Infecter par un worms

[soni59]

Bonsoir tous le monde et merci d'avance pour consacrer un peu de temps pour mon soucis .
voila je m'explique j'ai reçu un email pour un colis j'ai ouvert le fichier zip et la le commencement du problème.Windows Defender détecte un worm:vbs/jenxcus !lnk. Je l'ai supprimé et maintenant au démarrage du pc j'ai une fenêtre Windows script Host qui s'affiche - Impossible de trouver le fichier script C users ANAEL AppData Roaming Colis-disponible.vbs.

Pourriez vous m'aider s'il vous plait car il s'affiche tout le temps
-----

[invite9ce22e65]

Bonjour

On va utiliser un outil de diagnostique


FRST analyse:

/!\ Ne passe l'outil qu'une seule fois afin de ne pas fausser le rapport /!\

choisis ci-dessous la version compatible avec ton système (32 bits ou 64 bits)
Clique sur ce lien si tu ne sais pas: Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?


et Important, Enregistre FRST sur ton Bureau

• Télécharge FRST 32 bits de Farbar
• Télécharge FRST 64 bits de Farbar

Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe et clique sur Autoriser pour accepter le Disclaimer
  /!\ Sous Windows 7 , 8.1 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique sur Analyser et patiente le temps de l'analyse
• A la fin du scan, un rapport FRST.txt s'ouvre.
• A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt

Dans un souci de confidentialité, les rapports doivent être postés en "pièce-jointe"

*****


tu as donc deux rapports à fournir
--> FRST.txt
--> Addition.txt

[soni59]

bonjour je vous envoie mon rapport je ne sais pas si j'ai toujours le virus

merci a vous tous

[invite9ce22e65]

Bonjour

As tu toujours la fenêtre Windows script Host qui s'affiche ?

Rien dans le rapport en relation

Si oui, peux tu confirmer ceci: C users ANAEL AppData Roaming Colis-disponible.vbs

De plus, as tu volontairement installé l'extension iGraal ?

[A voir en vidéo sur Futura]

[soni59]

bonjour pour Igraal oui c'est volontaire
Pour la fenêtre qui s'affiche je ne l'ai plus.
A votre avis je suis tranquille je n'ai plus de worms
es ce que Bitfender suffit pour c'est problème la
merci d'avance

[invite9ce22e65]

Bonjour

Ta suite de sécurité est suffisante,


Tout comme Windows Defender:

Date: 2018-04-13 13:36:52.055
Description:
Antivirus Windows Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Pour plus d’informations, reportez-vous aux éléments suivants :
https://go.microsoft.com/fwlink/?lin...0&enterprise=0
Nom : Trojan:Script/Woreflint.A!cl
ID : 2147726230
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : file:_C:\Users\ANAEL\AppData\R oaming\Microsoft\Windows\Start Menu\Programs\Startup\Colis-disponbile.vbs;process:_pid:14 664,ProcessStart:1316809266669 72239;startup:_C:\Users\ANAEL\ AppData\Roaming\Microsoft\Wind ows\Start Menu\Programs\Startup\Colis-disponbile.vbs
Origine de la détection : Ordinateur local
Type de détection : Chemin rapide
Source de détection : Système
Utilisateur : AUTORITE NT\Système
Nom du processus : C:\Windows\System32\wscript.ex e
Version de la signature : AV: 1.265.560.0, AS: 1.265.560.0, NIS: 1.265.560.0
Version du moteur : AM: 1.1.14700.5, NIS: 1.1.14700.5

***

Tu as aussi trois profils sous Chrome, c'est voulu aussi ?


***

FRST - Correctif :


/!\ Ne passe l'outil qu'une seule fois afin de ne pas fausser le rapport /!\

• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe
  /!\ Sous Windows 7 , 8.1 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Copie la totalité du contenu de la zone Code ci-dessous (tu séléctionnes toutes les lignes et fais un clic droit --> copier)
• Inutile de coller, la zone sélectionnée est automatiquement copiée dans le presse papier
  --> de Start:: inclus dans le copier à End:: inclus dans le copier

Code:

Start::
CloseProcesses:
CreateRestorePoint:
CHR HKLM\...\Chrome\Extension: [ehlceeijggpdgfcefmipcmdelickjgfg] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-426396780-230093342-826433457-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ehlceeijggpdgfcefmipcmdelickjgfg] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ehlceeijggpdgfcefmipcmdelickjgfg] - hxxps://clients2.google.com/service/update2/crx
2018-04-12 20:10 - 2018-04-12 20:10 - 000020376 _____ C:\Users\ANAEL\Downloads\Colis-info.zip
2018-01-17 07:37 - 2018-01-17 07:37 - 000000052 _____ () C:\Users\ANAEL\AppData\Local\qz8enw5bkt
2018-01-08 19:36 - 2018-01-11 07:36 - 000000052 _____ () C:\Users\ANAEL\AppData\Local\wfOraJmVyh
C:\Users\nom_utilisateur\AppData\Local\Google\Chrome\User Data\Default\Web Data
C:\Users\nom_utilisateur\AppData\Local\Google\Chrome\User Data\Default\Web Data-journal
Emptytemp:
End::

• Sur le menu principal de FRST, clique une seule fois sur Corriger et patiente le temps de la correction
• Accepte le redémarrage du système si demandé
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

Redémarre ton ordinateur s'il ne le fait pas automatiquement



Dans un souci de confidentialité, les rapports doivent être postés en "pièce-jointe"



/!\ Ce script a été établi uniquement pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, cela ne sert à rien car chaque système est différent, et le risque de provoquer de graves dysfonctionnements et d'endommager Windows reste possible /!\