Bonjour
Comme les autres : Pièce jointe one to one avec winrar !!!!
Station infectée par Ransomware JSE Nemucod.
Voila les trois liens sur les fichiers FRST64
https://pjjoint.malekal.com/files.php?i ... 13l6k12n11
https://pjjoint.malekal.com/files.php?i ... 11x11x6b12
https://pjjoint.malekal.com/files.php?i ... 9f12w11c12
Merci pour l'aide
Infection JSE dans serveur Clienty
Modérateurs : Mods Windows, Helper
- Messages : 114088
- Inscription : 10 sept. 2005 13:57
Re: Infection JSE dans serveur Clienty
Salut,
Rapports corrects
Faudrait vérifier la session ISABELLE et refaire un scan FRST depuis celle-ci.
Rapports corrects
Faudrait vérifier la session ISABELLE et refaire un scan FRST depuis celle-ci.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Re: Infection JSE dans serveur Clienty
le scan a été fait avec sa cession, elle est administrateur de la station
Re: Infection JSE dans serveur Clienty
Question : Dans les rapport on cherche bien un .jse ?
Merci,; merci (j'avais oublié !)
Merci,; merci (j'avais oublié !)
- Messages : 114088
- Inscription : 10 sept. 2005 13:57
Re: Infection JSE dans serveur Clienty
oui dans le dossier startup de la session infectée, voir : Ransomware JSE Nemucod.
Donc si c'est ISABELLE qui a lancé le ransomware et que tu scans avec la session administrateur, sur FRST, on verra rien.
Donc si c'est ISABELLE qui a lancé le ransomware et que tu scans avec la session administrateur, sur FRST, on verra rien.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Re: Infection JSE dans serveur Clienty
J'ai scanné avec sa cession.
Je suis connecté en Isabelle sur la station, accès via Active Directory OK
Et Isabelle de l'AD est administrateur de la station
Merci
Je suis connecté en Isabelle sur la station, accès via Active Directory OK
Et Isabelle de l'AD est administrateur de la station
Merci
Re: Infection JSE dans serveur Clienty
J'ai vérifié les deux cessions, pas de .jse dans
C:\Users\dos-santos\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
C:\Users\administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
C:\Users\dos-santos\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
C:\Users\administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
- Messages : 114088
- Inscription : 10 sept. 2005 13:57
Re: Infection JSE dans serveur Clienty
alors il n'est plus actif ou cet ordinateur n'est pas la source.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Re: Infection JSE dans serveur Clienty
que pensez vous de la ligne qui trouve un certain : "skype_upd.jse"
https://pjjoint.malekal.com/files.php?i ... 11x15p13p8
https://pjjoint.malekal.com/files.php?i ... 14s10w12y5
https://pjjoint.malekal.com/files.php?i ... 1u15y15s10
pensez vous que lorsque l'ont clic sur un des fichier infecté et renommé en .jse" , cela propage le probleme en déposant a son tour un Jse dans le menu démarré ?
https://pjjoint.malekal.com/files.php?i ... 11x15p13p8
https://pjjoint.malekal.com/files.php?i ... 14s10w12y5
https://pjjoint.malekal.com/files.php?i ... 1u15y15s10
pensez vous que lorsque l'ont clic sur un des fichier infecté et renommé en .jse" , cela propage le probleme en déposant a son tour un Jse dans le menu démarré ?
- Messages : 32084
- Inscription : 28 févr. 2008 13:58
- Localisation : Breizhilienne
Re: Infection JSE dans serveur Clienty
HKU\S-1-5-21-276139390-3010854410-1837749990-1662\...\StartupApproved\StartupFolder: => "skype_upd.jse"
le ssid S-1-5-21-276139390-3010854410-1837749990-1662 a du se rendre compte d'un truc malsain et l'a désactivé du démarrage via exécuter➯msconfig
exécuter➯regedit
HKU\S-1-5-21-276139390-3010854410-1837749990-1662\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder
tu devrais y voir skype_upd.jse clic droit supp. mais c'est pas néfaste en lui même
le ssid S-1-5-21-276139390-3010854410-1837749990-1662 a du se rendre compte d'un truc malsain et l'a désactivé du démarrage via exécuter➯msconfig
exécuter➯regedit
HKU\S-1-5-21-276139390-3010854410-1837749990-1662\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder
tu devrais y voir skype_upd.jse clic droit supp. mais c'est pas néfaste en lui même
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique
Merci.
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique
Merci.Re: Infection JSE dans serveur Clienty
oui le truc malsain c'est moi qui l'avait reperé en début d'apres midi, donc je l'avais juste désactivé au démarrage "au cas ou".
ça confirme beaucoups de choses.
Le net et moi même avons à de la chance de vous avoir en tout cas.
Petite question : pour supprimer tous les fichier qui se termine en .jse, si je les supprime à la main sans passer par l'utilitaire de réparation FRST, tout est OK ?
ça confirme beaucoups de choses.
Le net et moi même avons à de la chance de vous avoir en tout cas.
Petite question : pour supprimer tous les fichier qui se termine en .jse, si je les supprime à la main sans passer par l'utilitaire de réparation FRST, tout est OK ?
- Messages : 32084
- Inscription : 28 févr. 2008 13:58
- Localisation : Breizhilienne
Re: Infection JSE dans serveur Clienty
.jse sont les fichiers qui ont été cryptés, si pas nécessaire oui.
Régulièrement certains outils sont développé mais pas toujours à jour selon l’avancé ➯ Decrypt Tools pour les ransomwares
Je laisserais Malekal te répondre car pour moi quand une machine a été compromise, je la formate !!! c'est la base sachant que n'importe quoi, backdoor ont pu être posé.
Pour moi c'est compromis donc format.
Régulièrement certains outils sont développé mais pas toujours à jour selon l’avancé ➯ Decrypt Tools pour les ransomwares
Je laisserais Malekal te répondre car pour moi quand une machine a été compromise, je la formate !!! c'est la base sachant que n'importe quoi, backdoor ont pu être posé.
Pour moi c'est compromis donc format.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique Merci.
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique
Merci.-
- Sujets similaires
- Réponses
- Vues
- Dernier message
-
- 6 Réponses
- 81 Vues
-
Dernier message par smokiemamours
-
- 20 Réponses
- 345 Vues
-
Dernier message par Malekal_morte
-
- 3 Réponses
- 219 Vues
-
Dernier message par Malekal_morte
-
- 26 Réponses
- 616 Vues
-
Dernier message par Parisien_entraide
-
- 13 Réponses
- 157 Vues
-
Dernier message par gwenagan