Windows10
Bonjour
bonne année à tout le monde !
suite à un téléchargement de appache open office que j'ai supprimé via programmes et fonctionnalités, j'ai sans arrêt un pop up de win.script host qui revient sur le bureau , intitulé " impossible de trouver le fichier script C:\users\utilisateur\appdata\local\safe\ntld.vbs ". Je le supprime mais il revient toujours.
Comment supprimer-empêcher cet affichage ou bloquer le mécanisme qui le déclenche ? Puis-je utiliser un utilitaire genre OSArmor ou Hardentools ou autre car je ne suis pas familière avec le codage et BDR ?
Merci beaucoup de votre aide
popup fichier script introuvable ntld.vbs (Trojan:Script/ObfusScript.A!ml) [résolu]
Modérateur : Mods Windows
- Messages : 17
- Inscription : 07 déc. 2020 16:46
- Messages : 116653
- Inscription : 10 sept. 2005 13:57
Re: pop up fichier script introuvable ntld.vbs
Salut,
Vu l'emplacement, c'est un malware et de toute façon, Apache ou LibreOffice, n'utilise pas de fichiers VBS.
Ca n'a normalement aucun rapport.
Pour vérifier ton PC :
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Attendre la fin du scan, un message indique que l'analyse est terminée.
Télécharge et lance le scan FRST,
Trois rapports FRST seront générés :
* FRST.txt
* Shortcut
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Tu peux aussi attacher les fichiers de rapports FRST dans une nouvelle réponse avec l'éditeur avancé.

Ensuite en bas pièce-jointe.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).
NOTE : tu peux aussi envoyer les rapports sur https://pjjoint.malekal.com et donner les liens en retour.
Vu l'emplacement, c'est un malware et de toute façon, Apache ou LibreOffice, n'utilise pas de fichiers VBS.
Ca n'a normalement aucun rapport.
Pour vérifier ton PC :
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Attendre la fin du scan, un message indique que l'analyse est terminée.
Télécharge et lance le scan FRST,
Trois rapports FRST seront générés :
* FRST.txt
* Shortcut
* Additionnal.txt
Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Tu peux aussi attacher les fichiers de rapports FRST dans une nouvelle réponse avec l'éditeur avancé.
Ensuite en bas pièce-jointe.
(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).
NOTE : tu peux aussi envoyer les rapports sur https://pjjoint.malekal.com et donner les liens en retour.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
- Messages : 17
- Inscription : 07 déc. 2020 16:46
Re: pop up fichier script introuvable ntld.vbs
voici les 3 fichiers d'analyse FRST(64)
https://pjjoint.malekal.com/files.php?i ... 8u5o10c8g8
https://pjjoint.malekal.com/files.php?i ... b9u11k11z7
https://pjjoint.malekal.com/files.php?i ... 2e12m15e13
j'espère que j'ai réussi la manip...
https://pjjoint.malekal.com/files.php?i ... 8u5o10c8g8
https://pjjoint.malekal.com/files.php?i ... b9u11k11z7
https://pjjoint.malekal.com/files.php?i ... 2e12m15e13
j'espère que j'ai réussi la manip...
- Messages : 116653
- Inscription : 10 sept. 2005 13:57
Re: popup fichier script introuvable ntld.vbs (Trojan:Script/ObfusScript.A!ml)
Windows Defender l'a détecté en Trojan:Script/ObfusScript.A!ml mais n'as probablement pas supprimé les tâches planifiées.
D'où les popup avec les messages d'erreur de script introuvable.
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)
D'où les popup avec les messages d'erreur de script introuvable.
~~Date: 2024-01-06 15:32:21
Description:
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Nom : Trojan:Script/ObfusScript.A!ml
ID : 2147842389
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : file:_C:\Users\Utilisateur\AppData\Local\safe\ntld.vbs; file:_C:\Windows\System32\Tasks\MyTasks\3->(UTF-16LE); file:_C:\Windows\System32\Tasks\MyTasks\4->(UTF-16LE); file:_C:\Windows\System32\Tasks\MyTasks\5->(UTF-16LE); file:_C:\Windows\System32\Tasks\MyTasks\6->(UTF-16LE); regkey:_HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7C8FBD82-E27E-4461-8C0E-D74006DC10C9}; regkey:_HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8EF3050E-13E3-4D07-9110-1265BF226204}; regkey:_HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9280B39D-0259-4FB7-BA71-45CE07680705}; regkey:_HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DA8C265D-71DB-42C9-B375-51CC1D0715E0}; regkey:_HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MyTasks\3; regkey:_HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MyTasks\4; regkey:_HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\Ta
Origine de la détection : Ordinateur local
Type de détection : Chemin rapide
Source de détection : Protection en temps réel
Utilisateur : DESKTOP-JOO6HD9\Utilisateur
Nom du processus : C:\Windows\System32\cmd.exe
Version de la veille de sécurité : AV: 1.403.1725.0, AS: 1.403.1725.0, NIS: 1.403.1725.0
Version du moteur : AM: 1.1.23110.2, NIS: 1.1.23110.2
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
Code : Tout sélectionner
Start:
CloseProcesses:
CreateRestorePoint:
Task: {35B71F58-0E92-48E5-844A-99CFFCCC629C} - System32\Tasks\MyTasks\1 => C:\Windows\system32\cmd.exe [289792 2023-10-29] (Microsoft Windows -> Microsoft Corporation) -> /C "C:\Users\Utilisateur\AppData\Local\safe\updates.bat" <==== ATTENTION
Task: {655660D7-C8D1-4CF7-9C6F-D583B852B41C} - System32\Tasks\MyTasks\10 => C:\Windows\system32\wscript.exe [170496 2023-10-15] (Microsoft Windows -> Microsoft Corporation) -> "C:\Users\Utilisateur\AppData\Local\safe\ntlds.vbs"
Task: {42A02A3B-3478-4E05-8802-F8C1ED268594} - System32\Tasks\MyTasks\11 => C:\Windows\system32\wscript.exe [170496 2023-10-15] (Microsoft Windows -> Microsoft Corporation) -> "C:\Users\Utilisateur\AppData\Local\safe\ntlds.vbs"
Task: {5F8987A3-2E23-4287-9AB3-E8C3B39D60D9} - System32\Tasks\MyTasks\2 => C:\Windows\system32\cmd.exe [289792 2023-10-29] (Microsoft Windows -> Microsoft Corporation) -> /C "C:\Users\Utilisateur\AppData\Local\safe\updates.bat" <==== ATTENTION
Task: {D101A99D-E618-4A13-8FAD-812945564795} - System32\Tasks\MyTasks\3 => C:\Windows\system32\cmd.exe [289792 2023-10-29] (Microsoft Windows -> Microsoft Corporation) -> /C "C:\Users\Utilisateur\AppData\Local\safe\backups.bat" <==== ATTENTION
Task: {8C28B4E0-6BEC-442F-A221-74390BF4371D} - System32\Tasks\MyTasks\4 => C:\Windows\system32\wscript.exe [170496 2023-10-15] (Microsoft Windows -> Microsoft Corporation) -> "C:\Users\Utilisateur\AppData\Local\safe\ntld.vbs"
Task: {27E13F6B-9D8E-4E2D-B38C-F3DD2119ED73} - System32\Tasks\MyTasks\5 => C:\Windows\system32\wscript.exe [170496 2023-10-15] (Microsoft Windows -> Microsoft Corporation) -> "C:\Users\Utilisateur\AppData\Local\safe\ntld.vbs"
Task: {28FD7B45-676A-4602-9144-DDD95F4E3B11} - System32\Tasks\MyTasks\6 => C:\Windows\system32\wscript.exe [170496 2023-10-15] (Microsoft Windows -> Microsoft Corporation) -> "C:\Users\Utilisateur\AppData\Local\safe\ntld.vbs"
Task: {8A54D7FD-883E-4004-AE73-CDCC54F95FB7} - System32\Tasks\MyTasks\7 => C:\Windows\system32\wscript.exe [170496 2023-10-15] (Microsoft Windows -> Microsoft Corporation) -> "C:\Users\Utilisateur\AppData\Local\safe\ntld.vbs"
Task: {0A082A47-71EB-40FA-93B0-DB867550C095} - System32\Tasks\MyTasks\8 => C:\Windows\system32\wscript.exe [170496 2023-10-15] (Microsoft Windows -> Microsoft Corporation) -> "C:\Users\Utilisateur\AppData\Local\safe\ntlds.vbs"
Task: {7729BC68-32DC-4F4A-972C-AB064491F181} - System32\Tasks\MyTasks\9 => C:\Windows\system32\wscript.exe [170496 2023-10-15] (Microsoft Windows -> Microsoft Corporation) -> "C:\Users\Utilisateur\AppData\Local\safe\ntlds.vbs"
2024-01-06 15:32 - 2024-01-06 15:32 - 000000000 ____D C:\Users\Utilisateur\AppData\Local\safe
2023-12-31 12:57 - 2024-01-06 15:32 - 000000000 ____D C:\Windows\system32\Tasks\MyTasks
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
- Messages : 17
- Inscription : 07 déc. 2020 16:46
Re: popup fichier script introuvable ntld.vbs (Trojan:Script/ObfusScript.A!ml)
J'ai fait la manip avec le code à copier-coller.
est-ce que je refais une analyse FRST et t'envoie les fichiers.txt?
est-ce que je refais une analyse FRST et t'envoie les fichiers.txt?
- Messages : 17
- Inscription : 07 déc. 2020 16:46
Re: popup fichier script introuvable ntld.vbs (Trojan:Script/ObfusScript.A!ml)
Bis, désolée j'ai oublié de préciser que le popup n'est pas réapparu depuis la correction
Magique!
merci beaucoup
Magique!
merci beaucoup
- Messages : 116653
- Inscription : 10 sept. 2005 13:57
Re: popup fichier script introuvable ntld.vbs (Trojan:Script/ObfusScript.A!ml) [résolu]
Parfait !
Supprime C:\FRST et ses restes.
A lire : que faire après une attaque de virus informatique.
Change tes mots de passe et suis les instructions pour la bonne conduite pour ne plus te faire infecter.
Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?
Si l'aide t'a contenu ou si les tutoriels du site t'ont aidé, tu peux prendre le temps d'évaluer le site sur Bing, ce serait sympa : Evaluer le site malekal.com
Supprime C:\FRST et ses restes.
A lire : que faire après une attaque de virus informatique.
Change tes mots de passe et suis les instructions pour la bonne conduite pour ne plus te faire infecter.
Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?
Si l'aide t'a contenu ou si les tutoriels du site t'ont aidé, tu peux prendre le temps d'évaluer le site sur Bing, ce serait sympa : Evaluer le site malekal.com
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
-
- Sujets similaires
- Réponses
- Vues
- Dernier message
-
- 4 Réponses
- 107 Vues
-
Dernier message par Flo77
-
- 3 Réponses
- 102 Vues
-
Dernier message par Malekal_morte
-
- 10 Réponses
- 540 Vues
-
Dernier message par Malekal_morte
-
- 5 Réponses
- 151 Vues
-
Dernier message par Malekal_morte
-
- 8 Réponses
- 753 Vues
-
Dernier message par Parisien_entraide