Affichags Script Host sur mon bureau
Résolu
bazfile Messages postés 60856 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
Bonjour,
J'ai l'apparition de ce message , apparemment Windows 11 ne retrouve pas le chemin et semble avoir disparu .
Au départ j'ai voulu voir mes fichiers mis en quarantaine dans AVIRA , j'en ai coché certains que je ne vouliai pas qu'ils passent à la trape et depuis j'ai ceci:
Je viens de faire une MAJ Windows
peut-être faire un scandisk complet ??
Merci à toutes et à tous
Merci à vous
- Affichags Script Host sur mon bureau
- Fichier host - Guide
- Script vidéo youtube - Guide
- Bureau virtuel windows 10 - Guide
- Mettre icone sur bureau - Guide
- Icone blanche sur le bureau - Guide
12 réponses
Salut,
As tu vérifié avec Autoruns et/ou RegRun Reanimator ?
Ça serait mes premiers réflexes.
Autoruns:
https://learn.microsoft.com/en-us/sysinternals/downloads/autoruns
Si messages d'erreurs, essayer la version 13.98
https://filehippo.com/fr/download_autoruns/13.98/
Reanimator:
https://greatis.com/security/reanimator.html
@+
Dans Autoruns il est surement en ligne Jaune (File not found)
Mais ne pas supprimer toutes les lignes jaunes.
Avec la case Filter, chercher Ss (Comme le nom du fichier)
Sinon dans Reanimator on devrait le trouver avec Search
(Dans les sections "Unwanted Files", "Startup Items" ou "Services")
Tout ce qui est Rouge, c'est mauvais par défaut (À moins de savoir pertinemment de quoi il s'agit).
Orange, à vérifier.
Le Desktop.ini tu peux supprimer, si il ne sert pas à personnaliser ce disque.
Plus bas les Suspicious, et les Unknown, je serais curieux de voir ce qu'il trouve en Orange et bleu, autre que Vert
Il peut nous pointer du bon comme du pas bon.
PS: Tu peux utiliser GreenShot pour faire des captures.
https://getgreenshot.org/downloads/
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Il faudrait supprimer tout ce qui est mauvais d'un seul coup.
Si tu réanalyses, il en détecte moins ?
Ok.
J'ai redirigé vers le forum Virus, parce que c'est pas des fichiers normaux, on peut donc présumer virus.
Juste les items Verts ne sont pas à considérer normalement.
Considérer les analyser sur VirusTotal si ce sont des drivers
Ou juste les supprimer parce qu'on juge (Avec raison) qu'ils n'ont pas d'affaire la.
Ou juste garder parce qu'on a trouvé à quoi il sert.
@+
Bonjour @jeanbern StatutContributeur .
Télécharge FRST .
Une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :
Attend que le message l'outil est prêt à fonctionner s'affiche puis clique sur Analyser
Attention, attendre que les messages disant que l'analyse est terminée s'affichent.
À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition.
Ensuite envoie les rapports FRST et ADDITION sur https://www.cjoint.com/ ou sur https://pixeldrain.com/ .
Puis donne les deux liens générés par https://www.cjoint.com/ ou https://pixeldrain.com/dans ta réponse.
du coup je viens de le faire :
https://www.cjoint.com/c/NJkefvgGzMS
https://www.cjoint.com/c/NJkegPGyQLS
https://www.cjoint.com/c/NJkehiCpIeS
@jeanbern StatutContributeur .
Cela vient d'une tâche planifiée qui pointe vers le fichier Ss.vbs qui trouve dans un dossier Download qui se trouve dans le dossier Windows, c'est étrange car le dossier Download ne se trouve pas habituellement dans le dossier Windows je dirais même qu'il n'a rien à y faire.
Il y a d'autres tâches planifiées qui pointent vers des fichiers .vbs qui se trouvent dans ce dossier Download il s'agit de :
File: C:\Windows\Download\24989w5\Rr.vbs
File: C:\Windows\Download\Rr.vbs
Pour l'instant dans la correction FRST qui suit je ne supprime que la tâche planifiée Ss.vbs qui te pose problème.
Dis-moi si la présence de ce dossier Download dans le dossier Windows est de ton fait et si tu es au courant ? Je te pose cette question car je suis méfiant ayant déjà vu des configurations personnelles étranges, si tu n'es pas au courant de la présence de ce dossier Download dans le dossier Windows dis-moi si tu souhaites que je supprime ces taches planifiées supplémentaires ?
Procédure à faire dans l'ordre indiqué :
1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
File: C:\Windows\Download\Ss.vbs
File: C:\Windows\Service\RunRules.vbs
File: C:\Windows\Download\24989w5\Rr.vbs
File: C:\Windows\Download\Rr.vbs
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Restriction
HKU\S-1-5-21-1293147834-1548857375-139538282-1000\...\Policies\system: [shell] explorer.exe
GroupPolicy-Firefox: Restriction
HKU\S-1-5-21-1293147834-1548857375-139538282-1000\SOFTWARE\Policies\Microsoft\Edge: Restriction
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [] => [X]
Task: {82465F81-04AE-422A-AF97-C18168776D57} - System32\Tasks\MicrosoftUpdate => C:\Windows\Download\Ss.vbs [134 2023-11-05] () [Fichier non signé]
HKU\S-1-5-21-1293147834-1548857375-139538282-1000\...\Run: [] => [X]
Task: {BC6E8843-0107-4CB4-B54A-0E36B7C597C1} - \Opera scheduled assistant Autoupdate 1710101944 -> Pas de fichier
Task: {71449D09-E7AB-4E83-A4C6-0E1B6CA47A57} - System32\Tasks\AdobeAAMUpdater-1.0-PCW11-MSI-470-Utilisateur => C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe -mode=scheduled (Pas de fichier)
Task: {1A031FFA-4D45-45E3-AF44-1CC31F6F8BEA} - System32\Tasks\EpicWebHelper => "C:\Users\Utilisateur\AppData\Local\Temp\edge_BITS_5824_89019410763\EpicWebHelper.exe" (Pas de fichier)
Task: {AAFD2F3F-A91F-44BC-9ED3-58F3D6E027F4} - System32\Tasks\EpicWebHelperE => "C:\Users\Utilisateur\AppData\Local\Temp\edge_BITS_5824_89019410763\EpicWebHelper.exe" (Pas de fichier)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe (Pas de fichier)
S1 EneIo; \??\C:\Windows\system32\drivers\ene.sys [X]
CustomCLSID: HKU\S-1-5-21-1293147834-1548857375-139538282-1000_Classes\CLSID\{0047ADBE-9F73-CAFE-3A65-ACE857BB2024}\localserver32 -> "C:\Program Files\Adobe\Elements 2024 Organizer\Elements Auto Creations 2024.exe" -toastactivated => Pas de fichier
AlternateDataStreams: C:\ProgramData\TEMP:C9C13817 [112]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [9304]
FirewallRules: [{FCD8EA33-B9D6-4D00-9378-859F6E35C5F4}] => (Allow) C:\Program Files (x86)\Microsoft\EdgeWebView\Application\129.0.2792.79\msedgewebview2.exe => Pas de fichier
EmptyTemp:
End::
3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://www.cjoint.com/ ou https://pixeldrain.com/
Puis donne le lien généré par https://www.cjoint.com/ ou https://pixeldrain.com/ dans ta réponse.
5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT.
@jeanbern .
Effectivement il me reste le fichier download
T'inquiète c'est une coquille vide, j'ai supprimé les processus associés.
Le précédent fixlog est OK.
Si tout est OK pour toi, désinstalle FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.
