Probleme Fichier crypter en .sage

Fermé
Nostra1er - 12 avril 2017 à 16:22
 Nostra1er - 12 avril 2017 à 19:07
Bonsoir, j'ai un gros soucis. je viens de rendre compte que tous fichiers dans wamp et dans certains de mes dossiers sont crypter avec l'extension .sage

Je suis à la recherche de solution. apparemment c'est un problème de virus. Mais je ne sais pas comment pourrais-je récupérer les fichiers cryptés.
A voir également:

6 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
12 avril 2017 à 16:23
Salut,

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Tu peux tout de même tenter les version précédentes avec Shadow Explorer

Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.

1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

0
OK je le fais et je reviens. Merci pour la justesse ...
0
Voici les trois liens:

http://pjjoint.malekal.com/files.php?id=FRST_20170412_d814p10p12j11

http://pjjoint.malekal.com/files.php?id=20170412_j6b15t7146


http://pjjoint.malekal.com/files.php?id=20170412_b12z8v15v9o13
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
12 avril 2017 à 17:34
ok,

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\RunOnce: [{6dff50d0-3bc3-4a92-b724-bf6d6a99de4f}] => C:\ProgramData\Package Cache\{6dff50d0-3bc3-4a92-b724-bf6d6a99de4f}\vs_professional.exe [1125320 2017-03-31] (Microsoft Corporation) <===== ATTENTION
S2 TolbarUpdater; C:\Users\pc\AppData\Local\Temp\ToolbarUpdater.exe [X] <==== ATTENTION
2017-04-12 10:51 - 2017-04-12 12:10 - 00000468 _____ C:\Windows\Tasks\ParetoLogic Registration3.job
2017-04-12 10:51 - 2017-04-12 10:51 - 00003106 _____ C:\Windows\System32\Tasks\ParetoLogic Registration3
2017-04-12 10:50 - 2017-04-12 13:47 - 00000494 _____ C:\Windows\Tasks\ParetoLogic Update Version3 Startup Task.job
2017-04-12 10:50 - 2017-04-12 12:10 - 00000442 _____ C:\Windows\Tasks\ParetoLogic Update Version3.job
2017-04-12 10:50 - 2017-04-12 10:50 - 00003226 _____ C:\Windows\System32\Tasks\ParetoLogic Update Version3
2017-04-12 10:50 - 2017-04-12 10:50 - 00002894 _____ C:\Windows\System32\Tasks\ParetoLogic Update Version3 Startup Task
2017-04-12 10:50 - 2017-04-12 10:50 - 00001263 _____ C:\Users\pc\Desktop\Data Recovery Pro.lnk
2017-04-12 10:50 - 2017-04-12 10:50 - 00000000 ____D C:\Users\pc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ParetoLogic
2017-04-12 10:50 - 2017-04-12 10:50 - 00000000 ____D C:\ProgramData\ParetoLogic
2017-04-12 10:49 - 2017-04-12 10:49 - 00000000 ____D C:\Program Files (x86)\ParetoLogic
2017-04-12 09:18 - 2017-04-12 09:19 - 04615856 _____ (Enigma Software Group USA, LLC.) C:\Users\pc\Downloads\SpyHunter-Installer(1).exe
2017-04-12 09:05 - 2017-04-12 09:05 - 00000853 _____ C:\Users\pc\Downloads\Ftp grh@ouagadousoft.ml.xml
2017-04-12 02:46 - 2017-04-12 02:46 - 00000000 _____ C:\Recovery.txt
Task: C:\Windows\Tasks\ParetoLogic Registration3.job => rundll32.exe � C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\UUS3.dll <==== ATTENTION
Task: C:\Windows\Tasks\ParetoLogic Update Version3 Startup Task.job => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
Task: C:\Windows\Tasks\ParetoLogic Update Version3.job => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
Task: {55323245-2B98-4333-A908-2350B00CB941} - System32\Tasks\TywaPNx9 => C:\Users\pc\AppData\Roaming\N8vmnqL4.exe <==== ATTENTION
C:\Users\pc\AppData\Roaming\N8vmnqL4.exe
EmptyTemp:
RemoveProxy:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.



2°)
Fais un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
voici le contenu du fichier texte:

Fix result of Farbar Recovery Scan Tool (x64) Version: 15-03-2017
Ran by pc (12-04-2017 15:42:01) Run:1
Running from C:\Users\pc\Desktop
Loaded Profiles: pc (Available Profiles: pc)
Boot Mode: Normal
==============================================

fixlist content:

CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\RunOnce: [{6dff50d0-3bc3-4a92-b724-bf6d6a99de4f}] => C:\ProgramData\Package Cache\{6dff50d0-3bc3-4a92-b724-bf6d6a99de4f}\vs_professional.exe [1125320 2017-03-31] (Microsoft Corporation) <===== ATTENTION
S2 TolbarUpdater; C:\Users\pc\AppData\Local\Temp\ToolbarUpdater.exe [X] <==== ATTENTION
2017-04-12 10:51 - 2017-04-12 12:10 - 00000468 _____ C:\Windows\Tasks\ParetoLogic Registration3.job
2017-04-12 10:51 - 2017-04-12 10:51 - 00003106 _____ C:\Windows\System32\Tasks\ParetoLogic Registration3
2017-04-12 10:50 - 2017-04-12 13:47 - 00000494 _____ C:\Windows\Tasks\ParetoLogic Update Version3 Startup Task.job
2017-04-12 10:50 - 2017-04-12 12:10 - 00000442 _____ C:\Windows\Tasks\ParetoLogic Update Version3.job
2017-04-12 10:50 - 2017-04-12 10:50 - 00003226 _____ C:\Windows\System32\Tasks\ParetoLogic Update Version3
2017-04-12 10:50 - 2017-04-12 10:50 - 00002894 _____ C:\Windows\System32\Tasks\ParetoLogic Update Version3 Startup Task
2017-04-12 10:50 - 2017-04-12 10:50 - 00001263 _____ C:\Users\pc\Desktop\Data Recovery Pro.lnk
2017-04-12 10:50 - 2017-04-12 10:50 - 00000000 ____D C:\Users\pc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ParetoLogic
2017-04-12 10:50 - 2017-04-12 10:50 - 00000000 ____D C:\ProgramData\ParetoLogic
2017-04-12 10:49 - 2017-04-12 10:49 - 00000000 ____D C:\Program Files (x86)\ParetoLogic
2017-04-12 09:18 - 2017-04-12 09:19 - 04615856 _____ (Enigma Software Group USA, LLC.) C:\Users\pc\Downloads\SpyHunter-Installer(1).exe
2017-04-12 09:05 - 2017-04-12 09:05 - 00000853 _____ C:\Users\pc\Downloads\Ftp ***@***
2017-04-12 02:46 - 2017-04-12 02:46 - 00000000 _____ C:\Recovery.txt
Task: C:\Windows\Tasks\ParetoLogic Registration3.job => rundll32.exe ? C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\UUS3.dll <==== ATTENTION
Task: C:\Windows\Tasks\ParetoLogic Update Version3 Startup Task.job => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
Task: C:\Windows\Tasks\ParetoLogic Update Version3.job => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
Task: {55323245-2B98-4333-A908-2350B00CB941} - System32\Tasks\TywaPNx9 => C:\Users\pc\AppData\Roaming\N8vmnqL4.exe <==== ATTENTION
C:\Users\pc\AppData\Roaming\N8vmnqL4.exe
EmptyTemp:
RemoveProxy:
Reboot:


Restore point was successfully created.
Processes closed successfully.
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce\\{6dff50d0-3bc3-4a92-b724-bf6d6a99de4f} => value not found.
HKLM\System\CurrentControlSet\Services\TolbarUpdater => key removed successfully
TolbarUpdater => service removed successfully
C:\Windows\Tasks\ParetoLogic Registration3.job => moved successfully
C:\Windows\System32\Tasks\ParetoLogic Registration3 => moved successfully
C:\Windows\Tasks\ParetoLogic Update Version3 Startup Task.job => moved successfully
C:\Windows\Tasks\ParetoLogic Update Version3.job => moved successfully
C:\Windows\System32\Tasks\ParetoLogic Update Version3 => moved successfully
C:\Windows\System32\Tasks\ParetoLogic Update Version3 Startup Task => moved successfully
C:\Users\pc\Desktop\Data Recovery Pro.lnk => moved successfully
C:\Users\pc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ParetoLogic => moved successfully
C:\ProgramData\ParetoLogic => moved successfully
C:\Program Files (x86)\ParetoLogic => moved successfully
C:\Users\pc\Downloads\SpyHunter-Installer(1).exe => moved successfully
C:\Users\pc\Downloads\Ftp ***@*** => moved successfully
C:\Recovery.txt => moved successfully
C:\Windows\Tasks\ParetoLogic Registration3.job => not found.
C:\Windows\Tasks\ParetoLogic Update Version3 Startup Task.job => not found.
C:\Windows\Tasks\ParetoLogic Update Version3.job => not found.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{55323245-2B98-4333-A908-2350B00CB941} => key removed successfully
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{55323245-2B98-4333-A908-2350B00CB941} => key removed successfully
C:\Windows\System32\Tasks\TywaPNx9 => moved successfully
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\TywaPNx9 => key removed successfully
"C:\Users\pc\AppData\Roaming\N8vmnqL4.exe" => not found.

========= RemoveProxy: =========

HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer => key removed successfully
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => value removed successfully
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => value removed successfully
HKU\S-1-5-21-332453820-1651027593-3741773952-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => value removed successfully
HKU\S-1-5-21-332453820-1651027593-3741773952-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => value removed successfully


========= End of RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 25627275 B
Java, Flash, Steam htmlcache => 1137 B
Windows/system/drivers => 13783640 B
Edge => 0 B
Chrome => 228767222 B
Firefox => 375087607 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 128 B
systemprofile32 => 128 B
LocalService => 0 B
NetworkService => 5743056 B
pc => 305387999 B

RecycleBin => 802131710 B
EmptyTemp: => 1.6 GB temporary data Removed.

================================


The system needed a reboot.

End of Fixlog 15:46:59

0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
12 avril 2017 à 18:57
ok tu peux faire l'étape 2.
0
Ok
0