Windows est actuellement infecté par le virus sysinfy2x

[sanou]

Bonjour à tous

Félicitation pour ce site qui nous vient en aide en cas de problème. Mon Windows est actuellement infecté par le virus sysinfy2x et j'ai téléchargé puis scanné avec FRST et je souhaiterais que quelqu'un me guide afin de détruire ce virus.

Merci d'avance

[Malekal_morte]

Salut,

Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
(le mot de passe est malekal)
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).

puis :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[31s]

Salut

Je viens de découvrir que je suis infecté par le virus sysinfy2x, ainsi que 2 autres $recyclebin.
J'ai suivi la procedure FRST.
Puis je vous envoyer les les liens des trois fichiers ?

Je vous remercie d'avance pour votre aide

[Malekal_morte]

Hello,

oui suis les indications données précédemment.

[31s]

Merci de répondre si vite

J'ai suivi les indications et voici les trois liens:

http://pjjoint.malekal.com/files.php?id ... 6x6d7c7s15

http://pjjoint.malekal.com/files.php?id ... g12h6n5i14

http://pjjoint.malekal.com/files.php?id ... 10i6w12l11

[angelique]

• Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer---> notepad)
  Copie/colle dedans ce qui suit :
  
  

  HKLM\...\Run: [VideoLAN] => C:\WINDOWS\system32\wscript.exe /e:VBScript.Encode D:\$RECYCLEBIN\Vlc.rar
  HKLM\...\Run: [C-cleaner] => C:\WINDOWS\system32\wscript.exe /e:VBScript.Encode D:\$RECYCLEBIN\Adobe.rar
  HKU\S-1-5-21-115482024-1962067063-1458609062-1000\...\Run: [SysinfY2X] => C:\WINDOWS\system32\cmd.exe /c start wscript /e:VBScript.Encode %temp%\SysinfY2X.db
  Startup: C:\Users\MSDS GROUP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\C-cleaner.lnk [2016-10-12]
  ShortcutTarget: C-cleaner.lnk -> C:\Windows\System32\wscript.exe (Microsoft Corporation)
  Startup: C:\Users\MSDS GROUP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VideoLAN.lnk [2016-10-12]
  ShortcutTarget: VideoLAN.lnk -> C:\Windows\System32\wscript.exe (Microsoft Corporation)
  EmptyTemp:
  

• Menu Fichier / Enregistrer-sous
  Place toi sur le bureau.
  Dans le champs en bas, nom du fichier mets : fixlist.txt
  Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  Sur le menu principal, clique une seule fois sur Correction/Fix et patiente le temps de la correction
  
  
  Un redémarrage peut être nécessaire (pas obligatoire).
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

[31s]

Voici le rapport:

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 13-10-2016
Exécuté par 31 solutions (14-10-2016 09:50:00) Run:1
Exécuté depuis C:\Users\MSDS GROUP\Desktop
Profils chargés: 31 solutions (Profils disponibles: 31 solutions)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
HKLM\...\Run: [VideoLAN] => C:\WINDOWS\system32\wscript.exe /e:VBScript.Encode D:\$RECYCLEBIN\Vlc.rar
HKLM\...\Run: [C-cleaner] => C:\WINDOWS\system32\wscript.exe /e:VBScript.Encode D:\$RECYCLEBIN\Adobe.rar
HKU\S-1-5-21-115482024-1962067063-1458609062-1000\...\Run: [SysinfY2X] => C:\WINDOWS\system32\cmd.exe /c start wscript /e:VBScript.Encode %temp%\SysinfY2X.db
Startup: C:\Users\MSDS GROUP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\C-cleaner.lnk [2016-10-12]
ShortcutTarget: C-cleaner.lnk -> C:\Windows\System32\wscript.exe (Microsoft Corporation)
Startup: C:\Users\MSDS GROUP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VideoLAN.lnk [2016-10-12]
ShortcutTarget: VideoLAN.lnk -> C:\Windows\System32\wscript.exe (Microsoft Corporation)
EmptyTemp:

*****************

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\VideoLAN => valeur non trouvé(e).
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\C-cleaner => valeur non trouvé(e).
HKU\S-1-5-21-115482024-1962067063-1458609062-1000\Software\Microsoft\Windows\CurrentVersion\Run\\SysinfY2X => valeur supprimé(es) avec succès
C:\Users\MSDS GROUP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\C-cleaner.lnk => déplacé(es) avec succès
C:\Windows\System32\wscript.exe => déplacé(es) avec succès
C:\Users\MSDS GROUP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VideoLAN.lnk => déplacé(es) avec succès
C:\Windows\System32\wscript.exe => non trouvé(e).

=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 9032362 B
Java, Flash, Steam htmlcache => 950 B
Windows/system/drivers => 114648903 B
Edge => 0 B
Chrome => 190795341 B
Firefox => 249354740 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 83598 B
systemprofile32 => 6620 B
LocalService => 66228 B
NetworkService => 692 B
MSDS GROUP => 91998726 B

RecycleBin => 0 B
EmptyTemp: => 633.6 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 09:50:21 ====

Mon ordinateur a redémarré et n'ai pas eu de message d'alerte erreur script. Cela veut dire que c'est résolu ?

[angelique]

Oui, tu peux alors supprimer frst, ses rapports et C:\FRST

[31s]

WOW trop fort vous avez assuré.
Un très bon forum d'entraide !

J'ai une question qui concerne les noms d'utilisateurs et les problèmes rencontrés.
Je suppose qu'il faut que je pose un autre poste dans la catégorie concerné.