[AIDE] Demande d'aide suite à infection vbs (Rapport FRST)

[Sunken]

Salut à tous!

Suite à l'insertion d'une clé USB sur mon PC, j'ai détecté une infection vbs (le cas typique avec copie de raccourcis sur la clé avec contenu masqué). J'ai mis peu de temps à trouver le fichier en question (un dénommé colis-suivi.vbs) ouvert par ma femme suite à la réception d'un mail frauduleux (elle attendait un colis au même moment donc elle ne pouvait pas se douter). Après avoir supprimé le fichier concerné, j'ai sans cesse le pop-up Windows Script Host qui revient comme il recherche le satané colis-suivi.vbs à exécuter mais qu'il ne trouve pas. J'ai installé Marmiton pour désactiver WSH mais le pop-up revient pour me dire qu'il est désactivé. J'ai effectué un scan complet avec FRST64:

-FRST.txt: https://pjjoint.malekal.com/files.php?i ... 8u6e7s10y6
-Addition.txt: https://pjjoint.malekal.com/files.php?i ... 8z15v108d8

Je sollicite donc votre expertise pour savoir quels sont les objets à ajouter à la fixlist.

Encore merci pour votre aide! ;)

PS: à la racine de ma clé USB après un USBfix, j'ai un répertoire System Volume Information qui est apparu composé de 2 fichiers (IndexerVolumeGuid et WPSettings.dat). Je n'arrive pas à le supprimer, auriez-vous une solution?

[angelique]

Bonjour,

• Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer➫notepad)
  Copie/colle dedans ce qui suit :
  
  

  Code : Tout sélectionner

  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt [2017-07-25] ()
  Reg: reg delete HKU\S-1-5-21-3439388952-3658679044-2930985969-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "colis-suivi.vbs" /f
  Reg: reg delete HKU\S-1-5-21-3439388952-3658679044-2930985969-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "4S6H8WNIXV" /f
  EmptyTemp:
  
  

• Menu Fichier / Enregistrer-sous
  Place toi sur le bureau.
  Dans le champs en bas, nom du fichier mets : fixlist.txt
  Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe
  Sous Vista, Windows 7, 8,10, etc.... il faut lancer le fichier par clic-droit ➫ Exécuter en tant qu'administrateur
  Sur le menu principal, clique une seule fois sur Corriger/Fix et patiente le temps de la correction
  
  
  Un redémarrage peut être nécessaire (pas obligatoire).
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse avec ton commentaire si c'est mieux !
• Sauvegarde tes données de ta clef USB et formate ta clef USB puis recopie_colle la données dedans.
  
  System Volume Information est un dossier normal crée par la restauration système de windows

[Sunken]

Merci angelique pour ta réponse rapide!

Tout est rentré dans l'ordre! ;)

[angelique]

ça aurait quand même été bien de voir le rapport de correction.

[marinouch2]

Bonjour à tous et à Angélique tout particulièrement ;-)
J'ai le mêm problème que Sunken, j'ai suivi les instructions d'Angélique et voici le rapport :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 31-07-2017
Exécuté par Marine (03-08-2017 11:01:14) Run:1
Exécuté depuis C:\Users\Marine\Desktop
Profils chargés: Marine (Profils disponibles: Marine)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt [2017-07-25] ()
Reg: reg delete HKU\S-1-5-21-3439388952-3658679044-2930985969-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "colis-suivi.vbs" /f
Reg: reg delete HKU\S-1-5-21-3439388952-3658679044-2930985969-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "4S6H8WNIXV" /f
EmptyTemp:
*****************

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt => non trouvé(e).

========= reg delete HKU\S-1-5-21-3439388952-3658679044-2930985969-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "colis-suivi.vbs" /f =========

Erreurÿ: Erreurÿ: le systŠme n'a pas trouv‚ la cl‚ ou la valeur de Registre sp‚cifi‚e.


========= Fin de Reg: =========


========= reg delete HKU\S-1-5-21-3439388952-3658679044-2930985969-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "4S6H8WNIXV" /f =========

Erreurÿ: Erreurÿ: le systŠme n'a pas trouv‚ la cl‚ ou la valeur de Registre sp‚cifi‚e.


========= Fin de Reg: =========


=========== EmptyTemp: ==========

BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 186182962 B
Java, Flash, Steam htmlcache => 816 B
Windows/system/drivers => 51111373 B
Edge => 2675482 B
Chrome => 1002476097 B
Firefox => 14202692 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 6656 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 128 B
LocalService => 43920 B
NetworkService => 0 B
Marine => 1143258000 B

RecycleBin => 0 B
EmptyTemp: => 2.2 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 11:05:22 ====

[marinouch2]

Le fichier n'a pas été trouvé car j'avais réussi à le supprimer.

Le problème est que Windows continue à vouloir l'exécuter au démarrage, et j'ai désormais un message d'erreur indiquant impossible de trouver le fichier script

Comment faire pour arrêter ça ?

J'ai tenté de désactiver colis-suivi dans l'onglet démarrage du gestionnaire des tâches, mais ce message d'erreur continue ...

Merci d'avance de votre aide

[Malekal_morte]

Refais un scan FRST et donne les nouveaux liens pjjoint pour voir.