Infection JSE dans serveur Clienty

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Répondre
infonord2
newbie
newbie
Messages : 7
Inscription : 15 nov. 2017 19:15

Infection JSE dans serveur Clienty

Message par infonord2 » 15 nov. 2017 19:18

Bonjour
Comme les autres : Pièce jointe one to one avec winrar !!!!
Station infectée par Ransomware JSE Nemucod.

Voila les trois liens sur les fichiers FRST64

https://pjjoint.malekal.com/files.php?i ... 13l6k12n11
https://pjjoint.malekal.com/files.php?i ... 11x11x6b12
https://pjjoint.malekal.com/files.php?i ... 9f12w11c12

Merci pour l'aide


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87604
Inscription : 10 sept. 2005 13:57
Contact :

Re: Infection JSE dans serveur Clienty

Message par Malekal_morte » 15 nov. 2017 19:28

Salut,

Rapports corrects
Faudrait vérifier la session ISABELLE et refaire un scan FRST depuis celle-ci.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

infonord2
newbie
newbie
Messages : 7
Inscription : 15 nov. 2017 19:15

Re: Infection JSE dans serveur Clienty

Message par infonord2 » 15 nov. 2017 19:46

le scan a été fait avec sa cession, elle est administrateur de la station

infonord2
newbie
newbie
Messages : 7
Inscription : 15 nov. 2017 19:15

Re: Infection JSE dans serveur Clienty

Message par infonord2 » 15 nov. 2017 19:47

Question : Dans les rapport on cherche bien un .jse ?

Merci,; merci (j'avais oublié !)

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87604
Inscription : 10 sept. 2005 13:57
Contact :

Re: Infection JSE dans serveur Clienty

Message par Malekal_morte » 15 nov. 2017 19:53

oui dans le dossier startup de la session infectée, voir : Ransomware JSE Nemucod.
Donc si c'est ISABELLE qui a lancé le ransomware et que tu scans avec la session administrateur, sur FRST, on verra rien.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


infonord2
newbie
newbie
Messages : 7
Inscription : 15 nov. 2017 19:15

Re: Infection JSE dans serveur Clienty

Message par infonord2 » 15 nov. 2017 19:56

J'ai scanné avec sa cession.
Je suis connecté en Isabelle sur la station, accès via Active Directory OK
Et Isabelle de l'AD est administrateur de la station
Merci

infonord2
newbie
newbie
Messages : 7
Inscription : 15 nov. 2017 19:15

Re: Infection JSE dans serveur Clienty

Message par infonord2 » 15 nov. 2017 20:13

J'ai vérifié les deux cessions, pas de .jse dans

C:\Users\dos-santos\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

C:\Users\administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87604
Inscription : 10 sept. 2005 13:57
Contact :

Re: Infection JSE dans serveur Clienty

Message par Malekal_morte » 15 nov. 2017 20:20

alors il n'est plus actif ou cet ordinateur n'est pas la source.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

infonord2
newbie
newbie
Messages : 7
Inscription : 15 nov. 2017 19:15

Re: Infection JSE dans serveur Clienty

Message par infonord2 » 15 nov. 2017 20:29

que pensez vous de la ligne qui trouve un certain : "skype_upd.jse"

https://pjjoint.malekal.com/files.php?i ... 11x15p13p8
https://pjjoint.malekal.com/files.php?i ... 14s10w12y5
https://pjjoint.malekal.com/files.php?i ... 1u15y15s10

pensez vous que lorsque l'ont clic sur un des fichier infecté et renommé en .jse" , cela propage le probleme en déposant a son tour un Jse dans le menu démarré ?

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 27732
Inscription : 28 févr. 2008 14:58
Localisation : Breizhilienne à l' 0u3st
Contact :

Re: Infection JSE dans serveur Clienty

Message par angelique » 15 nov. 2017 21:00

HKU\S-1-5-21-276139390-3010854410-1837749990-1662\...\StartupApproved\StartupFolder: => "skype_upd.jse"

le ssid S-1-5-21-276139390-3010854410-1837749990-1662 a du se rendre compte d'un truc malsain et l'a désactivé du démarrage via exécuter➯msconfig

exécuter➯regedit
HKU\S-1-5-21-276139390-3010854410-1837749990-1662\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder

tu devrais y voir skype_upd.jse clic droit supp. mais c'est pas néfaste en lui même
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!
Image
---------------------------------------------------------------------------------------------------------------------
ZIK.:: R00tsL3gacy Reggae141.com
ZIK.:: LaGr0sseRadi0

infonord2
newbie
newbie
Messages : 7
Inscription : 15 nov. 2017 19:15

Re: Infection JSE dans serveur Clienty

Message par infonord2 » 15 nov. 2017 21:10

oui le truc malsain c'est moi qui l'avait reperé en début d'apres midi, donc je l'avais juste désactivé au démarrage "au cas ou".
ça confirme beaucoups de choses.
Le net et moi même avons à de la chance de vous avoir en tout cas.
Petite question : pour supprimer tous les fichier qui se termine en .jse, si je les supprime à la main sans passer par l'utilitaire de réparation FRST, tout est OK ?

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 27732
Inscription : 28 févr. 2008 14:58
Localisation : Breizhilienne à l' 0u3st
Contact :

Re: Infection JSE dans serveur Clienty

Message par angelique » 15 nov. 2017 21:17

.jse sont les fichiers qui ont été cryptés, si pas nécessaire oui.

Régulièrement certains outils sont développé mais pas toujours à jour selon l’avancé ➯ https://www.nomoreransom.org/fr/decrypt ... NemucodAES

Je laisserais Malekal te répondre car pour moi quand une machine a été compromise, je la formate !!! c'est la base sachant que n'importe quoi, backdoor ont pu être posé.
Pour moi c'est compromis donc format.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!
Image
---------------------------------------------------------------------------------------------------------------------
ZIK.:: R00tsL3gacy Reggae141.com
ZIK.:: LaGr0sseRadi0


Répondre

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 20 invités