Signaler

Erreur Windows Script Host [Résolu]

Posez votre question Shrewsbury 7Messages postés mercredi 4 octobre 2017Date d'inscription 6 novembre 2017 Dernière intervention - Dernière réponse le 6 nov. 2017 à 20:16 par Malekal_morte-
Bonsoir et encore désolé pour le dérangement mais j'ai un message à chaque fois que je démarre mon PC. Voici une capture du dit message.

Je cherche une personne charitable qui puisse m'aider à me débarrasser de çà. Merci d'avance.
J'ai fait une analyse avec FRST si çà peut aider et voici les liens pour les fichiers FRST et Addition.
FRST : https://pjjoint.malekal.com/files.php?id=FRST_20171106_y5t13z9z8d5
ADDITION : https://pjjoint.malekal.com/files.php?id=20171106_y14n15p12i13d8

Merci d'avance pour le coup de main.
Utile
+0
plus moins
Salut,

Désinstalle Glary Utilities
Sert à rien à part causer des problèmes.



Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:
Task: {AD635078-D0D5-4CF8-9CB0-E6D0A364B7CD} - \OU7bz16gxC -> Pas de fichier <==== ATTENTION
Startup: C:\Users\P'tit Fab\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ce50baf7-bad6-4bae-a377-cf8caf1bca10.vbs [2017-10-11] ()
Startup: C:\Users\P'tit Fab\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Démarrage Système.vbs [2017-10-23] ()
2017-11-06 17:30 - 2017-11-06 17:30 - 000000000 ____D C:\Users\P'tit Fab\AppData\Roaming\16991
2017-11-06 17:07 - 2017-11-06 17:07 - 000000000 ____D C:\Users\P'tit Fab\AppData\Roaming\12534
GroupPolicy: Restriction <==== ATTENTION
2017-10-14 14:42 - 2017-10-14 14:42 - 000000000 ____D C:\Users\P'tit Fab\AppData\Roaming\15544
2017-10-12 13:41 - 2017-10-12 13:41 - 000000000 ____D C:\Users\P'tit Fab\AppData\Roaming\29127
2017-10-11 22:54 - 2017-10-11 22:54 - 000000000 ____D C:\Users\P'tit Fab\AppData\Roaming\19094
2017-10-11 22:43 - 2017-10-11 22:43 - 000000000 ____D C:\Users\P'tit Fab\AppData\Roaming\17050
2017-10-11 22:42 - 2017-10-11 22:42 - 000000000 ____D C:\Users\P'tit Fab\AppData\Roaming\16903
2017-10-11 22:42 - 2017-10-11 22:42 - 000000000 ____D C:\Users\P'tit Fab\AppData\Roaming\16727
2017-10-11 21:13 - 2017-10-11 21:13 - 000000000 ____D C:\Users\P'tit Fab\AppData\Roaming\32181
EmptyTemp:
RemoveProxy:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.


puis :

Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky.
Donnez votre avis
Utile
+0
plus moins
Merci pour ton aide précieuse et ultra rapide... Je m'occupe de çà tout de suite.
Donnez votre avis
Utile
+0
plus moins
Voilà le contenu du nouveau message:

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 02-11-2017
Exécuté par P'tit Fab (06-11-2017 18:45:39) Run:2
Exécuté depuis C:\Users\P'tit Fab\Downloads
Profils chargés: P'tit Fab (Profils disponibles: P'tit Fab)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
Task: {AD635078-D0D5-4CF8-9CB0-E6D0A364B7CD} - \OU7bz16gxC -> Pas de fichier <==== ATTENTION
Startup: C:\Users\P'tit Fab\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ce50baf7-bad6-4bae-a377-cf8caf1bca10.vbs [2017-10-11] ()
Startup: C:\Users\P'tit Fab\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\D�marrage Syst�me.vbs [2017-10-23] ()
2017-11-06 17:30 - 2017-11-06 17:30 - 000000000 ____D C:\Users\P'tit Fab\AppData\Roaming\16991
2017-11-06 17:07 - 2017-11-06 17:07 - 000000000 ____D C:\Users\P'tit Fab\AppData\Roaming\12534
GroupPolicy: Restriction <==== ATTENTION
2017-10-14 14:42 - 2017-10-14 14:42 - 000000000 ____D C:\Users\P'tit Fab\AppData\Roaming\15544
2017-10-12 13:41 - 2017-10-12 13:41 - 000000000 ____D C:\Users\P'tit Fab\AppData\Roaming\29127
2017-10-11 22:54 - 2017-10-11 22:54 - 000000000 ____D C:\Users\P'tit Fab\AppData\Roaming\19094
2017-10-11 22:43 - 2017-10-11 22:43 - 000000000 ____D C:\Users\P'tit Fab\AppData\Roaming\17050
2017-10-11 22:42 - 2017-10-11 22:42 - 000000000 ____D C:\Users\P'tit Fab\AppData\Roaming\16903
2017-10-11 22:42 - 2017-10-11 22:42 - 000000000 ____D C:\Users\P'tit Fab\AppData\Roaming\16727
2017-10-11 21:13 - 2017-10-11 21:13 - 000000000 ____D C:\Users\P'tit Fab\AppData\Roaming\32181
EmptyTemp:
RemoveProxy:
Reboot:


Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{AD635078-D0D5-4CF8-9CB0-E6D0A364B7CD} => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{AD635078-D0D5-4CF8-9CB0-E6D0A364B7CD} => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\OU7bz16gxC => clé supprimé(es) avec succès
C:\Users\P'tit Fab\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ce50baf7-bad6-4bae-a377-cf8caf1bca10.vbs => déplacé(es) avec succès
C:\Users\P'tit Fab\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\D�marrage Syst�me.vbs => non trouvé(e).
C:\Users\P'tit Fab\AppData\Roaming\16991 => déplacé(es) avec succès
C:\Users\P'tit Fab\AppData\Roaming\12534 => déplacé(es) avec succès
C:\Windows\system32\GroupPolicy\Machine => déplacé(es) avec succès
C:\Windows\system32\GroupPolicy\GPT.ini => déplacé(es) avec succès
C:\Windows\SysWOW64\GroupPolicy\GPT.ini => déplacé(es) avec succès
C:\Users\P'tit Fab\AppData\Roaming\15544 => déplacé(es) avec succès
C:\Users\P'tit Fab\AppData\Roaming\29127 => déplacé(es) avec succès
C:\Users\P'tit Fab\AppData\Roaming\19094 => déplacé(es) avec succès
C:\Users\P'tit Fab\AppData\Roaming\17050 => déplacé(es) avec succès
C:\Users\P'tit Fab\AppData\Roaming\16903 => déplacé(es) avec succès
C:\Users\P'tit Fab\AppData\Roaming\16727 => déplacé(es) avec succès
C:\Users\P'tit Fab\AppData\Roaming\32181 => déplacé(es) avec succès

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-2803939299-555935969-2362595076-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-2803939299-555935969-2362595076-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 51749 B
Java, Flash, Steam htmlcache => 569 B
Windows/system/drivers => 11077115 B
Edge => 0 B
Chrome => 0 B
Firefox => 396658313 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 128 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 0 B
user => 0 B
P'tit Fab => 60297534 B

RecycleBin => 0 B
EmptyTemp: => 454.4 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

Fin de Fixlog 18:47:22

Le souci est que j'ai toujours le message d'erreur au démarrage...
Malekal_morte- 140782Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 9 novembre 2017 Dernière intervention - 6 nov. 2017 à 19:20
Mets bien Marmiton
Désactive bien Windows Script Host

refais un scan FRST et donne les nouveaux rapports via pjjoint.
Répondre
Donnez votre avis
Utile
+0
plus moins
Voilà les nouveaux fichiers FRST et Additions

FRST: https://pjjoint.malekal.com/files.php?id=FRST_20171106_m1215s12c10i6

Additions: https://pjjoint.malekal.com/files.php?id=20171106_q5x5t14b9o5

Merci encore pour le coup de main.
Donnez votre avis
Utile
+0
plus moins
La suppression avec FRST ne fonctionne pas à cause des accents

Désactive bien Windows Script Hosting avec Marmiton et redémarre Windows, si ça n'a pas été fait.

Ensuite sur ton clavier :
Touche Windows + R
tape : shell:startup et OK.

Ca doit t'ammenner sur ce dossier :
C:\Users\P'tit Fab\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Démarrage

Supprime tout ce qui s'y trouve, doit y avoir en autre :
Démarrage Système.vbs et Envoyer à OneNote.lnk
Donnez votre avis
Utile
+0
plus moins
Un grand merci Malekal_morte, tu es un tueur et niveau rapidité, t'es au top.
Chapeau bas...
Donnez votre avis
Utile
+0
plus moins
de rien =)

Supprime le dossier C:\FRST


Termine par un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite
Evite les analyses et nettoyages réguliers ZHPCleaner, AdwCleaner, pas utile.
Donnez votre avis

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes.

Le fait d'être membre vous permet d'avoir des options supplémentaires.

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !