blackdragon43@yahoo.com похоже проник через RDP

[Александр Корешков]

Сегодня ночью были зашифрованы все файлы на одной из локальных машин. В каждой папке файл README . Содержимое следующее "to decrypt files write here blackdragon43@yahoo.com"

 

1. Проверка Dr. web Cure It дает следующие результаты:

 

- Win32.HLLW.Autoruner2.28285

- Trojan.MulDrop9.6006

 

2. Логи прикладываю во вложении

 

CollectionLog-2019.05.05-10.50.zip

[thyrex]

Образцы зашифрованных файлов прикрепите в архиве к следующему сообщению.

 

+ Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[Александр Корешков]

Прикрепил оба архива

Зашифрованные файлы.rar

FRST.zip

[thyrex]

Судя по тому, что зашифрованными оказались и сами файлы с сообщениями от вымогателей, ключей шифрования может быть несколько.

 

Расшифрованные файлы https://www.sendspace.com/file/wrk9bk

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [311434] => 311434
Task: {5B46DE00-9B01-4927-A599-81B824947B76} - System32\Tasks\VssDataRestore => vssadmin [Argument = delete shadows /all /quiet]
2019-05-05 10:43 - 2019-05-04 17:39 - 000000071 _____ C:\Users\TEMP.MALAKHOVO.000\README.txt
2019-05-05 10:43 - 2019-05-04 17:39 - 000000071 _____ C:\Users\TEMP.MALAKHOVO.000\Downloads\README.txt
2019-05-05 10:43 - 2019-05-04 17:39 - 000000071 _____ C:\Users\TEMP.MALAKHOVO.000\Documents\README.txt
2019-05-05 10:43 - 2019-05-04 17:39 - 000000071 _____ C:\Users\TEMP.MALAKHOVO.000\Desktop\README.txt
2019-05-05 10:43 - 2019-05-04 17:39 - 000000071 _____ C:\Users\TEMP.MALAKHOVO.000\AppData\Roaming\README.txt
2019-05-05 10:43 - 2019-05-04 17:39 - 000000071 _____ C:\Users\TEMP.MALAKHOVO.000\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-05 10:43 - 2019-05-04 17:39 - 000000071 _____ C:\Users\TEMP.MALAKHOVO.000\AppData\README.txt
2019-05-05 10:43 - 2019-05-04 17:39 - 000000071 _____ C:\Users\TEMP.MALAKHOVO.000\AppData\Local\Temp\README.txt
2019-05-04 18:15 - 2019-05-04 18:15 - 000003154 _____ C:\Windows\System32\Tasks\VssDataRestore
2019-05-04 18:15 - 2019-05-04 18:15 - 000000007 _____ C:\Users\SUPPORT\AppData\Local\Temp\2493754202
2019-05-04 17:39 - 2019-05-04 17:39 - 000001303 _____ C:\Users\Public\Desktop\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-2493754202-274147513369073839966726.fname-README.txt.doubleoffset
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Администратор\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Администратор\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Администратор\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Администратор\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Администратор\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Администратор\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Администратор\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Администратор\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\администратор.MALAKHOVO\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\администратор.MALAKHOVO\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\администратор.MALAKHOVO\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\администратор.MALAKHOVO\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\администратор.MALAKHOVO\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\администратор.MALAKHOVO\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\администратор.MALAKHOVO\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\администратор.MALAKHOVO\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\администратор.MALAKHOVO\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82.SR-1C\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82.SR-1C\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82.SR-1C\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82.SR-1C\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82.SR-1C\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82.SR-1C\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82.SR-1C\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82.SR-1C\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\USR1CV82.SR-1C\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\TEMP\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\TEMP\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SUPPORT\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SUPPORT\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SUPPORT\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SUPPORT\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SUPPORT\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SUPPORT\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SUPPORT\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SUPPORT\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SQLSERVERAGENT\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SQLSERVERAGENT\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SQLSERVERAGENT\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SQLSERVERAGENT\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SQLSERVERAGENT\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SQLSERVERAGENT\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SQLSERVERAGENT\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SQLSERVERAGENT\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\SQLSERVERAGENT\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\s.paramonova\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\s.paramonova\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\s.paramonova\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\s.paramonova\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\s.paramonova\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\s.paramonova\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\s.paramonova\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\s.paramonova\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\s.paramonova\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Public\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Public\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Public\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Public\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLSERVER\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLSERVER\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLSERVER\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLSERVER\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLSERVER\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLSERVER\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLSERVER\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLSERVER\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLSERVER\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLFDLauncher$AFIMILK\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLFDLauncher$AFIMILK\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLFDLauncher$AFIMILK\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLFDLauncher$AFIMILK\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLFDLauncher$AFIMILK\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLFDLauncher$AFIMILK\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLFDLauncher$AFIMILK\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLFDLauncher$AFIMILK\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\MSSQLFDLauncher$AFIMILK\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Default\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Default\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Default\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Default\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Default\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Default\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Default\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Default User\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Default User\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Default User\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Default User\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Default User\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Default User\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Classic .NET AppPool\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Classic .NET AppPool\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Classic .NET AppPool\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Classic .NET AppPool\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Classic .NET AppPool\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Classic .NET AppPool\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Classic .NET AppPool\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Classic .NET AppPool\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\Classic .NET AppPool\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\b.nefedov\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\b.nefedov\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\b.nefedov\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\b.nefedov\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\b.nefedov\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\b.nefedov\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\b.nefedov\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\b.nefedov\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\b.nefedov\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor1\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor1\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor1\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor1\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor1\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor1\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor1\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor1\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor1\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\auditor\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5 Classic\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5 Classic\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5 Classic\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5 Classic\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5 Classic\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5 Classic\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5 Classic\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5 Classic\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v4.5 Classic\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0 Classic\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0 Classic\Downloads\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0 Classic\Documents\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0 Classic\Desktop\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0 Classic\AppData\Roaming\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0 Classic\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0 Classic\AppData\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0 Classic\AppData\LocalLow\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Users\.NET v2.0 Classic\AppData\Local\Temp\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:39 - 2019-05-04 17:39 - 000000071 _____ C:\Program Files (x86)\README.txt
2019-05-04 17:38 - 2019-05-04 17:38 - 000000071 _____ C:\Program Files\README.txt
2019-05-04 17:34 - 2019-05-04 17:34 - 000000071 _____ C:\Program Files\Common Files\README.txt
2019-05-04 17:31 - 2019-05-04 17:39 - 000001304 _____ C:\Users\SUPPORT\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-2493754202-274147513369073839966726.fname-README.txt.doubleoffset
2019-05-04 17:31 - 2019-05-04 17:39 - 000001304 _____ C:\Users\SUPPORT\Downloads\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-2493754202-274147513369073839966726.fname-README.txt.doubleoffset
2019-05-04 17:31 - 2019-05-04 17:39 - 000001304 _____ C:\Users\SUPPORT\Documents\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-2493754202-274147513369073839966726.fname-README.txt.doubleoffset
2019-05-04 17:31 - 2019-05-04 17:39 - 000001304 _____ C:\Users\SUPPORT\Desktop\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-2493754202-274147513369073839966726.fname-README.txt.doubleoffset
2019-05-04 17:31 - 2019-05-04 17:39 - 000001304 _____ C:\Users\SUPPORT\AppData\Roaming\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-2493754202-274147513369073839966726.fname-README.txt.doubleoffset
2019-05-04 17:31 - 2019-05-04 17:39 - 000001304 _____ C:\Users\SUPPORT\AppData\LocalLow\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-2493754202-274147513369073839966726.fname-README.txt.doubleoffset
2019-05-04 17:31 - 2019-05-04 17:39 - 000001304 _____ C:\Users\SUPPORT\AppData\Local\Temp\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-2493754202-274147513369073839966726.fname-README.txt.doubleoffset
2019-05-04 17:31 - 2019-05-04 17:39 - 000001304 _____ C:\Users\SUPPORT\AppData\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-2493754202-274147513369073839966726.fname-README.txt.doubleoffset
2019-05-04 17:31 - 2019-05-04 17:39 - 000001304 _____ C:\Users\Public\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-2493754202-274147513369073839966726.fname-README.txt.doubleoffset
2019-05-04 17:31 - 2019-05-04 17:39 - 000001304 _____ C:\Users\Public\Downloads\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-2493754202-274147513369073839966726.fname-README.txt.doubleoffset
2019-05-04 17:31 - 2019-05-04 17:39 - 000001304 _____ C:\Users\Public\Documents\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-2493754202-274147513369073839966726.fname-README.txt.doubleoffset
2019-05-04 17:31 - 2019-05-04 17:39 - 000001303 _____ C:\Users\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-2493754202-274147513369073839966726.fname-README.txt.doubleoffset
2019-05-04 17:31 - 2019-05-04 17:31 - 000001269 _____ C:\Users\Все пользователи\README.txt
2019-05-04 17:31 - 2019-05-04 17:31 - 000001269 _____ C:\ProgramData\README.txt
2019-05-04 17:31 - 2019-05-04 17:31 - 000000072 _____ C:\Users\SUPPORT\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2019-05-04 17:30 - 2019-05-04 17:31 - 000001269 _____ C:\Users\Все пользователи\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-05-04 17:30 - 2019-05-04 17:31 - 000001269 _____ C:\Users\Public\Documents\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-05-04 17:30 - 2019-05-04 17:31 - 000001269 _____ C:\ProgramData\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
2019-05-04 17:27 - 2019-05-04 17:31 - 000001234 _____ C:\Users\SUPPORT\AppData\Local\Temp\email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-.fname-2493754202.doubleoffset
2019-05-04 17:10 - 2019-04-02 17:46 - 000089600 _____ C:\Users\SUPPORT\Documents\drakosha0402.exe
2019-05-04 17:33 - 2019-02-01 23:46 - 000000000 __SHD C:\found.006
2019-05-04 17:33 - 2019-01-30 03:55 - 000000000 __SHD C:\found.005
2019-05-04 17:33 - 2019-01-21 09:48 - 000000000 __SHD C:\found.004
2019-05-04 17:33 - 2018-12-08 19:13 - 000000000 __SHD C:\found.003
2019-05-04 17:33 - 2014-09-11 02:42 - 000000000 __SHD C:\found.001
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.

[Александр Корешков]

Не уверен что не накосячил (под временной учеткой был комп) и ушел в перезагрузку и я упустил файл. После второго запуска фикса файл во вложении

Fixlog.txt

Изменено 5 мая, 2019 пользователем Александр Корешков

[thyrex]

Проверьте ЛС

[Александр Корешков]

Файлы не офисный похоже другим ключом

Файлы.rar

[thyrex]

Отправил второй ключ

[Александр Корешков]

Пока вторым ключом на 1 млн файлов 100 процентов попадание

ещё вопрос. Дешифратор показывает нерасшированных файлов примерно 10 тыс  из 130 тыс )) найти их не могу. Есть какие то средства?

[thyrex]

Они не расшифровываются и первым ключом?

 

Поиск по маске email-blackdragon43@yahoo.com*.* средствами самой системы поможет найти файлы.

[thyrex]

Кстати, в дешифраторе после попытки расшифровки нужно смотреть окно Not valide password. Если в нем не нулевое значение, тогда и искать нерасшифровавшиеся файлы.