Wondershar app service : script pour FRST [Résolu]

annie7979 2 Messages postés lundi 12 juin 2017Date d'inscription 12 juin 2017 Dernière intervention - 12 juin 2017 à 15:02 - Dernière réponse : Malekal_morte- 143482 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 17 décembre 2017 Dernière intervention
- 13 juin 2017 à 01:06
Bonjour,

Mon ordi est infecté par wondershare app service.

Ci-joint les 3 liens suite à l'analyse par FRST :

http://pjjoint.malekal.com/files.php?id=FRST_20170612_p12v10s9v8e12
http://pjjoint.malekal.com/files.php?id=20170612_f8u5x11h88

http://pjjoint.malekal.com/files.php?id=20170612_y10u12j9p13h6

Si quelqu'un peut me renvoyer un script pour le mettre dans FRST...

J'ai suiffit cette methode :

http://www.commentcamarche.net/forum/affich-34323834-processus-wondershare-appservice#27
http://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/

https://www.malekal.com/desinfection-manuelle-windows-trojan-adware/

Bien sur avant de toruver cette méthode, j'ai utilissé dans cet ordre :

-roguekiller
-ZHP Cleaner
-Malwarebytes
-adwcleaner

Chacun trouvant des éléments infectés, mise en quarantiane ou destruction mais quand on relance l'ordi, wondershare app se lance et bouffe 100% de la memoire.



D'avance merci




Afficher la suite 

3 réponses

Répondre au sujet
Malekal_morte- 143482 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 17 décembre 2017 Dernière intervention - 12 juin 2017 à 16:59
0
Utile
Salut,

AVG n'est pas à jour.


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:
(Wondershare) C:\Program Files (x86)\Wondershare\WAF\2.3.2.219\WsAppService.exe
R2 WsAppService; C:\Program Files (x86)\Wondershare\WAF\2.3.2.219\WsAppService.exe [440832 2016-12-07] (Wondershare) [Fichier non signé]
C:\Program Files (x86)\Wondershare
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.


Commenter la réponse de Malekal_morte-
annie7979 2 Messages postés lundi 12 juin 2017Date d'inscription 12 juin 2017 Dernière intervention - 12 juin 2017 à 21:09
0
Utile
bonjour,


Merci j'ai suivi ce que vous avez dit et hop plus de wondershare app service au démarrage.



voici le contenu du fichier texte apparu (fixlog.txt) :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 12-06-2017
Exécuté par YVES (12-06-2017 20:56:55) Run:1
Exécuté depuis C:\Users\YVES\Desktop
Profils chargés: YVES (Profils disponibles: YVES)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
(Wondershare) C:\Program Files (x86)\Wondershare\WAF\2.3.2.219\WsAppService.exe
R2 WsAppService; C:\Program Files (x86)\Wondershare\WAF\2.3.2.219\WsAppService.exe [440832 2016-12-07] (Wondershare) [Fichier non sign�]
C:\Program Files (x86)\Wondershare
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
C:\Program Files (x86)\Wondershare\WAF\2.3.2.219\WsAppService.exe => Aucun processus actif trouvé
HKLM\System\CurrentControlSet\Services\WsAppService => clé supprimé(es) avec succès
WsAppService => service supprimé(es) avec succès
C:\Program Files (x86)\Wondershare => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-3931509287-3458194630-1620766146-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-3931509287-3458194630-1620766146-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 1146380 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 186412075 B
Java, Flash, Steam htmlcache => 769 B
Windows/system/drivers => 15271596 B
Edge => 212781636 B
Chrome => 7962624 B
Firefox => 7143316 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 128 B
systemprofile32 => 128 B
LocalService => 6626 B
NetworkService => 0 B
YVES => 245845755 B

RecycleBin => 1338662118 B
EmptyTemp: => 1.9 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

Fin de Fixlog 20:59:24

Commenter la réponse de annie7979
Malekal_morte- 143482 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 17 décembre 2017 Dernière intervention - 13 juin 2017 à 01:06
0
Utile
de rien :)

mets bien AVG à jour.


Supprime le dossier C:\FRST
Commenter la réponse de Malekal_morte-