SysinfY2X

SysinfY2X est le nom d’un fichier qui se place dans le dossier temporaire de l’ordinateur et qui est lié à des infections amovibles.
SysinfY2X est un script VBS (Microsoft Visual Basic Scripting Edition).
Ces menaces visent les médias amovibles et vont remplacer le contenu par des raccourcis qui vont pointer sur le malware.
Une fois inséré sur l’ordinateur, lorsque l’utilisateur va double-cliquer sur ces raccourcis pensant ouvrir ses documents, il va installer l’infection sur le système.
Les malwares de ce type se propagent d’ordinateurs à ordinateurs de cette manière et sont communément appelés « virus USB raccourcis ».

Ces infections VBS USB permettent de télécharger et installer de nouveaux malwares sur l’ordinateur.

Afin de se lancer au démarrage de l’ordinateur pour être ensuite actif dans le système, SysinfY2X créé une clef RUN comme ci-dessous

HKU\S-1-5-21-1417001333-2052111302-2146970891-1003\...\Run: [SysinfY2X] => C:\WINDOWS\system32\cmd.exe /c start wscript  /e:VBScript.Encode

Si vous souhaitez désinfecter votre ordinateur contre les SysinfY2X, nous vous proposons de suivre la procédure de désinfection suivante.
Cette procédure est complètement gratuite et ne met pas en avant de programmes payants.
Celle-ci et très généraliste, afin de supprimer tous les malwares installés dans l’ordinateur et s’assurer que plus aucun malware n’est actif.
En outre, nous vous fournissons un lien vers un forum d’entraide, si vous désirez obtenir une aide personnalisée.

Comment supprimer SysinfY2X ?

Continue reading “SysinfY2X” »

disorderstatus.ru

disorderstatus.ru est un domaine malicieux utilisé par des infections qui se propagent par des médias amovibles, celle-ci visent probablement à installer des programmes parasites sur l’ordinateur.

Avast! peut détecter disorderstatus.ru en URL:Mal et émettre ces alertes :

URL: http://disorderstatus.ru/order.php
Infection: URL:Mal
Process: C:\Windows\system32\msiexec.exe

ou

URL:http://differentia.ru/diff.php
Infection :URL:Mal
Processus:C:\WINDOWS\SysWOW64\msiexec.exe

Les infections par médias amovibles ont pour but d’utiliser des clefs USB, disque dur externe etc pour se propager d’un ordinateur à l’autre.
Ces derniers vont infecter le media amovibles qui une fois inséré dans un nouvel ordinateur va installer l’infection.
Tous les medias amovibles vont alors être infectées et permettre à l’infection de sauter d’un ordinateur à l’autre.

Afin de pouvoir nettoyer complètement ces infections, vous devez désinfecter l’ordinateur puis désinfecter tous vos médias amovibles.

La procédure gratuite suivante vous guide dans la désinfection de votre ordinateur et la suppression des infections disorderstatus.ru

Continue reading “disorderstatus.ru” »

Worm:Win32/Kasidet

Worm:Win32/Kasidet est un vers qui se propage par les médias amovibles.
C’est à dire qu’en insérant une clef USB, disque dur externe ou autres médias amovibles sur un ordinateur infecté par Worm:Win32/Kasidet, ce dernier va se copier sur le média amovible.

Lorsque vous allez utliiser votre média amovible sur un nouvel ordinateur, si l’antivirus n’est pas capable de le bloquer, Worm:Win32/Kasidet va infecter l’ordinateur.
Tous les médias amovibles utilisés sur cet ordinateur seront infectés afin de se propager ainsi de suite sur d’autres ordinateurs.

Le malware se copie dans %APPDATA% et créé des clefs Run afin se lancer au démarrage de Windows :

HKLM\...\Run: [winhelp.exe] => C:\Users\PATTI\AppData\Roaming\alFSVWJB\winhelp.exe [313856 2011-05-27] (Oracle Corporation)
HKLM\...\Run: [hh.exe] => C:\Users\PATTI\AppData\Roaming\alFSVWJB\hh.exe
HKU\S-1-5-21-3050710114-727924337-1941722206-1001\...\Run: [Sidebar] => C:\Users\PATTI\AppData\Roaming\Identities\Cmhghi.exe [0 ] ()

D’autre part, l’infection créé des fichiers avec des noms aléatoires de 3/4 lettres dans le dossier %TEMP%, exemple :

C:\Users\PATTI\AppData\Roaming\C29A.exe
C:\Users\PATTI\AppData\Roaming\C0F3.exe
"C:\Users\PATTI\AppData\Roaming\CE78.exe
C:\Users\PATTI\AppData\Roaming\AD9.exe
C:\Users\PATTI\AppData\Roaming\DE8B.exe
C:\Users\PATTI\AppData\Roaming\C9D4.exe
C:\Users\PATTI\AppData\Roaming\BF1B.exe
C:\Users\PATTI\AppData\Roaming\ACA.exe

Nous avons soumis ces fichiers à l’analyse antivirus dont voici la détection – on retrouve bien les détections Worm:Win32/Kasidet

SHA256: bfc183da333da8fa0ba4b86a3e2cb2daada3b4877eff90e0b647fbf30f04a5c7
Nom du fichier : ACA.exe.xBAD
Ratio de détection : 32 / 55
Date d’analyse : 2015-06-25 15:26:10 UTC (il y a 1 heure, 15 minutes)
Antivirus Résultat Mise à jour
ALYac Gen:Variant.Kazy.495938 20150625
AVware Trojan.Win32.Generic!BT 20150625
Ad-Aware Gen:Variant.Kazy.495938 20150625
AhnLab-V3 Trojan/Win32.Bublik 20150625
Antiy-AVL Trojan[Backdoor]/Win32.Kasidet 20150625
Arcabit Trojan.Kazy.D79142 20150625
Avast Win32:Dropper-gen [Drp] 20150625
Avira TR/Dropper.A.5183 20150625
Baidu-International Backdoor.Win32.Kasidet.arj 20150625
BitDefender Gen:Variant.Kazy.495938 20150625
Cyren W32/S-0b92b060!Eldorado 20150625
DrWeb Trojan.PWS.Panda.8087 20150625
ESET-NOD32 a variant of Win32/Kryptik.DMSY 20150625
Emsisoft Gen:Variant.Kazy.495938 (B) 20150625
F-Prot W32/S-0b92b060!Eldorado 20150625
F-Secure Gen:Variant.Kazy.495938 20150624
Fortinet W32/Kryptik.DMSY!tr 20150625
GData Gen:Variant.Kazy.495938 20150625
K7AntiVirus Trojan ( 004c669f1 ) 20150625
K7GW Trojan ( 004c669f1 ) 20150625
Kaspersky Backdoor.Win32.Kasidet.arj 20150625
Malwarebytes Backdoor.Bot.VX 20150625
MicroWorld-eScan Gen:Variant.Kazy.495938 20150625
Microsoft Worm:Win32/Kasidet 20150625
NANO-Antivirus Trojan.Win32.Kasidet.dszutt 20150625
Panda Trj/Genetic.gen 20150625
Qihoo-360 Win32/Trojan.5cd 20150625
Sophos Mal/Generic-S 20150625
Symantec Trojan.Gen.2 20150625
Tencent Win32.Trojan.Dropper.Htwo 20150625
VIPRE Trojan.Win32.Generic!BT 20150625
Zillya Backdoor.Kasidet.Win32.388 20150625

Afin de pouvoir se débarrasser de ce vers, vous devez :

  • Désinfecter l’ordinateur
  • Désinfecter tous vos médias amovibles
  • Eventuellement, prévenir les amis avec lesquels vous avez utilisé vos médias amovibles, leurs ordinateurs pouvant avoir été infectés.

La procédure gratuite suivante, vous guide dans la désinfection de votre ordinateur et de vos médias amovibles.

 

Continue reading “Worm:Win32/Kasidet” »

Win32:VB-EIK

Win32:VB-EIK est un malware qui se propage par médias amovibles (clef USB, disque dur externe, mémoire flash etc).
La détection Win32:VB-EIK correspond à l’antivirus Avast! et indique que le malware a été écrit en Visual Basic.

NOD32 le détecte en WIN32/VB (par exemple la variante Win32/VB.DG ci-dessous) dont voici quelques exemples de détections :
Vous noterez aussi la détection Win32/Autorun.VB qui indique bien un malware par Autorun.

C:\$Recycle.Bin .scr	Win32/VB.DG virus	deleted - quarantined
C:\32788R22FWJFW .scr	Win32/VB.DG virus	deleted - quarantined
C:\ASUS.DAT .scr	Win32/VB.DG virus	deleted - quarantined
C:\AsusVibeData .scr	Win32/VB.DG virus	deleted - quarantined
C:\Autoexec.bat	Win32/AutoRun.VB.ATY worm	cleaned by deleting - quarantined
C:\Boot .scr	Win32/VB.DG virus	deleted - quarantined
C:\Config.Msi .scr	Win32/VB.DG virus	deleted - quarantined
C:\Documents and Settings .scr	Win32/VB.DG virus	deleted - quarantined
C:\eSupport .scr	Win32/VB.DG virus	deleted - quarantined
C:\found.000 .scr	Win32/VB.DG virus	deleted - quarantined
C:\Intel .scr	Win32/VB.DG virus	deleted - quarantined
C:\MSOCache .scr	Win32/VB.DG virus	deleted - quarantined
C:\NvidiaLogs .scr	Win32/VB.DG virus	deleted - quarantined
C:\PerfLogs .scr	Win32/VB.DG virus	deleted - quarantined
C:\Program Files (x86) .scr	Win32/VB.DG virus	deleted - quarantined
C:\Program Files .scr	Win32/VB.DG virus	deleted - quarantined
C:\ProgramData .scr	Win32/VB.DG virus	deleted - quarantined
C:\Recovery .scr	Win32/VB.DG virus	deleted - quarantined

Comme cela est indiqué sur la FAQ infection par médias amovibles, ces infections se propagent à la simple ouverture de votre média amovible sur l’ordinateur.
Si votre antivirus ne bloque pas l’exécution, le malware s’installe sur votre ordinateur.
Une fois l’ordinateur infecté, lors de chaque utilisation de médias amovibles sur le PC infecté, le malware va s’y copié, afin que lorsque vous utiliserez votre média sur votre ordinateur ce dernier s’infecte.
Win32:VB-EIK saute ainsi d’ordinateurs en ordinateurs pour se propager.

Pour se débarrasser de ces infections, vous devez donc désinfecter l’ordinateur puis nettoyer tous vos médias amovibles.

La procédure suivante vous guide dans la désinfection de votre ordinateur et vous explique comment supprimer Win32:VB-EIK.
Cette procédure est gratuite et efficace et devrait vous permettre de retrouver les données de vos médias amovibles.

Continue reading “Win32:VB-EIK” »

erreur Windows Script HOST bin.doc

Si lorsque vous utilisez votre ordinateur, un message Windows Script Host apparaît :

Windows Script Host
Échec du chargement du script " D:/Bin.doc" ( Le périphérique n'est pas prêt ).

ou en anglais :

Windows script Host :

loading script "D:/bin.doc" failed ( the device is not ready)

Cela signifie que votre ordinateur est infecté par une infection qui se propage par média amovible.
Les infections par médias amovibles se propagent donc à partir de clef USB, disque dur externe etc.
Ils vont remplacer les fichiers du support par des raccourcis, qui lorsque vous cliquez dessus, installent l’infection sur l’ordinateur. Tous les supports amovibles qui seront insérés dans l’ordinateur seront à leur tour infecté.

L’erreur Windows Script Host indique que cette infection utilise le langage VBS, pour plus d’informations sur ces infections, reportez-vous au dossier : Malware par VBS / WSH
Cette infection est donc de type Worm.Autorun.VBS

La procédure complètement gratuite suivante vous explique comment désinfecter votre ordinateur et nettoyer vos médias amovibles.
Cette procédure est gratuite et n’utilise aucun logiciel payant.

Continue reading “erreur Windows Script HOST bin.doc” »

Worm:VBS/Jenxcus!lnk

Worm:VBS/Jenxcus est ver qui vise les médias amovibles (clef USB, disque dur externe, SDCard, iphone etc), le malware va donc se copier sur tous les médias amovibles qui vont être inséré sur l’ordinateur infecté.

Le malware va recopier les fichiers et dossiers en créant des raccourcis d’où le nom LNK qui vont pointer vers le malware, une fois que l’utilisateur va ouvrir son média amovible et qu’il va tenter d’ouvrir ses documents, cela va lancer le malware qui va s’installer sur l’ordinateur et se propager ainsi d’un ordinateur à l’autre.

Voici une détection Worm:VBS/Jenxcus!lnk par Microsoft Security Essentials :

Worm:VBS_Jenxcus

Pour se débarrasser de ce ver Worm:VBS/Jenxcus, vous devez :

  • Désinfecter tous vos PC
  • Désinfecter tous vos médias amovibles qui auraient pu être infectés.
  • Prévenir vos amis qu’ils ont pu avoir leur ordinateur infecté, si vous avez utilisé vos médias amovibles chez eux (ou inversement).

La procédure suivante vous guide dans la désinfection de votre ordinateur et comment supprimer Worm:VBS/Jenxcus

Continue reading “Worm:VBS/Jenxcus!lnk” »