Sujet Précédent Sujet Suivant

ERREUR popup "Windows Script host"

Fermé
batou22003 Messages postés 16 Date d'inscription jeudi 10 juin 2004 Statut Membre Dernière intervention 26 octobre 2020 - 27 août 2018 à 01:47
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 27 août 2018 à 12:28
Bonjour,

J'ai des popup "Windows Script host" qui s'affiche systématiquement après infection de mon PC.

J'ai analysé avec FRST :

https://pjjoint.malekal.com/files.php?id=FRST_20180827_s8b7i9z8e7
https://pjjoint.malekal.com/files.php?id=20180827_b9t12b8p9d6

et avec hijakthis :

https://pjjoint.malekal.com/files.php?id=HijackThis_20180827_h14u10f11x14t6

Je comprend pas grand chose au contenu. Quelqu'un peu m'aider?







--
  • *

*
C'est au pied du mur que l'on voit mieux...

... le mur.
A voir également:

2 réponses

Réponse 1 / 2
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
Modifié le 27 août 2018 à 10:53
Salut,

Beaucoup de programmes malveillants.
Désinstallé Slowin' Killer, inutile.



Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci. 

CreateRestorePoint:
CloseProcesses:
 HKLM\...\Run: [iTunesHelper] => C:\Program Files\iTunes\iTunesHelper.exe [303928 2017-09-18] (Apple Inc.)
HKU\S-1-5-21-636672459-3400588900-1441352392-1001\...\Run: [iCloudServices] => C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe [67384 2018-06-26] (Apple Inc.)
HKU\S-1-5-21-636672459-3400588900-1441352392-1001\...\Run: [BitTorrent] => C:\Users\user\AppData\Roaming\BitTorrent\BitTorrent.exe [2154176 2018-08-25] (BitTorrent Inc.) 
Task: {01C71950-28C2-42E4-B530-256AF6EDE220} - System32\Tasks\stephane_barcostephane_barco => C:\Program Files (x86)\Reliably\Cepeda.exe
Task: {0C2902D0-19A5-4BA9-A804-AB11DAE97C4C} - System32\Tasks\Microsoft\Windows\Setup\Notifier => C:\WINDOWS\system32\Notifier.exe
Task: {196F8767-8AD5-4432-A12C-F52A42904EC1} - \NQK60P9MOVZRTHA594 -> Pas de fichier <==== ATTENTION
Task: {483CEB9A-4E1D-45A9-A9F6-4829280C91A5} - System32\Tasks\alienate commutingalienate commuting => C:\Program Files (x86)\Reliably\Carbo.exe
Task: {4C64CDEA-3CA2-4747-A8AA-250DC3D810E3} - System32\Tasks\synchronized minting hermiasynchronized minting hermia => C:\Users\user\AppData\Local\Cepeda.exe
Task: {4E81B42B-26AE-40F8-8A09-182493879B5A} - System32\Tasks\setset => C:\Program Files (x86)\secondhand\secondhand.exe
Task: {55351C6C-9096-4F49-BF2C-38EC3A002F9A} - System32\Tasks\System\SystemChecks => C:\Windows\System32\wscript.exe C:\Users\Public\Libraries\Checks.vbs
Task: {56631E67-2BFF-4B72-9960-EAE52450801B} - System32\Tasks\fuldfuld => C:\Program Files (x86)\Confucius\thabo.exe
Task: {647EB4AE-8A32-4A0F-B4C1-A5BB5E6FE629} - System32\Tasks\wealthywealthy => C:\Program Files (x86)\Rokeby\Cepeda.exe
Task: {6C909693-8B49-421E-AAC7-E70DD5810196} - System32\Tasks\klcp_update => CodecTweakTool.exe
Task: {82C12FB8-48C8-4423-AD7A-C8ACF621A7CA} - \HRJLYMEOV7EGVUHJXX -> Pas de fichier <==== ATTENTION
Task: {8413A5BD-1D7E-473A-8DE1-1A3CE5625056} - System32\Tasks\Chameleon Folder-user => "C:\Program Files (x86)\Chameleon Explorer\ChameleonFolder.exe" 
Task: {A61544F2-681F-481E-BDD1-290021CC84C6} - System32\Tasks\ETIAI0BRY472LG => C:\ProgramData\{JOLV4KQ3-DT7H-OSUR-ZFCSA5SSHQ81}\OSURFYU43T2I.vbs [2018-08-26] () <==== ATTENTION
Task: {AB4FDBD3-7E34-44A5-82DE-78EAFB4A4928} - System32\Tasks\UJEMGLRUN41CNZ => C:\ProgramData\{7QIF9HAA-0LB9-BJX4-SBVNODADHR3K}\4GD3D5TLQ72Z.vbs [2018-08-25] () <==== ATTENTION
Task: {CCD144A8-E245-49BF-9B8C-2F7C8E23B6FB} - System32\Tasks\76IUQ0DE27K2O0 => C:\ProgramData\{F7VYNRDH-2XKK-TE5R-JB1RMLFXB5ET}\PNLFXG6RBCSB.vbs [2018-08-26] () <==== ATTENTION
ask: {DD1CE1D6-700F-42A0-8FF7-BD9CF555CEF4} - System32\Tasks\exhaust_hollinsexhaust_hollins => C:\Users\user\AppData\Local\Carbo.exe
Task: {DFB9EB96-553E-4314-A82D-347214EB4BF6} - System32\Tasks\vittorio-timeslotvittorio-timeslot => C:\Program Files (x86)\gifts\Carbo.exe
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
HKU\S-1-5-21-636672459-3400588900-1441352392-1001\...\Run: [sepracor] => "C:\Program Files (x86)\durkin\sepracor.exe" daofwdaofwdaofwdaof.daofbdaofvdaofadaof.daofpdaofwdaof/daofzl2a0a1a8adaof0ba8ba2zl5daofzlaphtml0ydaofIXE35BYPYgdaofCcqb4d8R
HKU\S-1-5-21-636672459-3400588900-1441352392-1001\...\Run: [roman] => "C:\Program Files (x86)\Rokeby\Cepeda.exe" daofwdaofwdaofwdaof.daofbdaofvdaofadaof.daofpdaofwdaof/daofzl2a0a1a8adaof0ba8ba2zl5daofzlaphtml0ydaofIXE35BYPYgdaofCcqb4d8R
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\grabbed.lnk [2018-08-26]
ShortcutTarget: grabbed.lnk -> C:\Program Files (x86)\Rokeby\Cepeda.exe (Pas de fichier)
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\grabbedgrabbed.lnk [2018-08-26]
ShortcutTarget: grabbedgrabbed.lnk -> C:\Program Files (x86)\gifts\Carbo.exe (Pas de fichier)
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\JUplwUQDOu.vbs [2018-08-26] ()
S1 ejipdbqu; \??\C:\WINDOWS\system32\drivers\ejipdbqu.sys [X]
S1 fgbuvsoy; \??\C:\WINDOWS\system32\drivers\fgbuvsoy.sys [X]
S1 fleqdunz; \??\C:\WINDOWS\system32\drivers\fleqdunz.sys [X]
S1 jfgjnkrr; \??\C:\WINDOWS\system32\drivers\jfgjnkrr.sys [X]
2018-08-26 18:22 - 2018-08-26 18:22 - 001358336 _____ C:\Users\user\Downloads\Slowin Killer.exe
2018-08-26 18:22 - 2018-08-26 18:22 - 000002148 _____ C:\Users\user\Desktop\ Slowin' Killer -  Nettoyer la mémoire.lnk
2018-08-26 18:22 - 2018-08-26 18:22 - 000002126 _____ C:\Users\user\Desktop\Slowin' Killer.lnk
2018-08-26 18:22 - 2018-08-26 18:22 - 000001232 _____ C:\Users\user\Desktop\ Slowin' Killer -  Donner son avis.lnk
2018-08-26 18:22 - 2018-08-26 18:22 - 000000000 ____D C:\Program Files (x86)\Slowin Killer
2018-08-26 01:20 - 2018-08-26 02:19 - 000000000 __SHD C:\ProgramData\{A7GZM0NS-S2OF-BWTY-Q89E4PRYZ3KU}
2018-08-26 01:20 - 2018-08-26 01:20 - 000003620 _____ C:\WINDOWS\System32\Tasks\ETIAI0BRY472LG
2018-08-26 01:20 - 2018-08-26 01:20 - 000000000 __SHD C:\ProgramData\{JOLV4KQ3-DT7H-OSUR-ZFCSA5SSHQ81}
2018-08-26 00:56 - 2018-08-26 00:56 - 001048576 _____ C:\WINDOWS\system32\defltbase.sdb
2018-08-26 00:56 - 2018-08-26 00:56 - 000016384 _____ C:\WINDOWS\system32\defltbase.jfm
2018-08-26 00:48 - 2018-08-26 01:01 - 000000000 __SHD C:\ProgramData\{ZR9YI8TL-WAT4-E4KH-6NM6Z4BR2P9S}
2018-08-26 00:48 - 2018-08-26 00:48 - 000003620 _____ C:\WINDOWS\System32\Tasks\76IUQ0DE27K2O0
2018-08-26 00:48 - 2018-08-26 00:48 - 000000000 __SHD C:\ProgramData\{F7VYNRDH-2XKK-TE5R-JB1RMLFXB5ET}
2018-08-26 00:48 - 2018-08-26 00:48 - 000000000 ____D C:\Users\user\AppData\Local\AdAwareDesktop
2018-08-26 00:44 - 2018-08-26 00:44 - 000000000 ____D C:\Users\user\AppData\Local\AdAwareUpdater
2018-08-26 00:44 - 2018-08-26 00:44 - 000000000 ____D C:\ProgramData\Lavasoft
2018-08-26 00:41 - 2018-08-26 00:41 - 000000000 ____D C:\AdwCleaner
2018-08-26 00:33 - 2018-08-26 00:33 - 000000000 ___HD C:\$AV_ASW
2018-08-26 00:33 - 2018-08-26 00:33 - 000000000 _____ C:\WINDOWS\SysWOW64\last.dump
2018-08-25 23:54 - 2018-08-26 11:54 - 000000000 __SHD C:\ProgramData\{QYEJUWMZ-4CLX-J8BV-MERK7AHB5H28}
2018-08-25 23:54 - 2018-08-26 01:04 - 000000000 ____D C:\Users\user\AppData\Roaming\Msos
2018-08-25 23:54 - 2018-08-25 23:54 - 000003620 _____ C:\WINDOWS\System32\Tasks\UJEMGLRUN41CNZ
2018-08-25 23:54 - 2018-08-25 23:54 - 000000000 __SHD C:\ProgramData\{7QIF9HAA-0LB9-BJX4-SBVNODADHR3K}
2018-08-25 23:52 - 2018-08-26 02:18 - 000000000 ____D C:\Program Files\Blumenthal
2018-08-25 23:52 - 2018-08-25 23:52 - 000000000 ____D C:\Users\user\AppData\Roaming\Mozilla
2018-08-25 23:52 - 2018-08-25 23:52 - 000000000 ____D C:\Users\user\AppData\Local\AdvinstAnalytics
2018-08-25 23:51 - 2018-08-26 14:27 - 000000000 ___HD C:\Program Files (x86)\durkin
2018-08-25 23:51 - 2018-08-26 02:20 - 000000000 ____D C:\Program Files (x86)\Rokeby
2018-08-25 23:51 - 2018-08-26 02:08 - 000000000 ____D C:\Program Files (x86)\secondhand
2018-08-25 23:51 - 2018-08-26 02:01 - 000000000 ____D C:\Program Files (x86)\gifts
2018-08-25 23:51 - 2018-08-26 01:59 - 000000000 ___HD C:\Program Files (x86)\Reliably
2018-08-25 23:51 - 2018-08-26 01:19 - 000000000 ____D C:\Users\user\AppData\Local\XService
2018-08-25 23:51 - 2018-08-25 23:51 - 000003992 _____ C:\WINDOWS\System32\Tasks\synchronized minting hermiasynchronized minting hermia
2018-08-25 23:51 - 2018-08-25 23:51 - 000003962 _____ C:\WINDOWS\System32\Tasks\alienate commutingalienate commuting
2018-08-25 23:51 - 2018-08-25 23:51 - 000003952 _____ C:\WINDOWS\System32\Tasks\vittorio-timeslotvittorio-timeslot
2018-08-25 23:51 - 2018-08-25 23:51 - 000003948 _____ C:\WINDOWS\System32\Tasks\stephane_barcostephane_barco
2018-08-25 23:51 - 2018-08-25 23:51 - 000003942 _____ C:\WINDOWS\System32\Tasks\exhaust_hollinsexhaust_hollins
2018-08-25 23:51 - 2018-08-25 23:51 - 000003916 _____ C:\WINDOWS\System32\Tasks\setset
2018-08-25 23:51 - 2018-08-25 23:51 - 000003914 _____ C:\WINDOWS\System32\Tasks\wealthywealthy
2018-08-25 23:51 - 2018-08-25 23:51 - 000003908 _____ C:\WINDOWS\System32\Tasks\fuldfuld
2018-08-25 23:51 - 2018-08-25 23:51 - 000000012 _____ C:\WINDOWS\b74578275
2018-08-25 23:47 - 2018-08-25 23:47 - 000000000 ____D C:\WINDOWS\System32\Tasks\System
2018-08-25 23:45 - 2018-08-26 00:32 - 000000000 ____D C:\Program Files (x86)\Chameleon Explorer
2018-08-25 23:45 - 2018-08-25 23:45 - 000003072 _____ C:\Users\user\AppData\Local\ddMK5Cheats.exe
2018-08-25 23:45 - 2018-08-25 23:45 - 000002976 _____ C:\WINDOWS\System32\Tasks\Chameleon Folder-user
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Enregistre le contenu par le menu fichier puis enregistrer.

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.


2°)
Réinitialise/Répare les navigateurs WEB concernés par les problèmes :

3°)
Termine par un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite

4°)
Vois ce que cela donne et si des améliorations ont eu lieu.
Si ce n'est pas le cas, si tu as encore des pages de pubs intempestives, précise sur quel navigateur WEB.
Refais un scan FRST et donne les nouveaux rapports via pjjoint.




0
Réponse 2 / 2
batou22003 Messages postés 16 Date d'inscription jeudi 10 juin 2004 Statut Membre Dernière intervention 26 octobre 2020
27 août 2018 à 12:10
Bonjour.

Merci, j'ai plus de problème.
C super. Tu fais ces scripts comment?

mon rapport :
https://pjjoint.malekal.com/files.php?id=20180827_r13j11i6s7u11


Merci beaucoup.

--
  • *

*
C'est au pied du mur que l'on voit mieux...

... le mur.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
27 août 2018 à 12:28
Regarde cet article : https://www.malekal.com/supprimer-virus-sans-logiciel-windows/
Tu as des explications.
0

Discussions similaires

Instagram "Désolé, une erreur s'est produite"
bananamilk -
cedric.masdeb -

60 réponses
Free erreur 38 : impossible d'envoyer des SMS
warnawak -
marcellou -

58 réponses