Перейти к содержимому


Фотография
- - - - -

[РЕШЕНО] Помогите пожалуйста с дешифровщиком

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


Сообщений в теме: 21

#1 OFF   Igor_V_Popov

Igor_V_Popov

    Новичок

  • Новички
  • Cообщений: 12

Отправлено 18 Июль 2019 - 18:34

Доброго времени суток. 
Файлы в архиве:
01. _Vzlom_Matritsy.pdf.id-4649572D.[seavays@aol.com].save - отправлял вымогателям,
01. _Vzlom_Matritsy.pdf - это их ответ, может быть будет полезно. 
Текст окна шифровальщика в файле - баннер.txt
То что шифровальщик оставил на каждом логическом диске - RETURN FILES.txt
 
Пытаюсь восстановить работу сервера, проверил Kaspersky Virus Removal Tool и Dr.Web CureIt!, AutoLogger боюсь запускать, так как после перезагрузки может потеряться доступ к серверу совсем.
На вас вся надежда, так как слышал что вымогателям платить бесполезно, все-равно кинут с дешифровщиком.
 
Отправлял файлы еще в одну контору один файл расшифровали, но запросили неподъемную сумму за дешифровку ((
Карточка предприятия.docx.id-4649572D.[seavays@aol.com].save - зашифрованный файл
Карточка предприятия.docx - то что они расшифровали.

Прикрепленные файлы


  • 0

#2 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 824

Отправлено 18 Июль 2019 - 18:48

Здравствуйте,

Увы, с данным типом шифровальщика помочь не сможем.

Если необходимо чистка то предоставьте логи согласно правилам раздела.


  • 0
  • Спасибо x 1
  • Показать

#3 OFF   Igor_V_Popov

Igor_V_Popov

    Новичок

  • Новички
  • Cообщений: 12

Отправлено 18 Июль 2019 - 18:52

Здравствуйте,

Увы, с данным типом шифровальщика помочь не сможем.

Если необходимо чистка то предоставьте логи согласно правилам раздела.

 

Беда (((  спасибо за ответ.

От вируса вроде бы избавился, но запущу AutoLogger чуть позже и прикреплю логи.


  • 0

#4 OFF   Igor_V_Popov

Igor_V_Popov

    Новичок

  • Новички
  • Cообщений: 12

Отправлено 24 Июль 2019 - 10:30

Доброго времени суток.
Если позволите продолжу в этой же теме.
Переустановил систему, так как в старой даже AutoLogger не запускался.
Сегодня обнаружил на системном разделе две левые папки Adates0r1L0q2xmuCp и Qdatesvtb1L0q2xmuCp с таким же левым содержимым.
У двух пользователей (больше пока не создавал) в папках Desktop и Documents также появились левые файлы с абракадаброй в именах.
Проанализировав копию диска C:\ которую снял до переустановки, нашел в папках пользователей такие же по именам левые файлы, буква в букву.
Так же обнаружил в каталоге пользователей C:\Users два скрытых каталога пользователей Asw1L0q2xmuCp и Q1g1L0q2xmuCp с левыми файлами внутри.
Сделал поиск по именам файлов нашлись также в скрытых каталогах типа C:\Users\User...\Recent туда доступа нет чтобы посмотреть или удалить.
Что это, начинается повторное заражение?
Антивирус Microsoft Security Essentials молчит как рыба об лед, поставил также Kaspersky Anti-Ransomware Tool for Business 4 - тоже тишина.
 
Все файлы и скрины прилагаю в архиве, пароль 123456

Отчет AutoLogger.


ЗЫ Kaspersky Virus Removal Tool и Dr.Web CureIt! также ничего не нашли.

Прикрепленные файлы


  • 0

#5 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 824

Отправлено 24 Июль 2019 - 16:17

Здравствуйте,

Похоже на зашифрованные файлы. В логах ничего плохого не заметил.

- Скачайте Farbar Recovery Scan Tool  FRST_Icon.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
    FRST.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.



 

- Утоните если ваш сервер доступен из вне (с интернета)?
- Также если установлены все критческие обновления закрывающие уязвимости SMB и RDP?


  • 0

#6 OFF   Igor_V_Popov

Igor_V_Popov

    Новичок

  • Новички
  • Cообщений: 12

Отправлено 24 Июль 2019 - 17:53

Эти каталоги и файлы появились сегодня, увидел когда зашел конфигурировать сервер, это и настораживает.

Система свежая два дня как поставил, системный диск форматировался при установке.


- Утоните если ваш сервер доступен из вне (с интернета)?
- Также если установлены все критческие обновления закрывающие уязвимости SMB и RDP?

 

Да сервер доступен извне по белому IP, порты закрыты на уровне маршрутизатора, кроме необходимых, RDP порт по умолчанию (3389) изменен.

Обновления еще устанавливаются, необязательные, критические уже должны были установиться.


У меня подозрение, что это тот же шифровальщик пытается пробиться.

Прикрепленные файлы

  • Прикрепленный файл  Addition.txt   33,83К   скачиваний 2
  • Прикрепленный файл  FRST.txt   192,68К   скачиваний 2

  • 0

#7 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 824

Отправлено 24 Июль 2019 - 18:03

В логах активной угрозы не вижу.
  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
     
    Start::
    CreateRestorePoint:
    File: C:\Windows\system32\wksprt.exe
    File: C:\Windows\system32\TSWbPrxy.exe
    Folder: C:\Program Files\Packaged Programs
    File: C:\Program Files\WinRAR\rarext.dll
    Folder: C:\Users\Botchkarev_AV\AppData\Roaming\Adobe
    Folder: C:\Program Files (x86)\RDS-Tools
    File: C:\Users\Администратор\AppData\Roaming\Updater1C\Updater1C.sys
    End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Вам знакомы следующие пользователи?
krbtgt (0 - Limited - Disabled) => %systemroot%\system32\config\systemprofile
FNLBSRVDC001$ (0 - Limited - Enabled) => %systemroot%\system32\config\systemprofile

- Утоните если ваш сервер доступен из вне (с интернета)?
- Также если установлены все критческие обновления закрывающие уязвимости SMB и RDP?

Так и не ответили на эти вопросы.

Насколько я понимаю у вас роутер Mikrotik, убедитесь пожалуйста, чтобы он не был вломан злоумышлинниками.
  • 0

#8 OFF   Igor_V_Popov

Igor_V_Popov

    Новичок

  • Новички
  • Cообщений: 12

Отправлено 24 Июль 2019 - 19:05

Вам знакомы следующие пользователи?
krbtgt (0 - Limited - Disabled) => %systemroot%\system32\config\systemprofile

Это вроде бы учетная запись службы Kerberos она отключена и насколько помню ее не так просто удалить.

FNLBSRVDC001$ (0 - Limited - Enabled) => %systemroot%\system32\config\systemprofile

Этого пользователя точно не создавал, и я его не вижу в списке пользователей.

 

SQ сказал(а) 24 Июл 2019 - 20:17:snapback.png

- Утоните если ваш сервер доступен из вне (с интернета)?
- Также если установлены все критческие обновления закрывающие уязвимости SMB и RDP?

Так и не ответили на эти вопросы.

 

Если Вы про обновление kb4499175 то оно действительно не было установлено, блин, установил.

 

Насколько я понимаю у вас роутер Mikrotik, убедитесь пожалуйста, чтобы он не был вломан злоумышлинниками. 

Да Mikrotik и на него постоянно пытаются залогинится под дефолтным пользователем это видно по логам, я его сразу отключил и создал нового с надежным паролем и судя по логам под моим пользователем никто кроме меня в него не входил и IP адрес с которого входили тоже мой, этот вариант отметаю.

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   16,17К   скачиваний 1

  • 0

#9 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 824

Отправлено 24 Июль 2019 - 19:50

Проверьте пожалуйста кто владелец указанных вами папок (зашифрованных), хотелось бы понять под каким пользователем они были созданы/модифицированы.

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

 

Да Mikrotik и на него постоянно пытаются залогинится под дефолтным пользователем это видно по логам, я его сразу отключил и создал нового с надежным паролем и судя по логам под моим пользователем никто кроме меня в него не входил и IP адрес с которого входили тоже мой, этот вариант отметаю.

Ознакомьтесь пожалуйста со следуюшей статьей и убедитесь, что все ок. Для чего хакерам Микротик ...


  • 0

#10 OFF   Igor_V_Popov

Igor_V_Popov

    Новичок

  • Новички
  • Cообщений: 12

Отправлено 24 Июль 2019 - 20:01

В двух каталогах что лежат на системном диске С:\ владелец файлов "Администраторы" (Screen_0.jpg)

я так понимаю группа?

На Screen_1 файл из каталога Desktop дефолтной учетной записи "Администратор".

На Screen_2 файл из каталога Desktop учетной записи пользователя.

Этот пользователь был создан и под ним заходил на сервер пару раз, создался профиль пользователя и проверил доступ по RDP

Еще есть пользователь RDV GRAPHICS SERVICE - отключен.

И пользователь "Гость" встроеная учетка, была отключена сразу и поставлен 16-ти значный сложный пароль.


Спасибо, со статьей ознакомлюсь обязательно, потому как год назад Микротик настроил так про него и забыл, логи только иногда просматривал.

Прикрепленные файлы


  • 0

#11 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 824

Отправлено 24 Июль 2019 - 20:11

В логах не нахожу активной угрозы.

- Уточните пожалуйста антивирусный продукт KES 10, что-то выявил?

- Также проверьте логи защитника Windows?
- Программу Dameware для удаленного подключения сами устанавливали?


  • 0

#12 OFF   Igor_V_Popov

Igor_V_Popov

    Новичок

  • Новички
  • Cообщений: 12

Отправлено 24 Июль 2019 - 20:18

- Уточните пожалуйста антивирусный продукт KES 10, что-то выявил?

KES у меня не установлен.

- Также проверьте логи защитника Windows?

В логах Microsoft Security Essentials - чисто, Kaspersky Anti-Ransomware Tool for Business 4 - чисто.

Сканировал свежими Kaspersky Virus Removal Tool и Dr.Web CureIt! - чисто.

- Программу Dameware для удаленного подключения сами устанавливали?

Такую программу не устанавливал.

 

Это точно для моей ветки коммент?


  • 0

#13 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 824

Отправлено 24 Июль 2019 - 20:52

Это точно для моей ветки коммент?

прошу прощения, в uVS не тот лог попал.

 

 

В ваших логах не нахожу активной угрозы. Единственно, прошу вас проверить Far.exe на virustotal.com, а то не удается найти информацию по нему.

Оригинальное имя            Far.exe
Версия файла                1.70 alpha 6 build 2037
Описание                    File and archive manager
Производитель               Eugene Roshal & FAR Group
Комментарий                 TEST ONLY!

  • 0

#14 OFF   Igor_V_Popov

Igor_V_Popov

    Новичок

  • Новички
  • Cообщений: 12

Отправлено 24 Июль 2019 - 21:14

Спасибо огромное за то, что уделили время и оказали помощь.

Я так понимаю, эти непонятные каталоги и файлы проанализированы и их можно удалить?

Пороюсь еще с AD плотно, есть подозрение, что контроллер скомпроментирован, становлюсь параноиком ))


Оригинальное имя Far.exe
Версия файла 1.70 alpha 6 build 2037
Описание File and archive manager
Производитель Eugene Roshal & FAR Group
Комментарий TEST ONLY!

 

проверил - чисто.


  • 0

#15 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 824

Отправлено 24 Июль 2019 - 21:24

Я так понимаю, эти непонятные каталоги и файлы проанализированы и их можно удалить?

Лучше заархивируйте их в zip c паролем virus, возможно в скором будущем будет дешифровальщик
 

Пороюсь еще с AD плотно, есть подозрение, что контроллер скомпроментирован, становлюсь параноиком ))

Вам необходимо проверить другие ПК и сервера к которым доступен этот сервер, возможно они использовали уязвимость smb и зашифровали эти файлы вновь.
Обычно на рабочем столе этих ПК будут файлы с требованиями злоумышшлинников.

Обратите внимание на (у многих аттрибут h - "скрытый"):

2019-07-24 20:41 - 2019-07-24 20:41 - 000509952 ____H C:\Users\Все пользователи\Desktop\yj3minutesNoJKZtzoOx.txt
2019-07-24 20:41 - 2019-07-24 20:41 - 000509952 ____H C:\Users\Public\Desktop\yj3minutesNoJKZtzoOx.txt
2019-07-24 20:41 - 2019-07-24 20:41 - 000509952 ____H C:\ProgramData\Desktop\yj3minutesNoJKZtzoOx.txt
2019-07-24 20:41 - 2019-07-24 20:41 - 000474112 ____H C:\Users\Все пользователи\Desktop\pmdlogNoJKZtzoOx.jpeg
2019-07-24 20:41 - 2019-07-24 20:41 - 000474112 ____H C:\Users\Public\Desktop\pmdlogNoJKZtzoOx.jpeg
2019-07-24 20:41 - 2019-07-24 20:41 - 000474112 ____H C:\ProgramData\Desktop\pmdlogNoJKZtzoOx.jpeg
2019-07-24 20:41 - 2019-07-24 20:41 - 000430080 ____H C:\Users\Все пользователи\Documents\yvmminutesNoJKZtzoOx.xls
2019-07-24 20:41 - 2019-07-24 20:41 - 000430080 ____H C:\Users\Public\Documents\yvmminutesNoJKZtzoOx.xls
2019-07-24 20:41 - 2019-07-24 20:41 - 000430080 ____H C:\ProgramData\Documents\yvmminutesNoJKZtzoOx.xls
2019-07-24 20:41 - 2019-07-24 20:41 - 000420864 ____H C:\Users\Все пользователи\Documents\5tomeetingNoJKZtzoOx.pdf
2019-07-24 20:41 - 2019-07-24 20:41 - 000420864 ____H C:\Users\Public\Documents\5tomeetingNoJKZtzoOx.pdf
2019-07-24 20:41 - 2019-07-24 20:41 - 000420864 ____H C:\ProgramData\Documents\5tomeetingNoJKZtzoOx.pdf
2019-07-24 20:41 - 2019-07-24 20:41 - 000386048 ____H C:\Users\Все пользователи\Documents\5c1meetingNoJKZtzoOx.xls
2019-07-24 20:41 - 2019-07-24 20:41 - 000386048 ____H C:\Users\Public\Documents\5c1meetingNoJKZtzoOx.xls
2019-07-24 20:41 - 2019-07-24 20:41 - 000386048 ____H C:\ProgramData\Documents\5c1meetingNoJKZtzoOx.xls
2019-07-24 20:41 - 2019-07-24 20:41 - 000274432 ____H C:\Users\Все пользователи\Desktop\gi4minutesNoJKZtzoOx.txt
2019-07-24 20:41 - 2019-07-24 20:41 - 000274432 ____H C:\Users\Public\Desktop\gi4minutesNoJKZtzoOx.txt
2019-07-24 20:41 - 2019-07-24 20:41 - 000274432 ____H C:\ProgramData\Desktop\gi4minutesNoJKZtzoOx.txt
2019-07-24 20:41 - 2019-07-24 20:41 - 000174080 ____H C:\Users\Все пользователи\Documents\jtrlogNoJKZtzoOx.ppt
2019-07-24 20:41 - 2019-07-24 20:41 - 000174080 ____H C:\Users\Public\Documents\jtrlogNoJKZtzoOx.ppt
2019-07-24 20:41 - 2019-07-24 20:41 - 000174080 ____H C:\ProgramData\Documents\jtrlogNoJKZtzoOx.ppt
2019-07-24 19:33 - 2019-07-24 19:33 - 000486400 ____H C:\Users\Все пользователи\Documents\2omeetingNoJKZtzoOx.pptx
2019-07-24 19:33 - 2019-07-24 19:33 - 000486400 ____H C:\Users\Public\Documents\2omeetingNoJKZtzoOx.pptx
2019-07-24 19:33 - 2019-07-24 19:33 - 000486400 ____H C:\ProgramData\Documents\2omeetingNoJKZtzoOx.pptx
2019-07-24 19:33 - 2019-07-24 19:33 - 000337920 ____H C:\Users\Все пользователи\Desktop\54minutesNoJKZtzoOx.txt
2019-07-24 19:33 - 2019-07-24 19:33 - 000337920 ____H C:\Users\Public\Desktop\54minutesNoJKZtzoOx.txt
2019-07-24 19:33 - 2019-07-24 19:33 - 000337920 ____H C:\ProgramData\Desktop\54minutesNoJKZtzoOx.txt
2019-07-24 19:33 - 2019-07-24 19:33 - 000248832 ____H C:\Users\Все пользователи\Desktop\0npnoteNoJKZtzoOx.pdf
2019-07-24 19:33 - 2019-07-24 19:33 - 000248832 ____H C:\Users\Public\Desktop\0npnoteNoJKZtzoOx.pdf
2019-07-24 19:33 - 2019-07-24 19:33 - 000248832 ____H C:\ProgramData\Desktop\0npnoteNoJKZtzoOx.pdf
2019-07-24 19:33 - 2019-07-24 19:33 - 000136192 ____H C:\Users\Все пользователи\Desktop\4gumeetingNoJKZtzoOx.ppt
2019-07-24 19:33 - 2019-07-24 19:33 - 000136192 ____H C:\Users\Public\Desktop\4gumeetingNoJKZtzoOx.ppt
2019-07-24 19:33 - 2019-07-24 19:33 - 000136192 ____H C:\ProgramData\Desktop\4gumeetingNoJKZtzoOx.ppt
2019-07-24 19:33 - 2019-07-24 19:33 - 000123904 ____H C:\Users\Все пользователи\Documents\fsbmeetingNoJKZtzoOx.jpeg
2019-07-24 19:33 - 2019-07-24 19:33 - 000123904 ____H C:\Users\Public\Documents\fsbmeetingNoJKZtzoOx.jpeg
2019-07-24 19:33 - 2019-07-24 19:33 - 000123904 ____H C:\ProgramData\Documents\fsbmeetingNoJKZtzoOx.jpeg
2019-07-24 19:33 - 2019-07-24 19:33 - 000118784 ____H C:\Users\Все пользователи\Documents\f0saveNoJKZtzoOx.pptx
2019-07-24 19:33 - 2019-07-24 19:33 - 000118784 ____H C:\Users\Public\Documents\f0saveNoJKZtzoOx.pptx
2019-07-24 19:33 - 2019-07-24 19:33 - 000118784 ____H C:\ProgramData\Documents\f0saveNoJKZtzoOx.pptx
2019-07-24 19:33 - 2019-07-24 19:33 - 000096256 ____H C:\Users\Все пользователи\Documents\lnminutesNoJKZtzoOx.ppt
2019-07-24 19:33 - 2019-07-24 19:33 - 000096256 ____H C:\Users\Public\Documents\lnminutesNoJKZtzoOx.ppt
2019-07-24 19:33 - 2019-07-24 19:33 - 000096256 ____H C:\ProgramData\Documents\lnminutesNoJKZtzoOx.ppt
2019-07-24 19:33 - 2019-07-24 19:33 - 000016384 ____H C:\Users\Все пользователи\Desktop\g0csaveNoJKZtzoOx.ppt
2019-07-24 19:33 - 2019-07-24 19:33 - 000016384 ____H C:\Users\Public\Desktop\g0csaveNoJKZtzoOx.ppt
2019-07-24 19:33 - 2019-07-24 19:33 - 000016384 ____H C:\ProgramData\Desktop\g0csaveNoJKZtzoOx.ppt
2019-07-24 09:19 - 2019-07-24 20:52 - 000141312 ____H C:\Users\Default\Desktop\opsaveNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 20:52 - 000141312 ____H C:\Users\Default User\Desktop\opsaveNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 20:51 - 000493568 ____H C:\Users\Default\Desktop\ddulogNoJKZtzoOx.ppt
2019-07-24 09:19 - 2019-07-24 20:51 - 000493568 ____H C:\Users\Default User\Desktop\ddulogNoJKZtzoOx.ppt
2019-07-24 09:19 - 2019-07-24 20:51 - 000302080 ____H C:\Users\Default\Documents\iisaveNoJKZtzoOx.txt
2019-07-24 09:19 - 2019-07-24 20:51 - 000302080 ____H C:\Users\Default User\Documents\iisaveNoJKZtzoOx.txt
2019-07-24 09:19 - 2019-07-24 20:51 - 000251904 ____H C:\Users\Default\Desktop\eqmeetingNoJKZtzoOx.xls
2019-07-24 09:19 - 2019-07-24 20:51 - 000251904 ____H C:\Users\Default User\Desktop\eqmeetingNoJKZtzoOx.xls
2019-07-24 09:19 - 2019-07-24 20:51 - 000177152 ____H C:\Users\Default\Desktop\ojmeetingNoJKZtzoOx.xls
2019-07-24 09:19 - 2019-07-24 20:51 - 000177152 ____H C:\Users\Default User\Desktop\ojmeetingNoJKZtzoOx.xls
2019-07-24 09:19 - 2019-07-24 20:51 - 000079872 ____H C:\Users\Default\Documents\vzsaveNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 20:51 - 000079872 ____H C:\Users\Default User\Documents\vzsaveNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 20:50 - 000028672 ____H C:\Users\Default\Documents\h4minutesNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 20:50 - 000028672 ____H C:\Users\Default User\Documents\h4minutesNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 20:48 - 000330752 ____H C:\Users\Botchkarev_AV\Desktop\uh4meetingNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 20:48 - 000131072 ____H C:\Users\Botchkarev_AV\Desktop\vuesaveNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 20:47 - 000481280 ____H C:\Users\Botchkarev_AV\Desktop\oqmmeetingNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 20:47 - 000414720 ____H C:\Users\Botchkarev_AV\Documents\wnminutesNoJKZtzoOx.xlsx
2019-07-24 09:19 - 2019-07-24 20:47 - 000316416 ____H C:\Users\Botchkarev_AV\Documents\unsaveNoJKZtzoOx.ppt
2019-07-24 09:19 - 2019-07-24 20:47 - 000163840 ____H C:\Users\Botchkarev_AV\Desktop\4n0saveNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 20:46 - 000319488 ____H C:\Users\Botchkarev_AV\Documents\ngminutesNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 20:46 - 000294912 ____H C:\Users\Botchkarev_AV\Documents\kssaveNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 20:46 - 000010240 ____H C:\Users\Botchkarev_AV\Documents\5xlogNoJKZtzoOx.xls
2019-07-24 09:19 - 2019-07-24 20:45 - 000467968 _____ C:\Users\Q1g1L0q2xmuCp\0dminutesNoJKZtzoOx.ppt
2019-07-24 09:19 - 2019-07-24 20:45 - 000347136 _____ C:\Users\Q1g1L0q2xmuCp\onsaveNoJKZtzoOx.ppt
2019-07-24 09:19 - 2019-07-24 20:45 - 000053248 _____ C:\Users\Q1g1L0q2xmuCp\uzzsettingNoJKZtzoOx.ppt
2019-07-24 09:19 - 2019-07-24 20:44 - 000489472 _____ C:\Users\Asw1L0q2xmuCp\qcmlogNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 20:44 - 000369664 _____ C:\Users\Asw1L0q2xmuCp\3cbnoteNoJKZtzoOx.xlsx
2019-07-24 09:19 - 2019-07-24 20:44 - 000051200 _____ C:\Users\Asw1L0q2xmuCp\ecsaveNoJKZtzoOx.txt
2019-07-24 09:19 - 2019-07-24 09:19 - 000505856 ____H C:\Users\Все пользователи\Desktop\ynsaveNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000505856 ____H C:\Users\Public\Desktop\ynsaveNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000505856 ____H C:\ProgramData\Desktop\ynsaveNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000487424 ____H C:\Users\Все пользователи\Desktop\qosettingNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 09:19 - 000487424 ____H C:\Users\Public\Desktop\qosettingNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 09:19 - 000487424 ____H C:\ProgramData\Desktop\qosettingNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 09:19 - 000483328 ____H C:\Users\Все пользователи\Documents\b1settingNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 09:19 - 000483328 ____H C:\Users\Public\Documents\b1settingNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 09:19 - 000483328 ____H C:\ProgramData\Documents\b1settingNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 09:19 - 000479232 ____H C:\Users\Все пользователи\Desktop\1esaveNoJKZtzoOx.xls
2019-07-24 09:19 - 2019-07-24 09:19 - 000479232 ____H C:\Users\Public\Desktop\1esaveNoJKZtzoOx.xls
2019-07-24 09:19 - 2019-07-24 09:19 - 000479232 ____H C:\ProgramData\Desktop\1esaveNoJKZtzoOx.xls
2019-07-24 09:19 - 2019-07-24 09:19 - 000475136 ____H C:\Users\Все пользователи\Desktop\qgminutesNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 09:19 - 000475136 ____H C:\Users\Public\Desktop\qgminutesNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 09:19 - 000475136 ____H C:\ProgramData\Desktop\qgminutesNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 09:19 - 000455680 ____H C:\Users\Администратор\Documents\35vmeetingNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 09:19 - 000418816 ____H C:\Users\Администратор\Desktop\fuonoteNoJKZtzoOx.xlsx
2019-07-24 09:19 - 2019-07-24 09:19 - 000391168 ____H C:\Users\Все пользователи\Documents\g2minutesNoJKZtzoOx.txt
2019-07-24 09:19 - 2019-07-24 09:19 - 000391168 ____H C:\Users\Public\Documents\g2minutesNoJKZtzoOx.txt
2019-07-24 09:19 - 2019-07-24 09:19 - 000391168 ____H C:\ProgramData\Documents\g2minutesNoJKZtzoOx.txt
2019-07-24 09:19 - 2019-07-24 09:19 - 000345088 ____H C:\Users\Администратор\Desktop\siminutesNoJKZtzoOx.xls
2019-07-24 09:19 - 2019-07-24 09:19 - 000338944 ____H C:\Users\Все пользователи\Documents\pjqsettingNoJKZtzoOx.txt
2019-07-24 09:19 - 2019-07-24 09:19 - 000338944 ____H C:\Users\Public\Documents\pjqsettingNoJKZtzoOx.txt
2019-07-24 09:19 - 2019-07-24 09:19 - 000338944 ____H C:\ProgramData\Documents\pjqsettingNoJKZtzoOx.txt
2019-07-24 09:19 - 2019-07-24 09:19 - 000288768 ____H C:\Users\Все пользователи\Desktop\z4xsaveNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000288768 ____H C:\Users\Public\Desktop\z4xsaveNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000288768 ____H C:\ProgramData\Desktop\z4xsaveNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000252928 ____H C:\Users\Администратор\Documents\nipsettingNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 09:19 - 000219136 ____H C:\Users\Все пользователи\Documents\gonoteNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 09:19 - 000219136 ____H C:\Users\Public\Documents\gonoteNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 09:19 - 000219136 ____H C:\ProgramData\Documents\gonoteNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 09:19 - 000216064 ____H C:\Users\Администратор\Documents\aq4saveNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000215040 ____H C:\Users\Администратор\Desktop\depmeetingNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 09:19 - 000199680 ____H C:\Users\Администратор\Documents\pfminutesNoJKZtzoOx.xls
2019-07-24 09:19 - 2019-07-24 09:19 - 000153600 ____H C:\Users\Все пользователи\Desktop\opsettingNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000153600 ____H C:\Users\Public\Desktop\opsettingNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000153600 ____H C:\ProgramData\Desktop\opsettingNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000152576 ____H C:\Users\Все пользователи\Documents\0rsettingNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 09:19 - 000152576 ____H C:\Users\Public\Documents\0rsettingNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 09:19 - 000152576 ____H C:\ProgramData\Documents\0rsettingNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 09:19 - 000145408 ____H C:\Users\Все пользователи\Documents\uizmeetingNoJKZtzoOx.ppt
2019-07-24 09:19 - 2019-07-24 09:19 - 000145408 ____H C:\Users\Public\Documents\uizmeetingNoJKZtzoOx.ppt
2019-07-24 09:19 - 2019-07-24 09:19 - 000145408 ____H C:\ProgramData\Documents\uizmeetingNoJKZtzoOx.ppt
2019-07-24 09:19 - 2019-07-24 09:19 - 000118784 ____H C:\Users\Администратор\Desktop\0fsaveNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 09:19 - 000111616 ____H C:\Users\Все пользователи\Documents\dnlogNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000111616 ____H C:\Users\Public\Documents\dnlogNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000111616 ____H C:\ProgramData\Documents\dnlogNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000081920 ____H C:\Users\Все пользователи\Documents\e5rsaveNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000081920 ____H C:\Users\Public\Documents\e5rsaveNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000081920 ____H C:\ProgramData\Documents\e5rsaveNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000078848 ____H C:\Users\Все пользователи\Desktop\1hsaveNoJKZtzoOx.txt
2019-07-24 09:19 - 2019-07-24 09:19 - 000078848 ____H C:\Users\Public\Desktop\1hsaveNoJKZtzoOx.txt
2019-07-24 09:19 - 2019-07-24 09:19 - 000078848 ____H C:\ProgramData\Desktop\1hsaveNoJKZtzoOx.txt
2019-07-24 09:19 - 2019-07-24 09:19 - 000049152 ____H C:\Users\Все пользователи\Documents\lblsaveNoJKZtzoOx.ppt
2019-07-24 09:19 - 2019-07-24 09:19 - 000049152 ____H C:\Users\Public\Documents\lblsaveNoJKZtzoOx.ppt
2019-07-24 09:19 - 2019-07-24 09:19 - 000049152 ____H C:\ProgramData\Documents\lblsaveNoJKZtzoOx.ppt
2019-07-24 09:19 - 2019-07-24 09:19 - 000048128 ____H C:\Users\Все пользователи\Documents\lrnoteNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 09:19 - 000048128 ____H C:\Users\Public\Documents\lrnoteNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 09:19 - 000048128 ____H C:\ProgramData\Documents\lrnoteNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 09:19 - 000000000 ___HD C:\Users\Q1g1L0q2xmuCp
2019-07-24 09:19 - 2019-07-24 09:19 - 000000000 ___HD C:\Users\Asw1L0q2xmuCp
2019-07-24 09:19 - 2019-07-24 09:19 - 000000000 ____D C:\Qdatesvtb1L0q2xmuCp
2019-07-24 09:19 - 2019-07-24 09:19 - 000000000 ____D C:\Adates0r1L0q2xmuCp

  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных