Перейти к содержанию

[РЕШЕНО] Помогите пожалуйста с дешифровщиком


Рекомендуемые сообщения

Доброго времени суток. 

Файлы в архиве:

01. _Vzlom_Matritsy.pdf.id-4649572D.[seavays@aol.com].save - отправлял вымогателям,

01. _Vzlom_Matritsy.pdf - это их ответ, может быть будет полезно. 

Текст окна шифровальщика в файле - баннер.txt

То что шифровальщик оставил на каждом логическом диске - RETURN FILES.txt

 

Пытаюсь восстановить работу сервера, проверил Kaspersky Virus Removal Tool и Dr.Web CureIt!, AutoLogger боюсь запускать, так как после перезагрузки может потеряться доступ к серверу совсем.

На вас вся надежда, так как слышал что вымогателям платить бесполезно, все-равно кинут с дешифровщиком.

 

Отправлял файлы еще в одну контору один файл расшифровали, но запросили неподъемную сумму за дешифровку ((

Карточка предприятия.docx.id-4649572D.[seavays@aol.com].save - зашифрованный файл

Карточка предприятия.docx - то что они расшифровали.

файлы.rar

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте,

Увы, с данным типом шифровальщика помочь не сможем.

Если необходимо чистка то предоставьте логи согласно правилам раздела.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте,

 

Увы, с данным типом шифровальщика помочь не сможем.

 

Если необходимо чистка то предоставьте логи согласно правилам раздела.

 

Беда (((  спасибо за ответ.

От вируса вроде бы избавился, но запущу AutoLogger чуть позже и прикреплю логи.

Ссылка на комментарий
Поделиться на другие сайты

Доброго времени суток.
Если позволите продолжу в этой же теме.
Переустановил систему, так как в старой даже AutoLogger не запускался.
Сегодня обнаружил на системном разделе две левые папки Adates0r1L0q2xmuCp и Qdatesvtb1L0q2xmuCp с таким же левым содержимым.
У двух пользователей (больше пока не создавал) в папках Desktop и Documents также появились левые файлы с абракадаброй в именах.
Проанализировав копию диска C:\ которую снял до переустановки, нашел в папках пользователей такие же по именам левые файлы, буква в букву.
Так же обнаружил в каталоге пользователей C:\Users два скрытых каталога пользователей Asw1L0q2xmuCp и Q1g1L0q2xmuCp с левыми файлами внутри.
Сделал поиск по именам файлов нашлись также в скрытых каталогах типа C:\Users\User...\Recent туда доступа нет чтобы посмотреть или удалить.
Что это, начинается повторное заражение?
Антивирус Microsoft Security Essentials молчит как рыба об лед, поставил также Kaspersky Anti-Ransomware Tool for Business 4 - тоже тишина.
 
Все файлы и скрины прилагаю в архиве, пароль 123456

Отчет AutoLogger.


ЗЫ Kaspersky Virus Removal Tool и Dr.Web CureIt! также ничего не нашли.

Screens.part1.rar

Screens.part2.rar

CollectionLog-2019.07.24-14.10.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте,

Похоже на зашифрованные файлы. В логах ничего плохого не заметил.

- Скачайте Farbar Recovery Scan Tool  FRST_Icon.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
    FRST.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.




 


- Утоните если ваш сервер доступен из вне (с интернета)?
- Также если установлены все критческие обновления закрывающие уязвимости SMB и RDP?

Ссылка на комментарий
Поделиться на другие сайты

Эти каталоги и файлы появились сегодня, увидел когда зашел конфигурировать сервер, это и настораживает.

Система свежая два дня как поставил, системный диск форматировался при установке.


- Утоните если ваш сервер доступен из вне (с интернета)?
- Также если установлены все критческие обновления закрывающие уязвимости SMB и RDP?

 

Да сервер доступен извне по белому IP, порты закрыты на уровне маршрутизатора, кроме необходимых, RDP порт по умолчанию (3389) изменен.

Обновления еще устанавливаются, необязательные, критические уже должны были установиться.


У меня подозрение, что это тот же шифровальщик пытается пробиться.

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

В логах активной угрозы не вижу.

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

     

    Start::
    CreateRestorePoint:
    File: C:\Windows\system32\wksprt.exe
    File: C:\Windows\system32\TSWbPrxy.exe
    Folder: C:\Program Files\Packaged Programs
    File: C:\Program Files\WinRAR\rarext.dll
    Folder: C:\Users\Botchkarev_AV\AppData\Roaming\Adobe
    Folder: C:\Program Files (x86)\RDS-Tools
    File: C:\Users\Администратор\AppData\Roaming\Updater1C\Updater1C.sys
    End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Вам знакомы следующие пользователи?

krbtgt (0 - Limited - Disabled) => %systemroot%\system32\config\systemprofile
FNLBSRVDC001$ (0 - Limited - Enabled) => %systemroot%\system32\config\systemprofile

- Утоните если ваш сервер доступен из вне (с интернета)?

- Также если установлены все критческие обновления закрывающие уязвимости SMB и RDP?

Так и не ответили на эти вопросы.

 

Насколько я понимаю у вас роутер Mikrotik, убедитесь пожалуйста, чтобы он не был вломан злоумышлинниками.

Ссылка на комментарий
Поделиться на другие сайты

Вам знакомы следующие пользователи?
krbtgt (0 - Limited - Disabled) => %systemroot%\system32\config\systemprofile

Это вроде бы учетная запись службы Kerberos она отключена и насколько помню ее не так просто удалить.

FNLBSRVDC001$ (0 - Limited - Enabled) => %systemroot%\system32\config\systemprofile

Этого пользователя точно не создавал, и я его не вижу в списке пользователей.

 

SQ сказал(а) 24 Июл 2019 - 20:17:snapback.png

- Утоните если ваш сервер доступен из вне (с интернета)?
- Также если установлены все критческие обновления закрывающие уязвимости SMB и RDP?

Так и не ответили на эти вопросы.

 

Если Вы про обновление kb4499175 то оно действительно не было установлено, блин, установил.

 

Насколько я понимаю у вас роутер Mikrotik, убедитесь пожалуйста, чтобы он не был вломан злоумышлинниками. 

Да Mikrotik и на него постоянно пытаются залогинится под дефолтным пользователем это видно по логам, я его сразу отключил и создал нового с надежным паролем и судя по логам под моим пользователем никто кроме меня в него не входил и IP адрес с которого входили тоже мой, этот вариант отметаю.

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Проверьте пожалуйста кто владелец указанных вами папок (зашифрованных), хотелось бы понять под каким пользователем они были созданы/модифицированы.

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

 


Да Mikrotik и на него постоянно пытаются залогинится под дефолтным пользователем это видно по логам, я его сразу отключил и создал нового с надежным паролем и судя по логам под моим пользователем никто кроме меня в него не входил и IP адрес с которого входили тоже мой, этот вариант отметаю.

Ознакомьтесь пожалуйста со следуюшей статьей и убедитесь, что все ок. Для чего хакерам Микротик ...

Ссылка на комментарий
Поделиться на другие сайты

В двух каталогах что лежат на системном диске С:\ владелец файлов "Администраторы" (Screen_0.jpg)

я так понимаю группа?

На Screen_1 файл из каталога Desktop дефолтной учетной записи "Администратор".

На Screen_2 файл из каталога Desktop учетной записи пользователя.

Этот пользователь был создан и под ним заходил на сервер пару раз, создался профиль пользователя и проверил доступ по RDP

Еще есть пользователь RDV GRAPHICS SERVICE - отключен.

И пользователь "Гость" встроеная учетка, была отключена сразу и поставлен 16-ти значный сложный пароль.


Спасибо, со статьей ознакомлюсь обязательно, потому как год назад Микротик настроил так про него и забыл, логи только иногда просматривал.

Screen.rar

FNLBSRVDC001_2019-07-24_23-36-12_v4.1.6.7z

Ссылка на комментарий
Поделиться на другие сайты

В логах не нахожу активной угрозы.

- Уточните пожалуйста антивирусный продукт KES 10, что-то выявил?

- Также проверьте логи защитника Windows?
- Программу Dameware для удаленного подключения сами устанавливали?

Ссылка на комментарий
Поделиться на другие сайты

- Уточните пожалуйста антивирусный продукт KES 10, что-то выявил?

KES у меня не установлен.

- Также проверьте логи защитника Windows?

В логах Microsoft Security Essentials - чисто, Kaspersky Anti-Ransomware Tool for Business 4 - чисто.

Сканировал свежими Kaspersky Virus Removal Tool и Dr.Web CureIt! - чисто.

- Программу Dameware для удаленного подключения сами устанавливали?

Такую программу не устанавливал.

 

Это точно для моей ветки коммент?

Ссылка на комментарий
Поделиться на другие сайты

Это точно для моей ветки коммент?

прошу прощения, в uVS не тот лог попал.

 

 

В ваших логах не нахожу активной угрозы. Единственно, прошу вас проверить Far.exe на virustotal.com, а то не удается найти информацию по нему.

Оригинальное имя            Far.exe
Версия файла                1.70 alpha 6 build 2037
Описание                    File and archive manager
Производитель               Eugene Roshal & FAR Group
Комментарий                 TEST ONLY!
Ссылка на комментарий
Поделиться на другие сайты

Спасибо огромное за то, что уделили время и оказали помощь.

Я так понимаю, эти непонятные каталоги и файлы проанализированы и их можно удалить?

Пороюсь еще с AD плотно, есть подозрение, что контроллер скомпроментирован, становлюсь параноиком ))


Оригинальное имя Far.exe
Версия файла 1.70 alpha 6 build 2037
Описание File and archive manager
Производитель Eugene Roshal & FAR Group
Комментарий TEST ONLY!

 

проверил - чисто.

Ссылка на комментарий
Поделиться на другие сайты

Я так понимаю, эти непонятные каталоги и файлы проанализированы и их можно удалить?

Лучше заархивируйте их в zip c паролем virus, возможно в скором будущем будет дешифровальщик

 

Пороюсь еще с AD плотно, есть подозрение, что контроллер скомпроментирован, становлюсь параноиком ))

Вам необходимо проверить другие ПК и сервера к которым доступен этот сервер, возможно они использовали уязвимость smb и зашифровали эти файлы вновь.

Обычно на рабочем столе этих ПК будут файлы с требованиями злоумышшлинников.

 

Обратите внимание на (у многих аттрибут h - "скрытый"):

2019-07-24 20:41 - 2019-07-24 20:41 - 000509952 ____H C:\Users\Все пользователи\Desktop\yj3minutesNoJKZtzoOx.txt
2019-07-24 20:41 - 2019-07-24 20:41 - 000509952 ____H C:\Users\Public\Desktop\yj3minutesNoJKZtzoOx.txt
2019-07-24 20:41 - 2019-07-24 20:41 - 000509952 ____H C:\ProgramData\Desktop\yj3minutesNoJKZtzoOx.txt
2019-07-24 20:41 - 2019-07-24 20:41 - 000474112 ____H C:\Users\Все пользователи\Desktop\pmdlogNoJKZtzoOx.jpeg
2019-07-24 20:41 - 2019-07-24 20:41 - 000474112 ____H C:\Users\Public\Desktop\pmdlogNoJKZtzoOx.jpeg
2019-07-24 20:41 - 2019-07-24 20:41 - 000474112 ____H C:\ProgramData\Desktop\pmdlogNoJKZtzoOx.jpeg
2019-07-24 20:41 - 2019-07-24 20:41 - 000430080 ____H C:\Users\Все пользователи\Documents\yvmminutesNoJKZtzoOx.xls
2019-07-24 20:41 - 2019-07-24 20:41 - 000430080 ____H C:\Users\Public\Documents\yvmminutesNoJKZtzoOx.xls
2019-07-24 20:41 - 2019-07-24 20:41 - 000430080 ____H C:\ProgramData\Documents\yvmminutesNoJKZtzoOx.xls
2019-07-24 20:41 - 2019-07-24 20:41 - 000420864 ____H C:\Users\Все пользователи\Documents\5tomeetingNoJKZtzoOx.pdf
2019-07-24 20:41 - 2019-07-24 20:41 - 000420864 ____H C:\Users\Public\Documents\5tomeetingNoJKZtzoOx.pdf
2019-07-24 20:41 - 2019-07-24 20:41 - 000420864 ____H C:\ProgramData\Documents\5tomeetingNoJKZtzoOx.pdf
2019-07-24 20:41 - 2019-07-24 20:41 - 000386048 ____H C:\Users\Все пользователи\Documents\5c1meetingNoJKZtzoOx.xls
2019-07-24 20:41 - 2019-07-24 20:41 - 000386048 ____H C:\Users\Public\Documents\5c1meetingNoJKZtzoOx.xls
2019-07-24 20:41 - 2019-07-24 20:41 - 000386048 ____H C:\ProgramData\Documents\5c1meetingNoJKZtzoOx.xls
2019-07-24 20:41 - 2019-07-24 20:41 - 000274432 ____H C:\Users\Все пользователи\Desktop\gi4minutesNoJKZtzoOx.txt
2019-07-24 20:41 - 2019-07-24 20:41 - 000274432 ____H C:\Users\Public\Desktop\gi4minutesNoJKZtzoOx.txt
2019-07-24 20:41 - 2019-07-24 20:41 - 000274432 ____H C:\ProgramData\Desktop\gi4minutesNoJKZtzoOx.txt
2019-07-24 20:41 - 2019-07-24 20:41 - 000174080 ____H C:\Users\Все пользователи\Documents\jtrlogNoJKZtzoOx.ppt
2019-07-24 20:41 - 2019-07-24 20:41 - 000174080 ____H C:\Users\Public\Documents\jtrlogNoJKZtzoOx.ppt
2019-07-24 20:41 - 2019-07-24 20:41 - 000174080 ____H C:\ProgramData\Documents\jtrlogNoJKZtzoOx.ppt
2019-07-24 19:33 - 2019-07-24 19:33 - 000486400 ____H C:\Users\Все пользователи\Documents\2omeetingNoJKZtzoOx.pptx
2019-07-24 19:33 - 2019-07-24 19:33 - 000486400 ____H C:\Users\Public\Documents\2omeetingNoJKZtzoOx.pptx
2019-07-24 19:33 - 2019-07-24 19:33 - 000486400 ____H C:\ProgramData\Documents\2omeetingNoJKZtzoOx.pptx
2019-07-24 19:33 - 2019-07-24 19:33 - 000337920 ____H C:\Users\Все пользователи\Desktop\54minutesNoJKZtzoOx.txt
2019-07-24 19:33 - 2019-07-24 19:33 - 000337920 ____H C:\Users\Public\Desktop\54minutesNoJKZtzoOx.txt
2019-07-24 19:33 - 2019-07-24 19:33 - 000337920 ____H C:\ProgramData\Desktop\54minutesNoJKZtzoOx.txt
2019-07-24 19:33 - 2019-07-24 19:33 - 000248832 ____H C:\Users\Все пользователи\Desktop\0npnoteNoJKZtzoOx.pdf
2019-07-24 19:33 - 2019-07-24 19:33 - 000248832 ____H C:\Users\Public\Desktop\0npnoteNoJKZtzoOx.pdf
2019-07-24 19:33 - 2019-07-24 19:33 - 000248832 ____H C:\ProgramData\Desktop\0npnoteNoJKZtzoOx.pdf
2019-07-24 19:33 - 2019-07-24 19:33 - 000136192 ____H C:\Users\Все пользователи\Desktop\4gumeetingNoJKZtzoOx.ppt
2019-07-24 19:33 - 2019-07-24 19:33 - 000136192 ____H C:\Users\Public\Desktop\4gumeetingNoJKZtzoOx.ppt
2019-07-24 19:33 - 2019-07-24 19:33 - 000136192 ____H C:\ProgramData\Desktop\4gumeetingNoJKZtzoOx.ppt
2019-07-24 19:33 - 2019-07-24 19:33 - 000123904 ____H C:\Users\Все пользователи\Documents\fsbmeetingNoJKZtzoOx.jpeg
2019-07-24 19:33 - 2019-07-24 19:33 - 000123904 ____H C:\Users\Public\Documents\fsbmeetingNoJKZtzoOx.jpeg
2019-07-24 19:33 - 2019-07-24 19:33 - 000123904 ____H C:\ProgramData\Documents\fsbmeetingNoJKZtzoOx.jpeg
2019-07-24 19:33 - 2019-07-24 19:33 - 000118784 ____H C:\Users\Все пользователи\Documents\f0saveNoJKZtzoOx.pptx
2019-07-24 19:33 - 2019-07-24 19:33 - 000118784 ____H C:\Users\Public\Documents\f0saveNoJKZtzoOx.pptx
2019-07-24 19:33 - 2019-07-24 19:33 - 000118784 ____H C:\ProgramData\Documents\f0saveNoJKZtzoOx.pptx
2019-07-24 19:33 - 2019-07-24 19:33 - 000096256 ____H C:\Users\Все пользователи\Documents\lnminutesNoJKZtzoOx.ppt
2019-07-24 19:33 - 2019-07-24 19:33 - 000096256 ____H C:\Users\Public\Documents\lnminutesNoJKZtzoOx.ppt
2019-07-24 19:33 - 2019-07-24 19:33 - 000096256 ____H C:\ProgramData\Documents\lnminutesNoJKZtzoOx.ppt
2019-07-24 19:33 - 2019-07-24 19:33 - 000016384 ____H C:\Users\Все пользователи\Desktop\g0csaveNoJKZtzoOx.ppt
2019-07-24 19:33 - 2019-07-24 19:33 - 000016384 ____H C:\Users\Public\Desktop\g0csaveNoJKZtzoOx.ppt
2019-07-24 19:33 - 2019-07-24 19:33 - 000016384 ____H C:\ProgramData\Desktop\g0csaveNoJKZtzoOx.ppt
2019-07-24 09:19 - 2019-07-24 20:52 - 000141312 ____H C:\Users\Default\Desktop\opsaveNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 20:52 - 000141312 ____H C:\Users\Default User\Desktop\opsaveNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 20:51 - 000493568 ____H C:\Users\Default\Desktop\ddulogNoJKZtzoOx.ppt
2019-07-24 09:19 - 2019-07-24 20:51 - 000493568 ____H C:\Users\Default User\Desktop\ddulogNoJKZtzoOx.ppt
2019-07-24 09:19 - 2019-07-24 20:51 - 000302080 ____H C:\Users\Default\Documents\iisaveNoJKZtzoOx.txt
2019-07-24 09:19 - 2019-07-24 20:51 - 000302080 ____H C:\Users\Default User\Documents\iisaveNoJKZtzoOx.txt
2019-07-24 09:19 - 2019-07-24 20:51 - 000251904 ____H C:\Users\Default\Desktop\eqmeetingNoJKZtzoOx.xls
2019-07-24 09:19 - 2019-07-24 20:51 - 000251904 ____H C:\Users\Default User\Desktop\eqmeetingNoJKZtzoOx.xls
2019-07-24 09:19 - 2019-07-24 20:51 - 000177152 ____H C:\Users\Default\Desktop\ojmeetingNoJKZtzoOx.xls
2019-07-24 09:19 - 2019-07-24 20:51 - 000177152 ____H C:\Users\Default User\Desktop\ojmeetingNoJKZtzoOx.xls
2019-07-24 09:19 - 2019-07-24 20:51 - 000079872 ____H C:\Users\Default\Documents\vzsaveNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 20:51 - 000079872 ____H C:\Users\Default User\Documents\vzsaveNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 20:50 - 000028672 ____H C:\Users\Default\Documents\h4minutesNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 20:50 - 000028672 ____H C:\Users\Default User\Documents\h4minutesNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 20:48 - 000330752 ____H C:\Users\Botchkarev_AV\Desktop\uh4meetingNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 20:48 - 000131072 ____H C:\Users\Botchkarev_AV\Desktop\vuesaveNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 20:47 - 000481280 ____H C:\Users\Botchkarev_AV\Desktop\oqmmeetingNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 20:47 - 000414720 ____H C:\Users\Botchkarev_AV\Documents\wnminutesNoJKZtzoOx.xlsx
2019-07-24 09:19 - 2019-07-24 20:47 - 000316416 ____H C:\Users\Botchkarev_AV\Documents\unsaveNoJKZtzoOx.ppt
2019-07-24 09:19 - 2019-07-24 20:47 - 000163840 ____H C:\Users\Botchkarev_AV\Desktop\4n0saveNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 20:46 - 000319488 ____H C:\Users\Botchkarev_AV\Documents\ngminutesNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 20:46 - 000294912 ____H C:\Users\Botchkarev_AV\Documents\kssaveNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 20:46 - 000010240 ____H C:\Users\Botchkarev_AV\Documents\5xlogNoJKZtzoOx.xls
2019-07-24 09:19 - 2019-07-24 20:45 - 000467968 _____ C:\Users\Q1g1L0q2xmuCp\0dminutesNoJKZtzoOx.ppt
2019-07-24 09:19 - 2019-07-24 20:45 - 000347136 _____ C:\Users\Q1g1L0q2xmuCp\onsaveNoJKZtzoOx.ppt
2019-07-24 09:19 - 2019-07-24 20:45 - 000053248 _____ C:\Users\Q1g1L0q2xmuCp\uzzsettingNoJKZtzoOx.ppt
2019-07-24 09:19 - 2019-07-24 20:44 - 000489472 _____ C:\Users\Asw1L0q2xmuCp\qcmlogNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 20:44 - 000369664 _____ C:\Users\Asw1L0q2xmuCp\3cbnoteNoJKZtzoOx.xlsx
2019-07-24 09:19 - 2019-07-24 20:44 - 000051200 _____ C:\Users\Asw1L0q2xmuCp\ecsaveNoJKZtzoOx.txt
2019-07-24 09:19 - 2019-07-24 09:19 - 000505856 ____H C:\Users\Все пользователи\Desktop\ynsaveNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000505856 ____H C:\Users\Public\Desktop\ynsaveNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000505856 ____H C:\ProgramData\Desktop\ynsaveNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000487424 ____H C:\Users\Все пользователи\Desktop\qosettingNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 09:19 - 000487424 ____H C:\Users\Public\Desktop\qosettingNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 09:19 - 000487424 ____H C:\ProgramData\Desktop\qosettingNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 09:19 - 000483328 ____H C:\Users\Все пользователи\Documents\b1settingNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 09:19 - 000483328 ____H C:\Users\Public\Documents\b1settingNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 09:19 - 000483328 ____H C:\ProgramData\Documents\b1settingNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 09:19 - 000479232 ____H C:\Users\Все пользователи\Desktop\1esaveNoJKZtzoOx.xls
2019-07-24 09:19 - 2019-07-24 09:19 - 000479232 ____H C:\Users\Public\Desktop\1esaveNoJKZtzoOx.xls
2019-07-24 09:19 - 2019-07-24 09:19 - 000479232 ____H C:\ProgramData\Desktop\1esaveNoJKZtzoOx.xls
2019-07-24 09:19 - 2019-07-24 09:19 - 000475136 ____H C:\Users\Все пользователи\Desktop\qgminutesNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 09:19 - 000475136 ____H C:\Users\Public\Desktop\qgminutesNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 09:19 - 000475136 ____H C:\ProgramData\Desktop\qgminutesNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 09:19 - 000455680 ____H C:\Users\Администратор\Documents\35vmeetingNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 09:19 - 000418816 ____H C:\Users\Администратор\Desktop\fuonoteNoJKZtzoOx.xlsx
2019-07-24 09:19 - 2019-07-24 09:19 - 000391168 ____H C:\Users\Все пользователи\Documents\g2minutesNoJKZtzoOx.txt
2019-07-24 09:19 - 2019-07-24 09:19 - 000391168 ____H C:\Users\Public\Documents\g2minutesNoJKZtzoOx.txt
2019-07-24 09:19 - 2019-07-24 09:19 - 000391168 ____H C:\ProgramData\Documents\g2minutesNoJKZtzoOx.txt
2019-07-24 09:19 - 2019-07-24 09:19 - 000345088 ____H C:\Users\Администратор\Desktop\siminutesNoJKZtzoOx.xls
2019-07-24 09:19 - 2019-07-24 09:19 - 000338944 ____H C:\Users\Все пользователи\Documents\pjqsettingNoJKZtzoOx.txt
2019-07-24 09:19 - 2019-07-24 09:19 - 000338944 ____H C:\Users\Public\Documents\pjqsettingNoJKZtzoOx.txt
2019-07-24 09:19 - 2019-07-24 09:19 - 000338944 ____H C:\ProgramData\Documents\pjqsettingNoJKZtzoOx.txt
2019-07-24 09:19 - 2019-07-24 09:19 - 000288768 ____H C:\Users\Все пользователи\Desktop\z4xsaveNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000288768 ____H C:\Users\Public\Desktop\z4xsaveNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000288768 ____H C:\ProgramData\Desktop\z4xsaveNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000252928 ____H C:\Users\Администратор\Documents\nipsettingNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 09:19 - 000219136 ____H C:\Users\Все пользователи\Documents\gonoteNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 09:19 - 000219136 ____H C:\Users\Public\Documents\gonoteNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 09:19 - 000219136 ____H C:\ProgramData\Documents\gonoteNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 09:19 - 000216064 ____H C:\Users\Администратор\Documents\aq4saveNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000215040 ____H C:\Users\Администратор\Desktop\depmeetingNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 09:19 - 000199680 ____H C:\Users\Администратор\Documents\pfminutesNoJKZtzoOx.xls
2019-07-24 09:19 - 2019-07-24 09:19 - 000153600 ____H C:\Users\Все пользователи\Desktop\opsettingNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000153600 ____H C:\Users\Public\Desktop\opsettingNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000153600 ____H C:\ProgramData\Desktop\opsettingNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000152576 ____H C:\Users\Все пользователи\Documents\0rsettingNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 09:19 - 000152576 ____H C:\Users\Public\Documents\0rsettingNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 09:19 - 000152576 ____H C:\ProgramData\Documents\0rsettingNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 09:19 - 000145408 ____H C:\Users\Все пользователи\Documents\uizmeetingNoJKZtzoOx.ppt
2019-07-24 09:19 - 2019-07-24 09:19 - 000145408 ____H C:\Users\Public\Documents\uizmeetingNoJKZtzoOx.ppt
2019-07-24 09:19 - 2019-07-24 09:19 - 000145408 ____H C:\ProgramData\Documents\uizmeetingNoJKZtzoOx.ppt
2019-07-24 09:19 - 2019-07-24 09:19 - 000118784 ____H C:\Users\Администратор\Desktop\0fsaveNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 09:19 - 000111616 ____H C:\Users\Все пользователи\Documents\dnlogNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000111616 ____H C:\Users\Public\Documents\dnlogNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000111616 ____H C:\ProgramData\Documents\dnlogNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000081920 ____H C:\Users\Все пользователи\Documents\e5rsaveNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000081920 ____H C:\Users\Public\Documents\e5rsaveNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000081920 ____H C:\ProgramData\Documents\e5rsaveNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000078848 ____H C:\Users\Все пользователи\Desktop\1hsaveNoJKZtzoOx.txt
2019-07-24 09:19 - 2019-07-24 09:19 - 000078848 ____H C:\Users\Public\Desktop\1hsaveNoJKZtzoOx.txt
2019-07-24 09:19 - 2019-07-24 09:19 - 000078848 ____H C:\ProgramData\Desktop\1hsaveNoJKZtzoOx.txt
2019-07-24 09:19 - 2019-07-24 09:19 - 000049152 ____H C:\Users\Все пользователи\Documents\lblsaveNoJKZtzoOx.ppt
2019-07-24 09:19 - 2019-07-24 09:19 - 000049152 ____H C:\Users\Public\Documents\lblsaveNoJKZtzoOx.ppt
2019-07-24 09:19 - 2019-07-24 09:19 - 000049152 ____H C:\ProgramData\Documents\lblsaveNoJKZtzoOx.ppt
2019-07-24 09:19 - 2019-07-24 09:19 - 000048128 ____H C:\Users\Все пользователи\Documents\lrnoteNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 09:19 - 000048128 ____H C:\Users\Public\Documents\lrnoteNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 09:19 - 000048128 ____H C:\ProgramData\Documents\lrnoteNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 09:19 - 000000000 ___HD C:\Users\Q1g1L0q2xmuCp
2019-07-24 09:19 - 2019-07-24 09:19 - 000000000 ___HD C:\Users\Asw1L0q2xmuCp
2019-07-24 09:19 - 2019-07-24 09:19 - 000000000 ____D C:\Qdatesvtb1L0q2xmuCp
2019-07-24 09:19 - 2019-07-24 09:19 - 000000000 ____D C:\Adates0r1L0q2xmuCp
Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
×
×
  • Создать...