Пропала папка с локального диска.Win7

**vadim9090** · 14.04.2019, 22:04

Добрый день, уважаемые участники форума.
Впервые сталкиваюсь с такой проблемой.

Стоит win7 x64. На локальном диске D была папка "Abc Def". Внутри прога 1с, база 1с, папки с файлами ворда и экзеля для работы. был ярлык на рабочем столе, путь которого вел к этой папке. Так же был ярлык программы 1с. Все работало и открывалось.
Во время игры вдруг выходит сообщение что путь ошибочный и такого файла нет. Захожу в диск D а там действительно такой папки нет.
Перед этим комп сам начал ставить разные утилиты от мейл ру, вкладки на раб. столе, ярлыки, дом страницы и прочее.
Прогнал касперским вирус ремувалом, доктор вебом кьюр ит утилитами. Нашлись вирусы, что то было вылечено, что то удалено.
Дальше начал ставить проги для рекавери файлов, поставил фаервол.
Проги для рекавери восстанавливали даже файлы удаленные в далеком
2012году, но ни один файл из нужной мне папки. Их просто не было в рекавери.
Соответственно и появилось подозрение что файлы просто скрыты и переименованы.
Поиск в тотал командере тоже не помог. Как будто папка просто ищезла.
Неужели можно удалить папку с разными типами файлов бесследно. Как будто бы ее и не было?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 14.04.2019, 22:06

Уважаемый(ая) vadim9090, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

SQ · 15.04.2019, 05:16

Здравствуйте,

Знакомы ли вам следующие DNS-сервера:

Код:

O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{E22A69A3-1C26-47D7-867E-096F703687AF}: [NameServer] = 80.80.208.1
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{E22A69A3-1C26-47D7-867E-096F703687AF}: [NameServer] = 89.236.192.1

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

Код:

R3 - HKCU\..\URLSearchHooks: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
R3 - HKCU\..\URLSearchHooks: (no name) - {2C6A44CB-AD42-4731-A544-3FBD3D83AB5B} - (no file)
O2 - HKLM\..\BHO: YoutubeAdBlock - {E3049DDB-BF78-48FC-A37E-190DF306098F} - C:\Program Files (x86)\UskxRRlzeIE\tfAlPL3.dll (file missing)
O3-32 - HKLM\..\Toolbar: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
O9 - Button: HKLM\..\{7815BE26-237D-41A8-A98F-F7BD75F71086}: (no name) - (no file)
O9 - Tools menu item: HKLM\..\{7815BE26-237D-41A8-A98F-F7BD75F71086}: Send by Bluetooth to - (no file)
O22 - Task: ibJpIYXyiJAzhX - C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\uxWYYtabHkcU2\eqkrfinSUbQCn.dll",#1

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 QuarantineFile('C:\Program Files (x86)\uxWYYtabHkcU2\eqkrfinSUbQCn.dll','');
 QuarantineFile('C:\Program Files (x86)\vRwOCVQUU\qriSbC.dll','');
 QuarantineFile('workstations.exe','');
 QuarantineFile('c:\ProgramData\AVP60MP4\kloehk.dll','');
 QuarantineFile('windows.exe','');
 QuarantineFile('anti-virus.exe','');
 QuarantineFile('c:\program files (x86)\e-imzo\e-imzo.exe','');
 DeleteFile('C:\Windows\system32\Tasks\CQoUOHDHfRnWDml2','64');
 DeleteFile('C:\Windows\system32\Tasks\ibJpIYXyiJAzhX','64');
 DeleteFile('C:\Program Files (x86)\vRwOCVQUU\qriSbC.dll','32');
 DeleteFile('C:\Program Files (x86)\uxWYYtabHkcU2\eqkrfinSUbQCn.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Подготовьте лог AdwCleaner и приложите его в теме.

**vadim9090** · 15.04.2019, 21:51

Спасибо за содействие! Готово.

Здравствуйте,

Знакомы ли вам следующие DNS-сервера:
Код:

O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{E22A6 9A3-1C26-47D7-867E-096F703687AF}: [NameServer] = 80.80.208.1
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{E22A6 9A3-1C26-47D7-867E-096F703687AF}: [NameServer] = 89.236.192.1

Через поиск по айпи выдает информацию что это мой интернет провайдер

SQ · 16.04.2019, 01:35

приложите запрошенные ранее логи, спасибо.

**vadim9090** · 16.04.2019, 07:46

Готово.

SQ · 16.04.2019, 12:50

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

**vadim9090** · 17.04.2019, 19:52

Спасибо!
Готово!

SQ · 18.04.2019, 02:10

- Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

- - - - -Добавлено - - - - -

Сообщение от vadim9090

Соответственно и появилось подозрение что файлы просто скрыты и переименованы.
Поиск в тотал командере тоже не помог. Как будто папка просто ищезла.
Неужели можно удалить папку с разными типами файлов бесследно. Как будто бы ее и не было?

К сожалению возможность удалить без возможности восстановления есть. Уточните пожалуйста а размер свободного пространства диска D: изменилась также?

**vadim9090** · 18.04.2019, 21:31

К сожалению возможность удалить без возможности восстановления есть. Уточните пожалуйста а размер свободного пространства диска D: изменилась также?

Вложение 677436

Может ли это различие в размере служить основанием полагать что где то есть скрытая папка? Размер пропавшей папки от силы 300 мб (1с база и файлы экзеля) поэтому особого изменения в размере я не заметил.

Текстовые файлы прикреплены. Спасибо.

В Addition.txt нашел через поиск даже расположение старых файлов

Shortcut: C:\Users\Asus\AppData\Roaming\Microsoft\Excel\Зарп лата%20ЧП%20red%20hot2018307225920749268615\Зарпла та%20ЧП%20red%20hot2018.xls.lnk -> D:\RedHot\Зарплата\Зарплата ЧП red hot2018.xls (No File) <==== Cyrillic

SQ · 19.04.2019, 00:48

No File - означает, что файл нет. Уточните пожалуйста, вы ранее пробовали утилиту для восстановления файлов Get Data Back for Fat/Ntfs, в некоторых случаях помогало восстановить, в случае когда это возможно.

Закройте и сохраните все открытые приложения.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

Start::
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction - Chrome <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
BHO-x32: AlterGeoBHO Class -> {9BFBA68E-E21B-458E-AE12-FE85E903D2C0} -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll => No File
FF Plugin HKU\.DEFAULT: @altergeo.ru/Html5loc -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll [No File]
FF Plugin HKU\S-1-5-21-432902497-2983223884-2934884974-1000: @altergeo.ru/Html5loc -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll [No File]
2019-03-26 20:19 - 2019-04-09 08:31 - 000000000 ____D C:\Users\Все пользователи\sZIQPBuDBzZrGnVB
2019-03-26 20:19 - 2019-04-09 08:31 - 000000000 ____D C:\ProgramData\sZIQPBuDBzZrGnVB
2019-03-26 20:19 - 2019-04-09 08:31 - 000000000 ____D C:\Program Files (x86)\wlOQdbdAbKCPMZlaspR
2019-03-26 20:19 - 2019-04-09 08:31 - 000000000 ____D C:\Program Files (x86)\rdjrzCoRIiUn
2019-03-26 20:19 - 2019-04-09 08:31 - 000000000 ____D C:\Program Files (x86)\gaGsdtLUnZVbC
2019-03-26 20:19 - 2019-04-05 01:32 - 000000000 ____D C:\Program Files (x86)\UskxRRlzeIE
2019-03-26 20:19 - 2019-03-31 10:14 - 000000000 ____D C:\Program Files (x86)\vRwOCVQUU
2019-03-26 20:19 - 2019-03-31 10:06 - 000000000 ____D C:\Program Files (x86)\uxWYYtabHkcU2
Folder: C:\Users\Asus\AppData\Local\BigHugeEngine
File: C:\Windows\system32\acovcnt.exe
ContextMenuHandlers4: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} =>  -> No File
Task: {610A8202-5733-4443-9090-D08E47281E79} - \CQoUOHDHfRnWDml2 -> No File <==== ATTENTION
Task: {6460A793-A328-4D9C-9B91-4D063AA7A70E} - \fgGSaNjJEGCCMAFrc2 -> No File <==== ATTENTION
Task: {7886FF0B-D1AC-41A3-8F90-6EBA25D57B35} - \KsiBXBkrajLbH2 -> No File <==== ATTENTION
Task: {A09F378C-023A-4127-BB9B-8DFB1902BC7C} - \ykHTbTXRCCSoIgUMJlX2 -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:10D14739 [244]
AlternateDataStreams: C:\Users\Public\AppData:CSM [472]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [462]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:10D14739 [244]
Reboot:
End::

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**vadim9090** · 19.04.2019, 20:41

Добрый вечер. Готово.

No File - означает, что файл нет. Уточните пожалуйста, вы ранее пробовали утилиту для восстановления файлов Get Data Back for Fat/Ntfs, в некоторых случаях помогало восстановить, в случае когда это возможно.

Get Data Back for Fat/Ntfs нет не пробовал.
Использовал EaseUS Data Recovery Wizard и Disk Drill
Спасибо.

SQ · 20.04.2019, 01:12

По каким-то причинам у Вас отключена возможность восстановления, вы сами отключали?

Код:

Error: (0) Failed to create a restore point.

Попробуйте проверить, через командую строку, если присутствют скрытые или системные каталоги на диске D:

Код:

dir /a:h
dir /a:s

Если не присутствует, то скорее всего они удалены, если программы по восстановлению данных не видят их, то к сожалению восстановить их в большенстве случае не возможно (без специалистов и то никто гарантировать удачных исход не может).

**CyberHelper** · 20.04.2019, 01:22

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:

=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 1
=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=
=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB =E2 =EA=E0=F0=E0=ED=F2=E8=ED=E0=F5 =ED=
=E5 =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB