Windows script host IDFR-disponible.vbs

[benjamin.louis]

Bonjour à vous, Ces derniers temps sur mon ordinateur j'ai cette fenêtre pop-up qui s'affiche :

erreur-windows-script-IDFR-disponible.vbs.png

J'ai installé marmiton pour désactiver windows script host et lancé un rapport FRST dont voici les fichiers
FRST.txt
Addition.txt
shortcut.txt

J'ai bien vu quelques lignes en rouge dans le fichier FRST sur le site pjjoint, mais par peur de faire des erreurs, je préfère venir demander ici ce que je dois mettre dans le fichier fixlist.txt.
Merci d'avance pour votre aide précieuse.

[Malekal_morte]

Salut,


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
 2018-08-06 19:56 - 2018-08-17 09:21 - 000020232 _____ C:\Users\Astrid\AppData\Roaming\DZFNNVDzqW.vbs
2018-08-06 19:56 - 2018-08-06 15:45 - 000055556 _____ C:\ProgramData\FZY7LGY4RM.vbs
2018-08-06 19:56 - 2018-08-06 09:35 - 000020166 _____ C:\Users\Astrid\AppData\Roaming\ZwqNTAAElP.vbs
2018-08-03 18:07 - 2018-08-03 18:07 - 000003580 _____ C:\WINDOWS\System32\Tasks\Skype 
Task: {04ADDB07-A2EC-4162-9A94-27B5B06AD970} - System32\Tasks\tssubventions-queenslandsubventions-queensland => C:\Program Files (x86)\renderers\snuffling.exe
Task: {1F59A9AE-80DA-4DD4-ADC0-6F15D8B0E1BD} - System32\Tasks\tspunisher_senatorialpunisher_senatorial => C:\Program Files (x86)\Demerit\kankakee.exe
Task: {55C7B5C7-8E43-4420-B309-0C64BD984AAA} - System32\Tasks\tsunfortified_cernyunfortified_cerny => C:\Users\Astrid\AppData\Local\snuffling.exe
Task: {56F2120D-7377-4EF5-B28A-FD87B8D73A84} - System32\Tasks\tsedvardedvard => C:\Program Files (x86)\Woodcut\kankakee.exe
Task: {AB60630F-FA56-4989-AC1A-228B00495717} - System32\Tasks\uZplBhTsNz0L => uzplbhtsnz0l.exe <==== ATTENTION
Task: {EF681EF8-3B9A-407D-8AE1-A3F2238C0A60} - System32\Tasks\tsgrottoes sparkler guerregrottoes sparkler guerre => C:\Users\Astrid\AppData\Local\kankakee.exe
Task: {F05F280B-ABB5-4A45-9994-59A140D53C9A} - System32\Tasks\Skype => C:\Users\Astrid\AppData\Roaming\IDFR-DISPONIBLE.vbs
 HKU\S-1-5-21-4162402486-4218502666-124231350-1001\...\Run: [5ML3BO4HP5] => C:\Users\Astrid\AppData\Roaming\IDFR-DISPONIBLE.vbs
HKU\S-1-5-21-4162402486-4218502666-124231350-1001\...\Run: [ZwqNTAAElP] => wscript.exe //B C:\Users\Astrid\AppData\Roaming\ZwqNTAAElP.vbs
HKU\S-1-5-21-4162402486-4218502666-124231350-1001\...\Run: [DZFNNVDzqW] => wscript.exe //B C:\Users\Astrid\AppData\Roaming\DZFNNVDzqW.vbs
HKU\S-1-5-21-4162402486-4218502666-124231350-1001\...\Run: [FZY7LGY4RM] => wscript.exe //B C:\ProgramData\FZY7LGY4RM.vbs <==== ATTENTION
Startup: C:\Users\Astrid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DZFNNVDzqW.vbs [2018-08-17] ()
Startup: C:\Users\Astrid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Facebook Gameroom.lnk [2018-05-26]
ShortcutTarget: Facebook Gameroom.lnk -> C:\Users\Astrid\AppData\Local\Facebook\Games\FacebookGameroom.exe (Facebook)
Startup: C:\Users\Astrid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FZY7LGY4RM.vbs [2018-08-06] ()
Startup: C:\Users\Astrid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ZwqNTAAElP.vbs [2018-08-06] () 
2018-08-06 19:56 - 2018-08-06 15:45 - 000055556 _____ () C:\ProgramData\FZY7LGY4RM.vbs
2018-08-06 19:56 - 2018-08-17 09:21 - 000020232 _____ () C:\Users\Astrid\AppData\Roaming\DZFNNVDzqW.vbs
2018-08-06 19:56 - 2018-08-06 09:35 - 000020166 _____ () C:\Users\Astrid\AppData\Roaming\ZwqNTAAElP.vbs
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)


~~

Pour te protéger des infections amovibles / virus par clé USB. type Wscript (Windows Script Host)

Télécharger-Marmiton

Marmiton

Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky.

~~


Pour nettoyer les disques amovibles infecté par un virus par clé USB, suivre dans l'ordre les étapes du tutoriel : insère un à un tes clefs USB et disques durs externes que tu as pour les nettoyer. Envoie ensuite les rapports sur https://pjjoint.malekal.com/ et donne les liens menant à ces rapports pour que l'on puisse les consulter.

Brancher toutes les clefs USB et autres périphériques amovibles.
* Télécharger Remediate VBS Worm
* Lance Remediate VBS Worm puis choisis l'option B
* Taper la lettre de la clef USB, par exemple, E et entrée
ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR !
* Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.
Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.

[benjamin.louis]

Merci pour le contenu du fixlist, voici ce qui est dans le fixlog :

Code : Tout sélectionner

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 19.08.2018 02
Exécuté par Astrid (20-08-2018 21:18:05) Run:1
Exécuté depuis C:\Users\Astrid\Desktop
Profils chargés: Astrid (Profils disponibles: Astrid)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
***************
CreateRestorePoint:
CloseProcesses:
 2018-08-06 19:56 - 2018-08-17 09:21 - 000020232 ___ C:\Users\Astrid\AppData\Roaming\DZFNNVDzqW.vbs
2018-08-06 19:56 - 2018-08-06 15:45 - 000055556 ___ C:\ProgramData\FZY7LGY4RM.vbs
2018-08-06 19:56 - 2018-08-06 09:35 - 000020166 ___ C:\Users\Astrid\AppData\Roaming\ZwqNTAAElP.vbs
2018-08-03 18:07 - 2018-08-03 18:07 - 000003580 ___ C:\WINDOWS\System32\Tasks\Skype 
Task: {04ADDB07-A2EC-4162-9A94-27B5B06AD970} - System32\Tasks\tssubventions-queenslandsubventions-queensland => C:\Program Files (x86)\renderers\snuffling.exe
Task: {1F59A9AE-80DA-4DD4-ADC0-6F15D8B0E1BD} - System32\Tasks\tspunisher_senatorialpunisher_senatorial => C:\Program Files (x86)\Demerit\kankakee.exe
Task: {55C7B5C7-8E43-4420-B309-0C64BD984AAA} - System32\Tasks\tsunfortified_cernyunfortified_cerny => C:\Users\Astrid\AppData\Local\snuffling.exe
Task: {56F2120D-7377-4EF5-B28A-FD87B8D73A84} - System32\Tasks\tsedvardedvard => C:\Program Files (x86)\Woodcut\kankakee.exe
Task: {AB60630F-FA56-4989-AC1A-228B00495717} - System32\Tasks\uZplBhTsNz0L => uzplbhtsnz0l.exe <==== ATTENTION
Task: {EF681EF8-3B9A-407D-8AE1-A3F2238C0A60} - System32\Tasks\tsgrottoes sparkler guerregrottoes sparkler guerre => C:\Users\Astrid\AppData\Local\kankakee.exe
Task: {F05F280B-ABB5-4A45-9994-59A140D53C9A} - System32\Tasks\Skype => C:\Users\Astrid\AppData\Roaming\IDFR-DISPONIBLE.vbs
 HKU\S-1-5-21-4162402486-4218502666-124231350-1001\...\Run: [5ML3BO4HP5] => C:\Users\Astrid\AppData\Roaming\IDFR-DISPONIBLE.vbs
HKU\S-1-5-21-4162402486-4218502666-124231350-1001\...\Run: [ZwqNTAAElP] => wscript.exe //B C:\Users\Astrid\AppData\Roaming\ZwqNTAAElP.vbs
HKU\S-1-5-21-4162402486-4218502666-124231350-1001\...\Run: [DZFNNVDzqW] => wscript.exe //B C:\Users\Astrid\AppData\Roaming\DZFNNVDzqW.vbs
HKU\S-1-5-21-4162402486-4218502666-124231350-1001\...\Run: [FZY7LGY4RM] => wscript.exe //B C:\ProgramData\FZY7LGY4RM.vbs <==== ATTENTION
Startup: C:\Users\Astrid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DZFNNVDzqW.vbs [2018-08-17] ()
Startup: C:\Users\Astrid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Facebook Gameroom.lnk [2018-05-26]
ShortcutTarget: Facebook Gameroom.lnk -> C:\Users\Astrid\AppData\Local\Facebook\Games\FacebookGameroom.exe (Facebook)
Startup: C:\Users\Astrid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FZY7LGY4RM.vbs [2018-08-06] ()
Startup: C:\Users\Astrid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ZwqNTAAElP.vbs [2018-08-06] () 
2018-08-06 19:56 - 2018-08-06 15:45 - 000055556 ___ () C:\ProgramData\FZY7LGY4RM.vbs
2018-08-06 19:56 - 2018-08-17 09:21 - 000020232 ___ () C:\Users\Astrid\AppData\Roaming\DZFNNVDzqW.vbs
2018-08-06 19:56 - 2018-08-06 09:35 - 000020166 ___ () C:\Users\Astrid\AppData\Roaming\ZwqNTAAElP.vbs
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
***************

Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
C:\Users\Astrid\AppData\Roaming\DZFNNVDzqW.vbs => déplacé(es) avec succès
C:\ProgramData\FZY7LGY4RM.vbs => déplacé(es) avec succès
C:\Users\Astrid\AppData\Roaming\ZwqNTAAElP.vbs => déplacé(es) avec succès
C:\WINDOWS\System32\Tasks\Skype => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{04ADDB07-A2EC-4162-9A94-27B5B06AD970}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{04ADDB07-A2EC-4162-9A94-27B5B06AD970}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\tssubventions-queenslandsubventions-queensland => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\tssubventions-queenslandsubventions-queensland" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{1F59A9AE-80DA-4DD4-ADC0-6F15D8B0E1BD}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1F59A9AE-80DA-4DD4-ADC0-6F15D8B0E1BD}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\tspunisher_senatorialpunisher_senatorial => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\tspunisher_senatorialpunisher_senatorial" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{55C7B5C7-8E43-4420-B309-0C64BD984AAA}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{55C7B5C7-8E43-4420-B309-0C64BD984AAA}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\tsunfortified_cernyunfortified_cerny => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\tsunfortified_cernyunfortified_cerny" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{56F2120D-7377-4EF5-B28A-FD87B8D73A84}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{56F2120D-7377-4EF5-B28A-FD87B8D73A84}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\tsedvardedvard => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\tsedvardedvard" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{AB60630F-FA56-4989-AC1A-228B00495717}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{AB60630F-FA56-4989-AC1A-228B00495717}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\uZplBhTsNz0L => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\uZplBhTsNz0L" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{EF681EF8-3B9A-407D-8AE1-A3F2238C0A60}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EF681EF8-3B9A-407D-8AE1-A3F2238C0A60}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\tsgrottoes sparkler guerregrottoes sparkler guerre => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\tsgrottoes sparkler guerregrottoes sparkler guerre" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{F05F280B-ABB5-4A45-9994-59A140D53C9A}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F05F280B-ABB5-4A45-9994-59A140D53C9A}" => supprimé(es) avec succès
"C:\WINDOWS\System32\Tasks\Skype" => non trouvé(e)
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Skype" => supprimé(es) avec succès
"HKU\S-1-5-21-4162402486-4218502666-124231350-1001\Software\Microsoft\Windows\CurrentVersion\Run\\5ML3BO4HP5" => supprimé(es) avec succès
"HKU\S-1-5-21-4162402486-4218502666-124231350-1001\Software\Microsoft\Windows\CurrentVersion\Run\\ZwqNTAAElP" => supprimé(es) avec succès
"HKU\S-1-5-21-4162402486-4218502666-124231350-1001\Software\Microsoft\Windows\CurrentVersion\Run\\DZFNNVDzqW" => supprimé(es) avec succès
"HKU\S-1-5-21-4162402486-4218502666-124231350-1001\Software\Microsoft\Windows\CurrentVersion\Run\\FZY7LGY4RM" => supprimé(es) avec succès
C:\Users\Astrid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DZFNNVDzqW.vbs => déplacé(es) avec succès
C:\Users\Astrid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Facebook Gameroom.lnk => déplacé(es) avec succès
C:\Users\Astrid\AppData\Local\Facebook\Games\FacebookGameroom.exe => déplacé(es) avec succès
C:\Users\Astrid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FZY7LGY4RM.vbs => déplacé(es) avec succès
C:\Users\Astrid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ZwqNTAAElP.vbs => déplacé(es) avec succès
"C:\ProgramData\FZY7LGY4RM.vbs" => non trouvé(e)
"C:\Users\Astrid\AppData\Roaming\DZFNNVDzqW.vbs" => non trouvé(e)
"C:\Users\Astrid\AppData\Roaming\ZwqNTAAElP.vbs" => non trouvé(e)
Impossible de déplacer "C:\Windows\System32\Drivers\etc\hosts" => Planifié pour déplacement au redémarrage.

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-4162402486-4218502666-124231350-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-4162402486-4218502666-124231350-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 7888896 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 57196604 B
Java, Flash, Steam htmlcache => 18628 B
Windows/system/drivers => 3377019 B
Edge => 2302647 B
Chrome => 775671988 B
Firefox => 445709557 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 12814 B
LocalService => 0 B
NetworkService => 0 B
NetworkService => 0 B
Astrid => 56699725 B

RecycleBin => 21537698 B
EmptyTemp: => 1.3 GB données temporaires supprimées.

================================

Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 20-08-2018 21:26:03)

C:\Windows\System32\Drivers\etc\hosts => Impossible de déplacer
Impossible de restaurer Hosts.

==== Fin de Fixlog 21:26:03 ====

[castiel92]

Bonjour à tous.

Je me permet de continuer cette conversation car j'ai exactement le même problème. Mais après installation de Marmiton, je me retrouve avec le pop up "L’accès à WSH est désactivé" qui apparaît environ toute les 10 minutes.

Après avoir suivi les instructions FRST, j'ai effectué un diagnostic dont voici les résultats :

FRST : https://pjjoint.malekal.com/files.php?i ... 7l7e5f10z7

Additional : https://pjjoint.malekal.com/files.php?i ... 0o5d12l6s8

Shortcut : https://pjjoint.malekal.com/files.php?i ... 14w6y15f15

Je ne sais pas s'il fallait faire autre chose. Dans tous les cas, je vous remercie d'avance pour votre aide.

[Malekal_morte]

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
 Task: {6B092A45-5C7C-4099-92DA-F2AE210C6F19} - System32\Tasks\System\SystemChecks => C:\Windows\System32\wscript.exe C:\Users\Public\Libraries\Checks.vbs
 HKU\S-1-5-21-3842111354-2762735167-2550462763-1001\...\Run: [uTorrent] => C:\Users\willi\AppData\Roaming\uTorrent\uTorrent.exe [2151864 2018-02-22] (BitTorrent Inc.)
  S2 ZGJkNWZmZmY1NDc5OD; C:\Program Files\ZGJkNWZmZmY1NDc5OD\MGQwZ.exe [X] 
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

2)

Pour te protéger des infections amovibles type Wscript (Windows Script Host) et virus sur clé usb.
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host puis modifier pour prendre en compte les modifications.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).

[castiel92]

Je vous remercie pour votre aide, j'essayerais d'être plus prudent à l'avenir

[Malekal_morte]

de rien =)