Virus USB SysinfY2X

Fermé

Arnaud - Modifié par Malekal_morte- le 15/11/2016 à 07:51
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 15 nov. 2016 à 18:56

Bonsoir, Merci de prendre de votre temps pour aider des personnes comme moi^^.

(Le message je l'ai copié car je rencontre exactement les mêmes difficultés. )

J'ai connecté ma clé USB sur un ordi au Taxiphone (pour imprimer) et quand je l'ai ré-ouverte sur mon ordi, j'ai constaté que tous les fichiers qu'elle contenait ont été changés en raccourcis qui portent les mêmes noms. J'arrive quand même à les ouvrir.
Lorsque je supprime les raccourcis, ils reviennent/réapparaîssent et j'arrive toujours à les ouvrir même après avoir tenté de les supprimer.
J'ai copiés tous les fichiers/raccourcis de ma clé sur mon ordinateur; puis les ai supprimés de ma clé; j'ai ensuite formaté ma clé et cette fois-ci les raccourcis supprimés ne sont pas réapparu.
Mais cela ne dura pas... J'ai testé en replaçant d'autres fichiers dans ma clé et peu de secondes après ils se sont transformés en raccourcis, toujours accessibles même après tentative de leur suppression.
Aussi, les fichiers présents sur mon ordinateur copiés depuis ma clé USB (et supprimés définitivement de ma clé par la suite grâce au formatage) ne peuvent plus s'ouvrir affichent "Windows n'a pas pu trouver "iTunesHelper.vbe" ou encore "Windows n'a pas pu ouvrir/trouver *nomdufichier*"
J'ai effectué un scan avec Antivir (l'antivirus) mais d'après lui, "aucun virus détecté".
Pouvant toujours accéder à mes fichiers même s'ils sont sous forme de raccourcis ne devrait pas me déranger, toutefois j'ai lu sur d'autres forums qu'il s'agissait d'un virus et j'ai également constaté qu'il fallait un "accompagnateur" pour nous guider dans le suivi et la résolution du problème. C'est pourquoi je fais appel à votre aide et vous en remercie d'avance pour votre attention.

A voir également:

Virus USB SysinfY2X
Cle usb non reconnu - Guide
Medicat usb - Guide
Cle usb bootable - Guide
Télécharger windows 7 32 bits usb - Télécharger - Systèmes d'exploitation
Formater clé usb mac - Guide

2 réponses

Réponse 1 / 2

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
14 nov. 2016 à 20:13

Salut,

Windows a été infecté par des adwares et programmes parasites. Ces indésirables sont connus pour provoquer des affichages de publicités et occasionner de sérieux ralentissements sur tes navigateurs WEB.
Créer un support de récupération pour Windows 10, 8.1 ou 7
Voici les étapes de la procédure à suivre :

1°) AdwCleaner
Suis le tutoriel AdwCleaner d'Xplode

Télécharge le sur ton Bureau ou dans ton dossier des téléchargements,
Lance "AdwCleaner" puis clique sur [Scanner],
L'analyse va durer plusieurs minutes, patiente,
Une fois le scan terminé, ne décoche rien, clique sur [Nettoyer],
Une fois le nettoyage terminé, un rapport va s'ouvrir,
Copie/colle le contenu du rapport dans ta prochaine réponse.

Si le copié/collé ne fonctionne pas, utilise le site http://pjjoint.malekal.com/ pour héberger ton rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

2°)
Réinitialise manuellement tes navigateurs (Pas de nettoyage zoek ou ZHPCleaner) :

3°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :

FRST.txt
Shortcut.txt
Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

Arnaud
Modifié par Arnaud le 14/11/2016 à 22:16

Merci pour ta réponse! Voici le rapport de l'analyse de AdwCleaner:
http://pjjoint.malekal.com/files.php?id=20161114_x8i5u13n11l5

Je précise qu'il y a un autre rapport avec la terminaison S0 mais c'est le C0 qui s'est ouvert après le redémarrage. Raison pour laquelle c'est le rapport C0 que j'ai posté.

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656 > Arnaud
14 nov. 2016 à 23:08

Fais tout ne m'attends.
C'est surtout FRST qui permettra de supprimer Kovter.
Netcurs c'est un peu complexe.

Arnaud
14 nov. 2016 à 23:11

Bonsoir Voici les rapports de FRST:

http://pjjoint.malekal.com/files.php?id=FRST_20161114_9r9d13j11b7
http://pjjoint.malekal.com/files.php?id=20161114_q7r9t14w15j11
http://pjjoint.malekal.com/files.php?id=20161114_s6k5f8y5z7

Merci!!

Il n'y qu'une infection amovible au final.
Pourquoi as-tu titré "Trojan Necurs, Kovter, WeatherBlink" ?
Pas de Necurs, ni de Kovter et de WeatherBlink.
Tu as repris le titre d'un autre sujet non ?

1/
Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky.

2/
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-4196973683-1283291726-2806412674-1000\...\Run: [SysinfY2X] => C:\WINDOWS\system32\cmd.exe /c start wscript  /e:VBScript.Encode %temp%\SysinfY2X.db
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

3/

Branche toutes tes clés USB.

Télécharger Remediate VBS Worm

2°) Relancer "Remediate VBS Worm"

Lancer l'option B
Taper la lettre de la clef USB, par exemple, E et entrée

[color=red]ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR !/color

Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.

Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.

Arnaud
15 nov. 2016 à 01:07

Pour tes questions: j'ai copié le titre car j'avais les mêmes problèmes de raccourcis.
Par contre, je n'ai plus la clé et je comptais plus l'utiliser encore. Après ça, j'installe un antivirus et j'espère que tout se passera bien. Merci !!

Voici le contenu de Fixlog :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 12-11-2016
Exécuté par SEVERIN (15-11-2016 00:50:31) Run:3
Exécuté depuis C:\Users\SEVERIN\Desktop
Profils chargés: SEVERIN (Profils disponibles: SEVERIN)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-4196973683-1283291726-2806412674-1000\...\Run: [SysinfY2X] => C:\WINDOWS\system32\cmd.exe /c start wscript /e:VBScript.Encode %temp%\SysinfY2X.db
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:

Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKU\S-1-5-21-4196973683-1283291726-2806412674-1000\Software\Microsoft\Windows\CurrentVersion\Run\\SysinfY2X => valeur supprimé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-4196973683-1283291726-2806412674-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-4196973683-1283291726-2806412674-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès

========= Fin de RemoveProxy: =========

=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 143578562 B
Java, Flash, Steam htmlcache => 926 B
Windows/system/drivers => 712452817 B
Edge => 0 B
Chrome => 303620426 B
Firefox => 3046749 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 55331728 B
systemprofile32 => 73767 B
LocalService => 66228 B
NetworkService => 802904 B
SEVERIN => 48723088579 B

RecycleBin => 193616 B
EmptyTemp: => 46.5 GB données temporaires supprimées.

================================

Le système a dû redémarrer.

Fin de Fixlog 00:54:53

Réponse 2 / 2

Dlyne96 Messages postés 80 Date d'inscription mercredi 9 novembre 2016 Statut Membre Dernière intervention 24 mars 2018 5
14 nov. 2016 à 20:00

Bonsoir,

Je pense que tout ça va t'intéresser ... Si tu n'as pas résolu ton problème ... C'est pas normal haha -> https://lebonantivirus.com/comment-supprimer-virus-raccourci-usb/

Bon courage !

Arnaud
15 nov. 2016 à 01:24

Bonsoir, Merci pour ton message. Mais j'arrivais pas à trouver USBFix.

Discussions similaires

Est ce que le site tlauncher est dangereux ?

Que choisir pour boot sur clé usb ?

problême Opéra est ce un virus??