Security-X

Forum Security-X => Désinfections => Discussion démarrée par: mondoville le avril 05, 2016, 11:26:03

Titre: [resolu] windows script host... collant !!!
Posté par: mondoville le avril 05, 2016, 11:26:03
Bonjour à tous, voilà moi aussi j'ai ce  >:D  :oo de scrip host. Au demarrage, après écran Win, pouf, plus rien, écran noir. Et en bas minuscule fenêtre "paramètres". Grâce à un helper, je répare en faisant : gestionnaire de tâches, fichier : explorer.ex. Tout essayé pour nettoyer rien à faire  :oo. Donc j'ai fait la manip préconisé de FRST et envoyé les rapports. Voici les liens : https://up.security-x.fr/file.php?h=R4048257d6b44bbc5ed43541baa6b415f
https://up.security-x.fr/file.php?h=R28fd91e9dd44972ad995b6aa9564c16f
MERCII ! ;)
Titre: Re : windows script host... collant !!!
Posté par: hyunkel30 le avril 05, 2016, 12:53:30
Bonjour,

Bienvenue sur Security-X,

Citer
Grâce à un helper, je répare en faisant : gestionnaire de tâches, fichier : explorer.ex

Tu es actuellement pris en charge sur un autre forum ?
Titre: Re : windows script host... collant !!!
Posté par: mondoville le avril 05, 2016, 15:08:07
Non, juste trouvé cette réponse en cherchant sur G....
Titre: Re : windows script host... collant !!!
Posté par: hyunkel30 le avril 05, 2016, 17:41:48
Re,

Ok, je préfère savoir avant, histoire d'éviter des procédures croisées, dangereuses pour le système.

Tu es effectivement infecté, on va nettoyer :


1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

- Java(TM) 7 Update 5 (64-bit) (version obsolète et vulnérable, tu possèdes une version plus récente)
- Wise Registry Cleaner 8.81 (pas ou peu utile, comme tous les optimiseurs)




Code: [Sélectionner]
start
CreateRestorePoint:
CloseProcesses:
Task: {0404E46F-7576-4CD6-9E71-4C476E66D16D} - System32\Tasks\Eaabigdi => C:\PROGRA~1\GUGSEU~1\Ajevs.bat
C:\PROGRA~1\GUGSEU~1\Ajevs.bat
Task: {0BD3E1C9-2734-4E00-AFD2-9C15B66736C3} - System32\Tasks\Livfots => C:\PROGRA~1\KHREIN~1\Akurruf.bat
C:\PROGRA~1\KHREIN~1\Akurruf.bat
Task: {155FE4C2-DE0C-4617-B61E-4CF2F8AAAFC1} - System32\Tasks\{68B51939-AFD7-4F75-81E3-A47CC316E169} => pcalua.exe -a "C:\Users\domdom\AppData\Roaming\1H1Q\File Opener Packages\uninstaller.exe" -c /Uninstall /NM="File Opener Packages" /AN="1H1Q" /MBN="File Opener Packages"
Task: {2CB7742F-8ADC-4735-A882-700BD9AEFA7E} - System32\Tasks\Mammep => C:\PROGRA~1\BELCUO~1\Ihoucbu.bat
C:\PROGRA~1\BELCUO~1\Ihoucbu.bat
Task: {380BF3FD-6F37-4140-A03B-378674B64B50} - System32\Tasks\{03EBE300-F7F2-4C58-9A86-B37DEFA820A3} => pcalua.exe -a C:\ProgramData\BrowserDefender\2.6.1562.220\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\uninstall.exe -c /Uninstall /{15D2D75C-9CB2-4efd-BAD7-B9B4CB4BC693} /su=6b3534be8d876d20 /um
C:\ProgramData\BrowserDefender
Task: {82A297F7-8235-4444-9243-3B2B952A0F4D} - System32\Tasks\SMW_P => C:\ProgramData\smp2.exe [2016-04-03] () <==== ATTENTION
Task: {866CF648-58FE-4A13-B1A3-6294516009F1} - System32\Tasks\{2DE05D27-1669-4D68-8C79-B7C810245027} => pcalua.exe -a C:\Users\domdom\AppData\Local\WebPlayer\uninstall.exe -c _?=C:\Users\domdom\AppData\Local\WebPlayer\FLV Player
C:\ProgramData\smp2.exe
C:\Users\domdom\AppData\Local\WebPlayer
Task: {915FD0BE-223E-483A-857C-A2995A69F1E4} - System32\Tasks\{557EBC47-801E-4FF3-BB4A-699A25B872DB} => pcalua.exe -a "C:\Users\domdom\AppData\Roaming\Store\WindApp\WindApp Uninstall.exe"
C:\Users\domdom\AppData\Roaming\Store
Task: {A1C8CFDE-4297-4A6F-A09D-24D728DC7E3E} - System32\Tasks\kze3024 => C:\Program Files (x86)\QuickSearch\kze3024.exe <==== ATTENTION
C:\Program Files (x86)\QuickSearch
Task: {AC3F925B-F9B7-404A-95D1-2190B65908DF} - \{7A7D0A47-0C05-0D0E-0A11-090F0A0A110D} -> Pas de fichier <==== ATTENTION
Task: {AF4A9DEB-A678-4622-BA18-C64FCFAD73D3} - System32\Tasks\{7CE3F889-2300-4D90-974F-67054AF7DFFA} => pcalua.exe -a C:\Users\domdom\Desktop\setup.exe -d C:\Users\domdom\Desktop
Task: {ECCA69F2-A907-49F5-A0C7-6DAB125635DF} - System32\Tasks\{400A917D-0C54-4159-839F-23AC72CA65E7} => pcalua.exe -a "C:\Users\domdom\AppData\Roaming\Nosibay\Bubble Dock\Uninstall Bubble Dock.exe"
C:\Users\domdom\AppData\Roaming\Nosibay\Bubble Dock
ShortcutWithArgument: C:\Users\domdom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www%2dsearching.com/?prd=set_epf&s=g43zftpbl0cshmobh,295ec7b4-c0c8-4ff1-aff4-062ca24f633f,
ShortcutWithArgument: C:\Users\domdom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www%2dsearching.com/?prd=set_epf&s=g43zftpbl0cshmobh,295ec7b4-c0c8-4ff1-aff4-062ca24f633f,
ShortcutWithArgument: C:\Users\domdom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\5d696d521de238c3\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www%2dsearching.com/?prd=set_epf&s=g43zftpbl0cshmobh,295ec7b4-c0c8-4ff1-aff4-062ca24f633f,
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\zdwfp => ""="Driver"
HKLM\...\Run: [WINCOMKCD] => "C:\Program Files (x86)\sunnyday\wincom_KCD.exe"
HKLM\...\Run: [IDSCCOMGLN] => "C:\Program Files\SpaceSoundPro\idsccom_GLN.exe"
HKLM\...\Run: [WINCOM8FV] => "C:\Program Files (x86)\sunnyday\wincom_8FV.exe"
HKLM\...\Run: [IDSCCOMV7X] => "C:\Program Files (x86)\Max Driver Updater\idsccom_V7X.exe"
HKLM\...\Winlogon: [Userinit] wscript,
Startup: C:\Users\domdom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt [2016-04-04] ()
Startup: C:\Users\domdom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Serviio.lnk [2016-04-04]
BHO-x32: Pas de nom -> {451C804F-C205-4F03-B48E-537EC94937BF} -> Pas de fichier
Toolbar: HKU\S-1-5-21-3650440428-3117339421-1320811852-1001 -> Pas de nom - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - Pas de fichier
Handler: WSWSVCUchrome - {1CA93FF0-A218-44F1 - Pas de fichier
FF Extension: Web Amplified 1.0.1 - C:\Users\domdom\AppData\Roaming\Mozilla\Firefox\Profiles\vpe8j6ps.default\Extensions\{b50d0351-887b-4ba2-b70c-fa22f9790730}.xpi [2015-10-03] [non signé]
FF Extension: Web Amplified 1.0.1 - C:\Users\domdom\AppData\Roaming\Mozilla\Firefox\Profiles\41A66E7E5EE1\Extensions\{b50d0351-887b-4ba2-b70c-fa22f9790730}.xpi [2015-10-03] [non signé]
CHR Extension: (Rapport) - C:\Users\domdom\AppData\Local\Google\Chrome\User Data\Default\Extensions\bbjllphbppobebmjpjcijfbakobcheof [2016-02-10]
CHR HKU\S-1-5-21-3650440428-3117339421-1320811852-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bbjllphbppobebmjpjcijfbakobcheof] - hxxps://clients2.google.com/service/update2/crx
S2 Jeoiy; "C:\Users\domdom\AppData\Roaming\JhroGuahch\Queejvhd.exe" -cms [X]
C:\Users\domdom\AppData\Roaming\JhroGuahch
2016-04-03 21:40 - 2016-04-03 21:40 - 00000000 ____D C:\WINDOWS\system32\pum
2016-04-03 19:29 - 2016-04-03 19:29 - 00000000 ____D C:\WINDOWS\system32\goes
2016-04-03 19:08 - 2016-04-03 19:08 - 00000000 ____D C:\WINDOWS\system32\cyo
2016-04-03 18:13 - 2016-04-03 21:41 - 00000000 ____D C:\Users\domdom\AppData\Roaming\UgubabLufupe
2016-04-03 18:13 - 2016-04-03 21:41 - 00000000 ____D C:\Users\domdom\AppData\Roaming\Ajuslacwua
2016-03-31 19:42 - 2016-03-31 19:42 - 00004128 _____ C:\ProgramData\bqeojehc.wbx
2016-03-28 19:57 - 2016-03-28 22:18 - 00000000 ____D C:\Users\domdom\AppData\Roaming\Epemnuxuk
2016-03-28 19:53 - 2016-03-28 19:53 - 00003412 _____ C:\WINDOWS\System32\Tasks\Eaabigdi
2015-04-14 18:28 - 2015-04-14 18:28 - 0004387 ____C () C:\Users\domdom\AppData\Roaming\4UsBc3AdCIt
2015-04-19 14:20 - 2015-04-19 14:20 - 0005872 ____C () C:\Users\domdom\AppData\Roaming\4UsBc3AdCItD
2015-04-19 14:20 - 2015-04-19 14:20 - 0005872 ____C () C:\Users\domdom\AppData\Roaming\AuDcrVUqJi
2015-04-14 18:28 - 2015-04-14 18:28 - 0004387 ____C () C:\Users\domdom\AppData\Roaming\JTZvRV5DEE
2015-07-30 16:28 - 2015-07-30 16:28 - 0004105 ____C () C:\ProgramData\wmzddnmb.cix
EmptyTemp:
end/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

~~~~~~~~~~~~~~~~~~~~~~

Télécharge AdwCleaner (http://www.bleepingcomputer.com/download/adwcleaner/dl/125/) (de Xplode) sur ton Bureau.

Titre: Re : windows script host... collant !!!
Posté par: mondoville le avril 05, 2016, 20:34:12
Je pense que tout a parfaitement marché. Voici le lien du rapport Adw https://up.security-x.fr/file.php?h=Rb100632ce5f259565aaaee51df4d3981
Merci beaucoup, beaucoup, beaucoup Hyunkel30 :BAN Comment on peut vous aider ? Un don c'est ça ? Si y a autre chose, tu dis !
Titre: Re : windows script host... collant !!!
Posté par: hyunkel30 le avril 05, 2016, 20:40:18
Re,

Alors c'est le rapport Fixlog.txt que j'aurais voulu avoir ;)

Quand à Adwcleaner tu ne devais faire qu'une recherche, pour éviter les faux-positif ...
Mais bon, tu sembles un peu trop familier avec cet outil ...
Faudra vraiment, vraiment être plus vigilant, une prochaine fois, ce pourrait être bien plus dangereux (ransomware, etc ...)

Titre: Re : windows script host... collant !!!
Posté par: mondoville le avril 05, 2016, 23:07:29
Juste pour le fun voilà le lien fixlog (pas compris, sorry) https://up.security-x.fr/file.php?h=Re09f2b081a9105d017f012a89cca53a4
C'est promis je vais faire hyper gaffe ça m'a servi de leçon !! Tu ne me réponds pas sur comment je peux vous remercier ??? ::)
Titre: Re : windows script host... collant !!!
Posté par: hyunkel30 le avril 06, 2016, 08:36:36
Re,

Citer
C'est promis je vais faire hyper gaffe ça m'a servi de leçon !! Tu ne me réponds pas sur comment je peux vous remercier ??? ::)

En ne revenant pas nous voir pour un telle infection, et en faisant passer le mot de la vigilance autour de toi ;)
Sinon oui, il est possible de faire un don, mais ce n'est absolument pas une obligation.


Télécharge DelFix (https://toolslib.net/downloads/finish/2/) (de Xplode) sur ton bureau.

Note : cet outil pédagogique tant à évoluer en permanence, n'hésite pas à remonter les problèmes rencontrés ou les suggestions pour son amélioration


Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :




Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
A lire ! (http://www.tomsguide.fr/forum/id-2134891/prevention-protection-securiser-ordinateur.html)
Ici aussi ! (http://www.tomsguide.fr/forum/id-416930/dossier-prevention-protection.html)

Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en haut à droite)  dans ton tout premier message.
-> Ajoute ensuite "résolu" à coté de ton titre et valide.

A bientôt sur Security-X
 :AAN
Titre: Re : windows script host... collant !!!
Posté par: mondoville le avril 06, 2016, 09:13:01
Voilà pour ta dernière demande :
# DelFix v1.012 - Rapport créé le 06/04/2016 à 09:05:10
# Mis à jour le 04/03/2015 par Xplode
# Nom d'utilisateur : domdom - BESTFRIEND
# Système d'exploitation : Windows 10 Home  (64 bits)

~ Suppression des outils de désinfection ...

Supprimé : C:\FRST
Supprimé : C:\AdwCleaner
Supprimé : C:\RstHosts.txt
Supprimée : HKLM\SOFTWARE\AdwCleaner

~ Purge de la restauration système ...

Supprimé : RP #49 [Opération de restauration | 04/04/2016 06:57:29]
Supprimé : RP #50 [JRT Pre-Junkware Removal | 04/04/2016 07:57:11]
Supprimé : RP #51 [Removed Java(TM) 7 Update 5 (64-bit) | 04/05/2016 18:05:50]

Nouveau point de restauration créé !

########## - EOF - ##########


Maintenant je cesse de truster ton attention et j'ai tout bien enregistré pour les mises en garde. Je fais un don illico, ça mérite.  ;D