Перейти к содержанию

Рекомендуемые сообщения

Добрый день.

Сегодня утром обнаружил, что на компьютере все файлы стали размером 0 кб.

В папке появились два текстовых файла

Содержимое:

 

ЕСЛИ ВАМ НУЖНЫ ФАЙЛЫ ПИШИТЕ__

 
 
postal.surgut@danwin1210.me

К сожалению программы по восстановлению не помогают.

Стоял антивирус Avast - ничего не обнаружил не в момент атаки, ни после.

Сейчас Касперский установил, также ничего не нашёл (касаемо данного вирус)

Подскажите есть ли шанс защититься от подобной проблемы в будущем. 

Потерял очень много важных файлов (документы, фотографии) - всё 0 кб.

Может быть кто то знает способ откатить версии файлов?

 

Сообщение от модератора kmscom
тема перемещена из раздела Компьютерная помощь
Ссылка на комментарий
Поделиться на другие сайты

внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

 

 

История переписки:

 

postal.surgut@danwin1210.me

Я - "Нужны файлы"

Ответ: - 25000 руб.

Я - "Для подтверждения, что файлы возможно восстановить. Восстановите один файл и пришлите"

Ответ: - "текущий ip компьютера напишите"

Я - "Как узнать?"

Ответ: - "сmотрите на сайте 2ip.ru"

Я: "100.90.80.70" - IP был выслан реальный.

Ответ: "4 файла с моего компьютера"

Я - "Один файл из конкретной папки можете восстановить. Интересуют *** файлы.?"

Ответ - "нет физически файлы у Вас, после оплаты Вы получаете программу которая все вернет на места, можем выгрузить список всех текущих файлов которые у вас с размерами"

Я - "Давай так"

Ответ: - "Файл - список" (директории - размер файла - Название

Я - "Куда оплачивать?"

Ответ: "оплата только через киви кошелек. 1 создаете кошелек на сайту qiwi.ru. 2 пополняете его. 3 после будете делать оплату со своего кошелька"

Я - "Не понял, что нужно сделать? Новый кошелёк создать?"

Ответ "создать новый кошелек. после пополнить его с карты или через терминал оплаты"

 

Думаю, что дело было так:

 

Запустив вирус, он сканирует файлы и папки. Всё это пишет в файлик. Отправляет злоумышленнику. Файл со списком, а также случайные файлы (понятное дело, что попросят продемонстрировать, а тут раз и как по волшебству восстановили несколько файлов. НЕТ!!! Они сначала были отправлены злоумышленнику, а потом стёрты с Вашего ПК).

После чего файл стираются безвозвратно до 0 кб (несмотря на фразочку "физически файлы у Вас" - проблема в том, что сложно скрыть 12 гб информации, если на диске занято 0,5 ГБ.

 

Ни в коем случае не ведитесь на аналогичные проблемы.

 

P.S. прикрепил анализ ПК.

Хотелось бы всё такие разобраться, остался ли доступ к ПК

CollectionLog-2017.11.21-12.14.zip

report1.log

report2.log

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Скрипт закроет уязвимости в IE.

 

Доступ в общую папку

D:\SHARE

под паролем?

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

  • 3 недели спустя...

 

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Addition.txt

FRST.txt

Shortcut.txt

Ссылка на комментарий
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction <==== ATTENTION
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • composer1995
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
    • sekvoya
      Автор sekvoya
      В браузере появляется расширение AdBlock, которое ломает разметку. При удалении расширения все становится нормально. Однако, после перезапуска ПК, расширение появляется в браузере вновь. Также в папке Temp появляется папка, которую нельзя удалить "2xzjmmugjeoboytjoc0goumkkhc"
      CollectionLog-2025.07.05-18.18.zip
    • sasaks11
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Aleks yakov
      Автор Aleks yakov
      Здравствуйте  шифровальщик заразил 2 пк в локальной сети (kozanostra)
      Новая папка.zip
    • Nickopol
      Автор Nickopol
      HEUR:Trojan.Win64.Miner.gen (так определил касперский). Как избавиться без переустановки винды? Создаёт папку в ProgramData типа paperprotector-1c42cf80-e801-4c6e-8375-3b7be1b4649c. paperprotector.exe - запускаемый файл 
×
×
  • Создать...