[РЕШЕНО] Помогите пожалуйста с дешифровщиком

[Igor_V_Popov]

Доброго времени суток. 

Файлы в архиве:

01. _Vzlom_Matritsy.pdf.id-4649572D.[seavays@aol.com].save - отправлял вымогателям,

01. _Vzlom_Matritsy.pdf - это их ответ, может быть будет полезно. 

Текст окна шифровальщика в файле - баннер.txt

То что шифровальщик оставил на каждом логическом диске - RETURN FILES.txt

 

Пытаюсь восстановить работу сервера, проверил Kaspersky Virus Removal Tool и Dr.Web CureIt!, AutoLogger боюсь запускать, так как после перезагрузки может потеряться доступ к серверу совсем.

На вас вся надежда, так как слышал что вымогателям платить бесполезно, все-равно кинут с дешифровщиком.

 

Отправлял файлы еще в одну контору один файл расшифровали, но запросили неподъемную сумму за дешифровку ((

Карточка предприятия.docx.id-4649572D.[seavays@aol.com].save - зашифрованный файл

Карточка предприятия.docx - то что они расшифровали.

файлы.rar

[SQ]

Здравствуйте,

Увы, с данным типом шифровальщика помочь не сможем.

Если необходимо чистка то предоставьте логи согласно правилам раздела.

[Igor_V_Popov]

Здравствуйте,

 

Увы, с данным типом шифровальщика помочь не сможем.

 

Если необходимо чистка то предоставьте логи согласно правилам раздела.

 

Беда (((  спасибо за ответ.

От вируса вроде бы избавился, но запущу AutoLogger чуть позже и прикреплю логи.

[Igor_V_Popov]

Доброго времени суток.

Если позволите продолжу в этой же теме.

Переустановил систему, так как в старой даже AutoLogger не запускался.

Сегодня обнаружил на системном разделе две левые папки Adates0r1L0q2xmuCp и Qdatesvtb1L0q2xmuCp с таким же левым содержимым.

У двух пользователей (больше пока не создавал) в папках Desktop и Documents также появились левые файлы с абракадаброй в именах.

Проанализировав копию диска C:\ которую снял до переустановки, нашел в папках пользователей такие же по именам левые файлы, буква в букву.

Так же обнаружил в каталоге пользователей C:\Users два скрытых каталога пользователей Asw1L0q2xmuCp и Q1g1L0q2xmuCp с левыми файлами внутри.

Сделал поиск по именам файлов нашлись также в скрытых каталогах типа C:\Users\User...\Recent туда доступа нет чтобы посмотреть или удалить.

Что это, начинается повторное заражение?

Антивирус Microsoft Security Essentials молчит как рыба об лед, поставил также Kaspersky Anti-Ransomware Tool for Business 4 - тоже тишина.

 

Все файлы и скрины прилагаю в архиве, пароль 123456

Отчет AutoLogger.

ЗЫ Kaspersky Virus Removal Tool и Dr.Web CureIt! также ничего не нашли.

Screens.part1.rar

Screens.part2.rar

CollectionLog-2019.07.24-14.10.zip

[SQ]

Здравствуйте,

Похоже на зашифрованные файлы. В логах ничего плохого не заметил.

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

- Утоните если ваш сервер доступен из вне (с интернета)?
- Также если установлены все критческие обновления закрывающие уязвимости SMB и RDP?

[Igor_V_Popov]

Эти каталоги и файлы появились сегодня, увидел когда зашел конфигурировать сервер, это и настораживает.

Система свежая два дня как поставил, системный диск форматировался при установке.

- Утоните если ваш сервер доступен из вне (с интернета)?
- Также если установлены все критческие обновления закрывающие уязвимости SMB и RDP?

 

Да сервер доступен извне по белому IP, порты закрыты на уровне маршрутизатора, кроме необходимых, RDP порт по умолчанию (3389) изменен.

Обновления еще устанавливаются, необязательные, критические уже должны были установиться.

У меня подозрение, что это тот же шифровальщик пытается пробиться.

Addition.txt

FRST.txt

[SQ]

В логах активной угрозы не вижу.

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

   

  Start::
  CreateRestorePoint:
  File: C:\Windows\system32\wksprt.exe
  File: C:\Windows\system32\TSWbPrxy.exe
  Folder: C:\Program Files\Packaged Programs
  File: C:\Program Files\WinRAR\rarext.dll
  Folder: C:\Users\Botchkarev_AV\AppData\Roaming\Adobe
  Folder: C:\Program Files (x86)\RDS-Tools
  File: C:\Users\Администратор\AppData\Roaming\Updater1C\Updater1C.sys
  End::

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Вам знакомы следующие пользователи?

krbtgt (0 - Limited - Disabled) => %systemroot%\system32\config\systemprofile
FNLBSRVDC001$ (0 - Limited - Enabled) => %systemroot%\system32\config\systemprofile

- Утоните если ваш сервер доступен из вне (с интернета)?

- Также если установлены все критческие обновления закрывающие уязвимости SMB и RDP?

Так и не ответили на эти вопросы.

 

Насколько я понимаю у вас роутер Mikrotik, убедитесь пожалуйста, чтобы он не был вломан злоумышлинниками.

[Igor_V_Popov]

Вам знакомы следующие пользователи?
krbtgt (0 - Limited - Disabled) => %systemroot%\system32\config\systemprofile

Это вроде бы учетная запись службы Kerberos она отключена и насколько помню ее не так просто удалить.

FNLBSRVDC001$ (0 - Limited - Enabled) => %systemroot%\system32\config\systemprofile

Этого пользователя точно не создавал, и я его не вижу в списке пользователей.

 

SQ сказал(а) 24 Июл 2019 - 20:17:

- Утоните если ваш сервер доступен из вне (с интернета)?
- Также если установлены все критческие обновления закрывающие уязвимости SMB и RDP?

Так и не ответили на эти вопросы.

 

Если Вы про обновление kb4499175 то оно действительно не было установлено, блин, установил.

 

Насколько я понимаю у вас роутер Mikrotik, убедитесь пожалуйста, чтобы он не был вломан злоумышлинниками. 

Да Mikrotik и на него постоянно пытаются залогинится под дефолтным пользователем это видно по логам, я его сразу отключил и создал нового с надежным паролем и судя по логам под моим пользователем никто кроме меня в него не входил и IP адрес с которого входили тоже мой, этот вариант отметаю.

Fixlog.txt

[SQ]

Проверьте пожалуйста кто владелец указанных вами папок (зашифрованных), хотелось бы понять под каким пользователем они были созданы/модифицированы.

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

 

Да Mikrotik и на него постоянно пытаются залогинится под дефолтным пользователем это видно по логам, я его сразу отключил и создал нового с надежным паролем и судя по логам под моим пользователем никто кроме меня в него не входил и IP адрес с которого входили тоже мой, этот вариант отметаю.

Ознакомьтесь пожалуйста со следуюшей статьей и убедитесь, что все ок. Для чего хакерам Микротик ...

[Igor_V_Popov]

В двух каталогах что лежат на системном диске С:\ владелец файлов "Администраторы" (Screen_0.jpg)

я так понимаю группа?

На Screen_1 файл из каталога Desktop дефолтной учетной записи "Администратор".

На Screen_2 файл из каталога Desktop учетной записи пользователя.

Этот пользователь был создан и под ним заходил на сервер пару раз, создался профиль пользователя и проверил доступ по RDP

Еще есть пользователь RDV GRAPHICS SERVICE - отключен.

И пользователь "Гость" встроеная учетка, была отключена сразу и поставлен 16-ти значный сложный пароль.

Спасибо, со статьей ознакомлюсь обязательно, потому как год назад Микротик настроил так про него и забыл, логи только иногда просматривал.

Screen.rar

FNLBSRVDC001_2019-07-24_23-36-12_v4.1.6.7z

[SQ]

В логах не нахожу активной угрозы.

- Уточните пожалуйста антивирусный продукт KES 10, что-то выявил?

- Также проверьте логи защитника Windows?
- Программу Dameware для удаленного подключения сами устанавливали?

[Igor_V_Popov]

- Уточните пожалуйста антивирусный продукт KES 10, что-то выявил?

KES у меня не установлен.

- Также проверьте логи защитника Windows?

В логах Microsoft Security Essentials - чисто, Kaspersky Anti-Ransomware Tool for Business 4 - чисто.

Сканировал свежими Kaspersky Virus Removal Tool и Dr.Web CureIt! - чисто.

- Программу Dameware для удаленного подключения сами устанавливали?

Такую программу не устанавливал.

 

Это точно для моей ветки коммент?

[SQ]

Это точно для моей ветки коммент?

прошу прощения, в uVS не тот лог попал.

 

 

В ваших логах не нахожу активной угрозы. Единственно, прошу вас проверить Far.exe на virustotal.com, а то не удается найти информацию по нему.

Оригинальное имя            Far.exe
Версия файла                1.70 alpha 6 build 2037
Описание                    File and archive manager
Производитель               Eugene Roshal & FAR Group
Комментарий                 TEST ONLY!

[Igor_V_Popov]

Спасибо огромное за то, что уделили время и оказали помощь.

Я так понимаю, эти непонятные каталоги и файлы проанализированы и их можно удалить?

Пороюсь еще с AD плотно, есть подозрение, что контроллер скомпроментирован, становлюсь параноиком ))

Оригинальное имя Far.exe
Версия файла 1.70 alpha 6 build 2037
Описание File and archive manager
Производитель Eugene Roshal & FAR Group
Комментарий TEST ONLY!

 

проверил - чисто.

[SQ]

Я так понимаю, эти непонятные каталоги и файлы проанализированы и их можно удалить?

Лучше заархивируйте их в zip c паролем virus, возможно в скором будущем будет дешифровальщик

 

Пороюсь еще с AD плотно, есть подозрение, что контроллер скомпроментирован, становлюсь параноиком ))

Вам необходимо проверить другие ПК и сервера к которым доступен этот сервер, возможно они использовали уязвимость smb и зашифровали эти файлы вновь.

Обычно на рабочем столе этих ПК будут файлы с требованиями злоумышшлинников.

 

Обратите внимание на (у многих аттрибут h - "скрытый"):

2019-07-24 20:41 - 2019-07-24 20:41 - 000509952 ____H C:\Users\Все пользователи\Desktop\yj3minutesNoJKZtzoOx.txt
2019-07-24 20:41 - 2019-07-24 20:41 - 000509952 ____H C:\Users\Public\Desktop\yj3minutesNoJKZtzoOx.txt
2019-07-24 20:41 - 2019-07-24 20:41 - 000509952 ____H C:\ProgramData\Desktop\yj3minutesNoJKZtzoOx.txt
2019-07-24 20:41 - 2019-07-24 20:41 - 000474112 ____H C:\Users\Все пользователи\Desktop\pmdlogNoJKZtzoOx.jpeg
2019-07-24 20:41 - 2019-07-24 20:41 - 000474112 ____H C:\Users\Public\Desktop\pmdlogNoJKZtzoOx.jpeg
2019-07-24 20:41 - 2019-07-24 20:41 - 000474112 ____H C:\ProgramData\Desktop\pmdlogNoJKZtzoOx.jpeg
2019-07-24 20:41 - 2019-07-24 20:41 - 000430080 ____H C:\Users\Все пользователи\Documents\yvmminutesNoJKZtzoOx.xls
2019-07-24 20:41 - 2019-07-24 20:41 - 000430080 ____H C:\Users\Public\Documents\yvmminutesNoJKZtzoOx.xls
2019-07-24 20:41 - 2019-07-24 20:41 - 000430080 ____H C:\ProgramData\Documents\yvmminutesNoJKZtzoOx.xls
2019-07-24 20:41 - 2019-07-24 20:41 - 000420864 ____H C:\Users\Все пользователи\Documents\5tomeetingNoJKZtzoOx.pdf
2019-07-24 20:41 - 2019-07-24 20:41 - 000420864 ____H C:\Users\Public\Documents\5tomeetingNoJKZtzoOx.pdf
2019-07-24 20:41 - 2019-07-24 20:41 - 000420864 ____H C:\ProgramData\Documents\5tomeetingNoJKZtzoOx.pdf
2019-07-24 20:41 - 2019-07-24 20:41 - 000386048 ____H C:\Users\Все пользователи\Documents\5c1meetingNoJKZtzoOx.xls
2019-07-24 20:41 - 2019-07-24 20:41 - 000386048 ____H C:\Users\Public\Documents\5c1meetingNoJKZtzoOx.xls
2019-07-24 20:41 - 2019-07-24 20:41 - 000386048 ____H C:\ProgramData\Documents\5c1meetingNoJKZtzoOx.xls
2019-07-24 20:41 - 2019-07-24 20:41 - 000274432 ____H C:\Users\Все пользователи\Desktop\gi4minutesNoJKZtzoOx.txt
2019-07-24 20:41 - 2019-07-24 20:41 - 000274432 ____H C:\Users\Public\Desktop\gi4minutesNoJKZtzoOx.txt
2019-07-24 20:41 - 2019-07-24 20:41 - 000274432 ____H C:\ProgramData\Desktop\gi4minutesNoJKZtzoOx.txt
2019-07-24 20:41 - 2019-07-24 20:41 - 000174080 ____H C:\Users\Все пользователи\Documents\jtrlogNoJKZtzoOx.ppt
2019-07-24 20:41 - 2019-07-24 20:41 - 000174080 ____H C:\Users\Public\Documents\jtrlogNoJKZtzoOx.ppt
2019-07-24 20:41 - 2019-07-24 20:41 - 000174080 ____H C:\ProgramData\Documents\jtrlogNoJKZtzoOx.ppt
2019-07-24 19:33 - 2019-07-24 19:33 - 000486400 ____H C:\Users\Все пользователи\Documents\2omeetingNoJKZtzoOx.pptx
2019-07-24 19:33 - 2019-07-24 19:33 - 000486400 ____H C:\Users\Public\Documents\2omeetingNoJKZtzoOx.pptx
2019-07-24 19:33 - 2019-07-24 19:33 - 000486400 ____H C:\ProgramData\Documents\2omeetingNoJKZtzoOx.pptx
2019-07-24 19:33 - 2019-07-24 19:33 - 000337920 ____H C:\Users\Все пользователи\Desktop\54minutesNoJKZtzoOx.txt
2019-07-24 19:33 - 2019-07-24 19:33 - 000337920 ____H C:\Users\Public\Desktop\54minutesNoJKZtzoOx.txt
2019-07-24 19:33 - 2019-07-24 19:33 - 000337920 ____H C:\ProgramData\Desktop\54minutesNoJKZtzoOx.txt
2019-07-24 19:33 - 2019-07-24 19:33 - 000248832 ____H C:\Users\Все пользователи\Desktop\0npnoteNoJKZtzoOx.pdf
2019-07-24 19:33 - 2019-07-24 19:33 - 000248832 ____H C:\Users\Public\Desktop\0npnoteNoJKZtzoOx.pdf
2019-07-24 19:33 - 2019-07-24 19:33 - 000248832 ____H C:\ProgramData\Desktop\0npnoteNoJKZtzoOx.pdf
2019-07-24 19:33 - 2019-07-24 19:33 - 000136192 ____H C:\Users\Все пользователи\Desktop\4gumeetingNoJKZtzoOx.ppt
2019-07-24 19:33 - 2019-07-24 19:33 - 000136192 ____H C:\Users\Public\Desktop\4gumeetingNoJKZtzoOx.ppt
2019-07-24 19:33 - 2019-07-24 19:33 - 000136192 ____H C:\ProgramData\Desktop\4gumeetingNoJKZtzoOx.ppt
2019-07-24 19:33 - 2019-07-24 19:33 - 000123904 ____H C:\Users\Все пользователи\Documents\fsbmeetingNoJKZtzoOx.jpeg
2019-07-24 19:33 - 2019-07-24 19:33 - 000123904 ____H C:\Users\Public\Documents\fsbmeetingNoJKZtzoOx.jpeg
2019-07-24 19:33 - 2019-07-24 19:33 - 000123904 ____H C:\ProgramData\Documents\fsbmeetingNoJKZtzoOx.jpeg
2019-07-24 19:33 - 2019-07-24 19:33 - 000118784 ____H C:\Users\Все пользователи\Documents\f0saveNoJKZtzoOx.pptx
2019-07-24 19:33 - 2019-07-24 19:33 - 000118784 ____H C:\Users\Public\Documents\f0saveNoJKZtzoOx.pptx
2019-07-24 19:33 - 2019-07-24 19:33 - 000118784 ____H C:\ProgramData\Documents\f0saveNoJKZtzoOx.pptx
2019-07-24 19:33 - 2019-07-24 19:33 - 000096256 ____H C:\Users\Все пользователи\Documents\lnminutesNoJKZtzoOx.ppt
2019-07-24 19:33 - 2019-07-24 19:33 - 000096256 ____H C:\Users\Public\Documents\lnminutesNoJKZtzoOx.ppt
2019-07-24 19:33 - 2019-07-24 19:33 - 000096256 ____H C:\ProgramData\Documents\lnminutesNoJKZtzoOx.ppt
2019-07-24 19:33 - 2019-07-24 19:33 - 000016384 ____H C:\Users\Все пользователи\Desktop\g0csaveNoJKZtzoOx.ppt
2019-07-24 19:33 - 2019-07-24 19:33 - 000016384 ____H C:\Users\Public\Desktop\g0csaveNoJKZtzoOx.ppt
2019-07-24 19:33 - 2019-07-24 19:33 - 000016384 ____H C:\ProgramData\Desktop\g0csaveNoJKZtzoOx.ppt
2019-07-24 09:19 - 2019-07-24 20:52 - 000141312 ____H C:\Users\Default\Desktop\opsaveNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 20:52 - 000141312 ____H C:\Users\Default User\Desktop\opsaveNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 20:51 - 000493568 ____H C:\Users\Default\Desktop\ddulogNoJKZtzoOx.ppt
2019-07-24 09:19 - 2019-07-24 20:51 - 000493568 ____H C:\Users\Default User\Desktop\ddulogNoJKZtzoOx.ppt
2019-07-24 09:19 - 2019-07-24 20:51 - 000302080 ____H C:\Users\Default\Documents\iisaveNoJKZtzoOx.txt
2019-07-24 09:19 - 2019-07-24 20:51 - 000302080 ____H C:\Users\Default User\Documents\iisaveNoJKZtzoOx.txt
2019-07-24 09:19 - 2019-07-24 20:51 - 000251904 ____H C:\Users\Default\Desktop\eqmeetingNoJKZtzoOx.xls
2019-07-24 09:19 - 2019-07-24 20:51 - 000251904 ____H C:\Users\Default User\Desktop\eqmeetingNoJKZtzoOx.xls
2019-07-24 09:19 - 2019-07-24 20:51 - 000177152 ____H C:\Users\Default\Desktop\ojmeetingNoJKZtzoOx.xls
2019-07-24 09:19 - 2019-07-24 20:51 - 000177152 ____H C:\Users\Default User\Desktop\ojmeetingNoJKZtzoOx.xls
2019-07-24 09:19 - 2019-07-24 20:51 - 000079872 ____H C:\Users\Default\Documents\vzsaveNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 20:51 - 000079872 ____H C:\Users\Default User\Documents\vzsaveNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 20:50 - 000028672 ____H C:\Users\Default\Documents\h4minutesNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 20:50 - 000028672 ____H C:\Users\Default User\Documents\h4minutesNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 20:48 - 000330752 ____H C:\Users\Botchkarev_AV\Desktop\uh4meetingNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 20:48 - 000131072 ____H C:\Users\Botchkarev_AV\Desktop\vuesaveNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 20:47 - 000481280 ____H C:\Users\Botchkarev_AV\Desktop\oqmmeetingNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 20:47 - 000414720 ____H C:\Users\Botchkarev_AV\Documents\wnminutesNoJKZtzoOx.xlsx
2019-07-24 09:19 - 2019-07-24 20:47 - 000316416 ____H C:\Users\Botchkarev_AV\Documents\unsaveNoJKZtzoOx.ppt
2019-07-24 09:19 - 2019-07-24 20:47 - 000163840 ____H C:\Users\Botchkarev_AV\Desktop\4n0saveNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 20:46 - 000319488 ____H C:\Users\Botchkarev_AV\Documents\ngminutesNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 20:46 - 000294912 ____H C:\Users\Botchkarev_AV\Documents\kssaveNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 20:46 - 000010240 ____H C:\Users\Botchkarev_AV\Documents\5xlogNoJKZtzoOx.xls
2019-07-24 09:19 - 2019-07-24 20:45 - 000467968 _____ C:\Users\Q1g1L0q2xmuCp\0dminutesNoJKZtzoOx.ppt
2019-07-24 09:19 - 2019-07-24 20:45 - 000347136 _____ C:\Users\Q1g1L0q2xmuCp\onsaveNoJKZtzoOx.ppt
2019-07-24 09:19 - 2019-07-24 20:45 - 000053248 _____ C:\Users\Q1g1L0q2xmuCp\uzzsettingNoJKZtzoOx.ppt
2019-07-24 09:19 - 2019-07-24 20:44 - 000489472 _____ C:\Users\Asw1L0q2xmuCp\qcmlogNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 20:44 - 000369664 _____ C:\Users\Asw1L0q2xmuCp\3cbnoteNoJKZtzoOx.xlsx
2019-07-24 09:19 - 2019-07-24 20:44 - 000051200 _____ C:\Users\Asw1L0q2xmuCp\ecsaveNoJKZtzoOx.txt
2019-07-24 09:19 - 2019-07-24 09:19 - 000505856 ____H C:\Users\Все пользователи\Desktop\ynsaveNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000505856 ____H C:\Users\Public\Desktop\ynsaveNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000505856 ____H C:\ProgramData\Desktop\ynsaveNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000487424 ____H C:\Users\Все пользователи\Desktop\qosettingNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 09:19 - 000487424 ____H C:\Users\Public\Desktop\qosettingNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 09:19 - 000487424 ____H C:\ProgramData\Desktop\qosettingNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 09:19 - 000483328 ____H C:\Users\Все пользователи\Documents\b1settingNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 09:19 - 000483328 ____H C:\Users\Public\Documents\b1settingNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 09:19 - 000483328 ____H C:\ProgramData\Documents\b1settingNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 09:19 - 000479232 ____H C:\Users\Все пользователи\Desktop\1esaveNoJKZtzoOx.xls
2019-07-24 09:19 - 2019-07-24 09:19 - 000479232 ____H C:\Users\Public\Desktop\1esaveNoJKZtzoOx.xls
2019-07-24 09:19 - 2019-07-24 09:19 - 000479232 ____H C:\ProgramData\Desktop\1esaveNoJKZtzoOx.xls
2019-07-24 09:19 - 2019-07-24 09:19 - 000475136 ____H C:\Users\Все пользователи\Desktop\qgminutesNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 09:19 - 000475136 ____H C:\Users\Public\Desktop\qgminutesNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 09:19 - 000475136 ____H C:\ProgramData\Desktop\qgminutesNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 09:19 - 000455680 ____H C:\Users\Администратор\Documents\35vmeetingNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 09:19 - 000418816 ____H C:\Users\Администратор\Desktop\fuonoteNoJKZtzoOx.xlsx
2019-07-24 09:19 - 2019-07-24 09:19 - 000391168 ____H C:\Users\Все пользователи\Documents\g2minutesNoJKZtzoOx.txt
2019-07-24 09:19 - 2019-07-24 09:19 - 000391168 ____H C:\Users\Public\Documents\g2minutesNoJKZtzoOx.txt
2019-07-24 09:19 - 2019-07-24 09:19 - 000391168 ____H C:\ProgramData\Documents\g2minutesNoJKZtzoOx.txt
2019-07-24 09:19 - 2019-07-24 09:19 - 000345088 ____H C:\Users\Администратор\Desktop\siminutesNoJKZtzoOx.xls
2019-07-24 09:19 - 2019-07-24 09:19 - 000338944 ____H C:\Users\Все пользователи\Documents\pjqsettingNoJKZtzoOx.txt
2019-07-24 09:19 - 2019-07-24 09:19 - 000338944 ____H C:\Users\Public\Documents\pjqsettingNoJKZtzoOx.txt
2019-07-24 09:19 - 2019-07-24 09:19 - 000338944 ____H C:\ProgramData\Documents\pjqsettingNoJKZtzoOx.txt
2019-07-24 09:19 - 2019-07-24 09:19 - 000288768 ____H C:\Users\Все пользователи\Desktop\z4xsaveNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000288768 ____H C:\Users\Public\Desktop\z4xsaveNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000288768 ____H C:\ProgramData\Desktop\z4xsaveNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000252928 ____H C:\Users\Администратор\Documents\nipsettingNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 09:19 - 000219136 ____H C:\Users\Все пользователи\Documents\gonoteNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 09:19 - 000219136 ____H C:\Users\Public\Documents\gonoteNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 09:19 - 000219136 ____H C:\ProgramData\Documents\gonoteNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 09:19 - 000216064 ____H C:\Users\Администратор\Documents\aq4saveNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000215040 ____H C:\Users\Администратор\Desktop\depmeetingNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 09:19 - 000199680 ____H C:\Users\Администратор\Documents\pfminutesNoJKZtzoOx.xls
2019-07-24 09:19 - 2019-07-24 09:19 - 000153600 ____H C:\Users\Все пользователи\Desktop\opsettingNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000153600 ____H C:\Users\Public\Desktop\opsettingNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000153600 ____H C:\ProgramData\Desktop\opsettingNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000152576 ____H C:\Users\Все пользователи\Documents\0rsettingNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 09:19 - 000152576 ____H C:\Users\Public\Documents\0rsettingNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 09:19 - 000152576 ____H C:\ProgramData\Documents\0rsettingNoJKZtzoOx.jpeg
2019-07-24 09:19 - 2019-07-24 09:19 - 000145408 ____H C:\Users\Все пользователи\Documents\uizmeetingNoJKZtzoOx.ppt
2019-07-24 09:19 - 2019-07-24 09:19 - 000145408 ____H C:\Users\Public\Documents\uizmeetingNoJKZtzoOx.ppt
2019-07-24 09:19 - 2019-07-24 09:19 - 000145408 ____H C:\ProgramData\Documents\uizmeetingNoJKZtzoOx.ppt
2019-07-24 09:19 - 2019-07-24 09:19 - 000118784 ____H C:\Users\Администратор\Desktop\0fsaveNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 09:19 - 000111616 ____H C:\Users\Все пользователи\Documents\dnlogNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000111616 ____H C:\Users\Public\Documents\dnlogNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000111616 ____H C:\ProgramData\Documents\dnlogNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000081920 ____H C:\Users\Все пользователи\Documents\e5rsaveNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000081920 ____H C:\Users\Public\Documents\e5rsaveNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000081920 ____H C:\ProgramData\Documents\e5rsaveNoJKZtzoOx.pptx
2019-07-24 09:19 - 2019-07-24 09:19 - 000078848 ____H C:\Users\Все пользователи\Desktop\1hsaveNoJKZtzoOx.txt
2019-07-24 09:19 - 2019-07-24 09:19 - 000078848 ____H C:\Users\Public\Desktop\1hsaveNoJKZtzoOx.txt
2019-07-24 09:19 - 2019-07-24 09:19 - 000078848 ____H C:\ProgramData\Desktop\1hsaveNoJKZtzoOx.txt
2019-07-24 09:19 - 2019-07-24 09:19 - 000049152 ____H C:\Users\Все пользователи\Documents\lblsaveNoJKZtzoOx.ppt
2019-07-24 09:19 - 2019-07-24 09:19 - 000049152 ____H C:\Users\Public\Documents\lblsaveNoJKZtzoOx.ppt
2019-07-24 09:19 - 2019-07-24 09:19 - 000049152 ____H C:\ProgramData\Documents\lblsaveNoJKZtzoOx.ppt
2019-07-24 09:19 - 2019-07-24 09:19 - 000048128 ____H C:\Users\Все пользователи\Documents\lrnoteNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 09:19 - 000048128 ____H C:\Users\Public\Documents\lrnoteNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 09:19 - 000048128 ____H C:\ProgramData\Documents\lrnoteNoJKZtzoOx.pdf
2019-07-24 09:19 - 2019-07-24 09:19 - 000000000 ___HD C:\Users\Q1g1L0q2xmuCp
2019-07-24 09:19 - 2019-07-24 09:19 - 000000000 ___HD C:\Users\Asw1L0q2xmuCp
2019-07-24 09:19 - 2019-07-24 09:19 - 000000000 ____D C:\Qdatesvtb1L0q2xmuCp
2019-07-24 09:19 - 2019-07-24 09:19 - 000000000 ____D C:\Adates0r1L0q2xmuCp