Witam,

Koleżanka na swoim komputerze ma VIRUSA. Objawił się w dosyć wyraźny sposób, a mianowicie zmianą tapety oraz zablokowaniem (zaszyfrowaniem wszystkich dokumentów i zdjęć). Nic niestety z tymi plikami nie potrafię zrobić, aby mogły się prawidłowo otworzyć. Czy jest na to jakiś sposób, czy wszystkie ważne dla niej dane zostały nieodwracalnie utracone? Z góry dziękuję za wszelką pomoc.

Dodam, że system operacyjny komputera to Win8 x64, a zrzuty ekranu dołączam poniżej (tapeta oraz nazwy plików).

W miarę możliwości:   Uruchom komputer w trybie awaryjnym, pokaż logi z FRST http://forum.dobreprogramy.pl/nowy-log-obowi%C4%85zkowy-farbar-recovery-scan-tool-t478727/,  użyj AdwCleaner 64 bit z opcji szukaj i usuń http://www.bleepingcomputer.com/download/adwcleaner/,    przeskanuj programem Malwarebytes : https://www.malwarebytes.org/ przy instalacji odznacz rozpoczęcie okresu premium,      jeśli nie zadziała, spróbuj wejść w msconfig, i poodznaczać podejrzane elementy z autostartu.

Bez klucza deszyfrującego dane przepadły, z tego co pamiętam to nawet policja płaciła za klucz deszyfrujący, jak wirus zaatakował.

Nic się nie da zrobić.

. W internecie znajdziesz poradniki jak usunąc wirusa .Zaszyfrowanych danych nie da się chyba odzyskać  nawet płacząc kasę.

ok, przesyłam logi (również innych programów).

http://wklej.org/id/1606793/

Po Virusie już raczej śladu nie ma, jednak pliki dalej zaszyfrowane

Może jednak ktoś znajdzie na to sposób, bo było kilka istotnych plików docx, na których koleżance bardzo zależy.

Nie ma sposobu żeby odszyfrować pliki.

Masz kilka punktów przywracania, więc możesz spróbować odzyskać za pomocą ShadowExplorer:

http://www.shadowexplorer.com/documentation/manual.html

http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM-x32\...\Run: [mcui_exe] => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey
Winlogon\Notify\igfxcui: igfxdev.dll [X]
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-4138570250-3862393082-1811235637-1001 -> {BE4DDB5A-9E62-4F63-BB8E-473FFA0CDB29} URL = 
2015-01-23 22:41 - 2015-01-23 22:41 - 00000000 ____ D () C:\ProgramData\Doctor Web
2015-01-23 17:37 - 2015-01-23 17:37 - 00000000 ____ D () C:\Users\Magda\Doctor Web
2015-01-19 20:33 - 2015-01-19 20:36 - 00305120 _____ () C:\ProgramData\lzfytwj.html
2015-01-19 20:36 - 2015-01-19 20:36 - 03148854 _____ () C:\Users\Magda\Documents\Decrypt All Files cprsdgi.bmp
2015-01-17 19:20 - 2013-07-08 23:37 - 00000000 ____ D () C:\ProgramData\McAfee
2013-12-06 14:29 - 2013-12-06 14:29 - 0000000 ____ H () C:\ProgramData\DP45977C.lfl
2013-07-08 23:39 - 2013-07-08 23:39 - 0000198 ____ H () C:\ProgramData\Lenovo-1725.vbs
Task: {9D554659-99C2-4767-BEF9-14EDF6408256} - System32\Tasks\Lenovo\Lenovo-1725 => C:\ProgramData\Lenovo-1725.vbs [2013-07-08] ()
Task: {D690C475-B899-4D2F-9AFA-FB2497CAA995} - \plrtoxe No Task File <==== ATTENTION
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""=""

Uruchom FRST i kliknij Fix. Skasuj folder C:\FRST

Wyłącz komputer i wyciągnij dysk, następnie próbuj programem do odzyskiwania, może coś zostało nie nadpisanego na dysku. ale po grzebaniu w systemie może być z tym źle jak nie bardzo źle. Pierwsza zasada mówi, iż przy utraconych plikach wyłącza się komputer choćby z prądu.

No więc melduje co się dowiedziałem.

Przywracanie systemu nie rozwiązało problemu.

Większą skuteczność miał program ShadowExplorer.

Po “wyciągnięciu” plików z 3 różnych dat wstecznych najbardziej istotnego pliku XLS nie udało się otworzyć.

Tak samo z resztą jak większości innych plików. Tylko coniektóre, pojedyncze pliki otwierają sie prawidłowo.

Nic więcej chyba nie wskóram

Niemniej jedak dziękuję za pomoc i poświęcony mi czas.