Script fichiers pdf en jse

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Répondre
Divxaka
newbie
newbie
Messages : 5
Inscription : 05 oct. 2017 08:04

Script fichiers pdf en jse

Message par Divxaka » 05 oct. 2017 08:32

Bonjour,

J'ai un serveur Windows 2012 R2 Standard qui est infecté par un "virus" (trojan ou autre) défini par Kaspersky comme étant un:
cheval de Troie Trojan.JS.Agent.dzz
Cela me crypte et modifie les extensions de fichiers pdf en jse et se répand via le réseau.
Je pense que cela vient d'une pièce jointe d'un mail.
J'ai téléchargé FRST et suivi votre tuto

Voici les 3 rapports générés par FRST:
https://pjjoint.malekal.com/files.php?i ... 9r10w10y14
https://pjjoint.malekal.com/files.php?i ... 15j9i10l12
https://pjjoint.malekal.com/files.php?i ... i713n15e12

Cordialement,


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87319
Inscription : 10 sept. 2005 13:57
Contact :

Re: Script fichiers pdf en jse

Message par Malekal_morte » 05 oct. 2017 10:12

Salut,

Il s'agit du Ransomware JSE Nemucod.
oui par des mails 1&1 fausse facture à priori :

Code : Tout sélectionner

Bonjour, 

Vous trouverez ci-joint le fichier PDF contenant la facture de 782.21 EUR TTC de votre contrat 48512667. 

Afin de visualiser les fichiers PDF, vous pouvez utiliser l'outil Adobe Reader téléchargeable gratuitement depuis le site Web d'Adobe 

Vous avez choisi le paiement par prélèvement automatique. 

Nous vous informons que le compte bancaire renseigné sera automatiquement prélevé du montant de cette facture dans les prochains jours. 

Remarque : 
Si le montant de la facture est négatif, c'est qu'il s'agit d'un avoir qui vous sera remboursé via votre mode de paiement. 

Cordialement, 

Service Client 1&1 Internet SARL 
Sylvain Lebedel 
Responsable Relation Client

Il se lance par une clé Startup lié au profil, donc faut identifier le profil touché.
Actuellement :
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\nuke.jse [2017-10-02] ()
Or tu as fait l'analyse FRST avec l'utilisateur supervisor, il faut vérifier les autres sessions : stagiaires, stagiaires et formateur.

Trojan.JS.Agent.dzz est détecté dans quel fichier ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Divxaka
newbie
newbie
Messages : 5
Inscription : 05 oct. 2017 08:04

Re: Script fichiers pdf en jse

Message par Divxaka » 05 oct. 2017 11:06

Merci de ta réponse rapide

En effet il s'agit bien d'un faux mail 1&1 et un stagiaire a ouvert le fichier rar en PJ. J'ai supprimé le mail.

Concernant les sessions, il n'y a que supervisor qui se logue sur le serveur en session, les autres comptes formateur, stagiaires qui existent sur le serveur ne servent que pour les droits en accès sur les dossiers partagés. Les users se connectent depuis des pc sur le réseau et uniquement via des lecteurs mappés sur le serveur.

Je vais faire l'analyse FRST avec chaque session utilisateur sur le serveur quand même au cas où que je posterai dès que fini.

Concernant le Trojan.JS.Agent.dzz détecté, il apparait dans des fichiers modifiés en .jse

Cordialement,

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87319
Inscription : 10 sept. 2005 13:57
Contact :

Re: Script fichiers pdf en jse

Message par Malekal_morte » 05 oct. 2017 11:48

Et il l'a ouvert de son ordinateur ?
Car si c'est le cas, c'est cet ordinateur qui doit chiffrer les documents à travers les partages.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.



Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87319
Inscription : 10 sept. 2005 13:57
Contact :

Re: Script fichiers pdf en jse

Message par Malekal_morte » 05 oct. 2017 15:00

Les deux sont infectés.
Passe cette correction.

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
Startup: C:\Users\stagiaires-eep\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\nuke.jse [2017-10-03] ()
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Divxaka
newbie
newbie
Messages : 5
Inscription : 05 oct. 2017 08:04

Re: Script fichiers pdf en jse

Message par Divxaka » 05 oct. 2017 15:34

Voici le Fixlog.txt créé après le corriger.

PC613:

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 03-10-2017 01
Exécuté par stagiaires-eep (05-10-2017 15:22:54) Run:1
Exécuté depuis C:\Users\stagiaires-eep\Desktop
Profils chargés: stagiaires-eep (Profils disponibles: formateur & stagiaires & stagiaires-eep)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
Startup: C:\Users\stagiaires-eep\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\nuke.jse [2017-10-03] ()
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:

*****************

Erreur: (0) Impossible de créer un point de restauration.
Processus fermé avec succès.
C:\Users\stagiaires-eep\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\nuke.jse => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-749798571-3740760672-2176281509-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-749798571-3740760672-2176281509-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 7364608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 35205017 B
Java, Flash, Steam htmlcache => 558 B
Windows/system/drivers => 14472013 B
Edge => 391355214 B
Chrome => 0 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 128 B
systemprofile32 => 128 B
LocalService => 0 B
NetworkService => 103118 B
formateur => 2182488 B
stagiaires => 13727377 B
stagiaires-eep => 302157231 B

RecycleBin => 28299 B
EmptyTemp: => 731.1 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 15:23:51 ====

=================================================================================
=================================================================================

PC615:

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 03-10-2017 01
Exécuté par stagiaires-eep (05-10-2017 15:09:42) Run:1
Exécuté depuis C:\Users\stagiaires-eep\Desktop
Profils chargés: stagiaires-eep (Profils disponibles: formateur & stagiaires & stagiaires-eep)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
Startup: C:\Users\stagiaires-eep\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\nuke.jse [2017-10-03] ()
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:

*****************

Erreur: (0) Impossible de créer un point de restauration.
Processus fermé avec succès.
C:\Users\stagiaires-eep\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\nuke.jse => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-749798571-3740760672-2176281509-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-749798571-3740760672-2176281509-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 7364608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 32070043 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 14077093 B
Edge => 416819668 B
Chrome => 0 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 128 B
systemprofile32 => 128 B
LocalService => 0 B
NetworkService => 108274 B
formateur => 2182488 B
stagiaires => 13727377 B
stagiaires-eep => 378216249 B

RecycleBin => 0 B
EmptyTemp: => 824.5 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 15:10:49 ====

Cordialement,

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87319
Inscription : 10 sept. 2005 13:57
Contact :

Re: Script fichiers pdf en jse

Message par Malekal_morte » 05 oct. 2017 17:15

ok bien, vois s'il y a du mieux =)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Divxaka
newbie
newbie
Messages : 5
Inscription : 05 oct. 2017 08:04

Re: Script fichiers pdf en jse

Message par Divxaka » 05 oct. 2017 19:10

Un grand merci, tout semble rentré dans l'ordre pour les 2 PC infectés.

Me reste plus qu' à restaurer quelques 33000 fichiers PDF sur le serveur qui ont été cryptés avec remplacement de l'extension en jse.

Encore merci et au plaisir :)

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87319
Inscription : 10 sept. 2005 13:57
Contact :

Re: Script fichiers pdf en jse

Message par Malekal_morte » 05 oct. 2017 20:54

Bon courage \o
Ca va prendre du temps =)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

tofinger
Messages : 2
Inscription : 20 oct. 2017 10:01

Re: Script fichiers pdf en jse

Message par tofinger » 20 oct. 2017 10:06

Divxaka a écrit :
05 oct. 2017 19:10
Un grand merci, tout semble rentré dans l'ordre pour les 2 PC infectés.

Me reste plus qu' à restaurer quelques 33000 fichiers PDF sur le serveur qui ont été cryptés avec remplacement de l'extension en jse.

Encore merci et au plaisir :)
Bonjour, j'ai eu le même problème sur un PC qui a infecté tout un petit réseau d'entreprise.
Quelle est la méthode pour restaurer si possible les fichiers en *.jse ?
Merci d'avance...

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87319
Inscription : 10 sept. 2005 13:57
Contact :

Re: Script fichiers pdf en jse

Message par Malekal_morte » 20 oct. 2017 11:02

Pour le moment, il n'y en a pas.
Se tenir au courant avec cette fiche : Liste des DecryptTools pour les ransomwares
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

tofinger
Messages : 2
Inscription : 20 oct. 2017 10:01

Re: Script fichiers pdf en jse

Message par tofinger » 24 oct. 2017 20:36

Bon ok, merci pour le lien


Répondre

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 23 invités