Windows Script Host smss-DoOoMs.vbs

[lucasdpt]

Bonjour,

je possède le même problème sauf que c'est uniquement lorsque je branche mon pc portable sur secteur que ce message apparaît :

erreur-script-smss-DoOoMs-vbs.png

De plus, je ne sais pas si ça a un lien ou pas, mais mon OneDrive ne se synchronise plus, c'est à dire qu'il y a des crois rouges partout :

erreur-onedrive.png

Il m'est aussi impossible d'avoir accès aux propriétés de mes disques internes et externes :

proprietes-elements-peuvent-etre-affiches.png

Merci d'avance pour votre aide précieuse; voici mon analyse :

- FRST : https://pjjoint.malekal.com/files.php?i ... 12w15d9j13
- Addition : https://pjjoint.malekal.com/files.php?i ... 3x15k15p12
- Shortcut : https://pjjoint.malekal.com/files.php?i ... 5j15v15w11

[angelique]

Bonjour/Bonsoir

• Télécharge à coté de FRST.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.
  
  Relance FRST(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
  Un redémarrage peut être nécessaire (pas obligatoire).
  Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

Désinstalle par Programmes et fonctionnalités:

IObit Uninstaller (HKLM-x32\...\IObitUninstall) (Version: 7.4.0.8 - IObit)

[lucasdpt]

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 02.08.2018
Exécuté par lucas (13-08-2018 11:57:45) Run:1
Exécuté depuis C:\Users\lucas\OneDrive\Bureau
Profils chargés: lucas (Profils disponibles: lucas)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
Task: {0936cd24-7b83-496a-bf44-e1ae7c05ad95} - pas de chemin du fichier
Task: {343bd180-7eab-4ca3-a244-86f76872097e} - pas de chemin du fichier
Task: {345DD273-7C1C-4790-B51F-70CF02E7E4B7} - System32\Tasks\Update\ObjectFunctionMatrix => cmd /c type "C:\Users\lucas\AppData\Local\Temp\ObjectFunctionMatrix.txt" | cmd <==== ATTENTION
Task: {4d4ab45a-6ab4-40da-9ab1-c705bc277183} - pas de chemin du fichier
Task: {6f951815-fd1b-4994-812f-d990bea43bbe} - pas de chemin du fichier
Task: {8D1F6C87-DF28-4235-A89A-D91AE469542D} - System32\Tasks\Update\AirBundle => cmd /c type "C:\Users\lucas\AppData\Local\Temp\AirBundle.txt" | cmd <==== ATTENTION
Task: {9874B122-5579-4FDB-94C2-47B4575CC56D} - System32\Tasks\smss-DoOoM.vbe => C:\Users\lucas\AppData\Local\Temp\System\smss-DoOoMs.vbs <==== ATTENTION
Task: {A8C1B33E-AAC4-43DC-871B-26CC66FB27E9} - System32\Tasks\Update\SoundModule => cmd /c type "C:\Users\lucas\AppData\Local\Temp\SoundModule.txt" | cmd <==== ATTENTION
Task: {c31240e3-0c50-46d1-ae94-dbbe08f947e5} - pas de chemin du fichier
Task: {d263193c-d0a4-45fe-aaca-e29b2d9c1dd1} - pas de chemin du fichier
Task: {d499a8de-bc07-4eae-bf9d-b6c37868d9f1} - pas de chemin du fichier
Task: {e6135e71-643b-41f2-bc8b-3bc302fa2760} - pas de chemin du fichier
Task: {f70d262a-8f5f-49ee-9b5b-e0e3c684c3a1} - pas de chemin du fichier
HKLM\...\Winlogon: [Userinit] C:\Windows\system32\userinit.exe,wscript.exe //B "C:\Users\lucas\AppData\Local\Temp\System\smss-DoOoMs.vbs"
HKLM\...\Winlogon: [Shell] explorer.exe, wscript.exe //B "C:\Users\lucas\AppData\Local\Temp\System\smss-DoOoMs.vbs"
HKLM-x32\...\Winlogon: [Shell] explorer.exe, wscript.exe //B "C:\Users\lucas\AppData\Local\Temp\System\smss-DoOoMs.vbs" [ ] () <=== ATTENTION
R2 PaceLicenseDServices; "C:\Program Files (x86)\Common Files\PACE\Services\LicenseServices\LDSvc.exe" -u https://activation.paceap.com/InitiateActivation [X] <==== ATTENTION
2018-05-19 16:48 - 2018-05-19 16:50 - 000000000 ____D C:\UsbFix
C:\Users\lucas\AppData\Local\Temp\System
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "smss-DoOoM" /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "smss-DoOoMs" /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "smss-DoOoM" /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "smss-DoOoMs" /f
Reg: reg delete HKU\S-1-5-21-529585173-629911584-1269844608-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "smss-DoOoM" /f
Reg: reg delete HKU\S-1-5-21-529585173-629911584-1269844608-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "smss-DoOoMs" /f
Hosts:
EmptyTemp:

*****************

Erreur: (0) Impossible de créer un point de restauration.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0936cd24-7b83-496a-bf44-e1ae7c05ad95}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{343bd180-7eab-4ca3-a244-86f76872097e}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{345DD273-7C1C-4790-B51F-70CF02E7E4B7}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{345DD273-7C1C-4790-B51F-70CF02E7E4B7}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\Update\ObjectFunctionMatrix => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Update\ObjectFunctionMatrix" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{4d4ab45a-6ab4-40da-9ab1-c705bc277183}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6f951815-fd1b-4994-812f-d990bea43bbe}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{8D1F6C87-DF28-4235-A89A-D91AE469542D}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8D1F6C87-DF28-4235-A89A-D91AE469542D}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\Update\AirBundle => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Update\AirBundle" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{9874B122-5579-4FDB-94C2-47B4575CC56D}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9874B122-5579-4FDB-94C2-47B4575CC56D}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\smss-DoOoM.vbe => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\smss-DoOoM.vbe" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{A8C1B33E-AAC4-43DC-871B-26CC66FB27E9}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A8C1B33E-AAC4-43DC-871B-26CC66FB27E9}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\Update\SoundModule => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Update\SoundModule" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{c31240e3-0c50-46d1-ae94-dbbe08f947e5}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{d263193c-d0a4-45fe-aaca-e29b2d9c1dd1}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{d499a8de-bc07-4eae-bf9d-b6c37868d9f1}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{e6135e71-643b-41f2-bc8b-3bc302fa2760}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{f70d262a-8f5f-49ee-9b5b-e0e3c684c3a1}" => supprimé(es) avec succès
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Userinit => valeur restauré(es) avec succès
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => valeur restauré(es) avec succès
HKLM\Software\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => valeur restauré(es) avec succès
PaceLicenseDServices => Impossible d'arrêter le service.
"HKLM\System\CurrentControlSet\Services\PaceLicenseDServices" => supprimé(es) avec succès
PaceLicenseDServices => service supprimé(es) avec succès
C:\UsbFix => déplacé(es) avec succès
"C:\Users\lucas\AppData\Local\Temp\System" => non trouvé(e)

========= reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "smss-DoOoM" /f =========

L'op‚ration a r‚ussi.



========= Fin de Reg: =========


========= reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "smss-DoOoMs" /f =========

L'op‚ration a r‚ussi.



========= Fin de Reg: =========


========= reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "smss-DoOoM" /f =========

L'op‚ration a r‚ussi.



========= Fin de Reg: =========


========= reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "smss-DoOoMs" /f =========

L'op‚ration a r‚ussi.



========= Fin de Reg: =========


========= reg delete HKU\S-1-5-21-529585173-629911584-1269844608-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "smss-DoOoM" /f =========

L'op‚ration a r‚ussi.



========= Fin de Reg: =========


========= reg delete HKU\S-1-5-21-529585173-629911584-1269844608-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "smss-DoOoMs" /f =========

L'op‚ration a r‚ussi.



========= Fin de Reg: =========

C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

=========== EmptyTemp: ==========

BITS transfer queue => 10510336 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 145832582 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 3347426 B
Edge => 1652979 B
Chrome => 453832638 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 0 B
LocalService => 0 B
NetworkService => 224508 B
NetworkService => 0 B
lucas => 410877795 B

RecycleBin => 0 B
EmptyTemp: => 978.7 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 11:58:49 ====

[Malekal_morte]

Salut,

Pour te protéger des infections amovibles type Wscript (Windows Script Host) et virus sur clé usb.
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host puis modifier pour prendre en compte les modifications.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).

Refais un scan FRST et donne les liens des rapports en nouvelle réponse.

[lucasdpt]

Voici mon analyse :

FRST : https://pjjoint.malekal.com/files.php?i ... i12o9t6r13

Addition : https://pjjoint.malekal.com/files.php?i ... m12u6q10b7

[Malekal_morte]

ok c'est good, l'ordinateur n'est plus infecté.


Pour nettoyer les disques amovibles infecté par un virus par clé USB, suivre dans l'ordre les étapes du tutoriel : insère un à un tes clefs USB et disques durs externes que tu as pour les nettoyer. Envoie ensuite les rapports sur https://pjjoint.malekal.com/ et donne les liens menant à ces rapports pour que l'on puisse les consulter.

1°) Remediate VBS Worm

1°) Brancher toutes les clefs USB et autres périphériques amovibles.
* Télécharger Remediate VBS Worm
* Lance Remediate VBS Worm puis choisis l'option B
* Taper la lettre de la clef USB, par exemple, E et entrée
ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR !
* Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.
Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.

[lucasdpt]

Code : Tout sélectionner

Rem-VBSworm v8.0

=========== - General info:

Running under: lucas on profile: C:\Users\lucas
Computer name: DESKTOP-IVU1NQQ

Operating System:
Microsoft Windows 10 Famille  

Boot Mode:
Normal boot  

Antivirus software installed:
Windows Defender  


Executed on: 14/08/2018 @ 11:48:33,03

=========== - Drive info:

Listing currently attached drives:
Caption  Description         VolumeName   

C:       Disque mont‚ local  OS           

D:       Disque mont‚ local               

E:       Disque amovible                  

F:       Disque mont‚ local  TOSHIBA EXT  

G:       Disque amovible     ESD-USB      

H:       Disque amovible                  

I:       Disque amovible     LEXAR        




Physical drives information:
C: \Device\HarddiskVolume3 NTFS
D: \Device\HarddiskVolume8 NTFS
F: \Device\HarddiskVolume9 NTFS
E: \Device\HarddiskVolume10 FAT
G: \Device\HarddiskVolume11 FAT
H: \Device\HarddiskVolume12 FAT
I: \Device\HarddiskVolume13 FAT

=========== - Disinfection info:


=========== - USB drive info:

F: selected

USB Device ID:
USBSTOR\DISK&VEN_SANDISK&PROD_CRUZER&REV_1.00\20054859830F3CA22D19&0    

USBSTOR\DISK&VEN_TOSHIBA&PROD_EXTERNAL_USB_3.0&REV_0\20170124001644F&0  

SCSI\DISK&VEN_SANDISK&PROD_X400\4&2F04065F&0&000000                     

SCSI\DISK&VEN_ST1000LM&PROD_035-1RK172\4&2F04065F&0&000100              

USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07\DA5C38A1&0            

USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.00\9EE429B0&0            

USBSTOR\DISK&VEN_LEXAR&PROD_JUMPDRIVE&REV_1100\AA803AUXUEAWTYA4&0       




WARNING... Possible Andromeda/Gamarue infection...
Listing root contents of F:
 Le volume dans le lecteur F s'appelle TOSHIBA EXT
 Le num‚ro de s‚rie du volume est 96AB-CA62

 R‚pertoire de F:\

18/03/2014  11:49           113ÿ444 Snare Drum 020 Exclusive.wav
18/03/2014  11:56            15ÿ986 Snare Drum 009 MC38 808.wav
13/03/2016  14:06            49ÿ104 Shaker.wav
05/04/2017  14:45            22ÿ562 Hat Basic.wav
05/04/2017  14:45            81ÿ098 Clap Basic.wav
06/05/2017  04:43           117ÿ950 DDWV HAT 5.wav
06/05/2017  04:44           496ÿ990 DDW4 808 3.wav
06/05/2017  04:44            80ÿ894 DDW4 KICK 3.wav
06/05/2017  04:44           238ÿ230 DDW4 PERC 5.wav
06/05/2017  04:45           223ÿ926 DDW2 CLAP 2.wav
06/05/2017  04:46           197ÿ758 DDW Open Hat 1.wav
06/05/2017  04:46           241ÿ046 DDW Open Hat 2.wav
18/07/2018  03:23    <DIR>          (D) WAV
18/07/2018  03:34    <DIR>          (D) WAV&MIDI
18/07/2018  04:00    <DIR>          (D) Drum Kits
18/07/2018  04:01    <DIR>          (D) MIDI
18/07/2018  13:11    <DIR>          Omnisphere banks
21/07/2018  23:39    <DIR>          (D) WORLD
21/07/2018  23:48    <DIR>          (D) Free&Reddit
22/07/2018  00:13    <DIR>          (D) The Drum Broker
23/07/2018  00:20    <DIR>          (D) MIDI CHORDS
23/07/2018  00:20    <DIR>          (D) MIDI SCALES
24/07/2018  21:01    <DIR>          $RECYCLE.BIN
24/07/2018  22:07        13ÿ735ÿ710 flute vinyl_2.wav
24/07/2018  22:49               178 midi 808 viska.mid
24/07/2018  22:50           671ÿ219 flute vinyl.flp
24/07/2018  22:50         1ÿ465ÿ493 tout.zip
24/07/2018  22:58               381 midi drums viska.mid
14/08/2018  11:44    <DIR>          Autorun.inf
              17 fichier(s)       17ÿ751ÿ969 octets
              12 R‚p(s)  748ÿ241ÿ453ÿ056 octets libres

USB drive disinfected and files unhidden!!


=========== - USB drive info:

H: selected

USB Device ID:
USBSTOR\DISK&VEN_SANDISK&PROD_CRUZER&REV_1.00\20054859830F3CA22D19&0    

USBSTOR\DISK&VEN_TOSHIBA&PROD_EXTERNAL_USB_3.0&REV_0\20170124001644F&0  

SCSI\DISK&VEN_SANDISK&PROD_X400\4&2F04065F&0&000000                     

SCSI\DISK&VEN_ST1000LM&PROD_035-1RK172\4&2F04065F&0&000100              

USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07\DA5C38A1&0            

USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.00\9EE429B0&0            

USBSTOR\DISK&VEN_LEXAR&PROD_JUMPDRIVE&REV_1100\AA803AUXUEAWTYA4&0       




WARNING... Possible Andromeda/Gamarue infection...
Listing root contents of H:
 Le volume dans le lecteur H n'a pas de nom.
 Le num‚ro de s‚rie du volume est F0E0-9BDA

 R‚pertoire de H:\

21/10/2017  01:38    <DIR>          Panneau
21/10/2017  22:07    <DIR>          HACK
14/08/2018  11:45    <DIR>          Autorun.inf
               0 fichier(s)                0 octets
               4 R‚p(s)   8ÿ457ÿ306ÿ112 octets libres

USB drive disinfected and files unhidden!!


=========== - USB drive info:

E: selected

USB Device ID:
USBSTOR\DISK&VEN_SANDISK&PROD_CRUZER&REV_1.00\20054859830F3CA22D19&0    

USBSTOR\DISK&VEN_TOSHIBA&PROD_EXTERNAL_USB_3.0&REV_0\20170124001644F&0  

SCSI\DISK&VEN_SANDISK&PROD_X400\4&2F04065F&0&000000                     

SCSI\DISK&VEN_ST1000LM&PROD_035-1RK172\4&2F04065F&0&000100              

USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07\DA5C38A1&0            

USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.00\9EE429B0&0            

USBSTOR\DISK&VEN_LEXAR&PROD_JUMPDRIVE&REV_1100\AA803AUXUEAWTYA4&0       




WARNING... Possible Andromeda/Gamarue infection...
Listing root contents of E:
 Le volume dans le lecteur E n'a pas de nom.
 Le num‚ro de s‚rie du volume est 006C-950E

 R‚pertoire de E:\

08/06/2018  22:50            33ÿ547 CONTACT.PNG
28/07/2018  19:16    <DIR>          lucas
14/08/2018  11:47    <DIR>          Autorun.inf
               1 fichier(s)           33ÿ547 octets
               3 R‚p(s)   1ÿ707ÿ212ÿ800 octets libres

USB drive disinfected and files unhidden!!


=========== - USB drive info:

G: selected

USB Device ID:
USBSTOR\DISK&VEN_SANDISK&PROD_CRUZER&REV_1.00\20054859830F3CA22D19&0    

USBSTOR\DISK&VEN_TOSHIBA&PROD_EXTERNAL_USB_3.0&REV_0\20170124001644F&0  

SCSI\DISK&VEN_SANDISK&PROD_X400\4&2F04065F&0&000000                     

SCSI\DISK&VEN_ST1000LM&PROD_035-1RK172\4&2F04065F&0&000100              

USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07\DA5C38A1&0            

USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.00\9EE429B0&0            

USBSTOR\DISK&VEN_LEXAR&PROD_JUMPDRIVE&REV_1100\AA803AUXUEAWTYA4&0       




WARNING... Possible Andromeda/Gamarue infection...
Listing root contents of G:
 Le volume dans le lecteur G s'appelle ESD-USB
 Le num‚ro de s‚rie du volume est EE71-066A

 R‚pertoire de G:\

29/09/2017  06:20           397ÿ752 bootmgr
29/09/2017  06:22            80ÿ696 setup.exe
29/09/2017  06:42         1ÿ236ÿ376 bootmgr.efi
22/04/2018  13:45    <DIR>          boot
22/04/2018  13:46    <DIR>          efi
22/04/2018  13:46    <DIR>          sources
22/04/2018  14:02    <DIR>          support
14/08/2018  11:47    <DIR>          Autorun.inf
               3 fichier(s)        1ÿ714ÿ824 octets
               6 R‚p(s)   3ÿ732ÿ705ÿ280 octets libres

USB drive disinfected and files unhidden!!


=========== - USB drive info:

I: selected

USB Device ID:
USBSTOR\DISK&VEN_SANDISK&PROD_CRUZER&REV_1.00\20054859830F3CA22D19&0    

USBSTOR\DISK&VEN_TOSHIBA&PROD_EXTERNAL_USB_3.0&REV_0\20170124001644F&0  

SCSI\DISK&VEN_SANDISK&PROD_X400\4&2F04065F&0&000000                     

SCSI\DISK&VEN_ST1000LM&PROD_035-1RK172\4&2F04065F&0&000100              

USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.07\DA5C38A1&0            

USBSTOR\DISK&VEN_GENERIC&PROD_FLASH_DISK&REV_8.00\9EE429B0&0            

USBSTOR\DISK&VEN_LEXAR&PROD_JUMPDRIVE&REV_1100\AA803AUXUEAWTYA4&0       




WARNING... Possible Andromeda/Gamarue infection...
Listing root contents of I:
 Le volume dans le lecteur I s'appelle LEXAR
 Le num‚ro de s‚rie du volume est 0AEC-C06D

 R‚pertoire de I:\

14/08/2018  11:48    <DIR>          Autorun.inf
               0 fichier(s)                0 octets
               2 R‚p(s)   4ÿ001ÿ341ÿ440 octets libres

USB drive disinfected and files unhidden!!


=====================================================
Scan finished at: 11:50:38,54
Send this log only if requested by a helper.
=====================================================

Made by @bartblaze
Tool to delete VBS autorun worm and unhide files
Quarantine folder on: C:\Rem-VBSqt
Info: https://bartblaze.blogspot.com/2014/02/remediate-vbs-malware.html

[Malekal_morte]

ok je pense que l'on a terminé,

Marmiton si WSH est désactivé va te protéger de ces menaces.

Tu peux supprimer le dossier C:\FRST =)

[lucasdpt]

J'ai plus le message concernant le fichier smss-DoOoMs.vbs en revanche j'ai toujours mes problèmes de synchronisation onedrive et de propriété de mes disques + il m'est impossible d'éjecter le moindre périphérique usb :

peripheriques-cours-utilisation.png

[Malekal_morte]

Faudrait être plus précis pour OneDrive.

Pour l'ejection, ça le fait avec toutes les méthodes de cette page et tout fermé ?
=> Comment retirer ou éjecter une clé USB sur Windows.

Sinon, teste avec ce programme pour voir : http://safelyremove.com/index.htm

[lucasdpt]

Oui rien d'ouvert pour n'importe quel support USB ... je regarde vos liens

[Malekal_morte]

Je viens de publier cet article : Impossible ou problème pour éjecter une clé USB ou disque dur externe.
D'après ce que j'ai pu voir, le gestionnaire de tâches peut causer ces problèmes d'éjection.

[lucasdpt]

Merci pour cet article, j'en ai profité pour en voir d'autre et en particulier celui qui s’intitule "Message et erreur « Les propriétés pour cet élément sont pas disponibles" que je suis en train de suivre. J'ai téléchargé Windows Repair comme indiqué mais après avoir cliqué sur "Open Repairs" voici le message qui m'est affiché :

windows-repair-erreur-safemode.png

Je voulais juste avoir votre point de vue sur celui-ci pour être sûr de bien comprendre son sens avant de confirmer
Merci beaucoup pour votre aide en tout cas depuis le début ;) ce site est merveilleux !

[Malekal_morte]

Tu peux le lancer, je pense.

[lucasdpt]

La première option est sans risque ? N'est-ce pas mieux si je choisie la seconde ?