[WSCRIPT.exe] application malveillante bloquée (en cours)

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

fabfab78
newbie
newbie
Messages : 5
Inscription : 10 juin 2019 14:00

[WSCRIPT.exe] application malveillante bloquée (en cours)

Message par fabfab78 » 10 juin 2019 14:26

Bonjour,

Après avoir ouvert récemment mon antivirus (Bitdefender) je me suis aperçu que depuis un bon mois une notification revient sans arrêt (en gros toutes les heures lorsque le PC est allumé) "application potentiellement malveillante bloquée" (chemin d'application C:\Windows\system32\wscript.exe)

Après quelques recherches, je suis notamment tombé sur le forum (https://www.malekal.com/tutoriel-farbar ... ur_pjjoint) avec lequel j'ai récupéré les 3 fichiers txt.

voici les liens des fichiers uploadés:

https://pjjoint.malekal.com/files.php?i ... 3w14c14y12
https://pjjoint.malekal.com/files.php?i ... 12g10j6s13
https://pjjoint.malekal.com/files.php?i ... d6i5f7f8h9

Pourriez vous m'aider sur la marche à suivre pour savoir s'il s'agit d'un quelconque virus et si oui comment m'en débarrasser.

J'ai par ailleurs eu récemment (encore aujourd'hui) une "Une tentative d'injection de commande vers votre système par le biais d'une URL dangereuse a été réalisée par 192.168.0.12. Nous avons bloqué la connexion pour éviter l'exécution de commandes malveillantes sur l'appareil et sur le réseau." est possible que cela soit lié à l’alerte que j'ai reçu pour le fichier windows ?

Par avance, merci pour votre retour.

Fabien




Malekal_morte
Site Admin
Site Admin
Messages : 97710
Inscription : 10 sept. 2005 13:57
Contact :

Re: [WSCRIPT.exe] application malveillante bloquée (en cours)

Message par Malekal_morte » 10 juin 2019 14:41

Salut,

c'est à cause d'installer InstallCore qui a collé des programmes Yahoo!

Tu t'es fait avoir par un installer InstallCore, une plateforme de PUP (programmes potentiellement indésirables) qui est proposé sur des sites de téléchargement ou à travers de fausses mises à jour Java, Flash.
Cela propose d'installer Chromium pour forcer Yahoo!, ByteFence, Avast!, McAfee Security Advisor ou McAfee LiveSafe.
Pour ne plus te faire avoir à lire : PUPs InstallCore



Tu as des programmes qui ont été installés à l'achat de l'ordinateur ou installés par la suite et qui sont pas forcément utiles.
Ils encombrent Windows et peuvent le ralentir.
Tu peux donc les désinstaller.
Vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Désinstalle :
CCleaner
Chromium
Google Toolbar for Internet Explorer
UsbFix Anti-Malware Premium (sert à rien)
PS : CCleaner n'est pas vraiment utile, même si on le recommande de partout.
Si tu tiens à le garder, désactive la surveillance de CCleaner, inutile, ça se met au démarrage de Windows et le ralentit avec ces nettoyages incessants, voir : [https://www.malekal.com/supprimer-cclea ... e-windows/]

~~

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-4230252589-589714895-885670410-1000\...\Run: [Chromium] => c:\users\admin\appdata\local\chromium\application\chrome.exe [1068544 2016-03-18] (The Chromium Authors) [Fichier non signé]
Task: C:\WINDOWS\Tasks\Yahoo! Powered nicod.job => Wscript.exe  C:\ProgramData\{0980CCE3-83C2-4625-0504-D8679F4653A9}\tise.txt <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)


2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :
* Réinitialiser et réparer Mozilla Firefox
* Réinitialiser et réparer Google Chrome
* Réinitialiser et réparer Internet Explorer
(Ne pas utiliser Zeok)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

fabfab78
newbie
newbie
Messages : 5
Inscription : 10 juin 2019 14:00

Re: [WSCRIPT.exe] application malveillante bloquée (en cours)

Message par fabfab78 » 10 juin 2019 18:37

Voici le compte tenu du rapport qui a été édité:


Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 10-06-2019
Exécuté par ADMIN (10-06-2019 18:17:12) Run:2
Exécuté depuis C:\Users\ADMIN\Desktop
Profils chargés: ADMIN (Profils disponibles: ADMIN & DefaultAppPool)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Start:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-4230252589-589714895-885670410-1000\...\Run: [Chromium] => c:\users\admin\appdata\local\chromium\application\chrome.exe [1068544 2016-03-18] (The Chromium Authors) [Fichier non signé]
Task: C:\WINDOWS\Tasks\Yahoo! Powered nicod.job => Wscript.exe C:\ProgramData\{0980CCE3-83C2-4625-0504-D8679F4653A9}\tise.txt <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:
*****************

Start: => Erreur: Pas de correction automatique trouvée pour cet élément.
Processus fermé avec succès.
Erreur: (0) Impossible de créer un point de restauration.
"HKU\S-1-5-21-4230252589-589714895-885670410-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Chromium" => supprimé(es) avec succès
C:\WINDOWS\Tasks\Yahoo! Powered nicod.job => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-4230252589-589714895-885670410-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-4230252589-589714895-885670410-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========

End: => Erreur: Pas de correction automatique trouvée pour cet élément.

=========== EmptyTemp: ==========

BITS transfer queue => 10510336 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 515033895 B
Java, Flash, Steam htmlcache => 268984649 B
Windows/system/drivers => 2017064 B
Edge => 13177 B
Chrome => 396543722 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 916 B
LocalService => 0 B
NetworkService => 7476 B
NetworkService => 0 B
ADMIN => 17327323 B
DefaultAppPool => 0 B

RecycleBin => 0 B
EmptyTemp: => 1.1 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 18:17:40 ====



Fabien

Malekal_morte
Site Admin
Site Admin
Messages : 97710
Inscription : 10 sept. 2005 13:57
Contact :

Re: [WSCRIPT.exe] application malveillante bloquée (en cours)

Message par Malekal_morte » 10 juin 2019 20:33

Supprime ce dossier C:\ProgramData\{0980CCE3-83C2-4625-0504-D8679F4653A9}
s'il existe

après cela ça doit être bon, je pense.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

fabfab78
newbie
newbie
Messages : 5
Inscription : 10 juin 2019 14:00

Re: [WSCRIPT.exe] application malveillante bloquée (en cours)

Message par fabfab78 » 11 juin 2019 22:55

Bonsoir,

J'ai bien supprimé le dossier. Après deux heures sans alerte, cela à repris son cours habituel. En gros au démarrage et à peu près toutes les heures ensuite...
Les mises à jour Windows sont faites. A priori les autres logiciels aussi.
Je ne sais pas ce qu'il persiste à se lancer.


Malekal_morte
Site Admin
Site Admin
Messages : 97710
Inscription : 10 sept. 2005 13:57
Contact :

Re: [WSCRIPT.exe] application malveillante bloquée (en cours)

Message par Malekal_morte » 12 juin 2019 00:00

Refais un scan FRST et donne les rapports
sinon faudra trouver un moyen de dire à BitDefender d'arrêter ces détections.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Malekal_morte
Site Admin
Site Admin
Messages : 97710
Inscription : 10 sept. 2005 13:57
Contact :

Re: [WSCRIPT.exe] application malveillante bloquée (en cours)

Message par Malekal_morte » 12 juin 2019 17:56

Ouaip rien d'anormal.
Faudrait placer wscript dans les exceptions, même si c'est pas top :/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »