Windows Script Host colis.vbs

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

decuyper
newbie expert
newbie expert
Messages : 70
Inscription : 07 mars 2008 15:19

Windows Script Host colis.vbs

Message par decuyper » 18 sept. 2017 22:41

Bonjour,
Sous Windows10, l'ordi est depuis peu très lent avec apparition systématique des boites de dialogues Windows script host (voir pièce jointe).

Pouvez-vous m'aider ? Merci.
Pièces jointes
Capture 18 09 2017.JPG


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87641
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows Script Host colis.vbs

Message par Malekal_morte » 18 sept. 2017 23:12

Salut,

Ce message d'erreur Windows Script Host colis.vbs provient d'un virus sur clé usb.

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut.
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

decuyper
newbie expert
newbie expert
Messages : 70
Inscription : 07 mars 2008 15:19

Re: Windows Script Host colis.vbs

Message par decuyper » 19 sept. 2017 06:43

Bonjour et merci de votre réponse.

Je n'arrive pas à me connecter via pjoint.malekal.com.

Les rapports sont en pièce jointe
Pièces jointes
Shortcut.txt
(271.66 Kio) Téléchargé 5 fois
FRST.txt
(189.78 Kio) Téléchargé 7 fois
Addition.txt
(83.77 Kio) Téléchargé 7 fois

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87641
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows Script Host colis.vbs

Message par Malekal_morte » 19 sept. 2017 10:26

Salut,

Désinstalle McAfee Security Scan Plus
Sert à rien.

Plusieurs infections USB.

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [QuickTime Task] => C:\Program Files (x86)\QuickTime\QTTask.exe [421888 2011-10-24] (Apple Inc.)
HKLM-x32\...\Run: [iTunesHelper] => C:\Program Files (x86)\iTunes\iTunesHelper.exe [152392 2014-08-01] (Apple Inc.)
HKU\S-1-5-21-3886499473-427530410-4118286593-1000\...\Run: [U2MD7HOTEG] => "C:\Users\DECUYPER\AppData\Roaming\Dossier-suivi-colis.vbs"
HKU\S-1-5-21-3886499473-427530410-4118286593-1000\...\Run: [Activation] => C:\WINDOWS\Chromes64.exe
HKU\S-1-5-21-3886499473-427530410-4118286593-1000\...\Run: [6HS2MLHP3D] => wscript.exe //B "C:\ProgramData\6HS2MLHP3D.vbs" <==== ATTENTION
2017-09-18 17:21 - 2017-09-17 15:03 - 000158849 _____ C:\Users\DECUYPER\AppData\Roaming\ICNGJEJI84.vbs
Task: {1B1E17B1-C312-410F-B3C9-56301370C9B6} - System32\Tasks\colis-client => C:\Users\DECUYPER\AppData\Roaming\Windows10Updatee.vbs
Task: {7785F030-6B20-49A6-B5BF-91DDDBA590F9} - System32\Tasks\Skype => C:\Users\DECUYPER\AppData\Roaming\Dossier-suivi-colis.vbs
C:\Users\DECUYPER\AppData\Roaming\Dossier-suivi-colis.vbs
C:\Users\DECUYPER\AppData\Roaming\Windows10Updatee.vbs
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur

~~

Pour te protéger des infections amovibles / virus par clé USB. type Wscript (Windows Script Host) Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky.

~~

1°) Brancher toutes les clefs USB et autres périphériques amovibles.
* Télécharger Remediate VBS Worm
Relancer "Remediate VBS Worm"
* Lancer l'option B
* Taper la lettre de la clef USB, par exemple, E et entrée
ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR !
* Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.
Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

decuyper
newbie expert
newbie expert
Messages : 70
Inscription : 07 mars 2008 15:19

Re: Windows Script Host colis.vbs

Message par decuyper » 19 sept. 2017 22:19

Bonsoir et encore Grand merci,

Ci-dessous le message :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 17-09-2017 01
Exécuté par DECUYPER (19-09-2017 22:04:41) Run:1
Exécuté depuis C:\Users\DECUYPER\Desktop
Profils chargés: DECUYPER (Profils disponibles: DECUYPER & SOLVEIG DC & FLORIS DC & PYRENE DC & DefaultAppPool)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [QuickTime Task] => C:\Program Files (x86)\QuickTime\QTTask.exe [421888 2011-10-24] (Apple Inc.)
HKLM-x32\...\Run: [iTunesHelper] => C:\Program Files (x86)\iTunes\iTunesHelper.exe [152392 2014-08-01] (Apple Inc.)
HKU\S-1-5-21-3886499473-427530410-4118286593-1000\...\Run: [U2MD7HOTEG] => "C:\Users\DECUYPER\AppData\Roaming\Dossier-suivi-colis.vbs"
HKU\S-1-5-21-3886499473-427530410-4118286593-1000\...\Run: [Activation] => C:\WINDOWS\Chromes64.exe
HKU\S-1-5-21-3886499473-427530410-4118286593-1000\...\Run: [6HS2MLHP3D] => wscript.exe //B "C:\ProgramData\6HS2MLHP3D.vbs" <==== ATTENTION
2017-09-18 17:21 - 2017-09-17 15:03 - 000158849 _____ C:\Users\DECUYPER\AppData\Roaming\ICNGJEJI84.vbs
Task: {1B1E17B1-C312-410F-B3C9-56301370C9B6} - System32\Tasks\colis-client => C:\Users\DECUYPER\AppData\Roaming\Windows10Updatee.vbs
Task: {7785F030-6B20-49A6-B5BF-91DDDBA590F9} - System32\Tasks\Skype => C:\Users\DECUYPER\AppData\Roaming\Dossier-suivi-colis.vbs
C:\Users\DECUYPER\AppData\Roaming\Dossier-suivi-colis.vbs
C:\Users\DECUYPER\AppData\Roaming\Windows10Updatee.vbs
Hosts:
EmptyTemp:
*****************

Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\QuickTime Task => valeur supprimé(es) avec succès
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\iTunesHelper => valeur supprimé(es) avec succès
HKU\S-1-5-21-3886499473-427530410-4118286593-1000\Software\Microsoft\Windows\CurrentVersion\Run\\U2MD7HOTEG => valeur supprimé(es) avec succès
HKU\S-1-5-21-3886499473-427530410-4118286593-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Activation => valeur supprimé(es) avec succès
HKU\S-1-5-21-3886499473-427530410-4118286593-1000\Software\Microsoft\Windows\CurrentVersion\Run\\6HS2MLHP3D => valeur supprimé(es) avec succès
"C:\Users\DECUYPER\AppData\Roaming\ICNGJEJI84.vbs" => non trouvé(e).
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{1B1E17B1-C312-410F-B3C9-56301370C9B6} => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1B1E17B1-C312-410F-B3C9-56301370C9B6} => clé supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\colis-client => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\colis-client => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{7785F030-6B20-49A6-B5BF-91DDDBA590F9} => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7785F030-6B20-49A6-B5BF-91DDDBA590F9} => clé supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\Skype => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Skype => clé supprimé(es) avec succès
"C:\Users\DECUYPER\AppData\Roaming\Dossier-suivi-colis.vbs" => non trouvé(e).
"C:\Users\DECUYPER\AppData\Roaming\Windows10Updatee.vbs" => non trouvé(e).
Impossible de déplacer "C:\Windows\System32\Drivers\etc\hosts" => Planifié pour déplacement au redémarrage.

=========== EmptyTemp: ==========

BITS transfer queue => 10772480 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 60447272 B
Java, Flash, Steam htmlcache => 634 B
Windows/system/drivers => 14504643 B
Edge => 46209 B
Chrome => 50396817 B
Firefox => 81612119 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 56633 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 128 B
systemprofile32 => 128 B
LocalService => 269838 B
NetworkService => 0 B
DECUYPER => 18300194 B
SOLVEIG DC => 60795653 B
FLORIS DC => 1077627 B
PYRENE DC => 83473032 B
DefaultAppPool => 56633 B

RecycleBin => 5208853 B
EmptyTemp: => 369.1 MB données temporaires supprimées.

================================

Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 19-09-2017 22:09:49)

C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

==== Fin de Fixlog 22:09:50 ====


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87641
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows Script Host colis.vbs

Message par Malekal_morte » 20 sept. 2017 09:38

Fais le reste et vois ce que cela donne.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

decuyper
newbie expert
newbie expert
Messages : 70
Inscription : 07 mars 2008 15:19

Re: Windows Script Host colis.vbs

Message par decuyper » 20 sept. 2017 12:34

Bonjour,


Marmiton installé.

Je n'utilise pas de clés USB en ce moment, c'est ma fille qui a du en utiliser une cet été. Est-ce que je dois quand même télécharger Remediate VBS Worm". Le faire à chaque usage de clé USB ? Comme périphériques amovibles, les smartphones et tablettes sont-ils concernés ? Ils sont parfois connectés via USB ou Wi-fi ou Bluetooth. Ils sont tous protégé par Avira.

L'ordinateur semble fonctionner correctement. A l'ouverture, j'ai systématiquement l'icone Marmiton qui apparaît que j'annule en appuyant sur la touche "Echap".

J'ai aussi fait une MAJ d'Avira et réinstallé la version Pro qui avait disparu alors que mon abonnement se termine en 2018.

Merci

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87641
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows Script Host colis.vbs

Message par Malekal_morte » 20 sept. 2017 13:37

L'ordinateur semble fonctionner correctement. A l'ouverture, j'ai systématiquement l'icone Marmiton qui apparaît que j'annule en appuyant sur la touche "Echap".
Il bloque un coils.vbs ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

decuyper
newbie expert
newbie expert
Messages : 70
Inscription : 07 mars 2008 15:19

Re: Windows Script Host colis.vbs

Message par decuyper » 20 sept. 2017 22:52

Non, mais le message WSH "L'accès à Windows Script Host est désactivé sur cette machine. Contacter votre administrateur système pour plus d'information" apparait systématiquement. Est-ce que je peux réactiver WSH sur Marmiton ?

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87641
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows Script Host colis.vbs

Message par Malekal_morte » 21 sept. 2017 10:39

Non ce n'est pas conseillé.
Tu peux refaire un scan FRST et donner les rapports pour voir.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

decuyper
newbie expert
newbie expert
Messages : 70
Inscription : 07 mars 2008 15:19

Re: Windows Script Host colis.vbs

Message par decuyper » 21 sept. 2017 22:15

Bonsoir,
Voici le nouveau rapport.

A noter : message Avira : blocage d'un fichier hôte"

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 20-09-2017
Exécuté par DECUYPER (21-09-2017 22:01:45) Run:2
Exécuté depuis C:\Users\DECUYPER\Desktop
Profils chargés: DECUYPER (Profils disponibles: DECUYPER & SOLVEIG DC & FLORIS DC & PYRENE DC & DefaultAppPool)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [QuickTime Task] => C:\Program Files (x86)\QuickTime\QTTask.exe [421888 2011-10-24] (Apple Inc.)
HKLM-x32\...\Run: [iTunesHelper] => C:\Program Files (x86)\iTunes\iTunesHelper.exe [152392 2014-08-01] (Apple Inc.)
HKU\S-1-5-21-3886499473-427530410-4118286593-1000\...\Run: [U2MD7HOTEG] => "C:\Users\DECUYPER\AppData\Roaming\Dossier-suivi-colis.vbs"
HKU\S-1-5-21-3886499473-427530410-4118286593-1000\...\Run: [Activation] => C:\WINDOWS\Chromes64.exe
HKU\S-1-5-21-3886499473-427530410-4118286593-1000\...\Run: [6HS2MLHP3D] => wscript.exe //B "C:\ProgramData\6HS2MLHP3D.vbs" <==== ATTENTION
2017-09-18 17:21 - 2017-09-17 15:03 - 000158849 _____ C:\Users\DECUYPER\AppData\Roaming\ICNGJEJI84.vbs
Task: {1B1E17B1-C312-410F-B3C9-56301370C9B6} - System32\Tasks\colis-client => C:\Users\DECUYPER\AppData\Roaming\Windows10Updatee.vbs
Task: {7785F030-6B20-49A6-B5BF-91DDDBA590F9} - System32\Tasks\Skype => C:\Users\DECUYPER\AppData\Roaming\Dossier-suivi-colis.vbs
C:\Users\DECUYPER\AppData\Roaming\Dossier-suivi-colis.vbs
C:\Users\DECUYPER\AppData\Roaming\Windows10Updatee.vbs
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
*****************

Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\QuickTime Task => valeur non trouvé(e).
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\iTunesHelper => valeur non trouvé(e).
HKU\S-1-5-21-3886499473-427530410-4118286593-1000\Software\Microsoft\Windows\CurrentVersion\Run\\U2MD7HOTEG => valeur non trouvé(e).
HKU\S-1-5-21-3886499473-427530410-4118286593-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Activation => valeur non trouvé(e).
HKU\S-1-5-21-3886499473-427530410-4118286593-1000\Software\Microsoft\Windows\CurrentVersion\Run\\6HS2MLHP3D => valeur non trouvé(e).
"C:\Users\DECUYPER\AppData\Roaming\ICNGJEJI84.vbs" => non trouvé(e).
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1B1E17B1-C312-410F-B3C9-56301370C9B6} => clé non trouvé(e).
C:\WINDOWS\System32\Tasks\colis-client => non trouvé(e).
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\colis-client => clé non trouvé(e).
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7785F030-6B20-49A6-B5BF-91DDDBA590F9} => clé non trouvé(e).
C:\WINDOWS\System32\Tasks\Skype => non trouvé(e).
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Skype => clé non trouvé(e).
"C:\Users\DECUYPER\AppData\Roaming\Dossier-suivi-colis.vbs" => non trouvé(e).
"C:\Users\DECUYPER\AppData\Roaming\Windows10Updatee.vbs" => non trouvé(e).
Impossible de déplacer "C:\Windows\System32\Drivers\etc\hosts" => Planifié pour déplacement au redémarrage.

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-3886499473-427530410-4118286593-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-3886499473-427530410-4118286593-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 10772480 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 13744420 B
Java, Flash, Steam htmlcache => 555 B
Windows/system/drivers => 14699042 B
Edge => 0 B
Chrome => 72068924 B
Firefox => 20764906 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 128 B
systemprofile32 => 0 B
LocalService => 362018 B
NetworkService => 0 B
DECUYPER => 8038273 B
SOLVEIG DC => 0 B
FLORIS DC => 0 B
PYRENE DC => 702969 B
DefaultAppPool => 0 B

RecycleBin => 0 B
EmptyTemp: => 134.6 MB données temporaires supprimées.

================================

Voici Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 21-09-2017 22:06:28)

C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

==== Fin de Fixlog 22:06:29 ====

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 27790
Inscription : 28 févr. 2008 14:58
Localisation : Breizhilienne à l' 0u3st
Contact :

Re: Windows Script Host colis.vbs

Message par angelique » 22 sept. 2017 09:29

Malekal_morte t'a demandé un scan frst et non une correction.

deux rapports sont générés : FRST.txt et Addition.txt ( Ces deux rapports se trouvent sur le bureau avec le programme FRST. )


Utilise le site http://pjjoint.malekal.com/ pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!
Image
---------------------------------------------------------------------------------------------------------------------
ZIK.:: R00tsL3gacy Reggae141.com
ZIK.:: LaGr0sseRadi0


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87641
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows Script Host colis.vbs

Message par Malekal_morte » 26 sept. 2017 22:14

ok fais ceci :

1)

Pour te protéger des infections amovibles / virus par clé USB. type Wscript (Windows Script Host) Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky.



2)
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
 2017-09-14 07:03 - 2017-09-14 07:03 - 000159312 _____ () C:\ProgramData\6HS2MLHP3D.vbs 
HKU\S-1-5-21-3886499473-427530410-4118286593-1000\...\Run: [ICNGJEJI84] => wscript.exe //B "C:\Users\DECUYPER\AppData\Roaming\ICNGJEJI84.vbs"
 2017-09-25 10:42 - 2017-09-25 10:42 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{8889F363-51A5-48AE-A61A-0A79B1FC05AC} 
 2017-09-22 11:12 - 2017-09-22 11:12 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{4F9C19AD-CB49-4338-9139-300385E8ABF2} 
 2017-09-21 16:17 - 2017-09-21 16:17 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{9C0C9EE3-AB02-4F76-A105-C55ABDB00E21} 
 2017-09-21 00:12 - 2017-09-21 00:12 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{01638FD6-DE62-4551-9F3F-94C6D82E95C5} 
 2017-09-19 23:17 - 2017-09-19 23:17 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{78F53008-8202-486C-81A1-21BBF7C09B53} 
 2017-09-19 11:16 - 2017-09-19 11:16 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{889419C8-C988-42AB-8B23-4A5B8D3B8F3E} 
 2017-09-19 03:16 - 2017-09-19 03:16 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{4265E7D0-D920-48EB-BA99-30F8D763B254} 
 2017-09-15 11:05 - 2017-09-15 11:05 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{32178E4C-687F-452D-96E2-8A862D1F34A3} 
 2017-09-14 23:05 - 2017-09-14 23:05 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{8EA19674-9D11-41D9-8FD3-C52C1124220F} 
 2017-09-14 11:05 - 2017-09-14 11:05 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{CE70BD4A-7CC0-485E-B701-0A8B3CEE0B82} 
 2017-09-14 08:40 - 2017-09-19 01:13 - 000000000 ____D C:\wind64 
 2017-09-14 08:40 - 2017-09-14 08:40 - 000000000 ____D C:\Users\DECUYPER\AppData\Roaming\Imminent 
 2017-09-14 08:24 - 2017-09-18 20:08 - 000000000 ____D C:\Programmation 
 2017-09-14 08:24 - 2017-09-18 19:15 - 000000000 ____D C:\Users\DECUYPER\AppData\Roaming\Programmation 
 2017-09-14 07:03 - 2017-09-14 07:03 - 000159312 _____ C:\ProgramData\6HS2MLHP3D.vbs 
 2017-09-13 23:04 - 2017-09-13 23:04 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{2AE0C2B1-5907-420F-8765-05D8ED84A3FB} 
 2017-09-13 11:04 - 2017-09-13 11:04 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{C5E9D94C-BE9C-47B9-8B74-A5C7F49D640E} 
 2017-09-12 23:04 - 2017-09-12 23:04 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{D7263738-2016-4C3D-BC2B-5975E9540595} 
 2017-09-12 11:18 - 2017-09-12 11:18 - 000005850 _____ C:\Users\DECUYPER\Downloads\Dossier-suivi-colis.rar  
 2017-09-12 11:04 - 2017-09-12 11:04 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{BF3B808E-E668-4CB7-9EC8-263B35E78BA2} 
 2017-09-12 01:51 - 2017-09-12 01:51 - 000053366 _____ C:\Users\DECUYPER\Documents\Dossier-suivi-colis.vbs  
 2017-09-18 15:15 - 2017-09-18 15:15 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{8F3BB856-41D5-4825-9537-F30A7A694397} 
 2017-09-17 22:03 - 2017-09-17 22:03 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{6D7D1036-D50F-420D-8D8A-BF241A15CC71} 
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

decuyper
newbie expert
newbie expert
Messages : 70
Inscription : 07 mars 2008 15:19

Re: Windows Script Host colis.vbs

Message par decuyper » 27 sept. 2017 07:01

Bonjour,

ésultats de correction de Farbar Recovery Scan Tool (x64) Version: 26-09-2017
Exécuté par DECUYPER (27-09-2017 06:41:55) Run:3
Exécuté depuis C:\Users\DECUYPER\Desktop
Profils chargés: DECUYPER (Profils disponibles: DECUYPER & SOLVEIG DC & FLORIS DC & PYRENE DC & DefaultAppPool)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
2017-09-14 07:03 - 2017-09-14 07:03 - 000159312 _____ () C:\ProgramData\6HS2MLHP3D.vbs
HKU\S-1-5-21-3886499473-427530410-4118286593-1000\...\Run: [ICNGJEJI84] => wscript.exe //B "C:\Users\DECUYPER\AppData\Roaming\ICNGJEJI84.vbs"
2017-09-25 10:42 - 2017-09-25 10:42 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{8889F363-51A5-48AE-A61A-0A79B1FC05AC}
2017-09-22 11:12 - 2017-09-22 11:12 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{4F9C19AD-CB49-4338-9139-300385E8ABF2}
2017-09-21 16:17 - 2017-09-21 16:17 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{9C0C9EE3-AB02-4F76-A105-C55ABDB00E21}
2017-09-21 00:12 - 2017-09-21 00:12 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{01638FD6-DE62-4551-9F3F-94C6D82E95C5}
2017-09-19 23:17 - 2017-09-19 23:17 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{78F53008-8202-486C-81A1-21BBF7C09B53}
2017-09-19 11:16 - 2017-09-19 11:16 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{889419C8-C988-42AB-8B23-4A5B8D3B8F3E}
2017-09-19 03:16 - 2017-09-19 03:16 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{4265E7D0-D920-48EB-BA99-30F8D763B254}
2017-09-15 11:05 - 2017-09-15 11:05 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{32178E4C-687F-452D-96E2-8A862D1F34A3}
2017-09-14 23:05 - 2017-09-14 23:05 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{8EA19674-9D11-41D9-8FD3-C52C1124220F}
2017-09-14 11:05 - 2017-09-14 11:05 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{CE70BD4A-7CC0-485E-B701-0A8B3CEE0B82}
2017-09-14 08:40 - 2017-09-19 01:13 - 000000000 ____D C:\wind64
2017-09-14 08:40 - 2017-09-14 08:40 - 000000000 ____D C:\Users\DECUYPER\AppData\Roaming\Imminent
2017-09-14 08:24 - 2017-09-18 20:08 - 000000000 ____D C:\Programmation
2017-09-14 08:24 - 2017-09-18 19:15 - 000000000 ____D C:\Users\DECUYPER\AppData\Roaming\Programmation
2017-09-14 07:03 - 2017-09-14 07:03 - 000159312 _____ C:\ProgramData\6HS2MLHP3D.vbs
2017-09-13 23:04 - 2017-09-13 23:04 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{2AE0C2B1-5907-420F-8765-05D8ED84A3FB}
2017-09-13 11:04 - 2017-09-13 11:04 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{C5E9D94C-BE9C-47B9-8B74-A5C7F49D640E}
2017-09-12 23:04 - 2017-09-12 23:04 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{D7263738-2016-4C3D-BC2B-5975E9540595}
2017-09-12 11:18 - 2017-09-12 11:18 - 000005850 _____ C:\Users\DECUYPER\Downloads\Dossier-suivi-colis.rar
2017-09-12 11:04 - 2017-09-12 11:04 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{BF3B808E-E668-4CB7-9EC8-263B35E78BA2}
2017-09-12 01:51 - 2017-09-12 01:51 - 000053366 _____ C:\Users\DECUYPER\Documents\Dossier-suivi-colis.vbs
2017-09-18 15:15 - 2017-09-18 15:15 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{8F3BB856-41D5-4825-9537-F30A7A694397}
2017-09-17 22:03 - 2017-09-17 22:03 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{6D7D1036-D50F-420D-8D8A-BF241A15CC71}
Hosts:
EmptyTemp:
*****************

Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
C:\ProgramData\6HS2MLHP3D.vbs => déplacé(es) avec succès
HKU\S-1-5-21-3886499473-427530410-4118286593-1000\Software\Microsoft\Windows\CurrentVersion\Run\\ICNGJEJI84 => valeur supprimé(es) avec succès
C:\Users\DECUYPER\AppData\Local\{8889F363-51A5-48AE-A61A-0A79B1FC05AC} => déplacé(es) avec succès
C:\Users\DECUYPER\AppData\Local\{4F9C19AD-CB49-4338-9139-300385E8ABF2} => déplacé(es) avec succès
C:\Users\DECUYPER\AppData\Local\{9C0C9EE3-AB02-4F76-A105-C55ABDB00E21} => déplacé(es) avec succès
C:\Users\DECUYPER\AppData\Local\{01638FD6-DE62-4551-9F3F-94C6D82E95C5} => déplacé(es) avec succès
C:\Users\DECUYPER\AppData\Local\{78F53008-8202-486C-81A1-21BBF7C09B53} => déplacé(es) avec succès
C:\Users\DECUYPER\AppData\Local\{889419C8-C988-42AB-8B23-4A5B8D3B8F3E} => déplacé(es) avec succès
C:\Users\DECUYPER\AppData\Local\{4265E7D0-D920-48EB-BA99-30F8D763B254} => déplacé(es) avec succès
C:\Users\DECUYPER\AppData\Local\{32178E4C-687F-452D-96E2-8A862D1F34A3} => déplacé(es) avec succès
C:\Users\DECUYPER\AppData\Local\{8EA19674-9D11-41D9-8FD3-C52C1124220F} => déplacé(es) avec succès
C:\Users\DECUYPER\AppData\Local\{CE70BD4A-7CC0-485E-B701-0A8B3CEE0B82} => déplacé(es) avec succès
C:\wind64 => déplacé(es) avec succès
C:\Users\DECUYPER\AppData\Roaming\Imminent => déplacé(es) avec succès
C:\Programmation => déplacé(es) avec succès
C:\Users\DECUYPER\AppData\Roaming\Programmation => déplacé(es) avec succès
"C:\ProgramData\6HS2MLHP3D.vbs" => non trouvé(e).
C:\Users\DECUYPER\AppData\Local\{2AE0C2B1-5907-420F-8765-05D8ED84A3FB} => déplacé(es) avec succès
C:\Users\DECUYPER\AppData\Local\{C5E9D94C-BE9C-47B9-8B74-A5C7F49D640E} => déplacé(es) avec succès
C:\Users\DECUYPER\AppData\Local\{D7263738-2016-4C3D-BC2B-5975E9540595} => déplacé(es) avec succès
C:\Users\DECUYPER\Downloads\Dossier-suivi-colis.rar => déplacé(es) avec succès
C:\Users\DECUYPER\AppData\Local\{BF3B808E-E668-4CB7-9EC8-263B35E78BA2} => déplacé(es) avec succès
C:\Users\DECUYPER\Documents\Dossier-suivi-colis.vbs => déplacé(es) avec succès
C:\Users\DECUYPER\AppData\Local\{8F3BB856-41D5-4825-9537-F30A7A694397} => déplacé(es) avec succès
C:\Users\DECUYPER\AppData\Local\{6D7D1036-D50F-420D-8D8A-BF241A15CC71} => déplacé(es) avec succès
Impossible de déplacer "C:\Windows\System32\Drivers\etc\hosts" => Planifié pour déplacement au redémarrage.

=========== EmptyTemp: ==========

BITS transfer queue => 10772480 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 11682746 B
Java, Flash, Steam htmlcache => 555 B
Windows/system/drivers => 692253 B
Edge => 170063 B
Chrome => 133257051 B
Firefox => 16279393 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 128 B
systemprofile32 => 0 B
LocalService => 507830 B
NetworkService => 0 B
DECUYPER => 14912558 B
SOLVEIG DC => 0 B
FLORIS DC => 0 B
PYRENE DC => 1024284 B
DefaultAppPool => 0 B

RecycleBin => 0 B
EmptyTemp: => 180.5 MB données temporaires supprimées.

================================

Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 27-09-2017 06:55:16)

"C:\Windows\System32\Drivers\etc\hosts" => Impossible de déplacer
Impossible de restaurer Hosts.

==== Fin de Fixlog 06:55:16 ====


Répondre

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »

Qui est en ligne ?

Utilisateurs parcourant ce forum : yoloman et 17 invités