Windows Host Script / mondial.vbs

[Acrobaz]

Bonjour,

mon PC est infecté par un virus, ou je sais pas quoi. Suite à l'attente d'un colis "mondial colis", j'ai reçu un mail avec un fichier vbs à ouvrir.
ce que j'ai bêtement fais.

Ensuite, il m'a ouvert à chaque démarrage une fenêtre WHS et je refusais à chaque fois. J'ai réussi à supprimer un des fichier vbs mais du coup je reçois en pop up continu
"Impossible de trouver le fichier mondial.vbs"
Si je fais "ok", ça pop de nouveau 5 sec plus tard.

J'ai cru voir en recherchant sur le net qu'une procédure était possible, notamment via FRST. J'ai lançé le scan mais je ne sais pas quoi en fait maintenant.
HELP svp merci à vous

[devadip]

slt

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ) (https://www.malekal.com/tutoriel-farbar ... tool-frst/)

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[Acrobaz]

Ok alors voici mes 3 fichiers :

https://pjjoint.malekal.com/files.php?i ... 1d5p7k15r8
https://pjjoint.malekal.com/files.php?i ... x5m6c15f15
https://pjjoint.malekal.com/files.php?i ... 7h9i8e5g13

[Malekal_morte]

Salut,

Cette infection colis-mondial.vbs va par mail : A lire : https://www.facebook.com/malekalcom/?hc ... eU&fref=nf

1)
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Salut,

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
Task: {9B1E5958-9FE0-4536-A167-A58569D2230B} - System32\Tasks\Skype => C:\Users\Acrobaz\AppData\Local\Temp\colis-mondial.vbs <==== ATTENTION
HKU\S-1-5-21-1474477564-1302819271-2465582257-1001\...\Run: [8YQFWU8D2S] => "C:\Users\Acrobaz\AppData\Local\Temp\colis-mondial.vbs" <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur

2)


Pour te protéger des infections amovibles type Wscript (Windows Script Host) et virus sur clé usb.
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host puis modifier pour prendre en compte les modifications.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).

[Acrobaz]

Merci !
cela a presque fonctionné
La fenêtre pop up n'apparait plus (celle qui me dis que le fichier colis-mondial.vbs est manquant)
En revanche, l'autre fênetre apparait toujours au démarrage, celle du fichier vbs que je n'ai pas réussi à trouver à la base :

"Fichier ouvert - Avertissement de sécurité "

il me demande si je veux ouvrir ce fichier : colis-mondial.vbs (un autre, même s'il porte le même nom. Le chemin d'accès est différent mais quand jy vais je ne le trouve pas....) Cette fenêtre la il me suffit de dire annuler et le script se lance pas. Mais au prochain démarrage cela va apparaitre.

voici le contenu du fichier FixLog créer après la procédure :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 16-08-2017
Exécuté par Acrobaz (17-08-2017 16:49:44) Run:1
Exécuté depuis C:\Users\Acrobaz\Desktop
Profils chargés: Acrobaz (Profils disponibles: defaultuser0 & Acrobaz)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
Task: {9B1E5958-9FE0-4536-A167-A58569D2230B} - System32\Tasks\Skype => C:\Users\Acrobaz\AppData\Local\Temp\colis-mondial.vbs <==== ATTENTION
HKU\S-1-5-21-1474477564-1302819271-2465582257-1001\...\Run: [8YQFWU8D2S] => "C:\Users\Acrobaz\AppData\Local\Temp\colis-mondial.vbs" <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
*****************

Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{9B1E5958-9FE0-4536-A167-A58569D2230B} => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9B1E5958-9FE0-4536-A167-A58569D2230B} => clé supprimé(es) avec succès
C:\Windows\System32\Tasks\Skype => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Skype => clé supprimé(es) avec succès
HKU\S-1-5-21-1474477564-1302819271-2465582257-1001\Software\Microsoft\Windows\CurrentVersion\Run\\8YQFWU8D2S => valeur supprimé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

HKU\S-1-5-21-1474477564-1302819271-2465582257-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-1474477564-1302819271-2465582257-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 53818647 B
Java, Flash, Steam htmlcache => 265050089 B
Windows/system/drivers => 42717731 B
Edge => 139082340 B
Chrome => 870217497 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 128 B
systemprofile32 => 128 B
LocalService => 0 B
NetworkService => 246646 B
defaultuser0 => 128 B
Acrobaz => 401696928 B

RecycleBin => 102231 B
EmptyTemp: => 1.7 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 16:50:26 ====


Merci de votre aide !

[Acrobaz]

ah oui je précise que j'ai installé et paramétrer Marmiton mais ça n'a pas bloquer la demande d'ouverture du fichier.

[angelique]

Bonjour,


Une ligne de correction a été oubliée.

• Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer➫notepad)
  Copie/colle dedans ce qui suit :
  
  

  Code : Tout sélectionner

  Startup: C:\Users\Acrobaz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\colis-mondial.vbs [2017-07-04] ()
  Task: {9B1E5958-9FE0-4536-A167-A58569D2230B} - System32\Tasks\Skype => C:\Users\Acrobaz\AppData\Local\Temp\colis-mondial.vbs <==== ATTENTION
  HKU\S-1-5-21-1474477564-1302819271-2465582257-1001\...\Run: [8YQFWU8D2S] => "C:\Users\Acrobaz\AppData\Local\Temp\colis-mondial.vbs" <==== ATTENTION
  EmptyTemp:
  
  

• Menu Fichier / Enregistrer-sous
  Place toi sur le bureau.
  Dans le champs en bas, nom du fichier mets : fixlist.txt
  Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe
  Sous Vista, Windows 7, 8,10, etc.... il faut lancer le fichier par clic-droit ➫ Exécuter en tant qu'administrateur
  Sur le menu principal, clique une seule fois sur Corriger/Fix et patiente le temps de la correction
  
  
  Un redémarrage peut être nécessaire (pas obligatoire).
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse avec ton commentaire si c'est mieux !

[Acrobaz]

Super tout est OK ! merci beaucoup !!

voici le contenu de mon FixLog :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 17-08-2017
Exécuté par Acrobaz (18-08-2017 10:16:24) Run:2
Exécuté depuis C:\Users\Acrobaz\Desktop
Profils chargés: Acrobaz (Profils disponibles: defaultuser0 & Acrobaz)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Startup: C:\Users\Acrobaz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\colis-mondial.vbs [2017-07-04] ()
Task: {9B1E5958-9FE0-4536-A167-A58569D2230B} - System32\Tasks\Skype => C:\Users\Acrobaz\AppData\Local\Temp\colis-mondial.vbs <==== ATTENTION
HKU\S-1-5-21-1474477564-1302819271-2465582257-1001\...\Run: [8YQFWU8D2S] => "C:\Users\Acrobaz\AppData\Local\Temp\colis-mondial.vbs" <==== ATTENTION
EmptyTemp:

*****************

C:\Users\Acrobaz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\colis-mondial.vbs => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9B1E5958-9FE0-4536-A167-A58569D2230B} => clé non trouvé(e).
C:\Windows\System32\Tasks\Skype => non trouvé(e).
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Skype => clé non trouvé(e).
HKU\S-1-5-21-1474477564-1302819271-2465582257-1001\Software\Microsoft\Windows\CurrentVersion\Run\\8YQFWU8D2S => valeur non trouvé(e).

=========== EmptyTemp: ==========

BITS transfer queue => 32768 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 15837185 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 1809348 B
Edge => 0 B
Chrome => 72011414 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 128 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 0 B
defaultuser0 => 0 B
Acrobaz => 6473092 B

RecycleBin => 0 B
EmptyTemp: => 91.7 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 10:16:26 ====

merci encore !

[Malekal_morte]

Mets bien Marmiton =)