Windows 11 22H2 : corriger l’erreur « Windows Script Host » (.vbs) au démarrage

Des fenêtres « Windows Script Host » surgissent à chaque démarrage de Windows 11 22H2 et mentionnent un script VBS introuvable (ex. 741.vbs) après l’installation/désinstallation de McAfee ? Suivez cette procédure éprouvée pour éliminer définitivement l’erreur, sans casser le système.

Sommaire

Problème posé

Contexte

Sur un PC sous Windows 11 22H2, trois boîtes de dialogue « Windows Script Host » apparaissent systématiquement au démarrage. Le message cite un script VBS manquant (ex. 741.vbs) et l’incident a débuté immédiatement après l’installation de McAfee. La désinstallation classique n’a pas résolu le problème.

Exemple de message
Windows Script Host
Impossible de trouver le fichier de script : C:\ProgramData\...\741.vbs

Diagnostic

Le système tente de lancer un script VBS qui n’existe plus. Cette instruction de démarrage peut provenir d’un résidu d’une suite de sécurité, d’un adware ou d’un ancien malware. La référence « orpheline » se cache généralement dans un des mécanismes d’amorçage Windows : clés Run du Registre, tâches planifiées, services, dossiers de démarrage, ou encore des points plus avancés comme des abonnements WMI.

Solutions proposées et validées

Étape	Action détaillée	But / Résultat attendu
A. Vérification avec Autoruns	1. Télécharger Sysinternals Autoruns et exécuter `Autorun64.exe` en tant qu’administrateur. 2. Menu Options → cocher Hide Microsoft Entries pour masquer les éléments Windows légitimes. 3. Dans la zone Filter, taper `.vbs` ou coller le nom exact affiché dans l’erreur (`741.vbs`). 4. Supprimer (clic droit → Delete) toute entrée pointant vers le script absent. 5. Redémarrer.	Supprime la référence orpheline qui déclenche l’erreur.
B. Recherche manuelle si le filtre ne donne rien	Parcourir un à un les onglets Logon, Scheduled Tasks, Services, Drivers, Explorer, Internet Explorer. Repérer tout chemin se terminant par `.vbs`, un GUID incompréhensible ou un répertoire inhabituel. Désactiver puis supprimer l’élément suspect.	Permet de trouver d’autres scripts ou commandes masquées, comme l’a confirmé un utilisateur.
C. Contrôle de l’Ordonnanceur de tâches	Ouvrir Planificateur de tâches → Bibliothèque du Planificateur de tâches et ses sous‑dossiers. Rechercher des déclencheurs pointant vers des scripts VBS ou des fichiers dans `C:\ProgramData` ou `C:\Users\<Nom>\AppData\Roaming`.	Certains malwares ou désinstallations incomplètes utilisent des tâches planifiées plutôt qu’une clé Run.
D. Nettoyage du registre (avancé)	Lancer Regedit et vérifier : `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` `HKLM\Software\Microsoft\Windows\CurrentVersion\Run` `HKLM\SYSTEM\CurrentControlSet\Services` Supprimer toute valeur pointant vers le script manquant. Sauvegarder le registre avant modification.	Réduit le risque qu’un autre composant relance l’appel au script absent.
E. Analyse antivirale complémentaire	• Analyse hors ligne Windows Defender : Paramètres → Sécurité Windows → Protection contre les virus → Options de vérification → Analyse hors ligne. • Outil tiers réputé (Malwarebytes, ESET Online Scanner) pour une seconde opinion.	Élimine un éventuel adware/malware qui recréerait l’entrée.
F. Restauration système (en dernier recours)	Si le problème persiste et qu’un point de restauration sain est disponible : Paramètres → Récupération → Ouvrir la restauration du système.	Réinstalle une configuration antérieure exempte d’erreurs.

Pourquoi cette erreur apparaît‑elle (et pourquoi plusieurs fenêtres) ?

Référence orpheline : un script supprimé sans nettoyage des entrées de démarrage.
Désinstallation incomplète : certaines suites de sécurité laissent des services, tâches ou clés.
Adware/malware : des mécanismes de persistance (tâche, Run, WMI) visent un VBS local.
Plusieurs fenêtres : il y a autant d’erreurs que de mécanismes qui tentent d’appeler le même script (ex. deux tâches + une clé Run).

Procédure complète et détaillée (pas à pas)

1) Préparation et sauvegardes

Créer un point de restauration : tapez rstrui.exe dans Exécuter (Win+R), puis suivez l’assistant.
Exporter les clés de registre avant suppression (clic droit → Exporter).
Ouvrir une session administrateur.

2) Chasse aux références avec Autoruns

Autoruns donne une vue d’ensemble de toutes les zones d’amorçage Windows.

Lancez Autorun64.exe en Run as administrator.
Activez Options → Hide Microsoft Entries et Hide Windows Entries pour concentrer l’analyse.
Dans Filter, tapez .vbs ou le nom exact (741.vbs).
Inspectez les colonnes Publisher et Image Path. Une entrée Not Verified pointant vers AppData\Roaming ou ProgramData est suspecte.
Désactivez (uncheck) pour tester un démarrage sans l’entrée, puis supprimez (Delete) si plus aucune alerte n’apparaît.

3) Vérifier les emplacements de persistance classiques

Emplacement	Ce qu’il faut vérifier	Indicateurs de risque
Dossiers de démarrage	`%ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup` `%AppData%\Microsoft\Windows\Start Menu\Programs\Startup`	Liaison vers `wscript.exe`/`cscript.exe` ou vers un `.vbs`
Clés Run / RunOnce	`HKCU\Software\Microsoft\Windows\CurrentVersion\Run` `HKLM\Software\Microsoft\Windows\CurrentVersion\Run` `HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce`	Valuers contenant `.vbs` ou un chemin obfusqué (GUID, nom aléatoire)
Services	`HKLM\SYSTEM\CurrentControlSet\Services` + services.msc	Path qui appelle un script/commande anormale
Tâches planifiées	Planificateur : Bibliothèque et sous‑dossiers	Action « Démarrer un programme » ciblant `wscript.exe` avec un `.vbs`
WMI (avancé)	Abonnements persistants (Event Filter / Consumer / Binding)	Exécution de script lors d’un événement (logon, minuterie)
Shell / Winlogon	`HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon`	Valeurs `Shell` ou `Userinit` modifiées

4) Contrôle et nettoyage via le Planificateur de tâches

Ouvrez Planificateur de tâches → Bibliothèque du Planificateur de tâches.
Trouvez les tâches dont l’Action appelle wscript.exe ou un .vbs.
Vérifiez les Déclencheurs : au démarrage, à l’ouverture de session.
Désactivez pour tester, puis Supprimez si la tâche est inutile/suspecte.

5) Nettoyage du registre (avancé, avec prudence)

Avant suppression, exportez la clé concernée (clic droit → Exporter).

Clés Run utilisateur et machine :
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Services :
HKLM\SYSTEM\CurrentControlSet\Services (contrôlez la valeur ImagePath)
Winlogon :
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon (vérifiez Shell = explorer.exe)

6) Analyses de sécurité à exécuter

Analyse hors ligne Defender : isole Windows des menaces actives avant scan.
Seconde opinion : exécutez un scanner réputé (sans installation si possible) pour détecter les adwares récalcitrants.
Outil de nettoyage éditeur : si McAfee a été installé, utilisez l’outil de suppression dédié de l’éditeur pour nettoyer services/tâches résiduels.

7) Nettoyage des fichiers temporaires

Après suppression des entrées, videz les temporaires puis redémarrez :

%TEMP%
C:\Windows\Temp

Scripts et commandes prêts à l’emploi (PowerShell / CMD)

Rechercher les tâches planifiées qui invoquent des VBS

PowerShell
Get-ScheduledTask | Where-Object {
    $_.Actions | ForEach-Object { $_.Execute + ' ' + $_.Arguments } -match '\.vbs(\s|$)'
} | Format-Table TaskName, State -Auto

Lister rapidement les clés Run contenant « .vbs »

PowerShell
$runKeys = @(
 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Run',
 'HKLM:\Software\Microsoft\Windows\CurrentVersion\Run',
 'HKLM:\Software\Microsoft\Windows\CurrentVersion\RunOnce'
)
foreach ($key in $runKeys) {
  if (Test-Path $key) {
    Get-ItemProperty $key | ForEach-Object {
      $_.PSObject.Properties | Where-Object {
        $_.MemberType -eq 'NoteProperty' -and ($_.Value -match '\.vbs(\s|$)')
      } | Select-Object @{n='RegPath';e={$key}}, Name, Value
    }
  }
}

Retrouver des appels à wscript/cscript au démarrage (journalisation)

PowerShell
Get-WinEvent -FilterHashtable @{LogName='Application'; ProviderName='Microsoft-Windows-Winlogon'} -MaxEvents 200 |
  Where-Object { $_.Message -match 'wscript\.exe|cscript\.exe|\.vbs' } |
  Select-Object TimeCreated, Id, LevelDisplayName, Message

Audit WMI persistant (avancé)

PowerShell
Get-CimInstance -Namespace root\subscription -ClassName __EventFilter |
  Select-Object Name, Query, CreatorSID
Get-CimInstance -Namespace root\subscription -ClassName CommandLineEventConsumer |
  Select-Object Name, CommandLineTemplate
Get-CimInstance -Namespace root\subscription -ClassName __FilterToConsumerBinding |
  Select-Object Filter, Consumer

Si un CommandLineEventConsumer exécute wscript.exe avec un .vbs introuvable, supprimez le trio filtre/consommateur/lien avec les cmdlets Remove-CimInstance (opération experte).

Cas particulier : suites de sécurité (McAfee & co.)

Une installation/désinstallation de suite de sécurité peut laisser :

Un service qui appelle un VBS de maintenance supprimé.
Une tâche planifiée d’actualisation ou de télémétrie.
Une clé Run destinée au premier redémarrage post‑installation.

Procédez ainsi :

Exécutez l’outil de nettoyage éditeur (ex. outil de suppression McAfee) pour retirer les restes.
Repassez Autoruns avec filtre .vbs puis wscript pour traquer les chemins résiduels.
Nettoyez C:\ProgramData et %ProgramFiles% des dossiers vides ou manifestement liés au produit supprimé.

Bonnes pratiques et garde‑fous

Ne pas désactiver Windows Script Host via HKLM\Software\Microsoft\Windows Script Host\Settings\Enabled=0 sauf cas extrême : cela casserait les scripts légitimes (administration, logon, déploiements).
Supprimez uniquement ce que vous comprenez : testez d’abord en désactivant ou en renommant la valeur/entrée.
Privilégiez l’analyse hors ligne pour neutraliser d’éventuels processus persistants pendant le scan.
Conservez des copies des clés supprimées (exports .reg) jusqu’à validation sur plusieurs redémarrages.

Plan de contrôle après remédiation

Redémarrez deux fois de suite pour vérifier qu’aucune fenêtre « Windows Script Host » ne réapparaît.
Vérifiez l’Observateur d’événements → Journaux Windows → Application pour l’absence d’erreurs WSH.
Relancez Autoruns : filtre .vbs et wscript → aucune occurrence résiduelle.
Effectuez un scan rapide Defender pour confirmer une surface propre.

Tableau d’aide au diagnostic rapide

Symptôme	Cause probable	Où chercher
3 fenêtres WSH au démarrage	3 mécanismes distincts (Run + 2 tâches)	Autoruns (onglets Logon, Scheduled Tasks) + Planificateur
Erreur apparaît seulement à l’ouverture de session	Clé Run utilisateur	`HKCU\...\Run`
Erreur même sans ouverture de session	Tâche AtStartup ou service	Planificateur & `services.msc`
Erreur revient après suppression	Composant qui recrée l’entrée (adware/WMI)	Abonnements WMI, scripts dans `AppData\Roaming`
Chemin vers `ProgramData` avec GUID	Résidu d’installateur/antivirus	Autoruns (Publisher/Verified Signer)

Alternatives si Autoruns ne trouve rien

Démarrage minimal (msconfig) : Services Microsoft masqués → désactiver le reste → redémarrer. Réactiver par blocs pour isoler le coupable.
Mode sans échec : si la fenêtre disparaît en mode sans échec, la persistance se situe probablement dans un service/tâche tiers.
Réparer les composants système : CMD (admin) sfc /scannow DISM /Online /Cleanup-Image /RestoreHealth
Vérifier l’association .vbs (au cas où elle aurait été altérée) : CMD (admin) assoc .vbs ftype VBSFile La sortie doit référencer wscript.exe correctement.

Erreurs fréquentes à éviter

Supprimer au hasard dans le Registre : toujours exporter la clé avant.
Ignorer les tâches planifiées : de nombreux adwares persistent uniquement via le Planificateur.
Confondre fichier manquant et malware actif : une simple référence orpheline suffit à déclencher l’erreur. Vérifiez l’existence réelle du script sur disque.
Désactiver definitivement WSH : solution de dernier recours seulement, car elle impacte des scripts d’administration légitimes.

Exemple de parcours de remédiation (cas réel)

Après une installation puis désinstallation de McAfee, trois erreurs « Windows Script Host » apparaissent au boot.
Autoruns (filtre .vbs) révèle : une clé Run utilisateur pointant vers C:\ProgramData\<GUID>\741.vbs, plus deux tâches planifiées AtLogOn et AtStartup.
Désactivation puis suppression des entrées, exécution de l’outil de nettoyage McAfee, purge des temporaires.
Redémarrage double : aucune fenêtre WSH. Vérification Autoruns et journaux OK.

Informations complémentaires utiles

Ne désactivez pas Windows Script Host via HKLM\Software\Microsoft\Windows Script Host\Settings\Enabled=0 sauf cas extrême ; cela bloquerait tous les scripts VBS légitimes.
Les suites de sécurité peuvent laisser des services ou planifications même après désinstallation ; utilisez l’outil de nettoyage dédié de l’éditeur.
Si vous rencontrez des erreurs similaires sans mention de .vbs, adaptez les filtres Autoruns en recherchant l’extension (.js, .cmd, .ps1) ou le nom exact indiqué.
Après suppression, videz %TEMP% et C:\Windows\Temp puis redémarrez pour éliminer les fichiers temporairement verrouillés.

FAQ

Est‑ce dangereux de supprimer une entrée Autoruns ?

Supprimer une entrée inconnue peut casser un composant légitime. D’abord désactivez‑la pour tester sur 1–2 redémarrages. Si l’erreur disparaît et qu’aucune fonctionnalité ne manque, alors supprimez‑la et conservez l’export .reg en sauvegarde.

Pourquoi l’erreur parle‑t‑elle d’un fichier « introuvable » alors que je n’ai pas de virus ?

Une référence orpheline suffit : le script a été supprimé (ou son dossier) mais l’appel demeure dans une clé/tâche/service. Le système tente de l’exécuter et Windows Script Host signale logiquement l’absence du fichier.

Dois‑je réinstaller Windows ?

Non, c’est rarement nécessaire. Dans la majorité des cas, un nettoyage ciblé (Autoruns + tâches + Registre) et une analyse hors ligne suffisent. La restauration système est un dernier recours pratique si vous avez un point sain récent.

Pourquoi la fenêtre revient‑elle après suppression ?

Un composant (service, WMI, tâche) peut recréer l’entrée à chaque démarrage. Inspectez WMI (root\subscription), exécutez une analyse hors ligne, et utilisez l’outil de nettoyage éditeur pour supprimer les restes.

Résultat attendu

Après suppression de toutes références au script VBS inexistant et redémarrage : plus aucune fenêtre « Windows Script Host » n’apparaît, confirmant que l’entrée orpheline a été éliminée. Conservez toutefois vos exports .reg pendant quelques jours et surveillez les journaux pour valider la stabilité.

Checklist finale (à cocher)

[ ] Autoruns ne remonte aucune occurrence .vbs ni wscript suspecte
[ ] Planificateur de tâches : aucune action vers wscript.exe/cscript.exe
[ ] Registre : clés Run, RunOnce, Services propres
[ ] Abonnements WMI inexistants/sains
[ ] Analyses Defender + second avis terminées, zéro menace
[ ] Deux redémarrages consécutifs sans fenêtre WSH

En suivant cette feuille de route, vous combinez visibilité (Autoruns), rigueur (Planificateur/Registre) et hygiène (analyses + nettoyage éditeur), ce qui permet de régler durablement les erreurs « Windows Script Host » au démarrage de Windows 11 22H2.