URGENT !!! Reseau infecte par le ransomware JSE

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Absinthe64

URGENT !!! Reseau infecte par le ransomware JSE

par Absinthe64 »

Notre réseau informatique viens d'etre infecté par le ransomware qui crypte les fichiers JSE.
Voici les liens pour les rapports :
https://pjjoint.malekal.com/files.php?i ... m6m9x10z11
https://pjjoint.malekal.com/files.php?i ... 1c7j7y14h8
https://pjjoint.malekal.com/files.php?i ... 5i9d7z7g11

Merci de votre Aide
Avatar de l’utilisateur
angelique
Messages : 31529
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: URGENT !!! Reseau infecte par le ransomware JSE

par angelique »

Bonjour/Bonsoir


SpyHunter et Spyware Doctor sont proposés via de faux blogs de sécurité... Ces faux blogs sont créés par des sociétés affiliées qui multiplient les sites WEB et tentent d'être dans les premiers résultats de Google concernant une des infections présentes sur ton PC.
Ces faux blogs proposent des versions payantes pour soit disant désinfecter son PC, ces sociétés affiliés touchent un % sur la ventes

Ce sont des pratiques douteuses et très limites, et non des méthodes dignes d'antispywares sérieux.
Je te conseille donc de désinstaller SpyHunter et/ou Spyware Doctor présent sur ton PC.

Pour plus d'informations, voir : http://forum.malekal.com/viewtopic.php?f=56&t=12847
  • Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer➫notepad)
    Copie/colle dedans ce qui suit :

    Code : Tout sélectionner

    Task: {5668E0D0-8069-4D00-89C3-46EDBE7B564B} - System32\Tasks\TopLauncher => c:\programdata\{212b9aa2-2cb1-99d3-212b-b9aa22cb6a88}\bentley openplant modeler v8i.rar.exe <==== ATTENTION
    Task: {6FDC60FC-9034-4035-BBDE-DF0D517239A8} - System32\Tasks\{FC1DD714-D9C9-448E-81C0-AE700A2D4A50} => C:\Windows\system32\pcalua.exe -a "C:\Users\bcampillo\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FGUF3VRF\AutodeskDesignRevSetup.exe" -d C:\Users\bcampillo\Desktop
    Task: {7BBEB4B4-BE9D-4926-900B-F51CE9DD19B2} - pas de chemin du fichier
    Task: {CFCE54F9-036F-4FA5-9BFB-C89904111375} - pas de chemin du fichier
    Task: {E77746C0-67E9-4153-BD3C-471BE6C58623} - pas de chemin du fichier
    Task: {F5735083-5E2E-4D39-B8F0-75BE5D8F5FCF} - pas de chemin du fichier
    Task: C:\Windows\Tasks\Chromium.job => C:\Users\SBLANC~1\AppData\Local\Chromium\APPLIC~1\450242~1.0\INSTAL~1\UNINST~1.EXE
    Task: C:\Windows\Tasks\TopLauncher.job => c:\programdata\{212b9aa2-2cb1-99d3-212b-b9aa22cb6a88}\bentley openplant modeler v8i.rar.exe <==== ATTENTION
    c:\programdata\{212b9aa2-2cb1-99d3-212b-b9aa22cb6a88}
    EmptyTemp:
    
    
  • Menu Fichier / Enregistrer-sous
    Place toi sur le bureau.
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur FRST.exe
    Image Sous Vista, Windows 7, 8,10, etc.... il faut lancer le fichier par clic-droit ➫ Exécuter en tant qu'administrateur
    Sur le menu principal, clique une seule fois sur Corriger/Fix et patiente le temps de la correction


    Un redémarrage peut être nécessaire (pas obligatoire).
  • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse avec ton commentaire si c'est mieux !

    essaie le décryptor Nemucod, tout à la fin de cette page : https://www.nomoreransom.org/decryption-tools.html

    Si tu as des backups, c'est mieux car pas certaine que le decryptor soit adapté à ta variante.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique PDT_018 Merci.
Image
Absinthe64

Re: URGENT !!! Reseau infecte par le ransomware JSE

par Absinthe64 »

ok je fait ca ! mais pourquoi me parle tu de spy hunter?
Absinthe64

Re: URGENT !!! Reseau infecte par le ransomware JSE

par Absinthe64 »

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 23-10-2017 01
Exécuté par sblanchier (24-10-2017 14:46:55) Run:1
Exécuté depuis C:\Users\sblanchier\Desktop
Profils chargés: sblanchier (Profils disponibles: sblanchier & BETUDE01)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Task: {5668E0D0-8069-4D00-89C3-46EDBE7B564B} - System32\Tasks\TopLauncher => c:\programdata\{212b9aa2-2cb1-99d3-212b-b9aa22cb6a88}\bentley openplant modeler v8i.rar.exe <==== ATTENTION
Task: {6FDC60FC-9034-4035-BBDE-DF0D517239A8} - System32\Tasks\{FC1DD714-D9C9-448E-81C0-AE700A2D4A50} => C:\Windows\system32\pcalua.exe -a "C:\Users\bcampillo\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FGUF3VRF\AutodeskDesignRevSetup.exe" -d C:\Users\bcampillo\Desktop
Task: {7BBEB4B4-BE9D-4926-900B-F51CE9DD19B2} - pas de chemin du fichier
Task: {CFCE54F9-036F-4FA5-9BFB-C89904111375} - pas de chemin du fichier
Task: {E77746C0-67E9-4153-BD3C-471BE6C58623} - pas de chemin du fichier
Task: {F5735083-5E2E-4D39-B8F0-75BE5D8F5FCF} - pas de chemin du fichier
Task: C:\Windows\Tasks\Chromium.job => C:\Users\SBLANC~1\AppData\Local\Chromium\APPLIC~1\450242~1.0\INSTAL~1\UNINST~1.EXE
Task: C:\Windows\Tasks\TopLauncher.job => c:\programdata\{212b9aa2-2cb1-99d3-212b-b9aa22cb6a88}\bentley openplant modeler v8i.rar.exe <==== ATTENTION
c:\programdata\{212b9aa2-2cb1-99d3-212b-b9aa22cb6a88}
EmptyTemp:
*****************

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{5668E0D0-8069-4D00-89C3-46EDBE7B564B} => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5668E0D0-8069-4D00-89C3-46EDBE7B564B} => clé supprimé(es) avec succès
C:\Windows\System32\Tasks\TopLauncher => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\TopLauncher => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{6FDC60FC-9034-4035-BBDE-DF0D517239A8} => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6FDC60FC-9034-4035-BBDE-DF0D517239A8} => clé supprimé(es) avec succès
C:\Windows\System32\Tasks\{FC1DD714-D9C9-448E-81C0-AE700A2D4A50} => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{FC1DD714-D9C9-448E-81C0-AE700A2D4A50} => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{7BBEB4B4-BE9D-4926-900B-F51CE9DD19B2} => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7BBEB4B4-BE9D-4926-900B-F51CE9DD19B2} => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{CFCE54F9-036F-4FA5-9BFB-C89904111375} => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CFCE54F9-036F-4FA5-9BFB-C89904111375} => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{E77746C0-67E9-4153-BD3C-471BE6C58623} => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E77746C0-67E9-4153-BD3C-471BE6C58623} => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{F5735083-5E2E-4D39-B8F0-75BE5D8F5FCF} => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F5735083-5E2E-4D39-B8F0-75BE5D8F5FCF} => clé supprimé(es) avec succès
C:\Windows\Tasks\Chromium.job => déplacé(es) avec succès
C:\Windows\Tasks\TopLauncher.job => déplacé(es) avec succès
"c:\programdata\{212b9aa2-2cb1-99d3-212b-b9aa22cb6a88}" => non trouvé(e).

=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 34335648 B
Java, Flash, Steam htmlcache => 523 B
Windows/system/drivers => -8082727 B
Edge => 0 B
Chrome => 11692513 B
Avatar de l’utilisateur
angelique
Messages : 31529
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: URGENT !!! Reseau infecte par le ransomware JSE

par angelique »

Absinthe64 a écrit : 24 oct. 2017 14:40 ok je fait ca ! mais pourquoi me parle tu de spy hunter?

Parce qu’il est installé selon le rapport addition.txt :: SpyHunter 4 (HKLM-x32\...\SpyHunter) (Version: 4.28.5.4848 - Enigma Software Group, LLC)

La merdouille était là je pense c:\programdata\{212b9aa2-2cb1-99d3-212b-b9aa22cb6a88}\bentley openplant modeler v8i.rar.exe mais apparemment tu avais déjà viré le dossier car "c:\programdata\{212b9aa2-2cb1-99d3-212b-b9aa22cb6a88}" => non trouvé(e).
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique PDT_018 Merci.
Image
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »