2U\Mount&Blade original\Modules\Crusader-Byzantine Glory\ModuleSystem\process_line_correction.bat
Fichier supprim‚ - j:\$RECYCLE.BIN\S-1-5-21-316366558-1582522515-1078234491-1000\$RA70A2U\Mount&Blade original\Modules\gs\moduleSystem\build_module.bat
Fichier supprim‚ - j:\$RECYCLE.BIN\S-1-5-21-316366558-1582522515-1078234491-1000\$RA70A2U\Mount&Blade original\Modules\gs\moduleSystem\build_module_check_tags.bat
Fichier supprim‚ - j:\$RECYCLE.BIN\S-1-5-21-316366558-1582522515-1078234491-1000\$RA70A2U\Mount&Blade original\Modules\Roots of Yggdrassil\Modulesystem-RoY\build_module.bat
Fichier supprim‚ - j:\$RECYCLE.BIN\S-1-5-21-316366558-1582522515-1078234491-1000\$RA70A2U\Mount&Blade original\Modules\Roots of Yggdrassil\Modulesystem-RoY\build_module_check_tags.bat
Fichier supprim‚ - j:\$RECYCLE.BIN\S-1-5-21-316366558-1582522515-1078234491-1000\$RA70A2U\Mount&Blade original\Modules\Roots of Yggdrassil1\Modulesystem-RoY\build_module.bat
Fichier supprim‚ - j:\$RECYCLE.BIN\S-1-5-21-316366558-1582522515-1078234491-1000\$RA70A2U\Mount&Blade original\Modules\Roots of Yggdrassil1\Modulesystem-RoY\build_module_check_tags.bat
WARNING... Possible Andromeda/Gamarue infection...
Listing root contents of j:
Le volume dans le lecteur J s'appelle Expansion Drive
Le num‚ro de s‚rie du volume est 704A-0308

R‚pertoire de J:\

18/03/2012 06:24 <DIR> UserGuides
22/08/2012 18:04 <DIR> WindowsImageBackup
12/10/2012 10:58 <DIR> RECYCLER
02/02/2013 11:59 165 ~$logo filles.pptx
04/03/2013 16:20 156ÿ672 Thumbs.db
04/03/2013 16:28 <DIR> Photoshop 6.0
29/08/2014 13:14 <DIR> Exercice book
02/09/2014 14:46 165 ~$base donnees adresses.xlsx
11/01/2016 16:34 <DIR> BERNARD
23/05/2017 09:25 <DIR> WORD NANOU
27/06/2017 16:21 <DIR> $RECYCLE.BIN
05/10/2017 21:30 13ÿ652 lettre confirmation oscar.docx
06/11/2017 16:16 <DIR> CAHIERS
25/11/2017 17:24 <DIR> PHOTOS SITE
25/11/2017 17:26 <DIR> photos nathalie
26/11/2017 19:32 528 MediaID.bin
26/11/2017 19:33 <DIR> USER-PC
27/11/2017 17:26 <DIR> DOSSIER W NATH
27/11/2017 17:28 <DIR> EXCEL NANOU
27/11/2017 17:34 <DIR> photo du telephone
27/11/2017 17:37 <DIR> PHOTOS DE STANDS
09/01/2018 13:41 <DIR> NANOU POWER POINT
5 fichier(s) 171ÿ182 octets
17 R‚p(s) 18ÿ788ÿ388ÿ864 octets libres

USB drive disinfected and files unhidden!!


=========== - USB drive info:

L: selected

USB Device ID:
USBSTOR\DISK&VEN_GENERIC&PROD_MICROSD&REV_0.00\00000000000006&2

USBSTOR\DISK&VEN_GENERIC&PROD_COMPACT_FLASH&REV_0.00\00000000000006&0

USBSTOR\DISK&VEN_GENERIC&PROD_SD/MMC&REV_0.00\00000000000006&1

USBSTOR\DISK&VEN_GENERIC&PROD_MS/MS-PRO&REV_0.00\00000000000006&3

USBSTOR\DISK&VEN_GENERIC&PROD_SM/XD-PICTURE&REV_0.00\00000000000006&4

SCSI\DISK&VEN_WDC_WD10&PROD_EADS-22M2B0\4&6BF76C&0&000000

USBSTOR\DISK&VEN_&PROD_USB_FLASH_MEMORY&REV_PMAP\000FEAFB7A105B89010C174C&0

USBSTOR\DISK&VEN_SEAGATE&PROD_PORTABLE&REV_SF06\2GH7CD4B&0

USBSTOR\DISK&VEN_&PROD_MIMOBOT&REV_3000\AA00000000001655&0

USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07\C24411BC&0




WARNING... Possible Andromeda/Gamarue infection...
Listing root contents of L:
Le volume dans le lecteur L n'a pas de nom.
Le num‚ro de s‚rie du volume est 8736-6898

R‚pertoire de L:\

13/02/2010 18:25 <DIR> 2010
19/02/2011 15:07 <DIR> 2011
13/07/2011 09:41 <DIR> 2009
25/02/2012 11:44 <DIR> 2012
19/01/2013 18:01 <DIR> 2013
18/12/2013 19:54 807ÿ924ÿ947 HB Daphn‚1.mp4
18/12/2013 20:56 807ÿ838ÿ816 HB Daphn‚1.mp4.zip
18/12/2013 21:51 <DIR> .fseventsd
18/12/2013 21:51 <DIR> .Spotlight-V100
18/12/2013 21:51 4ÿ096 ._.Trashes
18/12/2013 21:51 <DIR> .Trashes
18/12/2013 21:54 4ÿ096 ._HB Daphn‚1.mp4
05/03/2015 15:33 <DIR> 2014
27/12/2015 18:50 <DIR> 2015
07/01/2017 18:54 <DIR> 2016
30/07/2017 10:33 <DIR> 2017
09/01/2018 13:35 <DIR> Autorun.inf
4 fichier(s) 1ÿ615ÿ771ÿ955 octets
14 R‚p(s) 2ÿ427ÿ113ÿ472 octets libres

USB drive disinfected and files unhidden!!


=========== - USB drive info:

M: selected

USB Device ID:
USBSTOR\DISK&VEN_GENERIC&PROD_MICROSD&REV_0.00\00000000000006&2

USBSTOR\DISK&VEN_GENERIC&PROD_COMPACT_FLASH&REV_0.00\00000000000006&0

USBSTOR\DISK&VEN_GENERIC&PROD_SD/MMC&REV_0.00\00000000000006&1

USBSTOR\DISK&VEN_GENERIC&PROD_MS/MS-PRO&REV_0.00\00000000000006&3

USBSTOR\DISK&VEN_GENERIC&PROD_SM/XD-PICTURE&REV_0.00\00000000000006&4

SCSI\DISK&VEN_WDC_WD10&PROD_EADS-22M2B0\4&6BF76C&0&000000

USBSTOR\DISK&VEN_&PROD_USB_FLASH_MEMORY&REV_PMAP\000FEAFB7A105B89010C174C&0

USBSTOR\DISK&VEN_SEAGATE&PROD_PORTABLE&REV_SF06\2GH7CD4B&0

USBSTOR\DISK&VEN_&PROD_MIMOBOT&REV_3000\AA00000000001655&0

USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07\C24411BC&0




WARNING... Possible Andromeda/Gamarue infection...
Listing root contents of M:
Le volume dans le lecteur M n'a pas de nom.
Le num‚ro de s‚rie du volume est 4062-FE62

R‚pertoire de M:\

05/11/2015 18:18 63ÿ970 e4a6f3c322aa1a5a956b4b6ab697bcc8.jpg
05/11/2015 18:33 15ÿ274 0fd31dbdd274bfd5b1c451a829485d77.jpg
08/11/2015 12:02 93ÿ182 12189937_10156720520335131_4430716533295200842_n.jpg
08/11/2015 12:02 78ÿ479 12208359_10156720520445131_1170995456276592166_n.jpg
17/11/2015 15:48 417ÿ973 fleur pour d‚butantes.jpg
17/11/2015 15:53 1ÿ178ÿ662 fleurs 2 001.jpg
17/11/2015 16:17 1ÿ643ÿ663 fleurs 3 001.jpg
06/12/2015 12:01 46ÿ045 12346577_1030311660365435_5698278832927325791_n.jpg
06/12/2015 12:01 51ÿ656 12345491_1030311697032098_8915536629834054615_n.jpg
06/12/2015 12:01 61ÿ878 12345610_1030311763698758_514267828555135260_n.jpg
10/12/2015 17:08 33ÿ660 plaques.jpg
17/05/2016 08:53 60ÿ436 1620400_677681378963257_2081412442_n.jpg
17/05/2016 08:53 92ÿ671 1779288_677681318963263_1885753059_n.jpg
17/05/2016 09:32 43ÿ120 1ff0048b027fabfd901a8eab6fce39de.jpg
17/05/2016 13:12 45ÿ585 58a198d2eb656d439eba4e78b5ae6d83.jpg
02/10/2016 17:16 <DIR> Fichiers envoy‚s
09/11/2016 16:16 4ÿ512ÿ920 Idees vide poche.jpg
15/11/2016 16:12 43ÿ781 ACCESSOIRES 2.jpg
15/11/2016 16:14 39ÿ168 ACCESSOIRES (2).jpg
06/12/2016 10:34 4ÿ441ÿ202 20161206_103432.jpg
26/01/2017 11:36 3ÿ845ÿ808 20161104_114711.jpg
26/01/2017 11:37 4ÿ287ÿ334 20161104_114701.jpg
26/01/2017 11:37 5ÿ422ÿ063 20161104_114704.jpg
26/01/2017 11:40 2ÿ615ÿ130 20161210_193858.jpg
31/01/2017 13:44 53ÿ689 4cf3860bb05a138c83b4ea7f2b8a081f.jpg
09/02/2017 15:37 165 ~$montage vide poche.pptx
10/02/2017 10:01 158ÿ015 30-426-KCF_1.jpg
10/02/2017 10:51 116ÿ322 12249961_800086386784884_7829142264388277568_n.jpg
10/02/2017 10:52 65ÿ309 13435533_10208729521772859_641805270708378296_n.jpg
02/03/2017 11:28 <DIR> mariage daphne
02/03/2017 11:40 <DIR> photos porcelaine
17/03/2017 14:07 357ÿ223 1319691a.png
17/03/2017 14:10 44ÿ555 the-slimming-club.jpeg
17/03/2017 14:11 46ÿ754 leading-ladies.jpeg
17/03/2017 14:12 45ÿ226 its-gin-o-clock.jpeg
17/03/2017 14:13 46ÿ818 lets-drink-champagne.jpeg
17/03/2017 14:13 98ÿ356 friends-who-are-shopaholics.jpeg
17/03/2017 14:14 107ÿ713 birds-of-a-feather.jpeg
17/03/2017 14:15 107ÿ754 shady-ladies.jpeg
17/03/2017 14:16 95ÿ010 aunty.jpeg
17/03/2017 14:16 119ÿ829 heress-to-you.jpeg
10/05/2017 09:19 62ÿ187 18342830_10212387270132577_6331460893472927967_n.jpg
10/05/2017 09:20 366ÿ428 18403872_10212387270172578_7052930457117594917_o.jpg
10/05/2017 09:20 53ÿ068 18342229_10212387270732592_5409835431817100592_n.jpg
10/05/2017 09:20 76ÿ556 18402703_10212387270772593_7034531574206233895_n.jpg
10/05/2017 09:20 55ÿ881 18301305_10212387271652615_7123035571452807836_n.jpg
10/05/2017 09:21 102ÿ801 18402152_10212387271852620_2836936564571962928_o.jpg
10/05/2017 09:21 81ÿ316 18301208_10212387272372633_7681224283441574588_n.jpg
10/05/2017 09:21 80ÿ526 18403655_10212387272452635_6352633125237077471_n.jpg
10/05/2017 09:21 57ÿ703 18301035_10212387273252655_952103657211076602_n.jpg
10/05/2017 09:21 58ÿ019 18301180_10212387273332657_4129929763476515166_n.jpg
10/05/2017 09:22 62ÿ067 18300939_10212387273652665_8024594953609563154_n.jpg
10/05/2017 09:22 62ÿ858 18403120_10212387274052675_8189120852174406327_n.jpg
10/05/2017 09:22 78ÿ530 18301543_10212387274452685_8369683262495218400_n.jpg
10/05/2017 09:22 83ÿ538 18342591_10212387274612689_5471865212150920478_n.jpg
10/05/2017 09:22 56ÿ972 18425271_10212387274852695_1845874054710978446_n.jpg
10/05/2017 09:22 53ÿ475 18403444_10212387275172703_4071812099310956207_n.jpg
10/05/2017 09:22 79ÿ337 18423939_10212387275532712_1010452649573362063_n.jpg
10/05/2017 09:23 106ÿ818 18301855_10212387276332732_7743305021103284650_n.jpg
10/05/2017 09:23 65ÿ068 18402785_10212387276892746_302763979129760664_n.jpg
10/05/2017 09:23 62ÿ100 18403595_10212387277572763_5645884486096533782_n.jpg
10/05/2017 09:23 56ÿ031 18301255_10212387277732767_3223731968376053225_n.jpg
21/05/2017 10:02 84ÿ433 18582538_10209051573912805_7435288450509190091_n.jpg
21/05/2017 10:03 83ÿ481 18582535_10209051573872804_7203691917416100967_n.jpg
21/05/2017 10:05 95ÿ762 17800220_10208688589198414_1237801702374522446_n.jpg
21/05/2017 10:06 81ÿ014 16938537_10208458672170632_4494190228387501907_n.jpg
21/05/2017 10:07 105ÿ770 17190623_10208458671330611_2063201266746546295_n.jpg
21/05/2017 10:07 93ÿ041 17155530_10208458671210608_8527323024687797911_n.jpg
21/05/2017 10:08 80ÿ289 16473624_10208262829194680_6841419489744697532_n.jpg
21/05/2017 10:09 72ÿ424 14731238_10207345686706691_3747172848631952168_n.jpg
21/05/2017 10:11 69ÿ603 18555966_10209051574352816_2195093766654032912_n.jpg
21/05/2017 10:15 36ÿ733 18557371_10159229978855131_4920999084902948119_n.jpg
21/05/2017 10:19 69ÿ680 18556942_10213726318258818_4039138180020970129_n.jpg
23/05/2017 08:36 210ÿ844 18673105_10212525593230568_914880854852992447_o.jpg
23/05/2017 08:36 173ÿ646 18595510_10212525593750581_1962027725781760974_o.jpg
23/05/2017 08:37 109ÿ041 18557163_10212525593870584_4153983279489401578_n.jpg
23/05/2017 08:37 188ÿ257 18595313_10212525594270594_8621551944006775947_o.jpg
23/05/2017 08:37 248ÿ399 18671568_10212525594350596_7785275611002049075_o.jpg
23/05/2017 08:37 195ÿ644 18588871_10212525595070614_482447217173867894_o.jpg
23/05/2017 08:37 95ÿ822 18698261_10212525595750631_4966977300598572227_n.jpg
23/05/2017 08:38 63ÿ648 18581545_10212525596630653_7653704124325230976_n.jpg
23/05/2017 08:38 97ÿ549 18581653_10212525597270669_665967774800101704_n.jpg
23/05/2017 08:38 214ÿ787 18671524_10212525597670679_247417242339240370_o.jpg
23/05/2017 08:38 119ÿ049 18557428_10212525598390697_7695456467736649772_n.jpg
23/05/2017 08:38 108ÿ697 18557103_10212525598430698_4675094477518420207_n.jpg
23/05/2017 08:39 138ÿ854 18664399_10212525599510725_8161082155869049736_n.jpg
23/05/2017 08:39 64ÿ996 18664306_10212525599550726_1677915380986680879_n.jpg
23/05/2017 08:39 186ÿ916 18588664_10212525600030738_6122772706931070106_o.jpg
23/05/2017 08:39 77ÿ990 18671110_10212525600070739_4363523351892915881_n.jpg
29/05/2017 17:24 <DIR> Femmes pour peindre
30/05/2017 10:37 495ÿ634 Image1.png
30/05/2017 10:40 30ÿ423 Image1.jpg
30/05/2017 10:41 67ÿ073 centre assiette.png
30/05/2017 10:41 62ÿ831 gros plan assiette.png
30/05/2017 10:42 23ÿ875 vase1.jpg
30/05/2017 10:42 24ÿ012 vase 2.jpg
30/05/2017 10:47 702ÿ338 plat 1.png
30/05/2017 10:51 193ÿ713 ea0d4ddd.jpg
30/05/2017 10:58 333ÿ075 pin up 1.png
30/05/2017 11:03 63ÿ084 edfa38aef16c69eabe2540b868542d7c.jpg
11/06/2017 18:11 110ÿ320 fleur.jpg
11/06/2017 18:20 175ÿ525 2d83677845ce21a6507dfb2b4951d2f9.jpg
11/06/2017 18:20 56ÿ498 2984974579fa4bab49b9eac5c5e299d8.jpg
11/06/2017 18:28 62ÿ897 a5d5f70814820f02e65020497277199e.jpg
11/06/2017 18:29 109ÿ050 9694418f3a160181b482edc3aff87b90.jpg
11/06/2017 18:36 21ÿ502 d15cb11829385e7532d29699c17d62a0.jpg
11/06/2017 18:36 76ÿ590 db842dd2e8ac03e0dff62054d47fec0f.jpg
11/06/2017 18:37 91ÿ760 fffb3bd7a64551ebc43444d5c1f350f8.jpg
11/06/2017 18:39 83ÿ743 6cbf95bd4229a53e9d4ce1dfd7b3704e.jpg
11/06/2017 18:46 62ÿ577 fc341b3984ec69ddf884d834b114bca4.jpg
12/09/2017 16:00 79ÿ761 http%3a%2f%2fcms.moonshapes.pt%2fproductfiles%2fin%2fffffff%2f4944%2f600x397__gold-blue-foto-principal.jpg
12/09/2017 16:00 30ÿ565 http%3a%2f%2fcms.moonshapes.pt%2fproductfiles%2fin%2fffffff%2f4944%2f600x397__goldbluedifusor250ml_2.png
12/09/2017 16:00 40ÿ553 http%3a%2f%2fcms.moonshapes.pt%2fproductfiles%2fin%2fffffff%2f4944%2f600x397__goldbluedifusor250ml_3.png
12/09/2017 16:00 29ÿ126 http%3a%2f%2fcms.moonshapes.pt%2fproductfiles%2fin%2fffffff%2f4944%2f600x397__goldbluedifusor250ml.png
16/09/2017 10:17 20ÿ450 24e06d0086a2cb16afe923ab855f3895.jpg
01/10/2017 16:56 <DIR> AAACahiers photos
11/10/2017 11:17 103ÿ723 1602175207.JPG
11/10/2017 11:17 424ÿ891 4264080575.JPG
11/10/2017 11:25 36ÿ312 cf2012d02dc391188911358943d47c0e.jpg
24/10/2017 07:45 71ÿ307 cfb6c1bc0b19fa92e3e9151122bdc23e.jpg
10/11/2017 10:28 72ÿ963 5c691e301510166761b4492e3edb5cad.jpg
19/11/2017 13:13 <DIR> Cahiers de la porcelaine
19/11/2017 13:14 <DIR> Oscar
19/11/2017 13:14 <DIR> Maxime
19/11/2017 16:11 <DIR> aaaaphotos
23/11/2017 16:56 3ÿ298ÿ931 montage vide poche.pptx
20/12/2017 09:31 81ÿ681 FLEUR-ENCRE-GRAPHITE.jpg
21/12/2017 10:56 112ÿ461 thumbnail_20171221_104858.jpg
21/12/2017 10:56 118ÿ445 thumbnail_20171221_104904.jpg
21/12/2017 10:57 119ÿ540 thumbnail_20171221_104639.jpg
121 fichier(s) 43ÿ011ÿ275 octets
10 R‚p(s) 9ÿ970ÿ499ÿ584 octets libres

USB drive disinfected and files unhidden!!

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 92760
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows Script Host colis.vbs

Message par Malekal_morte » 10 janv. 2018 12:16

de rien =)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

geo18
Messages : 3
Inscription : 16 mai 2018 21:39

Re: Windows Script Host colis.vbs

Message par geo18 » 16 mai 2018 21:42

Bonsoir, même soucis que les autres j'ai l'impression...
Peut on m'aider s'il vous plaît ?
Voici mes liens :
https://pjjoint.malekal.com/files.php?i ... 9r14h12t10
https://pjjoint.malekal.com/files.php?i ... 12n5f11e10
https://pjjoint.malekal.com/files.php?i ... d5r11x6t14

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 92760
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows Script Host colis.vbs

Message par Malekal_morte » 16 mai 2018 22:02

Salut geo18,

Il y a d'autres malwares en plus de colis-disponible.vbs
Voici la procédure à suivre.

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CloseProcesses:
C:\Users\geoge\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Colis-Disponible.vbs 
2018-05-13 19:56 - 2018-05-13 19:56 - 000003566 _____ C:\WINDOWS\System32\Tasks\OnhDZnrIuO
Startup: C:\Users\geoge\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Colis-Disponible.vbs [2018-05-10] ()
HKU\S-1-5-21-2500901056-528046499-2775080553-1001\...\Run: [cacaoweb] => C:\Users\geoge\AppData\Roaming\cacaoweb\cacaoweb.exe [568624 2018-03-11] ()
Task: {8C123295-FBD1-4F5F-9433-770C4CC2AE41} - \Skype -> Pas de fichier <==== ATTENTION
Task: {954BF971-776B-493F-BF8F-253FEBF4E2E1} - System32\Tasks\OnhDZnrIuO => C:\Users\geoge\AppData\Roaming\OnhDZnrIuO.exe <==== ATTENTION
C:\Users\geoge\AppData\Roaming\*.exe
C:\Users\geoge\AppData\Roaming\cacaoweb
EmptyTemp:
RemoveProxy:
CreateRestorePoint:
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

2)


Pour te protéger des infections amovibles type Wscript (Windows Script Host) et virus sur clé usb.
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host puis modifier pour prendre en compte les modifications.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).

3)

C'est une infection qui se propage par disques amovibles ( clefs USB, disques externes, cartes flash etc.. )
Tous les disques amovibles insérés depuis que Windows est infecté doivent être vérifiés et nettoyés sinon le simple fait de double-cliquer sur ta clef USB/disque dur externe va réinfecter ton système. Tu trouveras un lien explicatif sur la propagation de ces infections et sur comment s'en protéger :
=> http://forum.malekal.com/infection-sur- ... t3350.html

Pour nettoyer les disques amovibles infecté par un virus par clé USB, suivre dans l'ordre les étapes du tutoriel : insère un à un tes clefs USB et disques durs externes que tu as pour les nettoyer. Envoie ensuite les rapports sur https://pjjoint.malekal.com/ et donne les liens menant à ces rapports pour que l'on puisse les consulter.

1°) Remediate VBS Worm

1°) Brancher toutes les clefs USB et autres périphériques amovibles.
* Télécharger Remediate VBS Worm
* Lance Remediate VBS Worm puis choisis l'option B
* Taper la lettre de la clef USB, par exemple, E et entrée
ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR !
* Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.
Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.

4)
Termine par un nettoyage Malwarebytes Anti-Malware (MBAM) version gratuite
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

geo18
Messages : 3
Inscription : 16 mai 2018 21:39

Re: Windows Script Host colis.vbs

Message par geo18 » 16 mai 2018 23:58

Merci, merci, merci vous me sauvez!!! Du moins j'espère que tout a bien fonctionné voici le rapport :


Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 16.05.2018 01
Exécuté par geoge (16-05-2018 23:19:40) Run:1
Exécuté depuis C:\Users\geoge\Desktop
Profils chargés: geoge (Profils disponibles: geoge)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CloseProcesses:
C:\Users\geoge\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Colis-Disponible.vbs
2018-05-13 19:56 - 2018-05-13 19:56 - 000003566 _____ C:\WINDOWS\System32\Tasks\OnhDZnrIuO
Startup: C:\Users\geoge\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Colis-Disponible.vbs [2018-05-10] ()
HKU\S-1-5-21-2500901056-528046499-2775080553-1001\...\Run: [cacaoweb] => C:\Users\geoge\AppData\Roaming\cacaoweb\cacaoweb.exe [568624 2018-03-11] ()
Task: {8C123295-FBD1-4F5F-9433-770C4CC2AE41} - \Skype -> Pas de fichier <==== ATTENTION
Task: {954BF971-776B-493F-BF8F-253FEBF4E2E1} - System32\Tasks\OnhDZnrIuO => C:\Users\geoge\AppData\Roaming\OnhDZnrIuO.exe <==== ATTENTION
C:\Users\geoge\AppData\Roaming\*.exe
C:\Users\geoge\AppData\Roaming\cacaoweb
EmptyTemp:
RemoveProxy:
CreateRestorePoint:
Reboot:
*****************

Processus fermé avec succès.
C:\Users\geoge\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Colis-Disponible.vbs => déplacé(es) avec succès
C:\WINDOWS\System32\Tasks\OnhDZnrIuO => déplacé(es) avec succès
"C:\Users\geoge\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Colis-Disponible.vbs" => non trouvé(e)
"HKU\S-1-5-21-2500901056-528046499-2775080553-1001\Software\Microsoft\Windows\CurrentVersion\Run\\cacaoweb" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{8C123295-FBD1-4F5F-9433-770C4CC2AE41}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8C123295-FBD1-4F5F-9433-770C4CC2AE41}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Skype" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{954BF971-776B-493F-BF8F-253FEBF4E2E1}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{954BF971-776B-493F-BF8F-253FEBF4E2E1}" => supprimé(es) avec succès
"C:\WINDOWS\System32\Tasks\OnhDZnrIuO" => non trouvé(e)
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\OnhDZnrIuO" => supprimé(es) avec succès

=========== "C:\Users\geoge\AppData\Roaming\*.exe" ==========

non trouvé(e)

========= Fin -> "C:\Users\geoge\AppData\Roaming\*.exe" ========

C:\Users\geoge\AppData\Roaming\cacaoweb => déplacé(es) avec succès

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2500901056-528046499-2775080553-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2500901056-528046499-2775080553-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========

Le Point de restauration a été créé avec succès.

=========== EmptyTemp: ==========

BITS transfer queue => 6578176 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 24566431 B
Java, Flash, Steam htmlcache => 1170 B
Windows/system/drivers => 51280770 B
Edge => 142488769 B
Chrome => 72558523 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 1710 B
NetworkService => 50042 B
geoge => 4338294891 B

RecycleBin => 6886730749 B
EmptyTemp: => 10.7 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 23:21:23 ====

geo18
Messages : 3
Inscription : 16 mai 2018 21:39

Re: Windows Script Host colis.vbs

Message par geo18 » 17 mai 2018 00:01

Et voici le rapport de Remediate VBS Worm pour mon disque dure :
https://pjjoint.malekal.com/files.php?i ... w8h7m11k11

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 92760
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows Script Host colis.vbs

Message par Malekal_morte » 17 mai 2018 10:13

ok fais un nettoyage avec Malwarebytes, histoire de supprimer les autres restes de trojan.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »