Windows Script Host: impossible de trouver le fichier script colis-mondial.vbs

[Christian2017]

Bonjour,
Suite à une mauvaise manipulation, le fichier colis-mondial.vbs a été téléchargé sur mon pc.
J'ai pu le supprimer, je pense qu'il ne s'est pas executé.
Par contre, j'ai tjs ce message Windows Script Host:
Impossible de trouver le fichier script c:\users\XXX\appdata\local\temp\colis-mondial.vbs
J'ai passé FRST64 et généré les 3 fichiers textes frst.txt, addition.txt et shortcut.txt.
Quelqu'un peut-il m'aider?
Merci d'avance pour vos réponses.

[angelique]

Bonjour,

• Télécharge sur ton Bureau pas ailleurs FRST.EXE:
  
  
  
  La page de téléchargement : le tutoriel FRST
  
  
  
  
  !! Placez le programme sur le bureau et pas ailleurs!!
• Execute FRST.EXE, accepte le disclaimer , Cochez tous les options et cliquez sur le bouton Scan.
  Le scan se lance, les éléments scannés apparaissent en haut.
• Une fois le scan terminé, une popup vous le signale et deux rapports sont générés : FRST.txt et Addition.txt ( Ces deux rapports se trouvent sur le bureau avec le programme FRST. )
  
  
  Utilise le site http://pjjoint.malekal.com/ pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse.

[Christian2017]

Bonjour,
Merci pour ta réponse.
Je t'envoie les liens pour frst.txt, addition.txt et shortcut.txt:
frst.txt: https://pjjoint.malekal.com/files.php?i ... z15o13i8i5

addition.txt: https://pjjoint.malekal.com/files.php?i ... 2q5u5p5k12

shortcut.txt: https://pjjoint.malekal.com/files.php?i ... 1014n13n11
D'avance merci!

[angelique]

Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton ➫ http://telecharger.malekal.com/download/marmiton/
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky.

• Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer➫notepad)
  Copie/colle dedans ce qui suit :
  
  

  Code : Tout sélectionner

  Task: {038BBAFA-3BB9-4357-BE55-FF48B0C50844} - System32\Tasks\{4447FD68-56BC-8E87-C2EA-33FF12DF3964} => C:\Users\crois\AppData\Roaming\{BBCF8~1\helper.exe <==== ATTENTION
  Task: {49709B70-844C-4752-8FCF-B480C6044891} - System32\Tasks\Skype => C:\Users\crois\AppData\Local\Temp\colis-mondial.vbs <==== ATTENTION
  Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe
  Task: C:\WINDOWS\Tasks\{4447FD68-56BC-8E87-C2EA-33FF12DF3964}.job => C:\Users\crois\AppData\Roaming\{BBCF8~1\helper.exe <==== ATTENTION
  C:\Users\crois\AppData\Roaming\{BBCF8~1
  C:\Users\crois\AppData\Local\Temp\colis-mondial.vbs
  EmptyTemp:
  
  

• Menu Fichier / Enregistrer-sous
  Place toi sur le bureau.
  Dans le champs en bas, nom du fichier mets : fixlist.txt
  Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe
  Sous Vista, Windows 7, 8,10, etc.... il faut lancer le fichier par clic-droit ➫ Exécuter en tant qu'administrateur
  Sur le menu principal, clique une seule fois sur Corriger/Fix et patiente le temps de la correction
  
  
  Un redémarrage peut être nécessaire (pas obligatoire).
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse avec ton commentaire si c'est mieux !

[Christian2017]

Voilà le lien du rapport de correction fixlog.txt:
https://pjjoint.malekal.com/files.php?i ... 9i11k15s11
La Windows Script Host n'apparait plus. C'est gagné!
J'ai installé selon tes recommandations Marmiton.
Un Grand Merci, Angélique!

[angelique]

tu pourras alors supprimer frst, ses rapports et sa quarantaine C:\FRST

[Christian2017]

Bonjour,
Voilà les liens de nouveaux rapports FRST suite à problèmes sur autre PC:
frst.txt: https://pjjoint.malekal.com/files.php?i ... 0l9r12y9y5
addition.txt: https://pjjoint.malekal.com/files.php?i ... 12o6z12t11
shortcut.txt: https://pjjoint.malekal.com/files.php?i ... o8w6m12d14
Merci d'avance pour vos réponses et corrections.
Christian.

[angelique]

Pas infecté.


Bonjour,

y'aurait un probleme windows ou matériel car HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k existe

un probleme d'indexation , lire et faire ➯ https://www.malekal.com/indexation-fichiers-windows/

• Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer➫notepad)
  Copie/colle dedans ce qui suit :
  
  

  Code : Tout sélectionner

  CustomCLSID: HKU\S-1-5-21-2241510384-773339571-3011630432-1005_Classes\CLSID\{0000002F-0000-0000-C000-000000000046}\InprocServer32 -> pas de chemin du fichier
  CustomCLSID: HKU\S-1-5-21-2241510384-773339571-3011630432-1005_Classes\CLSID\{00020420-0000-0000-C000-000000000046}\InprocServer32 -> pas de chemin du fichier
  CustomCLSID: HKU\S-1-5-21-2241510384-773339571-3011630432-1005_Classes\CLSID\{00020421-0000-0000-C000-000000000046}\InprocServer32 -> pas de chemin du fichier
  CustomCLSID: HKU\S-1-5-21-2241510384-773339571-3011630432-1005_Classes\CLSID\{00020422-0000-0000-C000-000000000046}\InprocServer32 -> pas de chemin du fichier
  CustomCLSID: HKU\S-1-5-21-2241510384-773339571-3011630432-1005_Classes\CLSID\{00020423-0000-0000-C000-000000000046}\InprocServer32 -> pas de chemin du fichier
  CustomCLSID: HKU\S-1-5-21-2241510384-773339571-3011630432-1005_Classes\CLSID\{00020424-0000-0000-C000-000000000046}\InprocServer32 -> pas de chemin du fichier
  CustomCLSID: HKU\S-1-5-21-2241510384-773339571-3011630432-1005_Classes\CLSID\{00020425-0000-0000-C000-000000000046}\InprocServer32 -> pas de chemin du fichier
  CustomCLSID: HKU\S-1-5-21-2241510384-773339571-3011630432-1005_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> pas de chemin du fichier
  CustomCLSID: HKU\S-1-5-21-2241510384-773339571-3011630432-1005_Classes\CLSID\{0BE35200-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> pas de chemin du fichier
  CustomCLSID: HKU\S-1-5-21-2241510384-773339571-3011630432-1005_Classes\CLSID\{0BE35201-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> pas de chemin du fichier
  CustomCLSID: HKU\S-1-5-21-2241510384-773339571-3011630432-1005_Classes\CLSID\{0BE35202-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> pas de chemin du fichier
  CustomCLSID: HKU\S-1-5-21-2241510384-773339571-3011630432-1005_Classes\CLSID\{0BE35203-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> pas de chemin du fichier
  CustomCLSID: HKU\S-1-5-21-2241510384-773339571-3011630432-1005_Classes\CLSID\{0BE35204-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> pas de chemin du fichier
  CustomCLSID: HKU\S-1-5-21-2241510384-773339571-3011630432-1005_Classes\CLSID\{44EC053A-400F-11D0-9DCD-00A0C90391D3}\InprocServer32 -> pas de chemin du fichier
  CustomCLSID: HKU\S-1-5-21-2241510384-773339571-3011630432-1005_Classes\CLSID\{46763EE0-CAB2-11CE-8C20-00AA0051E5D4}\InprocServer32 -> pas de chemin du fichier
  CustomCLSID: HKU\S-1-5-21-2241510384-773339571-3011630432-1005_Classes\CLSID\{B196B286-BAB4-101A-B69C-00AA00341D07}\InprocServer32 -> pas de chemin du fichier
  Task: C:\WINDOWS\Tasks\Notification de fin de service de Microsoft Windows XP - à la connexion.job => C:\WINDOWS\system32\xp_eos.exe
  Task: C:\WINDOWS\Tasks\Notification de fin de service de Microsoft Windows XP -mensuellement.job => C:\WINDOWS\system32\xp_eos.exe
  HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k
  Toolbar: HKU\S-1-5-21-2241510384-773339571-3011630432-1005 -> Pas de nom - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  Pas de fichier
  EmptyTemp:
  
  

• Menu Fichier / Enregistrer-sous
  Place toi sur le bureau.
  Dans le champs en bas, nom du fichier mets : fixlist.txt
  Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe
  Sous Vista, Windows 7, 8,10, etc.... il faut lancer le fichier par clic-droit ➫ Exécuter en tant qu'administrateur
  Sur le menu principal, clique une seule fois sur Corriger/Fix et patiente le temps de la correction
  
  
  Un redémarrage peut être nécessaire (pas obligatoire).
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse avec ton commentaire si c'est mieux !

[Christian2017]

Merci, le fichier fixlog.txt:
https://pjjoint.malekal.com/files.php?i ... 12q7b10c13

Le pc reste lent.
J'essaie de modifier les options d'indexation.
C'est un pc sous vista avec 1go Ram: il ne faut peut être trop lui en demander...

[angelique]

non c'est un Platform: Microsoft Windows XP Professionnel Service Pack 3 (X86) Langue: Français (France)

tu feras un checkdisk aussi, ça fera pas de mal ➯ viewtopic.php?t=53178&start=

bon apres 1 Go de ram de nos jours c'est bon à faire tourner un GNU/Linux avec un Bureau léger style XFCE

[Frédéric2017]

Bonjour Angélique,
je rencontre le même problème que christian2017 à savoir : windows script impossible de trouver le fichier script colis-mondial.vbs.

comme vous l'avez conseillé, j'ai lancé FRST qui m'a édité 3 rapports : FRST.txt; Addition.txt et Shortcut.txt.

est-ce que je peux vous envoyer ces rapports?

Cordialement.

[angelique]

La suite sur ton sujet ➯ viewtopic.php?f=3&t=58056

[Christian2017]

Bonjour,
Merci d'avance pour cette nouvelle analyse:
frst.txt: https://pjjoint.malekal.com/files.php?i ... d7s14z13s9
addition.txt: https://pjjoint.malekal.com/files.php?i ... 5f14t14o14
shortcut.txt: https://pjjoint.malekal.com/files.php?i ... 13v7u11s10

[Malekal_morte]

rien de spécial, seulement des dossiers inutiles.




Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
 2017-07-17 10:15 - 2017-07-17 10:15 - 00000000 ____D C:\Users\jeannick Scellier\AppData\Local\{7ED91B86-3B5B-4DAB-B124-2A06C19B640B} 
 2017-07-16 20:06 - 2017-07-16 20:06 - 00000000 ____D C:\Users\jeannick Scellier\AppData\Local\{8EE38A0F-53DD-45F4-BD42-CBD8E03AECA1} 
 2017-07-15 12:29 - 2017-07-15 12:29 - 00000000 ____D C:\Users\jeannick Scellier\AppData\Local\{5CF9C43B-71D5-4A1A-9A33-8AF9A542405A} 
 2017-07-14 13:31 - 2017-07-14 13:31 - 00000000 ____D C:\Users\jeannick Scellier\AppData\Local\{27320AAD-D5B7-4E0D-B396-F331120EA032} 
 2017-07-11 11:12 - 2017-07-11 11:12 - 00000000 ____D C:\Users\jeannick Scellier\AppData\Local\{C2F503B1-7A97-40D8-B480-811086298AF1} 
 2017-07-11 11:05 - 2017-07-11 11:05 - 00000000 ____D C:\Users\jeannick Scellier\AppData\Local\UNP 
 2017-07-11 10:58 - 2017-07-11 10:59 - 00000000 ____D C:\Program Files\UNP 
 2017-07-11 10:58 - 2017-07-11 10:58 - 00000000 ____D C:\WINDOWS\system32\UNP  
 2017-07-05 10:46 - 2017-07-05 10:46 - 00000000 ____D C:\Users\jeannick Scellier\AppData\Local\{6468699A-E103-44C4-B8E2-3974579680F7} 
 2017-07-03 19:58 - 2017-07-03 19:58 - 00000000 ____D C:\Users\jeannick Scellier\AppData\Local\{F6EE838E-467F-4581-951F-9138C1390D10} 
 2017-07-03 19:44 - 2017-07-03 19:44 - 00000000 ____D C:\Users\jeannick Scellier\AppData\Local\{23BB2138-1907-43A7-B4B9-B719F3E94072} 
 2017-06-29 15:35 - 2017-06-29 15:35 - 00000000 ____D C:\Users\jeannick Scellier\AppData\Local\{BCF6B81C-0744-4A4E-9729-7A4A29B2BEA2} 
 2017-06-28 13:44 - 2017-06-28 13:44 - 00000000 ____D C:\Users\jeannick Scellier\AppData\Local\{50406BC0-7F3E-43A6-9C3C-EDA1337D2C51} 
 2017-06-27 18:46 - 2017-06-27 18:46 - 00000000 ____D C:\Users\jeannick Scellier\AppData\Local\{1B01D614-209E-4C39-8BBC-90AC977D35AD} 
 2017-06-26 11:49 - 2017-06-26 11:49 - 00000000 ____D C:\Users\jeannick Scellier\AppData\Local\{ADFF1571-0C65-4AAD-8142-24A751286A24} 
 2017-06-21 11:52 - 2017-06-21 11:52 - 00000000 ____D C:\Users\jeannick Scellier\AppData\Local\{9235636A-DB80-46E7-B61D-1A75DDD5EA12} 
 2017-06-20 17:14 - 2017-06-20 17:14 - 00000000 ____D C:\Users\jeannick Scellier\AppData\Local\{2F941675-9D86-4C45-A5BE-9ECD3EF730E0} 
 2017-06-19 11:07 - 2017-06-19 11:07 - 00000000 ____D C:\Users\jeannick Scellier\AppData\Local\{709F6153-5A87-4D6C-B52C-D3BF8E2EBCA4} 
 2017-06-17 20:21 - 2017-06-17 20:21 - 00000000 ____D C:\Users\jeannick Scellier\AppData\Local\{EA95C4BD-E53A-491B-9B48-DFA3528BA4DC} 
 HKU\S-1-5-21-2992303278-2087156709-899380359-1000\...\Run: [CCleaner Monitoring] => C:\Program Files\CCleaner\CCleaner64.exe [9818328 2017-06-30] (Piriform Ltd)  
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

[Christian2017]

Bonjour,
Merci pour la réponse.
Voici le lien du fixlog.txt:
https://pjjoint.malekal.com/files.php?i ... e10t5e77o6