Victime d'un Ransomware BALSYROY

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Kismat

Victime d'un Ransomware BALSYROY

par Kismat »

Bonsoir à toutes et à tous,

Après des heures de tentatives désespérées je viens chercher de l'aide !!!!
J'ai été victime cet après-midi d'un Ransomware nommé BALSYROY. J'ai tenté plusieurs désinfections en tout genre et je me suis rendu compte que je pouvais faire une restauration de mes fichiers sur disque dur principal. Le gros problème étant que 99,9% de mes autres fichiers ( les plus importants évidemment ) sont sur mon disque dur externe qui lui aussi a été infecté. La question étant, n'ayant pas de point de restauration pour ces fichiers là, existe t-il une solution a envisager pour espérer décrypter mes fichiers ?

En vous remerciant par avance et en espérant de tout coeur qu'il reste encore une chance :(((((
Malekal_morte
Messages : 111449
Inscription : 10 sept. 2005 13:57

Re: Victime d'un Ransomware BALSYROY

par Malekal_morte »

Salut,

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Tente de récupérer les fichiers avec Shadow Explorer - versions précédentes
sinon il faudra attendre une solution donnée sur le page : Decrypt Tools pour les ransomwares

Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.

1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 111449
Inscription : 10 sept. 2005 13:57

Re: Victime d'un Ransomware BALSYROY

par Malekal_morte »

Tu sembles avoir choppé cela en téléchargeant un crack.

Tu as des programmes qui ont été installés à l'achat de l'ordinateur ou installés par la suite et qui sont pas forcément utiles.
Ils encombrent Windows et peuvent le ralentir.
Tu peux donc les désinstaller.
Vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Désinstalle :


Amazon Kindle
Canon
CCleaner
Web Companion (programme parasite - a lire : https://www.malekal.com/supprimer-adawa ... companion/ )
Yahoo! Powered

PS : CCleaner n'est pas vraiment utile, même si on le recommande de partout.
Si tu veux le garder, désactive la surveillance de CCleaner, inutile, ça se met au démarrage de Windows et le ralentit avec ces nettoyages incessants, voir : [https://www.malekal.com/supprimer-cclea ... e-windows/]


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
C:\Users\Admin\AppData\Roaming\Xilisoft
C:\Program Files (x86)\Lavasoft
 R2 WCAssistantService; C:\Program Files (x86)\Lavasoft\Web Companion\Application\Lavasoft.WCAssistant.WinService.exe [25888 2018-11-18] () 
Task: {AD0CF6DD-0450-412C-9368-7043B7A46FC9} - System32\Tasks\{D201824E-7SP1-4321-8GH5-LA32311B16CA} => C:\Users\Admin\AppData\Roaming\Xilisoft\Precomp\precomp.exe <==== ATTENTION
HKU\S-1-5-21-2638289097-4141100823-615738712-1001\...\Run: [Discord] => C:\Users\Admin\AppData\Local\Discord\app-0.0.301\Discord.exe [57816920 2018-04-30] (Discord Inc.)
HKU\S-1-5-21-2638289097-4141100823-615738712-1001\...\Run: [Steam] => E:\Steam\steam.exe [3131680 2018-11-26] (Valve Corporation)
HKU\S-1-5-21-2638289097-4141100823-615738712-1001\...\Run: [uTorrent] => C:\Users\Admin\AppData\Roaming\uTorrent\uTorrent.exe [1738936 2018-11-15] (BitTorrent Inc.)
HKU\S-1-5-21-2638289097-4141100823-615738712-1001\...\Run: [GalaxyClient] => E:\GOG Galaxy\GalaxyClient.exe [7391816 2018-11-01] (GOG.com)
HKU\S-1-5-21-2638289097-4141100823-615738712-1001\...\Run: [DAEMON Tools Lite Automount] => C:\Program Files\DAEMON Tools Lite\DTAgent.exe [5230784 2017-12-15] (Disc Soft Ltd)
HKU\S-1-5-21-2638289097-4141100823-615738712-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe [7407392 2018-11-18] (Lavasoft)
HKU\S-1-5-21-2638289097-4141100823-615738712-1001\...\Run: [EpicGamesLauncher] => E:\Epic Games\Launcher\Portal\Binaries\Win64\EpicGamesLauncher.exe [35148688 2018-12-07] (Epic Games, Inc.)
HKU\S-1-5-18\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe [7407392 2018-11-18] (Lavasoft)
C:\Program Files (x86)\Lavasoft
2018-12-10 18:20 - 2018-12-10 18:20 - 000008938 _____ C:\Users\Public\Downloads\BALSYROY-DECRYPT.txt
2018-12-10 18:20 - 2018-12-10 18:20 - 000008938 _____ C:\Users\Public\Documents\BALSYROY-DECRYPT.txt
2018-12-10 18:20 - 2018-12-10 18:20 - 000008938 _____ C:\Users\Public\BALSYROY-DECRYPT.txt
2018-12-10 18:20 - 2018-12-10 18:20 - 000008938 _____ C:\Users\Default\Downloads\BALSYROY-DECRYPT.txt
2018-12-10 18:20 - 2018-12-10 18:20 - 000008938 _____ C:\Users\Default\Documents\BALSYROY-DECRYPT.txt
2018-12-10 18:20 - 2018-12-10 18:20 - 000008938 _____ C:\Users\Default\Desktop\BALSYROY-DECRYPT.txt
2018-12-10 18:20 - 2018-12-10 18:20 - 000008938 _____ C:\Users\Default\BALSYROY-DECRYPT.txt
2018-12-10 18:20 - 2018-12-10 18:20 - 000008938 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\BALSYROY-DECRYPT.txt
2018-12-10 18:20 - 2018-12-10 18:20 - 000008938 _____ C:\Users\Default\AppData\Roaming\BALSYROY-DECRYPT.txt
2018-12-10 18:20 - 2018-12-10 18:20 - 000008938 _____ C:\Users\Default\AppData\Local\BALSYROY-DECRYPT.txt
2018-12-10 18:20 - 2018-12-10 18:20 - 000008938 _____ C:\Users\Default\AppData\BALSYROY-DECRYPT.txt
2018-12-10 18:20 - 2018-12-10 18:20 - 000008938 _____ C:\Users\Default User\Downloads\BALSYROY-DECRYPT.txt
2018-12-10 18:20 - 2018-12-10 18:20 - 000008938 _____ C:\Users\Default User\Documents\BALSYROY-DECRYPT.txt
2018-12-10 18:20 - 2018-12-10 18:20 - 000008938 _____ C:\Users\Default User\Desktop\BALSYROY-DECRYPT.txt
2018-12-10 18:20 - 2018-12-10 18:20 - 000008938 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\BALSYROY-DECRYPT.txt
2018-12-10 18:20 - 2018-12-10 18:20 - 000008938 _____ C:\Users\Default User\AppData\Roaming\BALSYROY-DECRYPT.txt
2018-12-10 18:20 - 2018-12-10 18:20 - 000008938 _____ C:\Users\Default User\AppData\Local\BALSYROY-DECRYPT.txt
2018-12-10 18:20 - 2018-12-10 18:20 - 000008938 _____ C:\Users\Default User\AppData\BALSYROY-DECRYPT.txt
2018-12-10 18:19 - 2018-12-10 18:19 - 000008938 _____ C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\BALSYROY-DECRYPT.txt
2018-12-10 18:13 - 2018-12-10 20:04 - 000000000 ____D C:\Program Files (x86)\ProxyGate
2018-12-10 18:08 - 2018-12-10 18:09 - 000000000 ____D C:\ProgramData\Gasu
2018-12-10 18:08 - 2018-12-10 18:08 - 000008938 _____ C:\Users\BALSYROY-DECRYPT.txt
2018-12-10 18:08 - 2018-12-10 18:08 - 000008938 _____ C:\Users\Admin\BALSYROY-DECRYPT.txt
2018-12-10 18:08 - 2018-12-10 18:08 - 000008938 _____ C:\Users\Admin\AppData\Roaming\BALSYROY-DECRYPT.txt
2018-12-10 18:08 - 2018-12-10 18:08 - 000008938 _____ C:\Users\Admin\AppData\BALSYROY-DECRYPT.txt
2018-12-10 18:08 - 2018-12-10 18:08 - 000008938 _____ C:\Program Files\BALSYROY-DECRYPT.txt
2018-12-10 18:08 - 2018-12-10 18:08 - 000008938 _____ C:\Program Files (x86)\BALSYROY-DECRYPT.txt
2018-12-10 18:05 - 2018-12-10 20:04 - 000000000 ____D C:\ProgramData\CopyPaste
2018-12-10 18:05 - 2018-12-10 18:09 - 000000000 __SHD C:\Users\Admin\AppData\Roaming\amd64_microsoft-hyper-v-vstack-vmms.resources_31bf3856ad364e35_10.0.17134.1_ru-ru_74bd511c6b7702a6
2018-12-10 18:05 - 2018-12-10 18:09 - 000000000 ____D C:\WINDOWS\System32\Tasks\-9-3-31-1274448827-1010699578-1198641200-4952
2018-12-10 17:35 - 2018-12-10 18:19 - 000004864 _____ C:\Users\Admin\Downloads\CyberLinkPowerDirectorUltimate16024200Patch_archive.torrent.balsyroy
Hosts:
RemoveProxy:
Reboot:
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »