Моим пк управляли удалённо,исчезли файлы рабочего стола.

**AxE_15** · 19.08.2020, 15:48

17.08.2020 утром просыпаюсь,смотрю мой пк живет своей жизнью.
Были открыты миллион вкладок пэинта с нарисованными,различные ошибки,слетела активация винды,удаленные 2 страницы моих от вк (и разосланы были оскорбительные смс с моих стр друзьями) и что самое главное удален весь рабочий стол Файлы,папки и тд все под чистую,НО при этом объем диска не изменился.

Перезагрузил комп,открыл диспетчер,там был dllhost.exe жрущий 25% цп уже неделю,я сразу понял что это он.Резко скачал касперский и он его же и удалил.+ несколько вирусняков.

Я думаю он спрятал куда файлы с раб стола,т.к проверял программами Recuva и Easy Recovery Pro,они много чего показывают удаленного но в этих списках нет файлов с рабочего стола.И еще потому что объем накопителя не изменился.

Как мне найти,от искать,вернуть мои файлы?Подскажите пожалуйста.
(Ps:он еще с моей страницы подписался на свою,я пытался с ним общаться и узнать что он сделал.Он всего лишь сказал приблизительно где находился вирус (но мне было уже фиолетово т.к касперский уже его удалил) , а на вопрос где мои файлы он не ответил и ограничил отправку ему сообщений,могу скинуть скрины переписки.Сказал что сделал какой-то бинд

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 19.08.2020, 15:49

Уважаемый(ая) AxE_15, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 19.08.2020, 18:48

Лог прикрепите по правилам, через "скрепку" в расширенном режиме.

**AxE_15** · 19.08.2020, 18:59

готово

**Vvvyg** · 19.08.2020, 19:00

PC Remote Receiver 7.2.0 - установлен 2020/05/18 12:56:55 - сами установили? Удалите, и Advanced SystemCare тоже.

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\Zver\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\ViKing Botovod.lnk"     -> ["C:\Users\Zver\Desktop\Botovod Lite\Botovod.exe"]
>>>  "C:\Users\Zver\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\ViKing Botovod (2).lnk"           -> ["C:\Users\Zver\Desktop\Новая папка (3)\Botovod.exe"]
>>>  "C:\Users\Zver\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\ComMods Injector.lnk"   -> ["C:\Users\Zver\Desktop\Commods.exe"]
>>>  "C:\Users\Zver\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\LSender VK PRO.lnk"     -> ["C:\Users\Zver\Desktop\LSender VK PRO\LSender VK PRO 4.1.1.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Sims 4\(64) The Sims 4.lnk"           -> ["D:\Games\The Sims 4\Game\Bin\TS4.exe"]

Отчёт о работе прикрепите.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**AxE_15** · 19.08.2020, 20:03

вот

- - - - -Добавлено - - - - -

PC Remote Receiver да,я устанавливал т.к и други программы,но на них можно не думать.Viking Botovod Pro вообще приватная программа с привязкой по жд,за 3500 когда-то покупал.Да и проэкт этот закрыт уже несколько лет.Этот вирус я сподхватил когда пытался найти ЧИТ на игру Valorant

, накачал вроде бы с без обидных форумов,установились какие-то vkontakte dj и еще что-то,а этот вирус туда наверное вшит был.Я значению не придал даже этим программам т.к защитник виндовс ничего и не сказал даже)
Вот диалог с тем человеком который в тот день контролировал и испротил мой пк

3223.jpg 43.jpg

**Vvvyg** · 19.08.2020, 21:08

Так от нас-то что требуется? Кто и как управлял - понятно, удалите эти программы.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
S3 GPU-Z-v2; no ImagePath
S3 c8vlt01; \??\C:\Users\Zver\AppData\Local\Temp\c8vlt01.sys [X] <==== ATTENTION
Folder: C:\ProgramData\brbPPxbHbbpdTjX
2020-08-12 20:28 - 2020-08-12 20:58 - 000000000 ____D C:\ProgramData\VkontaekatDJ
HKU\S-1-5-21-3570600297-3319255033-4021582852-1002\...\StartupApproved\Run: => "GoogleChromeAutoLaunch_4E8F0927BAFF7F7A76C095D55CF63EE9"
HKU\S-1-5-21-3570600297-3319255033-4021582852-1002\...\StartupApproved\Run: => "GoogleChromeAutoLaunch_2AAFBB7EEA4243A96897C9E5038C1F32"
FirewallRules: [{D69CA120-FA0E-49C6-AA00-0FF1CDDC6734}] => (Allow) C:\Users\Zver\AppData\Local\Temp\andy-x64\Setup.exe => No File
FirewallRules: [{F5D538FC-478D-47FF-9767-0A13E40FEDEF}] => (Allow) C:\Users\Zver\AppData\Local\Temp\andy-x64\Setup.exe => No File
FirewallRules: [{0585611B-97C3-4B87-83A4-5AFE212B0910}] => (Allow) C:\Program Files\Andy\andy.exe => No File
FirewallRules: [{A54B778B-8679-4D31-A14A-0C09108E6D7B}] => (Allow) C:\Program Files\Andy\andy.exe => No File
FirewallRules: [{687ED799-6030-4E1C-A537-76E94E77C79C}] => (Allow) C:\Program Files\Andy\AndyConsole.exe => No File
FirewallRules: [{C6F8CBA9-A615-4FE8-82AE-4A9DBC26A9F7}] => (Allow) C:\Program Files\Andy\AndyConsole.exe => No File
FirewallRules: [{C76977EA-E813-4186-BD1F-7A6B77AA3483}] => (Allow) C:\Program Files\Andy\HandyAndy.exe => No File
FirewallRules: [{F263C861-AE3F-45AA-8B69-3BE66CF9FFA7}] => (Allow) C:\Program Files\Andy\HandyAndy.exe => No File
FirewallRules: [{13D42E2F-44D9-4B97-AFB5-72DF30772398}] => (Allow) C:\Program Files\Andy\SetupFiles\Uninstall.exe => No File
FirewallRules: [{E9EC76A2-1D8E-4B21-967D-DC581400317F}] => (Allow) C:\Program Files\Andy\SetupFiles\Uninstall.exe => No File
FirewallRules: [{D54167C3-326D-4989-A079-EC6B75AAB436}] => (Allow) C:\Users\Zver\AppData\Local\Temp\RemoveTemp.exe => No File
FirewallRules: [{22DB2A35-8C58-4BF5-861F-D7A3C5C76253}] => (Allow) C:\Users\Zver\AppData\Local\Temp\RemoveTemp.exe => No File
FirewallRules: [{E634BC86-7950-4699-A193-F205162B2DDC}] => (Allow) C:\Program Files\Andy\SetupFiles\VMwareCheck.exe => No File
FirewallRules: [{7462BD95-D384-48B9-9ED7-C0A1466E5BD8}] => (Allow) C:\Program Files\Andy\SetupFiles\VMwareCheck.exe => No File
FirewallRules: [{9D13B230-85E1-4135-AB65-42A41AF53503}] => (Allow) C:\Program Files\Andy\SetupFiles\AndyDoctor.exe => No File
FirewallRules: [{040616D7-49E5-4BF5-9F3D-045BF535EDD1}] => (Allow) C:\Program Files\Andy\SetupFiles\AndyDoctor.exe => No File
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

**AxE_15** · 19.08.2020, 22:40

А как мне найти файлы которые он спрятал?Он оставил пустой рабочий стол

**Vvvyg** · 20.08.2020, 07:53

Если бы были точки восстановления системы - вернули бы. У вас была только созданная уже после того как:

17-08-2020 13:42:35 Операция восстановления

**AxE_15** · 20.08.2020, 12:33

жаль(

**Vvvyg** · 20.08.2020, 13:01

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Моим пк управляли удалённо,исчезли файлы рабочего стола. (заявка № 225506)

Опции темы