Menu

Message Script

- - Dernière réponse : bazfile
Messages postés
18581
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
20 mai 2019
- 16 mai 2019 à 19:30
Bonjour,

J'ai un problème à chaque fois que je démarre mon ordi , il m'affiche un message d'erreur de script qui se trouve etre introuvable. J'ai eu à suivre un tutoriel d'un cetain @Malekalmort mais hélas il a dit arreter d'aider sur ce Topic , est ce que quelqu'un pourrait m'aider s'il vous plait , j'ai télécharger le FBR et fait l'analyse ensuite j'ai généré les trois liens de chaque rapport , que voici :

https://pjjoint.malekal.com/files.php?id=FRST_20190516_o14e8u10b6c14
https://pjjoint.malekal.com/files.php?id=20190516_s8j5s12l8u7
https://pjjoint.malekal.com/files.php?id=20190516_x6e10b15y5v8

Merci de bien vouloir m'aider.
Configuration: Windows / Edge 18.17763
Afficher la suite 

Votre réponse

1 réponse

Messages postés
18581
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
20 mai 2019
5743
0
Merci
Bonjour,
L'infection est arrivée via une clé USB infectée.
Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
HKU\S-1-5-21-2890899761-2904057494-2851599492-1001\...\Run: [SysinfY2X] => C:\WINDOWS\system32\cmd.exe /c start wscript /e:VBScript.Encode %temp%\SysinfY2X.db
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction
CloseProcesses:
EmptyTemp:
Reboot:
End::

2- Une fois le script copié revient dans FRST clique sur Corriger FRST va prendre automatiquement le script dans le presse papier et l'exécuter.
Laisse la correction se faire une fois qu'elle est terminée redémarre ton ordinateur.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.
5- Réinitialise tes navigateurs internet : https://www.commentcamarche.com/faq/26679-reinitialiser-son-navigateur
6- Vérifie et dis-moi si ton problème est toujours présent.

Désinfecte la clé USB:
Télécharge Remediate VBS WORM ouvre Remediate VBS WORM prend l'option B comme ceci :


Puis appuie sur la touche Entrée, une fenêtre apparaît met la lettre de ta clé USB à désinfecter attention ne jamais mettre le disque C :

Appuie sur la touche Entrée, quand la désinfection sera terminée ouvre le disque C tu y trouveras un fichier nommé Rem-VBS.log envoie-le sur https://pjjoint.malekal.com/ met le lien généré dans ta réponse.
-
Bonjour,
Merci pour votre réponse .
J'ai suivi à la lettre les indications , et voici le lien généré :
https://pjjoint.malekal.com/files.php?id=20190516_w15d5v7s8n14
bazfile
Messages postés
18581
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
20 mai 2019
5743 -
C'est mieux ?
-
Oui ca marche , le message d'erreur ne s'affiche plus. Merci de m'avoir aider.

J'aurai une question , dans le Script j'ai vu Windows 32 bits alors que j'ai le 64bits sous Windows 10 , y'a aucun impact la dessus ou bien ? Parce qu'Avant d'entrer dans ce forum j'etais confronté à un ecran bleu de Windows qui disait tenter de redemarrer mon ordi , je me suis dit surement cest l'oeuvre d'un virus
bazfile
Messages postés
18581
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
20 mai 2019
5743 -
Non les rapports FRST donnent bien une version 64 bits de Windows 10, dans le script c'est system32 rien à voir avec ta version de Windows c'est un dossier présent dans toutes les versions de Windows.
Commenter la réponse de bazfile