Windows Script Host, Impossible de trouver le fichier script (AppData\Roaming) Résolu/Fermé

Question

Bonjour, 

J'ai une erreur qui s'affiche aléatoirement et me semble assez typique d'un malware après une petite recherche google.

Le message exact est

"Impossible de trouver le fichier script "C\Users\...\AppData\Roaming\QqACMdkuYVRPGwE"

J'ai fait un FRST conformément à ce que j'ai vu sur les autres postes

FRST https://pjjoint.malekal.com/files.php?id=FRST_20210122_f14x12x12m9o6
Addition https://pjjoint.malekal.com/files.php?id=20210122_z8p12i6x8j14
Shortcut https://pjjoint.malekal.com/files.php?id=20210122_z15j12g105o5

Merci d'avance pour votre aide et dites moi si je peux compléter les informations fournies de quelque manière.

Bon début de week-end :-) 


Configuration: Windows / Chrome 88.0.4324.96

bazfile · Answer

Bonjour,
Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST 
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::CreateRestorePoint:CloseProcesses:Startup: C:\Users\jonat\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\jzOCwCzEcgmNWIX.lnk [2021-01-22]ShortcutAndArgument: jzOCwCzEcgmNWIX.lnk -> C:\WINDOWS\system32\wscript.exe =>  /E:jscript "C:\Users\jonat\AppData\Roaming\jzOCwCzEcgmNWIX" Startup: C:\Users\jonat\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\QqACMdKuYVRPGwE.lnk [2021-01-22]ShortcutAndArgument: QqACMdKuYVRPGwE.lnk -> C:\WINDOWS\system32\wscript.exe =>  /E:jscript "C:\Users\jonat\AppData\Roaming\QqACMdKuYVRPGwE" Startup: C:\Users\jonat\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\WmhWgMHyIBeSjKL.lnk [2021-01-22]ShortcutAndArgument: WmhWgMHyIBeSjKL.lnk -> C:\WINDOWS\system32\wscript.exe =>  /E:jscript "C:\Users\jonat\AppData\Roaming\WmhWgMHyIBeSjKL" C:\Users\jonat\AppData\Roaming\jzOCwCzEcgmNWIXC:\Users\jonat\AppData\Roaming\QqACMdKuYVRPGwEC:\Users\jonat\AppData\Roaming\WmhWgMHyIBeSjKLEmptyTemp:End::
3- Une fois le script copié clique sur Corriger.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.
5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT
.

JeanMichelVirus · Answer

Merci pour la réponse très rapide.

Voici le Fixlog https://pjjoint.malekal.com/files.php?id=20210122_k9v13c9v9r8

bazfile · Answer

Le fixlog est bon normalement tu ne doit plus avoir de message.
Cette infection vient  peut-être d'une clé USB infectée si tu t'es servi d'une clé USB récemment  et qu'elle elle est encore en ta possession désinfecte-la:
Télécharge Remediate VBS WORM ouvre Remediate VBS WORM prend l'option B comme ceci :


Puis appuie sur la touche Entrée, une fenêtre apparaît met la lettre de ta clé USB à désinfecter attention ne jamais mettre le disque C :

Appuie sur la touche Entrée, quand la désinfection sera terminée ouvre le disque C tu y trouveras un fichier nommé Rem-VBS.log envoie-le sur https://pjjoint.malekal.com/ met le lien généré dans ta réponse.

JeanMichelVirus · Answer

Nope pas de clé USB, juste quelques torrents probablement un peu douteux...

Mais je garde le soft pour d'éventuels clé USB suspecte !

Merci encore pour tout

Windows Script Host, Impossible de trouver le fichier script (AppData\Roaming)

4 réponses

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

Discussions similaires