Windows Script Host => Mondial relay

[gege77]

bonjour,

j'ai une fenetre qui s'ouvre et reste a l'ecran tout le temps. si je clic pour la fermer, elle reapparait 15 sec apres.

j'ai fait un frst en lien les trois fichiers d'analyses.

https://pjjoint.malekal.com/files.php?i ... 5d10o15w14
https://pjjoint.malekal.com/files.php?i ... 10w8n9t8x8
https://pjjoint.malekal.com/files.php?i ... 3f10l12j15


merci pour votre aide

[angelique]

Bonjour/Bonsoir

• Télécharge à coté de FRST.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.
  
  Relance FRST(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
  Un redémarrage peut être nécessaire (pas obligatoire).
  Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

[gege77]

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 10.02.2018 02
Exécuté par GEGE-MUMU (12-02-2018 11:44:20) Run:1
Exécuté depuis C:\Users\GEGE-MUMU\Desktop\FRST64
Profils chargés: GEGE-MUMU & mumu (Profils disponibles: GEGE-MUMU & mumu & Invité)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Task: {07734030-E79B-4B9D-9E9A-042423FEA057} - System32\Tasks\{99054FCE-0367-48A5-9344-159378EA021B} => C:\Windows\system32\pcalua.exe -a C:\Users\GEGE-MUMU\AppData\Roaming\webssearches\UninstallManager.exe -c -ptid=tugs <==== ATTENTION
Task: {158EB9C2-2D44-4B59-8D1B-1D602A4057FF} - System32\Tasks\Driver Booster SkipUAC (GEGE-MUMU) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
Task: {A0CFCA8C-3A1C-47D0-817D-6103DEBC0A12} - \WPD\SqmUpload_S-1-5-21-2728460480-2746853882-70625037-1004 -> Pas de fichier <==== ATTENTION
Task: {EDE9DAD4-CAFA-4726-A489-DB64774A133A} - System32\Tasks\Skype => C:\Users\GEGE-MUMU\AppData\Roaming\Mondial-Relay-suivi.vbs
GroupPolicy: Restriction <==== ATTENTION
BHO: Pas de nom -> {3785D0AD-BFFF-47F6-BF5B-A587C162FED9} -> Pas de fichier
2018-01-27 13:36 - 2017-12-08 10:03 - 000002166 _____ C:\WINDOWS\System32\Tasks\{9E56DDA1-F295-4444-9E1B-35C377EEC4D9}
2018-01-27 13:36 - 2017-12-08 10:03 - 000002114 _____ C:\WINDOWS\System32\Tasks\{4BF3603C-8E8C-4165-A3D4-D0B9F3650A56}
2018-01-27 13:36 - 2017-12-08 10:03 - 000002096 _____ C:\WINDOWS\System32\Tasks\{99054FCE-0367-48A5-9344-159378EA021B}
2018-01-27 13:36 - 2017-12-08 10:03 - 000002038 _____ C:\WINDOWS\System32\Tasks\{E40F7FF5-EB07-4D0B-884B-E4C9D3387020}
C:\Users\GEGE-MUMU\AppData\Roaming\Mondial-Relay-suivi.vbs
C:\Program Files (x86)\IObit
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Wondershare Helper Compact.exe" /f
Reg: reg delete HKU\S-1-5-21-2728460480-2746853882-70625037-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "DriverBoost" /f
EmptyTemp:

*****************

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{07734030-E79B-4B9D-9E9A-042423FEA057} => impossible à supprimer clé. ErrorCode1: 0x00000002
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{07734030-E79B-4B9D-9E9A-042423FEA057} => impossible à supprimer clé. ErrorCode1: 0x00000002
C:\WINDOWS\System32\Tasks\{99054FCE-0367-48A5-9344-159378EA021B} => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{99054FCE-0367-48A5-9344-159378EA021B} => impossible à supprimer clé. ErrorCode1: 0x00000002
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{158EB9C2-2D44-4B59-8D1B-1D602A4057FF} => impossible à supprimer clé. ErrorCode1: 0x00000002
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{158EB9C2-2D44-4B59-8D1B-1D602A4057FF} => impossible à supprimer clé. ErrorCode1: 0x00000002
C:\WINDOWS\System32\Tasks\Driver Booster SkipUAC (GEGE-MUMU) => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Driver Booster SkipUAC (GEGE-MUMU) => impossible à supprimer clé. ErrorCode1: 0x00000002
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{A0CFCA8C-3A1C-47D0-817D-6103DEBC0A12} => impossible à supprimer clé. ErrorCode1: 0x00000002
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A0CFCA8C-3A1C-47D0-817D-6103DEBC0A12} => impossible à supprimer clé. ErrorCode1: 0x00000002
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WPD\SqmUpload_S-1-5-21-2728460480-2746853882-70625037-1004 => impossible à supprimer clé. ErrorCode1: 0x00000002
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{EDE9DAD4-CAFA-4726-A489-DB64774A133A} => impossible à supprimer clé. ErrorCode1: 0x00000002
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EDE9DAD4-CAFA-4726-A489-DB64774A133A} => impossible à supprimer clé. ErrorCode1: 0x00000002
C:\WINDOWS\System32\Tasks\Skype => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Skype => impossible à supprimer clé. ErrorCode1: 0x00000002
C:\WINDOWS\system32\GroupPolicy\Machine => déplacé(es) avec succès
C:\WINDOWS\system32\GroupPolicy\GPT.ini => déplacé(es) avec succès
C:\WINDOWS\SysWOW64\GroupPolicy\GPT.ini => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3785D0AD-BFFF-47F6-BF5B-A587C162FED9}" => supprimé(es) avec succès
HKLM\Software\Classes\CLSID\{3785D0AD-BFFF-47F6-BF5B-A587C162FED9} => clé non trouvé(e)
C:\WINDOWS\System32\Tasks\{9E56DDA1-F295-4444-9E1B-35C377EEC4D9} => déplacé(es) avec succès
C:\WINDOWS\System32\Tasks\{4BF3603C-8E8C-4165-A3D4-D0B9F3650A56} => déplacé(es) avec succès
"C:\WINDOWS\System32\Tasks\{99054FCE-0367-48A5-9344-159378EA021B}" => non trouvé(e)
C:\WINDOWS\System32\Tasks\{E40F7FF5-EB07-4D0B-884B-E4C9D3387020} => déplacé(es) avec succès
"C:\Users\GEGE-MUMU\AppData\Roaming\Mondial-Relay-suivi.vbs" => non trouvé(e)
C:\Program Files (x86)\IObit => déplacé(es) avec succès

========= reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Wondershare Helper Compact.exe" /f =========

L'op‚ration a r‚ussi.


========= Fin de Reg: =========


========= reg delete HKU\S-1-5-21-2728460480-2746853882-70625037-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "DriverBoost" /f =========

L'op‚ration a r‚ussi.


========= Fin de Reg: =========


=========== EmptyTemp: ==========

BITS transfer queue => 9199616 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 40210032 B
Java, Flash, Steam htmlcache => 828 B
Windows/system/drivers => 82668628 B
Edge => 8987218 B
Chrome => 809504819 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 4994 B
NetworkService => 139644176 B
GEGE-MUMU => 39554747 B
mumu => 27556047 B
Invité => 12350 B

RecycleBin => 43839821 B
EmptyTemp: => 1.1 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 11:44:37 ====

[angelique]

Mieux ?

[gege77]

re,

non

toujours pareil la fenetre reapparait quelques sec apres avoir ete ferme.

a quoi ca correspond se truc au fait ?

[angelique]

c'est une tâche planifiée Task: {EDE9DAD4-CAFA-4726-A489-DB64774A133A} - System32\Tasks\Skype => C:\Users\GEGE-MUMU\AppData\Roaming\Mondial-Relay-suivi.vbs et effectivement elle n'a pas été supprimée partout

Refait de nouveau un rapport frst.txt et addition.txt

[gege77]

merci voila es deux nouveaux

https://pjjoint.malekal.com/files.php?i ... g15z13u9f9
https://pjjoint.malekal.com/files.php?i ... 1o14g13s12

et concretement ça sert a quoi ? le task skype ?

merci

[angelique]

c'est une ligne pourrie, une tache planifiée dans le registre, mais le fichier infecté n'est plus présent.

• Télécharge à coté de FRST.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.
  
  Relance FRST(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
  Un redémarrage peut être nécessaire (pas obligatoire).
  Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

[gege77]

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 10.02.2018 02
Exécuté par GEGE-MUMU (12-02-2018 13:55:34) Run:2
Exécuté depuis C:\Users\GEGE-MUMU\Desktop\FRST64
Profils chargés: GEGE-MUMU (Profils disponibles: GEGE-MUMU & mumu & Invité)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Task: {07734030-E79B-4B9D-9E9A-042423FEA057} - \{99054FCE-0367-48A5-9344-159378EA021B} -> Pas de fichier <==== ATTENTION
Task: {158EB9C2-2D44-4B59-8D1B-1D602A4057FF} - \Driver Booster SkipUAC (GEGE-MUMU) -> Pas de fichier <==== ATTENTION
Task: {1FAF42C6-2240-42D9-8A09-024DB07B711F} - \WPD\SqmUpload_S-1-5-21-2728460480-2746853882-70625037-1001 -> Pas de fichier <==== ATTENTION
Task: {533E88EE-E049-42E3-9A9A-9C2EACA2F21F} - \{4BF3603C-8E8C-4165-A3D4-D0B9F3650A56} -> Pas de fichier <==== ATTENTION
Task: {6E900533-C9E6-4DBC-9534-B07E2C4F60B8} - \{E40F7FF5-EB07-4D0B-884B-E4C9D3387020} -> Pas de fichier <==== ATTENTION
Task: {EDE9DAD4-CAFA-4726-A489-DB64774A133A} - \Skype -> Pas de fichier <==== ATTENTION
Task: {F2176022-E527-4E2D-ABC3-BDFD32984A60} - \{9E56DDA1-F295-4444-9E1B-35C377EEC4D9} -> Pas de fichier <==== ATTENTION
REG: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{EDE9DAD4-CAFA-4726-A489-DB64774A133A}" /f
REG: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EDE9DAD4-CAFA-4726-A489-DB64774A133A}" /f
REG: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{A0CFCA8C-3A1C-47D0-817D-6103DEBC0A12}" /f
REG: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A0CFCA8C-3A1C-47D0-817D-6103DEBC0A12}" /f
REG: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Skype" /f
EmptyTemp:

*****************

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{07734030-E79B-4B9D-9E9A-042423FEA057}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{07734030-E79B-4B9D-9E9A-042423FEA057}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{99054FCE-0367-48A5-9344-159378EA021B}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{158EB9C2-2D44-4B59-8D1B-1D602A4057FF}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{158EB9C2-2D44-4B59-8D1B-1D602A4057FF}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Driver Booster SkipUAC (GEGE-MUMU)" => supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{1FAF42C6-2240-42D9-8A09-024DB07B711F} => impossible à supprimer clé. ErrorCode1: 0x00000002
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1FAF42C6-2240-42D9-8A09-024DB07B711F} => impossible à supprimer clé. ErrorCode1: 0x00000002
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WPD\SqmUpload_S-1-5-21-2728460480-2746853882-70625037-1001 => impossible à supprimer clé. ErrorCode1: 0x00000002
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{533E88EE-E049-42E3-9A9A-9C2EACA2F21F} => impossible à supprimer clé. ErrorCode1: 0x00000002
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{533E88EE-E049-42E3-9A9A-9C2EACA2F21F} => impossible à supprimer clé. ErrorCode1: 0x00000002
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{4BF3603C-8E8C-4165-A3D4-D0B9F3650A56} => impossible à supprimer clé. ErrorCode1: 0x00000002
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{6E900533-C9E6-4DBC-9534-B07E2C4F60B8} => impossible à supprimer clé. ErrorCode1: 0x00000002
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6E900533-C9E6-4DBC-9534-B07E2C4F60B8} => impossible à supprimer clé. ErrorCode1: 0x00000002
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{E40F7FF5-EB07-4D0B-884B-E4C9D3387020} => impossible à supprimer clé. ErrorCode1: 0x00000002
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{EDE9DAD4-CAFA-4726-A489-DB64774A133A}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EDE9DAD4-CAFA-4726-A489-DB64774A133A}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Skype" => supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{F2176022-E527-4E2D-ABC3-BDFD32984A60} => impossible à supprimer clé. ErrorCode1: 0x00000002
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F2176022-E527-4E2D-ABC3-BDFD32984A60} => impossible à supprimer clé. ErrorCode1: 0x00000002
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{9E56DDA1-F295-4444-9E1B-35C377EEC4D9} => impossible à supprimer clé. ErrorCode1: 0x00000002

========= reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{EDE9DAD4-CAFA-4726-A489-DB64774A133A}" /f =========

Erreurÿ: Erreurÿ: le systŠme n'a pas trouv‚ la cl‚ ou la valeur de Registre sp‚cifi‚e.


========= Fin de Reg: =========


========= reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EDE9DAD4-CAFA-4726-A489-DB64774A133A}" /f =========

Erreurÿ: Erreurÿ: le systŠme n'a pas trouv‚ la cl‚ ou la valeur de Registre sp‚cifi‚e.


========= Fin de Reg: =========


========= reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{A0CFCA8C-3A1C-47D0-817D-6103DEBC0A12}" /f =========

L'op‚ration a r‚ussi.


========= Fin de Reg: =========


========= reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A0CFCA8C-3A1C-47D0-817D-6103DEBC0A12}" /f =========

L'op‚ration a r‚ussi.


========= Fin de Reg: =========


========= reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Skype" /f =========

Erreurÿ: Erreurÿ: le systŠme n'a pas trouv‚ la cl‚ ou la valeur de Registre sp‚cifi‚e.


========= Fin de Reg: =========


=========== EmptyTemp: ==========

BITS transfer queue => 9199616 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 8470952 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 0 B
Edge => 0 B
Chrome => 206071091 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 834 B
NetworkService => 0 B
GEGE-MUMU => 6263543 B
mumu => 0 B
Invité => 0 B

RecycleBin => 0 B
EmptyTemp: => 219.4 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 13:55:41 ====







merci pour tout, pour le moment la fenetre n'est pas reapparu.

MalEkAL

[angelique]

supprime alors frst, ses rapports et c:\FRST