Каким то образом удаляется файлы из избранных в телеграм, и Сообщения и чаты в ВК. Делает это конкретный человек, не знаю как. Прикрепленных устройств на телефоне нет
Есть подозрения на удалённый доступ через компьютер

Уважаемый(ая) Rongelain, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи (https://virusinfo.info/pravila.html).

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+ (https://virusinfo.info/content.php?r=613-sub_pomogite).

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект (https://virusinfo.info/content.php?r=113-virusinfo.info-donate).

Деинсталлируйте VeePN, версия 1.5.0, программа удалена по сути. Если нет возможности удалить стандартным способом - сделайте принудительно, с помощью Geek Uninstaller Free (https://geekuninstaller.com/ru/download).

Признаков УД нет.

Скачайте Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) или с зеркала (https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

Здравствуйте. Благодарю за подробную инструкцию. Высылаю ответ

Выделите и скопируйте в буфер обмена следующий код:
Start::
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [Cm108BSound] => "C:\Program Files\DS502 GAMING Headset\CPL\DS_502_Headset.exe" /h /d (Нет файла)
HKU\S-1-5-21-1747527773-2339651434-1746602954-1001\...\Run: [VeePN] => C:\Program Files (x86)\VeePN\VeePN.exe (Нет файла)
CHR HKU\S-1-5-21-1747527773-2339651434-1746602954-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\ Extension: [pchfckkccldkbclgdepkaonamkignanh]
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
S2 AVService; C:\Program Files (x86)\VeePN\avservice\avservice.exe [X]
FirewallRules: [{C36D7B21-D5FD-4697-B369-43F763400E75}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Skyrim Special Edition\SkyrimSELauncher.exe => Нет файла
FirewallRules: [{F1D9DF0B-E65E-4FCD-BCFD-AC5C82D00564}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Skyrim Special Edition\SkyrimSELauncher.exe => Нет файла
FirewallRules: [{FCDD070F-D77B-4D6B-A565-A5249C65BD0D}] => (Allow) C:\Program Files (x86)\Ubisoft\James Cameron's AVATAR - THE GAME\bin\Avatar.exe => Нет файла
FirewallRules: [{6561FC00-AC93-4785-9680-B5FC63B2C0F6}] => (Allow) C:\Program Files (x86)\Ubisoft\James Cameron's AVATAR - THE GAME\bin\Avatar.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uni nstall\{DA61046C-C0C7-49D3-9C71-C09A8069FE49}_is1
StartBatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\U ser Data\Default\Cache\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\Cache_Data\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q C:\Windows\Temp\*.* >nul
del /s /q "%userprofile%\AppData\Local\temp\*.*" >nul
del /s /q C:\Windows\Minidump\*.dmp >nul
del /q C:\Windows\MEMORY.DMP
ipconfig /flushdns
sfc /scannow
endbatch:
Reboot:
End::Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Вставлять код никуда не нужно, программа возьмёт его из буфера обмена. Будет создан лог-файл (Fixlog.txt), прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.

Поменяйте пароли в Telegram и Вконтакте, настройте 2FA, гайды есть в интернете.

Деинсталлируйте Trojan Killer 2.1.59, толку от него чуть.

Обновите 7-Zip: Обнаружена уязвимость в 7-Zip, которую могут использовать в атаках на пользователей архиватора. (https://www.kaspersky.ru/blog/cve-2025-0411-motw-subvert/38933/)

Здравствуйте, спасибо большое
Прикрепляю текстовый документ

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj (https://yadi.sk/d/xIUtpEqJq4wru).
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.