Trojan:JS/Mountsi.B!ml et windows script host problème

Résolu/Fermé
hypnotique Messages postés 8 Date d'inscription jeudi 24 novembre 2022 Statut Membre Dernière intervention 25 novembre 2022 - Modifié le 25 nov. 2022 à 11:27
bazfile Messages postés 54721 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 11 juin 2024 - 25 nov. 2022 à 17:57

Bonjour,

aujourd'hui en activant quelque fonctionnalité de Windows defender une alerte est apparu Trojan:JS/Mountsi.B!ml

l'élément affecté est " amsi: C:\Users\dell\AppData\Roaming\stream.x64.x-all.dat " j'ai beau supprimer le trojan il revenait à chaque redémarrage Windows, j'ai installer plusieurs anti virus mais il restait indétectable que windows defender qui détecte,

je sais pas si c'est à cause de Avast mais après l'avoir installer une erreur est apparu après le redémarrage de mon ordinateur, Windows script host impossible de trouver le fichier  "C:/users/dell/AppData/Roaming/stream.x64.x-all.dat" 

FSRT : https://www.cjoint.com/c/LKyxTY01UwS


Addition : https://www.cjoint.com/c/LKyxUmBCVPS


Windows / Chrome 107.0.0.0

A voir également:

8 réponses

bazfile Messages postés 54721 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 11 juin 2024 18 766
Modifié le 25 nov. 2022 à 11:44

Bonjour @hypnotique StatutMembre

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
Startup: C:\Users\dell\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Envoyer à OneNote.lnk [2021-11-29]
ShortcutTarget: Envoyer à OneNote.lnk -> C:\Program Files\Microsoft Office\root\Office16\ONENOTEM.EXE (Pas de fichier)
Startup: C:\Users\dell\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\stream.x64.x-all.dat.lnk [2022-11-24]
ShortcutAndArgument: stream.x64.x-all.dat.lnk -> C:\Windows\system32\wscript.exe =>  /E:vbscript "C:\Users\dell\AppData\Roaming\stream.x64.x-all.dat.vbs"
S3 eppvad_simple; \SystemRoot\system32\drivers\EMP_UDAU.sys [X]
C:\Users\dell\AppData\Roaming\stream.x64.x-all.dat.vbs
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur PJJOINT puis donne le lien généré par PJJOINT dans ta réponse.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

6- Une fois la désinfection terminée change tes mots de passe en ligne ils ont pu être dérobés.


1
hypnotique Messages postés 8 Date d'inscription jeudi 24 novembre 2022 Statut Membre Dernière intervention 25 novembre 2022 1
25 nov. 2022 à 15:02

Merci infiniment pour ton aide, j'espère que tu sera récompensé à hauteur de l'aide que tu fourni au gens et de leur santé mental.

1
bazfile Messages postés 54721 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 11 juin 2024 18 766
25 nov. 2022 à 15:05

Un merci c'est déjà pas mal comme récompense. :=)

@+ sur CCM.

2
hypnotique Messages postés 8 Date d'inscription jeudi 24 novembre 2022 Statut Membre Dernière intervention 25 novembre 2022 1
25 nov. 2022 à 14:40

bonjour, aujourd'hui en re démarrant mon ordi pour faire ce que vous m'avez demander je n'ai pas reçu l'alerte trojan,

en tous cas pour l'instant après avoir mis le code dans FRST en mode administrateur et après avoir redémarrer l'ordinateur l'erreur windows script host est parti. merci encore !.


Voici le fixlog https://pjjoint.malekal.com/files.php?id=20221125_r6g10h15x10f9

0
bazfile Messages postés 54721 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 11 juin 2024 18 766
Modifié le 25 nov. 2022 à 14:47

@hypnotique StatutMembre



Le fixlog est OK.


Si de ton côté tout est également OK, tu peux désinstaller FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc, voir les captures d'écran ci-dessous.

Pour information.

Ta version de Windows 10 n'est pas à jour, pour le vérifier va dans Windows Update la mise à jour vers la version 22H2 doit t'y être proposée si ce n'est pas le cas va sur cette page clique sur Mettre à jour maintenant, cela lancera le téléchargement de l'outil de Microsoft, il suffira de l'ouvrir et il te permettra de mettre à jour Windows 10 vers la dernière version et te dira si elle est compatible avec ton pc, attention cette mise à jour dure un certain temps.



 

1
hypnotique Messages postés 8 Date d'inscription jeudi 24 novembre 2022 Statut Membre Dernière intervention 25 novembre 2022 1
25 nov. 2022 à 16:46

En faisant la mis à jours à l'instant quand j'ai redémarrer mon ordinateur l'alerte windows defender est réapparu 

0
bazfile Messages postés 54721 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 11 juin 2024 18 766
25 nov. 2022 à 16:56

Fait une nouvelle analyse FRST et donne les liens des deux rapports normalement le fichier est supprimé il doit rester une clé de registre.

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
hypnotique Messages postés 8 Date d'inscription jeudi 24 novembre 2022 Statut Membre Dernière intervention 25 novembre 2022 1
Modifié le 25 nov. 2022 à 17:22

justement  je comprend pas des fois je redémarre le pc  windows defender ne détecte rien, et d'autre si l'alerte apparais une fois sur 3 après un redémarrage.

pièce jointe : 
FRST : https://pjjoint.malekal.com/files.php?id=FRST_20221125_e5y8d7k7e11 

Addition : https://pjjoint.malekal.com/files.php?id=20221125_u15l14m11v12o14 

0
bazfile Messages postés 54721 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 11 juin 2024 18 766
Modifié le 25 nov. 2022 à 17:36

Il n'y a plus rien ton pc est propre, cela vient de l'historique de Windows Defender, la détection y est restée vu que ce n'est pas Windows Defender qui a supprimé l'infection.

Supprime l'historique de Windows Defender et tu verras qu'il n'y aura plus rien.
 

Pour information ton pc est apparemment compatible avec Windows 11 vu que ton processeur i5-1145G7 est compatible, la mise à niveau est gratuite elle est proposée dans Windows Update.

Fait ce test https://www.commentcamarche.net/telecharger/utilitaires/23801-whynotwin11/     .

0
hypnotique Messages postés 8 Date d'inscription jeudi 24 novembre 2022 Statut Membre Dernière intervention 25 novembre 2022 1
25 nov. 2022 à 17:35

d'accord je vais supprimer, pour windows 11 est ce qu'il est plus stable et optimiser que windows 10 ?

0
bazfile Messages postés 54721 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 11 juin 2024 18 766
25 nov. 2022 à 17:42

Je l'utilise depuis sa sortie et je n'ai aucune envie de revenir sous Windows 10, Windows 11 est vraiment très bien, pour info la sortie de Windows 12 est prévue pour 2024.

0
hypnotique Messages postés 8 Date d'inscription jeudi 24 novembre 2022 Statut Membre Dernière intervention 25 novembre 2022 1
25 nov. 2022 à 17:45

Je vais me mettre dessue du coup, j'espère que le problème de chiffrement de mon disque  dure disparaitra sur windows 11, mille merci encore !

0
bazfile Messages postés 54721 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 11 juin 2024 18 766
25 nov. 2022 à 17:47

La mise à niveau vers Windows 11 garde les applications et paramètres de ta version de Windows 10 actuelle.

0
hypnotique Messages postés 8 Date d'inscription jeudi 24 novembre 2022 Statut Membre Dernière intervention 25 novembre 2022 1
25 nov. 2022 à 17:51

Bah je comprend pas alors pour le chiffrement il est activé mon bitlocker est activé mais il est dit qu'il est interrompue provisoirement je redémarre mon ordinateur mais il ne reprend pas tu pense c'est a cause du onedrive qui n'est pas connecté ?

0
bazfile Messages postés 54721 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 11 juin 2024 18 766
25 nov. 2022 à 17:57

Je ne sais pas il faut poser ta question dans le forum Windows ici c'est un forum dédié aux infections.

1