Affichags Script Host sur mon bureau

Si la désinfection est terminée, et que tu connais tout ce qui n'est pas "Vert" dans Reanimator, le reste tu peux les marquer comme Faux Positifs, avec le bouton Vert, alors ils ne seront plus détectés comme Inconnus ou suspects au prochain scan.

Bonne soirée,

@+

@jeanbern StatutContributeur .

Cela vient d'une tâche planifiée qui pointe vers le fichier Ss.vbs qui trouve dans un dossier Download qui se trouve dans le dossier Windows, c'est étrange car le dossier Download ne se trouve pas habituellement dans le dossier Windows je dirais même qu'il n'a rien à y faire.
 

Il y a d'autres tâches planifiées qui pointent vers des fichiers .vbs qui se trouvent dans ce dossier Download il s'agit de : 
File: C:\Windows\Download\24989w5\Rr.vbs
File: C:\Windows\Download\Rr.vbs
 

Pour l'instant dans la correction FRST qui suit je ne supprime que la tâche planifiée Ss.vbs qui te pose problème.
 

Dis-moi si la présence de ce dossier Download dans le dossier Windows est de ton fait et si tu es au courant ? Je te pose cette question car je suis méfiant ayant déjà vu des configurations personnelles étranges, si tu n'es pas au courant de la présence de ce dossier Download dans le dossier Windows dis-moi si tu souhaites que je supprime ces taches planifiées supplémentaires ? 
 

Procédure à faire dans l'ordre indiqué :


1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

Start::
CreateRestorePoint:
CloseProcesses:
File: C:\Windows\Download\Ss.vbs 
File: C:\Windows\Service\RunRules.vbs
File: C:\Windows\Download\24989w5\Rr.vbs
File: C:\Windows\Download\Rr.vbs
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction 
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction 
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction 
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Restriction 
HKU\S-1-5-21-1293147834-1548857375-139538282-1000\...\Policies\system: [shell] explorer.exe 
GroupPolicy-Firefox: Restriction 
HKU\S-1-5-21-1293147834-1548857375-139538282-1000\SOFTWARE\Policies\Microsoft\Edge: Restriction 
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [] => [X]
Task: {82465F81-04AE-422A-AF97-C18168776D57} - System32\Tasks\MicrosoftUpdate => C:\Windows\Download\Ss.vbs [134 2023-11-05] () [Fichier non signé]
HKU\S-1-5-21-1293147834-1548857375-139538282-1000\...\Run: [] => [X]
Task: {BC6E8843-0107-4CB4-B54A-0E36B7C597C1} - \Opera scheduled assistant Autoupdate 1710101944 -> Pas de fichier 
Task: {71449D09-E7AB-4E83-A4C6-0E1B6CA47A57} - System32\Tasks\AdobeAAMUpdater-1.0-PCW11-MSI-470-Utilisateur => C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe  -mode=scheduled (Pas de fichier)
Task: {1A031FFA-4D45-45E3-AF44-1CC31F6F8BEA} - System32\Tasks\EpicWebHelper => "C:\Users\Utilisateur\AppData\Local\Temp\edge_BITS_5824_89019410763\EpicWebHelper.exe"  (Pas de fichier) 
Task: {AAFD2F3F-A91F-44BC-9ED3-58F3D6E027F4} - System32\Tasks\EpicWebHelperE => "C:\Users\Utilisateur\AppData\Local\Temp\edge_BITS_5824_89019410763\EpicWebHelper.exe"  (Pas de fichier)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Pas de fichier)
S1 EneIo; \??\C:\Windows\system32\drivers\ene.sys [X]
CustomCLSID: HKU\S-1-5-21-1293147834-1548857375-139538282-1000_Classes\CLSID\{0047ADBE-9F73-CAFE-3A65-ACE857BB2024}\localserver32 -> "C:\Program Files\Adobe\Elements 2024 Organizer\Elements Auto Creations 2024.exe" -toastactivated => Pas de fichier
AlternateDataStreams: C:\ProgramData\TEMP:C9C13817 [112]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [9304]
FirewallRules: [{FCD8EA33-B9D6-4D00-9378-859F6E35C5F4}] => (Allow) C:\Program Files (x86)\Microsoft\EdgeWebView\Application\129.0.2792.79\msedgewebview2.exe => Pas de fichier
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://www.cjoint.com/ ou https://pixeldrain.com/ 
 

Puis donne le lien généré par https://www.cjoint.com/ ou https://pixeldrain.com/ dans ta réponse.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT.

@jeanbern .

Effectivement il me reste le fichier download 

T'inquiète c'est une coquille vide, j'ai supprimé les processus associés.

Le précédent fixlog est OK.

Si tout est OK pour toi, désinstalle FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.

Bonne fin de soirée à vous.

@+

Merci pour la mise du post en "résolu".