Aller au contenu
Site Communauté

Pc portable acer g7 infecte par babyk


Messages recommandés

Hello

Bienvenue à vous sur le Forum LeCrabe.net

Suivant les disponibilités, @Longaripa vous prendra en charge sinon je le ferai..


En attendant :

Pour gagner du temps faites ce qui est indiqué sur cette page:

Désinfection - Faire en Premier ZHPSuite + FRST --> https://community.lecrabeinfo.net/blogs/entry/92-désinfection-faire-en-premier-zhpsuite-frst/


Donc mon conseil pour bien démarrer une désinfection, je vous conseille de terminer celle-ci jusqu’à la fin et au moment ou on vous le dira.


 Christian-S

Modifié par Christian-S
  • J'aime 1
Lien vers le commentaire

Bonjour 

Je regarde vos rapports. 

Postez le fichier : How To Restore Your Files.txt

Est-ce vous qui avez configuré un proxy ? 
 

En attendant, j'ai vu qu'il y a beaucoup d'antivirus installés et aucun actifs.
 

AV: Panda Dome (Disabled - Up to date) {8EE5B6CC-D555-4755-164C-336E561DE601}
AV: Kaspersky Total Security (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
AV: Avast Antivirus (Disabled - Up to date) {EB19B86E-3998-C706-90EF-92B41EB091AF}
AS: Panda Dome (Disabled - Up to date) {35845728-F36F-48DB-2CFC-081C2D9AACBC}
AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: Kaspersky Total Security (Disabled - Up to date) {F41710F6-65D1-4F66-2B68-CCCF63D4A09E}
AS: Avast Antivirus (Disabled - Up to date) {5078598A-1FA2-C888-AA5F-A9C66537DB12}
FW: Kaspersky Total Security (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58}

 

Désinstallez

Panda Dome

Kaspersky Total Security 

Avast Antivirus 

ScanGuard

Puis, après redémarrage,  refaites les analyses et postez les rapports.

Lien vers le commentaire

Bonjour 

Tout d'abord, il est préférable de regrouper les liens vers les rapports dans une seule réponse, c'est plus facile à traiter. 

Correction avec FRST

Copier la totalité du contenu, ( Sélectionner  tout -> Copier) de ce correctif hébergé ici -> https://textup.fr/635443ZB

Faites uniquement "copier" pour mettre le texte dans le presse-papier, inutile de coller 

Lancez FRST en tant qu'administrateur par click droit
Cliquez sur "corriger" 

Patientez
Une fois le système redémarré, postez le rapport : fixlog.txt

Par la suite, on essaiera de regarder pour les fichiers cryptés, sans trop d'espoir .... 

Lien vers le commentaire

Bonjour 

Le script a  fait du bon nettoyage. 

 - Vu qu'on a désinstallé tous les antivirus, il serait souhaitable d'en installer un.
Mais UN SEUL. Au choix. 

 - Si vous créez maintenant un fichier xls, ou doc, est-ce qu'il se crypte encore ? 

 - Avast a publié un outil de décryptage, qui peut fonctionner dans certains cas.
Essayez le 

https://www.bleepingcomputer.com/news/security/babuk-ransomware-decryptor-released-to-recover-files-for-free/

Des infos complémentaires

https://www.bleepingcomputer.com/forums/t/754087/babuck-locker-help-and-support-topic-babyk-how-to-restore-your-filestxt/?hl=%2Bbabyk#entry5302414

Modifié par Longaripa
Lien vers le commentaire

bonjour, j'ai reinstallé avast par contre l'outil de decrytpage n'a pas fonctionné, j'ai cree un fichier excell il n'as pas ete crypté.

il y a un truc etrange sur mes partitions de sauvegardes et outils hp

il y a des fichiers cryptés babyk

sur la partition recovery il y a :

bootsqm.dat.babyk

HP_WSD.dat.babyk

HPSF_Rep.txt.babyk

RMCStatus.bin.babyk

sur partition hp outils

quasiment tous les fichiers ont une extension babyk

 

qu'est ce vous en pensez

 

merci

 

 

Lien vers le commentaire

A mon avis, sauf erreur, il n'y a rien a faire pour le moment pour récupérer les fichiers.
Le ransomware crypte les fichiers selon les extensions, c'est pour cela qu'il y en a un peu partout.

Je pense qu'il n'est plus actif.
Vous pouvez stocker des fichiers cryptés quelque part au cas où il soit possible de les décrypter dans le futur.

Vous pouvez envoyer un exemplaire de fichier crypté, ainsi que le texte qu'ils ont mis (how to restore ....) ici :
https://id-ransomware.malwarehunterteam.com/index.php?lang=en_US

Cela permettrait de confirmer la version du ransomware qui a sévi.
 

Comment fonctionne le PC maintenant ? 

 

EDIT

refaites les analyses et postez les rapports, pour voir si il n'y a rien qui trainerait... 

Modifié par Longaripa
  • J'aime 1
  • Plusser (+1) 1
Lien vers le commentaire
Invité
Ce sujet ne peut plus recevoir de nouvelles réponses.
  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...