Alekskey

Спасибо! Это Победа! Всё получилось!

Приветствую. Файлы во вложении к сообщению. files.zip

Вроде ничего подозрительного нет. KVRT нашёл только Ammy Admin, в нештатной папке и поместил его в карантин.

Нет, только на этом, что странно. Файл доступен по ссылке: https://yadi.sk/i/eiP-SyLq3EQL3N

Сделано. Файл во вложении. all_enc.txt

Вот ссылка https://yadi.sk/d/w2rvP39H3EMq4K Да, Visual Studio 2010 установлена аж в 2014 году.

Вот ссылка. Просканировал 3 папки с именем Администратор. https://yadi.sk/d/NH7IPk-S3EMbiC

К сожалению, под этой учётной записью не получается зайти. После входа сразу выбрасывает на окно авторизации.

Да, из Питера. IP 188.134.70.228 это нормальный адрес. Адрес центрального сервера. Учетная запись C:\Users\Администратор.TPSRV010 не известна. Работа идёт из-под другой записи.

Пардон, я не приложил сообщение которое появилось в папках. Файл во вложении. damage@india.comTPSRV010.txt

Он используется, как сервер в Клубе. Порядка 15 машин в локальной сети. 5 удалённо.

Спасибо за оперативность. Вот ссылка на файлы формата doc и docx https://yadi.sk/d/HV46sE8o3EM3Dw https://yadi.sk/d/f7fz6P-F3EM38t Отчёты прикреплены к сообщению. FRST.zip

Приветствую! Обнаружил у себя на ПК, что все файлы зашифровались в формат *.damage Очень много фажных документов. Утилиты с сайта не помогли. Неясна причина возникновения шифровальщика. За данным ПК активно никто не работает, единственное что в сеть проброшен доступ rdp, но с изменённым номером порта. CollectionLog-2017.02.21-17.52.zip