Pc portable acer g7 infecte par babyk

[Djil12]

Bonjour quelqu' connaît t il la façon de supprimer le ransonware babyk 

[Christian-S]

Hello

Bienvenue à vous sur le Forum LeCrabe.net

Suivant les disponibilités, @Longaripa vous prendra en charge sinon je le ferai..

En attendant :

Pour gagner du temps faites ce qui est indiqué sur cette page:

Désinfection - Faire en Premier ZHPSuite + FRST --> https://community.lecrabeinfo.net/blogs/entry/92-désinfection-faire-en-premier-zhpsuite-frst/

Donc mon conseil pour bien démarrer une désinfection, je vous conseille de terminer celle-ci jusqu’à la fin et au moment ou on vous le dira.

 Christian-S

Edited June 16 by Christian-S

[Djil12]

Ok merci

[Djil12]

https://www.cjoint.com/c/LFrfcMBmhKS

https://www.cjoint.com/c/LFrfIC8zrrS

https://www.cjoint.com/c/LFrfLho1pkS

[Longaripa]

Bonjour 

Je regarde vos rapports. 

Postez le fichier : How To Restore Your Files.txt

Est-ce vous qui avez configuré un proxy ? 
 

En attendant, j'ai vu qu'il y a beaucoup d'antivirus installés et aucun actifs.
 

AV: Panda Dome (Disabled - Up to date) {8EE5B6CC-D555-4755-164C-336E561DE601}
AV: Kaspersky Total Security (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
AV: Avast Antivirus (Disabled - Up to date) {EB19B86E-3998-C706-90EF-92B41EB091AF}
AS: Panda Dome (Disabled - Up to date) {35845728-F36F-48DB-2CFC-081C2D9AACBC}
AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: Kaspersky Total Security (Disabled - Up to date) {F41710F6-65D1-4F66-2B68-CCCF63D4A09E}
AS: Avast Antivirus (Disabled - Up to date) {5078598A-1FA2-C888-AA5F-A9C66537DB12}
FW: Kaspersky Total Security (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58}

 

Désinstallez : 

Panda Dome

Kaspersky Total Security 

Avast Antivirus 

ScanGuard

Puis, après redémarrage,  refaites les analyses et postez les rapports.

[Djil12]

Bonjour je n ai pas configuré de proxi pour les antivirus quand j ai vu qu' il y avait un problème j ai essayé de façon basique de scanner avec les antivirus dispo

[Djil12]

https://www.cjoint.com/c/LFse4Uyu5HS

https://www.cjoint.com/c/LFsfpD3dFES
https://www.cjoint.com/c/LFsfos4eXVS
https://www.cjoint.com/c/LFse6wXQd0S

Edited June 18 by Delta

[Longaripa]

Bonjour 

Tout d'abord, il est préférable de regrouper les liens vers les rapports dans une seule réponse, c'est plus facile à traiter. 

Correction avec FRST : 

Copier la totalité du contenu, ( Sélectionner  tout -> Copier) de ce correctif hébergé ici -> https://textup.fr/635443ZB

Faites uniquement "copier" pour mettre le texte dans le presse-papier, inutile de coller 

Lancez FRST en tant qu'administrateur par click droit
Cliquez sur "corriger" 

Patientez
Une fois le système redémarré, postez le rapport : fixlog.txt

Par la suite, on essaiera de regarder pour les fichiers cryptés, sans trop d'espoir .... 

[Delta]

Il y a 5 heures, Longaripa a dit :

Tout d'abord, il est préférable de regrouper les liens vers les rapports dans une seule réponse, c'est plus facile à traiter. 

réalisation effectué @Longaripa 

[Djil12]

bonjour et merci encore pour votre aide, si j'ai bien tout compris je copie la totalité du contenu heberge sur textup je suppose qu en lancant frst sur corriger il va utiliser ce correctif pas besoin de le coller ou lui donner le chambin d'acces

[Longaripa]

Re

C'est tout à fait cela.  

 

Merci @Delta

Edited June 18 by Longaripa

[Djil12]

bonsoir après correction et redemarrage il me note Terminal failure unable to open file "C:\HP\data\HPLB\HPLBHP.DAT" for read

fixlog.txt avant redemarage

https://www.cjoint.com/c/LFstRWoPAuS

[Djil12]

pour info le virus m'a rajouté comme extension ceci : .~lock.PLANNING juin juillet aout 2020 final.xls#.leex.babyk

[Longaripa]

Bonjour 

Le script a  fait du bon nettoyage. 

 - Vu qu'on a désinstallé tous les antivirus, il serait souhaitable d'en installer un.
Mais UN SEUL. Au choix. 

 - Si vous créez maintenant un fichier xls, ou doc, est-ce qu'il se crypte encore ? 

 - Avast a publié un outil de décryptage, qui peut fonctionner dans certains cas.
Essayez le 

https://www.bleepingcomputer.com/news/security/babuk-ransomware-decryptor-released-to-recover-files-for-free/

Des infos complémentaires : 

https://www.bleepingcomputer.com/forums/t/754087/babuck-locker-help-and-support-topic-babyk-how-to-restore-your-filestxt/?hl=%2Bbabyk#entry5302414

Edited June 19 by Longaripa

[Djil12]

bonjour, j'ai reinstallé avast par contre l'outil de decrytpage n'a pas fonctionné, j'ai cree un fichier excell il n'as pas ete crypté.

il y a un truc etrange sur mes partitions de sauvegardes et outils hp

il y a des fichiers cryptés babyk

sur la partition recovery il y a :

bootsqm.dat.babyk

HP_WSD.dat.babyk

HPSF_Rep.txt.babyk

RMCStatus.bin.babyk

sur partition hp outils

quasiment tous les fichiers ont une extension babyk

 

qu'est ce vous en pensez

 

merci

 

 

[Longaripa]

A mon avis, sauf erreur, il n'y a rien a faire pour le moment pour récupérer les fichiers.
Le ransomware crypte les fichiers selon les extensions, c'est pour cela qu'il y en a un peu partout.

Je pense qu'il n'est plus actif.
Vous pouvez stocker des fichiers cryptés quelque part au cas où il soit possible de les décrypter dans le futur.

Vous pouvez envoyer un exemplaire de fichier crypté, ainsi que le texte qu'ils ont mis (how to restore ....) ici :
https://id-ransomware.malwarehunterteam.com/index.php?lang=en_US

Cela permettrait de confirmer la version du ransomware qui a sévi.
 

Comment fonctionne le PC maintenant ? 

 

EDIT : 

refaites les analyses et postez les rapports, pour voir si il n'y a rien qui trainerait... 

Edited June 19 by Longaripa

[Djil12]

pour l instant il a l air de mieux fonctionner a voir a l utilisation en tous cas merci pour le temps consacré a regler mon problème

[Longaripa]

Bonjour 

Vous pourriez refaire les analyses et poster les rapports, pour confirmer ? 

Ensuite, on supprimera les outils pour faire propre.