Sujet Précédent Sujet Suivant

SysinfY2X : virus raccourcis

Résolu/Fermé
cyber75 Messages postés 5 Date d'inscription lundi 30 mai 2016 Statut Membre Dernière intervention 30 mai 2016 - Modifié par Malekal_morte- le 30/05/2016 à 11:48
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 2 juin 2016 à 20:51
Bonjour,

Aidez moi svp voici les rapports

https://pjjoint.malekal.com/files.php?id=FRST_20160530_u6e15e126l9
https://pjjoint.malekal.com/files.php?id=20160530_r6j13i12c135

https://pjjoint.malekal.com/files.php?id=20160530_i11p7t5e14r15

Merci d'avance

4 réponses

Réponse 1 / 4
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
Modifié par Malekal_morte- le 30/05/2016 à 11:48
Salut,


Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
(le mot de passe est malekal)
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).


puis :

!!! Attention ce script va redémarrer le serveur !!!

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fixnote explicative avec des captures d'écran].

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 

CreateRestorePoint:
HKU\S-1-5-21-176412102-3649709393-1577762002-500\...\Run: [SysinfY2X] => C:\WINDOWS\system32\cmd.exe /c start wscript  /e:VBScript.Encode %temp%\SysinfY2X.db
RemoveProxy:
Hosts:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.


Veuillez appuyer sur une touche pour continuer la désinfection...
0
cyber75 Messages postés 5 Date d'inscription lundi 30 mai 2016 Statut Membre Dernière intervention 30 mai 2016
30 mai 2016 à 12:29
Salut,
je viens de faire tout ce qui est décrit mais toujours le même pb, certains dossiers partagés sont sous forme de raccourcis puis ils apparaissent et disparaissent..
HELP !!!
Merci

Résultats de correction de Farbar Recovery Scan Tool (x64) Version:29-05-2016 02
Exécuté par Administrateur (2016-05-30 12:08:54) Run:1
Exécuté depuis C:\Users\Administrateur\Desktop
Profils chargés: Administrateur (Profils disponibles: Administrateur & .NET v4.5 & .NET v4.5 Classic)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
HKU\S-1-5-21-176412102-3649709393-1577762002-500\...\Run: [SysinfY2X] => C:\WINDOWS\system32\cmd.exe /c start wscript /e:VBScript.Encode %temp%\SysinfY2X.db
RemoveProxy:
Hosts:
Reboot:


Erreur: (0) Impossible de créer un point de restauration.
HKU\S-1-5-21-176412102-3649709393-1577762002-500\Software\Microsoft\Windows\CurrentVersion\Run\\SysinfY2X => valeur supprimé(es) avec succès

========= RemoveProxy: =========

HKU\S-1-5-21-176412102-3649709393-1577762002-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-176412102-3649709393-1577762002-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========

"C:\Windows\System32\Drivers\etc\hosts" => Impossible de déplacer.
Impossible de restaurer Hosts.


Le système a dû redémarrer.

Fin de Fixlog 12:08:55

0
Réponse 2 / 4
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
30 mai 2016 à 12:31
Le virus USB n'est plus actif.
Marmiton va t'en protéger.
Il faut maintenant nettoyer les clefs USB infectées avec l'option B de Remediate VBS Worm
0
cyber75 Messages postés 5 Date d'inscription lundi 30 mai 2016 Statut Membre Dernière intervention 30 mai 2016
30 mai 2016 à 14:39
toujours le même pb malheureusement !!
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628 > cyber75 Messages postés 5 Date d'inscription lundi 30 mai 2016 Statut Membre Dernière intervention 30 mai 2016
Modifié par Malekal_morte- le 30/05/2016 à 14:42
As-tu installé Marmiton ?
As-tu redémarré le serveur ?
0
cyber75 Messages postés 5 Date d'inscription lundi 30 mai 2016 Statut Membre Dernière intervention 30 mai 2016
30 mai 2016 à 15:37
oui mais toujours embêtée :(
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628 > cyber75 Messages postés 5 Date d'inscription lundi 30 mai 2016 Statut Membre Dernière intervention 30 mai 2016
30 mai 2016 à 15:40
Refais un nouveau scan FRST et donne les rapports via pjjoint.
0
cyber75 Messages postés 5 Date d'inscription lundi 30 mai 2016 Statut Membre Dernière intervention 30 mai 2016 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
30 mai 2016 à 16:43
Voici :

https://pjjoint.malekal.com/files.php?id=FRST_20160530_h5w15q11y6p6
https://pjjoint.malekal.com/files.php?id=20160530_d7r11n11d5c8
https://pjjoint.malekal.com/files.php?id=20160530_g7p9j8r12i8
Merci.
0
Réponse 3 / 4
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
30 mai 2016 à 16:45
Le serveur n'est plus infecté.
Ensuite faut être plus précis sur les problèmes restants rencontrés...
car si tu nettoies ta clef USB sur un autre ordinateur, qui lui, est aussi infecté...forcément la clef sera réinfectée à nouveau et les raccourcis vont revenir.
0
cyber75
30 mai 2016 à 16:58
Le pb n'est plus sur la clé, mais il reste sur les dossiers partagés du serveur : le contenu est sous forme de raccourcis qui n'arrêtent pas de bouger
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628 > cyber75
30 mai 2016 à 17:04
Tu dois avoir d'autres PC infectés.
Faudrait mettre Marmiton dessus, dans un premier temps, les identifier et fournir les rapports FRST de ces postes.
0
cybre75
30 mai 2016 à 17:32
voici les rapports sur un poste

http://pjjoint.malekal.com/files.php?id=20160530_s125q9v6p14
http://pjjoint.malekal.com/files.php?id=20160530_s6g5h5w7z8
http://pjjoint.malekal.com/files.php?id=FRST_20160530_r7i12c15m15x8
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628 > cybre75
30 mai 2016 à 17:40
Ce PC n'est pas infecté.
0
Cyber75
30 mai 2016 à 18:34
Ok merci je ferai les autres Pc demain... Bonne soirée
0
Réponse 4 / 4
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
31 mai 2016 à 17:17
bha Avast! devrait être suffisant, enfin normalement t'as pas le droit d'utiliser la version gratuite.
Pour les Logs Marmiton, c'est là : C:\MARMITON\MARMITON.LOG
Donc si tu veux surveiller un peu les scripts bloqués, c'est dans ce fichier =)

Tu devrais avoir la paix avec les scripts VBS par clef USB, après il reste des versions AutoIT etc.
Mets les utilisateurs dans des sessions limités, voir compte invité, voir : Le compte invité de Windows.
0
cyber75
2 juin 2016 à 17:04
Salut,
Dans le dossier marmiton je ne vois pas de marmiton.log, j'ai que ca :
liste-blanche.dat
marmion.exe
marmiton.gif
marliton.wav
msvbvm60.dll
vb6fr.dll

Autre question : est ce normal que quand je lance marmiton et désactive WSH, dés fois il se réactive tout seul ??
et aussi faut t il le faire pour toutes les sessions ou seulement la session administrateur??

Merci d'avance..
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628 > cyber75
2 juin 2016 à 20:51
Faut avoir eu une alerte
> http://secuboxlabs.fr/outils/marmiton/

Y'a t'il un historique des scripts interceptés ?
Les scripts interceptés sont journalisés dans "C:\MARMITON\MARMITON.LOG"
Lors d'une interception, appuyer sur la touche F2 pour ouvrir ce fichier.

~~

Normalement WSH n'est pas censé se réactiver, et c'est normalement actif sur toutes les sessions vu que c'est pris dans HKLM, sauf contre mesure lancée dans la session.
0

Discussions similaires

Virus SYSINFY2X.DB
Zedrof -
Malekal_morte- -

3 réponses
Impossible de trouver le fichier script sysinfY2X
Emmanuel -
DOUC_EMMA -

4 réponses
Script SysinfY2X.db
Houssine_62 -
Malekal_morte- -

20 réponses
C:\Users\DELL\AppData\Local\Temp\SysinfY2X.db
Abdou -
Malekal_morte- -

1 réponse