Windows Script Host / Impossible de trouver le fichier script: [Résolu]

Signaler
Messages postés
4
Date d'inscription
lundi 9 mars 2020
Statut
Membre
Dernière intervention
9 mars 2020
-
Messages postés
4
Date d'inscription
lundi 9 mars 2020
Statut
Membre
Dernière intervention
9 mars 2020
-
Bonjour,

Voici les fichiers suite FRST:

Un message au démarrage de Windows indique:

Windows Script Host
Impossible de trouver le fichier script:
"C:\users\Cecile~1.TAR\Appdata\Local\Temp\Relay-colis-cleint.vbs"


Cela suite à une migration Windows 7 vers Windows 10.



https://pjjoint.malekal.com/files.php?id=20200309_l9z13k7l14u13 - Addition

https://pjjoint.malekal.com/files.php?id=FRST_20200309_q9i14q7p7c14 - FRST

https://pjjoint.malekal.com/files.php?id=20200309_w14o10b10p5i8 - Shortcut

Merci pour votre aide, l'analyse Mcafee n'a rien donné :/

5 réponses

Messages postés
180018
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
17 septembre 2020
22 075
Salut,

C'est une infection par disques amovibles.
Mais on ne voit pas l'entrée dans FRST car il ne liste pas les tâches planifiées.
Surement à cause du fait que tu n'es pas administrateur.

Utilise Autoruns
Télécharger Autoruns
Voir ce tutoriel : https://www.malekal.com/autoruns/
onglet Tasks Schedulers
vois si tu as un tâche planifiée Skype qui charge ce fichier .vbs
si oui tu décoches.
Messages postés
4
Date d'inscription
lundi 9 mars 2020
Statut
Membre
Dernière intervention
9 mars 2020

je vais tester, merci beaucoup !
Messages postés
4
Date d'inscription
lundi 9 mars 2020
Statut
Membre
Dernière intervention
9 mars 2020

Fonctionne parfaitement avec l'Autorun ! Merci beaucoup ! :)
Messages postés
180018
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
17 septembre 2020
22 075
de rien =)

Ca semble être un PC d'entreprise, mais faudrait désactiver Windows Script Hosting.
Ca limiterait la prolifération de ce type d'infection.
=> Comment désactiver Windows Script Hosting.
Ca doit être possible de le faire par GPO.
Messages postés
4
Date d'inscription
lundi 9 mars 2020
Statut
Membre
Dernière intervention
9 mars 2020

Oui exactement :P
je vais voir, merci de l'info !