SysinfY2X.db : Virus Windows 7 scripts malveillants [Résolu]

[Firsla]

Bonjour,

Pourriez-vous m'aider pour résoudre ce problème ?

Impossible de trouver le fichier script
"C:\Users\Corbi\AppData\Local\Temp\SysinfY2X.db"

Ci-dessous les liens générés grâce à votre tutoriel FRST :

http://pjjoint.malekal.com/files.php?id ... 9v7u1315n5
http://pjjoint.malekal.com/files.php?id ... r15x7l10n9
http://pjjoint.malekal.com/files.php?id ... 12y7o6m5o7

Bien cordialement,

Firsla

[angelique]

• Bonjour,
• Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer➫notepad)
  Copie/colle dedans ce qui suit :
  
  

  HKU\S-1-5-21-2810906570-376352009-1557730262-1000\...\Run: [SysinfY2X] => C:\WINDOWS\system32\cmd.exe /c start wscript /e:VBScript.Encode %temp%\SysinfY2X.db
  Task: {A8B01DF0-343E-4E45-9D31-16D92461958B} - System32\Tasks\{631B8507-3B97-43ED-A2AC-78AA4402BFE0} => pcalua.exe -a C:\Users\Corbi\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=cor
  Task: {DD93711D-83C9-4308-9DE5-FF52B39B6361} - System32\Tasks\{1D143F01-5A92-4486-BABD-7BBE97DBBDBA} => pcalua.exe -a B:\9dcea6a493c26fe98ba84172a2dd\SetupUtility.exe -d B:\9dcea6a493c26fe98ba84172a2dd
  Task: {E6FB7E68-EC2B-45B6-B3AF-1DDF4ADB9075} - System32\Tasks\{D46BA749-FD1A-4A69-B7C5-DEF0C3AC9AF9} => pcalua.exe -a C:\Users\Corbi\Downloads\marmiton-install.exe -d C:\Users\Corbi\Downloads
  CHR HomePage: Default -> hxxp://www.istartsurf.com/?type=hp&ts=14430260 ... P9VAXP9VAX
  CHR StartupUrls: Default -> "hxxp://www.istartsurf.com/?type=hp&ts=14430260 ... P9VAXP9VAX"
  2016-04-20 11:54 - 2016-04-20 11:54 - 0000036 _____ () C:\Users\Corbi\AppData\Roaming\SuYZkvrV.tmp
  Hosts:
  RemoveProxy:
  EmptyTemp:
  

• Menu Fichier / Enregistrer-sous
  Place toi sur le bureau.
  Dans le champs en bas, nom du fichier mets : fixlist.txt
  Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe
  ⚠⚠ Sous Vista, Windows 7, 8,10, etc.... il faut lancer le fichier par clic-droit ➫ Exécuter en tant qu'administrateur
  Sur le menu principal, clique une seule fois sur Corriger/Fix et patiente le temps de la correction
  
  
  Un redémarrage peut être nécessaire (pas obligatoire).
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse avec ton commentaire si c'est mieux !

[Firsla]

Bonjour Angelique,

Tout d'abord je tiens vraiment à te remercier d'avoir pris le temps de m'aider, pour le moment l'alerte de Windows ne s'ouvre plus le fixe semble donc marcher.

Voici le rapport de correction :

http://pjjoint.malekal.com/files.php?id ... 1z14c10z13


Encore merci.

[angelique]

c'est ok, tu peux supprimer frst, ses rapports et C:\FRST

Utilise marmiton pour limiter l’exécution accidentelle de scripts malicieux, voir ➫ http://telecharger.malekal.com/download/marmiton/

[Djdiaa]

Bonjour,

J'ai suivi votre tuto. FRST n'a généré que deux fichiers. les voici:

https://pjjoint.malekal.com/files.php?i ... o6h13p10f6
https://pjjoint.malekal.com/files.php?i ... 6l12s10s11

J'ai exécuter le programme en mode sans echec.

Merci

Abdelali

[Malekal_morte]

Salut,

Tu as des programmes qui ont été installés à l'achat de l'ordinateur ou installés par la suite et qui sont pas forcément utiles.
Ils encombrent Windows et peuvent le ralentir.
Tu peux donc les désinstaller.
Vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Désinstalle :

Ask Toolbar
Avira Phantom VPN
Avira Privacy Pal
Avira Software Updater
Avira System Speedup

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2743236023-402952711-1372859571-1000\...\Run: [SysinfY2X] => C:\WINDOWS\system32\cmd.exe /c start wscript  /e:VBScript.Encode %temp%\SysinfY2X.db <==== ATTENTION
Task: {3458BFDE-FCAD-4037-9C9F-B638BF529DCF} - System32\Tasks\DefaultCheck => c:\Users\All Users\dtdata\R002.exe <==== ATTENTION
Task: {AA4F74DA-0EF4-40FE-A5B7-B863231D87E1} - System32\Tasks\Scheduled Update for Ask Toolbar => C:\Program Files\Ask.com\UpdateTask.exe [96136 2009-10-27] (Ask.com -> ) <==== ATTENTION
Task: {DDA5EF36-F503-439D-AFE2-447DF618634A} - System32\Tasks\DefaultReg => c:\Users\All Users\dtdata\R001.exe <==== ATTENTION
2015-02-25 21:57 - 2015-02-25 21:57 - 000000000 _____ () C:\Users\DJDIAA\AppData\Local\{1F2B18F9-0CDD-47C3-9B16-83D9F5728A11}
2016-01-21 12:34 - 2016-01-21 12:34 - 000000000 _____ () C:\Users\DJDIAA\AppData\Local\{78BB726D-EA12-4097-BD6C-BB83634F1098}
RemoveProxy:
Hosts:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

~~

C'est une infection qui se propage par disques amovibles ( clefs USB, disques externes, cartes flash etc.. )
Tous les disques amovibles insérés depuis que Windows est infecté doivent être vérifiés et nettoyés sinon le simple fait de double-cliquer sur ta clef USB/disque dur externe va réinfecter ton système. Tu trouveras un lien explicatif sur la propagation de ces infections et sur comment s'en protéger :
=> Les virus par clé USB

Pour nettoyer les disques amovibles infecté par un virus par clé USB, suivre dans l'ordre les étapes du tutoriel : insère un à un tes clefs USB et disques durs externes que tu as pour les nettoyer. Envoie ensuite les rapports sur https://pjjoint.malekal.com/ et donne les liens menant à ces rapports pour que l'on puisse les consulter.

1°) Remediate VBS Worm

1°) Suivre les indications de cette page : Supprimer les virus par clé USB ou disque amovible
* Brancher toutes les clefs USB et autres périphériques amovibles.
* Télécharger Remediate VBS Worm
* Lance Remediate VBS Worm puis choisis l'option B
* Taper la lettre de la clef USB, par exemple, E et entrée
ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR !
* Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.
Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.

~~

Pour te protéger des infections amovibles type Wscript (Windows Script Host) et virus sur clé usb.
Suivre ce tutoriel : Comment désactiver Windows Script Host

[Djdiaa]

Bonjour,
Je vous remercie pour votre support. la fenêtre a disparu après redémarrage du PC.

Voici le lien: https://pjjoint.malekal.com/files.php?i ... 9x9d8t10k9

Merci

Abdelali

[Malekal_morte]

Parfait,

Fais bien la seconde partie pour désactiver Windows Script Hosting.
Cela va éviter d'infecter ton PC avec ce type de malwares.

Enfin,

Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?
Tu peux améliorer les protections et sécurité de Windows en suivant ces indications :

[Djdiaa]

Merci, je vais certainement la faire.

[Malekal_morte]

de rien