Перейти к содержанию
Правила раздела

Исчезли все документы, но появился 2-й диск С: (Отсутствует)

zyablik

Автор zyablik
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

zyablik Профи

zyablik

Опубликовано
Опубликовано (изменено)

Служебный комп, Windows 8.1, за глазами. Пользователь — зам. директора — долго болела. Разве что в августе 1 раз включала, но уже заметила пропажу с Раб.Стола некоторых документов. А недавно вышла на работу, включала всего несколько раз. Сегодня вообще всё с компьютера пропало. И программы многие при вызове то пытаются установиться, то их вообще нет. Человек в предынфарктном состоянии. Действительно комп как будто чист. Хотя 60 Гб на диске занято. Диск D почти пуст, хотя это было не так — сам помню. Лог автологера сделали. Что характерно: во вкладке "Защита системы" появляется "дополнительный" (!) диск, названный как "С: (Отсутствует)". Хотя в "Управлении компьютером" такого нет. Чертовщина какая-то. Приложу поэтому еще два скрина. Говорить о вирусе не хочется — Kaspersky Free есть. Видимо, фри есть фри.
В этой партии компьютеров (штук 10, Depo Neos 250SE, покупки конца 2015 г.) были проблемы и с HDD (Toshiba DT01), и с мамками. И, д/б, я с вами с этим компом уже работал, т.к. сохранился один файл GSI 2017 г. (но, похоже, там были проблемы другие). Но тоже вложу его до кучи.
CollectionLog-2021.11.08-13.56.zip
502595169_1.jpg.22dc93830b730a9770586b7035296ac0.jpg
1422364620_2.thumb.jpg.87907025ea3a2516489b0fc43c501892.jpg
GetSystemInfo_PC154_UserPC154_2017_03_22_10_02_05.zip
Спасибо.

Изменено пользователем zyablik
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Здравствуйте,

- Скачайте Farbar Recovery Scan Tool  FRST_Icon.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
    FRST.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Like (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Здравствуйте,

 

в предоставленных логах, я не заменил вредоносного ПО. Скорее всего проблема не связанна с вирусами.
 

Заметил остатки от антивируса Avast.
  

U3 aswbdisk; отсутствует ImagePath
U3 aswblog; отсутствует ImagePath
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла



Удалите остатки от антивируса Avast утилитой Avast Remover.

Также присутствуют сслыки на несуществующие объекты, для очистки вы можете выполнить следующие инструкции.
 

  1. Закройте и сохраните все открытые приложения.
  2. Выделите следующий код:: 
    Start::
CreateRestorePoint:
Task: {2BFA80D5-F610-4988-9125-EFC4491EF0F9} - System32\Tasks\Opera scheduled Autoupdate 1559651032 => C:\Users\UserPC154\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (Нет файла)
Task: {7A7C5CEE-22EF-460A-BBF9-28588978B058} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentFallBack => E:\Programs\Microsoft Office\Office15\msoia.exe scan upload mininterval:2880 (Нет файла)
FF HKLM\...\Firefox\Extensions: [light_plugin_7571494CE0B94E11BB762B659A4AD71F@kaspersky.com] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Free 21.3\FFExt\light_plugin_firefox\addon.xpi => не найдено
FF HKLM-x32\...\Firefox\Extensions: [light_plugin_7571494CE0B94E11BB762B659A4AD71F@kaspersky.com] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Free 21.3\FFExt\light_plugin_firefox\addon.xpi => не найдено
FF Plugin: @microsoft.com/SharePoint,version=14.0 -> E:\Programs\Microsoft Office\Office15\NPSPWRAP.DLL [Нет файла]
CHR HKU\S-1-5-21-2633579703-1755105232-1665030018-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
CHR HKU\S-1-5-21-2633579703-1755105232-1665030018-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pjfkgjlnocfakoheoapicnknoglipapd]
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki]
U3 aswbdisk; отсутствует ImagePath
U3 aswblog; отсутствует ImagePath
Folder: C:\Windows\elambkup64
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
ContextMenuHandlers1: [FineReader11ContextMenu] -> {79E48320-C6B5-49F1-992B-571D53586885} => E:\Programs\ABBYY FineReader 11\FRIntegration.x64.dll -> Нет файла
AlternateDataStreams: C:\Users\UserPC154\Local Settings:String [148]
AlternateDataStreams: C:\Users\UserPC154\AppData\Local:String [148]
AlternateDataStreams: C:\Users\UserPC154\AppData\Local\Application Data:String [148]
FirewallRules: [TCP Query User{0AD06D0B-CDC5-40C2-9F4B-9B89DAE2338C}F:\snappy driver installer\sdi_x64_r423.exe] => (Block) F:\snappy driver installer\sdi_x64_r423.exe => Нет файла
FirewallRules: [UDP Query User{7A0C3179-95B0-40F9-979A-842D5CE05662}F:\snappy driver installer\sdi_x64_r423.exe] => (Block) F:\snappy driver installer\sdi_x64_r423.exe => Нет файла
FirewallRules: [{706CB3C0-1DBA-4AA2-9DA7-A0DF507B25E6}] => (Allow) E:\Programs\Microsoft Office\Office15\outlook.exe => Нет файла
FirewallRules: [{AAA223AF-B6F9-4DA2-A8AF-87044AEFE1FB}] => (Allow) C:\Users\UserPC154\AppData\Local\Programs\Opera\67.0.3575.97\opera.exe => Нет файла
FirewallRules: [{3661A71C-E190-4CF1-B5AD-D324111EAF7F}] => (Allow) C:\Users\UserPC154\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{AB8B193F-199A-4224-9CB7-7F43FB9E0A45}] => (Allow) C:\Users\UserPC154\AppData\Local\Programs\Opera\72.0.3815.320\opera.exe => Нет файла
FirewallRules: [{D91FA086-EECB-4EFA-BEF0-7CB062527D6F}] => (Allow) C:\Users\UserPC154\AppData\Local\Programs\Opera\72.0.3815.400\opera.exe => Нет файла
End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
  6. Обратите внимание, что компьютер будет возможно перезагружен.
  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
zyablik Профи

zyablik

Опубликовано
  • Автор
Опубликовано

Fixlog.txt

Я так начинаю понимать, что шансов вернуть документы нет. Хотя львиная доля диска С занята. Странное дело: чем?
Тогда вопрос такой: что если я создам на этом компьютере нового пользователя? Шансов вернуть содержимое того пользователя (UserPC154) станет еще меньше? Или вообще от этого ничего не зависит? Вердикт в итоге: беспричинный каюк пользовательским файлам (?). На старости лет вернулись проблемы, мучившие нас в молодости с Windows 3.11 (1993-й год, кажется, если правильно помню) ?! Офигеть просто. Вот тебе, батенька, 8 точка 1, если не видел.🧐

Ссылка на комментарий
Поделиться на другие сайты
zyablik Профи

zyablik

Опубликовано
  • Автор
Опубликовано (изменено)

Отчет GSI6_PC154_UserPC154_11_10_2021_15_28_48.zip весит больше 8 Мб, поэтому пришлось выставлять на Яndex-диск: https://disk.yandex.ru/d/nOaNheef62prJw 

Изменено пользователем zyablik
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано
10 hours ago, zyablik said:

поэтому пришлось выставлять на Яndex-диск:

Спасибо, можете удалять. В журналах системы не записей о том, что диск был поврежден и т.п.

Проверьте пожалуйста, может было обновление и все файлы остались в каталоге Windows.old.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Polina52
      [РЕШЕНО] Появился майнер
      Автор Polina52
      Начал греться ноутбук, грузится цп. На многие сайты не смогла зайти и некоторые программы поставить. Благодарю за ответ.
      Логи прилагаю
      Addition.txt FRST.txt
    • specxpilot
      proton ransomware Не появилась ли возможность рашифровать?
      Автор specxpilot
    • Mrak
      Насколько безопасно использовать лицо и голос вместо документов
      Автор Mrak
      Всем привет! Хотел обсудить безопасность сдачи государству биометрических данных.
       
      На официальном сайте https://ebs.ru/citizens/ указаны некоторые положительные стороны. Например, при сдаче расширенной биометрии больше не надо ходить в офис оператора связи. Также можно спокойно сделать квалифицированную ЭЦП бесплатно (без ежегодных взносов, как с иными организациями).
      Плюс надо учитывать, что у государства уже есть часть данных из-за выдачи паспорта гражданина РФ и загранпаспорта РФ. Биометрические данные в неполном виде хранятся в связи с заключением договора банковского обслуживания (иначе они дистанционно не смогут обслужить, подтверждать операции по фото или голосу).
       
      Отсюда вопрос: сдавать ли самые полные биометрические данные и пользоваться всеми возможными благами (чего уже стесняться, когда часть данных уже записано?), либо повременить, ведь в случае утечки лицо и голос уже не переделать? 
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь".
    • alexchernobylov
      Зашифровали диски на уровне разделов
      Автор alexchernobylov
      Добрый день.
      Windows Server 2019
      Зашифрованы целые раздел с системой. Файловая система RAW. При включении появляется окно ввести пароль. Диски как будто зашифрованы BitLocker-ом.
      Один сервер скорее всего пробили по RDP, а второй сервер был без доступа по RDP и в другом домене (но на нем была виртуальная машина с RDP).
      Написал в телеграмм - просят 5000 долларов за восстановление 2 гипервизоров.
      Они спросили имя домена, серверов или их айпишники.
      Доступа к диску нет и файлы никакие не получить.
      Подскажите, пожалуйста, как справиться с данной заразой.


    • sss28.05.2025
      Зашифрованы BitLocker не системные диски/
      Автор sss28.05.2025
      Добрый день.
      Зловред залетел моментом на многие сервера по спику из ремоут десктоп менеджера и на всем куда смог попасть зашифровал все диски кроме с:\
      вложил файл PLEASE READ.txt PLEASE READ_пароль_1111.7z на рабочий стол пользователя под которым попал на сервер.
      На одном из серверов удалось поймать файл в C:\Users\%username%\Documents\vc.txtvc_пароль_1111.7z
      Пособирал файлики которые менялись на компе в момент атаки - может чем-то поможет для анализа_файлы которые изменились в момент доступа_злодея_пароль_1111.7z
       
       
       
      PLEASE READ_пароль_1111.7z
×
×
  • Создать...