[Résolu] Windows Script Host au démarrage

[inrepublica]

Bonjour à tous,

Je viens poster ici pour demander un peu d'aide avec un petit problème plutôt revêche.

Au démarrage de mon Windows 10 j'ai une fenêtre avec "Windows Script Host":

J'ai testé avec adwCleaner, et Malwarebytes mais ils ne trouvent rien de particulier... En allant dans le répertoire indiqué le fichier n'existe pas. Il y a quelque chose qui cherche à le charger mais je ne sais pas quoi. Je me doute qu'il doit s"agir d'un virus mais impossible de trouver la source...

En vous remerciant de votre aide.

[tomtom95]

Bonjour inrepublica,

Le problème viens d'une modification du programme Adobe en particulier AdobeIPCBroker.

On va faire un diagnostic de l'ordinateur avec l'outil FRST

Télécharger sur votre Bureau << IMPORTANT pas ailleurs
Selon votre système exploitation 32 Bit ou 64 Bits  
Mon ordinateur exécute-t-il la version 32 ou 64 ?bits
Lien de téléchargement >> Farbar Recovery Scan Tool pour systèmes x32 (x86) ou Pour systèmes x64

• Ferme toutes les applications en cours (notamment le navigateur)
  Faites un clique droit sur le fichier téléchargé (FRST.exe) et choisir Exécuter en tant qu'administrateur
  puis clique sur 'Exécuter' lors de l'Avertissement de sécurité - Fichier ouvert.
  Quand l'outil démarre, clique sur Oui Acceptez les termes de la fenêtre Disclaimer (clause de non-responsabilité).
  
  Clique sur le bouton ANALYSER.
  L'outil va créer un fichier rapport [log] nommé FRST.txt situé sur le bureau
  La première fois où l'outil est exécuté, il crée un autre rapport nommé Addition.txt - situé également sur le bureau
  Héberge les rapports  sur le site  Service de rapport en ligne
  Sur le site clique sur Parcourir et chercher les rapports sur le bureau et sélectionne le
  Sur la page Clique sur Ouvrir
  Puis sur le site Clique sur  ENVOI,
  Puis copie/colle les liens fourni ICI dans ta prochaine réponse.

[inrepublica]

Bonjour,

Merci de votre aide. Voici FRST.txt -> https://up.security-x.fr/file.php?h=Rbb3cf6fb2fbf6e7b942b6d0bd8bab862

Addition.txt -> https://up.security-x.fr/file.php?h=Rf15fb91854ecbab67d9841fa4c289d57

[tomtom95]

Bonjour inrepublica,

De nombreux programmes ne sont pas à jour et la version du système de w10 non plus.(la dernière Version 1909)
Tu verra a la fin de la procédure pour vérifier les Majs.

Pour le moment présence d'infection par adwares/hijackers qui se sont installés avec ton consentement,

Désinstalle dans >> programmes et fonctionnalités.
Tape sur les touches de ton clavier Démarrer+ R pour ouvrir Exécuter
Dans la fenêtre tape ou copie/colle  appwiz.cpl et clique sur OK
Dans programmes et fonctionnalités recherche le programme et désinstalle.
uTorrent BitTorrent (Source d'infection multiple risque de vols et perte de données)
Java 8 Update 121 (version obsolète avec faille de sécurité)
Spybot - Search & Destroy (peu efficace qui utilise une technologie dépassée et ralentit le système)

Lorsque c'est fait >>> Correction avec l'outil FRST
Ne passe qu'une seule fois les outils

• Ouvre l'outil >> Clique-droit sur FRST.exe > exécuter en tant qu'administrateur
  Puis >> Copie la totalité du contenu de ce correctif hébergé ici >>>   https://textup.fr/391651Db
  Pour ce faire, sélectionne toutes les lignes, de Start:: jusqu'a End:: puis clique droit sur le teste et sur copier

  (le correctif est copié automatiquement dans le Presse-Papier)
  >>>> Fermer toutes les applications ouverte, y compris le navigateur

  NOTICE: Ces lignes ont été écrites spécialement pour cet utilisateur,
  pour être utilisées exclusivement sur ce PC. Exécuter ces instructions sur une autre machine pourrait endommager le système d'exploitation.
  

  Clique une seule fois sur le bouton CORRIGER et et patiente le temps de la correction.
  Si, pour une raison quelconque, l'outil a besoin d'un redémarrage, laisse le système redémarrer normalement.
  Ensuite laissez l'outil terminer son travail.
  Quand il a fini, FRST va créer un rapport placé sur le Bureau (Fixlog.txt).
  Héberge le rapport présent sur ton bureau sur le site ,ce service de rapport en ligne
  Puis copie/colle le lien fourni dans ta prochaine réponse.

• Télécharger Junkware Removal Tool sur le bureau
  Désactivez vos protections: antivirus, ... Ferme toutes les applications en cours (notamment votre navigateur)
  clique droit sur l'icône JRTexécuter en tant qu'administrateur.
  Une fenêtre va s'ouvrir, appuie sur une touche pour continuer...
  Le scanne va ce lancer.
  Au message The scan completed successfully
  Attendre l'affichage du rapport il sera enregistré sur le bureau
  Héberge le rapport sur le site site d'hébergement de fichiers
  puis copie/colle le lien fourni dans ta prochaine réponse.

A plus.

[inrepublica]

Voici le fixlog -> https://up.security-x.fr/file.php?h=R85086dd5948d0c78549539c7f4e41733

Et le rapport de JRT -> https://up.security-x.fr/file.php?h=Rafa4eb85bb5d45c704ac82af8c454ee9

 

 

[tomtom95]

Re,

Très bien toujours le message d'erreur ?
Juste une chose tu as une clé USB ou un disque externe ?
Lorsque tu le branches sur l'ordinateur il se nomme lecteur E
Si elle n'est pas branchée on ne peut pas supprimer le ficher responsable.
/E:vbscript "C:\Users\Inrepublica\AppData\Roaming\Adobe.IPC.vbs" => Erreur: Pas de correction automatique trouvée pour cet élément.

[inrepublica]

Oui toujours le message d'erreur. Par contre je n'ai rien comme lecteur E...

[tomtom95]

Bonjour,

OK, donc tu ne branches aucune clé USB ou  disque externe sur ton ordinateur ? (le problème c'est qu'il y a une infection par clé USB)

Adobe Photoshop 2020 c'est une version légale avec licence ?

Actuellement sur ton PC il y a Adobe Acrobat Reader DC Version: 19.021.20061 mise à jour facultative.
Désinstalle cette version
Puis réinstalle la version officiel Adobe Acrobat Reader DC Version 2019.021.20058

Tu peux me refaire un diagnostic avec l'outil FRST Merci.
Héberge les rapports  sur le site  Service de rapport en ligne
Puis copie/colle les liens fourni ICI dans ta prochaine réponse.

Modifié le 26 décembre 2019 par tomtom95

[inrepublica]

Le 26/12/2019 à 13:16, tomtom95 a dit :

OK, donc tu ne branches aucune clé USB ou  disque externe sur ton ordinateur ? (le problème c'est qu'il y a une infection par clé USB)

Si j'ai bien un disque dur externe mais il est branché sur le réseau via mon NAS.

 

Le 26/12/2019 à 13:16, tomtom95 a dit :

Adobe Photoshop 2020 c'est une version légale avec licence ?

🙄

 

Le 26/12/2019 à 13:16, tomtom95 a dit :

Tu peux me refaire un diagnostic avec l'outil FRST Merci.

https://up.security-x.fr/file.php?h=R6244292e8ded5b233236dc4a6e1717c8

 

J'imagine que le problème vient de la:

Startup: C:\Users\Inrepublica\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Adobe.IPC.lnk [2019-12-08]
ShortcutAndArgument: Adobe.IPC.lnk -> C:\WINDOWS\system32\wscript.exe => /E:vbscript "C:\Users\Inrepublica\AppData\Roaming\Adobe.IPC.vbs" 

Dans le gestionnaire de tâche / Démarrage si je désactive Windows Based Script Host je n'ai plus le message d'erreur.

[tomtom95]

Bonjour aussi....

Le problème viens effectivement Windows Script Host WSH modifier par une infection.  
En général c'est souvent par le branchement d'une clé USB infecté ou un programme activés illégalement avec un crack.
Il faudrait virer le programme cracker de ton ordinateur.

Voilà ce que l'on va faire.
Tu vas démarrer ton ordinateur en mode sans échec avec prise en charge réseau.
Procédure depuis les paramètres Démarrer votre ordinateur en mode sans échec dans Windows 10

En mode sans échec
Ouvre l'outil >> Clique-droit sur FRST.exe
Ensuite va Copie la totalité du contenu du script hébergé ici >>>  https://textup.fr/392096pF
sélectionne toutes les lignes, de Start:: jusqu'a End:: puis clique droit sur le teste et sur copier

(le correctif est copié automatiquement dans le Presse-Papier)
>>>> Fermer toutes les applications ouverte, y compris le navigateur

Clique sur le bouton CORRIGER
Le pc va redémarrer,  
Quand il a fini, FRST va créer un rapport placé sur le Bureau (Fixlog.txt).
Héberge le rapport présent sur ton bureau sur le site ,ce service de rapport en ligne
Puis copie/colle le lien fourni dans ta prochaine réponse.

Après en mode normal
Télécharge Remediate VBS Worm sur le bureau.
Faites un clique droit sur le fichier téléchargé et Exécuter en tant qu'administrateur

Les options :
L'option A permet de désinfecter l'ordinateur.
L'option B permet de nettoyer les clefs USB et autres supports amovibles. Vous devez alors indiquer la lettre du lecteur à nettoyer. Sur cette option, indiquez bien le lecteur de votre clef USB et pas votre disque dur
L'option C permet de télécharger et installer Panda Vaccination.
L'option D permet de désactiver les scripts Windows Script Host WSH

Puisque tu n'as pas de clé USB.
Fait l'option D pour >>>>> désactiver Windows Script Host WSH
Valide Tape 1 et Entrée puis 3 et entrée pour revenir au menu principal

Ensuite fait  l'option A >>>> désinfecter l'ordinateur.
Lorsque l'outil aura fini
Héberge le rapport sur le site  Service de rapport en ligne
Puis copie/colle les liens fourni ICI dans ta prochaine réponse
Aide Remediate VBS Worm