L'accès à Windows Script Host est désactivé...

[tetsuoshima7]

Bonjour à toutes et tous,

Depuis plusieurs jours à présent, j'ai un message récurrent qui apparaît dans une petite fenêtre (et parfois, cette fenêtre ce démultiplie jusqu'à une dizaine de fois !) : "L'accès à Windows Script Host est désactivé sur cette machine. Contactez votre administrateur système pour plus d'informations". 

J'ai recherché sur internet des solutions, des tutos, mais au final, rien ne marche vraiment... Est-ce que quelqu'un pourrait me venir en aide, car je ne sais plus quoi faire là...

J'ai généré les liens suivants avec FRST (j'avoue, c'est du Chinois pour moi) :

https://www.cjoint.com/c/MHwsLtyzXFY 

https://www.cjoint.com/c/MHwsO7evukY

Je vous remercie par avance de l'aide que vous pourriez m'apporter...

Stéphane B.

[Le PoissonClown]

Salut !

Windows Script Host concerne l'exécution des commandes en Visual Basic (VBA). [Edit: VBScripts]

As-tu un antivirus différent de Windows Defender ?

As-tu utilisé l'outil Marmiton qui bloque l'exécution de script VBA via des documents Microsoft Office ?

Il y a 22 heures, tetsuoshima7 a dit :

J'ai généré les liens suivants avec FRST (j'avoue, c'est du Chinois pour moi) :

https://www.cjoint.com/c/MHwsLtyzXFY 

https://www.cjoint.com/c/MHwsO7evukY

Est-ce que tu crains une infection et souhaite que je déplace cette discussion dans la partie concernée ?

Modifié le 23 août 2023 par Le PoissonClown
1. Proposition de déplacement de la discussion. 2. Rectif.

[tetsuoshima7]

Salut Le PoissonClown,

J'ai Avira en anti-virus et je ne connais pas l'outil Marmiton. Il est téléchargeable comme un logiciel classique ?

J'ai effectué plusieurs analyses avec Glary Utilities, Avira, Malwarye Bytes et j'ai téléchargé ADW Cleaner pour effectuer d'autres analyses. C'est ce dernier d'ailleurs, qui m'avait trouvé des erreurs (corrigées dans la foulée). 

Avira ne m'a détecté aucun virus d'aucune sorte.

Je ne crains pas d'infection de mon PC, cette discussion peut rester ici. Pas de souci.

 

Stéphane B.

[Le PoissonClown]

OK,

Alors entre temps, quelqu'un de plus calé que moi sur cette partie m'a apporté sa contribution en message privé :  

Il y a 8 heures, Longaripa a dit :

Bonjour 

Le Windows Script Hosts ne concerne pas Office, ni vba, mais VBScripts.
la confusion est fréquente.
https://tt-hardware.com/pc/comment-activer-ou-desactiver-windows-script-host-sur-votre-pc/

Il serait judicieux de désinfecter cette machine, des trucs bizarres essaient de lancer des scripts en douce.

par exemple : 

Task: {F8DB71E8-6205-4492-A1A0-12936DD3E8EF} - System32\Tasks\YTPXCheck => C:\Users\BERGER FAMILY\AppData\Local\KbLobs\rhc.exe [1536 2023-03-06] () [Fichier non signé] -> php.exe keep_play.php <==== ATTENTION

Un peu de ménage s'impose.

Donc je transfère la discussion dans la partie désinfection et je lui laisse la main. 

[tetsuoshima7]

Bonjour,

Merci pour votre réponse ; je vais suivre la procédure indiquée du lien que vous m'avez envoyé. 

Merci également d'avoir transféré notre discussion dans la partie désinfection et j'attends de leurs nouvelles.

Bonne journée (pluvieuse et orageuse) !

 

Stéphane B.

 

[Longaripa]

Bonjour @tetsuoshima7

Comme je l'ai indiqué plus haut, il y a des malwares qui essaient de lancer des scripts.
Je prépare un correctif pour les éliminer et je reviens. 

[Longaripa]

Re 

Correction avec FRST : 

Copier la totalité du contenu, ( Sélectionner  tout   de start:: à end::  compris  -> Copier) de ce correctif hébergé ici -> https://textup.fr/726045Wt

Faites uniquement "copier" pour mettre le texte dans le presse-papier, inutile de coller 

Lancez FRST en tant qu'administrateur par click droit
Cliquez sur "corriger" 

Patientez
Une fois le système redémarré, postez le rapport : fixlog.txt

Refaites une analyse complète suivant ce tuto : 

Désinfection  --> https://community.lecrabeinfo.net/blogs/entry/92-désinfection-faire-en-premier-zhpsuite-frst/

Postez les 3 rapports. 

Il y a donc 4 rapports à poster. 

[tetsuoshima7]

Bonjour,

Merci de votre réponse ; je vais essayer de suivre ce que vous me dites au mieux et je reviens vers vous.

Stéphane B.

[tetsuoshima7]

Bonjour,

Merci de votre réponse ; je vais essayer de suivre ce que vous me dites au mieux et je reviens vers vous.

Stéphane B.

 

 

Re-bonjour Longaripa,

Voilà, j'ai suivi la procédure que vous m'avez indiqué et voici les rapports. J'espère que j'ai bien tout fait comme il fallait.

https://www.cjoint.com/c/MHAnmVWzZ1Y

https://www.cjoint.com/c/MHAn1PhhGvY

https://www.cjoint.com/c/MHAn2zZ0VnY

https://www.cjoint.com/c/MHAnoTK0t6Y

Merci pour votre aide en tout cas,

Bon week-end,

Stéphane B.

[Longaripa]

Bonjour 

C'est excellent, tout bon. 

Comment se comporte le pc, maintenant ? 

Toujours des messages pour exécuter des scripts ? 

Je suis un peu réticent pour l'utilisation de SMATDAV, les avis sont partagés à son sujet . 

[tetsuoshima7]

Bonsoir Longaripa,

Désolé pour cette réponse tardive.

Mon PC se porte le mieux du monde ! Merci pour toute l'aide apportée, on sent clairement que les personnes qui officient sur ce site maîtrisent leur sujet ! 

Je n'ai plus aucun message d'exécution de scripts.

Le logiciel SMADAV est vraiment performant, même en version free. Je le conserve pour le moment.

Je vous souhaite une agréable soirée,

Stéphane B.

[Longaripa]

Bonjour 

Bonne nouvelle. 

On peut nettoyer les outils utilisés : 

 

On va nettoyer les outils utilisés: 
KpRm (de Kernel-panik)

· Téléchargez sur le bureau => https://toolslib.net/downloads/viewdownload/951-kprm/
· Désactivez temporairement l’ antivirus
· Lancez l'exécution par clic-droit -> Exécuter en tant qu'administrateur

· Cochez les cases suivantes :
o Supprimer les outils
o Créer un point de restauration
o Supprimer dans 7 jours
Image https://www.zupimages.net/up/19/47/6c6m.png

· Cliquez sur [Exécuter]...
· Un rapport kprm-aaaammjjhhmmss.txt se trouve sur le bureau
· Hébergez le rapport sur Cjoint
· Donnez le lien créé dans votre réponse.

Modifié le 1 septembre 2023 par Longaripa

[tetsuoshima7]

Bonsoir,

Voici le lien demandé :

https://www.cjoint.com/c/MIdqPQMhmeY

Bonne soirée,

Stéphane B.

[Longaripa]

Bonjour 

C'est tout bon. 

Bonne continuation.

[tetsuoshima7]

Bonsoir,

Je peux "marquer comme résolu" du coup ?

Cordialement,

Stéphane B.

[Longaripa]

Bonjour 

Toutafé.

Il suffit de cliquer sur "Marquer comme la solution" dans un de mes messages.