meridian-shaft Jump to content
Forums

Pc portable acer g7 infecte par babyk


Recommended Posts

Hello

Bienvenue à vous sur le Forum LeCrabe.net

Suivant les disponibilités, @Longaripa vous prendra en charge sinon je le ferai..


En attendant :

Pour gagner du temps faites ce qui est indiqué sur cette page:

Désinfection - Faire en Premier ZHPSuite + FRST --> https://community.lecrabeinfo.net/blogs/entry/92-désinfection-faire-en-premier-zhpsuite-frst/


Donc mon conseil pour bien démarrer une désinfection, je vous conseille de terminer celle-ci jusqu’à la fin et au moment ou on vous le dira.


 Christian-S

Edited by Christian-S
  • J'aime 1
Link to comment

Bonjour 

Je regarde vos rapports. 

Postez le fichier : How To Restore Your Files.txt

Est-ce vous qui avez configuré un proxy ? 
 

En attendant, j'ai vu qu'il y a beaucoup d'antivirus installés et aucun actifs.
 

AV: Panda Dome (Disabled - Up to date) {8EE5B6CC-D555-4755-164C-336E561DE601}
AV: Kaspersky Total Security (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
AV: Avast Antivirus (Disabled - Up to date) {EB19B86E-3998-C706-90EF-92B41EB091AF}
AS: Panda Dome (Disabled - Up to date) {35845728-F36F-48DB-2CFC-081C2D9AACBC}
AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: Kaspersky Total Security (Disabled - Up to date) {F41710F6-65D1-4F66-2B68-CCCF63D4A09E}
AS: Avast Antivirus (Disabled - Up to date) {5078598A-1FA2-C888-AA5F-A9C66537DB12}
FW: Kaspersky Total Security (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58}

 

Désinstallez

Panda Dome

Kaspersky Total Security 

Avast Antivirus 

ScanGuard

Puis, après redémarrage,  refaites les analyses et postez les rapports.

Link to comment

Bonjour 

Tout d'abord, il est préférable de regrouper les liens vers les rapports dans une seule réponse, c'est plus facile à traiter. 

Correction avec FRST

Copier la totalité du contenu, ( Sélectionner  tout -> Copier) de ce correctif hébergé ici -> https://textup.fr/635443ZB

Faites uniquement "copier" pour mettre le texte dans le presse-papier, inutile de coller 

Lancez FRST en tant qu'administrateur par click droit
Cliquez sur "corriger" 

Patientez
Une fois le système redémarré, postez le rapport : fixlog.txt

Par la suite, on essaiera de regarder pour les fichiers cryptés, sans trop d'espoir .... 

Link to comment

bonjour et merci encore pour votre aide, si j'ai bien tout compris je copie la totalité du contenu heberge sur textup je suppose qu en lancant frst sur corriger il va utiliser ce correctif pas besoin de le coller ou lui donner le chambin d'acces

Link to comment

Bonjour 

Le script a  fait du bon nettoyage. 

 - Vu qu'on a désinstallé tous les antivirus, il serait souhaitable d'en installer un.
Mais UN SEUL. Au choix. 

 - Si vous créez maintenant un fichier xls, ou doc, est-ce qu'il se crypte encore ? 

 - Avast a publié un outil de décryptage, qui peut fonctionner dans certains cas.
Essayez le 

https://www.bleepingcomputer.com/news/security/babuk-ransomware-decryptor-released-to-recover-files-for-free/

Des infos complémentaires

https://www.bleepingcomputer.com/forums/t/754087/babuck-locker-help-and-support-topic-babyk-how-to-restore-your-filestxt/?hl=%2Bbabyk#entry5302414

Edited by Longaripa
Link to comment

bonjour, j'ai reinstallé avast par contre l'outil de decrytpage n'a pas fonctionné, j'ai cree un fichier excell il n'as pas ete crypté.

il y a un truc etrange sur mes partitions de sauvegardes et outils hp

il y a des fichiers cryptés babyk

sur la partition recovery il y a :

bootsqm.dat.babyk

HP_WSD.dat.babyk

HPSF_Rep.txt.babyk

RMCStatus.bin.babyk

sur partition hp outils

quasiment tous les fichiers ont une extension babyk

 

qu'est ce vous en pensez

 

merci

 

 

Link to comment

A mon avis, sauf erreur, il n'y a rien a faire pour le moment pour récupérer les fichiers.
Le ransomware crypte les fichiers selon les extensions, c'est pour cela qu'il y en a un peu partout.

Je pense qu'il n'est plus actif.
Vous pouvez stocker des fichiers cryptés quelque part au cas où il soit possible de les décrypter dans le futur.

Vous pouvez envoyer un exemplaire de fichier crypté, ainsi que le texte qu'ils ont mis (how to restore ....) ici :
https://id-ransomware.malwarehunterteam.com/index.php?lang=en_US

Cela permettrait de confirmer la version du ransomware qui a sévi.
 

Comment fonctionne le PC maintenant ? 

 

EDIT

refaites les analyses et postez les rapports, pour voir si il n'y a rien qui trainerait... 

Edited by Longaripa
  • J'aime 1
  • Plusser (+1) 1
Link to comment
Guest
This topic is now closed to further replies.
  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...