Hello !
 
Comme indiqué dans le sujet j'ai un problème avec Windows Script Host, assez classique apparemment, j'ai vu pas mal d'autres posts dessus et en suis venu à la conclusion que je ne peux le régler tout seul , je viens donc chercher votre aide.
Il y a une procédure bien spécifique avec FRST à faire qui a l'air d’être toujours la même donc je vous post en avance les rapports si cela peut vous être utile.
j'ai pris la procédure indiquée ici : https://forum.hardware.fr/hfr/Windo [...] 6034_1.htm
 
https://www.cjoint.com/c/HJgwkFukZv1   Lien FRST
https://www.cjoint.com/c/HJgwkYL11c1   Lien Addition
 
Ps: J'ai déja essayé pas mal de solutions, notamment avec Malware bytes qui m'avais détecté un trojan un peu partout sur le pc, tout a été mis en quarantaine et supprimé mais en refaisant des analyses des traces du trojan réapparaissaient un peu tous les jours..
J'ai aussi du créer une exception pour le site Cjoint avec Malware byte car il me le détectait comme Trojan.. Apparamment c'est courant donc bon..
 
Je vous remercie de votre aide.
Cordialement,
Guilhaume

Coucou Guilhaume  
En attendant qu'un helper vienne t'aider(à moins que je puisse le faire )
Pourrais tu me dire pourquoi Defender est désactivé?
Réactiver aussi la restauration du système on ne sait jamais ^^

Hello lilidurhone, je te réponds ici plutôt que las bas ^^ Je trouvais juste defender un peu envahissant et pas forcément des plus efficace, mais je me trompe peut être^^.
Je fais généralement très attention et sans anti virus je n'ai pas eu de soucis pendant de nombreuses années, donc la j'ai du merdé quelque part .
J'ai aussi malware bytes en version premium qui est plutôt bien efficace donc voila .
Je vais faire ca pour la restau système c'est pas normal que ce soit désactivé par contre non ? ^^.

 
 
Au contraire windows defender est efficace à condition qu'on ne crack pas certains logiciels   (adobe dans ton cas)
 
Pour la restauration du système après chaque grosse mise à jour elle se désactive  
Si tu as Mbam en premium normal donc si Defender soit désactivé    

Hello,  
ouaip pour WDefender je l'ai peut etre desactivé justement à cause d'adobe ! ^^
J'en profite, vaut mieux que je fasse un point restau apres avoir reglé ca non?  vu que j'ai jamais eu de gros soucis jusqu'à maintenant j'ai pas pris l'habitude d'en faire.. Je me rends pas trop compte en fait .

Avant et après si jamais quelque chose se passe mal

Bon je crois comprendre comment tu t'es chopé ça c'est en cliquant sur un mail qui contenait un lien piégé  
 
J'espère que Monk viendra t'aider sinon ça sera moi ^^

Hello !
merci de tes explications en tout cas .
Moi qui croyait être plus malin que ça.. je me rappelle très bien comment j'ai chopé ça du coup.
 
Pour la petite histoire j'essaie d'apprendre un peu à mon père à détecter les mails foireux, scam fishing PUP etc.. et il avait reçu un mail bien foutu genre la poste votre colis est arrivé blabla.. (au moment ou mon frangin avait justement envoyé un colis qui devait arriver donc ça tombait à pic ^^), du coup je lui ai montré que le truc à voir dans ce cas la c'est la provenance, donc checker le mail de l'expéditeur, si c'est un truc avec pleins de chiffres et de lettres du genre an354ge3@jesaispastropquoi.net et pas service-client@laposte.net (bien plus officiel mais à vérifier quand même sur internet au cas ou) c'est foireux.. ce qui était le cas ! Et par la même occasion je lui ai montré qu'on pouvait, en mettant sa souris sur le lien en bleu, voir en bas de son navigateur internet vers ou le lien nous redirige (dans ce cas la c'était évidemment un url foireux incompréhensible et clairement pas sur le site de la poste ), mais bon pour aller au bout du raisonnement j'ai cliqué sur le lien pour bien montrer que ça redirigeait vers un site bidon, ce qui était aussi le cas, puis j'ai clos le machin.
 
J'avais en tête que pour me choper un trojan/virus ou autre il fallait forcément à un moment ou un autre dl quelque chose, lancer un .exe ou quelque chose comme ça, mais jamais que je pourrai en choper un juste en cliquant sur un lien! rien n'avait été dl sur le moment, aucune extension rajoutée, autorisation demandée ou autre..j'avais pas encore MBAM à ce moment la .
Donc bon! tu m'apprends quelque chose d'important la .
 
Mon pc tourne cependant plutot bien pour le moment, donc il y a pas l'air d'avoir de grosse urgence.. Si Monk est pas dispo je patienterai et si t'as la foi de m'aider je t'en suis déja reconnaissant .
 
Guilhaume

Sur ton rapport on voit bien comment tu t'es chopé l'infection  
 
2018-09-21 12:22 - 2018-09-21 12:22 - 000005316 _____ C:\Users\Guilhaume\Downloads\%40Info-Relay(1).zip
 
Ce que tu pourrais faire c'est au moins supprimer ce  dossier si c'est possible  
 
Après j'ai déjà fait le script au cas où Monk ne viendrait pas

Ok !
Bon j'ai du dl ca du coup, je me rapelle pas mince.
je l'ai bien supprimé, et de la corbeille aussi, sans soucis .
Merci .

En fait c'est moi qui vais t'occuper de ta désinfection ce soir en rentrant du travail
Ensuite on passera à la sécurisation de Windows

Je suis dispo tu l'es?

C’est pas un chat, ici : le mieux est de lui donner tes instructions, d’attendre sa réponse et ainsi de suite.

 
D'accord je vais lui donner les instructions
 
 
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.  
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.  
Le bloc-note va s'ouvrir, copie/colle ceci.  
 
 
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1652084678-2015630781-2717873566-1001\...\Run: [System.vbs] => C:\ProgramData\System.vbs [20150 2018-09-24] () <==== ATTENTION  
HKU\S-1-5-21-1652084678-2015630781-2717873566-1001\...\Run: [XthnEqldMB] => wscript.exe //B "C:\Users\Guilhaume\AppData\Roaming\XthnEqldMB.vbs"  
HKU\S-1-5-21-1652084678-2015630781-2717873566-1001\...\Run: [W4V8FBQC7Q] => wscript.exe //B "C:\ProgramData\W4V8FBQC7Q.vbs" <==== ATTENTION  
HKU\S-1-5-21-1652084678-2015630781-2717873566-1001\...\Run: [Y2SVEWCFLI] => wscript.exe //B "C:\ProgramData\Y2SVEWCFLI.vbs" <==== ATTENTION  
HKU\S-1-5-21-1652084678-2015630781-2717873566-1001\...\Run: [PizbOnbrkq] => wscript.exe //B "C:\Users\Guilhaume\AppData\Roaming\PizbOnbrkq.vbs"  
HKU\S-1-5-21-1652084678-2015630781-2717873566-1001\...\Run: [GoogleChrome.exe] => "C:\Users\Guilhaume\AppData\Local\Temp\2165.exe" .. <==== ATTENTION
Startup: C:\Users\Guilhaume\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CXAisFbEJq.vbs [2018-09-28] ()  
Startup: C:\Users\Guilhaume\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PizbOnbrkq.vbs [2018-09-27] ()  
Startup: C:\Users\Guilhaume\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\System.vbs [2018-09-24] () <==== ATTENTION  
Startup: C:\Users\Guilhaume\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\W4V8FBQC7Q.vbs [2018-09-25] ()  
Startup: C:\Users\Guilhaume\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\XthnEqldMB.vbs [2018-09-24] ()  
Startup: C:\Users\Guilhaume\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Y2SVEWCFLI.vbs [2018-09-26] ()  
Task: {5454646A-4459-4EE8-BA86-0F6ACC2C0403} - System32\Tasks\NYAN => C:\Users\GUILHA~1\AppData\Local\Temp\2165.exe <==== ATTENTION  
Task: {65D36A8D-1A31-41EB-B274-18C90BE6F651} - System32\Tasks\NYANP => C:\Users\GUILHA~1\AppData\Local\Temp\5260.exe <==== ATTENTION  
2018-09-27 15:10 - 2018-09-27 15:10 - 000020501 _____ C:\Users\Guilhaume\AppData\Roaming\PizbOnbrkq.vbs  
2018-09-26 01:06 - 2018-09-26 01:06 - 000076443 _____ C:\ProgramData\Y2SVEWCFLI.vbs  
2018-09-25 20:17 - 2018-09-25 20:17 - 000076443 _____ C:\ProgramData\W4V8FBQC7Q.vbs  
2018-09-24 20:04 - 2018-09-24 20:04 - 000020450 _____ C:\Users\Guilhaume\AppData\Roaming\XthnEqldMB.vbs  
2018-09-21 13:13 - 2018-10-04 12:19 - 000000000 ____D C:\Users\Guilhaume\AppData\Roaming\Imminent  
2018-09-21 12:39 - 2018-09-24 18:36 - 000020150 _____ C:\ProgramData\System.vbs  
2018-09-21 12:39 - 2018-09-24 18:36 - 000020150 _____ () C:\ProgramData\System.vbs  
2018-09-25 20:17 - 2018-09-25 20:17 - 000076443 _____ () C:\ProgramData\W4V8FBQC7Q.vbs  
2018-09-26 01:06 - 2018-09-26 01:06 - 000076443 _____ () C:\ProgramData\Y2SVEWCFLI.vbs  
C:\Users\Guilhaume\AppData\Roaming\PizbOnbrkq.vbs  
2018-09-24 20:04 - 2018-09-24 20:04 - 000020450 _____ () C:\Users\Guilhaume\AppData\Roaming\XthnEqldMB.vbs  
EmptyTemp:
Reboot:
 
 
Enregistre le contenu par le menu fichier puis enregistrer.  
 
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"  
Un redémarrage sera peut-être nécessaire et automatique.  
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.  
 
Redémarre l'ordinateur.  
 

Hello,
Je viens de faire ca!
Je lance le redémarrage maintenant, voici le contenu de Fixlog.txt :
 

Refais frst s'il te plait normalement tu ne devrais plus avoir de message de VBS

Alors voici les liens :
 
Addition : https://www.cjoint.com/c/HJisLydFEZ1  
FRST :     https://www.cjoint.com/c/HJisLhzlBt1

Lynthia ton rapport n'est pas complet....
 
Peux tu refaire aussi Mbam pour voir si il détecte encore quelque chose en ayant vider la quarantaine
 
Une fois que tout ça sera fait il faudra vacciner tes clés usb  avec Usbfix par exemple  
Ensuite  
Te protéger contre les scripts malicieux  
https://www.malekal.com/proteger-scripts-malicieux/

Ah c'est bizarre
J'ai supprimé les anciens rapports pendant que l'analyse était en cours au cas ou donc ca a peut etre beugé la, je vais le refaire .

FRST : https://www.cjoint.com/c/HJisTBz3I61
Addition : https://www.cjoint.com/c/HJisTM1tlD1
 
Pour l'analyse Mbam ca risque de prendre un peu plus de temps.. je te tiens au courant dès que c'est fini .

Passe à la suite  
Peux tu refaire aussi Mbam pour voir si il détecte encore quelque chose en ayant vider la quarantaine  
 
Une fois que tout ça sera fait il faudra vacciner tes clés usb  avec Usbfix par exemple  
Ensuite  
Te protéger contre les scripts malicieux  
https://www.malekal.com/proteger-scripts-malicieux/

Que veux-tu dire par passe à la suite ?
Bon pour Mbam il galère à se lancer je ne sais pas trop pourquoi.. des fois il faut 10 15 min avant qu'il ne se lance.. Je ne peux donc pas encore lancer de scan.
Ca marche pour usbfix et pour les scripts malicieux je vais checker ca .

 
 
Oui c'était bien ça pour la suite d'après ton dernier rapport tu es clean    
 
En attente du rapport de mbam  

Ok nickel ca me rassure merci!
Je vais lancer le scan dès que Mbam se lance et en profiter pour aller brouffer! Je te tiens au courant dès que le scan est fini.

Bon, encore quelques menaces détéctés dans le rapport .
trojan.stolendata et trojan.trace/gen.
 
Si ca peut aider :  
https://www.cjoint.com/c/HJitJsHy8I1
 
Je quarantaine tout ca je supprime et je relance un scan.

 
Et le dossier  Imminent justement a été supprimé avec FRST  
 
Donc en gros tu pourrais refaire un script correcteur de FRST avec
 
CreateRestorePoint:  
CloseProcesses:  
2018-09-24 20:00 - 2018-10-08 10:44 - 000000000 ____D C:\Users\Guilhaume\AppData\Roaming\Update Defender  
2018-09-24 20:00 - 2018-09-24 20:00 - 000000000 ____D C:\Update Defender  
HKU\S-1-5-21-1652084678-2015630781-2717873566-1001\...\Run: [Windows Defender] => C:\Users\Guilhaume\AppData\Roaming\Update Defender\DefenderUpdate.exe [985776 2018-10-08] (Company name)  
HKU\S-1-5-21-1652084678-2015630781-2717873566-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-10082018202950911\...\Run: [Windows Defender] => C:\Users\Guilhaume\AppData\Roaming\Update Defender\DefenderUpdate.exe [985776 2018-10-08] (Company name)
Reboot:
 
 
 

Ca marche je fais ca de suite.

Voila le fixlog :  
 
 
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 06.10.2018
Exécuté par Guilhaume (08-10-2018 21:48:26) Run:2
Exécuté depuis C:\Users\Guilhaume\Desktop
Profils chargés: Guilhaume &  (Profils disponibles: Guilhaume)
Mode d'amorçage: Normal
==============================================
 
fixlist contenu:
*****************
CreateRestorePoint:  
CloseProcesses:  
2018-09-24 20:00 - 2018-10-08 10:44 - 000000000 ____D C:\Users\Guilhaume\AppData\Roaming\Update Defender  
2018-09-24 20:00 - 2018-09-24 20:00 - 000000000 ____D C:\Update Defender  
HKU\S-1-5-21-1652084678-2015630781-2717873566-1001\...\Run: [Windows Defender] => C:\Users\Guilhaume\AppData\Roaming\Update Defender\DefenderUpdate.exe [985776 2018-10-08] (Company name)  
HKU\S-1-5-21-1652084678-2015630781-2717873566-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-10082018202950911\...\Run: [Windows Defender] => C:\Users\Guilhaume\AppData\Roaming\Update Defender\DefenderUpdate.exe [985776 2018-10-08] (Company name)  
Reboot:  
*****************
 
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
C:\Users\Guilhaume\AppData\Roaming\Update Defender => déplacé(es) avec succès
C:\Update Defender => déplacé(es) avec succès
"HKU\S-1-5-21-1652084678-2015630781-2717873566-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Windows Defender" => supprimé(es) avec succès
HKU\S-1-5-21-1652084678-2015630781-2717873566-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-10082018202950911\...\Run: [Windows Defender] => C:\Users\Guilhaume\AppData\Roaming\Update Defender\DefenderUpdate.exe [985776 2018-10-08] (Company name) => Erreur: Pas de correction automatique trouvée pour cet élément.
 
 
Le système a dû redémarrer.
 
==== Fin de Fixlog 21:50:48 ====

Refais un dernier FRST

FRST : https://www.cjoint.com/c/HJiueRD0kH1
Addition : https://www.cjoint.com/c/HJiue3PT4c1

Un dernier fixlist

CreateRestorePoint:  
CloseProcesses:
C:\Users\Guilhaume\AppData\Roaming\Imminent
2018-10-08 20:15 - 2018-10-08 21:50 - 000001802 _____ 
Reboot:

Ensuite il faudra absolument changer tout tes mots de passe puis un dernier scan en ligne

https://www.commentcamarche.com/faq [...] eset-nod32

Ensuite vide la quarantaine de Mbam et pour demain tu referras un scan de Mbam

Voila pour le Fixlog :  
 
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 06.10.2018
Exécuté par Guilhaume (08-10-2018 22:33:05) Run:3
Exécuté depuis C:\Users\Guilhaume\Desktop
Profils chargés: Guilhaume &  (Profils disponibles: Guilhaume)
Mode d'amorçage: Normal
==============================================
 
fixlist contenu:
*****************
CreateRestorePoint:  
CloseProcesses:
C:\Users\Guilhaume\AppData\Roaming\Imminent
2018-10-08 20:15 - 2018-10-08 21:50 - 000001802 _____  
*****************
 
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
C:\Users\Guilhaume\AppData\Roaming\Imminent => déplacé(es) avec succès
"2018-10-08 20:15 - 2018-10-08 21:50 - 000001802 _____" => non trouvé(e)
 
 
Le système a dû redémarrer.
 
==== Fin de Fixlog 22:35:29 ====
 
 
Je m'attaque au scan en ligne et je change les mdp .

Super on continue demain

Ca marche, merci en tout cas ca avance bien .
A demain

Hello !
Je viens de refaire un scan(4heures!) avec eset et tout est clean ! RAS
Je vais en faire un avec Mbam maintenant(si j'arrive à le lancer ).
Du coup un petite idée de pourquoi Mbam ne se lance qu'une fois sur deux et met un temps fou à se lancer ?

Pour Mbam essaie de le réinstaller

Et mets aussi par la même occasion Windows à jour

Ca marche je fais ca .

Après pour virer FRST tu supprimes le dossier CFRST

OK !
Bon, analyse Mbam faite, RAS, windows mis à jour, tout roule nickel, j'ai réinstallé Mbam ca s'est lancé direct .
Je vire FRST ok .
 
Merci beaucoup de ton aide en tout cas! tout est clean, je ferai attention par la suite .

 
 
     
 
De rien c'était avec plaisir