[WSCRIPT.exe] application malveillante bloquée (en cours)

[fabfab78]

Bonjour,

Après avoir ouvert récemment mon antivirus (Bitdefender) je me suis aperçu que depuis un bon mois une notification revient sans arrêt (en gros toutes les heures lorsque le PC est allumé) "application potentiellement malveillante bloquée" (chemin d'application C:\Windows\system32\wscript.exe)

Après quelques recherches, je suis notamment tombé sur le forum (https://www.malekal.com/tutoriel-farbar ... ur_pjjoint) avec lequel j'ai récupéré les 3 fichiers txt.

voici les liens des fichiers uploadés:

https://pjjoint.malekal.com/files.php?i ... 3w14c14y12
https://pjjoint.malekal.com/files.php?i ... 12g10j6s13
https://pjjoint.malekal.com/files.php?i ... d6i5f7f8h9

Pourriez vous m'aider sur la marche à suivre pour savoir s'il s'agit d'un quelconque virus et si oui comment m'en débarrasser.

J'ai par ailleurs eu récemment (encore aujourd'hui) une "Une tentative d'injection de commande vers votre système par le biais d'une URL dangereuse a été réalisée par 192.168.0.12. Nous avons bloqué la connexion pour éviter l'exécution de commandes malveillantes sur l'appareil et sur le réseau." est possible que cela soit lié à l’alerte que j'ai reçu pour le fichier windows ?

Par avance, merci pour votre retour.

Fabien

[Malekal_morte]

Salut,

c'est à cause d'installer InstallCore qui a collé des programmes Yahoo!

Tu t'es fait avoir par un installer InstallCore, une plateforme de PUP (programmes potentiellement indésirables) qui est proposé sur des sites de téléchargement ou à travers de fausses mises à jour Java, Flash.
Cela propose d'installer Chromium pour forcer Yahoo!, ByteFence, Avast!, McAfee Security Advisor ou McAfee LiveSafe.
Pour ne plus te faire avoir à lire : PUPs InstallCore



Tu as des programmes qui ont été installés à l'achat de l'ordinateur ou installés par la suite et qui sont pas forcément utiles.
Ils encombrent Windows et peuvent le ralentir.
Tu peux donc les désinstaller.
Vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Désinstalle :

CCleaner
Chromium
Google Toolbar for Internet Explorer
UsbFix Anti-Malware Premium (sert à rien)

PS : CCleaner n'est pas vraiment utile, même si on le recommande de partout.
Si tu tiens à le garder, désactive la surveillance de CCleaner, inutile, ça se met au démarrage de Windows et le ralentit avec ces nettoyages incessants, voir : [https://www.malekal.com/supprimer-cclea ... e-windows/]

~~

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-4230252589-589714895-885670410-1000\...\Run: [Chromium] => c:\users\admin\appdata\local\chromium\application\chrome.exe [1068544 2016-03-18] (The Chromium Authors) [Fichier non signé]
Task: C:\WINDOWS\Tasks\Yahoo! Powered nicod.job => Wscript.exe  C:\ProgramData\{0980CCE3-83C2-4625-0504-D8679F4653A9}\tise.txt <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)


2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :
* Réinitialiser et réparer Mozilla Firefox
* Réinitialiser et réparer Google Chrome
* Réinitialiser et réparer Internet Explorer
(Ne pas utiliser Zeok)

[fabfab78]

Voici le compte tenu du rapport qui a été édité:


Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 10-06-2019
Exécuté par ADMIN (10-06-2019 18:17:12) Run:2
Exécuté depuis C:\Users\ADMIN\Desktop
Profils chargés: ADMIN (Profils disponibles: ADMIN & DefaultAppPool)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Start:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-4230252589-589714895-885670410-1000\...\Run: [Chromium] => c:\users\admin\appdata\local\chromium\application\chrome.exe [1068544 2016-03-18] (The Chromium Authors) [Fichier non signé]
Task: C:\WINDOWS\Tasks\Yahoo! Powered nicod.job => Wscript.exe C:\ProgramData\{0980CCE3-83C2-4625-0504-D8679F4653A9}\tise.txt <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:
*****************

Start: => Erreur: Pas de correction automatique trouvée pour cet élément.
Processus fermé avec succès.
Erreur: (0) Impossible de créer un point de restauration.
"HKU\S-1-5-21-4230252589-589714895-885670410-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Chromium" => supprimé(es) avec succès
C:\WINDOWS\Tasks\Yahoo! Powered nicod.job => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-4230252589-589714895-885670410-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-4230252589-589714895-885670410-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========

End: => Erreur: Pas de correction automatique trouvée pour cet élément.

=========== EmptyTemp: ==========

BITS transfer queue => 10510336 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 515033895 B
Java, Flash, Steam htmlcache => 268984649 B
Windows/system/drivers => 2017064 B
Edge => 13177 B
Chrome => 396543722 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 916 B
LocalService => 0 B
NetworkService => 7476 B
NetworkService => 0 B
ADMIN => 17327323 B
DefaultAppPool => 0 B

RecycleBin => 0 B
EmptyTemp: => 1.1 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 18:17:40 ====



Fabien

[Malekal_morte]

Supprime ce dossier C:\ProgramData\{0980CCE3-83C2-4625-0504-D8679F4653A9}
s'il existe

après cela ça doit être bon, je pense.

[fabfab78]

Bonsoir,

J'ai bien supprimé le dossier. Après deux heures sans alerte, cela à repris son cours habituel. En gros au démarrage et à peu près toutes les heures ensuite...
Les mises à jour Windows sont faites. A priori les autres logiciels aussi.
Je ne sais pas ce qu'il persiste à se lancer.

[Malekal_morte]

Refais un scan FRST et donne les rapports
sinon faudra trouver un moyen de dire à BitDefender d'arrêter ces détections.

[fabfab78]

Bonjour,

voici les résultats du nouveau scan:

https://pjjoint.malekal.com/files.php?i ... v9g9h11i11

https://pjjoint.malekal.com/files.php?i ... 10l10c9b15

https://pjjoint.malekal.com/files.php?i ... 2i7c14e7r5

[Malekal_morte]

Ouaip rien d'anormal.
Faudrait placer wscript dans les exceptions, même si c'est pas top :/