Page 1 sur 3

Windows Script Host colis.vbs

Publié : 18 sept. 2017 22:41
par decuyper
Bonjour,
Sous Windows10, l'ordi est depuis peu très lent avec apparition systématique des boites de dialogues Windows script host (voir pièce jointe).

Pouvez-vous m'aider ? Merci.

Re: Windows Script Host colis.vbs

Publié : 18 sept. 2017 23:12
par Malekal_morte
Salut,

Ce message d'erreur Windows Script Host colis.vbs provient d'un virus sur clé usb.

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut.
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

Re: Windows Script Host colis.vbs

Publié : 19 sept. 2017 06:43
par decuyper
Bonjour et merci de votre réponse.

Je n'arrive pas à me connecter via pjoint.malekal.com.

Les rapports sont en pièce jointe

Re: Windows Script Host colis.vbs

Publié : 19 sept. 2017 10:26
par Malekal_morte
Salut,

Désinstalle McAfee Security Scan Plus
Sert à rien.

Plusieurs infections USB.

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [QuickTime Task] => C:\Program Files (x86)\QuickTime\QTTask.exe [421888 2011-10-24] (Apple Inc.)
HKLM-x32\...\Run: [iTunesHelper] => C:\Program Files (x86)\iTunes\iTunesHelper.exe [152392 2014-08-01] (Apple Inc.)
HKU\S-1-5-21-3886499473-427530410-4118286593-1000\...\Run: [U2MD7HOTEG] => "C:\Users\DECUYPER\AppData\Roaming\Dossier-suivi-colis.vbs"
HKU\S-1-5-21-3886499473-427530410-4118286593-1000\...\Run: [Activation] => C:\WINDOWS\Chromes64.exe
HKU\S-1-5-21-3886499473-427530410-4118286593-1000\...\Run: [6HS2MLHP3D] => wscript.exe //B "C:\ProgramData\6HS2MLHP3D.vbs" <==== ATTENTION
2017-09-18 17:21 - 2017-09-17 15:03 - 000158849 _____ C:\Users\DECUYPER\AppData\Roaming\ICNGJEJI84.vbs
Task: {1B1E17B1-C312-410F-B3C9-56301370C9B6} - System32\Tasks\colis-client => C:\Users\DECUYPER\AppData\Roaming\Windows10Updatee.vbs
Task: {7785F030-6B20-49A6-B5BF-91DDDBA590F9} - System32\Tasks\Skype => C:\Users\DECUYPER\AppData\Roaming\Dossier-suivi-colis.vbs
C:\Users\DECUYPER\AppData\Roaming\Dossier-suivi-colis.vbs
C:\Users\DECUYPER\AppData\Roaming\Windows10Updatee.vbs
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur

~~

Pour te protéger des infections amovibles / virus par clé USB. type Wscript (Windows Script Host) Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky.

~~

1°) Brancher toutes les clefs USB et autres périphériques amovibles.
* Télécharger Remediate VBS Worm
Relancer "Remediate VBS Worm"
* Lancer l'option B
* Taper la lettre de la clef USB, par exemple, E et entrée
ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR !
* Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.
Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.

Re: Windows Script Host colis.vbs

Publié : 19 sept. 2017 22:19
par decuyper
Bonsoir et encore Grand merci,

Ci-dessous le message :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 17-09-2017 01
Exécuté par DECUYPER (19-09-2017 22:04:41) Run:1
Exécuté depuis C:\Users\DECUYPER\Desktop
Profils chargés: DECUYPER (Profils disponibles: DECUYPER & SOLVEIG DC & FLORIS DC & PYRENE DC & DefaultAppPool)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [QuickTime Task] => C:\Program Files (x86)\QuickTime\QTTask.exe [421888 2011-10-24] (Apple Inc.)
HKLM-x32\...\Run: [iTunesHelper] => C:\Program Files (x86)\iTunes\iTunesHelper.exe [152392 2014-08-01] (Apple Inc.)
HKU\S-1-5-21-3886499473-427530410-4118286593-1000\...\Run: [U2MD7HOTEG] => "C:\Users\DECUYPER\AppData\Roaming\Dossier-suivi-colis.vbs"
HKU\S-1-5-21-3886499473-427530410-4118286593-1000\...\Run: [Activation] => C:\WINDOWS\Chromes64.exe
HKU\S-1-5-21-3886499473-427530410-4118286593-1000\...\Run: [6HS2MLHP3D] => wscript.exe //B "C:\ProgramData\6HS2MLHP3D.vbs" <==== ATTENTION
2017-09-18 17:21 - 2017-09-17 15:03 - 000158849 _____ C:\Users\DECUYPER\AppData\Roaming\ICNGJEJI84.vbs
Task: {1B1E17B1-C312-410F-B3C9-56301370C9B6} - System32\Tasks\colis-client => C:\Users\DECUYPER\AppData\Roaming\Windows10Updatee.vbs
Task: {7785F030-6B20-49A6-B5BF-91DDDBA590F9} - System32\Tasks\Skype => C:\Users\DECUYPER\AppData\Roaming\Dossier-suivi-colis.vbs
C:\Users\DECUYPER\AppData\Roaming\Dossier-suivi-colis.vbs
C:\Users\DECUYPER\AppData\Roaming\Windows10Updatee.vbs
Hosts:
EmptyTemp:
*****************

Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\QuickTime Task => valeur supprimé(es) avec succès
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\iTunesHelper => valeur supprimé(es) avec succès
HKU\S-1-5-21-3886499473-427530410-4118286593-1000\Software\Microsoft\Windows\CurrentVersion\Run\\U2MD7HOTEG => valeur supprimé(es) avec succès
HKU\S-1-5-21-3886499473-427530410-4118286593-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Activation => valeur supprimé(es) avec succès
HKU\S-1-5-21-3886499473-427530410-4118286593-1000\Software\Microsoft\Windows\CurrentVersion\Run\\6HS2MLHP3D => valeur supprimé(es) avec succès
"C:\Users\DECUYPER\AppData\Roaming\ICNGJEJI84.vbs" => non trouvé(e).
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{1B1E17B1-C312-410F-B3C9-56301370C9B6} => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1B1E17B1-C312-410F-B3C9-56301370C9B6} => clé supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\colis-client => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\colis-client => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{7785F030-6B20-49A6-B5BF-91DDDBA590F9} => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7785F030-6B20-49A6-B5BF-91DDDBA590F9} => clé supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\Skype => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Skype => clé supprimé(es) avec succès
"C:\Users\DECUYPER\AppData\Roaming\Dossier-suivi-colis.vbs" => non trouvé(e).
"C:\Users\DECUYPER\AppData\Roaming\Windows10Updatee.vbs" => non trouvé(e).
Impossible de déplacer "C:\Windows\System32\Drivers\etc\hosts" => Planifié pour déplacement au redémarrage.

=========== EmptyTemp: ==========

BITS transfer queue => 10772480 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 60447272 B
Java, Flash, Steam htmlcache => 634 B
Windows/system/drivers => 14504643 B
Edge => 46209 B
Chrome => 50396817 B
Firefox => 81612119 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 56633 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 128 B
systemprofile32 => 128 B
LocalService => 269838 B
NetworkService => 0 B
DECUYPER => 18300194 B
SOLVEIG DC => 60795653 B
FLORIS DC => 1077627 B
PYRENE DC => 83473032 B
DefaultAppPool => 56633 B

RecycleBin => 5208853 B
EmptyTemp: => 369.1 MB données temporaires supprimées.

================================

Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 19-09-2017 22:09:49)

C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

==== Fin de Fixlog 22:09:50 ====

Re: Windows Script Host colis.vbs

Publié : 20 sept. 2017 09:38
par Malekal_morte
Fais le reste et vois ce que cela donne.

Re: Windows Script Host colis.vbs

Publié : 20 sept. 2017 12:34
par decuyper
Bonjour,


Marmiton installé.

Je n'utilise pas de clés USB en ce moment, c'est ma fille qui a du en utiliser une cet été. Est-ce que je dois quand même télécharger Remediate VBS Worm". Le faire à chaque usage de clé USB ? Comme périphériques amovibles, les smartphones et tablettes sont-ils concernés ? Ils sont parfois connectés via USB ou Wi-fi ou Bluetooth. Ils sont tous protégé par Avira.

L'ordinateur semble fonctionner correctement. A l'ouverture, j'ai systématiquement l'icone Marmiton qui apparaît que j'annule en appuyant sur la touche "Echap".

J'ai aussi fait une MAJ d'Avira et réinstallé la version Pro qui avait disparu alors que mon abonnement se termine en 2018.

Merci

Re: Windows Script Host colis.vbs

Publié : 20 sept. 2017 13:37
par Malekal_morte
L'ordinateur semble fonctionner correctement. A l'ouverture, j'ai systématiquement l'icone Marmiton qui apparaît que j'annule en appuyant sur la touche "Echap".
Il bloque un coils.vbs ?

Re: Windows Script Host colis.vbs

Publié : 20 sept. 2017 22:52
par decuyper
Non, mais le message WSH "L'accès à Windows Script Host est désactivé sur cette machine. Contacter votre administrateur système pour plus d'information" apparait systématiquement. Est-ce que je peux réactiver WSH sur Marmiton ?

Re: Windows Script Host colis.vbs

Publié : 21 sept. 2017 10:39
par Malekal_morte
Non ce n'est pas conseillé.
Tu peux refaire un scan FRST et donner les rapports pour voir.

Re: Windows Script Host colis.vbs

Publié : 21 sept. 2017 22:15
par decuyper
Bonsoir,
Voici le nouveau rapport.

A noter : message Avira : blocage d'un fichier hôte"

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 20-09-2017
Exécuté par DECUYPER (21-09-2017 22:01:45) Run:2
Exécuté depuis C:\Users\DECUYPER\Desktop
Profils chargés: DECUYPER (Profils disponibles: DECUYPER & SOLVEIG DC & FLORIS DC & PYRENE DC & DefaultAppPool)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [QuickTime Task] => C:\Program Files (x86)\QuickTime\QTTask.exe [421888 2011-10-24] (Apple Inc.)
HKLM-x32\...\Run: [iTunesHelper] => C:\Program Files (x86)\iTunes\iTunesHelper.exe [152392 2014-08-01] (Apple Inc.)
HKU\S-1-5-21-3886499473-427530410-4118286593-1000\...\Run: [U2MD7HOTEG] => "C:\Users\DECUYPER\AppData\Roaming\Dossier-suivi-colis.vbs"
HKU\S-1-5-21-3886499473-427530410-4118286593-1000\...\Run: [Activation] => C:\WINDOWS\Chromes64.exe
HKU\S-1-5-21-3886499473-427530410-4118286593-1000\...\Run: [6HS2MLHP3D] => wscript.exe //B "C:\ProgramData\6HS2MLHP3D.vbs" <==== ATTENTION
2017-09-18 17:21 - 2017-09-17 15:03 - 000158849 _____ C:\Users\DECUYPER\AppData\Roaming\ICNGJEJI84.vbs
Task: {1B1E17B1-C312-410F-B3C9-56301370C9B6} - System32\Tasks\colis-client => C:\Users\DECUYPER\AppData\Roaming\Windows10Updatee.vbs
Task: {7785F030-6B20-49A6-B5BF-91DDDBA590F9} - System32\Tasks\Skype => C:\Users\DECUYPER\AppData\Roaming\Dossier-suivi-colis.vbs
C:\Users\DECUYPER\AppData\Roaming\Dossier-suivi-colis.vbs
C:\Users\DECUYPER\AppData\Roaming\Windows10Updatee.vbs
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
*****************

Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\QuickTime Task => valeur non trouvé(e).
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\iTunesHelper => valeur non trouvé(e).
HKU\S-1-5-21-3886499473-427530410-4118286593-1000\Software\Microsoft\Windows\CurrentVersion\Run\\U2MD7HOTEG => valeur non trouvé(e).
HKU\S-1-5-21-3886499473-427530410-4118286593-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Activation => valeur non trouvé(e).
HKU\S-1-5-21-3886499473-427530410-4118286593-1000\Software\Microsoft\Windows\CurrentVersion\Run\\6HS2MLHP3D => valeur non trouvé(e).
"C:\Users\DECUYPER\AppData\Roaming\ICNGJEJI84.vbs" => non trouvé(e).
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1B1E17B1-C312-410F-B3C9-56301370C9B6} => clé non trouvé(e).
C:\WINDOWS\System32\Tasks\colis-client => non trouvé(e).
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\colis-client => clé non trouvé(e).
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7785F030-6B20-49A6-B5BF-91DDDBA590F9} => clé non trouvé(e).
C:\WINDOWS\System32\Tasks\Skype => non trouvé(e).
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Skype => clé non trouvé(e).
"C:\Users\DECUYPER\AppData\Roaming\Dossier-suivi-colis.vbs" => non trouvé(e).
"C:\Users\DECUYPER\AppData\Roaming\Windows10Updatee.vbs" => non trouvé(e).
Impossible de déplacer "C:\Windows\System32\Drivers\etc\hosts" => Planifié pour déplacement au redémarrage.

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-3886499473-427530410-4118286593-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-3886499473-427530410-4118286593-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 10772480 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 13744420 B
Java, Flash, Steam htmlcache => 555 B
Windows/system/drivers => 14699042 B
Edge => 0 B
Chrome => 72068924 B
Firefox => 20764906 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 128 B
systemprofile32 => 0 B
LocalService => 362018 B
NetworkService => 0 B
DECUYPER => 8038273 B
SOLVEIG DC => 0 B
FLORIS DC => 0 B
PYRENE DC => 702969 B
DefaultAppPool => 0 B

RecycleBin => 0 B
EmptyTemp: => 134.6 MB données temporaires supprimées.

================================

Voici Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 21-09-2017 22:06:28)

C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

==== Fin de Fixlog 22:06:29 ====

Re: Windows Script Host colis.vbs

Publié : 22 sept. 2017 09:29
par angelique
Malekal_morte t'a demandé un scan frst et non une correction.

deux rapports sont générés : FRST.txt et Addition.txt ( Ces deux rapports se trouvent sur le bureau avec le programme FRST. )


Utilise le site http://pjjoint.malekal.com/ pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse.

Re: Windows Script Host colis.vbs

Publié : 26 sept. 2017 20:53
par decuyper

Re: Windows Script Host colis.vbs

Publié : 26 sept. 2017 22:14
par Malekal_morte
ok fais ceci :

1)

Pour te protéger des infections amovibles / virus par clé USB. type Wscript (Windows Script Host) Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky.



2)
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
 2017-09-14 07:03 - 2017-09-14 07:03 - 000159312 _____ () C:\ProgramData\6HS2MLHP3D.vbs 
HKU\S-1-5-21-3886499473-427530410-4118286593-1000\...\Run: [ICNGJEJI84] => wscript.exe //B "C:\Users\DECUYPER\AppData\Roaming\ICNGJEJI84.vbs"
 2017-09-25 10:42 - 2017-09-25 10:42 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{8889F363-51A5-48AE-A61A-0A79B1FC05AC} 
 2017-09-22 11:12 - 2017-09-22 11:12 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{4F9C19AD-CB49-4338-9139-300385E8ABF2} 
 2017-09-21 16:17 - 2017-09-21 16:17 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{9C0C9EE3-AB02-4F76-A105-C55ABDB00E21} 
 2017-09-21 00:12 - 2017-09-21 00:12 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{01638FD6-DE62-4551-9F3F-94C6D82E95C5} 
 2017-09-19 23:17 - 2017-09-19 23:17 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{78F53008-8202-486C-81A1-21BBF7C09B53} 
 2017-09-19 11:16 - 2017-09-19 11:16 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{889419C8-C988-42AB-8B23-4A5B8D3B8F3E} 
 2017-09-19 03:16 - 2017-09-19 03:16 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{4265E7D0-D920-48EB-BA99-30F8D763B254} 
 2017-09-15 11:05 - 2017-09-15 11:05 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{32178E4C-687F-452D-96E2-8A862D1F34A3} 
 2017-09-14 23:05 - 2017-09-14 23:05 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{8EA19674-9D11-41D9-8FD3-C52C1124220F} 
 2017-09-14 11:05 - 2017-09-14 11:05 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{CE70BD4A-7CC0-485E-B701-0A8B3CEE0B82} 
 2017-09-14 08:40 - 2017-09-19 01:13 - 000000000 ____D C:\wind64 
 2017-09-14 08:40 - 2017-09-14 08:40 - 000000000 ____D C:\Users\DECUYPER\AppData\Roaming\Imminent 
 2017-09-14 08:24 - 2017-09-18 20:08 - 000000000 ____D C:\Programmation 
 2017-09-14 08:24 - 2017-09-18 19:15 - 000000000 ____D C:\Users\DECUYPER\AppData\Roaming\Programmation 
 2017-09-14 07:03 - 2017-09-14 07:03 - 000159312 _____ C:\ProgramData\6HS2MLHP3D.vbs 
 2017-09-13 23:04 - 2017-09-13 23:04 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{2AE0C2B1-5907-420F-8765-05D8ED84A3FB} 
 2017-09-13 11:04 - 2017-09-13 11:04 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{C5E9D94C-BE9C-47B9-8B74-A5C7F49D640E} 
 2017-09-12 23:04 - 2017-09-12 23:04 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{D7263738-2016-4C3D-BC2B-5975E9540595} 
 2017-09-12 11:18 - 2017-09-12 11:18 - 000005850 _____ C:\Users\DECUYPER\Downloads\Dossier-suivi-colis.rar  
 2017-09-12 11:04 - 2017-09-12 11:04 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{BF3B808E-E668-4CB7-9EC8-263B35E78BA2} 
 2017-09-12 01:51 - 2017-09-12 01:51 - 000053366 _____ C:\Users\DECUYPER\Documents\Dossier-suivi-colis.vbs  
 2017-09-18 15:15 - 2017-09-18 15:15 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{8F3BB856-41D5-4825-9537-F30A7A694397} 
 2017-09-17 22:03 - 2017-09-17 22:03 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{6D7D1036-D50F-420D-8D8A-BF241A15CC71} 
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur

Re: Windows Script Host colis.vbs

Publié : 27 sept. 2017 07:01
par decuyper
Bonjour,

ésultats de correction de Farbar Recovery Scan Tool (x64) Version: 26-09-2017
Exécuté par DECUYPER (27-09-2017 06:41:55) Run:3
Exécuté depuis C:\Users\DECUYPER\Desktop
Profils chargés: DECUYPER (Profils disponibles: DECUYPER & SOLVEIG DC & FLORIS DC & PYRENE DC & DefaultAppPool)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
2017-09-14 07:03 - 2017-09-14 07:03 - 000159312 _____ () C:\ProgramData\6HS2MLHP3D.vbs
HKU\S-1-5-21-3886499473-427530410-4118286593-1000\...\Run: [ICNGJEJI84] => wscript.exe //B "C:\Users\DECUYPER\AppData\Roaming\ICNGJEJI84.vbs"
2017-09-25 10:42 - 2017-09-25 10:42 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{8889F363-51A5-48AE-A61A-0A79B1FC05AC}
2017-09-22 11:12 - 2017-09-22 11:12 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{4F9C19AD-CB49-4338-9139-300385E8ABF2}
2017-09-21 16:17 - 2017-09-21 16:17 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{9C0C9EE3-AB02-4F76-A105-C55ABDB00E21}
2017-09-21 00:12 - 2017-09-21 00:12 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{01638FD6-DE62-4551-9F3F-94C6D82E95C5}
2017-09-19 23:17 - 2017-09-19 23:17 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{78F53008-8202-486C-81A1-21BBF7C09B53}
2017-09-19 11:16 - 2017-09-19 11:16 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{889419C8-C988-42AB-8B23-4A5B8D3B8F3E}
2017-09-19 03:16 - 2017-09-19 03:16 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{4265E7D0-D920-48EB-BA99-30F8D763B254}
2017-09-15 11:05 - 2017-09-15 11:05 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{32178E4C-687F-452D-96E2-8A862D1F34A3}
2017-09-14 23:05 - 2017-09-14 23:05 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{8EA19674-9D11-41D9-8FD3-C52C1124220F}
2017-09-14 11:05 - 2017-09-14 11:05 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{CE70BD4A-7CC0-485E-B701-0A8B3CEE0B82}
2017-09-14 08:40 - 2017-09-19 01:13 - 000000000 ____D C:\wind64
2017-09-14 08:40 - 2017-09-14 08:40 - 000000000 ____D C:\Users\DECUYPER\AppData\Roaming\Imminent
2017-09-14 08:24 - 2017-09-18 20:08 - 000000000 ____D C:\Programmation
2017-09-14 08:24 - 2017-09-18 19:15 - 000000000 ____D C:\Users\DECUYPER\AppData\Roaming\Programmation
2017-09-14 07:03 - 2017-09-14 07:03 - 000159312 _____ C:\ProgramData\6HS2MLHP3D.vbs
2017-09-13 23:04 - 2017-09-13 23:04 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{2AE0C2B1-5907-420F-8765-05D8ED84A3FB}
2017-09-13 11:04 - 2017-09-13 11:04 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{C5E9D94C-BE9C-47B9-8B74-A5C7F49D640E}
2017-09-12 23:04 - 2017-09-12 23:04 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{D7263738-2016-4C3D-BC2B-5975E9540595}
2017-09-12 11:18 - 2017-09-12 11:18 - 000005850 _____ C:\Users\DECUYPER\Downloads\Dossier-suivi-colis.rar
2017-09-12 11:04 - 2017-09-12 11:04 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{BF3B808E-E668-4CB7-9EC8-263B35E78BA2}
2017-09-12 01:51 - 2017-09-12 01:51 - 000053366 _____ C:\Users\DECUYPER\Documents\Dossier-suivi-colis.vbs
2017-09-18 15:15 - 2017-09-18 15:15 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{8F3BB856-41D5-4825-9537-F30A7A694397}
2017-09-17 22:03 - 2017-09-17 22:03 - 000000000 ____D C:\Users\DECUYPER\AppData\Local\{6D7D1036-D50F-420D-8D8A-BF241A15CC71}
Hosts:
EmptyTemp:
*****************

Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
C:\ProgramData\6HS2MLHP3D.vbs => déplacé(es) avec succès
HKU\S-1-5-21-3886499473-427530410-4118286593-1000\Software\Microsoft\Windows\CurrentVersion\Run\\ICNGJEJI84 => valeur supprimé(es) avec succès
C:\Users\DECUYPER\AppData\Local\{8889F363-51A5-48AE-A61A-0A79B1FC05AC} => déplacé(es) avec succès
C:\Users\DECUYPER\AppData\Local\{4F9C19AD-CB49-4338-9139-300385E8ABF2} => déplacé(es) avec succès
C:\Users\DECUYPER\AppData\Local\{9C0C9EE3-AB02-4F76-A105-C55ABDB00E21} => déplacé(es) avec succès
C:\Users\DECUYPER\AppData\Local\{01638FD6-DE62-4551-9F3F-94C6D82E95C5} => déplacé(es) avec succès
C:\Users\DECUYPER\AppData\Local\{78F53008-8202-486C-81A1-21BBF7C09B53} => déplacé(es) avec succès
C:\Users\DECUYPER\AppData\Local\{889419C8-C988-42AB-8B23-4A5B8D3B8F3E} => déplacé(es) avec succès
C:\Users\DECUYPER\AppData\Local\{4265E7D0-D920-48EB-BA99-30F8D763B254} => déplacé(es) avec succès
C:\Users\DECUYPER\AppData\Local\{32178E4C-687F-452D-96E2-8A862D1F34A3} => déplacé(es) avec succès
C:\Users\DECUYPER\AppData\Local\{8EA19674-9D11-41D9-8FD3-C52C1124220F} => déplacé(es) avec succès
C:\Users\DECUYPER\AppData\Local\{CE70BD4A-7CC0-485E-B701-0A8B3CEE0B82} => déplacé(es) avec succès
C:\wind64 => déplacé(es) avec succès
C:\Users\DECUYPER\AppData\Roaming\Imminent => déplacé(es) avec succès
C:\Programmation => déplacé(es) avec succès
C:\Users\DECUYPER\AppData\Roaming\Programmation => déplacé(es) avec succès
"C:\ProgramData\6HS2MLHP3D.vbs" => non trouvé(e).
C:\Users\DECUYPER\AppData\Local\{2AE0C2B1-5907-420F-8765-05D8ED84A3FB} => déplacé(es) avec succès
C:\Users\DECUYPER\AppData\Local\{C5E9D94C-BE9C-47B9-8B74-A5C7F49D640E} => déplacé(es) avec succès
C:\Users\DECUYPER\AppData\Local\{D7263738-2016-4C3D-BC2B-5975E9540595} => déplacé(es) avec succès
C:\Users\DECUYPER\Downloads\Dossier-suivi-colis.rar => déplacé(es) avec succès
C:\Users\DECUYPER\AppData\Local\{BF3B808E-E668-4CB7-9EC8-263B35E78BA2} => déplacé(es) avec succès
C:\Users\DECUYPER\Documents\Dossier-suivi-colis.vbs => déplacé(es) avec succès
C:\Users\DECUYPER\AppData\Local\{8F3BB856-41D5-4825-9537-F30A7A694397} => déplacé(es) avec succès
C:\Users\DECUYPER\AppData\Local\{6D7D1036-D50F-420D-8D8A-BF241A15CC71} => déplacé(es) avec succès
Impossible de déplacer "C:\Windows\System32\Drivers\etc\hosts" => Planifié pour déplacement au redémarrage.

=========== EmptyTemp: ==========

BITS transfer queue => 10772480 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 11682746 B
Java, Flash, Steam htmlcache => 555 B
Windows/system/drivers => 692253 B
Edge => 170063 B
Chrome => 133257051 B
Firefox => 16279393 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 128 B
systemprofile32 => 0 B
LocalService => 507830 B
NetworkService => 0 B
DECUYPER => 14912558 B
SOLVEIG DC => 0 B
FLORIS DC => 0 B
PYRENE DC => 1024284 B
DefaultAppPool => 0 B

RecycleBin => 0 B
EmptyTemp: => 180.5 MB données temporaires supprimées.

================================

Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 27-09-2017 06:55:16)

"C:\Windows\System32\Drivers\etc\hosts" => Impossible de déplacer
Impossible de restaurer Hosts.

==== Fin de Fixlog 06:55:16 ====