Supprimer virus colis-suivi.vbs .

Résolu/Fermé
SANDRA - Modifié le 10 janv. 2023 à 10:32
bazfile Messages postés 52744 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 25 février 2024 - 10 janv. 2023 à 10:31

Bonjour,

Mon ordi a été infecté car j'ai au démarrage une fenêtre indiquant :
Windows Script Host "colis-suivi.vbs". Elle s'ouvre à nouveau 5 secondes après l'avoir fermé !

J'ai effectué un scan avec FRST et voici les rapports : 

https://pjjoint.malekal.com/files.php?id=FRST_20230110_g13c15q15y14q15 

https://pjjoint.malekal.com/files.php?id=20230110_k7c5h10h6b9 

https://pjjoint.malekal.com/files.php?id=20230110_n5r13q9h8n7  

Pouvez-vous m'aider pour supprimer ce virus svp ?  Merci beaucoup ! 

Sandra


Windows / Chrome 108.0.0.0

3 réponses

bazfile Messages postés 52744 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 25 février 2024 18 323
10 janv. 2023 à 09:44

Bonjour.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction 
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction 
GroupPolicy: Restriction ? 
Policies: C:\ProgramData\NTUSER.pol: Restriction 
HKLM\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe (No File)
HKU\S-1-5-21-2509834809-765181553-4134250935-1001\...\Run: [GoogleDriveFS] => C:\Program Files\Google\Drive File Stream\53.0.8.0\GoogleDriveFS.exe --startup_mode (No File)
HKU\S-1-5-21-2509834809-765181553-4134250935-1001\...\RunOnce: [GenieTimeline] => C:\Program Files\Genie9\Genie Timeline\GenieCmdAgent.exe GenieTimeline.exe (No File)
HKU\S-1-5-21-2509834809-765181553-4134250935-1003\...\Run: [Adobe Reader Synchronizer] => "C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\AdobeCollabSync.exe" (No File)
HKU\S-1-5-21-2509834809-765181553-4134250935-1003\...\Run: [Discord] => C:\Users\Sandra prof\AppData\Local\Discord\app-0.0.307\Discord.exe (No File)
Task: {23569F69-929D-484D-89EB-829DDBB08DC6} - \Microsoft\Windows\UNP\Campaigns\{91be532c-f9f1-406a-9858-43697c6f437a}\OutOfIdle -> No File 
Task: {48796997-7F86-4C7C-850B-2DA5D5963762} - System32\Tasks\avfree.migration => C:\Program Files\Bitdefender Antivirus Free\migration_tool\avfree.migration.exe /run (No File)
Task: {4F218EA5-86F0-43A8-B1D0-6BC40BBC4312} - \Microsoft\Windows\UNP\Campaigns\{91be532c-f9f1-406a-9858-43697c6f437a}\OnIdle -> No File 
Task: {51317F15-02B3-49AB-94F8-3434A3E35F1E} - \Microsoft\Windows\UNP\Campaigns\{91be532c-f9f1-406a-9858-43697c6f437a}\RunCampaignManager2 -> No File 
Task: {544C40BD-0F67-428D-9EE9-4DEB781D691C} - \Microsoft\Windows\UNP\Campaigns\{91be532c-f9f1-406a-9858-43697c6f437a}\Unlock -> No File 
Task: {57ADEF1D-968D-49E5-A6AB-FD96E0BBE680} - System32\Tasks\Skype => C:\Users\SANDRA~1\AppData\Local\Temp\colis-suivi.vbs (No File) 
Task: {A44E3439-4238-400E-9B62-9C12AE67D70C} - \Microsoft\Windows\UNP\RunCampaignManager -> No File 
Task: {B05D8B03-5E45-420C-8B89-B5B694C2B2A4} - \Microsoft\Windows\UNP\Campaigns\{91be532c-f9f1-406a-9858-43697c6f437a}\Time -> No File 
Task: {E5F5645D-A210-493F-8E31-EE461BFD7283} - \Microsoft\Windows\UNP\Campaigns\{91be532c-f9f1-406a-9858-43697c6f437a}\Logon -> No File 
CustomCLSID: HKU\S-1-5-21-2509834809-765181553-4134250935-1003_Classes\CLSID\{1019ADC7-17CB-4489-AFD5-6642C7400ACE}\localserver32 -> C:\Users\Sandra prof\AppData\Local\Webex\Webex\Applications\ptOIEx64.exe => No File
CustomCLSID: HKU\S-1-5-21-2509834809-765181553-4134250935-1003_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92}\InprocServer32 -> C:\Users\Sandra prof\AppData\Local\Microsoft\TeamsMeetingAddin\1.0.20244.4\x64\Microsoft.Teams.AddinLoader.dll => No File
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> No File
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`28hfm [0]
AlternateDataStreams: C:\Users\Sandra prof\Downloads\Tampon SCI.jpeg:3or4kl4x13tuuug3Byamue2s4b [93]
AlternateDataStreams: C:\Users\Sandra prof\Downloads\Tampon SCI.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
SearchScopes: HKU\S-1-5-21-2509834809-765181553-4134250935-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-2509834809-765181553-4134250935-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
FirewallRules: [{081F1E5E-AE2C-4303-85A2-FC8AD897874D}] => (Allow) C:\Program Files (x86)\Common Files\Mcafee\MMSSHost\MMSSHost.exe => No File
FirewallRules: [{B1CAED3E-173D-4AD8-A7B2-400EA229F211}] => (Allow) C:\Program Files\Common Files\McAfee\MMSSHost\MMSSHost.exe => No File
FirewallRules: [{F78A122A-71DC-4E55-97B9-DDCFFB8054D4}] => (Allow) C:\Program Files (x86)\Geneatique\Geneatique.exe => No File
FirewallRules: [{BE40D16D-28C6-4CE8-8663-59D9F8E66A8B}] => (Allow) C:\Program Files (x86)\Geneatique\Geneatique.exe => No File
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur PJJOINT puis donne le lien généré par PJJOINT dans ta réponse.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

Pour information.

Ta version de Windows 10 n'est pas à jour, pour le vérifier va dans Windows Update la mise à jour vers la version 22H2 doit t'y être proposée si ce n'est pas le cas va sur cette page clique sur Mettre à jour maintenant, cela lancera le téléchargement de l'outil de Microsoft, il suffira de l'ouvrir et il te permettra de mettre à jour Windows 10 vers la dernière version et te dira si elle est compatible avec ton pc, attention cette mise à jour dure un certain temps.


bazfile
Modérateur/Contributeur sécurité.
un bonjour, une réponse, un merci font toujours plaisir.

1

Bonjour Bazfile ! 

Merci pour ta réponse rapide et pour ton aide. 

Voici le fichier https://pjjoint.malekal.com/files.php?id=20230110_e5r15v11l13t11 

0
bazfile Messages postés 52744 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 25 février 2024 18 323
10 janv. 2023 à 10:26

Le fixlog est OK.


Si de ton côté tout est également OK, tu peux désinstaller FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.


bazfile
Modérateur/Contributeur sécurité.
un bonjour, une réponse, un merci font toujours plaisir.

0

Fantastique !!!  oui le virus semble avoir disparu :-)

Mille mercis vraiment.

0
bazfile Messages postés 52744 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 25 février 2024 18 323 > SANDRA
10 janv. 2023 à 10:31

De rien. :)

@+ sur CCM.

0