Security-X

Forum Security-X => Désinfections => Discussion démarrée par: gosanku le janvier 28, 2016, 17:53:13

Titre: Windows Script Host, virus ? [résolu]
Posté par: gosanku le janvier 28, 2016, 17:53:13
Bonjour,

quand j'ai télécharger adwcleaner sous windows 8, il y a des pub qui s'ouvrent, parfois ça me bloque internet
quand je l'ai désinstallé (par en faisant désinstaller le programme car je ne l'ai pas trouvé) en cliquant sur le programme, à chaque fois que j'allume mon pc, j'ai ce message:
                                       Windows Script Host
                                       Script : C:\Windows\run.vbs
                                       Caract.: 43
                                       Erreur: Le fichier spécifié est introuvable.
                                       Code: 80070002
                                       Source: (null)

et j'ai encore des pub qui s'affichent.

Est-ce un virus ? parfois quand je suis sur internet c'est comme ci c'était brouillé, trop bizarre...
ça fait 1 semaine que ça dure

merci d'avance pour votre aide :)
Titre: Re : Windows Script Host, virus ?
Posté par: nicoolas le janvier 28, 2016, 18:36:30
Bonjour,

Nous allons dans un premier temps établir un diagnostic de ton pc. Je te demande donc de ne pas demander de l'aide sur un autre forum car ceci pourrait s'avérer dangereux pour ton pc.

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc)FRST :

Sous IE9, IE10 ou IE11, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

---------------------------------------------------------------------------------------------

Sont attendus les rapports FRST.txt et Addition.txt

A+
Titre: Re : Windows Script Host, virus ?
Posté par: gosanku le janvier 28, 2016, 19:02:13
alors voici les liens:
---
Titre: Re : Windows Script Host, virus ?
Posté par: nicoolas le janvier 28, 2016, 21:40:09
Re,

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc)FRST - Correctif :

start
CreateRestorePoint:
CloseProcesses:
Task: {0D8A891D-890C-4808-84D8-2F436AB14653} - \Microsoft\Windows\Application Experience\AitAgent -> Pas de fichier <==== ATTENTION
Task: {1274336E-AB06-46B6-A48C-0671C5557CC6} - \Microsoft\Windows\TaskScheduler\Maintenance Configurator -> Pas de fichier <==== ATTENTION
Task: {1687544D-7247-4F5A-965A-A6E920E55278} - \Microsoft\Windows\TaskScheduler\Manual Maintenance -> Pas de fichier <==== ATTENTION
Task: {5333C8B8-D50B-4D14-8831-A62DABE4EA9F} - System32\Tasks\egw3017 => C:\PROGRA~2\QUICKS~1\egw3017.exe <==== ATTENTION
Task: {6F02587F-8A2B-4552-97F6-DEEF229E335B} - \Microsoft\Windows\TaskScheduler\Idle Maintenance -> Pas de fichier <==== ATTENTION
Task: {B7992938-01F1-4F40-A0EC-0D23D2F0F152} - \Microsoft\Windows\TaskScheduler\Regular Maintenance -> Pas de fichier <==== ATTENTION
Task: {CFD7C21A-808B-487B-A6EC-8A10E44E8360} - \Microsoft\Windows\SettingSync\BackupTask -> Pas de fichier <==== ATTENTION
Task: {FD1332BD-7904-4EFF-BAF7-FFBCA1DA74E3} - System32\Tasks\Umxrolab => C:\ProgramData\Umxrolab\1.0.7.1\jreilglu.exe [2016-01-23] ()
C:\ProgramData\Umxrolab
C:\Windows\System32\Tasks\Umxrolab
EmptyTemp:
end
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
                                                                             




Quel ratio de détection obtiens-tu ?

Fais de même avec le fichier C:\Windows\KMS-QAD.exe



Malwarebytes Anti-Malware :

Le journal d'examen est aussi enregistré sous C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\Logs[/list]

Tutoriel d'utilisation Malwarebytes en images (http://forum.security-x.fr/tutoriels-317/tutoriel-malwarebytes-anti-malware-version-2/)

 
Titre: Re : Windows Script Host, virus ?
Posté par: gosanku le janvier 29, 2016, 18:09:11
j'ai dû faire 2 fois "corriger" car ça m'avait bloqué l'application

Ratio de détection :
QAD-Hook: 7/55
KMS-QAD: 2/55


----
Titre: Re : Windows Script Host, virus ?
Posté par: nicoolas le janvier 30, 2016, 13:37:42
 :AAC

Installer des cracks sur son ordinateur est source d'infection.

Il manque le rapport fixlog.txt. On va poursuivre :


Désinstallation des programmes :

Supprime le ou les programme(s) listé(s) ci-dessous via Panneau de configuration -> Désinstaller un programme :

Office 2013 KMS Activator Ultimate v1.4



(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc)FRST - Correctif :

start
CreateRestorePoint:
CloseProcesses:
2015-06-08 11:27 - 2015-06-08 11:27 - 00022528 _____ () C:\Windows\KMS-QAD.exe
2015-06-08 11:27 - 2015-06-08 11:27 - 00005120 _____ () C:\Windows\QAD-Hook.exe
2015-06-08 11:27 - 2015-06-08 11:27 - 00003584 _____ () C:\Windows\QAD-Hook.dll
FirewallRules: [{BCCCC340-0CE0-4810-B5E3-9E9EC9A14832}] => (Allow) C:\Windows\KMS-QAD.exe
FirewallRules: [{0FA74040-6A3E-45C7-8D0A-203C33C4E57F}] => (Allow) C:\Windows\KMS-QAD.exe
C:\ProgramData\Umxrolab
C:\Windows\SysWOW64\config\systemprofile\AppData\Local\speed browser
C:\ProgramData\Browser
C:\Users\gohan\AppData\Local\ZombieNews
EmptyTemp:
end
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\



(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc)ADWCleaner:

Titre: Re : Windows Script Host, virus ?
Posté par: gosanku le janvier 30, 2016, 13:57:17
J'ai l'impression d'être tout nu là lol, c'est bon j'ai désinstallé l'application
mais tu sais c'est vraiment à cause AdwCleaner, que j'ai le message d'erreur, et je l'ai réinstallé...

voici les rapports:
----
Titre: Re : Windows Script Host, virus ?
Posté par: nicoolas le janvier 30, 2016, 14:03:18
Re,

Tu as toujours le message d'erreur ?

Qu'as-tu réinstallé ? L'application??


(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc)ADWCleaner:

Titre: Re : Windows Script Host, virus ?
Posté par: gosanku le janvier 30, 2016, 14:29:48
oui j'ai encore le message d'erreur
et je te parle d'AdwCleaner que les problèmes ont commencé

----
Titre: Re : Windows Script Host, virus ?
Posté par: nicoolas le janvier 30, 2016, 14:35:00
Re,

Je vais te demander de refaire un diagnostic :

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc)FRST :

Sous IE9, IE10 ou IE11, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

---------------------------------------------------------------------------------------------

Sont attendus les rapports FRST.txt et Addition.txt
Titre: Re : Windows Script Host, virus ?
Posté par: gosanku le janvier 30, 2016, 14:43:30
j'ai supprimé mes liens
Titre: Re : Windows Script Host, virus ?
Posté par: nicoolas le janvier 30, 2016, 14:54:54
Re,

Tu ne devrais plus avoir de message d'erreur après avoir passé ce fix :

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc)FRST - Correctif :

start
CreateRestorePoint:
CloseProcesses:
Task: {EAC48ABC-42EE-4F2A-B350-F70C1AEB13FB} - System32\Tasks\Umxrolab => C:\ProgramData\Umxrolab\1.0.7.1\jreilglu.exe
HKLM\...\Winlogon: [Userinit] wscript C:\Windows\run.vbs,
HKLM-x32\...\Winlogon: [Userinit] wscript C:\Windows\run.vbs, [X]
IFEO\OSppSvc.exe: [Debugger] QAD-Hook.exe
IFEO\SppExtComObj.exe: [Debugger] QAD-Hook.exe
S2 KMS-R@1n; C:\Windows\KMS-QAD.exe [X]
S2 Vhjaj; "C:\Users\gohan\AppData\Roaming\UeaoByrui\Enakago.exe" -cms [X]
AlternateDataStreams: C:\ProgramData\Temp:0FF263E8
AlternateDataStreams: C:\Users\gohan\Desktop\Dou_a du matin.mp4:TOC.WMV
AlternateDataStreams: C:\Users\gohan\Desktop\Dou_a_du_soir.mp4:TOC.WMV
EmptyTemp:
end
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
Titre: Re : Windows Script Host, virus ?
Posté par: gosanku le janvier 30, 2016, 15:13:24
ha il n'y a plus de message d'erreur :o

---
Titre: Re : Windows Script Host, virus ?
Posté par: gosanku le janvier 30, 2016, 15:17:40
là, j'ai eu une blocage de pc et mon écran est devenu noir tout un coup
Titre: Re : Windows Script Host, virus ?
Posté par: nicoolas le janvier 30, 2016, 15:47:45
Tu as fait quelque chose de spécial qui aurait pu provoquer le blocage de ton pc ?
Titre: Re : Windows Script Host, virus ?
Posté par: gosanku le janvier 30, 2016, 16:38:24
non j'étais juste sur le forum et aussi sur yahoo messenger
Titre: Re : Windows Script Host, virus ?
Posté par: nicoolas le janvier 30, 2016, 16:39:04
Re,

et ça ne te l'a pas refais depuis ?
Titre: Re : Windows Script Host, virus ?
Posté par: gosanku le janvier 30, 2016, 16:44:07
non rien là,
mais bon ça n'aurait pas dû arriver

au fait comment on désinstaller FRST64 ? vu que je le trouve pas dans paramètres->désinstaller programme
Titre: Re : Windows Script Host, virus ?
Posté par: nicoolas le janvier 30, 2016, 16:56:53
On le désinstallera à la fin ;)

Tu as toujours des publicités ou pas ?
Titre: Re : Windows Script Host, virus ?
Posté par: gosanku le janvier 30, 2016, 17:18:29
je viens de redémarrer mon pc et je confirme, je n'ai plus de message d'erreur
ni de pub :)

donc le fait que l'écran soit devenu noir comme ça sans aucune raison, c'est pas grave ?
Titre: Re : Windows Script Host, virus ?
Posté par: nicoolas le janvier 30, 2016, 17:25:33
Si ça ne le refait pas, je ne vois pas ce que cela peut être... Sûrement à cause du crack qui a été supprimé.

On va donc pouvoir finaliser la procédure :

- Supprimer les outils de désinfection
 - Purger la restauration système



Afin d'éviter de te faire réinfecter, voici quelques conseils :

Sois vigilant lors de l'installation de logiciels :
Il faut lire les conditions d'utilisation des logiciels afin de voir comment sont gérées nos données personnelles, s'ils n'installent pas de sponsors publicitaires. Il faut aussi refuser les toolbars ou tout autre addons. Je te conseille de lire cet article (http://forum.security-x.fr/securite-generale/stop-la-pub/) et celui-ci (http://forum.security-x.fr/tutoriels-317/installation-d%27une-application-sponsorisee-les-pieges-a-eviter)

Pour éviter de te faire réinfecter par des adwares à l'avenir, entraîne-toi à ne pas tomber dans leurs pièges (http://forum.security-x.fr/tutoriels-317/installation-d%27une-application-sponsorisee-les-pieges-a-eviter/) en utilisant cet outil :

Télécharge Adware Prevention (http://security-x.fr/~guigui0001/Adware_Prevention.exe) (de guigui0001) sur ton bureau.

Sous IE9, IE10, IE11 et Windows 8 le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

Maintenir ses logiciels et son système à jour :
De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
Tu peux faire un scan de vulnérabilité (http://secunia.com/vulnerability_scanning/online/) pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.
Ou utiliser un outil comme SXCU (http://forum.security-x.fr/tutoriels-317/(tutoriel)-sx-checkupdate/) pour vérifier occasionnellement.



Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
A lire ! (http://www.tomsguide.fr/forum/id-2134891/prevention-protection-securiser-ordinateur.html)
Ici aussi ! (http://www.tomsguide.fr/forum/id-416930/dossier-prevention-protection.html)

Titre: Re : Windows Script Host, virus ?
Posté par: gosanku le janvier 30, 2016, 17:51:38
Rapport:
----

oui, je ferai plus attention à l'avenir

en tout cas merci beaucoup de ton aide, j'espère ne plus rencontrer ce genre de problème (bien que je doute)
Titre: Re : Windows Script Host, virus ?
Posté par: nicoolas le janvier 30, 2016, 18:11:50
Re,

C'est bon pour moi !

Prudence à l'avenir.
Titre: Re : Windows Script Host, virus ? [résolu]
Posté par: gosanku le janvier 30, 2016, 18:25:09
ok merci encore