TrueCrypter Problem !

[GandzioR44]

Witam mam problem ponieważ z niewiadomych przyczyn wirus TrueCrypter dostał się do mojego laptopa i zablokował mi większość plików ;( Nie mogę nic z tym zrobić próbowałem skanować laptopa Avastem ale go nie wykryło, próbowałem również przywracania systemu ale nie mam utworzonego wcześniej żadnego punktu do którego mógłbym go przywrócić.  ;/ Czy jest na to jakiś sposób?

[Janusz.]

Pliki zaszyfrowane są już utracone na zawsze, chyba, że im zapłacisz. 

Wykonaj logi FRST, poradnik znajdziesz w podpiętym temacie. 

[GandzioR44]

Na prawdę są utracone na zawsze?! Miałem ważne dokumenty i mnóstwo rzeczy nie ma żadnego sposobu?? 

[Janusz.]

Wykonaj logi. 

[GandzioR44]

Logi

Addition.txt

Shortcut.txt

FRST.txt

[Janusz.]

Closeprocesses:
HKLM-x32\...\Run: [sun21] => [X]
HKLM-x32\...\Run: [mpck_en_005030255] => [X]
HKLM-x32\...\Run: [rec_pl_214] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
CHR HKU\S-1-5-21-4070251775-788931632-4130287992-1001\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
HKU\S-1-5-21-4070251775-788931632-4130287992-1001\...\Run: [SpybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.)
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.bing.com/search?FORM=INCOH1&PC=IC05&PTAG=ICO-120c2b97
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.bing.com/search?FORM=INCOH1&PC=IC05&PTAG=ICO-120c2b97
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKU\S-1-5-21-4070251775-788931632-4130287992-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
HKU\S-1-5-21-4070251775-788931632-4130287992-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.bing.com/search?FORM=INCOH1&PC=IC05&PTAG=ICO-120c2b97
HKU\S-1-5-21-4070251775-788931632-4130287992-1003\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com/search?q={searchTerms}
HKU\S-1-5-21-4070251775-788931632-4130287992-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms}
HKU\S-1-5-21-4070251775-788931632-4130287992-1003\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms}
SearchScopes: HKLM -> DefaultScope {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = 
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?FORM=INCOH2&PC=IC05&PTAG=ICO-120c2b97&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
SearchScopes: HKLM-x32 -> {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = hxxp://www.google.com/search?q={searchTerms}
SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4070251775-788931632-4130287992-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?FORM=INCOH2&PC=IC05&PTAG=ICO-120c2b97&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4070251775-788931632-4130287992-1001 -> {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = hxxp://www.google.com/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-4070251775-788931632-4130287992-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?FORM=INCOH2&PC=IC05&PTAG=ICO-120c2b97&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4070251775-788931632-4130287992-1001 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4070251775-788931632-4130287992-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BDCBE5D40-6198-42B0-A45C-5B020516CCEF%7D&gp=811010
SearchScopes: HKU\S-1-5-21-4070251775-788931632-4130287992-1003 -> DefaultScope {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-4070251775-788931632-4130287992-1003 -> {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms}
S3 AVFSFilter; system32\DRIVERS\avfsfilter.sys [X]
S3 gkernel; \??\C:\Users\Patryk\AppData\Local\Temp\gkernel.sys [X]
S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
Task: {1597F948-118F-42A4-AE97-595283A8FB6A} - System32\Tasks\{6F39F951-D67F-69F8-6088-7E5C7D7F2908} => C:\Users\Patryk\AppData\Local\{72344~1\UNINST~1.EXE [2013-04-19] () <==== UWAGA
Task: {6C8424A1-7662-4467-8DD1-B1D80B5D0363} - System32\Tasks\PatrykScatterVouchV2 => Rundll32.exe ImprovementFairylands.dll,main 7 1 <==== UWAGA
Task: C:\Windows\Tasks\{6F39F951-D67F-69F8-6088-7E5C7D7F2908}.job => C:\Users\Patryk\AppData\Local\{72344~1\UNINST~1.EXE <==== UWAGA





CMD: dir /a "C:\Users\Patryk\appdata\Local"
CMD: dir /a "C:\Users\Patryk\appdata\Roaming"
CMD: dir /a "C:\Users\Patryk\appdata\Locallow"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\ProgramData"
CMD: dir /a "C:\program files (x86)\common files"

Hosts:
RemoveProxy:
EmptyTemp:

Zapisz jako fixlist.txt umieść obok FRST i kliknij FIX/Napraw. Po restarcie zamieść fixlog na forum.

 

Jak mówiłem, to TryeCrypt nie zrobili deszyfratora. Zaszyfrowane pliki wyślij sobie na jakąś chmurę i czekaj, może kiedyś będzie program do odszyfrowania plików.