Virus Mondial Relay
Fermé
brichartier
Messages postés
3
Date d'inscription
mercredi 19 juin 2019
Statut
Membre
Dernière intervention
19 juin 2019
-
19 juin 2019 à 09:31
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 21 juin 2019 à 11:13
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 21 juin 2019 à 11:13
A voir également:
- Virus Mondial Relay
- Youtu.be virus - Accueil - Guide virus
- Svchost.exe virus - Guide
- Tinyurl.com virus - Forum Virus
- Faux message virus ordinateur - Accueil - Arnaque
- Faux message virus iphone - Forum iPhone
8 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 656
19 juin 2019 à 10:36
19 juin 2019 à 10:36
Salut,
Tu as des programmes qui ont été installés à l'achat de l'ordinateur ou installés par la suite et qui sont pas forcément utiles.
Ils encombrent Windows et peuvent le ralentir.
Tu peux donc les désinstaller.
Vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Désinstalle :
CyberLink
McAfee Internet Security
McAfee Security Scan Plus
McAfee WebAdvisor
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
Enregistre le contenu par le menu fichier puis enregistrer.
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky.
Pour nettoyer les disques amovibles des virus USB, suivre dans l'ordre les étapes du tutoriel : insère un à un tes clefs USB et disques durs externes que tu as pour les nettoyer. Envoie ensuite les rapports sur https://pjjoint.malekal.com/ et donne les liens menant à ces rapports pour que l'on puisse les consulter.
Brancher toutes les clefs USB et autres périphériques amovibles.
[color=red]ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR ![/color]
Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.
Tu as des programmes qui ont été installés à l'achat de l'ordinateur ou installés par la suite et qui sont pas forcément utiles.
Ils encombrent Windows et peuvent le ralentir.
Tu peux donc les désinstaller.
Vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Désinstalle :
CyberLink
McAfee Internet Security
McAfee Security Scan Plus
McAfee WebAdvisor
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
Start:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2672313087-2739738965-858074783-1001\...\Run: [VLUXCS~1] => wscript.exe //B "C:\Users\Brigitte\AppData\Roaming\VLUXCS~1.VBS"
HKU\S-1-5-21-2672313087-2739738965-858074783-1001\...\Run: [LzGwUMTbPX] => wscript.exe //B "C:\Users\Brigitte\AppData\Roaming\LzGwUMTbPX.vbs"
HKU\S-1-5-21-2672313087-2739738965-858074783-1001\...\Run: [SystemDefenderSecurity.vbs] => "C:\Users\Brigitte\AppData\Roaming\SystemDefenderSecurity.vbs"
HKU\S-1-5-21-2672313087-2739738965-858074783-1001\...\Run: [Chrome.vbs] => C:\Users\Brigitte\AppData\Roaming\Chrome.vbs [50924 2019-01-19] () [Fichier non signé]
HKU\S-1-5-21-2672313087-2739738965-858074783-1001\...\Run: [vGDVRipzvW] => wscript.exe //B "C:\Users\Brigitte\AppData\Roaming\vGDVRipzvW.vbs"
HKU\S-1-5-21-2672313087-2739738965-858074783-1001\...\Run: [HNtqeMmtGv] => wscript.exe //B "C:\Users\Brigitte\AppData\Roaming\HNtqeMmtGv.vbs"
HKU\S-1-5-21-2672313087-2739738965-858074783-1001\...\Run: [SystemWindows.vbs] => "C:\Users\Brigitte\AppData\Roaming\SystemWindows.vbs"
HKU\S-1-5-21-2672313087-2739738965-858074783-1001\...\Run: [IgsjaQhbLo] => wscript.exe //B "C:\Users\Brigitte\AppData\Roaming\IgsjaQhbLo.vbs"
HKU\S-1-5-21-2672313087-2739738965-858074783-1001\...\Run: [ZOYGXDURGF] => "C:\Users\Brigitte\AppData\Roaming\Colis-1.vbs"
HKU\S-1-5-21-2672313087-2739738965-858074783-1001\...\Run: [ynArAsTqWn] => wscript.exe //B "C:\Users\Brigitte\AppData\Roaming\ynArAsTqWn.vbs"
HKU\S-1-5-21-2672313087-2739738965-858074783-1001\...\Run: [wYRgmxhEAs] => wscript.exe //B "C:\Users\Brigitte\AppData\Roaming\wYRgmxhEAs.vbs"
HKU\S-1-5-21-2672313087-2739738965-858074783-1001\...\Run: [CKJPCK~1] => wscript.exe //B "C:\Users\Brigitte\AppData\Local\Temp\CKJPCK~1.VBS" <==== ATTENTION
Task: {09DE06F6-7D29-4662-B0F2-84451E02A5E2} - System32\Tasks\Skype => C:\Users\Brigitte\AppData\Roaming\Colis-1.vbs
2019-06-18 17:59 - 2019-06-19 08:51 - 000021924 _____ C:\Users\Brigitte\AppData\Roaming\UTJxTWUdie.vbs
2019-01-19 17:44 - 2019-01-19 17:44 - 000050924 _____ () C:\Users\Brigitte\AppData\Roaming\Chrome.vbs
2019-05-13 07:48 - 2019-05-13 07:48 - 000059505 _____ () C:\Users\Brigitte\AppData\Roaming\CKjPcKxmoA_123.vbs
2019-01-19 17:44 - 2019-06-18 17:59 - 000020564 _____ () C:\Users\Brigitte\AppData\Roaming\LzGwUMTbPX.vbs
2016-06-20 18:17 - 2017-01-24 01:49 - 000000112 _____ () C:\Users\Brigitte\AppData\Roaming\Préfs JP2K CS6
2019-06-18 17:59 - 2019-06-19 08:51 - 000021924 _____ () C:\Users\Brigitte\AppData\Roaming\UTJxTWUdie.vbs
2015-10-10 19:07 - 2015-10-10 19:07 - 225111747 _____ () C:\Users\Brigitte\AppData\Local\ACCCx3_3_0_151.zip.aamdownload
2015-10-10 19:07 - 2015-10-10 19:07 - 000002615 _____ () C:\Users\Brigitte\AppData\Local\ACCCx3_3_0_151.zip.aamdownload.aamd
2019-01-12 17:31 - 2019-01-12 17:31 - 000000000 _____ () C:\Users\Brigitte\AppData\Local\{8D64FA48-C0A7-4F1D-83CB-D9E271DA4E96}
2019-01-09 15:37 - 2019-01-09 15:37 - 000000000 _____ () C:\Users\Brigitte\AppData\Local\{D34BA859-D6D9-4857-A203-BF8828B61320}
EmptyTemp:
RemoveProxy:
Reboot:
End:
Enregistre le contenu par le menu fichier puis enregistrer.
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky.
Pour nettoyer les disques amovibles des virus USB, suivre dans l'ordre les étapes du tutoriel : insère un à un tes clefs USB et disques durs externes que tu as pour les nettoyer. Envoie ensuite les rapports sur https://pjjoint.malekal.com/ et donne les liens menant à ces rapports pour que l'on puisse les consulter.
Brancher toutes les clefs USB et autres périphériques amovibles.
- Télécharger Remediate VBS Worm
- Lancer l'option B
- Taper la lettre de la clef USB, par exemple, E et entrée
[color=red]ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR ![/color]
- Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.
Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.
brichartier
Messages postés
3
Date d'inscription
mercredi 19 juin 2019
Statut
Membre
Dernière intervention
19 juin 2019
19 juin 2019 à 12:28
19 juin 2019 à 12:28
Re-bonjour. Ja'i effectué la correction avec FRST et le fichier qui m'a été envoyé.
Le fichier fixlog est sur pijoint
https://pjjoint.malekal.com/files.php?id=20190619_w13d7x8e6x10
Le message Windows Script Host relatif a colis-1.vbs a bien disparu mais j'en récupère maintenant 2 autres que je vais essayer de copier sur ce message
et
Dois-je relancer FRST et faire un nouveau scan ?
En tout cas merci encore une fois pour toute l'aide que vous m'apportez dans cette galère.
/Brigitte
Le fichier fixlog est sur pijoint
https://pjjoint.malekal.com/files.php?id=20190619_w13d7x8e6x10
Le message Windows Script Host relatif a colis-1.vbs a bien disparu mais j'en récupère maintenant 2 autres que je vais essayer de copier sur ce message
et
Dois-je relancer FRST et faire un nouveau scan ?
En tout cas merci encore une fois pour toute l'aide que vous m'apportez dans cette galère.
/Brigitte
brichartier
Messages postés
3
Date d'inscription
mercredi 19 juin 2019
Statut
Membre
Dernière intervention
19 juin 2019
19 juin 2019 à 13:59
19 juin 2019 à 13:59
Juste au cas où, j'ai relancé un scan FRST et voici les 3 fichiers logs
https://pjjoint.malekal.com/files.php?id=20190619_e14l5z11h12b15
https://pjjoint.malekal.com/files.php?id=FRST_20190619_i6h5k10k9s7
https://pjjoint.malekal.com/files.php?id=20190619_f12x5z13v9b14
Merci encore par avance
/Brigitte
https://pjjoint.malekal.com/files.php?id=20190619_e14l5z11h12b15
https://pjjoint.malekal.com/files.php?id=FRST_20190619_i6h5k10k9s7
https://pjjoint.malekal.com/files.php?id=20190619_f12x5z13v9b14
Merci encore par avance
/Brigitte
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 656
19 juin 2019 à 15:38
19 juin 2019 à 15:38
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
Enregistre le contenu par le menu fichier puis enregistrer.
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
Start:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2672313087-2739738965-858074783-1001\...\Run: [LzGwUMTbPX] => wscript.exe //B "C:\Users\Brigitte\AppData\Roaming\LzGwUMTbPX.vbs"
Task: {FECB20F2-458C-4D3A-8FB8-9533589AF212} - System32\Tasks\NYANP => C:\Users\Brigitte\AppData\Local\Temp\6525complet.exe <==== ATTENTION
Startup: C:\Users\Brigitte\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Chrome.vbs [2019-01-19] () [Fichier non signé]
Startup: C:\Users\Brigitte\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CKJPCK~1.VBS [2019-05-13] () [Fichier non signé]
Startup: C:\Users\Brigitte\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LzGwUMTbPX.vbs [2019-05-19] () [Fichier non signé]
Startup: C:\Users\Brigitte\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\zKxATsKgIW.vbs [2018-11-03] () [Fichier non signé]
EmptyTemp:
RemoveProxy:
Reboot:
End:
Enregistre le contenu par le menu fichier puis enregistrer.
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Merci pour votre réponse et le deuxième correctif.
Après ce deuxième correctif, il y a encore quelquechose qui cloche car Le premier message d'erreur mentionné dans ma précédente réponse a disparu mais le deuxième (relatif à meee.vbs) est toujours là... J'ai mis le fichier fixlog sur pijoint
https://pjjoint.malekal.com/files.php?id=20190619_q8i12l15z14s10
A tout hasard j'ai relancé un scan FRST et mis les 3 fichiers log sur pijoint.
https://pjjoint.malekal.com/files.php?id=20190619_v15b7k5c9u13
https://pjjoint.malekal.com/files.php?id=FRST_20190619_q109k10i14e6
https://pjjoint.malekal.com/files.php?id=20190619_f8f14n15v7j13
Je dois avouer que je suis quelquepeu impuissante pour résoudre ça, alors si vous avez encore un peu de temps pour m'aider, j'apprécierais beaucoup.
Par avance merci de tout coeur.
/Brigitte
Après ce deuxième correctif, il y a encore quelquechose qui cloche car Le premier message d'erreur mentionné dans ma précédente réponse a disparu mais le deuxième (relatif à meee.vbs) est toujours là... J'ai mis le fichier fixlog sur pijoint
https://pjjoint.malekal.com/files.php?id=20190619_q8i12l15z14s10
A tout hasard j'ai relancé un scan FRST et mis les 3 fichiers log sur pijoint.
https://pjjoint.malekal.com/files.php?id=20190619_v15b7k5c9u13
https://pjjoint.malekal.com/files.php?id=FRST_20190619_q109k10i14e6
https://pjjoint.malekal.com/files.php?id=20190619_f8f14n15v7j13
Je dois avouer que je suis quelquepeu impuissante pour résoudre ça, alors si vous avez encore un peu de temps pour m'aider, j'apprécierais beaucoup.
Par avance merci de tout coeur.
/Brigitte
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 656
20 juin 2019 à 00:15
20 juin 2019 à 00:15
Déjà wscript.exe tourne
donc tu n'as pas fait la manip avec Marmiton.
McaFee est toujours installé.
Désactive Windows Script Hosting avec Marmiton
refais un scan FRST et donne à nouveau les rapports.
donc tu n'as pas fait la manip avec Marmiton.
McaFee est toujours installé.
Désactive Windows Script Hosting avec Marmiton
refais un scan FRST et donne à nouveau les rapports.
Bonjour. Effectivement j'avais zappé la configuration de marmiton. C'est chose faite et le message sur meee.vbs a disparu, remplacé par un message disant que Windows Script Host est désactivé sur cette machine. Voici les fichiers log du dernier scan FRST:
https://pjjoint.malekal.com/files.php?id=20190621_m15c13v14w6r6
https://pjjoint.malekal.com/files.php?id=FRST_20190621_q8u14x11f14x5
https://pjjoint.malekal.com/files.php?id=20190621_r5l12g14o5d15
J'ai désactivé MacAfee pour faire le scan mais j'hésite à le désinstaller non seulement car je paie un abonnement mais aussi parce que cela me laisserait sans antivirus. Qu'en pensez vous?
Une fois encore merci pour toute l'aide que vous m'avez apportée.
Cordialement
/Brigitte
https://pjjoint.malekal.com/files.php?id=20190621_m15c13v14w6r6
https://pjjoint.malekal.com/files.php?id=FRST_20190621_q8u14x11f14x5
https://pjjoint.malekal.com/files.php?id=20190621_r5l12g14o5d15
J'ai désactivé MacAfee pour faire le scan mais j'hésite à le désinstaller non seulement car je paie un abonnement mais aussi parce que cela me laisserait sans antivirus. Qu'en pensez vous?
Une fois encore merci pour toute l'aide que vous m'avez apportée.
Cordialement
/Brigitte
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 656
Modifié le 21 juin 2019 à 11:13
Modifié le 21 juin 2019 à 11:13
Tu ne devrais pas renouveler McAfee, il n'est pas terrible.
D'ailleurs là il t'a servi à rien.
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
Enregistre le contenu par le menu fichier puis enregistrer.
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
D'ailleurs là il t'a servi à rien.
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
Start:
CloseProcesses:
CreateRestorePoint:
C:\ProgramData\FirefoxUpdate.exe
Task: {996A0C74-1EA8-494F-B989-A4C78A5C83EC} - System32\Tasks\Skypee => C:\Users\Brigitte\AppData\Local\Temp\meee.vbs <==== ATTENTION
Task: {B0E49032-7F34-4E66-8510-82CBDDF406D5} - System32\Tasks\NYAN => C:\ProgramData\FirefoxUpdate.exe <==== ATTENTION
HKU\S-1-5-21-2672313087-2739738965-858074783-1001\...\Run: [Chrome.vbs] => C:\Users\Brigitte\AppData\Roaming\Chrome.vbs [0 2019-06-20] ()
HKU\S-1-5-21-2672313087-2739738965-858074783-1001\...\Run: [LzGwUMTbPX] => wscript.exe //B "C:\Users\Brigitte\AppData\Roaming\LzGwUMTbPX.vbs"
Startup: C:\Users\Brigitte\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Chrome.vbs [2019-06-20] ()
Startup: C:\Users\Brigitte\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LzGwUMTbPX.vbs [2019-06-19] () [Fichier non signé]
EmptyTemp:
RemoveProxy:
Reboot:
End:
Enregistre le contenu par le menu fichier puis enregistrer.
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
