Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Infection par le ransomware Nobu


lynyrd

Messages recommandés

Bonjour,
En allumant mon PC ce matin, j'ai constaté avoir été infecté par le ransomware nobu, je n'ai plus la possibilité d'ouvrir la plupart de mes fichiers.
J'ai acheté Spy Hunter et fait une analyse de mes disques dur, mis en quarantaine tout ce qu'il avait trouvé, mais les fichiers sont toujours cryptés.

Si vous avez une solution pour les récupérer, d'avance merci.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour

Malheureusement il est très souvent impossible de décrypter les fichiers chiffrés par un ransomware , il y aura peu être une solution pour Nobu.
tu t'est laissé berner par la solution Spy hunter , qui ne peu pas décrypter les fichiers , leur but est uniquement de vendre leur logiciel

Nous allons commencer par faire un diagnostique du PC .

Télécharge FRST  (Farbar-Recovery-Scan-Tool)

Farbar-recovery-scan-tool

Choisis la version en fonction de ton système ( 32 ou 64 bit )
si tu ne sais pas quel est le système

Met  FRST  sur le Bureau et pas ailleurs

  • Ferme toutes les applications , y compris le navigateur.
  • Lance le fichier par clic-droit -> Exécuter en tant qu'administrateur !


Laisse les options par défaut > clique sur le bouton Analyser

y8qk.png

Laisse travailler jusqu'a l'apparition du message indiquant que l'analyse est terminée !

plme.png

  • Il y aura 2 rapports à poster : Addition.txt et FRST.txt , les rapports sont sur le bureau .
  • Comment poster les rapports : rend toi sur le site Cjoint.com >> cjoint
  • Clique sur Parcourir et cherche le rapport sur le bureau.
  • Clique sur Ouvrir >> Clique sur Créer le lien CJoint
  • Dans la page suivante --> une adresse http//.. sera crée , copier /coller cette adresse dans ton prochain message.


Ou utiliser 1 fichier.com > https://1fichier.com/?lg=fr
Lien vers le commentaire
Partager sur d’autres sites

  • Tonton a modifié le titre en Infection par le ransomware Nobu

Bon ben il y a du boulot , il y a beaucoup de parasites

Commence par la désinstallation des logiciels suivants ( en tenant compte de mes remarques en rouge )

Désinstalle suppremo si ce n'est pas toi qui l'a installé ( logiciel de bureau a distance donc a risque)

Inutile d'avoir de multiples protections ( cela ne peu être que contre productif) un seul antivirus en l'occurence AVG !
Emsisoft antimalware (inutiles)
les produits avira (inutiles)

  •  reg Hunter
  • Spy hunter (dommage que tu l'ai acheté )
  • tous les logiciels iobit

Mais également Team viewer et AnyDesck , si tu n'est pas l'auteur de leur installation .

Ensuite nous allons faire une correction avec FRST

Pour la correction

1  - Copie la totalité du texte hébergé  sur cette page >> CORRECTIF-FRST
Sélectionne a la souris le texte de Start:: a End:: > clic droit sur la sélection > copier : le texte sera copié dans le presse papier

Ferme toutes les applications ouvertes sur le bureau , y compris le navigateur
    
ATTENTION: R7MmRxVg Ces lignes ont été écrites spécialement pour cet utilisateur !
Exécuter ces instructions sur une autre machine pourrait endommager le système d'exploitation.

2 - Lance FRST en tant qu'administrateur
clique une seule fois sur le bouton  Corriger laisse travailler . attend bien la fin .

Si l'outil a besoin d'un redémarrage : laisse le système redémarrer normalement. Ensuite laisse l'outil terminer son travail.
Quand il a fini, FRST va créer un rapport placé sur le Bureau (Fixlog.txt).
héberge le rapport , et met le lien dans ta prochaine réponse .

Continu avec malwarebytes

  • Télécharge la version la plus récente de Malwarebytes Anti-Malware
    Lien de téléchargement direct  Mbam
    ou MbamAntiMlawares

    Lance l'installation par clic droit >exécuter en tant qu'administrateur .

    Une application tierce est proposée a l'installation , ne l'accèpte pas , malwarebytes va sinstaller en version premium d'essai !

    Une fois installé Lance Malwarebytes en tant qu'administrateur
    Ouvre les paramètres de malwarebytes ( petite roue crantée en haut ) onglet compte >> désactive la licence d'essai .
    Revient a a l'accueil et clique sur Analyse .

    Clique sur Analyse

    h9nx.png

    laisse tourner l'analyse jusqu'a la fin

    lwux.png

    Si des éléments sont trouvés clique sur quarantaine
    Clique ensuite sur afficher le compte rendu

    db28.png

  • Une autre fenêtre s'ouvre... tu cliques sur Exporter puis sur Exporter au format .

    gnba.png
    klnb.png

  • Nomme le rapport MBAM.txt

  • Enregistre le rapport sur le bureau.

  • Héberge ce rapport sur cjoint > https://cjoint.com
    Copie/Colle le lien généré dans ta réponse.

Lien vers le commentaire
Partager sur d’autres sites

reg Hunter, c'est bien dans le système 32, je ne l'ai pas enlevé, je peux le retirer sans problème ?

Capture-3.jpg

Voici les rapports:

https://cjoint.com/c/JLgsoL0qFUE
https://cjoint.com/c/JLgspvwFzCE

Merci encore pour ton, aide. 😉

 

Lien vers le commentaire
Partager sur d’autres sites

Hello

Si tu regarde bien tu verras que Reg hunter , a été supprimé par Malwarebytes , donc tu ne touche rien d'autre .

Maintenant tu me refait une analyse FRST , comme la première fois , héberge les rapports et donne moi les liens .

 

Lien vers le commentaire
Partager sur d’autres sites

Hello

manque le rapport addition.txt

Je veux bien t'aider mais il faut me donner des renseignements sur ce que tu fait , suite mes recommandations

Donc pour toi c'est bon

  • supremo
  • TeamViewer
  • AnyDesk

Tu garde

Modifié par ab-web
Lien vers le commentaire
Partager sur d’autres sites

Désolé je n'ai pas fait corriger.

Mon pc est devenu très lent quand je veux ouvrir un fichier il me faut deux minutes, j'ai (Ne répond pas).

Supremo et Anydesk je vais les désinstaller par contre je garde Teamviewer, il me sert pour un ami.

Voici le rapport:

https://cjoint.com/c/JLgu3hRHrU8

 

Modifié par lynyrd
Lien vers le commentaire
Partager sur d’autres sites

Bonjour

Merci du retour , encore une correction ( pour avira phantom , si tu y tiens vraiment , tu le réinstallera ensuite , mais pour l'instant on l'enlève )

Pour la correction

1  - Copie la totalité du texte en vert cidessous
Sélectionne a la souris le texte de Start:: a End:: > clic droit sur la sélection > copier : le texte sera copié dans le presse papier

Start::
CloseProcesses:
CreateRestorePoint:
Task: {DA4E551E-226B-42BE-A654-45D9E4DBEA53} - \Trojan Remover -> Pas de fichier <==== ATTENTION
(Avira Operations GmbH & Co. KG -> Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\VPN\Avira.WebAppHost.exe
(Avira Operations GmbH & Co. KG -> The OpenVPN Project) C:\Program Files (x86)\Avira\VPN\OpenVpn\phantomvpn.exe
(Avira Operations GmbH & Co. KG) [Fichier non signé] C:\Program Files (x86)\Avira\VPN\Avira.VpnService.exe
R2 AviraPhantomVPN; C:\Program Files (x86)\Avira\VPN\Avira.VpnService.exe [372736 2020-07-31] (Avira Operations GmbH & Co. KG) [Fichier non signé]
R3 phantomtap; C:\WINDOWS\System32\drivers\phantomtap.sys [50248 2020-07-06] (Avira Operations GmbH & Co. KG -> The OpenVPN Project
C:\Program Files (x86)\Avira
(Emsisoft Ltd -> Emsisoft Ltd) C:\Program Files\Emsisoft Anti-Malware\a2service.exe
C:\Program Files\Emsisoft Anti-Malware
C:\Program Files (x86)\Spybot - Search & Destroy 2
2020-12-05 16:52 - 2020-05-15 17:20 - 000000000 ____D C:\Users\lynyr\AppData\Roaming\Lavasoft
2020-12-05 16:52 - 2020-05-15 17:20 - 000000000 ____D C:\Users\lynyr\AppData\Local\Lavasoft
2020-12-05 16:52 - 2020-05-15 17:20 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft
2020-12-05 16:52 - 2020-05-15 17:20 - 000000000 ____D C:\ProgramData\Lavasoft
2020-12-05 16:52 - 2020-05-15 17:20 - 000000000 ____D C:\Program Files (x86)\Lavasoft
S3 ddmdrv; \??\C:\WINDOWS\system32\ddmdrv.sys [X]
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
SearchScopes: HKU\S-1-5-21-1284899225-1928332732-1002248254-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
cmd: DISM /Online /Cleanup-image /Restorehealth
cmd: sfc /scannow
cmd: ipconfig /flushdns
cmd: netsh advfirewall reset
cmd: netsh advfirewall set allprofiles state on
cmd: netsh winsock reset
Emptytemp:
End::

Ferme toutes les applications ouvertes sur le bureau , y compris le navigateur
    
ATTENTION: R7MmRxVg Ces lignes ont été écrites spécialement pour cet utilisateur !
Exécuter ces instructions sur une autre machine pourrait endommager le système d'exploitation.

2 - Lance FRST en tant qu'administrateur
clique une seule fois sur le bouton  Corriger laisse travailler . attend bien la fin .

Si l'outil a besoin d'un redémarrage : laisse le système redémarrer normalement. Ensuite laisse l'outil terminer son travail.
Quand il a fini, FRST va créer un rapport placé sur le Bureau (Fixlog.txt).
héberge le rapport , et met le lien dans ta prochaine réponse .

Modifié par ab-web
Lien vers le commentaire
Partager sur d’autres sites

  • Dylav a verrouillé ce sujet
Invité
Ce sujet ne peut plus recevoir de nouvelles réponses.
  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...