Infection par le ransomware Nobu

[lynyrd]

Voici le rapport:

https://cjoint.com/c/JLhkpndD0PE

De plus, j'avais certain logiciel qui fonctionnaient encore hier, depuis ce matin et ce que je télécharge (ex: fichiers pour imprimante 3D) l'extension est passée en nobu, et il me faut de 3 à 4 minutes pour faire un clique droit, sur un fichier.

Voici ce qu'il y a dans les dossiers cryptés: https://cjoint.com/c/JLhq5Oex4yE

Encore merci de ton aide !

Modifié le 7 décembre 2020 par lynyrd

[lynyrd]

Bonjour,

Voici le rapport: https://www.cjoint.com/c/JLiiOGWokxE

[ab-web]

Bonsoir

Merci mais déja vu , ce n'est pas celui ci que je veux!

je t'avais demandé une nouvelle correction   c'est le résultat de celle ci que j'attends

Citation

Merci du retour , encore une correction ( pour avira phantom , si tu y tiens vraiment , tu le réinstallera ensuite , mais pour l'instant on l'enlève )

Pour la correction

1  - Copie la totalité du texte en vert cidessous
Sélectionne a la souris le texte de Start:: a End:: > clic droit sur la sélection > copier : le texte sera copié dans le presse papier

Start::
CloseProcesses:
CreateRestorePoint:
Task: {DA4E551E-226B-42BE-A654-45D9E4DBEA53} - \Trojan Remover -> Pas de fichier <==== ATTENTION
(Avira Operations GmbH & Co. KG -> Avira Operations GmbH & Co. KG) C:\Program Files (x86)\Avira\VPN\Avira.WebAppHost.exe
(Avira Operations GmbH & Co. KG -> The OpenVPN Project) C:\Program Files (x86)\Avira\VPN\OpenVpn\phantomvpn.exe
(Avira Operations GmbH & Co. KG) [Fichier non signé] C:\Program Files (x86)\Avira\VPN\Avira.VpnService.exe
R2 AviraPhantomVPN; C:\Program Files (x86)\Avira\VPN\Avira.VpnService.exe [372736 2020-07-31] (Avira Operations GmbH & Co. KG) [Fichier non signé]
R3 phantomtap; C:\WINDOWS\System32\drivers\phantomtap.sys [50248 2020-07-06] (Avira Operations GmbH & Co. KG -> The OpenVPN Project
C:\Program Files (x86)\Avira
(Emsisoft Ltd -> Emsisoft Ltd) C:\Program Files\Emsisoft Anti-Malware\a2service.exe
C:\Program Files\Emsisoft Anti-Malware
C:\Program Files (x86)\Spybot - Search & Destroy 2
2020-12-05 16:52 - 2020-05-15 17:20 - 000000000 ____D C:\Users\lynyr\AppData\Roaming\Lavasoft
2020-12-05 16:52 - 2020-05-15 17:20 - 000000000 ____D C:\Users\lynyr\AppData\Local\Lavasoft
2020-12-05 16:52 - 2020-05-15 17:20 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft
2020-12-05 16:52 - 2020-05-15 17:20 - 000000000 ____D C:\ProgramData\Lavasoft
2020-12-05 16:52 - 2020-05-15 17:20 - 000000000 ____D C:\Program Files (x86)\Lavasoft
S3 ddmdrv; \??\C:\WINDOWS\system32\ddmdrv.sys [X]
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
SearchScopes: HKU\S-1-5-21-1284899225-1928332732-1002248254-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
cmd: DISM /Online /Cleanup-image /Restorehealth
cmd: sfc /scannow
cmd: ipconfig /flushdns
cmd: netsh advfirewall reset
cmd: netsh advfirewall set allprofiles state on
cmd: netsh winsock reset
Emptytemp:
End::

Ensuite on fait une recherche avec FRST
Dans la zone rechercher de FRST tu tape :  readme.txt , clique sur Chercher registre
Recommence en cliquant cette fois sur : Chercher fichiers
Tu aura deux rapports a poster , Search.txt et SearchReg.txt  + le nouveau rapport Fixlog.txt .

Modifié le 8 décembre 2020 par ab-web

[lynyrd]

Voici les rapports:

https://www.cjoint.com/c/JLiuojr6hEE

https://www.cjoint.com/c/JLiuvdKdgyE

https://www.cjoint.com/c/JLiusQWGWOE

[ab-web]

Bonjour

Tiens c'est étrange je ne retrouve pas ma réponse d'hier .

Bon je ne vois rien qui peu être lié dans le rapport Searchreg.txt .

Le fichier "readme.txt" que tu me cite il se lance tout seul ou tu le trouve dans un ou plusieurs dossiers ❔
S'il est simplement présent alors supprime le ( c'est le modèle de demande de rançon )

ce qui mennnuie c'est que tu dit qu'a la création les nouveaux fichiers sont avec l'extension.nobu

refait moi une analyse FRST .

Modifié le 9 décembre 2020 par ab-web

[lynyrd]

Le fichier "readme.txt" se trouve dans tout les dossiers cryptés avec exe, pdf, Jjpg, html.

Je viens de m'apercevoir que les fichiers téléchargés depuis hier ne se crypte plus, cela est dû probablement aux rectifications que tu as faites entre temps .

J'ai certaines applications qui n'ont pas été cryptées, comme; Acrobat Reader, iTunes, Zortam Mp3 Media Studio, WhatsApp, GeForce Experience, TeamViewer...

Voici le rapport: https://www.cjoint.com/c/JLjlyDPHeSE

Encore merci de ton aide.

Modifié le 9 décembre 2020 par lynyrd

[ab-web]

Bonjour

Désolé mais il manque le rapport Addition.txt il me faut les deux , pas seulement le rapport  FRST.txt

[lynyrd]

Voici les rapports:

https://www.cjoint.com/c/JLjok66gBxE

https://www.cjoint.com/c/JLjonqKrEYE

[ab-web]

Hello

Merci , en ce qui concerne les fichiers readme.txt , ce sont simplement des fichiers d'informations donc ont peu les virer ( je pense que tout les fichiers readme du PC ont été modifiés) et affichent tous le contenu de la demande de rançon .

    Télécharge SEAF.exe Enregistre-le sur le Bureau

    Double clique sur SEAF.exe
    Lance le par clic droit > Exécuter en tant qu'administrateur
    l'interface  va s'ouvrir .

    1 - Dans la fenêtre de recherche : colle le texte contenu dans la fenêtre code ci dessous

README.txt;Readme.txt;readme.txt

    2 - Dans [ Options des fichiers ] Sélectionne MD5 pour Calculer le ckecksum et coche les 3 cases en-dessous
    3 - Dans [ Options du registre ] coche Chercher également dans le registre
    4 -Puis clique sur lancer la recherche

    Patiente pendant la recherche.
    Lorsque la recherche est terminée, une fenêtre apparaît.
    Clique sur Non
    Une fenêtre va s'afficher avec un log.txt .
    Le rapport est enregistré ici C:\SeafLog.txt.
    Héberge ce rapport , donne le lien dans ta réponse .

Modifié le 9 décembre 2020 par ab-web

[lynyrd]

Voici le rapport SeafLog: https://www.cjoint.com/c/JLjpnnBNcJE