Windows Script Host - Colis-1.vbs

Résolu
Max76750 Messages postés 3 Statut Membre -  
 Max76750 -
Bonsoir,

Depuis quelques jours j'ai une boîte de dialogue Windows Script Host (sur Windows 10) qui apparaît systématiquement au démarrage de mon pc. Elle indique le message suivant : C:\Users\USER\Roaming\Colis-1.vbs.
Cela semble ralentir mon ordinateur. Existe-t-il un moyen de supprimer vbs ?

Merci d'avance.

MAX

3 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Pour vérifier l'ordinateur, je t'invite à faire cette analyse FRST et donner les rapports en retour :

    Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

    Télécharge et lance le scan FRST,
    Attendre la fin du scan, un message indique que l'analyse est terminée.

    Trois rapports FRST seront générés :
    • FRST.txt
    • Shortcut.txt
    • Additionnal.txt


    Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ afin de les partager.
    En retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

    0
    1. Max76750
       
      Voici les 3 liens demandés :
      https://pjjoint.malekal.com/files.php?id=FRST_20181022_v13f8s5t6u8
      https://pjjoint.malekal.com/files.php?id=20181022_m12t12k6l12h9
      https://pjjoint.malekal.com/files.php?id=20181022_g11h9n7v14p15
      0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Plein d'infections sur cet ordinateur.

    Tu as des programmes qui ont été installés à l'achat de l'ordinateur ou installés par la suite et qui sont pas forcément utiles.
    Ils encombrent Windows et peuvent le ralentir.
    Tu peux donc les désinstaller.
    Vas dans le Panneau de configuration
    puis programmes et fonctionnalités.
    Désinstalle :

    Clean Master
    CyberLink
    Dropbox (sauf si tu synchronises)
    Dr.Web Security Space
    Ma-Config.com
    Nitro Pro (utile ?)


    PS : CCleaner n'est pas vraiment utile, même si on le recommande de partout.
    Si tu veux le garder, désactive la surveillance de CCleaner, inutile, ça se met au démarrage de Windows et le ralentit avec ces nettoyages incessants, voir : https://www.malekal.com/supprimer-ccleaner-demarrage-windows/

    Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
    Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
    Le bloc-note va s'ouvrir, copie/colle ceci.

    CreateRestorePoint:
    CloseProcesses:
    GroupPolicy: Restriction - Chrome <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    2014-08-22 12:59 - 2016-01-12 14:54 - 000022016 _____ () C:\Users\USER\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
    2017-12-13 20:09 - 2017-12-19 18:09 - 000000068 _____ () C:\Users\USER\AppData\Local\oPkLgHcDYt
    2016-08-19 14:25 - 2016-08-19 14:25 - 000000000 _____ () C:\Users\USER\AppData\Local\{D518B41B-E3BE-4FD4-97DE-6E1EA531A6FE}
    Task: {FF20BAE2-90E6-4DF7-8968-F30F57BB861D} - System32\Tasks\Skype => C:\Users\USER\AppData\Roaming\Colis-1.vbs
    Task: C:\WINDOWS\Tasks\{5725128B-935B-F9EE-374C-6E0F1D51DFFB}.job => C:\Users\USER\AppData\Roaming\
    Task: {99A8202F-4BB5-4975-83DE-E395759861CF} - System32\Tasks\{406D3103-8C7E-4DEC-A320-FECDF76F9A9C} => C:\WINDOWS\system32\pcalua.exe -a "C:\Program Files\ByteFence\ByteFence.exe" -c /uninstall
    C:\Users\USER\AppData\Roaming\Colis-1.vbs
    HKU\S-1-5-21-3909827379-869463392-2437965661-1003\...\Run: [BMO01DYFG1] => C:\Users\USER\AppData\Roaming\Colis-1.vbs
    Hosts:
    EmptyTemp:
    RemoveProxy:
    Reboot:


    Enregistre le contenu par le menu fichier puis enregistrer.

    Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
    Un redémarrage sera peut-être nécessaire et automatique.
    Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

    Redémarre l'ordinateur.

    2°)
    Réinitialise/Répare les navigateurs WEB concernés par les problèmes :
    Il y a des extensions parasites.

    3°)
    Pour te protéger des infections amovibles type Wscript (Windows Script Host)
    Télécharger et installer Marmiton
    Clic sur Désactiver au niveau de Windows Script Host.
    Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky.

    Pour nettoyer les disques amovibles des virus USB, suivre dans l'ordre les étapes du tutoriel : insère un à un tes clefs USB et disques durs externes que tu as pour les nettoyer. Envoie ensuite les rapports sur https://pjjoint.malekal.com/ et donne les liens menant à ces rapports pour que l'on puisse les consulter.

    Brancher toutes les clefs USB et autres périphériques amovibles.
    • Télécharger Remediate VBS Worm
    • Lancer l'option B
    • Taper la lettre de la clef USB, par exemple, E et entrée

    [color=red]ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR ![/color]
    • Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.

    Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.

    4°)
    Vois ce que cela donne et si des améliorations ont eu lieu.
    Si ce n'est pas le cas, si tu as encore des pages de pubs intempestives, précise sur quel navigateur WEB.
    Refais un scan FRST et donne les nouveaux rapports via pjjoint.

    0
    1. Max76750
       
      Bonjour, j'en suis à la fin de la première étape. Voici le fichier texte :

      Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 10.10.2018
      Exécuté par USER (23-10-2018 11:04:58) Run:1
      Exécuté depuis C:\Users\USER\Downloads
      Profils chargés: USER (Profils disponibles: USER & DefaultAppPool)
      Mode d'amorçage: Normal
      ==============================================

      fixlist contenu:

      Fin de Fixlog 11:04:58

      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > Max76750
       
      La correction est vide et FRST n'est pas sur le bureau comme demandé dans le tuto.

      Place le programme FRST sur le bureau
      ouvre le bloc-note
      colle le script donné plus haut
      enregistre le fichier sur le bureau sous le nom de fixlist.txt
      Relance FRST puis Corriger.
      0
    3. Max76750
       
      Voici le rapport suite à la désinfection de ma clé usb :

      https://pjjoint.malekal.com/files.php?id=20181023_y11e9t12k9d14
      0
    4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > Max76750
       
      si tu as tout fait ça doit rouler, si tu as loupé une étape, ça peut revenir.
      Faudrait faire un scan FRST et redonner les rapports pour contrôler.
      0
    5. Max76750
       
      désolé j'avais loupé un de tes messages. voici le dernier rapport FRST :

      https://pjjoint.malekal.com/files.php?id=20181023_r13t11t14o9o10
      0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    C'est niquel =)

    Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués

    0
    1. Max76750
       
      Merci beaucoup pour ton aide et tes conseils. Dernière chose, depuis les dernières manipulations, j'ai une nouvelle fenêtre "RunDDL" au démarrage, indiquant : Problème lors du démarrage de C:\Users\USER\CNMSSC~1.DDL. Le module spécifié est introuvable.

      Dois-je m'en inquiéter ?
      0
      1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > Max76750
         
        C'est les logiciels Canon qui provoquent cela,

        Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
        Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
        Le bloc-note va s'ouvrir, copie/colle ceci.

        CreateRestorePoint:
        CloseProcesses:
        Startup: C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Canon IJ Status Monitor Canon TS5000 series (Local).lnk [2018-08-25]
        Hosts:
        EmptyTemp:
        RemoveProxy:
        Reboot:


        Enregistre le contenu par le menu fichier puis enregistrer.

        Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
        Un redémarrage sera peut-être nécessaire et automatique.
        Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

        Redémarre l'ordinateur.
        0
    2. Max76750
       
      Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 10.10.2018
      Exécuté par USER (24-10-2018 14:40:27) Run:3
      Exécuté depuis C:\Users\USER\Desktop
      Profils chargés: USER (Profils disponibles: USER & DefaultAppPool)
      Mode d'amorçage: Normal
      ==============================================

      fixlist contenu:

      CreateRestorePoint:
      CloseProcesses:
      Startup: C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Canon IJ Status Monitor Canon TS5000 series (Local).lnk [2018-08-25]
      Hosts:
      EmptyTemp:
      RemoveProxy:
      Reboot:


      Le Point de restauration a été créé avec succès.
      Processus fermé avec succès.
      C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Canon IJ Status Monitor Canon TS5000 series (Local).lnk => déplacé(es) avec succès
      Impossible de déplacer "C:\Windows\System32\Drivers\etc\hosts" => Planifié pour déplacement au redémarrage.

      ========= RemoveProxy: =========

      "HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
      "HKU\S-1-5-21-3909827379-869463392-2437965661-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
      "HKU\S-1-5-21-3909827379-869463392-2437965661-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


      ========= Fin de RemoveProxy: =========


      =========== EmptyTemp: ==========

      BITS transfer queue => 10510336 B
      DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 17921916 B
      Java, Flash, Steam htmlcache => 0 B
      Windows/system/drivers => 218 B
      Edge => 3584 B
      Chrome => 402949195 B
      Firefox => 0 B
      Opera => 0 B

      Temp, IE cache, history, cookies, recent:
      Default => 0 B
      Users => 0 B
      ProgramData => 0 B
      Public => 0 B
      systemprofile => 0 B
      systemprofile32 => 0 B
      LocalService => 916 B
      LocalService => 0 B
      NetworkService => 0 B
      NetworkService => 0 B
      USER => 90228 B
      DefaultAppPool => 0 B

      RecycleBin => 0 B
      EmptyTemp: => 411.5 MB données temporaires supprimées.

      ================================

      Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 24-10-2018 14:47:30)

      C:\Windows\System32\Drivers\etc\hosts => Impossible de déplacer
      Impossible de restaurer Hosts.

      Fin de Fixlog 14:47:30

      0