Infection JSE dans serveur Clienty

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

infonord2

Infection JSE dans serveur Clienty

par infonord2 »

Bonjour
Comme les autres : Pièce jointe one to one avec winrar !!!!
Station infectée par Ransomware JSE Nemucod.

Voila les trois liens sur les fichiers FRST64

https://pjjoint.malekal.com/files.php?i ... 13l6k12n11
https://pjjoint.malekal.com/files.php?i ... 11x11x6b12
https://pjjoint.malekal.com/files.php?i ... 9f12w11c12

Merci pour l'aide
Malekal_morte
Messages : 112133
Inscription : 10 sept. 2005 13:57

Re: Infection JSE dans serveur Clienty

par Malekal_morte »

Salut,

Rapports corrects
Faudrait vérifier la session ISABELLE et refaire un scan FRST depuis celle-ci.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
infonord2

Re: Infection JSE dans serveur Clienty

par infonord2 »

le scan a été fait avec sa cession, elle est administrateur de la station
infonord2

Re: Infection JSE dans serveur Clienty

par infonord2 »

Question : Dans les rapport on cherche bien un .jse ?

Merci,; merci (j'avais oublié !)
Malekal_morte
Messages : 112133
Inscription : 10 sept. 2005 13:57

Re: Infection JSE dans serveur Clienty

par Malekal_morte »

oui dans le dossier startup de la session infectée, voir : Ransomware JSE Nemucod.
Donc si c'est ISABELLE qui a lancé le ransomware et que tu scans avec la session administrateur, sur FRST, on verra rien.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
infonord2

Re: Infection JSE dans serveur Clienty

par infonord2 »

J'ai scanné avec sa cession.
Je suis connecté en Isabelle sur la station, accès via Active Directory OK
Et Isabelle de l'AD est administrateur de la station
Merci
infonord2

Re: Infection JSE dans serveur Clienty

par infonord2 »

J'ai vérifié les deux cessions, pas de .jse dans

C:\Users\dos-santos\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

C:\Users\administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Malekal_morte
Messages : 112133
Inscription : 10 sept. 2005 13:57

Re: Infection JSE dans serveur Clienty

par Malekal_morte »

alors il n'est plus actif ou cet ordinateur n'est pas la source.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
infonord2

Re: Infection JSE dans serveur Clienty

par infonord2 »

que pensez vous de la ligne qui trouve un certain : "skype_upd.jse"

https://pjjoint.malekal.com/files.php?i ... 11x15p13p8
https://pjjoint.malekal.com/files.php?i ... 14s10w12y5
https://pjjoint.malekal.com/files.php?i ... 1u15y15s10

pensez vous que lorsque l'ont clic sur un des fichier infecté et renommé en .jse" , cela propage le probleme en déposant a son tour un Jse dans le menu démarré ?
Avatar de l’utilisateur
angelique
Messages : 31514
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Infection JSE dans serveur Clienty

par angelique »

HKU\S-1-5-21-276139390-3010854410-1837749990-1662\...\StartupApproved\StartupFolder: => "skype_upd.jse"

le ssid S-1-5-21-276139390-3010854410-1837749990-1662 a du se rendre compte d'un truc malsain et l'a désactivé du démarrage via exécuter➯msconfig

exécuter➯regedit
HKU\S-1-5-21-276139390-3010854410-1837749990-1662\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder

tu devrais y voir skype_upd.jse clic droit supp. mais c'est pas néfaste en lui même
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Image
infonord2

Re: Infection JSE dans serveur Clienty

par infonord2 »

oui le truc malsain c'est moi qui l'avait reperé en début d'apres midi, donc je l'avais juste désactivé au démarrage "au cas ou".
ça confirme beaucoups de choses.
Le net et moi même avons à de la chance de vous avoir en tout cas.
Petite question : pour supprimer tous les fichier qui se termine en .jse, si je les supprime à la main sans passer par l'utilitaire de réparation FRST, tout est OK ?
Avatar de l’utilisateur
angelique
Messages : 31514
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Infection JSE dans serveur Clienty

par angelique »

.jse sont les fichiers qui ont été cryptés, si pas nécessaire oui.

Régulièrement certains outils sont développé mais pas toujours à jour selon l’avancé ➯ Decrypt Tools pour les ransomwares

Je laisserais Malekal te répondre car pour moi quand une machine a été compromise, je la formate !!! c'est la base sachant que n'importe quoi, backdoor ont pu être posé.
Pour moi c'est compromis donc format.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Image
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »