• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-1Cv8ЗУП 290616.dt.cs16

andrik2288

Новый пользователь
Сообщения
19
Реакции
0
Баллы
1
Поработал шифровальщик, обращался к касперскому нет лекарства помогите
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,508
Реакции
1,849
Баллы
563
Здравствуйте!

Не буду вас обнадеживать (все-таки там мощная вирусная лаборатория, а тут - группа энтузиастов), на всякий случай соберите логи по правилам.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,508
Реакции
1,849
Баллы
563
Логи сделаны в терминальной сессии, сделайте их из консоли, т.е. непосредственно с сервера.
 

andrik2288

Новый пользователь
Сообщения
19
Реакции
0
Баллы
1
написал на почту хотят 50000 руб
 

akok

Команда форума
Администратор
Сообщения
17,856
Реакции
13,544
Баллы
2,203
написал на почту хотят 50000 руб
Эко как еба цены крутит.

Ваше? Если да, то уберите из скрипта соответствующие строки.
C:\ProgramData\Microsoft\DRM\Etuti\lnterrupts.exe" PID="4580"
C:\ProgramData\Microsoft\DRM\Mmadipaji\Ogafe.exe" PID="4760"
C:\ProgramData\Microsoft\DRM\Mmadipaji\Wxapi.exe" PID="3148

Удалял, все, что вызывает подозрение, пересмотрите скрипт, чтоб лишнего не зацепил.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
  SetServiceStart('ServiceWindowsSystem', 4);
 QuarantineFile('C:\Program Files\rdp wrapper\rdpwrap.dll','');
 QuarantineFile('C:\Documents and Settings\All Users\Microsoft\DRM\Etuti\lnterrupts.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Microsoft\DRM\Mmadipaji\Wxapi.exe','');
 QuarantineFile('C:\Users\admin.Admin-ПК\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\README.txt','');
 QuarantineFile('C:\Program Files\Win\service.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\DRM\Mmadipaji\Wxapi.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\DRM\Mmadipaji\Ogafe.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\DRM\Etuti\lnterrupts.exe','');
 DeleteFile('C:\ProgramData\Microsoft\DRM\Etuti\lnterrupts.exe','32');
 DeleteFile('C:\ProgramData\Microsoft\DRM\Mmadipaji\Ogafe.exe','32');
 DeleteFile('C:\ProgramData\Microsoft\DRM\Mmadipaji\Wxapi.exe','32');
 DeleteFile('C:\Program Files\Win\service.exe','64');
 DeleteFile('C:\Users\admin.Admin-ПК\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\README.txt','64');
 DeleteFile('C:\Documents and Settings\All Users\Microsoft\DRM\Mmadipaji\Wxapi.exe','64');
 DeleteFile('C:\Documents and Settings\All Users\Microsoft\DRM\Etuti\lnterrupts.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\EntityFramework2\NetFramework');
 DeleteSchedulerTask('Microsoft\Windows\EntityFramework\NetFramework');
 DeleteFile('C:\Program Files\rdp wrapper\rdpwrap.dll','32');
 DeleteService('ServiceWindowsSystem');
   BC_Activate;
  ExecuteSysClean;
 BC_ImportALL;
end.
Компьютер перезагрузите вручную.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00avast: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.


Постарайтесь найти несколько пар - зашифрованный и его не зашифрованный оригинал размером не менее 64 кбайт (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
Тип файла предпочтительно офисный документ или картинка.

Коллега, посмотрит, что можно сделать.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,508
Реакции
1,849
Баллы
563
Через Панель управления - Удаление программ - удалите нежелательное ПО:
Затем:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM Group Policy restriction on software: C:\Windows\SysWOW64\drivers\fsproflt.exe <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Windows\system32\drivers\FSPFltd.sys <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Windows\SysWOW64\Resident <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Program Files\Hide Folders 2009 <==== ATTENTION
    HKLM Group Policy restriction on software: C:\ProgramData\DRM <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Program Files\Common Files\Intel <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Windows\SysWOW64\fsproflt.exe <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Windows\SysWOW64\MPK <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Windows\Inf\NETLIBRARIESTIP\0009\v3.5.56385 <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Program Files\Common Files\microsoft shared\System <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Program Files\MPK <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0 <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Windows\SysWOW64\Radiance <==== ATTENTION
    HKLM Group Policy restriction on software: C:\ProgramData\MPK <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Windows\Fonts <==== ATTENTION
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    Task: {0882CBE6-18FA-45F7-813C-5AA68EFBF8DC} - \Adobe Reader -> No File <==== ATTENTION
    Task: {AB3A7485-596F-4844-8E56-7F037516B3AE} - \GoogleUpdateTaskMashine -> No File <==== ATTENTION
    Task: {D36B1800-93E2-47FF-928F-BC5F71E2795A} - \Программа онлайн-обновления Adobe. -> No File <==== ATTENTION
    Task: {54EF641E-3F6F-4D10-BC53-95FA6A93C50E} - System32\Tasks\TuneUpUtilities_Task_BkGndMaintenance2013 => C:\Program Files (x86)\TuneUp Utilities 2014\OneClick.exe [455992 2013-10-30] (AVG Netherlands B.V. -> TuneUp Software)
    Task: {5C8E330B-DC70-4BA1-BB69-6428E8191037} - System32\Tasks\SafeZone scheduled Autoupdate 1466674424 => C:\Program Files\AVAST Software\SZBrowser\launcher.exe
    S3 TuneUpUtilitiesDrv; \??\C:\Program Files (x86)\TuneUp Utilities 2014\TuneUpUtilitiesDriver64.sys [X]
    Folder:C:\ProgramData\s4lg
    Folder:C:\ProgramData\s18o
    2019-10-30 03:07 - 2019-10-30 03:07 - 000000096 ____C C:\Users\README.txt
    2019-10-30 03:07 - 2019-10-30 03:07 - 000000096 ____C C:\README.txt
    2019-10-30 03:05 - 2019-10-30 03:05 - 000000096 ____C C:\Users\BUH6\AppData\README.txt
    2019-10-30 03:04 - 2019-10-30 03:04 - 000000096 ____C C:\Users\BUH3\Desktop\README.txt
    2019-10-30 03:04 - 2019-10-30 03:04 - 000000096 ____C C:\Users\BUH3\AppData\README.txt
    2019-10-30 03:01 - 2019-10-30 03:01 - 000000096 ____C C:\Users\BUH10\Desktop\README.txt
    2019-10-30 03:01 - 2019-10-30 03:01 - 000000096 ____C C:\Users\BUH10\AppData\README.txt
    2019-10-30 03:01 - 2019-10-30 03:01 - 000000096 ____C C:\Users\BUH10\AppData\Local\README.txt
    2019-10-30 02:59 - 2019-10-30 02:59 - 000000096 ____C C:\Program Files (x86)\README.txt
    2019-10-30 02:58 - 2019-10-30 02:59 - 000000810 ____C C:\Users\BUH-1\Desktop\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:58 - 2019-10-30 02:59 - 000000810 ____C C:\Users\BUH-1\AppData\Local\README.txt
    2019-10-30 02:58 - 2019-10-30 02:59 - 000000096 ____C C:\Users\BUH-1\Desktop\README.txt
    2019-10-30 02:56 - 2019-10-30 02:59 - 000000810 ____C C:\Users\ASPNET\AppData\README.txt
    2019-10-30 02:54 - 2019-10-30 03:07 - 000000810 ____C C:\Users\Все пользователи\Desktop\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:54 - 2019-10-30 03:07 - 000000810 ____C C:\Users\Public\Desktop\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:54 - 2019-10-30 03:07 - 000000810 ____C C:\ProgramData\Desktop\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:54 - 2019-10-30 03:07 - 000000096 ____C C:\Users\Все пользователи\Desktop\README.txt
    2019-10-30 02:54 - 2019-10-30 03:07 - 000000096 ____C C:\Users\Public\Desktop\README.txt
    2019-10-30 02:54 - 2019-10-30 03:07 - 000000096 ____C C:\ProgramData\Desktop\README.txt
    2019-10-30 02:54 - 2019-10-30 02:54 - 000000776 ____C C:\Users\Все пользователи\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:54 - 2019-10-30 02:54 - 000000776 ____C C:\ProgramData\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:53 - 2019-10-30 02:59 - 000000810 ____C C:\Users\admin.Admin-ПК\Desktop\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:53 - 2019-10-30 02:59 - 000000810 ____C C:\Users\admin.Admin-ПК\AppData\README.txt
    2019-10-30 02:53 - 2019-10-30 02:59 - 000000096 ____C C:\Users\admin.Admin-ПК\Desktop\README.txt
    2019-10-30 02:50 - 2019-10-30 02:59 - 000000810 ____C C:\Users\Admin\AppData\Roaming\README.txt
    2019-10-30 02:50 - 2019-10-30 02:59 - 000000810 ____C C:\Users\Admin\AppData\README.txt
    2019-10-30 02:47 - 2019-10-30 03:07 - 000000810 ____C C:\Users\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:44 - 2018-01-15 02:56 - 000000028 ____C C:\Users\admin.Admin-ПК\Downloads\Shadow.bat
    Virustotal:C:\Users\BUH10\Downloads\bifit_signer_7.12.exe
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000810 ____C C:\Users\TEMP.Admin-ПК\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000810 ____C C:\Users\TEMP.Admin-ПК\AppData\Roaming\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000810 ____C C:\Users\MASHKO\AppData\Roaming\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000810 ____C C:\Users\MASHKO\AppData\LocalLow\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000810 _____ C:\Users\TATJANA\Downloads\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000810 _____ C:\Users\TATJANA\Desktop\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000810 _____ C:\Users\TATJANA\AppData\Roaming\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000810 _____ C:\Users\TATJANA\AppData\LocalLow\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 ____C C:\Users\TEMP.Admin-ПК\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 ____C C:\Users\TEMP.Admin-ПК\AppData\Roaming\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 ____C C:\Users\TEMP.Admin-ПК\AppData\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 ____C C:\Users\TATJANA\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 ____C C:\Users\Public\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 ____C C:\Users\Public\Downloads\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 ____C C:\Users\MASHKO\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 ____C C:\Users\MASHKO\Downloads\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 ____C C:\Users\MASHKO\Documents\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 ____C C:\Users\MASHKO\Desktop\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 ____C C:\Users\MASHKO\AppData\Roaming\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 ____C C:\Users\MASHKO\AppData\LocalLow\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 ____C C:\Users\MASHKO\AppData\Local\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 ____C C:\Users\MASHKO\AppData\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 ____C C:\Users\HomeGroupUser\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 ____C C:\Users\HomeGroupUser\Downloads\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 ____C C:\Users\HomeGroupUser\Documents\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 ____C C:\Users\HomeGroupUser\Desktop\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 ____C C:\Users\HomeGroupUser\AppData\Roaming\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 ____C C:\Users\HomeGroupUser\AppData\LocalLow\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 ____C C:\Users\HomeGroupUser\AppData\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 _____ C:\Users\TATJANA\Downloads\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 _____ C:\Users\TATJANA\Documents\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 _____ C:\Users\TATJANA\Desktop\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 _____ C:\Users\TATJANA\AppData\Roaming\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 _____ C:\Users\TATJANA\AppData\LocalLow\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 _____ C:\Users\TATJANA\AppData\Local\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 _____ C:\Users\TATJANA\AppData\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000096 ____C C:\Users\TEMP.Admin-ПК\AppData\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000096 ____C C:\Users\TATJANA\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000096 ____C C:\Users\Public\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000096 ____C C:\Users\Public\Downloads\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000096 ____C C:\Users\MASHKO\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000096 ____C C:\Users\MASHKO\Downloads\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000096 ____C C:\Users\MASHKO\Documents\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000096 ____C C:\Users\MASHKO\Desktop\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000096 ____C C:\Users\MASHKO\AppData\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000096 ____C C:\Users\MASHKO\AppData\Local\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000096 ____C C:\Users\HomeGroupUser\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000096 ____C C:\Users\HomeGroupUser\Downloads\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000096 ____C C:\Users\HomeGroupUser\Documents\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000096 ____C C:\Users\HomeGroupUser\Desktop\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000096 ____C C:\Users\HomeGroupUser\AppData\Roaming\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000096 ____C C:\Users\HomeGroupUser\AppData\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000096 ____C C:\Users\HomeGroupUser\AppData\LocalLow\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000096 _____ C:\Users\TATJANA\Documents\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000096 _____ C:\Users\TATJANA\AppData\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000096 _____ C:\Users\TATJANA\AppData\Local\README.txt
    2019-10-30 03:07 - 2019-07-10 02:12 - 000000776 ____C C:\Users\HomeGroupUser\AppData\Local\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:12 - 000000096 ____C C:\Users\HomeGroupUser\AppData\Local\README.txt
    2019-10-30 03:07 - 2019-07-10 02:04 - 000000776 ____C C:\Users\Все пользователи\Documents\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:04 - 000000776 ____C C:\Users\Public\Documents\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:04 - 000000776 ____C C:\ProgramData\Documents\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:04 - 000000096 ____C C:\Users\Все пользователи\Documents\README.txt
    2019-10-30 03:07 - 2019-07-10 02:04 - 000000096 ____C C:\Users\Public\Documents\README.txt
    2019-10-30 03:07 - 2019-07-10 02:04 - 000000096 ____C C:\ProgramData\Documents\README.txt
    2019-10-30 03:06 - 2019-07-10 02:12 - 000000810 ____C C:\Users\DIRECTOR-PC\Desktop\README.txt
    2019-10-30 03:06 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DIRECTOR-PC\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:06 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DIRECTOR-PC\Downloads\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:06 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DIRECTOR-PC\Documents\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:06 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DIRECTOR-PC\Desktop\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:06 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DIRECTOR-PC\AppData\Roaming\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:06 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DIRECTOR-PC\AppData\LocalLow\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:06 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DIRECTOR-PC\AppData\Local\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:06 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DIRECTOR-PC\AppData\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:06 - 2019-07-10 02:12 - 000000096 ____C C:\Users\DIRECTOR-PC\README.txt
    2019-10-30 03:06 - 2019-07-10 02:12 - 000000096 ____C C:\Users\DIRECTOR-PC\Downloads\README.txt
    2019-10-30 03:06 - 2019-07-10 02:12 - 000000096 ____C C:\Users\DIRECTOR-PC\Documents\README.txt
    2019-10-30 03:06 - 2019-07-10 02:12 - 000000096 ____C C:\Users\DIRECTOR-PC\AppData\Roaming\README.txt
    2019-10-30 03:06 - 2019-07-10 02:12 - 000000096 ____C C:\Users\DIRECTOR-PC\AppData\README.txt
    2019-10-30 03:06 - 2019-07-10 02:12 - 000000096 ____C C:\Users\DIRECTOR-PC\AppData\LocalLow\README.txt
    2019-10-30 03:06 - 2019-07-10 02:12 - 000000096 ____C C:\Users\DIRECTOR-PC\AppData\Local\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000810 ____C C:\Users\DefaultAppPool\Downloads\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000810 ____C C:\Users\DefaultAppPool\Documents\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000810 ____C C:\Users\DefaultAppPool\Desktop\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000810 ____C C:\Users\DefaultAppPool\AppData\Roaming\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000810 ____C C:\Users\DefaultAppPool\AppData\LocalLow\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000810 ____C C:\Users\DefaultAppPool\AppData\Local\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000810 ____C C:\Users\DefaultAccount\Downloads\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000810 ____C C:\Users\DefaultAccount\Documents\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000810 ____C C:\Users\DefaultAccount\Desktop\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000810 ____C C:\Users\DefaultAccount\AppData\Roaming\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000810 ____C C:\Users\DefaultAccount\AppData\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000810 ____C C:\Users\DefaultAccount\AppData\LocalLow\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000810 ____C C:\Users\BUH6\Downloads\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000810 ____C C:\Users\BUH6\AppData\Roaming\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DefaultAppPool\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DefaultAppPool\Downloads\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DefaultAppPool\Documents\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DefaultAppPool\Desktop\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DefaultAppPool\AppData\Roaming\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DefaultAppPool\AppData\LocalLow\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DefaultAppPool\AppData\Local\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DefaultAppPool\AppData\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DefaultAccount\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DefaultAccount\Downloads\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DefaultAccount\Documents\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DefaultAccount\Desktop\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DefaultAccount\AppData\Roaming\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DefaultAccount\AppData\LocalLow\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DefaultAccount\AppData\Local\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DefaultAccount\AppData\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\Default\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\Default\Downloads\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\Default\Documents\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\Default\Desktop\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\Default\AppData\Roaming\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\Default\AppData\Local\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\Default\AppData\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\Default User\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\Default User\Downloads\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\Default User\Documents\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\Default User\Desktop\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\Default User\AppData\Roaming\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\Default User\AppData\Local\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\Default User\AppData\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\BUH6\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\BUH6\Downloads\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\BUH6\Documents\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\BUH6\Desktop\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\BUH6\AppData\Roaming\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000096 ____C C:\Users\DefaultAppPool\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000096 ____C C:\Users\DefaultAppPool\AppData\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000096 ____C C:\Users\DefaultAccount\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000096 ____C C:\Users\DefaultAccount\AppData\Local\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000096 ____C C:\Users\Default\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000096 ____C C:\Users\Default\Downloads\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000096 ____C C:\Users\Default\Documents\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000096 ____C C:\Users\Default\Desktop\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000096 ____C C:\Users\Default\AppData\Roaming\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000096 ____C C:\Users\Default\AppData\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000096 ____C C:\Users\Default\AppData\Local\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000096 ____C C:\Users\Default User\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000096 ____C C:\Users\Default User\Downloads\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000096 ____C C:\Users\Default User\Documents\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000096 ____C C:\Users\Default User\Desktop\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000096 ____C C:\Users\Default User\AppData\Roaming\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000096 ____C C:\Users\Default User\AppData\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000096 ____C C:\Users\Default User\AppData\Local\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000096 ____C C:\Users\BUH6\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000096 ____C C:\Users\BUH6\Documents\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000096 ____C C:\Users\BUH6\Desktop\README.txt
    2019-10-30 03:04 - 2019-07-10 02:12 - 000000776 ____C C:\Users\BUH6\AppData\LocalLow\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:04 - 2019-07-10 02:12 - 000000776 ____C C:\Users\BUH6\AppData\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:04 - 2019-07-10 02:12 - 000000096 ____C C:\Users\BUH6\AppData\LocalLow\README.txt
    2019-10-30 03:04 - 2019-07-10 02:11 - 000000810 ____C C:\Users\BUH3\Downloads\README.txt
    2019-10-30 03:04 - 2019-07-10 02:11 - 000000776 ____C C:\Users\BUH6\AppData\Local\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:04 - 2019-07-10 02:11 - 000000776 ____C C:\Users\BUH3\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:04 - 2019-07-10 02:11 - 000000776 ____C C:\Users\BUH3\Downloads\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:04 - 2019-07-10 02:11 - 000000776 ____C C:\Users\BUH3\Documents\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:04 - 2019-07-10 02:11 - 000000776 ____C C:\Users\BUH3\AppData\Roaming\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:04 - 2019-07-10 02:11 - 000000096 ____C C:\Users\BUH6\AppData\Local\README.txt
    2019-10-30 03:04 - 2019-07-10 02:11 - 000000096 ____C C:\Users\BUH3\README.txt
    2019-10-30 03:04 - 2019-07-10 02:11 - 000000096 ____C C:\Users\BUH3\Documents\README.txt
    2019-10-30 03:04 - 2019-07-10 02:11 - 000000096 ____C C:\Users\BUH3\AppData\Roaming\README.txt
    2019-10-30 03:03 - 2019-07-10 02:11 - 000000776 ____C C:\Users\BUH3\AppData\LocalLow\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:03 - 2019-07-10 02:11 - 000000776 ____C C:\Users\BUH3\AppData\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:03 - 2019-07-10 02:11 - 000000096 ____C C:\Users\BUH3\AppData\LocalLow\README.txt
    2019-10-30 03:03 - 2019-07-10 02:10 - 000000776 ____C C:\Users\BUH3\AppData\Local\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:03 - 2019-07-10 02:10 - 000000096 ____C C:\Users\BUH3\AppData\Local\README.txt
    2019-10-30 03:02 - 2019-07-10 02:10 - 000000810 ____C C:\Users\BUH10\Downloads\README.txt
    2019-10-30 03:02 - 2019-07-10 02:10 - 000000776 ____C C:\Users\BUH10\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:02 - 2019-07-10 02:10 - 000000776 ____C C:\Users\BUH10\Downloads\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:02 - 2019-07-10 02:10 - 000000096 ____C C:\Users\BUH10\README.txt
    2019-10-30 03:01 - 2019-07-10 02:10 - 000000776 ____C C:\Users\BUH10\AppData\Local\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:01 - 2019-07-10 02:09 - 000000776 ____C C:\Users\BUH10\Documents\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:01 - 2019-07-10 02:09 - 000000776 ____C C:\Users\BUH10\AppData\Roaming\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:01 - 2019-07-10 02:09 - 000000776 ____C C:\Users\BUH10\AppData\LocalLow\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:01 - 2019-07-10 02:09 - 000000776 ____C C:\Users\BUH10\AppData\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:01 - 2019-07-10 02:09 - 000000096 ____C C:\Users\BUH10\Documents\README.txt
    2019-10-30 03:01 - 2019-07-10 02:09 - 000000096 ____C C:\Users\BUH10\AppData\Roaming\README.txt
    2019-10-30 03:01 - 2019-07-10 02:09 - 000000096 ____C C:\Users\BUH10\AppData\LocalLow\README.txt
    2019-10-30 02:59 - 2019-07-10 02:06 - 000000810 ____C C:\Users\BUH-1\README.txt
    2019-10-30 02:59 - 2019-07-10 02:06 - 000000810 ____C C:\Users\BUH-1\Downloads\README.txt
    2019-10-30 02:59 - 2019-07-10 02:06 - 000000810 ____C C:\Users\BUH-1\Documents\README.txt
    2019-10-30 02:59 - 2019-07-10 02:06 - 000000810 ____C C:\Users\BUH-1\AppData\Roaming\README.txt
    2019-10-30 02:59 - 2019-07-10 02:06 - 000000810 ____C C:\Users\BUH-1\AppData\README.txt
    2019-10-30 02:59 - 2019-07-10 02:06 - 000000810 ____C C:\Users\BUH-1\AppData\LocalLow\README.txt
    2019-10-30 02:59 - 2019-07-10 02:05 - 000000810 ____C C:\Users\ASPNET\README.txt
    2019-10-30 02:59 - 2019-07-10 02:05 - 000000810 ____C C:\Users\ASPNET\Downloads\README.txt
    2019-10-30 02:59 - 2019-07-10 02:05 - 000000810 ____C C:\Users\ASPNET\Documents\README.txt
    2019-10-30 02:59 - 2019-07-10 02:05 - 000000810 ____C C:\Users\ASPNET\Desktop\README.txt
    2019-10-30 02:59 - 2019-07-10 02:05 - 000000810 ____C C:\Users\ASPNET\AppData\Roaming\README.txt
    2019-10-30 02:59 - 2019-07-10 02:05 - 000000810 ____C C:\Users\ASPNET\AppData\LocalLow\README.txt
    2019-10-30 02:59 - 2019-07-10 02:04 - 000000810 ____C C:\Users\Все пользователи\README.txt
    2019-10-30 02:59 - 2019-07-10 02:04 - 000000810 ____C C:\Users\ASPNET\AppData\Local\README.txt
    2019-10-30 02:59 - 2019-07-10 02:04 - 000000810 ____C C:\Users\admin.Admin-ПК\README.txt
    2019-10-30 02:59 - 2019-07-10 02:04 - 000000810 ____C C:\Users\admin.Admin-ПК\Downloads\README.txt
    2019-10-30 02:59 - 2019-07-10 02:04 - 000000810 ____C C:\ProgramData\README.txt
    2019-10-30 02:59 - 2019-07-10 02:03 - 000000810 ____C C:\Users\admin.Admin-ПК\Documents\README.txt
    2019-10-30 02:59 - 2019-07-10 02:03 - 000000810 ____C C:\Users\admin.Admin-ПК\AppData\Roaming\README.txt
    2019-10-30 02:59 - 2019-07-10 02:03 - 000000810 ____C C:\Users\admin.Admin-ПК\AppData\LocalLow\README.txt
    2019-10-30 02:59 - 2019-07-10 02:01 - 000000810 ____C C:\Users\Admin\README.txt
    2019-10-30 02:59 - 2019-07-10 02:01 - 000000810 ____C C:\Users\Admin\Documents\README.txt
    2019-10-30 02:59 - 2019-07-10 02:01 - 000000810 ____C C:\Users\Admin\Desktop\README.txt
    2019-10-30 02:59 - 2019-07-10 02:01 - 000000810 ____C C:\Users\admin.Admin-ПК\AppData\Local\README.txt
    2019-10-30 02:59 - 2019-07-10 01:59 - 000000810 ____C C:\Users\Admin\AppData\LocalLow\README.txt
    2019-10-30 02:59 - 2019-07-10 01:59 - 000000810 ____C C:\Users\Admin\AppData\Local\README.txt
    2019-10-30 02:59 - 2019-07-10 01:58 - 000000810 ____C C:\Users\Acronis Agent User\README.txt
    2019-10-30 02:59 - 2019-07-10 01:58 - 000000810 ____C C:\Users\Acronis Agent User\Downloads\README.txt
    2019-10-30 02:59 - 2019-07-10 01:58 - 000000810 ____C C:\Users\Acronis Agent User\Documents\README.txt
    2019-10-30 02:59 - 2019-07-10 01:58 - 000000810 ____C C:\Users\Acronis Agent User\Desktop\README.txt
    2019-10-30 02:59 - 2019-07-10 01:58 - 000000810 ____C C:\Users\Acronis Agent User\AppData\Roaming\README.txt
    2019-10-30 02:59 - 2019-07-10 01:58 - 000000810 ____C C:\Users\Acronis Agent User\AppData\README.txt
    2019-10-30 02:59 - 2019-07-10 01:58 - 000000810 ____C C:\Users\Acronis Agent User\AppData\LocalLow\README.txt
    2019-10-30 02:59 - 2019-07-10 01:58 - 000000810 ____C C:\Users\Acronis Agent User\AppData\Local\README.txt
    2019-10-30 02:59 - 2015-11-15 15:12 - 000000810 ____C C:\Users\Admin\Downloads\README.txt
    2019-10-30 02:58 - 2019-07-10 02:08 - 000000776 ____C C:\Program Files (x86)\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:58 - 2019-07-10 02:06 - 000000776 ____C C:\Users\BUH-1\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:58 - 2019-07-10 02:06 - 000000776 ____C C:\Users\BUH-1\Downloads\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:58 - 2019-07-10 02:06 - 000000776 ____C C:\Users\BUH-1\Documents\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:58 - 2019-07-10 02:06 - 000000776 ____C C:\Users\BUH-1\AppData\Roaming\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:58 - 2019-07-10 02:06 - 000000776 ____C C:\Users\BUH-1\AppData\LocalLow\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:58 - 2019-07-10 02:06 - 000000776 ____C C:\Users\BUH-1\AppData\Local\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:58 - 2019-07-10 02:06 - 000000776 ____C C:\Users\BUH-1\AppData\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:56 - 2019-07-10 02:05 - 000000776 ____C C:\Users\ASPNET\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:56 - 2019-07-10 02:05 - 000000776 ____C C:\Users\ASPNET\Downloads\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:56 - 2019-07-10 02:05 - 000000776 ____C C:\Users\ASPNET\Documents\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:56 - 2019-07-10 02:05 - 000000776 ____C C:\Users\ASPNET\Desktop\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:56 - 2019-07-10 02:05 - 000000776 ____C C:\Users\ASPNET\AppData\Roaming\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:56 - 2019-07-10 02:05 - 000000776 ____C C:\Users\ASPNET\AppData\LocalLow\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:56 - 2019-07-10 02:05 - 000000776 ____C C:\Users\ASPNET\AppData\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:56 - 2019-07-10 02:04 - 000000776 ____C C:\Users\ASPNET\AppData\Local\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:51 - 2019-07-10 02:01 - 000000776 ____C C:\Users\Admin\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:51 - 2019-07-10 02:01 - 000000776 ____C C:\Users\Admin\Documents\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:51 - 2019-07-10 02:01 - 000000776 ____C C:\Program Files\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:51 - 2019-07-10 02:01 - 000000096 ____C C:\Program Files\README.txt
    2019-10-30 02:46 - 2019-07-10 01:58 - 000000776 ____C C:\Users\Acronis Agent User\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:46 - 2019-07-10 01:58 - 000000776 ____C C:\Users\Acronis Agent User\Downloads\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:46 - 2019-07-10 01:58 - 000000776 ____C C:\Users\Acronis Agent User\Documents\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:46 - 2019-07-10 01:58 - 000000776 ____C C:\Users\Acronis Agent User\Desktop\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:46 - 2019-07-10 01:58 - 000000776 ____C C:\Users\Acronis Agent User\AppData\Roaming\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:46 - 2019-07-10 01:58 - 000000776 ____C C:\Users\Acronis Agent User\AppData\LocalLow\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:46 - 2019-07-10 01:58 - 000000776 ____C C:\Users\Acronis Agent User\AppData\Local\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:46 - 2019-07-10 01:58 - 000000776 ____C C:\Users\Acronis Agent User\AppData\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    AlternateDataStreams: C:\Users\Admin:id [66]
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,508
Реакции
1,849
Баллы
563
Файл C:\Users\BUH10\Downloads\bifit_signer_7.12.exe проверьте на www.virustotal.com и покажите ссылку на отчёт.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,508
Реакции
1,849
Баллы
563
Этот файл вам известен?
 

andrik2288

Новый пользователь
Сообщения
19
Реакции
0
Баллы
1
Это плагин для рутокена банка
BUH-10 на ней стоит банк а почему он оказался на сервере не знаю
 
Последнее редактирование:

andrik2288

Новый пользователь
Сообщения
19
Реакции
0
Баллы
1
По сути он должен был скачан на пк BUH-10 и установлен , а это exe-шник
 

akok

Команда форума
Администратор
Сообщения
17,856
Реакции
13,544
Баллы
2,203
По сути он должен был скачан на пк BUH-10 и установлен , а это exe-шник
Нам необходимо было выяснить, что это за файл, если он известен вам, то все хорошо. По поводу файлов, ждите ответа от @thyrex
 

andrik2288

Новый пользователь
Сообщения
19
Реакции
0
Баллы
1
блин мужики не то, это с прошлого шифрования
 
Сверху Снизу