Erreur windows script host avec SysinfY2Y.db [Résolu/Fermé]

Signaler
-
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
-
Bonjour,

j'affronte un problème depuis quelques jours, à chaque démarrage il apparaît un message d'erreur Windows script Host:

impossible de trouver le fichier script

"C:\users\AN..\AppData\Local\Temp\SysinfY2Y.db".
, je ne sais pas d'où vient ce problème.

j’espère que vous pourriez m'aider

7 réponses

Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 055
Salut,

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

merci pour la réponse, voici les liens demandée ( FRST - SHORTCUT - ADDITON )
http://pjjoint.malekal.com/files.php?id=FRST_20160917_u12y12h11n10z15
http://pjjoint.malekal.com/files.php?id=20160917_h15c8t14j14k10
http://pjjoint.malekal.com/files.php?id=20160917_c11b1011g7y9
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 055
Tu as aussi un Keylogger.


Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc).

puis :

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\rvlkl.lnk [2016-05-31]
ShortcutTarget: rvlkl.lnk -> C:\ProgramData\rvlkl\rvlkl.exe (Logixoft)
Startup: C:\Users\anas alami\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ENCRYP~1.JS [2015-06-17] ()
HKU\S-1-5-21-2440391508-1051096070-1002498270-1001\...\Run: [SysinfY2X] => C:\WINDOWS\system32\cmd.exe /c start wscript /e:VBScript.Encode %temp%\SysinfY2X.db
HKU\S-1-5-21-2440391508-1051096070-1002498270-1001\...\Run: [ENCRYP~1] => wscript.exe //B C:\Users\anas alami\AppData\Roaming\ENCRYP~1.JS
Task: {B02B57EF-68FD-4D18-A2DA-4BC49DC04FFB} - System32\Tasks\Microsoft\Windows\RVLKL\RVLKL => C:\ProgramData\rvlkl\rvlkl.exe [2016-05-31] (Logixoft) <==== ATTENTION
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\rvlkl.lnk [2016-05-31]
ShortcutTarget: rvlkl.lnk -> C:\ProgramData\rvlkl\rvlkl.exe (Logixoft)
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
bonjour,
un autre message WSH apparaît au démarrage : l'accès à Windows script Host est désactivé sur cette machine.
contactez votre administrateur système pour plus d’informations.
que pourrais-je faire svp ?
j'ai réactivé le WSH puis j'ai redammaré l'ordi, encore une fois il vient le message de WSH : impossible de trouver le fichier script
"C\Users\anas..\AppData\Local\Temp\SysinfYhX.db".
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 055 > Chemist
C'est normal.
Désactive Windows Script Hosting avec Marmiton.

Donne les rapports demandés et refais un scan FRST.
Donne les nouveaux rapports de scans.
>
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020

voici les nouveaux rapports de scans :
http://pjjoint.malekal.com/files.php?id=20161021_m9q13q10w10v8
http://pjjoint.malekal.com/files.php?id=FRST_20161021_m10v14d14e5i12
http://pjjoint.malekal.com/files.php?id=20161021_c15k6l13k12q10
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 055 > Chemist
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2440391508-1051096070-1002498270-1001\...\Run: [SysinfYhX] => C:\WINDOWS\system32\cmd.exe /c start wscript /e:VBScript.Encode %temp%\SysinfYhX.db
2016-09-30 01:45 - 2016-05-31 02:51 - 00000000 ____D C:\ProgramData\rvlkl
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
>
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020

le message n’apparaît plus merci bien pour votre aide
voilà ce qui est dans fichier texte :

Résultats de correction de Farbar Recovery Scan Tool (x86) Version: 06-11-2016
Exécuté par anas alami (07-11-2016 03:49:02) Run:2
Exécuté depuis C:\Users\anas alami\Desktop\FRST
Profils chargés: anas alami (Profils disponibles: anas alami & nihal)
Mode d'amorçage: Normal

==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2440391508-1051096070-1002498270-1001\...\Run: [SysinfYhX] => C:\WINDOWS\system32\cmd.exe /c start wscript /e:VBScript.Encode %temp%\SysinfYhX.db
2016-09-30 01:45 - 2016-05-31 02:51 - 00000000 ____D C:\ProgramData\rvlkl
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Error: (0) Impossible de créer un point de restauration.
Processus fermé avec succès.
HKU\S-1-5-21-2440391508-1051096070-1002498270-1001\Software\Microsoft\Windows\CurrentVersion\Run\\SysinfYhX => valeur supprimé(es) avec succès
C:\ProgramData\rvlkl => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-2440391508-1051096070-1002498270-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-2440391508-1051096070-1002498270-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 1396117 B
DOMStoree, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 35121151 B
Java, Flash, Steam htmlcache => 492 B
Windows/system/drivers => 125614819 B
Edge => 27483363 B
Chrome => 503120147 B
Firefox => 15468531 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
LocalService => 4970 B
NetworkService => 0 B
anas alami => 134991762 B
nihal => 812540 B

RecycleBin => 0 B
EmptyTemp: => 804.9 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

Fin de Fixlog 03:49:34

Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 055
La restauration du système semble désactivée :
Réactive la restauration du système pour Windows 10
Tu trouveras les explications comment faire et pourquoi, sur cette page.

~~

Protège bien ton ordinateur avec Marmiton comme expliqué précédemment.

~~
2°) Relancer "Remediate VBS Worm"
  • Lancer l'option B
  • Taper la lettre de la clef USB, par exemple, E et entrée

[color=red]ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR ![/color]
  • Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.

Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.


Rem-VBSworm v8.0

=========== - General info:

Running under: anas alami on profile: C:\Users\anas alami
Computer name: DESKTOP-MR71VGP

Operating System:
Microsoft Windows 10 Professionnel

Boot Mode:
Normal boot

Antivirus software installed:
Windows Defender

Avast Antivirus


Executed on: 08/11/2016 @ 3:56:45,03

=========== - Drive info:

Listing currently attached drives:
Caption Description VolumeName

C: Disque mont‚ local

D: Disque amovible

E: Disque mont‚ local

F: Disque amovible

G: Disque amovible

H: Disque amovible

J: Disque CD-ROM

K: Disque amovible




Physical drives information:
C: \Device\HarddiskVolume1 NTFS
E: \Device\HarddiskVolume3 NTFS
K: \Device\HarddiskVolume12 NTFS

=========== - Disinfection info:


=========== - USB drive info:

K: selected

USB Device ID:
USBSTOR\DISK&VEN_GENERIC&PROD_STORAGE_DEVICE&REV_9317\000000009317&1

SCSI\DISK&VEN_&PROD_ST3160815AS\4&13410C45&0&010000

USBSTOR\DISK&VEN_GENERIC&PROD_STORAGE_DEVICE&REV_9317\000000009317&3

USBSTOR\DISK&VEN_KINGSTON&PROD_DATATRAVELER_2.0&REV_1.00\C8600088637DCE702A08B1DA&0

USBSTOR\DISK&VEN_GENERIC&PROD_STORAGE_DEVICE&REV_9317\000000009317&0

USBSTOR\DISK&VEN_GENERIC&PROD_STORAGE_DEVICE&REV_9317\000000009317&2




Fichier supprim‚ - K:\sources\etwproviders\etwproviderinstall.vbs
Fichier supprim‚ - K:\support\logging\etwproviderinstall.vbs
WARNING... Possible Andromeda/Gamarue infection...
Listing root contents of K:
Le volume dans le lecteur K n'a pas de nom.
Le num‚ro de s‚rie du volume est 22F6-943E

R‚pertoire de K:\

19/04/2016 21:01 400ÿ228 bootmgr
19/04/2016 21:01 1ÿ147ÿ736 bootmgr.efi
19/04/2016 21:01 152 MediaMeta.xml
24/04/2016 03:48 4ÿ123ÿ283 KMSAuto.Net. activation windows.rar
26/04/2016 15:54 255ÿ152 DriversCloud_Win.exe
01/05/2016 23:21 727 Crack WinRAR by MrDiviska.zip
06/05/2016 18:14 11ÿ170ÿ388 17.mp3
15/09/2016 02:37 30ÿ533ÿ688 vlc-2.2.4-win32.exe
20/09/2016 04:37 2ÿ063ÿ064 wrar540fr.exe
06/10/2016 21:13 1ÿ065ÿ376 ChromeSetup.exe
15/10/2016 01:03 8ÿ001ÿ605 IDM-2015.rar
15/10/2016 05:12 1ÿ145ÿ360 ???????.rar
02/11/2016 20:37 <DIR> avast premium
02/11/2016 20:37 <DIR> boot
02/11/2016 20:37 <DIR> ccleaner pro
02/11/2016 20:37 <DIR> efi
02/11/2016 20:38 <DIR> sources
02/11/2016 20:38 <DIR> support
02/11/2016 20:39 <DIR> ÿ
02/11/2016 21:43 2ÿ278ÿ304 winrar-x64-540fr.exe
03/11/2016 03:15 <DIR> idman 2016
03/11/2016 03:29 <DIR> office 2016
13 fichier(s) 62ÿ185ÿ063 octets
9 R‚p(s) 1ÿ084ÿ051ÿ456 octets libres

USB drive disinfected and files unhidden!!
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 055
Plus de soucis ?
Non aucun message n’apparaît, merci bien Malekal pour votre aide
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 055
super :)