Signaler

Wscript.exe [Résolu]

Posez votre question derf74oyo 7Messages postés vendredi 17 mars 2017Date d'inscription 9 avril 2017 Dernière intervention - Dernière réponse le 10 avril 2017 à 09:06 par Malekal_morte-
Bonjour,
depuis quelques temps le message suivant s'affiche en boucle lorsque j'ouvre mon lecteur CD: wscript.exe Pas de dique. Il n'y a pas de disque dans le lecteur. Insérez un disque dans le lecteur E. Il faut cliquer 18 fois sur Annuler pour que la fenêtre se ferme.

Je suis sous windows 7, je crois avoir compris dans les forums, que mon Pc a été infecté par un virus via clé usb.

Je vais utiliser USB Fix pour nettoyer mes clés usb, mais que pui-je faire pour supprimer le virus ?

Un grand merci d'avane si vous prenez le temps de me répondre.
Fred
Afficher la suite 
Utile
+0
plus moins
Salut,

Fais ceci :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

Donnez votre avis
Utile
+0
plus moins
Bonjour et merci pour votre réponse.

Voici les 3 liens :
Addition : http://pjjoint.malekal.com/files.php?id=20170320_g10g11u5j14x9
Shortcut : http://pjjoint.malekal.com/files.php?id=20170320_l7x10n14g12q14
FRST.txt :http://pjjoint.malekal.com/files.php?id=FRST_20170320_m9z8c8t8t13

A bientôt !
Donnez votre avis
Utile
+0
plus moins
Désinstalle :
ToolbarFR
Yahoo! Toolbar


Suis ces deux étapes :

1/
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-4214710999-233112542-2549697924-1001\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Fréd\AppData\Roaming\Video.3gp
S3 scan; C:\Program Files\BDServices\scan.dll [627688 2016-11-10] (Bitdefender)
2017-03-17 12:24 - 2017-03-17 13:07 - 00000456 _____ C:\Windows\Tasks\Mise à jour de PC Health Advisor.job
2017-03-17 12:24 - 2017-03-17 13:03 - 00000000 ____D C:\Program Files (x86)\ParetoLogic
2017-03-17 12:24 - 2017-03-17 12:59 - 00000000 ____D C:\ProgramData\ParetoLogic
2017-03-17 12:24 - 2017-03-17 12:25 - 00003332 _____ C:\Windows\System32\Tasks\Mise à jour de PC Health Advisor
2017-03-17 12:24 - 2017-03-17 12:25 - 00000000 ____D C:\Program Files\BDServices
2017-03-17 12:09 - 2017-03-17 13:07 - 00000000 ____D C:\Program Files (x86)\Solvusoft
2017-03-17 12:09 - 2017-03-17 13:01 - 00000000 ____D C:\Program Files\Solvusoft
2017-03-05 13:30 - 2017-03-05 13:30 - 00000000 ____D C:\Users\Fréd\AppData\Local\{7664498A-292A-4E9D-AF69-EC3F32B3D4FC}
2017-03-04 17:14 - 2017-03-04 17:14 - 00000000 ____D C:\Users\Fréd\AppData\Local\{7980128E-ABC7-4A31-B0C5-C6405D563940}
2017-03-04 17:14 - 2017-03-04 17:14 - 00000000 ____D C:\Users\Fréd\AppData\Local\{5C1C784A-D8FB-433F-B0E7-471BB2D7F9DE}
Task: C:\Windows\Tasks\0215avUpdateInfo.job =>
Task: C:\Windows\Tasks\0915avUpdateInfo.job =>
Task: C:\Windows\Tasks\1214avUpdateInfo.job =>
Task: C:\Windows\Tasks\Mise à jour de PC Health Advisor.job =>
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

2/
Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky.
Donnez votre avis
Utile
+0
plus moins
Bonjour,

voici le résultat de la correction Fix FRST:
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 15-03-2017
Exécuté par Fréd (22-03-2017 10:07:51) Run:1
Exécuté depuis C:\Users\Fréd\Desktop
Profils chargés: Fréd & ADMINI (Profils disponibles: Fréd & ADMINI & Invité)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-4214710999-233112542-2549697924-1001\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe /e:VBScript.Encode C:\Users\Fréd\AppData\Roaming\Video.3gp
S3 scan; C:\Program Files\BDServices\scan.dll [627688 2016-11-10] (Bitdefender)
2017-03-17 12:24 - 2017-03-17 13:07 - 00000456 _____ C:\Windows\Tasks\Mise à jour de PC Health Advisor.job
2017-03-17 12:24 - 2017-03-17 13:03 - 00000000 ____D C:\Program Files (x86)\ParetoLogic
2017-03-17 12:24 - 2017-03-17 12:59 - 00000000 ____D C:\ProgramData\ParetoLogic
2017-03-17 12:24 - 2017-03-17 12:25 - 00003332 _____ C:\Windows\System32\Tasks\Mise à jour de PC Health Advisor
2017-03-17 12:24 - 2017-03-17 12:25 - 00000000 ____D C:\Program Files\BDServices
2017-03-17 12:09 - 2017-03-17 13:07 - 00000000 ____D C:\Program Files (x86)\Solvusoft
2017-03-17 12:09 - 2017-03-17 13:01 - 00000000 ____D C:\Program Files\Solvusoft
2017-03-05 13:30 - 2017-03-05 13:30 - 00000000 ____D C:\Users\Fréd\AppData\Local\{7664498A-292A-4E9D-AF69-EC3F32B3D4FC}
2017-03-04 17:14 - 2017-03-04 17:14 - 00000000 ____D C:\Users\Fréd\AppData\Local\{7980128E-ABC7-4A31-B0C5-C6405D563940}
2017-03-04 17:14 - 2017-03-04 17:14 - 00000000 ____D C:\Users\Fréd\AppData\Local\{5C1C784A-D8FB-433F-B0E7-471BB2D7F9DE}
Task: C:\Windows\Tasks\0215avUpdateInfo.job =>
Task: C:\Windows\Tasks\0915avUpdateInfo.job =>
Task: C:\Windows\Tasks\1214avUpdateInfo.job =>
Task: C:\Windows\Tasks\Mise à jour de PC Health Advisor.job =>
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Erreur: (0) Impossible de créer un point de restauration.
Processus fermé avec succès.
HKU\S-1-5-21-4214710999-233112542-2549697924-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Format Factory => valeur supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\scan => impossible à supprimer clé. Accès refusé.
Impossible de déplacer "C:\Windows\Tasks\Mise à jour de PC Health Advisor.job" => Planifié pour déplacement au redémarrage.

"C:\Program Files (x86)\ParetoLogic" dossier déplacer:

Impossible de déplacer "C:\Program Files (x86)\ParetoLogic" => Planifié pour déplacement au redémarrage.


"C:\ProgramData\ParetoLogic" dossier déplacer:

Impossible de déplacer "C:\ProgramData\ParetoLogic" => Planifié pour déplacement au redémarrage.

Impossible de déplacer "C:\Windows\System32\Tasks\Mise à jour de PC Health Advisor" => Planifié pour déplacement au redémarrage.

"C:\Program Files\BDServices" dossier déplacer:

Impossible de déplacer "C:\Program Files\BDServices" => Planifié pour déplacement au redémarrage.


"C:\Program Files (x86)\Solvusoft" dossier déplacer:

Impossible de déplacer "C:\Program Files (x86)\Solvusoft" => Planifié pour déplacement au redémarrage.


"C:\Program Files\Solvusoft" dossier déplacer:

Impossible de déplacer "C:\Program Files\Solvusoft" => Planifié pour déplacement au redémarrage.

C:\Users\Fréd\AppData\Local\{7664498A-292A-4E9D-AF69-EC3F32B3D4FC} => déplacé(es) avec succès
C:\Users\Fréd\AppData\Local\{7980128E-ABC7-4A31-B0C5-C6405D563940} => déplacé(es) avec succès
C:\Users\Fréd\AppData\Local\{5C1C784A-D8FB-433F-B0E7-471BB2D7F9DE} => déplacé(es) avec succès
Impossible de déplacer "C:\Windows\Tasks\0215avUpdateInfo.job" => Planifié pour déplacement au redémarrage.
Impossible de déplacer "C:\Windows\Tasks\0915avUpdateInfo.job" => Planifié pour déplacement au redémarrage.
Impossible de déplacer "C:\Windows\Tasks\1214avUpdateInfo.job" => Planifié pour déplacement au redémarrage.
Impossible de déplacer "C:\Windows\Tasks\Mise à jour de PC Health Advisor.job" => Planifié pour déplacement au redémarrage.
Impossible de déplacer "C:\Windows\System32\Drivers\etc\hosts" => Planifié pour déplacement au redémarrage.

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur impossible à supprimer.
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur impossible à supprimer.
HKU\S-1-5-21-4214710999-233112542-2549697924-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-4214710999-233112542-2549697924-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 6773342 B
Java, Flash, Steam htmlcache => 506 B
Windows/system/drivers => 0 B
Edge => 0 B
Chrome => 101376 B
Firefox => 383364339 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 0 B
LocalService => 0 B
NetworkService => 0 B
Fréd => 25977169 B
ADMINI => 0 B
Invité => 0 B

RecycleBin => 612102657 B
EmptyTemp: => 980.7 MB données temporaires supprimées.

================================
Donnez votre avis
Utile
+0
plus moins
1
Donnez votre avis
Utile
+0
plus moins
c'est mieux ?
Donnez votre avis
Utile
+0
plus moins
Bonjour !

Oui! Maintenant tout est rentré dans l'ordre avec le lecteur de cd/dvd.

Je vous remercie pour votre aide, c'est la première fois que je fais appel à un forum et c'est vraiment très sympa. Je n'y serais jamais arrivé tout seul.
J'imagine que vous consacrez énormément de temps à aider les utilisateurs, alors, un grand merci encore une fois.

Que puis-je faire pour désinfecter ma clé usb ?

Frederic
Donnez votre avis
Utile
+0
plus moins
Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky.

puis :

Télécharge Remediate VBS Worm
  • Lancer l'option B
  • Taper la lettre de la clef USB, par exemple, E et entrée

[color=red]ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR ![/color]
  • Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.

Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.

Donnez votre avis
Utile
+0
plus moins
Rem-VBSworm v8.0

=========== - General info:

Running under: ADMINI on profile: C:\Users\ADMINI
Computer name: FREDERIC-HP

Operating System:
Microsoft Windowsÿ7 dition Familiale Premium

Boot Mode:
Normal boot

Antivirus software installed:

Executed on: 09/04/2017 @ 16:09:13,18

=========== - Drive info:

Listing currently attached drives:
Caption Description VolumeName

C: Disque fixe local OS

D: Disque fixe local HP_RECOVERY

E: Disque CD-ROM

G: Disque amovible




Physical drives information:
C: \Device\HarddiskVolume2 NTFS
D: \Device\HarddiskVolume3 NTFS

=========== - Disinfection info:


=========== - USB drive info:

F: selected

USB Device ID:
IDE\DISKST3500418AS_____________________________HP35____\5&3B7390E4&0&0.0.0

USBSTOR\DISK&VEN_MULTIPLE&PROD_CARD__READER&REV_1.00\058F63666433&0

USBSTOR\DISK&VEN_VERBATIM&PROD_STORE_N_GO&REV_1.0\120900000001F2E4&0




Listing root contents of F:
Le volume dans le lecteur F s'appelle PJJ RJANE
Le num‚ro de s‚rie du volume est 9224-104E

R‚pertoire de F:\


USB drive disinfected and files unhidden!!


=========== - USB drive info:

F: selected

USB Device ID:
IDE\DISKST3500418AS_____________________________HP35____\5&3B7390E4&0&0.0.0

USBSTOR\DISK&VEN_MULTIPLE&PROD_CARD__READER&REV_1.00\058F63666433&0

USBSTOR\DISK&VEN_VERBATIM&PROD_STORE_N_GO&REV_1.0\120900000001F2E4&0




Listing root contents of F:
Le volume dans le lecteur F s'appelle PJJ RJANE
Le num‚ro de s‚rie du volume est 9224-104E

R‚pertoire de F:\

09/04/2017 16:10 <REP> Autorun.inf
0 fichier(s) 0 octets
1 R‚p(s) 4ÿ001ÿ341ÿ440 octets libres

USB drive disinfected and files unhidden!!
Donnez votre avis
Utile
+0
plus moins
il reste quel problème ?
derf74oyo 7Messages postés vendredi 17 mars 2017Date d'inscription 9 avril 2017 Dernière intervention - 9 avril 2017 à 20:49
Merci beaucoup déjà pour toute votre aide !
Ca doit vous prendre des journées entières d'aider les utilisateurs !!!

Il ne reste plus de problème concernant les virus et fenêtres windows qui s'ouvraient intempestivement.

Tout est résolu, mais mon pc reste anormalement lent lorsque je navigue sur internet, malgré l'utilisation de Ccleaner et Mlawaresbytes.

Cordialement.
Frédéric
Répondre
Donnez votre avis
Utile
+0
plus moins
non ça va =)
pas de soucis et bon courage pour la suite :)
Donnez votre avis

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes.

Le fait d'être membre vous permet d'avoir des options supplémentaires.

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !