Corrupted dokumenty

[jesoun]

Dobrý večer,
dostal se mi do rukou PC známého a jeho problém je ten, že všechny dokumenty (tj office dokumenty, PDF, obrazky, txt, apod.) jsou poškozené a nejdou otevřít. Zkoušel jsem nějaké recovery programy, ale nic z toho nefungovalo. Říkal, že prý když se mu to stalo, tak antivir nic nehlásil, ale když pak dal skenovat počítač, tak to našlo nějaký malware.
Moc nevím, jak se podívat do historie, co přesně se ten den stalo - zkoušel jsem prohlížet ve Správě počítače log událostí, ale moc moudrý z toho nejsem. Jediné zajímavé co jsem tam našel byla událost z antiviru, kde došlo k odebrání viru "Backdoor:MSIL/Noancooe.C" a potom chybové události, které v sobě mají vždy napsáno jen "Ovladač zjistil chybu řadiče na \Device\Harddisk1\DR1.".
Ptal jsem se, jestli to náhodou nebyl takovej ten vir, jak soubory zamkne a vyzívá uživatele k zaplacení, aby dostal klíč k odemknutí souborů, ale nic na něj prý nevyskočilo.

Nevíte někdo, jestli to poškození všech souborů je opravdu způsobeno virem? Případně jak souboru obnovit (prý by stačilo jen ty obrázky)? Pokud bude potřeba poskytnout víc informací, tak je rád dodám, jen moc nemám zkušenosti s tím, odkud ty logu tahat.

Díky moc
Jakub

[Pic]

Jaké přípony mají dokumenty foto ap?

[jesoun]

Ahoj, přípony zůstaly normální, tj .png, .jpeg, .rtf apod. Viz screenshot: http://postimg.org/image/e50mu30t3/

Nepomáhá ani otevření z jiného zařízení, případně upload obrázků na postimg (nahrávání selže).

Jinak otevření txt mi zobrazí akorát nějaký čínský znaky, otevření wordu se me nejprve zeptá na kódování a pak vypíše nějakou hatlamatilku, když otevřu obrázek, tak se otevře prohlížeč fotek a akorát napíše, že nemůže otevřít obrázek.

Klidně můžu poslat nějaký soubory na otestování.

[petr22]

"Ovladač zjistil chybu řadiče na \Device\Harddisk1\DR1."

Tuhle hlasku to zapisuje do event viewer ve cjvili, kdy se sifruje obsah disku - napr. Bitlockerem.

Vetisna tech dokumentu na obrazku ma nejakou podezrele malou velikost.

[jesoun]

Aha...čili to opravdu způsobil vir a nejde například o chybu hdd? A dá se to nějak zpětně rozšifrovat? Když teď projedu PC antivirem, tak už to nic nehlásí.

Jinak dokumenty mají různou velikost, asi jsem vybral zrovna špatné - tady je napříkad složka s nějakýma fotkama, u kterých už velikost vypadá OK: http://postimg.org/image/5btg0btel/

[guest]

Obrázky se dávají sem, jako příloha!

Požádej v sekci HijackThis o kontrolu logu.

[petr22]

Nahraj nekam jeden z tech JPG souboru, at se na to muzeme podivat.

[jesoun]

Tady jsem nahrál 2 nějaký .PNG obrázky: http://uloz.to/xuwhNTSq/corrupted-obrazky-rar Jinak HijackThis log jsem postoval sem: http://www.pc-help.cz/viewtopic.php?f=70&t=150161

EDIT: pardon, nevšiml jsem si, že chceš jpeg. Tady je: http://uloz.to/x9b1ejzx/imag0409-rar

[guest]

Proč 2 obrázky dáváš do raru? I mne to hlásí chybu archivu a nejde to rozbalit.

[jesoun]

Ani ten rar nejde rozbalit? Ten jsem vytvářel teď...jinak tady jsou nahraný nezabalený, 1 jp, 1 png: http://uloz.to/x61DY7kr/imag0409-jpg a http://uloz.to/xAWHkn87/bad-ping-png .
Koukal jsem ještě do event logu (den předtím, než to začalo padat) a našel jsem ještě tyhle události:
Nejstarší stínová kopie svazku C: byla odstraněna, aby byl zachován uživatelem definovaný limit místa na disku používaného pro stínové kopie svazku C:.

Stínové kopie svazku C: byly přerušeny, protože z důvodu limitu stanoveného uživatelem se nepodařilo zvětšit úložiště stínové kopie.

Pak tam byl ještě windows update "- Aktualizace produktu Microsoft Silverlight (KB3011970)", ale ten by předpokládám neměl zničit všechny dokumenty.

[guest]

V ničem ho neotevřu, formát není podporován nelze přečíst záhlaví souboru a podobné hlášky.

[jesoun]

Jojo přesně to mi to hází taky...a txt/word hází hatlamatilku. Jak jsem psal, zkoušel jsem i nějaký programy, který by měly umět obnovit poškozené obrázky ale ty mi to taky nenačetly. Holt měl mít zálohu mno.