Windows 10 a été infecté, script "SysinfYhx.db" au démarrage

Fermé
ucefelo Messages postés 3 Date d'inscription samedi 21 mai 2016 Statut Membre Dernière intervention 15 novembre 2016 - 15 nov. 2016 à 14:27
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 15 nov. 2016 à 18:55
Bonjour,
Windows 10 a été infecté. A chaque démarrage de Windows, impossible de trouver le script "SysinfYhx.db"

J'ai procédé pour une analyse FRST et voici les 3 rapports: (FRST- Additionnal-Shortcut)

https://pjjoint.malekal.com/files.php?id=FRST_20161115_j8i6h5p9h11
https://pjjoint.malekal.com/files.php?id=20161115_b14t15l10f713
https://pjjoint.malekal.com/files.php?id=20161115_u5t14d6x6e7


J'aimerai bien que vous m'aidez svp.

Merci

A voir également:

1 réponse

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
15 nov. 2016 à 15:45
Salut,

Suis ce deux étapes pour commencer.

1/

Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky.



2 /

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2735362801-286046353-2323636026-1000\...\Run: [SysinfYhX] => C:\WINDOWS\system32\cmd.exe /c start wscript /e:VBScript.Encode %temp%\SysinfYhX.db
Hosts:
EmptyTemp:
RemoveProxy:



Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",

A gauche, place toi sur le Bureau,

Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.

0
ucefelo Messages postés 3 Date d'inscription samedi 21 mai 2016 Statut Membre Dernière intervention 15 novembre 2016
15 nov. 2016 à 17:00
Merci bcp
moi j'utilise le programme java pour éditer les applications est ce que MARMITON bloque java ?
c'est quoi le role de windows script host ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > ucefelo Messages postés 3 Date d'inscription samedi 21 mai 2016 Statut Membre Dernière intervention 15 novembre 2016
15 nov. 2016 à 18:55
Non pour Java.
Windows Script Hosting permet de lancer, en autre, des scripts dans Windows (JavaScript et VBScript).
Le malware que tu es en VBScript...du coup plus de Windows Script Hosting, plus de ce type de malware.

Java ce n'est pas la même chose que JavaScript.
Ca ne bloque pas les JavaScript dans les navigateurs WEB.
0