Auteur Sujet: Windows Script Host, virus ? [résolu]  (Lu 8468 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne gosanku

  • Membres
  • Members
  • *
  • Messages: 14
Windows Script Host, virus ? [résolu]
« le: janvier 28, 2016, 17:53:13 »
Bonjour,

quand j'ai télécharger adwcleaner sous windows 8, il y a des pub qui s'ouvrent, parfois ça me bloque internet
quand je l'ai désinstallé (par en faisant désinstaller le programme car je ne l'ai pas trouvé) en cliquant sur le programme, à chaque fois que j'allume mon pc, j'ai ce message:
                                       Windows Script Host
                                       Script : C:\Windows\run.vbs
                                       Caract.: 43
                                       Erreur: Le fichier spécifié est introuvable.
                                       Code: 80070002
                                       Source: (null)

et j'ai encore des pub qui s'affichent.

Est-ce un virus ? parfois quand je suis sur internet c'est comme ci c'était brouillé, trop bizarre...
ça fait 1 semaine que ça dure

merci d'avance pour votre aide :)
« Modifié: janvier 30, 2016, 18:12:10 par nicoolas »

Security-X

Windows Script Host, virus ? [résolu]
« le: janvier 28, 2016, 17:53:13 »

Hors ligne nicoolas

  • Ancien du Staff
  • Power Members
  • ****
  • Messages: 1693
Re : Windows Script Host, virus ?
« Réponse #1 le: janvier 28, 2016, 18:36:30 »
Bonjour,

Nous allons dans un premier temps établir un diagnostic de ton pc. Je te demande donc de ne pas demander de l'aide sur un autre forum car ceci pourrait s'avérer dangereux pour ton pc.

FRST :

  • Sur cette page, télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau  <-- Important
    Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
    /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Sur le menu principal, clique sur Analyser et patiente le temps de l'analyse

  • A la fin du scan, les rapports FRST.txt et Addition.txt sont créés.
  • Héberge ces rapports sur ce site d'hébergement de fichiers et indique les liens fournis dans ta réponse. Aide en images
    Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs
Sous IE9, IE10 ou IE11, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

---------------------------------------------------------------------------------------------

Sont attendus les rapports FRST.txt et Addition.txt

A+

Hors ligne gosanku

  • Membres
  • Members
  • *
  • Messages: 14
Re : Windows Script Host, virus ?
« Réponse #2 le: janvier 28, 2016, 19:02:13 »
alors voici les liens:
---
« Modifié: janvier 30, 2016, 17:55:46 par gosanku »

Hors ligne nicoolas

  • Ancien du Staff
  • Power Members
  • ****
  • Messages: 1693
Re : Windows Script Host, virus ?
« Réponse #3 le: janvier 28, 2016, 21:40:09 »
Re,

FRST - Correctif :

  • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
  • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

start
CreateRestorePoint:
CloseProcesses:
Task: {0D8A891D-890C-4808-84D8-2F436AB14653} - \Microsoft\Windows\Application Experience\AitAgent -> Pas de fichier <==== ATTENTION
Task: {1274336E-AB06-46B6-A48C-0671C5557CC6} - \Microsoft\Windows\TaskScheduler\Maintenance Configurator -> Pas de fichier <==== ATTENTION
Task: {1687544D-7247-4F5A-965A-A6E920E55278} - \Microsoft\Windows\TaskScheduler\Manual Maintenance -> Pas de fichier <==== ATTENTION
Task: {5333C8B8-D50B-4D14-8831-A62DABE4EA9F} - System32\Tasks\egw3017 => C:\PROGRA~2\QUICKS~1\egw3017.exe <==== ATTENTION
Task: {6F02587F-8A2B-4552-97F6-DEEF229E335B} - \Microsoft\Windows\TaskScheduler\Idle Maintenance -> Pas de fichier <==== ATTENTION
Task: {B7992938-01F1-4F40-A0EC-0D23D2F0F152} - \Microsoft\Windows\TaskScheduler\Regular Maintenance -> Pas de fichier <==== ATTENTION
Task: {CFD7C21A-808B-487B-A6EC-8A10E44E8360} - \Microsoft\Windows\SettingSync\BackupTask -> Pas de fichier <==== ATTENTION
Task: {FD1332BD-7904-4EFF-BAF7-FFBCA1DA74E3} - System32\Tasks\Umxrolab => C:\ProgramData\Umxrolab\1.0.7.1\jreilglu.exe [2016-01-23] ()
C:\ProgramData\Umxrolab
C:\Windows\System32\Tasks\Umxrolab
EmptyTemp:
end
  • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur FRST.exe
    /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Sur le menu principal, clique une seule fois sur Corriger et patiente le temps de la correction

  • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.
  • Redémarre ensuite ton ordinateur puis, reviens sur ce post pour appliquer la suite de la procédure.
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
                                                                             


  • Rend-toi sur www.virustotal.com
  • Clique sur "Choisir un fichier"
  • Choisis le fichier qui se trouve sous C:\Windows\QAD-Hook.exe
  • Clique sur Analyser!
  • Patiente le temps de l'analyse


Quel ratio de détection obtiens-tu ?

Fais de même avec le fichier C:\Windows\KMS-QAD.exe



Malwarebytes Anti-Malware :

  • Télécharge Malwarebytes Anti-Malware et enregistre le sur le Bureau
  • Double-clique sur le fichier mbam-setup.exe pour lancer l'installation
    /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • A la fin de l'installation, décoche l'option "Activer l'essai gratuit de Malwarebytes Anti-Malware Premium". La case Exécuter Malwarebytes Anti-Malware reste cochée.
  • Clique sur Terminer. Malwarebyte's s'ouvre
  • Dans Version de la base de données, clique sur le lien Mettre à jour pour installer les mises à jour et laisse l'outil les installer
  • Dans Paramètres, puis Détection et protection, sélectionne Traiter les détections comme des malveillants pour les détections PUP et PUM
  • Dans Examen, coche Examen "Menaces" puis clique sur Examiner maintenant
  • Si l'outil te propose d'autres mises à jour, valide en cliquant sur Mettre à jour maintenant
  • Patiente le temps de l'analyse
  • Pour supprimer les éléments détectés, clique sur Tout mettre en quarantaine
  • Si un redémarrage est demandé, clique sur Yes
  • Au redémarrage, relance Malwarebytes
  • Dans Historique, clique sur Journaux de l'application
  • Sélectionne le journal d'examen le plus récent, puis clique sur Afficher
  • Clique sur Exporter puis sur Fichier texte (*.txt)
  • Enregistre le rapport sur ton Bureau. Poste ce rapport dans ta prochaine réponse
Le journal d'examen est aussi enregistré sous C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\Logs[/list]

Tutoriel d'utilisation Malwarebytes en images

 

Hors ligne gosanku

  • Membres
  • Members
  • *
  • Messages: 14
Re : Windows Script Host, virus ?
« Réponse #4 le: janvier 29, 2016, 18:09:11 »
j'ai dû faire 2 fois "corriger" car ça m'avait bloqué l'application

Ratio de détection :
QAD-Hook: 7/55
KMS-QAD: 2/55


----
« Modifié: janvier 30, 2016, 17:56:31 par gosanku »

Hors ligne nicoolas

  • Ancien du Staff
  • Power Members
  • ****
  • Messages: 1693
Re : Windows Script Host, virus ?
« Réponse #5 le: janvier 30, 2016, 13:37:42 »
 :AAC

Installer des cracks sur son ordinateur est source d'infection.

Il manque le rapport fixlog.txt. On va poursuivre :


Désinstallation des programmes :

Supprime le ou les programme(s) listé(s) ci-dessous via Panneau de configuration -> Désinstaller un programme :

Office 2013 KMS Activator Ultimate v1.4



FRST - Correctif :

  • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
  • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

start
CreateRestorePoint:
CloseProcesses:
2015-06-08 11:27 - 2015-06-08 11:27 - 00022528 _____ () C:\Windows\KMS-QAD.exe
2015-06-08 11:27 - 2015-06-08 11:27 - 00005120 _____ () C:\Windows\QAD-Hook.exe
2015-06-08 11:27 - 2015-06-08 11:27 - 00003584 _____ () C:\Windows\QAD-Hook.dll
FirewallRules: [{BCCCC340-0CE0-4810-B5E3-9E9EC9A14832}] => (Allow) C:\Windows\KMS-QAD.exe
FirewallRules: [{0FA74040-6A3E-45C7-8D0A-203C33C4E57F}] => (Allow) C:\Windows\KMS-QAD.exe
C:\ProgramData\Umxrolab
C:\Windows\SysWOW64\config\systemprofile\AppData\Local\speed browser
C:\ProgramData\Browser
C:\Users\gohan\AppData\Local\ZombieNews
EmptyTemp:
end
  • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur FRST.exe
    /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Sur le menu principal, clique une seule fois sur Corriger et patiente le temps de la correction

  • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.
  • Redémarre ensuite ton ordinateur puis, reviens sur ce post pour appliquer la suite de la procédure.
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\



ADWCleaner:

  • Télécharge AdwCleaner de Xplode et enregistre le fichier sur ton Bureau
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur l'icône AdwCleaner.exe pour lancer l'installation
    /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Sur le menu principal, clique sur Scanner
  • Les éléments détectés s'affichent dans les différents onglets. Clique sur Rapport
  • Un rapport AdwCleaner(S).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
    Le rapport se trouve sous C:\AdwCleaner(S).txt
                                                                                 

    Sont attendus les deux rapports fixlog.txt et le rapport d'adwcleaner.



Hors ligne gosanku

  • Membres
  • Members
  • *
  • Messages: 14
Re : Windows Script Host, virus ?
« Réponse #6 le: janvier 30, 2016, 13:57:17 »
J'ai l'impression d'être tout nu là lol, c'est bon j'ai désinstallé l'application
mais tu sais c'est vraiment à cause AdwCleaner, que j'ai le message d'erreur, et je l'ai réinstallé...

voici les rapports:
----
« Modifié: janvier 30, 2016, 17:56:46 par gosanku »

Hors ligne nicoolas

  • Ancien du Staff
  • Power Members
  • ****
  • Messages: 1693
Re : Windows Script Host, virus ?
« Réponse #7 le: janvier 30, 2016, 14:03:18 »
Re,

Tu as toujours le message d'erreur ?

Qu'as-tu réinstallé ? L'application??


ADWCleaner:

  • Double-clique sur l'icône AdwCleaner.exe pour lancer ADWCleaner
    /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Sur le menu principal, clique sur Scanner
  • Les éléments détectés s'affichent dans les différents onglets. Clique sur Nettoyer et valide par OK la fermeture des programmes
  • Patiente le temps de l'analyse et valide le message d'informations
  • Un redémarrage est demandé, valider par OK
  • Au redémarrage, un rapport AdwCleaner(C).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
    Le rapport se trouve sous C:\AdwCleaner(C).txt
« Modifié: janvier 30, 2016, 14:05:27 par nicoolas »

Hors ligne gosanku

  • Membres
  • Members
  • *
  • Messages: 14
Re : Windows Script Host, virus ?
« Réponse #8 le: janvier 30, 2016, 14:29:48 »
oui j'ai encore le message d'erreur
et je te parle d'AdwCleaner que les problèmes ont commencé

----
« Modifié: janvier 30, 2016, 17:56:57 par gosanku »

Hors ligne nicoolas

  • Ancien du Staff
  • Power Members
  • ****
  • Messages: 1693
Re : Windows Script Host, virus ?
« Réponse #9 le: janvier 30, 2016, 14:35:00 »
Re,

Je vais te demander de refaire un diagnostic :

FRST :

  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
    /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Sur le menu principal, coche la case Addition.txt puis clique sur Scan et patiente le temps de l'analyse

  • A la fin du scan, les rapports FRST.txt et Addition.txt sont créés.
  • Héberge ces rapports sur ce site d'hébergement de fichiers et indique les liens fournis dans ta réponse. Aide en images
    Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs
Sous IE9, IE10 ou IE11, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

---------------------------------------------------------------------------------------------

Sont attendus les rapports FRST.txt et Addition.txt

Hors ligne gosanku

  • Membres
  • Members
  • *
  • Messages: 14
Re : Windows Script Host, virus ?
« Réponse #10 le: janvier 30, 2016, 14:43:30 »
j'ai supprimé mes liens
« Modifié: janvier 30, 2016, 17:57:26 par gosanku »

Hors ligne nicoolas

  • Ancien du Staff
  • Power Members
  • ****
  • Messages: 1693
Re : Windows Script Host, virus ?
« Réponse #11 le: janvier 30, 2016, 14:54:54 »
Re,

Tu ne devrais plus avoir de message d'erreur après avoir passé ce fix :

FRST - Correctif :

  • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
  • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

start
CreateRestorePoint:
CloseProcesses:
Task: {EAC48ABC-42EE-4F2A-B350-F70C1AEB13FB} - System32\Tasks\Umxrolab => C:\ProgramData\Umxrolab\1.0.7.1\jreilglu.exe
HKLM\...\Winlogon: [Userinit] wscript C:\Windows\run.vbs,
HKLM-x32\...\Winlogon: [Userinit] wscript C:\Windows\run.vbs, [X]
IFEO\OSppSvc.exe: [Debugger] QAD-Hook.exe
IFEO\SppExtComObj.exe: [Debugger] QAD-Hook.exe
S2 KMS-R@1n; C:\Windows\KMS-QAD.exe [X]
S2 Vhjaj; "C:\Users\gohan\AppData\Roaming\UeaoByrui\Enakago.exe" -cms [X]
AlternateDataStreams: C:\ProgramData\Temp:0FF263E8
AlternateDataStreams: C:\Users\gohan\Desktop\Dou_a du matin.mp4:TOC.WMV
AlternateDataStreams: C:\Users\gohan\Desktop\Dou_a_du_soir.mp4:TOC.WMV
EmptyTemp:
end
  • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur FRST.exe
    /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Sur le menu principal, clique une seule fois sur Corriger et patiente le temps de la correction

  • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.
  • Redémarre ensuite ton ordinateur puis, reviens sur ce post pour appliquer la suite de la procédure.
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

Hors ligne gosanku

  • Membres
  • Members
  • *
  • Messages: 14
Re : Windows Script Host, virus ?
« Réponse #12 le: janvier 30, 2016, 15:13:24 »
ha il n'y a plus de message d'erreur :o

---
« Modifié: janvier 30, 2016, 17:57:39 par gosanku »

Hors ligne gosanku

  • Membres
  • Members
  • *
  • Messages: 14
Re : Windows Script Host, virus ?
« Réponse #13 le: janvier 30, 2016, 15:17:40 »
là, j'ai eu une blocage de pc et mon écran est devenu noir tout un coup

Hors ligne nicoolas

  • Ancien du Staff
  • Power Members
  • ****
  • Messages: 1693
Re : Windows Script Host, virus ?
« Réponse #14 le: janvier 30, 2016, 15:47:45 »
Tu as fait quelque chose de spécial qui aurait pu provoquer le blocage de ton pc ?

Hors ligne gosanku

  • Membres
  • Members
  • *
  • Messages: 14
Re : Windows Script Host, virus ?
« Réponse #15 le: janvier 30, 2016, 16:38:24 »
non j'étais juste sur le forum et aussi sur yahoo messenger

Hors ligne nicoolas

  • Ancien du Staff
  • Power Members
  • ****
  • Messages: 1693
Re : Windows Script Host, virus ?
« Réponse #16 le: janvier 30, 2016, 16:39:04 »
Re,

et ça ne te l'a pas refais depuis ?

Hors ligne gosanku

  • Membres
  • Members
  • *
  • Messages: 14
Re : Windows Script Host, virus ?
« Réponse #17 le: janvier 30, 2016, 16:44:07 »
non rien là,
mais bon ça n'aurait pas dû arriver

au fait comment on désinstaller FRST64 ? vu que je le trouve pas dans paramètres->désinstaller programme

Hors ligne nicoolas

  • Ancien du Staff
  • Power Members
  • ****
  • Messages: 1693
Re : Windows Script Host, virus ?
« Réponse #18 le: janvier 30, 2016, 16:56:53 »
On le désinstallera à la fin ;)

Tu as toujours des publicités ou pas ?

Hors ligne gosanku

  • Membres
  • Members
  • *
  • Messages: 14
Re : Windows Script Host, virus ?
« Réponse #19 le: janvier 30, 2016, 17:18:29 »
je viens de redémarrer mon pc et je confirme, je n'ai plus de message d'erreur
ni de pub :)

donc le fait que l'écran soit devenu noir comme ça sans aucune raison, c'est pas grave ?

Hors ligne nicoolas

  • Ancien du Staff
  • Power Members
  • ****
  • Messages: 1693
Re : Windows Script Host, virus ?
« Réponse #20 le: janvier 30, 2016, 17:25:33 »
Si ça ne le refait pas, je ne vois pas ce que cela peut être... Sûrement à cause du crack qui a été supprimé.

On va donc pouvoir finaliser la procédure :

  • Télécharge DelFix de Xplode et enregistre le fichier sur ton Bureau
  • Double-clique sur l'icône Delfix.exe pour lancer l'outil
    /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Sur le menu principal, coche uniquement les options
- Supprimer les outils de désinfection
 - Purger la restauration système

  • Clique ensuite sur Exécuter et laisse l'outil travailler

  • Un rapport DelFix.txt s'ouvre. Poste ce rapport dans ta prochaine réponse
    Le rapport se trouve sous C:\DelFix.txt


Afin d'éviter de te faire réinfecter, voici quelques conseils :

Sois vigilant lors de l'installation de logiciels :
Il faut lire les conditions d'utilisation des logiciels afin de voir comment sont gérées nos données personnelles, s'ils n'installent pas de sponsors publicitaires. Il faut aussi refuser les toolbars ou tout autre addons. Je te conseille de lire cet article et celui-ci

Pour éviter de te faire réinfecter par des adwares à l'avenir, entraîne-toi à ne pas tomber dans leurs pièges en utilisant cet outil :

Télécharge Adware Prevention (de guigui0001) sur ton bureau.

Sous IE9, IE10, IE11 et Windows 8 le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

  • Lance-le en double-cliquant sur Adware_Prevention.exe
  • Cet outil va simuler une installation sponsorisée par des adwares. Fais alors en sorte, tout au long de la pseudo-installation, de ne pas te faire piéger en étant vigilant.
  • A la fin de cette fausse installation, l'outil fait un bilan de tes décisions. Suis attentivement les conseils qu'il te donne.
  • Adopte alors la même vigilance lors de tes futures installations, qui seront réelles cette fois-ci !
Maintenir ses logiciels et son système à jour :
De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.
Ou utiliser un outil comme SXCU pour vérifier occasionnellement.



Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
A lire !
Ici aussi !


Hors ligne gosanku

  • Membres
  • Members
  • *
  • Messages: 14
Re : Windows Script Host, virus ?
« Réponse #21 le: janvier 30, 2016, 17:51:38 »
Rapport:
----

oui, je ferai plus attention à l'avenir

en tout cas merci beaucoup de ton aide, j'espère ne plus rencontrer ce genre de problème (bien que je doute)
« Modifié: janvier 30, 2016, 18:25:41 par gosanku »

Hors ligne nicoolas

  • Ancien du Staff
  • Power Members
  • ****
  • Messages: 1693
Re : Windows Script Host, virus ?
« Réponse #22 le: janvier 30, 2016, 18:11:50 »
Re,

C'est bon pour moi !

Prudence à l'avenir.

Hors ligne gosanku

  • Membres
  • Members
  • *
  • Messages: 14
Re : Windows Script Host, virus ? [résolu]
« Réponse #23 le: janvier 30, 2016, 18:25:09 »
ok merci encore

Tags: