Windows Script host Users/hp/AppData/Local/Temp/Serviecs.vbs Fermé

Question

Bonjour, 
 windows Script host Users/hp/AppData/Local/Temp/servics.vbs
 le message que j'ai au démarrage de mon PC je ne sais pas si c'est dus a une mauvaise manipulation ou lors d'une suppression d'un virus 
 merci d'aider 
Configuration: Windows 7 / Firefox 20.0

juju666 · Accepted Answer

Salut,

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections : 

&#9654 Télécharge ici :OTL

&#9654 Fais un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous Vista, Windows 7 ou Windows 8). Vérifier que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.

&#9654 Quand la fenêtre apparaît, Coche la case Tous les utilisateurs
&#9654 Coche les cases à coté de Recherche Lop et Recherche Purity.
&#9654 Laisse tous les autres paramètres par défaut 

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"


msconfig 
netsvcs 
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
winsock.*
/md5stop
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%SYSTEMDRIVE%\*.*
BASESERVICES
CREATERESTOREPOINT
SAVEMBR:0

&#9654 Clic sur Analyse.

A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt).

NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT

Ces fichiers se trouvent à côté de l'exécutable OTL.exe

héberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange  

NE PAS COPIER/COLLER LE LIEN DE SUPPRESSION, CONSERVE-LE SI TU DESIRE ENSUITE SUPPRIMER LES RAPPORTS DE LA BASE DE DONNEES FEC

lapourvous · Answer

Bonsoir oui quelle type de virus

yakoko · Answer

justement je l'ignore j'ai effectuer un scan mais avast ne détecte rien anti-malware non plus et j'ai aussi nettoyer avec ccleaner le registre en vain !

yakoko · Answer

aie aie aie ! je ne comprends tout !!!  jusqu'à Clic sur Analyser ça va mais après je suis perdue !! please need more explanation

juju666 · Answer

Tu comprends pas comment héberger le fichier ? 

CF : https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers
Sur cjoint, c'pareil t'façon, du moment que je peux consulter les 2 fichiers texte créés par OTL :)

yakoko · Answer

a la fin de l'analyse je n'ai eu qu'un seul fichier que le OTL pas d'autres 


	https://forums-fec.be/upload/www/?a=r&i=8048531172&r=8219664653

juju666 · Answer

Je suis formel il doit y avoir un fichier extras à côté :)

yakoko · Answer

pour le second lien c'est Ok ? 

non il n'y a qu'un seul document  bloc-note qui c'est ouvert

juju666 · Answer

bon tu sais quoi fait avec cjoint comme expliqué ici : https://forums.commentcamarche.net/forum/affich-27742454-windows-script-host-users-hp-appdata-local-temp-serviecs-vbs#5
sinon on va y passer la nuit.
Là tu as supprimé le fichier (t'as cliqué sur le Lien de suppression) donc ...

yakoko · Answer

galère galère !!! 
merci bcp bcp bcp de vouloir m'aider c'est très gentil juju un big up a toi 
mais j'abandonne  pour aujourd'hui  
je te tiendrais au courant  merci encore 
XX

juju666 · Answer

Pourtant pas compliqué, tout le monde y arrive, regarde : https://forums.commentcamarche.net/forum/affich-27743536-boite-mail-piratee#10

A demain, par contre je risque d'être très peu présent la semaine prochaine. 

Bonne nuit.

yakoko · Answer

https://pjjoint.malekal.com/files.php?id=20130506_h14b12z11o6t5


j'ai lu sur un autre forum que ce n'est pas obligatoire d'avoir deux fichier block note  j'ai utiliser au autre site aussi mais j'ignore comment faire après

yakoko · Answer

et la j'ai refais celui d'hier 
 	https://forums-fec.be/upload/www/?a=d&i=1530909857

	https://forums-fec.be/upload/www/?a=r&i=1530909857&r=0725546381

juju666 · Answer

"Run 3", "Run 4" ... Tu vas le lancer combien de fois OTL ? ;/
 
j'ai lu sur un autre forum que ce n'est pas obligatoire d'avoir deux fichier block note
Tu ne vas pas m'apprendre l'outil, je forme des gens à celui-ci ! Je suis formel, si tu suis ma configuration, lors du premier lancement il créé les 2 fichiers (OTL et Extras).

Bref nous ferons sans !

1)
Relance OTL, sous personnalisation colle cette fois ceci :


:OTL
O4 - HKLM\..\Run: [Serviecs.vbs] C:\Users\hp\AppData\Local\Temp\Serviecs.vbs () 
@Alternate Data Stream - 127 bytes -> C:\ProgramData\TEMP:890CC2F3      

:Files
C:\Users\hp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Serviecs.vbs
ipconfig /flushdns /C

:Commands
[EMPTYTEMP]


Click Correction et poste le rapport qui s'ouvrira après redémarrage.

~~

2)
Attention à ce que tu installes :
Des logiciels additionnels sont proposés (barre d'outils, adwares) via l'installation de logiciel gratuit en général ou via certains sites de téléchargement comme S0ft0nic.
L'éditeur touche de l'argent à chaque installation réussie de ces programmes additionnels (un genre de sponsoring), ton PC se retrouve avec des barres d'outils qui ralentissent le navigateur ou des adwares qui ouvrent des popups de publicités.
Les barres d'outils sont là pour t'affilier à un service (moteur de recherche de Yahoo! ou Google), ça rajoute des fonctionnalités mais en général les navigateurs les ont par défaut.
De plus, elles enregistrent les sites que tu visites pour les transmettre (tracking) à faire de la publicité ciblée, c'est pas super niveau protection de la vie privée.
Plusieurs toolbars ralentissent le PC et peuvent faire planter les navigateurs WEB.
Au final, il est pas conseillé d'en utiliser.

Enfin l'accumulation de ces programmes ralentissent l'ordinateur/navigateur WEB.

Ces programmes additionnels sont proposées à l'installation de programmes et très souvent ces ajouts sont précochés.
Dès lors, lorsque tu installes un programme, lis bien ce qui est proposé car tu risques d'installé des barres d'outils sans le savoir.

Lire Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/

&#9654 Télécharge sur cette page: AdwCleaner (de Xplode) 

&#9654 Lance-le

clique sur Suppression et patiente le temps du nettoyage.

&#9654 Poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.

A+

yakoko · Answer

# AdwCleaner v2.300 - Rapport créé le 06/05/2013 à 18:36:58
# Mis à jour le 28/04/2013 par Xplode
# Système d'exploitation : Windows 7 Ultimate Service Pack 1 (64 bits)
# Nom d'utilisateur : hp - HP-PC
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\hp\Downloads\Programs\adwcleaner.exe
# Option [Suppression]


***** [Services] *****

Arrêté & Supprimé : Yontoo Desktop Updater

***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files (x86)\Common Files\Speedbit
Dossier Supprimé : C:\Program Files (x86)\Optimizer Pro
Dossier Supprimé : C:\Program Files (x86)\Yontoo
Dossier Supprimé : C:\Program Files\DomaIQ Uninstaller
Dossier Supprimé : C:\ProgramData\Babylon
Dossier Supprimé : C:\ProgramData\Tarma Installer
Dossier Supprimé : C:\Users\hp\AppData\Local\Babylon
Dossier Supprimé : C:\Users\hp\AppData\LocalLow\simplytech
Dossier Supprimé : C:\Users\hp\AppData\Roaming\Babylon
Dossier Supprimé : C:\Users\hp\AppData\Roaming\cacaoweb
Dossier Supprimé : C:\Users\hp\AppData\Roaming\dvdvideosoftiehelpers
Dossier Supprimé : C:\Users\hp\AppData\Roaming\Mozilla\Firefox\Profiles\gc20j9da.default\extensions\cacaoweb@cacaoweb.org
Dossier Supprimé : C:\Users\hp\AppData\Roaming\Mozilla\Firefox\Profiles\gc20j9da.default\extensions\plugin@yontoo.com
Dossier Supprimé : C:\Users\hp\AppData\Roaming\Mozilla\Firefox\Profiles\gc20j9da.default\jetpack
Dossier Supprimé : C:\Users\hp\AppData\Roaming\Yontoo
Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\searchplugins\babylon.xml
Fichier Supprimé : C:\Users\hp\AppData\Roaming\Mozilla\Firefox\Profiles\gc20j9da.default\searchplugins\delta.xml
Fichier Supprimé : C:\Users\hp\AppData\Roaming\Mozilla\Firefox\Profiles\gc20j9da.default\searchplugins\speedbit.xml

***** [Registre] *****

Clé Supprimée : HKCU\Software\AppDataLow\Software\Vid-Saver
Clé Supprimée : HKCU\Software\BabylonToolbar
Clé Supprimée : HKCU\Software\cacaoweb
Clé Supprimée : HKCU\Software\DataMngr
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9D717F81-9148-4F12-8568-69135F087DB0}
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKCU\Software\SpeedBit
Clé Supprimée : HKCU\Software\5a0dcd0b16ded14
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{7F4EFF06-7032-458E-AE16-1C1D8255C28A}
Clé Supprimée : HKLM\Software\Babylon
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{CFDAFE39-20CE-451D-BD45-A37452F39CF0}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\YontooIEClient.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{D372567D-67C1-4B29-B3F0-159B52B3E967}
Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Api
Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Api.1
Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Layers
Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Layers.1
Clé Supprimée : HKLM\Software\DataMngr
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\datamngrUI_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\datamngrUI_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\Vid-Saver_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\Vid-Saver_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\Vid-Saver-InternalInstaller_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\Vid-Saver-InternalInstaller_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{7E84186E-B5DE-4226-8A66-6E49C6B511B4}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{99066096-8989-4612-841F-621A01D54AD7}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{FE9271F2-6EFD-44B0-A826-84C829536E93}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions
iapdbllcanepiiimjjndipklodoedlc
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{7F4EFF06-7032-458E-AE16-1C1D8255C28A}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9D717F81-9148-4F12-8568-69135F087DB0}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\DomaIQ Uninstaller
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9D717F81-9148-4F12-8568-69135F087DB0}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}
Clé Supprimée : HKLM\SOFTWARE\Tarma Installer
Valeur Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [cacaoweb]
Valeur Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [Yontoo Desktop]
Valeur Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{99079A25-328F-4BD4-BE04-00955ACAA0A7}]

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16476

Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://www2.delta-search.com/?affID=119292&tt=gc_050513_d9114_gc_&babsrc=HP_ss&mntrId=1629666D57651684 --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page Before] = hxxp://www.delta-search.com/?affID=120519&babsrc=HP_ss&mntrId=1629666D57651684 --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\SearchUrl - (Default)] = hxxp://search.certified-toolbar.com?si=38268&bs=true&tid=77&q=%s --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl - (Default)] = hxxp://search.certified-toolbar.com?si=38268&bs=true&tid=77&q=%s --> hxxp://www.google.com

-\ Mozilla Firefox v20.0.1 (fr)

Fichier : C:\Users\hp\AppData\Roaming\Mozilla\Firefox\Profiles\gc20j9da.default\prefs.js

C:\Users\hp\AppData\Roaming\Mozilla\Firefox\Profiles\gc20j9da.default\user.js ... Supprimé !

Supprimée : user_pref("browser.newtab.url", "hxxp://www2.delta-search.com/?affID=119292&tt=gc_050513_d9114_gc_&b[...]
Supprimée : user_pref("browser.startup.homepage", "hxxp://www2.delta-search.com/?affID=119292&tt=gc_050513_d9114[...]
Supprimée : user_pref("extensions.delta.admin", false);
Supprimée : user_pref("extensions.delta.aflt", "babsst");
Supprimée : user_pref("extensions.delta.appId", "{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}");
Supprimée : user_pref("extensions.delta.autoRvrt", "false");
Supprimée : user_pref("extensions.delta.dfltLng", "en");
Supprimée : user_pref("extensions.delta.excTlbr", false);
Supprimée : user_pref("extensions.delta.id", "16295a1e000000000000666d57651684");
Supprimée : user_pref("extensions.delta.instlDay", "15784");
Supprimée : user_pref("extensions.delta.instlRef", "sst");
Supprimée : user_pref("extensions.delta.newTab", false);
Supprimée : user_pref("extensions.delta.prdct", "delta");
Supprimée : user_pref("extensions.delta.prtnrId", "delta");
Supprimée : user_pref("extensions.delta.rvrt", "false");
Supprimée : user_pref("extensions.delta.smplGrp", "none");
Supprimée : user_pref("extensions.delta.tlbrId", "base");
Supprimée : user_pref("extensions.delta.tlbrSrchUrl", "");
Supprimée : user_pref("extensions.delta.vrsn", "1.8.10.0");
Supprimée : user_pref("extensions.delta.vrsnTs", "1.8.10.018:58:11");
Supprimée : user_pref("extensions.delta.vrsni", "1.8.10.0");
Supprimée : user_pref("extentions.y2layers.defaultEnableAppsList", "DropDownDeals,buzzdock,YontooNewOffers");
Supprimée : user_pref("extentions.y2layers.installId", "99d64cba-5f77-4b9f-8c22-7531b500f917");

-\ Google Chrome v26.0.1410.64

Fichier : C:\Users\hp\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R3].txt - [9071 octets] - [06/05/2013 18:36:42]
AdwCleaner[S3].txt - [9059 octets] - [06/05/2013 18:36:58]

########## EOF - C:\AdwCleaner[S3].txt - [9119 octets] ##########

yakoko · Answer

All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run not found.
File move failed. C:\Users\hp\AppData\Local\Temp\Serviecs.vbs scheduled to be moved on reboot.
ADS C:\ProgramData\TEMP:890CC2F3 deleted successfully.
========== FILES ==========
C:\Users\hp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Serviecs.vbs moved successfully.
[color=#A23BEC]< ipconfig /flushdns /C >[/color]
Configuration IP de Windows
Cache de r'solution DNS vid'.
C:\Users\hp\Downloads\cmd.bat deleted successfully.
C:\Users\hp\Downloads\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
->Temp folder emptied: 51722 bytes
->Temporary Internet Files folder emptied: 32902 bytes
->Flash cache emptied: 58264 bytes
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
->Flash cache emptied: 57472 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: hp
->Temp folder emptied: 21117411 bytes
->Temporary Internet Files folder emptied: 22920140 bytes
->FireFox cache emptied: 76255997 bytes
->Google Chrome cache emptied: 126475029 bytes
->Flash cache emptied: 73545 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 3000832 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 43347 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 36116443 bytes
RecycleBin emptied: 496772 bytes
 
Total Files Cleaned = 273,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 05062013_185051

Files\Folders moved on Reboot...
C:\Users\hp\AppData\Local\Temp\Serviecs.vbs moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

juju666 · Answer

Que c'est indigeste de lire des rapports sans les petits mots qui pourraient les accompagner :)

Relance OTL, clique sur "Analyse rapide", envoie le lien pour lire le rapport

yakoko · Answer

je suis vraiment navrée ! je stresse pour mon mémoire qui lors du scan a vu bcp d'autres fichier s'extraire des pages word jsp que je ne vais pas perdre le contenu 
merci JUJU tu es mon sauveur je le sens ! 
merchi merchi bcp pour l'effort que tu fais  
god bless you

juju666 · Answer

mon mémoire qui lors du scan a vu bcp d'autres fichier s'extraire des pages word 
 ????
Tu as perdu des trucs ?

J'attends le nouveau rapport OTL :)

yakoko · Answer

non je n'ai rien perdu mais mes documents word se multiplient mais restent accessibles encore heureux ma soutenance se fait dans 1 mois après 6mois de travaille 


quelles autres rapports ? je croyais avoir tout fait

juju666 · Answer

Coucou :)

C'est des fichiers de sauvegarde ça ;) c'est parce qu'on a affiché les fichiers cachés en utilisant OTL, on rétablit ça après.

juju666 6 mai 2013 à 20:03 
Relance OTL, clique sur "Analyse rapide", envoie le lien pour lire le rapport  

=> Pour contrôler :)

A+

yakoko · Answer

ah cool ça rassure ça !  merci ;) 
le lien comme pour la première fois ?? ou je te copie juste ce contenu du rapport ? 
merci encore de prendre le temps de me lire et de m'aider

juju666 · Answer

héhé
bah dans l'ordre :
- Lancer OTL
- Cliquer sur Analyse Rapide (et toucher à rien d'autre)
- Aller sur un hébergeur de fichier (cjoint, pjjoint, fec upload, ...) pour envoyer le fichier créé par OTL
- Copier/coller le lien afin que je consulte le rapport

yakoko · Answer

https://forums-fec.be/upload/www/?a=d&i=2554969284

	https://forums-fec.be/upload/www/?a=r&i=2554969284&r=5604860396

voila ! mais en faite il a quoi mon PC c'est du a quoi cette fenêtre d'erreur au démarrage ? 
 :D

juju666 · Answer

C'est une clé de registre qui permet de démarrer le "virus". 
Comme le fichier du virus est supprimé windows retourne une erreur.

Bizarre que ça soit toujours pas parti d'ailleurs ...

Relance OTL
Colle ça en personnalisation : 

:OTL
O4 - HKLM\..\Run: [Serviecs.vbs] C:\Users\hp\AppData\Local\Temp\Serviecs.vbs ()  
O4 - HKU\S-1-5-21-279945389-975828082-2894945554-1000\..\Run: [Serviecs.vbs] C:\Users\hp\AppData\Local\Temp\Serviecs.vbs () 

:Files
C:\Users\hp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Serviecs.vbs 

Click Correction et poste ici le rapport qui s'ouvrira.
NE REDEMARRE PAS LA MACHINE

yakoko · Answer

========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run not found.
File move failed. C:\Users\hp\AppData\Local\Temp\Serviecs.vbs scheduled to be moved on reboot.
Registry value HKEY_USERS\S-1-5-21-279945389-975828082-2894945554-1000\Software\Microsoft\Windows\CurrentVersion\Run\Serviecs.vbs deleted successfully.
File move failed. C:\Users\hp\AppData\Local\Temp\Serviecs.vbs scheduled to be moved on reboot.
========== FILES ==========
C:\Users\hp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Serviecs.vbs moved successfully.
 
OTL by OldTimer - Version 3.2.69.0 log created on 05072013_174551

juju666 · Answer

Bien mais y'a encore quelque chose qui a merdouillé :)

Donc maintenant tu mets ça en personnalisation: 

:reg
hkey_local_machine\software\microsoft\windows\currentversion\run
"Serviecs.vbs"=-

:files
del /F /Q C:\Users\hp\AppData\Local\Temp\*.vbs >> C:\_OTL\extradel.txt /C

:commands
[EMPTYTEMP] 
 
Click correction, le pc va redémarrer, poste le rapport qui s'ouvre PLUS C:\_OTL\extradel.txt

yakoko · Answer

you got it man enfin I think so ! c'est la le blem dès que je lance la correction OTL ne répond plus les pages net se referme et la un petit beug mais rien de méchant ! J'ai du refaire la même opération 5 fois au moins et arrêter le processus  finalement 
JUJU a toi d'agir que faire ?

yakoko · Answer

une petite autre question au passage : est ce normal qu'a chaque fois que je veuille ouvrir un programme on me demande de le réinstaller ?
thnx again :)

juju666 · Answer

Hello !

Ouais je me suis trompé :)
Y'a eu des rapports ou non ? 
Voir à C:\_OTL\MovedFiles normalement y'a des rapports date-heure.log regarde ceux d'hier, poste-les voir

yakoko · Answer

je n'ai eu aucun rapport ! et ceux d'hier je les ai posté

yakoko · Answer

cette derniere formule je la mets ou ? 
j'la poste seule sur OTL? 

dsl je te harcelais avec mes questions

juju666 · Answer

Mets ça en personnalisation sous OTL et click correction, ça fonctionnera mieux :p

:reg
[hkey_local_machine\software\microsoft\windows\currentversion\run]
"Serviecs.vbs"=-

:files
del /F /Q C:\Users\hp\AppData\Local\Temp\*.vbs >> C:\_OTL\extradel.txt /C

:commands
[EMPTYTEMP]

yakoko · Answer

All processes killed
========== REGISTRY ==========
Registry value hkey_local_machine\software\microsoft\windows\currentversionun\Serviecs.vbs not found.
========== FILES ==========
[color=#A23BEC]< del /F /Q C:\Users\hp\AppData\Local\Temp\*.vbs >> C:\_OTL\extradel.txt /C >[/color]
C:\Users\hp\AppData\Local\Temp\Serviecs.vbs
C:\Users\hp\Downloads\cmd.bat deleted successfully.
C:\Users\hp\Downloads\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: hp
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 2742747 bytes
->FireFox cache emptied: 121456351 bytes
->Google Chrome cache emptied: 69154099 bytes
->Flash cache emptied: 1424 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 55362 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 197120 bytes
 
Total Files Cleaned = 185,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 05082013_193847

Files\Folders moved on Reboot...
C:\Users\hp\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRF{286BCBC5-30B3-4F5F-8F6C-538F011DCEC4}.tmp moved successfully.
C:\Users\hp\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRS{41D67459-82F4-48B3-82AE-BC2A514F351B}.tmp moved successfully.
C:\Users\hp\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRS{9E3A4686-28B8-4BC0-9C68-D7F3C03C0F26}.tmp moved successfully.
C:\Users\hp\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRS{A68D9604-77E3-4688-8338-C75BFE5711F9}.tmp moved successfully.
C:\Users\hp\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRS{FEB6ADDB-4285-4F76-A148-6EAA510172F7}.tmp moved successfully.
C:\Users\hp\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.MSO\2904EDA1.wmf moved successfully.
C:\Users\hp\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.MSO\432DF41F.wmf moved successfully.
C:\Users\hp\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.MSO\8FA0BF94.wmf moved successfully.
C:\Users\hp\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.MSO\C4910BDB.wmf moved successfully.
C:\Users\hp\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.MSO\EE79DC20.wmf moved successfully.
File\Folder C:\Users\hp\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.MSO\mso201F.tmp not found!

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

yakoko · Answer

-_- toujours cette boite de dialogue qui me ressort cette erreur

juju666 · Answer

Salut

&#9654 Fais un clic droit et "Enregistrer la cible (du lien sous) -> tonprenom.exe -> destination ton bureau (ET PAS AILLEURS) sur le lien suivant : ComboFix 

&#9654 Ferme les fenêtres  de tous les programmes en cours. 
Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 


si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur combofix renommé 

Si tu es sur Windows XP, laisse-le installer la console de récupération.

&#9654 Ne touche à rien durant le scan

ComboFix devrait redémarrer ton PC.

&#9654 n'oublie pas de réactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

&#9654&#9654 Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

 
&#9654&#9654&#9654 Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

yakoko · Answer

merci merci merci 
le message d'erreur n'apparait plus au démarrage !!!!! 
mais est ce normal que l'icône  de combofix sur le bureau a disparue ?

juju666 · Answer

Pouvons nous consulter le rapport de combofix, merci

yakoko · Answer

aie aie aie le blem réapparait ! cette erreur persiste au démarrage

juju je déprime :'(

juju666 · Answer

moi aussi, c'est pour cela que je désire lire le rapport de combofix (C:\ComboFix.txt)

yakoko · Answer

combofix_764 
C0:Deconnexion.
C1:Deconnexion.
C2:Deconnexion.
C3:Deconnexion.
C4:Deconnexion.
C5:Deconnexion.
C6:Deconnexion.
C7:Deconnexion.
Cancel by user.
 dans le dossier il y a ça mais aussi le suivant:
2013-05-10 08:58:42 . 2013-05-10 09:09:04              235 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\ShellIconOverlayIdentifiers-{BBACC218-34EA-4666-9D7A-C78F2274A524}.reg.dat
2013-05-10 08:58:42 . 2013-05-10 09:09:04              235 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\ShellIconOverlayIdentifiers-{A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}.reg.dat
2013-05-10 08:58:42 . 2013-05-10 09:09:04              235 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\ShellIconOverlayIdentifiers-{F241C880-6982-4CE5-8CF7-7085BA96DA5A}.reg.dat
2013-05-10 08:58:28 . 2013-05-10 08:58:28              170 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\Wow6432Node-ShellIconOverlayIdentifiers-{BBACC218-34EA-4666-9D7A-C78F2274A524}.reg.dat
2013-05-10 08:58:28 . 2013-05-10 08:58:28              170 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\Wow6432Node-ShellIconOverlayIdentifiers-{A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}.reg.dat
2013-05-10 08:58:28 . 2013-05-10 08:58:28              170 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\Wow6432Node-ShellIconOverlayIdentifiers-{F241C880-6982-4CE5-8CF7-7085BA96DA5A}.reg.dat
2013-05-10 08:54:53 . 2013-05-10 09:06:42           17,992 ----a-w-  C:\Qoobox\Quarantine\Registry_backups	cpip.reg
2013-05-10 08:48:35 . 2013-05-10 09:03:29              102 ----a-w-  C:\Qoobox\Quarantine\catchme.log
  

et pour finir ça 
2013-05-10 08:58:42 . 2013-05-10 09:09:04              235 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\ShellIconOverlayIdentifiers-{BBACC218-34EA-4666-9D7A-C78F2274A524}.reg.dat
2013-05-10 08:58:42 . 2013-05-10 09:09:04              235 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\ShellIconOverlayIdentifiers-{A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}.reg.dat
2013-05-10 08:58:42 . 2013-05-10 09:09:04              235 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\ShellIconOverlayIdentifiers-{F241C880-6982-4CE5-8CF7-7085BA96DA5A}.reg.dat
2013-05-10 08:58:28 . 2013-05-10 08:58:28              170 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\Wow6432Node-ShellIconOverlayIdentifiers-{BBACC218-34EA-4666-9D7A-C78F2274A524}.reg.dat
2013-05-10 08:58:28 . 2013-05-10 08:58:28              170 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\Wow6432Node-ShellIconOverlayIdentifiers-{A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}.reg.dat
2013-05-10 08:58:28 . 2013-05-10 08:58:28              170 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\Wow6432Node-ShellIconOverlayIdentifiers-{F241C880-6982-4CE5-8CF7-7085BA96DA5A}.reg.dat
2013-05-10 08:54:53 . 2013-05-10 09:06:42           17,992 ----a-w-  C:\Qoobox\Quarantine\Registry_backups	cpip.reg
2013-05-10 08:48:35 . 2013-05-10 09:03:29              102 ----a-w-  C:\Qoobox\Quarantine\catchme.log

juju666 · Answer

Boh ... 

"Cancel by user. "  tu as interrompu combofix ? 


 &#9654 Télécharge ici :SEAF.exe de C_XX 

&#9654 Lance-le, une fenêtre va s'ouvrir . 

&#x25CF Tape servics.vbs dans cette fenêtre  

&#x25CF Dans "[Options des fichiers]", choisis l'option MD5 pour "Calculer le checksum" et coche le bouton radio devant "Informations supplémentaires" 

&#x25CF Dans "[Options du registre]", choisis "Chercher également dans le registre"

&#9654 Clique sur "Lancer la rechercher" 
Patiente pendant la recherche. 
Une fenêtre avec un log.txt va s'afficher. 
&#9654 Copie/colle ce rapport dans ta prochaine réponse.

yakoko · Answer

1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 14:01:56 le 10/05/2013
4. 
5. Valeur(s) recherchée(s):
6. servics.vbs
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Recherche registre
12. 
13. ====== Fichier(s) ======
14. 
15. Aucun fichier trouvé
16. 
17. 
18. ====== Entrée(s) du registre ======
19. 
20. Aucun élément dans le registre trouvé
21. 
22. =========================
23. 
24. Fin à: 14:03:36 le 10/05/2013
25. 391685 Éléments analysés
26. 
27. =========================
28. E.O.F

comme promis :p

juju666 · Answer

ok la même chose avec ça  maintenant : 

Serviecs.vbs

yakoko · Answer

emm !! je suis sensée  faire quoi ??

juju666 · Answer

&#9654 Relance SEAF, une fenêtre va s'ouvrir . 

&#x25CF Tape Serviecs.vbs dans cette fenêtre  

&#x25CF Dans "[Options des fichiers]", choisis l'option MD5 pour "Calculer le checksum" et coche le bouton radio devant "Informations supplémentaires" 

&#x25CF Dans "[Options du registre]", choisis "Chercher également dans le registre"

&#9654 Clique sur "Lancer la rechercher" 
Patiente pendant la recherche. 
Une fenêtre avec un log.txt va s'afficher. 
&#9654 Copie/colle ce rapport dans ta prochaine réponse.

yakoko · Answer

:) j'ai bien envie de comprendre tout ça mais cela me dépasse  
 je me contente d'exécuter :p et ne cesse de te remercier :)  

1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 14:40:10 le 10/05/2013
4. 
5. Valeur(s) recherchée(s):
6. Servics.vbs
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Recherche registre
12. 
13. ====== Fichier(s) ======
14. 
15. Aucun fichier trouvé
16. 
17. 
18. ====== Entrée(s) du registre ======
19. 
20. Aucun élément dans le registre trouvé
21. 
22. =========================
23. 
24. Fin à: 14:41:50 le 10/05/2013
25. 391804 Éléments analysés
26. 
27. =========================
28. E.O.F

juju666 · Answer

Raté j'avais demandé avec ça, respecte bien l'orthographe : Serviecs.vbs

yakoko · Answer

1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 14:56:44 le 10/05/2013
4. 
5. Valeur(s) recherchée(s):
6. Serviecs.vbs
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Recherche registre
12. 
13. ====== Fichier(s) ======
14. 
15. 
16. "C:\Users\hp\AppData\Local\Temp\Serviecs.vbs" [ NOT_CONTENT_INDEXED|ARCHIVE | 5 Ko ]
17. TC: 08/05/2013,09:21:56 | TM: 18/01/2013,09:35:26 | DA: 08/05/2013,09:21:56
18. 
19. Hash MD5: F3E7390115D4A4AD5CFA9CCA22D84EEF
20. 
21. 
22. =========================
23. 
24. 
25. "C:\Users\hp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Serviecs.vbs" [ ARCHIVE | 5 Ko ]
26. TC: 26/04/2013,16:41:51 | TM: 18/01/2013,09:35:26 | DA: 07/05/2013,17:46:03
27. 
28. Hash MD5: F3E7390115D4A4AD5CFA9CCA22D84EEF
29. 
30. 
31. =========================
32. 
33. 
34. "C:\_OTL\MovedFiles\05062013_185051\C_Users\hp\AppData\Local\Temp\Serviecs.vbs" [ NOT_CONTENT_INDEXED|ARCHIVE | 5 Ko ]
35. TC: 01/05/2013,15:10:36 | TM: 18/01/2013,09:35:26 | DA: 01/05/2013,15:10:36
36. 
37. Hash MD5: F3E7390115D4A4AD5CFA9CCA22D84EEF
38. 
39. 
40. =========================
41. 
42. 
43. "C:\_OTL\MovedFiles\05062013_185051\C_Users\hp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Serviecs.vbs" [ ARCHIVE | 5 Ko ]
44. TC: 26/04/2013,16:41:51 | TM: 18/01/2013,09:35:26 | DA: 01/05/2013,15:09:10
45. 
46. Hash MD5: F3E7390115D4A4AD5CFA9CCA22D84EEF
47. 
48. 
49. =========================
50. 
51. 
52. "C:\_OTL\MovedFiles\05072013_174551\C_Users\hp\AppData\Local\Temp\Serviecs.vbs" [ NOT_CONTENT_INDEXED|ARCHIVE | 5 Ko ]
53. TC: 01/05/2013,15:10:36 | TM: 18/01/2013,09:35:26 | DA: 06/05/2013,18:52:58
54. 
55. Hash MD5: F3E7390115D4A4AD5CFA9CCA22D84EEF
56. 
57. 
58. =========================
59. 
60. 
61. "C:\_OTL\MovedFiles\05072013_174551\C_Users\hp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Serviecs.vbs" [ ARCHIVE | 5 Ko ]
62. TC: 26/04/2013,16:41:51 | TM: 18/01/2013,09:35:26 | DA: 06/05/2013,18:51:01
63. 
64. Hash MD5: F3E7390115D4A4AD5CFA9CCA22D84EEF
65. 
66. 
67. =========================
68. 
69. 
70. 
71. ====== Entrée(s) du registre ======
72. 
73. 
74. [HKU\S-1-5-21-279945389-975828082-2894945554-1000\Software\Microsoft\Windows\CurrentVersion\Run]
75. "Serviecs.vbs"=""C:\Users\hp\AppData\Local\Temp\Serviecs.vbs"" (REG_SZ)
76. 
77. =========================
78. 
79. Fin à: 14:58:25 le 10/05/2013
80. 391844 Éléments analysés
81. 
82. =========================
83. E.O.F

juju666 · Answer

OK maintenant un coup de Correction OTL avec ça : 

:Files
C:\Users\hp\AppData\Local\Temp\Serviecs.vbs
C:\Users\hp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Serviecs.vbs

:Reg
[HKU\S-1-5-21-279945389-975828082-2894945554-1000\Software\Microsoft\Windows\CurrentVersion\Run] 
"Serviecs.vbs"=- 

:Commands
[Reboot]

Et ça devrait ENFIN être bon :)

yakoko · Answer

et hop après un redémarrage !
========== FILES ==========
File move failed. C:\Users\hp\AppData\Local\Temp\Serviecs.vbs scheduled to be moved on reboot.
C:\Users\hp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Serviecs.vbs moved successfully.
========== REGISTRY ==========
Registry value HKEY_USERS\S-1-5-21-279945389-975828082-2894945554-1000\Software\Microsoft\Windows\CurrentVersion\Run\Serviecs.vbs deleted successfully.
========== COMMANDS ==========
 
OTL by OldTimer - Version 3.2.69.0 log created on 05102013_151052

Files\Folders moved on Reboot...
C:\Users\hp\AppData\Local\Temp\Serviecs.vbs moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...


moué tu dois te dire que je maitrise comme une pros !!!!!

yakoko · Answer

moved successfully je ne sais pas mais ça pourra dire que c'est bon c'est réglé non ?

juju666 · Answer

Redémarre à nouveau et dis moi si le message apparait encore :)

yakoko · Answer

j'ai bien envie de te dire que ça a marché mais non le message d'erreur apparait tjr ! ça me fait de chier !!!!

juju666 · Answer

Clair il commence à me gonfler aussi ton truc, en principe il n'est pas si relou o/

 Repasse un coup de ComboFix renommé stp, le rapport devrait sortir cette fois-ci.

yakoko · Answer

j'ai du loupé ce truque ! comment ça renommé ?

juju666 · Answer

si tu as suivi ces consignes : https://forums.commentcamarche.net/forum/affich-27742454-windows-script-host-users-hp-appdata-local-temp-serviecs-vbs?page=2#43
normalement combofix est renommé !

Windows Script host Users/hp/AppData/Local/Temp/Serviecs.vbs

57 réponses

Discussions similaires