Powered By Blogger

Rechercher sur ce blogue

Aucun message portant le libellé Process Hacker. Afficher tous les messages
Aucun message portant le libellé Process Hacker. Afficher tous les messages

mercredi 25 avril 2018

Windows Script Host : Identifier la source des messages d’erreur



Au démarrage de Windows ou à intervalles réguliers, vous pouvez rencontrer des messages d’erreur Windows Script Host.
Le message d’erreur Windows Script Host indique :
L'accès à Windows Script Host est désactivé sur cette machine.
Contactez l'administrateur système pour plus d'informations.
Windows Script Host : Identifier la source des messages d'erreurVoici quelques explications autour de ce message d’erreur Windows Script Host.

Windows Script Host

Windows Script Host est un interpréteur qui permet l’exécution de scripts VBScript et JScript dans Windows.
Il s’agit de programmes écrits dans ces langages qui peuvent être exécutés à tout moment.
Lorsqu’un script est en cours de fonctionnement, le processus wscript.exe est alors visible.
Des applications peuvent utilisées Windows Script Host mais il peut aussi s’agir de scripts malveillants notamment des virus par clé USB.
Il est possible de désactiver Windows Script Host, ce qui interdit l’exécution de ces scripts.
Dans ce cas, lorsqu’un script VBS ou JS tentent de se lancer, vous obtenez le message d’erreur donné en introduction de cette page.
En clair donc, la popup d’erreur Windows Script Host s’affiche lorsqu’un script tente de se lancer mais que Windows Script Host a été interdit.

Comment identifier la source des messages d’erreur

Pour pouvoir identifier la source de ces messages et le script qui en est à l’origine, le plus simple est d’utiliser Process Explorer.
  • Téléchargez Process Explorer et placez le sur votre bureau.
  • Lancez Process Explorer par un clic droit puis exécuter en tant qu’administrateur
  • Cliquez en haut sur l’icône cible
Windows Script Host : Identifier la source des messages d'erreur
  • puis cliquez sur le message d’erreur Windows Script Host
Windows Script Host : Identifier la source des messages d'erreur
  • Process Explorer se positionne directement sur le processus source du message, normalement, il s’agit de wscript.exe
  • Il aurait été d’ailleurs possible de le trouver directement dans la liste.
  • Double-cliquez dessus, le script source apparaît dans le champs command line
Windows Script Host : Identifier la source des messages d'erreur
Par exemple, ici, il s’agit du script « C:\Program Files\Intel\SUR\QUEENCREEK\task.vbs » qui est tout à fait sain.
Si le chemin mène à un fichier dans le dossier AppData ou TEMP, il y a de fortes chances qu’il s’agisse d’un script malveillant.
Parmi les scripts malveillants les plus répandus :
C:\Users\Fabio\Desktop\Suivi-colis-mondial-relay.vbs
C:\Users\jean-luc\AppData\Local\Fetode\Fogonabag.dat
%temp%\SysinfY2X.db
ou encore ci-dessous un script VBS lié un PUP.Yahoo
Wscript.exe C:\ProgramData\{8AC94FAA-008B-C56C-864D-5B2E1C0FD0E0}\tete.txt

Comment supprimer un script VBS malveillant ?

Avec Process Explorer, faire un clic droit sur le processus wscript.exe puis kill Processes afin que le script ne soit plus en cours d’exécution.
Une fois le chemin du script identifié, il ne reste plus qu’à supprimer le fichier manuellement.
Vous pouvez faire cela depuis l’explorateur de fichiers.
En cas de difficultés, créé un sujet dans la partie Virus du forum pour obtenir de l’aide.

Et si le script est légitime ?

Si le script est légitime mais que vous continuez à voir des messages d’erreur Windows Script Host.
Il faut alors supprimer le point de lancement et pour cela il faut le trouver, ce qui n’est pas forcément simple.
Un utilitaire comme Autoruns peut aider puisqu’il permet de lister tous les points de chargement de Windows.
Si l’on reprend l’exemple du script précédent « C:\Program Files\Intel\SUR\QUEENCREEK\task.vbs » qui provoque des erreurs Windows Script Host.
Ce dernier est lancé par une tâche planifiée, on trouve alors le script dans Task Schedulers sur Autoruns.
Windows Script Host : Identifier la source des messages d'erreur
Il ne faut pas faire une recherche sur task.vbs car Autoruns ne le trouvera pas.
Plutôt chercher sur wscript.exe, on trouve alors la source que l’on peut désactiver en décochant ce dernier.
Windows Script Host : Identifier la source des messages d'erreur

Autres liens

Quelques liens du site autour de Windows Script Host :
En lien ce tuto pour vérifier son ordinateur manuellement : Comment vérifier si ordinateur a été hacké ou piraté

REF.: