Demande info pour arreter un "Windows script hostRésolu/Fermé

Question

Bonjour, 



J'ai reçu un mail avec un fichier en PJ. J'ai telechargé ce fichier, depuis j'ai un message qui apparait à chaque fois que j'allume mon PC.


" le message: fenetre popup impossible de trouver le fichier scipt"

PC au ralentis
J'aimerai bien le supprimer mais je ne sais pas comment .


Je vous envoie en PJ une capture ecran du message.
J'ai installer CCleaner , puis ZHP cleanner sans succés.
Avez vous des astuces ou une solution pour tout nettoyer, supprimé ce scipt etc.
Merci d'avance

Pierr10 · Answer

Bonsoir,

Vous avez clairement attrapé un virus ou un malware.
Donc c'est plutôt Malekal_Morte- qui peut venir à votre secours.

En attendant vous pouvez toujours essayer de vous en débarrasser avec MalwareByte
https://fr.malwarebytes.com/
Téléchargez le (prenez la version gratuite qui doit être en essai).
Faites l'installation et les mises à jour. Puis lancez le programme de désinfection.

Malekal_morte- · Answer

Salut,

Pour vérifier l'ordinateur, je t'invite à faire cette analyse FRST et donner les rapports en retour : 

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :

 FRST.txt
 Shortcut.txt
 Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ afin de les partager.
En retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

alffouss · Answer

Bonjour,

Je tiens avant tous à vous remercier pour votre aide.

J'ai fais exactement, ce vous avez demandé 
voici les trois liens pour les trois fichier

https://pjjoint.malekal.com/files.php?id=20180601_k5l9f13e7v9
https://pjjoint.malekal.com/files.php?id=FRST_20180601_b13t12b11n7x15
https://pjjoint.malekal.com/files.php?id=20180601_p13c77x15l12

alffouss · Answer

J'attends  votre retour aprés votre analyse

merci d'avance

Malekal_morte- · Answer

ok pas l'air infecté,


Tu as des programmes qui ont été installés à l'achat de l'ordinateur ou installés par la suite et qui sont pas forcément utiles.
Ils encombrent Windows et peuvent le ralentir.
Tu peux donc les désinstaller.
Vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Désinstalle :

CCleaner
Web Companion - programme parasite installé avec utorrent
WinRAR
WinZip


PS : CCleaner n'est pas vraiment utile, même si on le recommande de partout.
Si tu veux le garder, désactive la surveillance de CCleaner, inutile, ça se met au démarrage de Windows et le ralentit avec ces nettoyages incessants, voir : https://www.malekal.com/supprimer-ccleaner-demarrage-windows/


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

CreateRestorePoint:CloseProcesses:Task: {18C105AD-9708-4DF3-A280-B54433000A28} - \Skype -> Pas de fichier <==== ATTENTIONEmptyTemp:RemoveProxy:Reboot:

Enregistre le contenu par le menu fichier puis enregistrer.

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.


Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky.

alffouss · Answer

merci pour ton aide,

J'ai fais exactement ce que tu m'as demandé, voilà le contenu du fichier créé :


Fichier : FIX log

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 02.06.2018
Exécuté par Ibrahima (03-06-2018 02:53:24) Run:1
Exécuté depuis C:\Users\Ibrahima\Desktop
Profils chargés: Ibrahima &  (Profils disponibles: Ibrahima)
Mode d'amorçage: Normal
==============================================

fixlist contenu:


CreateRestorePoint:
CloseProcesses:
Task: {18C105AD-9708-4DF3-A280-B54433000A28} - \Skype -> Pas de fichier <==== ATTENTION
EmptyTemp:
RemoveProxy:
Reboot:



Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{18C105AD-9708-4DF3-A280-B54433000A28} => non trouvé(e)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Skype => non trouvé(e)

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2903738563-485947708-3068372978-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2903738563-485947708-3068372978-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2903738563-485947708-3068372978-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-06032018023537507\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2903738563-485947708-3068372978-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-06032018023537507\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 9723904 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 26500838 B
Java, Flash, Steam htmlcache => 1080 B
Windows/system/drivers => 1734432 B
Edge => 25965908 B
Chrome => 130601 B
Firefox => 379824972 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 2604 B
NetworkService => 45806 B
Ibrahima => 30360749 B

RecycleBin => 137212 B
EmptyTemp: => 452.4 MB données temporaires supprimées.

================================


Le système a dû redémarrer.
 Fin de Fixlog 03:00:09

alffouss · Answer

Merci pour tous probléme résolu,
J'ai plus de ralentissement et le message de script disparue.

Merci 1000 fois Malekel

Malekal_morte- · Answer

de rien :)

Supprime le dossier C:\FRST


Termine par un nettoyage Malwarebytes -  Tutoriel Malwarebytes Anti-Malware version gratuite 
Evite les analyses et nettoyages réguliers ZHPCleaner, AdwCleaner, pas utile.

Quelques conseils : 

Pour ne plus te faire avoir. 
A lire - Programmes parasites / PUPs : Dossier Adwares/PUPs : programmes indésirables et parasites
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)

alffouss · Answer

Bonsoir Malekal-Morte,

Avant tout, je vous salue et vous sollicite  encore un fois pour des lenteurs que j'ai de nouveau sur mon PC.
Je vous explique :
J'ai installer GNS3 version 2.1.9 sur mon PC pour des simulations réseaux puis je les désinstaller pour des problèmes de bon fonctionnement.
Lors de son installation , j'ai désactivé les parfeux defender depuis mon Pc est au ralenti même au démarrage.
J'ai eu un message d'erreur venant d''avast d'un fichier nommé : MPSIGSTUBE.EXE 

J'ai de nouveau installer FRST puis lancer un scanner et j'ai le resulat des trois fichier :

"Shortcut", "addition" et FRST

voici le lien :

"Shortcut
 https://pjjoint.malekal.com/files.php?id=FRST_20180824_h12n15p11p5g12

 "addition" 
https://pjjoint.malekal.com/files.php?id=20180824_y13c12n15d13n8

"FRST"

 https://pjjoint.malekal.com/files.php?id=FRST_20180824_z14s10m14d6g11


remarquez vous des anomalies dans les fichiers 

merci d'avance

Demande info pour arreter un "Windows script host

9 réponses

Fin de Fixlog 03:00:09

Discussions similaires

Newsletters