wscript.exeRésolu/Fermé

Question

Bonjour,
depuis quelques temps le message suivant s'affiche en boucle lorsque j'ouvre mon lecteur CD: wscript.exe  Pas de dique. Il n'y a pas de disque dans le lecteur. Insérez un disque dans le lecteur E. Il faut cliquer 18 fois sur Annuler pour que la fenêtre se ferme.
Je suis sous windows 7, je crois avoir compris dans les forums, que mon Pc a été infecté par un virus via clé usb.
Je vais utiliser USB Fix pour nettoyer mes clés usb, mais que pui-je faire pour supprimer le virus ?
Un grand merci d'avane si vous prenez le temps de me répondre.
Fred

Malekal_morte- · Answer

Salut,
Fais ceci :
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :

 FRST.txt
 Shortcut.txt
 Additionnal.txtEnvoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

derf74oyo · Answer

Bonjour et merci pour votre réponse.
Voici les 3 liens :
 Addition : https://pjjoint.malekal.com/files.php?id=20170320_g10g11u5j14x9
Shortcut : https://pjjoint.malekal.com/files.php?id=20170320_l7x10n14g12q14
FRST.txt :https://pjjoint.malekal.com/files.php?id=FRST_20170320_m9z8c8t8t13
A bientôt !

Malekal_morte- · Answer

Désinstalle :
ToolbarFR 
Yahoo! Toolbar 
Suis ces deux étapes :
1/
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R, 
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 
CreateRestorePoint:CloseProcesses:HKU\S-1-5-21-4214710999-233112542-2549697924-1001\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Fréd\AppData\Roaming\Video.3gp  S3 scan; C:\Program Files\BDServices\scan.dll [627688 2016-11-10] (Bitdefender)   2017-03-17 12:24 - 2017-03-17 13:07 - 00000456 _____ C:\Windows\Tasks\Mise à jour de PC Health Advisor.job  2017-03-17 12:24 - 2017-03-17 13:03 - 00000000 ____D C:\Program Files (x86)\ParetoLogic   2017-03-17 12:24 - 2017-03-17 12:59 - 00000000 ____D C:\ProgramData\ParetoLogic   2017-03-17 12:24 - 2017-03-17 12:25 - 00003332 _____ C:\Windows\System32\Tasks\Mise à jour de PC Health Advisor  2017-03-17 12:24 - 2017-03-17 12:25 - 00000000 ____D C:\Program Files\BDServices  2017-03-17 12:09 - 2017-03-17 13:07 - 00000000 ____D C:\Program Files (x86)\Solvusoft  2017-03-17 12:09 - 2017-03-17 13:01 - 00000000 ____D C:\Program Files\Solvusoft  2017-03-05 13:30 - 2017-03-05 13:30 - 00000000 ____D C:\Users\Fréd\AppData\Local\{7664498A-292A-4E9D-AF69-EC3F32B3D4FC}  2017-03-04 17:14 - 2017-03-04 17:14 - 00000000 ____D C:\Users\Fréd\AppData\Local\{7980128E-ABC7-4A31-B0C5-C6405D563940}  2017-03-04 17:14 - 2017-03-04 17:14 - 00000000 ____D C:\Users\Fréd\AppData\Local\{5C1C784A-D8FB-433F-B0E7-471BB2D7F9DE} Task: C:\Windows\Tasks\0215avUpdateInfo.job => Task: C:\Windows\Tasks\0915avUpdateInfo.job => Task: C:\Windows\Tasks\1214avUpdateInfo.job => Task: C:\Windows\Tasks\Mise à jour de PC Health Advisor.job => Hosts:EmptyTemp:RemoveProxy:Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
2/
Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky.

derf74oyo · Answer

Bonjour,
voici le résultat de la correction Fix FRST:
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 15-03-2017
Exécuté par Fréd (22-03-2017 10:07:51) Run:1
Exécuté depuis C:\Users\Fréd\Desktop
Profils chargés: Fréd & ADMINI (Profils disponibles: Fréd & ADMINI & Invité)
Mode d'amorçage: Normal
==============================================
fixlist contenu:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-4214710999-233112542-2549697924-1001\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Fréd\AppData\Roaming\Video.3gp 
 S3 scan; C:\Program Files\BDServices\scan.dll [627688 2016-11-10] (Bitdefender)  
 2017-03-17 12:24 - 2017-03-17 13:07 - 00000456 _____ C:\Windows\Tasks\Mise à jour de PC Health Advisor.job 
 2017-03-17 12:24 - 2017-03-17 13:03 - 00000000 ____D C:\Program Files (x86)\ParetoLogic  
 2017-03-17 12:24 - 2017-03-17 12:59 - 00000000 ____D C:\ProgramData\ParetoLogic  
 2017-03-17 12:24 - 2017-03-17 12:25 - 00003332 _____ C:\Windows\System32\Tasks\Mise à jour de PC Health Advisor 
 2017-03-17 12:24 - 2017-03-17 12:25 - 00000000 ____D C:\Program Files\BDServices 
 2017-03-17 12:09 - 2017-03-17 13:07 - 00000000 ____D C:\Program Files (x86)\Solvusoft 
 2017-03-17 12:09 - 2017-03-17 13:01 - 00000000 ____D C:\Program Files\Solvusoft 
 2017-03-05 13:30 - 2017-03-05 13:30 - 00000000 ____D C:\Users\Fréd\AppData\Local\{7664498A-292A-4E9D-AF69-EC3F32B3D4FC} 
 2017-03-04 17:14 - 2017-03-04 17:14 - 00000000 ____D C:\Users\Fréd\AppData\Local\{7980128E-ABC7-4A31-B0C5-C6405D563940} 
 2017-03-04 17:14 - 2017-03-04 17:14 - 00000000 ____D C:\Users\Fréd\AppData\Local\{5C1C784A-D8FB-433F-B0E7-471BB2D7F9DE} 
Task: C:\Windows\Tasks\0215avUpdateInfo.job => 
Task: C:\Windows\Tasks\0915avUpdateInfo.job => 
Task: C:\Windows\Tasks\1214avUpdateInfo.job => 
Task: C:\Windows\Tasks\Mise à jour de PC Health Advisor.job => 
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:

Erreur: (0) Impossible de créer un point de restauration.
Processus fermé avec succès.
HKU\S-1-5-21-4214710999-233112542-2549697924-1001\Software\Microsoft\Windows\CurrentVersion\Run\Format Factory => valeur supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\scan => impossible à supprimer clé. Accès refusé.
Impossible de déplacer "C:\Windows\Tasks\Mise à jour de PC Health Advisor.job" => Planifié pour déplacement au redémarrage.
"C:\Program Files (x86)\ParetoLogic" dossier déplacer:
Impossible de déplacer "C:\Program Files (x86)\ParetoLogic" => Planifié pour déplacement au redémarrage.
"C:\ProgramData\ParetoLogic" dossier déplacer:
Impossible de déplacer "C:\ProgramData\ParetoLogic" => Planifié pour déplacement au redémarrage.
Impossible de déplacer "C:\Windows\System32\Tasks\Mise à jour de PC Health Advisor" => Planifié pour déplacement au redémarrage.
"C:\Program Files\BDServices" dossier déplacer:
Impossible de déplacer "C:\Program Files\BDServices" => Planifié pour déplacement au redémarrage.
"C:\Program Files (x86)\Solvusoft" dossier déplacer:
Impossible de déplacer "C:\Program Files (x86)\Solvusoft" => Planifié pour déplacement au redémarrage.
"C:\Program Files\Solvusoft" dossier déplacer:
Impossible de déplacer "C:\Program Files\Solvusoft" => Planifié pour déplacement au redémarrage.
C:\Users\Fréd\AppData\Local\{7664498A-292A-4E9D-AF69-EC3F32B3D4FC} => déplacé(es) avec succès
C:\Users\Fréd\AppData\Local\{7980128E-ABC7-4A31-B0C5-C6405D563940} => déplacé(es) avec succès
C:\Users\Fréd\AppData\Local\{5C1C784A-D8FB-433F-B0E7-471BB2D7F9DE} => déplacé(es) avec succès
Impossible de déplacer "C:\Windows\Tasks\0215avUpdateInfo.job" => Planifié pour déplacement au redémarrage.
Impossible de déplacer "C:\Windows\Tasks\0915avUpdateInfo.job" => Planifié pour déplacement au redémarrage.
Impossible de déplacer "C:\Windows\Tasks\1214avUpdateInfo.job" => Planifié pour déplacement au redémarrage.
Impossible de déplacer "C:\Windows\Tasks\Mise à jour de PC Health Advisor.job" => Planifié pour déplacement au redémarrage.
Impossible de déplacer "C:\Windows\System32\Drivers\etc\hosts" => Planifié pour déplacement au redémarrage.
========= RemoveProxy: =========
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings => valeur impossible à supprimer.
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings => valeur impossible à supprimer.
HKU\S-1-5-21-4214710999-233112542-2549697924-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-4214710999-233112542-2549697924-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings => valeur supprimé(es) avec succès
========= Fin de RemoveProxy: =========
=========== EmptyTemp: ==========
BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 6773342 B
Java, Flash, Steam htmlcache => 506 B
Windows/system/drivers => 0 B
Edge => 0 B
Chrome => 101376 B
Firefox => 383364339 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 0 B
LocalService => 0 B
NetworkService => 0 B
Fréd => 25977169 B
ADMINI => 0 B
Invité => 0 B
RecycleBin => 612102657 B
EmptyTemp: => 980.7 MB données temporaires supprimées.
================================

derf74oyo · Answer

1

Malekal_morte- · Answer

c'est mieux ?

derf74oyo · Answer

Bonjour !
Oui! Maintenant tout est rentré dans l'ordre avec le lecteur de cd/dvd.
Je vous remercie pour votre aide, c'est la première fois que je fais appel à un forum et c'est vraiment très sympa. Je n'y serais jamais arrivé tout seul.
J'imagine que vous consacrez énormément de temps à aider les utilisateurs, alors, un grand merci encore une fois.
Que puis-je faire pour désinfecter ma clé usb ?
Frederic

Malekal_morte- · Answer

Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky.
puis :
Télécharge Remediate VBS Worm 

 Lancer l'option B
 Taper la lettre de la clef USB, par exemple, E et entrée[color=red]ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR ![/color]

 Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.

derf74oyo · Answer

Rem-VBSworm v8.0

=========== - General info:

Running under: ADMINI on profile: C:\Users\ADMINI
Computer name: FREDERIC-HP

Operating System:
Microsoft Windowsÿ7 dition Familiale Premium  

Boot Mode:
Normal boot  

Antivirus software installed:

Executed on: 09/04/2017 @ 16:09:13,18

=========== - Drive info:

Listing currently attached drives:
Caption  Description        VolumeName   

C:       Disque fixe local  OS           

D:       Disque fixe local  HP_RECOVERY  

E:       Disque CD-ROM                   

G:       Disque amovible                 




Physical drives information:
C: \Device\HarddiskVolume2 NTFS
D: \Device\HarddiskVolume3 NTFS

=========== - Disinfection info:


=========== - USB drive info:

F: selected

USB Device ID:
IDE\DISKST3500418AS_____________________________HP35____\5&3B7390E4&0&0.0.0  

USBSTOR\DISK&VEN_MULTIPLE&PROD_CARD__READER&REV_1.00\058F63666433&0          

USBSTOR\DISK&VEN_VERBATIM&PROD_STORE_N_GO&REV_1.0\120900000001F2E4&0         




Listing root contents of F:
 Le volume dans le lecteur F s'appelle PJJ RJANE
 Le num‚ro de s‚rie du volume est 9224-104E

 R‚pertoire de F:\


USB drive disinfected and files unhidden!!


=========== - USB drive info:

F: selected

USB Device ID:
IDE\DISKST3500418AS_____________________________HP35____\5&3B7390E4&0&0.0.0  

USBSTOR\DISK&VEN_MULTIPLE&PROD_CARD__READER&REV_1.00\058F63666433&0          

USBSTOR\DISK&VEN_VERBATIM&PROD_STORE_N_GO&REV_1.0\120900000001F2E4&0         




Listing root contents of F:
 Le volume dans le lecteur F s'appelle PJJ RJANE
 Le num‚ro de s‚rie du volume est 9224-104E

 R‚pertoire de F:\

09/04/2017  16:10    <REP>          Autorun.inf
               0 fichier(s)                0 octets
               1 R‚p(s)   4ÿ001ÿ341ÿ440 octets libres

USB drive disinfected and files unhidden!!

Malekal_morte- · Answer

il reste quel problème ?

Malekal_morte- · Answer

non ça va =)
pas de soucis et bon courage pour la suite :)

Wscript.exe

11 réponses

Discussions similaires

Newsletters