Cryptowal, malware, ayuda

el facebook de un amigo esta infectado con el virus malware como recupero la cuenta de face

Lo primero es revisar si tienes Previous Versions habilitado...escoje cualquier carpeta y con el boton derecho del mouse elije propiedades...busca la pestaña de Previous Versions y si aparecen fechas...busca a ver si salen fechas previas a la infeccion.

ya me fije, no hay fechas previas.

Descarga Shadow Explorer y dime si encuentra fechas previas
https://www.shadowexplorer.com/uploads/ShadowExplorer-0.9-setup.exe

Lo baje, me aparecen muchas carpetas, creo que todas las del equipo. Donde me fijo si hay versiones previas?

Ya encontre, una del de mayo, hace una semana

Verifica primero en Modo Seguro con networking (internet) ...Te dejo donde se ocultan sus archivos para borrar manualmente en Modo Seguro
--------------------------------------------------------------------------------------------------------------------

Presiona la tecla Windows + R y escribe lo siguiente


%userprofile%\application data\microsoft (Borra...[random].exe)

%userprofile%\appdata\local\temp (Borra TODO lo que hay alli)

%Program Files%\CryptoWall Decrypter (Borra esa carpeta)
-------------------------------------------------------------------------------------------------------------------------------

En el registro de Windows estan los siguientes keys del virus.Borralas,si no sabes como llegar,deja que los Antimalware que descargaste se encarguen del asunto.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msmpeng.exe "Debugger" = 'svchost.exe'


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CryptoWall Decrypter


HKEY_LOCAL_MACHINE\SOFTWARE\CryptoWall Decrypter


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore "DisableSR " = '1?


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\ekrn.exe "Debugger" = 'svchost.exe'


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "WarnOnHTTPSToHTTPRedirect" = '0?


HKEY_CURRENT_USER\Software\CryptoWall Decrypter
-----------------------------------------------------------------------------------------------------------------------------------

Ejecuta y actualiza las herramientas de desinfeccion.

Se me olvido un detalle Presiona la tecla Windows + R y escribe control.exe folders das enter


Ese comando abrira Opciones de Carpeta,en la pestaña "Ver" pon las cosas como se muestra en la foto de abajo

https://3.bp.blogspot.com/_mHjezx633hw/TE722fDhFXI/AAAAAAAAEeo/tFP-EmLG0dA/s400/Opciones+de+carpeta.jpg

de las rutas de archivos que me pasaste, solo encontre la de la carpeta temp y borre todo, los otros del registro (entrando con regedit), no encontre ninguno. Estoy en el proceso de desinfeccion con los antivirus, despues te cuento como me fue,.
tengo una ultima consulta, como restauro los archivos de las copias anteriores con el programa shadowexplorer? Esa es mi ultima duda, cualquier cosa te pregunto mas.

Con Shadow Explorer buscas la carpeta donde están los datos personales por lo general

C:\Users\" Tu nombre de usuario"


Y elije una fecha antes de la infección...HAZLO HOY MISMO SI PUEDES ,antes que se borren las fechas a una mas recientes,no es juego.

Pasa lo restaurado a una nueva carpeta en C:,crea una cuenta nueva de usuario y pasa lo restaurado a esa cuenta...luego borra la cuenta vieja que es la que tiene los archivos encriptados.

Cuando termines...borra todos los puntos de restauración para eliminar los puntos de restauración con los documentos encriptados.

Crea un punto nuevo de restauración y listo...


Orienta a tu amigo sobre el peligro de no revisar correos desconocidos y que siempre tenga cuidado donde entra en internet.

Suerte

Video Tutorial:
https://www.youtube.com/watch?v=tL-pNIbeS7U

Muchas gracias por la info, una pregunta. Si el usuario que estaba infectado es el administrador, puedo borrarlo al crear otro?

Ya estuve retando a mi amigo y orientandolo un poco. No tenia antivirus, desde hace unas semanas, y ahi creo que fue cuando se le infecto.
Tendre que restaurar creo que mas que los archivos del usuario, porque tiene el disco duro particionado, y muchos archivos encriptados estaban en este disco, no en el que esta el SO.
Pasando el antivirus, me detecto 50. Estoy por restaurarlos.