Windows Script Host Colis.vbs

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Minibaya
Messages : 4
Inscription : 22 avr. 2021 20:58

Windows Script Host Colis.vbs

par Minibaya »

Bonsoir,

Le Pc de ma collègue semble être infecté et je n'arrive pas à m'en débarrasser.
C'est pourquoi je me permet de solliciter votre aide pour en faire la désinfection.
J'ai effectué un scan avec le logiciel FRST dont voici les liens des 2 rapports :

(FRST) https://pjjoint.malekal.com/files.php?i ... 5w5g12h7y5

(Addition) https://pjjoint.malekal.com/files.php?i ... e6s11k15w7

Merci d'avance pour votre aide.

Cordialement.
Avatar de l’utilisateur
angelique
Messages : 30932
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Widows Script Host Colis.vbs

par angelique »

Bonjour/Bonsoir





Image Télécharge à coté de FRST.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

➯ Relance FRST(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
Un redémarrage peut être nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image
Minibaya
Messages : 4
Inscription : 22 avr. 2021 20:58

Re: Widows Script Host Colis.vbs

par Minibaya »

Bonjour,

Je n'avais plus d'accès au poste pendant le weekend, j'ai donc effectué tes instructions ce matin.
Pour information, cela a été très long.

Ci-après le contenu du fixlog.txt

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 17-04-2021
Exécuté par ivialle (26-04-2021 09:04:46) Run:1
Exécuté depuis C:\Users\ivialle.FNACA\Desktop
Profils chargés: ivialle & LogMeInRemoteUser & ivialle
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
HKLM\...\Run: [intel.vbs] => C:\Users\ivialle.FNACA\intel.vbs [0 2018-04-27] ()
HKU\S-1-5-21-964664455-2320129721-3780210271-1127\...\Run: [intel.vbs] => C:\Users\ivialle.FNACA\intel.vbs [0 2018-04-27] ()
Startup: C:\Users\ivialle.FNACA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\intel.vbs [2018-04-27] ()
GroupPolicy: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {1688F9A8-1B6B-4949-951C-D482E826C854} - System32\Tasks\doggo => C:\Users\ivialle.FNACA\AppData\Roaming\QNDl\VvYg.exe
Task: {17D01CFE-26AF-43CC-82B5-C3860B609A97} - \Microsoft\Windows\Setup\EOSNotify -> Pas de fichier <==== ATTENTION
Task: {3ABAAD33-0EF1-4411-846E-2B0C7DEB3ABB} - System32\Tasks\Skype => C:\Users\ivialle.FNACA\AppData\Roaming\Colis-FR-NP981789519JB.vbs
Task: {8A72F001-2125-436B-B81A-443B6BEEAF0C} - System32\Tasks\SCSI Monitor => C:\Users\IVIALL~1.FNA\AppData\Local\Temp\brusmdz.exe <==== ATTENTION
"C:\Windows\System32\Tasks\Microsoft\Windows\GroupPolicy\{A7719E0F-10DB-4640-AD8C-490CC6AD5202}" a été déverrouillé. <==== ATTENTION
Task: {7F0B33AA-2FFB-4A84-A482-8E5855CEE263} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-3934496064-220563800-250528285-500 => C:\Users\ivialle.FNACA\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe
"C:\Windows\System32\Tasks\Microsoft\Windows\GroupPolicy\{3E0A038B-D834-4930-9981-E89C9BFF83AA}" a été déverrouillé. <==== ATTENTION
2021-04-22 13:54 - 2020-09-07 16:53 - 000000000 ____D C:\Users\ivialle.FNACA\AppData\Roaming\VideoLAN
2017-03-23 10:13 - 2017-05-17 08:44 - 000522569 _____ () C:\Users\ivialle.FNACA\AppData\Roaming\log.dat
2020-09-07 16:42 - 2020-09-07 16:53 - 000001911 _____ () C:\Users\ivialle.FNACA\AppData\Roaming\log.txt
:\Users\ivialle.FNACA\AppData\Roaming\QNDl
C:\Users\ivialle.FNACA\AppData\Roaming\Colis-FR-NP981789519JB.vbs
StartPowershell:
DISM /Online /Cleanup-image /Restorehealth
sfc /scannow
EndPowershell:
EmptyTemp:
*****************

Le Point de restauration a été créé avec succès.
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\intel.vbs" => supprimé(es) avec succès
"HKU\S-1-5-21-964664455-2320129721-3780210271-1127\Software\Microsoft\Windows\CurrentVersion\Run\\intel.vbs" => supprimé(es) avec succès
C:\Users\ivialle.FNACA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\intel.vbs => déplacé(es) avec succès
C:\WINDOWS\system32\GroupPolicy\Machine => déplacé(es) avec succès
C:\WINDOWS\system32\GroupPolicy\GPT.ini => déplacé(es) avec succès
C:\ProgramData\NTUSER.pol => déplacé(es) avec succès
HKLM\SOFTWARE\Policies\Google => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{1688F9A8-1B6B-4949-951C-D482E826C854}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1688F9A8-1B6B-4949-951C-D482E826C854}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\doggo => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\doggo" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{17D01CFE-26AF-43CC-82B5-C3860B609A97}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{17D01CFE-26AF-43CC-82B5-C3860B609A97}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Setup\EOSNotify" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{3ABAAD33-0EF1-4411-846E-2B0C7DEB3ABB}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3ABAAD33-0EF1-4411-846E-2B0C7DEB3ABB}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\Skype => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Skype" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{8A72F001-2125-436B-B81A-443B6BEEAF0C}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8A72F001-2125-436B-B81A-443B6BEEAF0C}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\SCSI Monitor => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\SCSI Monitor" => supprimé(es) avec succès
"C:\Windows\System32\Tasks\Microsoft\Windows\GroupPolicy\{A7719E0F-10DB-4640-AD8C-490CC6AD5202}" a été déverrouillé. <==== ATTENTION" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{7F0B33AA-2FFB-4A84-A482-8E5855CEE263}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7F0B33AA-2FFB-4A84-A482-8E5855CEE263}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-3934496064-220563800-250528285-500 => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\OneDrive Standalone Update Task-S-1-5-21-3934496064-220563800-250528285-500" => supprimé(es) avec succès
"C:\Windows\System32\Tasks\Microsoft\Windows\GroupPolicy\{3E0A038B-D834-4930-9981-E89C9BFF83AA}" a été déverrouillé. <==== ATTENTION" => non trouvé(e)
C:\Users\ivialle.FNACA\AppData\Roaming\VideoLAN => déplacé(es) avec succès
C:\Users\ivialle.FNACA\AppData\Roaming\log.dat => déplacé(es) avec succès
C:\Users\ivialle.FNACA\AppData\Roaming\log.txt => déplacé(es) avec succès
:\Users\ivialle.FNACA\AppData\Roaming\QNDl => Erreur: Pas de correction automatique trouvée pour cet élément.
"C:\Users\ivialle.FNACA\AppData\Roaming\Colis-FR-NP981789519JB.vbs" => non trouvé(e)

========= Powershell: =========


Fixing is terminated due to reaching maximum fixing time of 60 minutes. <==== ATTENTION


Cordialement.
Minibaya
Messages : 4
Inscription : 22 avr. 2021 20:58

Re: Widows Script Host Colis.vbs

par Minibaya »

Suite au message "Fixing is terminated due to reaching maximum fixing time of 60 minutes. <==== ATTENTION" contenu dans le log, j'ai relancé la procédure qui s'est terminé correctement.

Voici le log :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 17-04-2021
Exécuté par ivialle (26-04-2021 12:06:36) Run:2
Exécuté depuis C:\Users\ivialle.FNACA\Desktop
Profils chargés: ivialle & LogMeInRemoteUser & ivialle
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
HKLM\...\Run: [intel.vbs] => C:\Users\ivialle.FNACA\intel.vbs [0 2018-04-27] ()
HKU\S-1-5-21-964664455-2320129721-3780210271-1127\...\Run: [intel.vbs] => C:\Users\ivialle.FNACA\intel.vbs [0 2018-04-27] ()
Startup: C:\Users\ivialle.FNACA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\intel.vbs [2018-04-27] ()
GroupPolicy: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {1688F9A8-1B6B-4949-951C-D482E826C854} - System32\Tasks\doggo => C:\Users\ivialle.FNACA\AppData\Roaming\QNDl\VvYg.exe
Task: {17D01CFE-26AF-43CC-82B5-C3860B609A97} - \Microsoft\Windows\Setup\EOSNotify -> Pas de fichier <==== ATTENTION
Task: {3ABAAD33-0EF1-4411-846E-2B0C7DEB3ABB} - System32\Tasks\Skype => C:\Users\ivialle.FNACA\AppData\Roaming\Colis-FR-NP981789519JB.vbs
Task: {8A72F001-2125-436B-B81A-443B6BEEAF0C} - System32\Tasks\SCSI Monitor => C:\Users\IVIALL~1.FNA\AppData\Local\Temp\brusmdz.exe <==== ATTENTION
"C:\Windows\System32\Tasks\Microsoft\Windows\GroupPolicy\{A7719E0F-10DB-4640-AD8C-490CC6AD5202}" a été déverrouillé. <==== ATTENTION
Task: {7F0B33AA-2FFB-4A84-A482-8E5855CEE263} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-3934496064-220563800-250528285-500 => C:\Users\ivialle.FNACA\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe
"C:\Windows\System32\Tasks\Microsoft\Windows\GroupPolicy\{3E0A038B-D834-4930-9981-E89C9BFF83AA}" a été déverrouillé. <==== ATTENTION
2021-04-22 13:54 - 2020-09-07 16:53 - 000000000 ____D C:\Users\ivialle.FNACA\AppData\Roaming\VideoLAN
2017-03-23 10:13 - 2017-05-17 08:44 - 000522569 _____ () C:\Users\ivialle.FNACA\AppData\Roaming\log.dat
2020-09-07 16:42 - 2020-09-07 16:53 - 000001911 _____ () C:\Users\ivialle.FNACA\AppData\Roaming\log.txt
:\Users\ivialle.FNACA\AppData\Roaming\QNDl
C:\Users\ivialle.FNACA\AppData\Roaming\Colis-FR-NP981789519JB.vbs
StartPowershell:
DISM /Online /Cleanup-image /Restorehealth
sfc /scannow
EndPowershell:
EmptyTemp:
*****************

Le Point de restauration a été créé avec succès.
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\intel.vbs" => non trouvé(e)
"HKU\S-1-5-21-964664455-2320129721-3780210271-1127\Software\Microsoft\Windows\CurrentVersion\Run\\intel.vbs" => non trouvé(e)
"C:\Users\ivialle.FNACA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\intel.vbs" => non trouvé(e)
"C:\WINDOWS\system32\GroupPolicy\Machine" => non trouvé(e)
"C:\ProgramData\NTUSER.pol" => non trouvé(e)
HKLM\SOFTWARE\Policies\Google => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1688F9A8-1B6B-4949-951C-D482E826C854}" => non trouvé(e)
"C:\WINDOWS\System32\Tasks\doggo" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\doggo" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{17D01CFE-26AF-43CC-82B5-C3860B609A97}" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Setup\EOSNotify" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3ABAAD33-0EF1-4411-846E-2B0C7DEB3ABB}" => non trouvé(e)
"C:\WINDOWS\System32\Tasks\Skype" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Skype" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8A72F001-2125-436B-B81A-443B6BEEAF0C}" => non trouvé(e)
"C:\WINDOWS\System32\Tasks\SCSI Monitor" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\SCSI Monitor" => non trouvé(e)
"C:\Windows\System32\Tasks\Microsoft\Windows\GroupPolicy\{A7719E0F-10DB-4640-AD8C-490CC6AD5202}" a été déverrouillé. <==== ATTENTION" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7F0B33AA-2FFB-4A84-A482-8E5855CEE263}" => non trouvé(e)
"C:\WINDOWS\System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-3934496064-220563800-250528285-500" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\OneDrive Standalone Update Task-S-1-5-21-3934496064-220563800-250528285-500" => non trouvé(e)
"C:\Windows\System32\Tasks\Microsoft\Windows\GroupPolicy\{3E0A038B-D834-4930-9981-E89C9BFF83AA}" a été déverrouillé. <==== ATTENTION" => non trouvé(e)
"C:\Users\ivialle.FNACA\AppData\Roaming\VideoLAN" => non trouvé(e)
"C:\Users\ivialle.FNACA\AppData\Roaming\log.dat" => non trouvé(e)
"C:\Users\ivialle.FNACA\AppData\Roaming\log.txt" => non trouvé(e)
:\Users\ivialle.FNACA\AppData\Roaming\QNDl => Erreur: Pas de correction automatique trouvée pour cet élément.
"C:\Users\ivialle.FNACA\AppData\Roaming\Colis-FR-NP981789519JB.vbs" => non trouvé(e)

========= Powershell: =========


Outil Gestion et maintenance des images de déploiement
Version : 10.0.19041.844

Version de l'image : 10.0.19042.928

[========================== 46.1% ]

Erreur : 1726

Échec de l'appel de procédure distante.

Le fichier journal DISM se trouve à l'emplacement C:\WINDOWS\Logs\DISM\dism.log



D Ú b u t d e l a n a l y s e d u s y s t Þ m e . C e t t e o p Ú r a t i o n p e u t n Ú c e s s i t e r u n c e r t a i n t e m p s .





D Ú m a r r a g e d e l a p h a s e d e v Ú r i f i c a t i o n d e l a n a l y s e d u s y s t Þ m e .



L a v Ú r i f i c a t i o n e s t Ó 0 % t e r m i n Ú e .
L a v Ú r i f i c a t i o n e s t Ó 9 9 % t e r m i n Ú e .
L a v Ú r i f i c a t i o n e s t Ó 1 0 0 % t e r m i n Ú e .




L e p r o g r a m m e d e p r o t e c t i o n d e s r e s s o u r c e s W i n d o w s n a t r o u v Ú a u c u n e v i o l a t i o n d i n t Ú g r i t Ú .




========= Fin de Powershell: =========


=========== EmptyTemp: ==========

BITS transfer queue => 6578176 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 43375015 B
Java, Flash, Steam htmlcache => 1400 B
Windows/system/drivers => 15759765 B
Edge => 0 B
Chrome => 1102641684 B
Firefox => 12514407 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 8894 B
NetworkService => 10358030 B
ivialle => 10404927 B
LogMeInRemoteUser => 10404927 B
ivialle.FNACA => 135976784 B

RecycleBin => 1164907426 B
EmptyTemp: => 2.3 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 12:56:49 ====
Avatar de l’utilisateur
angelique
Messages : 30932
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Widows Script Host Colis.vbs

par angelique »

ça doit être OK

Supprime frst64, tous les rapports et C:\FRST
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image
Minibaya
Messages : 4
Inscription : 22 avr. 2021 20:58

Re: Widows Script Host Colis.vbs

par Minibaya »

Cela semble effectivement ok.

Un grand merci pour votre aide.

Cordialement.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »