• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-1Cv8ЗУП 290616.dt.cs16

Статус
В этой теме нельзя размещать новые ответы.

andrik2288

Новый пользователь
Сообщения
19
Реакции
0
Поработал шифровальщик, обращался к касперскому нет лекарства помогите
 
Здравствуйте!

Не буду вас обнадеживать (все-таки там мощная вирусная лаборатория, а тут - группа энтузиастов), на всякий случай соберите логи по правилам.
 
Готово
 

Вложения

  • CollectionLog-2019.11.05-14.10.zip
    57.5 KB · Просмотры: 2
  • README.txt
    96 байт · Просмотры: 3
Логи сделаны в терминальной сессии, сделайте их из консоли, т.е. непосредственно с сервера.
 
До сервака нужно было добраться, сделал
 

Вложения

  • CollectionLog-2019.11.05-19.01.zip
    57 KB · Просмотры: 3
написал на почту хотят 50000 руб
Эко как еба цены крутит.

Ваше? Если да, то уберите из скрипта соответствующие строки.
C:\ProgramData\Microsoft\DRM\Etuti\lnterrupts.exe" PID="4580"
C:\ProgramData\Microsoft\DRM\Mmadipaji\Ogafe.exe" PID="4760"
C:\ProgramData\Microsoft\DRM\Mmadipaji\Wxapi.exe" PID="3148

Удалял, все, что вызывает подозрение, пересмотрите скрипт, чтоб лишнего не зацепил.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
  SetServiceStart('ServiceWindowsSystem', 4);
 QuarantineFile('C:\Program Files\rdp wrapper\rdpwrap.dll','');
 QuarantineFile('C:\Documents and Settings\All Users\Microsoft\DRM\Etuti\lnterrupts.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Microsoft\DRM\Mmadipaji\Wxapi.exe','');
 QuarantineFile('C:\Users\admin.Admin-ПК\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\README.txt','');
 QuarantineFile('C:\Program Files\Win\service.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\DRM\Mmadipaji\Wxapi.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\DRM\Mmadipaji\Ogafe.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\DRM\Etuti\lnterrupts.exe','');
 DeleteFile('C:\ProgramData\Microsoft\DRM\Etuti\lnterrupts.exe','32');
 DeleteFile('C:\ProgramData\Microsoft\DRM\Mmadipaji\Ogafe.exe','32');
 DeleteFile('C:\ProgramData\Microsoft\DRM\Mmadipaji\Wxapi.exe','32');
 DeleteFile('C:\Program Files\Win\service.exe','64');
 DeleteFile('C:\Users\admin.Admin-ПК\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\README.txt','64');
 DeleteFile('C:\Documents and Settings\All Users\Microsoft\DRM\Mmadipaji\Wxapi.exe','64');
 DeleteFile('C:\Documents and Settings\All Users\Microsoft\DRM\Etuti\lnterrupts.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\EntityFramework2\NetFramework');
 DeleteSchedulerTask('Microsoft\Windows\EntityFramework\NetFramework');
 DeleteFile('C:\Program Files\rdp wrapper\rdpwrap.dll','32');
 DeleteService('ServiceWindowsSystem');
   BC_Activate;
  ExecuteSysClean;
 BC_ImportALL;
end.
Компьютер перезагрузите вручную.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00avast: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.


Постарайтесь найти несколько пар - зашифрованный и его не зашифрованный оригинал размером не менее 64 кбайт (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
Тип файла предпочтительно офисный документ или картинка.

Коллега, посмотрит, что можно сделать.
 
Все сделал
 

Вложения

  • Addition.txt
    49.8 KB · Просмотры: 1
  • FRST.txt
    172 KB · Просмотры: 2
  • Оригинал и побитый.zip
    49.6 KB · Просмотры: 2
Через Панель управления - Удаление программ - удалите нежелательное ПО:

Затем:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM Group Policy restriction on software: C:\Windows\SysWOW64\drivers\fsproflt.exe <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Windows\system32\drivers\FSPFltd.sys <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Windows\SysWOW64\Resident <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Program Files\Hide Folders 2009 <==== ATTENTION
    HKLM Group Policy restriction on software: C:\ProgramData\DRM <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Program Files\Common Files\Intel <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Windows\SysWOW64\fsproflt.exe <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Windows\SysWOW64\MPK <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Windows\Inf\NETLIBRARIESTIP\0009\v3.5.56385 <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Program Files\Common Files\microsoft shared\System <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Program Files\MPK <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0 <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Windows\SysWOW64\Radiance <==== ATTENTION
    HKLM Group Policy restriction on software: C:\ProgramData\MPK <==== ATTENTION
    HKLM Group Policy restriction on software: C:\Windows\Fonts <==== ATTENTION
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    Task: {0882CBE6-18FA-45F7-813C-5AA68EFBF8DC} - \Adobe Reader -> No File <==== ATTENTION
    Task: {AB3A7485-596F-4844-8E56-7F037516B3AE} - \GoogleUpdateTaskMashine -> No File <==== ATTENTION
    Task: {D36B1800-93E2-47FF-928F-BC5F71E2795A} - \Программа онлайн-обновления Adobe. -> No File <==== ATTENTION
    Task: {54EF641E-3F6F-4D10-BC53-95FA6A93C50E} - System32\Tasks\TuneUpUtilities_Task_BkGndMaintenance2013 => C:\Program Files (x86)\TuneUp Utilities 2014\OneClick.exe [455992 2013-10-30] (AVG Netherlands B.V. -> TuneUp Software)
    Task: {5C8E330B-DC70-4BA1-BB69-6428E8191037} - System32\Tasks\SafeZone scheduled Autoupdate 1466674424 => C:\Program Files\AVAST Software\SZBrowser\launcher.exe
    S3 TuneUpUtilitiesDrv; \??\C:\Program Files (x86)\TuneUp Utilities 2014\TuneUpUtilitiesDriver64.sys [X]
    Folder:C:\ProgramData\s4lg
    Folder:C:\ProgramData\s18o
    2019-10-30 03:07 - 2019-10-30 03:07 - 000000096 ____C C:\Users\README.txt
    2019-10-30 03:07 - 2019-10-30 03:07 - 000000096 ____C C:\README.txt
    2019-10-30 03:05 - 2019-10-30 03:05 - 000000096 ____C C:\Users\BUH6\AppData\README.txt
    2019-10-30 03:04 - 2019-10-30 03:04 - 000000096 ____C C:\Users\BUH3\Desktop\README.txt
    2019-10-30 03:04 - 2019-10-30 03:04 - 000000096 ____C C:\Users\BUH3\AppData\README.txt
    2019-10-30 03:01 - 2019-10-30 03:01 - 000000096 ____C C:\Users\BUH10\Desktop\README.txt
    2019-10-30 03:01 - 2019-10-30 03:01 - 000000096 ____C C:\Users\BUH10\AppData\README.txt
    2019-10-30 03:01 - 2019-10-30 03:01 - 000000096 ____C C:\Users\BUH10\AppData\Local\README.txt
    2019-10-30 02:59 - 2019-10-30 02:59 - 000000096 ____C C:\Program Files (x86)\README.txt
    2019-10-30 02:58 - 2019-10-30 02:59 - 000000810 ____C C:\Users\BUH-1\Desktop\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:58 - 2019-10-30 02:59 - 000000810 ____C C:\Users\BUH-1\AppData\Local\README.txt
    2019-10-30 02:58 - 2019-10-30 02:59 - 000000096 ____C C:\Users\BUH-1\Desktop\README.txt
    2019-10-30 02:56 - 2019-10-30 02:59 - 000000810 ____C C:\Users\ASPNET\AppData\README.txt
    2019-10-30 02:54 - 2019-10-30 03:07 - 000000810 ____C C:\Users\Все пользователи\Desktop\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:54 - 2019-10-30 03:07 - 000000810 ____C C:\Users\Public\Desktop\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:54 - 2019-10-30 03:07 - 000000810 ____C C:\ProgramData\Desktop\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:54 - 2019-10-30 03:07 - 000000096 ____C C:\Users\Все пользователи\Desktop\README.txt
    2019-10-30 02:54 - 2019-10-30 03:07 - 000000096 ____C C:\Users\Public\Desktop\README.txt
    2019-10-30 02:54 - 2019-10-30 03:07 - 000000096 ____C C:\ProgramData\Desktop\README.txt
    2019-10-30 02:54 - 2019-10-30 02:54 - 000000776 ____C C:\Users\Все пользователи\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:54 - 2019-10-30 02:54 - 000000776 ____C C:\ProgramData\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:53 - 2019-10-30 02:59 - 000000810 ____C C:\Users\admin.Admin-ПК\Desktop\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:53 - 2019-10-30 02:59 - 000000810 ____C C:\Users\admin.Admin-ПК\AppData\README.txt
    2019-10-30 02:53 - 2019-10-30 02:59 - 000000096 ____C C:\Users\admin.Admin-ПК\Desktop\README.txt
    2019-10-30 02:50 - 2019-10-30 02:59 - 000000810 ____C C:\Users\Admin\AppData\Roaming\README.txt
    2019-10-30 02:50 - 2019-10-30 02:59 - 000000810 ____C C:\Users\Admin\AppData\README.txt
    2019-10-30 02:47 - 2019-10-30 03:07 - 000000810 ____C C:\Users\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:44 - 2018-01-15 02:56 - 000000028 ____C C:\Users\admin.Admin-ПК\Downloads\Shadow.bat
    Virustotal:C:\Users\BUH10\Downloads\bifit_signer_7.12.exe
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000810 ____C C:\Users\TEMP.Admin-ПК\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000810 ____C C:\Users\TEMP.Admin-ПК\AppData\Roaming\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000810 ____C C:\Users\MASHKO\AppData\Roaming\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000810 ____C C:\Users\MASHKO\AppData\LocalLow\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000810 _____ C:\Users\TATJANA\Downloads\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000810 _____ C:\Users\TATJANA\Desktop\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000810 _____ C:\Users\TATJANA\AppData\Roaming\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000810 _____ C:\Users\TATJANA\AppData\LocalLow\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 ____C C:\Users\TEMP.Admin-ПК\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 ____C C:\Users\TEMP.Admin-ПК\AppData\Roaming\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 ____C C:\Users\TEMP.Admin-ПК\AppData\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 ____C C:\Users\TATJANA\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 ____C C:\Users\Public\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 ____C C:\Users\Public\Downloads\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 ____C C:\Users\MASHKO\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 ____C C:\Users\MASHKO\Downloads\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 ____C C:\Users\MASHKO\Documents\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 ____C C:\Users\MASHKO\Desktop\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 ____C C:\Users\MASHKO\AppData\Roaming\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 ____C C:\Users\MASHKO\AppData\LocalLow\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 ____C C:\Users\MASHKO\AppData\Local\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 ____C C:\Users\MASHKO\AppData\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 ____C C:\Users\HomeGroupUser\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 ____C C:\Users\HomeGroupUser\Downloads\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 ____C C:\Users\HomeGroupUser\Documents\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 ____C C:\Users\HomeGroupUser\Desktop\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 ____C C:\Users\HomeGroupUser\AppData\Roaming\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 ____C C:\Users\HomeGroupUser\AppData\LocalLow\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 ____C C:\Users\HomeGroupUser\AppData\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 _____ C:\Users\TATJANA\Downloads\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 _____ C:\Users\TATJANA\Documents\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 _____ C:\Users\TATJANA\Desktop\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 _____ C:\Users\TATJANA\AppData\Roaming\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 _____ C:\Users\TATJANA\AppData\LocalLow\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 _____ C:\Users\TATJANA\AppData\Local\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000776 _____ C:\Users\TATJANA\AppData\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000096 ____C C:\Users\TEMP.Admin-ПК\AppData\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000096 ____C C:\Users\TATJANA\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000096 ____C C:\Users\Public\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000096 ____C C:\Users\Public\Downloads\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000096 ____C C:\Users\MASHKO\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000096 ____C C:\Users\MASHKO\Downloads\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000096 ____C C:\Users\MASHKO\Documents\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000096 ____C C:\Users\MASHKO\Desktop\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000096 ____C C:\Users\MASHKO\AppData\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000096 ____C C:\Users\MASHKO\AppData\Local\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000096 ____C C:\Users\HomeGroupUser\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000096 ____C C:\Users\HomeGroupUser\Downloads\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000096 ____C C:\Users\HomeGroupUser\Documents\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000096 ____C C:\Users\HomeGroupUser\Desktop\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000096 ____C C:\Users\HomeGroupUser\AppData\Roaming\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000096 ____C C:\Users\HomeGroupUser\AppData\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000096 ____C C:\Users\HomeGroupUser\AppData\LocalLow\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000096 _____ C:\Users\TATJANA\Documents\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000096 _____ C:\Users\TATJANA\AppData\README.txt
    2019-10-30 03:07 - 2019-07-10 02:13 - 000000096 _____ C:\Users\TATJANA\AppData\Local\README.txt
    2019-10-30 03:07 - 2019-07-10 02:12 - 000000776 ____C C:\Users\HomeGroupUser\AppData\Local\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:12 - 000000096 ____C C:\Users\HomeGroupUser\AppData\Local\README.txt
    2019-10-30 03:07 - 2019-07-10 02:04 - 000000776 ____C C:\Users\Все пользователи\Documents\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:04 - 000000776 ____C C:\Users\Public\Documents\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:04 - 000000776 ____C C:\ProgramData\Documents\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:07 - 2019-07-10 02:04 - 000000096 ____C C:\Users\Все пользователи\Documents\README.txt
    2019-10-30 03:07 - 2019-07-10 02:04 - 000000096 ____C C:\Users\Public\Documents\README.txt
    2019-10-30 03:07 - 2019-07-10 02:04 - 000000096 ____C C:\ProgramData\Documents\README.txt
    2019-10-30 03:06 - 2019-07-10 02:12 - 000000810 ____C C:\Users\DIRECTOR-PC\Desktop\README.txt
    2019-10-30 03:06 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DIRECTOR-PC\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:06 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DIRECTOR-PC\Downloads\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:06 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DIRECTOR-PC\Documents\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:06 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DIRECTOR-PC\Desktop\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:06 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DIRECTOR-PC\AppData\Roaming\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:06 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DIRECTOR-PC\AppData\LocalLow\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:06 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DIRECTOR-PC\AppData\Local\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:06 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DIRECTOR-PC\AppData\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:06 - 2019-07-10 02:12 - 000000096 ____C C:\Users\DIRECTOR-PC\README.txt
    2019-10-30 03:06 - 2019-07-10 02:12 - 000000096 ____C C:\Users\DIRECTOR-PC\Downloads\README.txt
    2019-10-30 03:06 - 2019-07-10 02:12 - 000000096 ____C C:\Users\DIRECTOR-PC\Documents\README.txt
    2019-10-30 03:06 - 2019-07-10 02:12 - 000000096 ____C C:\Users\DIRECTOR-PC\AppData\Roaming\README.txt
    2019-10-30 03:06 - 2019-07-10 02:12 - 000000096 ____C C:\Users\DIRECTOR-PC\AppData\README.txt
    2019-10-30 03:06 - 2019-07-10 02:12 - 000000096 ____C C:\Users\DIRECTOR-PC\AppData\LocalLow\README.txt
    2019-10-30 03:06 - 2019-07-10 02:12 - 000000096 ____C C:\Users\DIRECTOR-PC\AppData\Local\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000810 ____C C:\Users\DefaultAppPool\Downloads\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000810 ____C C:\Users\DefaultAppPool\Documents\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000810 ____C C:\Users\DefaultAppPool\Desktop\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000810 ____C C:\Users\DefaultAppPool\AppData\Roaming\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000810 ____C C:\Users\DefaultAppPool\AppData\LocalLow\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000810 ____C C:\Users\DefaultAppPool\AppData\Local\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000810 ____C C:\Users\DefaultAccount\Downloads\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000810 ____C C:\Users\DefaultAccount\Documents\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000810 ____C C:\Users\DefaultAccount\Desktop\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000810 ____C C:\Users\DefaultAccount\AppData\Roaming\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000810 ____C C:\Users\DefaultAccount\AppData\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000810 ____C C:\Users\DefaultAccount\AppData\LocalLow\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000810 ____C C:\Users\BUH6\Downloads\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000810 ____C C:\Users\BUH6\AppData\Roaming\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DefaultAppPool\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DefaultAppPool\Downloads\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DefaultAppPool\Documents\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DefaultAppPool\Desktop\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DefaultAppPool\AppData\Roaming\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DefaultAppPool\AppData\LocalLow\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DefaultAppPool\AppData\Local\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DefaultAppPool\AppData\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DefaultAccount\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DefaultAccount\Downloads\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DefaultAccount\Documents\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DefaultAccount\Desktop\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DefaultAccount\AppData\Roaming\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DefaultAccount\AppData\LocalLow\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DefaultAccount\AppData\Local\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\DefaultAccount\AppData\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\Default\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\Default\Downloads\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\Default\Documents\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\Default\Desktop\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\Default\AppData\Roaming\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\Default\AppData\Local\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\Default\AppData\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\Default User\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\Default User\Downloads\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\Default User\Documents\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\Default User\Desktop\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\Default User\AppData\Roaming\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\Default User\AppData\Local\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\Default User\AppData\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\BUH6\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\BUH6\Downloads\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\BUH6\Documents\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\BUH6\Desktop\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000776 ____C C:\Users\BUH6\AppData\Roaming\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000096 ____C C:\Users\DefaultAppPool\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000096 ____C C:\Users\DefaultAppPool\AppData\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000096 ____C C:\Users\DefaultAccount\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000096 ____C C:\Users\DefaultAccount\AppData\Local\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000096 ____C C:\Users\Default\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000096 ____C C:\Users\Default\Downloads\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000096 ____C C:\Users\Default\Documents\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000096 ____C C:\Users\Default\Desktop\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000096 ____C C:\Users\Default\AppData\Roaming\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000096 ____C C:\Users\Default\AppData\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000096 ____C C:\Users\Default\AppData\Local\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000096 ____C C:\Users\Default User\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000096 ____C C:\Users\Default User\Downloads\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000096 ____C C:\Users\Default User\Documents\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000096 ____C C:\Users\Default User\Desktop\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000096 ____C C:\Users\Default User\AppData\Roaming\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000096 ____C C:\Users\Default User\AppData\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000096 ____C C:\Users\Default User\AppData\Local\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000096 ____C C:\Users\BUH6\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000096 ____C C:\Users\BUH6\Documents\README.txt
    2019-10-30 03:05 - 2019-07-10 02:12 - 000000096 ____C C:\Users\BUH6\Desktop\README.txt
    2019-10-30 03:04 - 2019-07-10 02:12 - 000000776 ____C C:\Users\BUH6\AppData\LocalLow\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:04 - 2019-07-10 02:12 - 000000776 ____C C:\Users\BUH6\AppData\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:04 - 2019-07-10 02:12 - 000000096 ____C C:\Users\BUH6\AppData\LocalLow\README.txt
    2019-10-30 03:04 - 2019-07-10 02:11 - 000000810 ____C C:\Users\BUH3\Downloads\README.txt
    2019-10-30 03:04 - 2019-07-10 02:11 - 000000776 ____C C:\Users\BUH6\AppData\Local\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:04 - 2019-07-10 02:11 - 000000776 ____C C:\Users\BUH3\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:04 - 2019-07-10 02:11 - 000000776 ____C C:\Users\BUH3\Downloads\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:04 - 2019-07-10 02:11 - 000000776 ____C C:\Users\BUH3\Documents\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:04 - 2019-07-10 02:11 - 000000776 ____C C:\Users\BUH3\AppData\Roaming\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:04 - 2019-07-10 02:11 - 000000096 ____C C:\Users\BUH6\AppData\Local\README.txt
    2019-10-30 03:04 - 2019-07-10 02:11 - 000000096 ____C C:\Users\BUH3\README.txt
    2019-10-30 03:04 - 2019-07-10 02:11 - 000000096 ____C C:\Users\BUH3\Documents\README.txt
    2019-10-30 03:04 - 2019-07-10 02:11 - 000000096 ____C C:\Users\BUH3\AppData\Roaming\README.txt
    2019-10-30 03:03 - 2019-07-10 02:11 - 000000776 ____C C:\Users\BUH3\AppData\LocalLow\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:03 - 2019-07-10 02:11 - 000000776 ____C C:\Users\BUH3\AppData\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:03 - 2019-07-10 02:11 - 000000096 ____C C:\Users\BUH3\AppData\LocalLow\README.txt
    2019-10-30 03:03 - 2019-07-10 02:10 - 000000776 ____C C:\Users\BUH3\AppData\Local\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:03 - 2019-07-10 02:10 - 000000096 ____C C:\Users\BUH3\AppData\Local\README.txt
    2019-10-30 03:02 - 2019-07-10 02:10 - 000000810 ____C C:\Users\BUH10\Downloads\README.txt
    2019-10-30 03:02 - 2019-07-10 02:10 - 000000776 ____C C:\Users\BUH10\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:02 - 2019-07-10 02:10 - 000000776 ____C C:\Users\BUH10\Downloads\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:02 - 2019-07-10 02:10 - 000000096 ____C C:\Users\BUH10\README.txt
    2019-10-30 03:01 - 2019-07-10 02:10 - 000000776 ____C C:\Users\BUH10\AppData\Local\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:01 - 2019-07-10 02:09 - 000000776 ____C C:\Users\BUH10\Documents\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:01 - 2019-07-10 02:09 - 000000776 ____C C:\Users\BUH10\AppData\Roaming\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:01 - 2019-07-10 02:09 - 000000776 ____C C:\Users\BUH10\AppData\LocalLow\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:01 - 2019-07-10 02:09 - 000000776 ____C C:\Users\BUH10\AppData\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 03:01 - 2019-07-10 02:09 - 000000096 ____C C:\Users\BUH10\Documents\README.txt
    2019-10-30 03:01 - 2019-07-10 02:09 - 000000096 ____C C:\Users\BUH10\AppData\Roaming\README.txt
    2019-10-30 03:01 - 2019-07-10 02:09 - 000000096 ____C C:\Users\BUH10\AppData\LocalLow\README.txt
    2019-10-30 02:59 - 2019-07-10 02:06 - 000000810 ____C C:\Users\BUH-1\README.txt
    2019-10-30 02:59 - 2019-07-10 02:06 - 000000810 ____C C:\Users\BUH-1\Downloads\README.txt
    2019-10-30 02:59 - 2019-07-10 02:06 - 000000810 ____C C:\Users\BUH-1\Documents\README.txt
    2019-10-30 02:59 - 2019-07-10 02:06 - 000000810 ____C C:\Users\BUH-1\AppData\Roaming\README.txt
    2019-10-30 02:59 - 2019-07-10 02:06 - 000000810 ____C C:\Users\BUH-1\AppData\README.txt
    2019-10-30 02:59 - 2019-07-10 02:06 - 000000810 ____C C:\Users\BUH-1\AppData\LocalLow\README.txt
    2019-10-30 02:59 - 2019-07-10 02:05 - 000000810 ____C C:\Users\ASPNET\README.txt
    2019-10-30 02:59 - 2019-07-10 02:05 - 000000810 ____C C:\Users\ASPNET\Downloads\README.txt
    2019-10-30 02:59 - 2019-07-10 02:05 - 000000810 ____C C:\Users\ASPNET\Documents\README.txt
    2019-10-30 02:59 - 2019-07-10 02:05 - 000000810 ____C C:\Users\ASPNET\Desktop\README.txt
    2019-10-30 02:59 - 2019-07-10 02:05 - 000000810 ____C C:\Users\ASPNET\AppData\Roaming\README.txt
    2019-10-30 02:59 - 2019-07-10 02:05 - 000000810 ____C C:\Users\ASPNET\AppData\LocalLow\README.txt
    2019-10-30 02:59 - 2019-07-10 02:04 - 000000810 ____C C:\Users\Все пользователи\README.txt
    2019-10-30 02:59 - 2019-07-10 02:04 - 000000810 ____C C:\Users\ASPNET\AppData\Local\README.txt
    2019-10-30 02:59 - 2019-07-10 02:04 - 000000810 ____C C:\Users\admin.Admin-ПК\README.txt
    2019-10-30 02:59 - 2019-07-10 02:04 - 000000810 ____C C:\Users\admin.Admin-ПК\Downloads\README.txt
    2019-10-30 02:59 - 2019-07-10 02:04 - 000000810 ____C C:\ProgramData\README.txt
    2019-10-30 02:59 - 2019-07-10 02:03 - 000000810 ____C C:\Users\admin.Admin-ПК\Documents\README.txt
    2019-10-30 02:59 - 2019-07-10 02:03 - 000000810 ____C C:\Users\admin.Admin-ПК\AppData\Roaming\README.txt
    2019-10-30 02:59 - 2019-07-10 02:03 - 000000810 ____C C:\Users\admin.Admin-ПК\AppData\LocalLow\README.txt
    2019-10-30 02:59 - 2019-07-10 02:01 - 000000810 ____C C:\Users\Admin\README.txt
    2019-10-30 02:59 - 2019-07-10 02:01 - 000000810 ____C C:\Users\Admin\Documents\README.txt
    2019-10-30 02:59 - 2019-07-10 02:01 - 000000810 ____C C:\Users\Admin\Desktop\README.txt
    2019-10-30 02:59 - 2019-07-10 02:01 - 000000810 ____C C:\Users\admin.Admin-ПК\AppData\Local\README.txt
    2019-10-30 02:59 - 2019-07-10 01:59 - 000000810 ____C C:\Users\Admin\AppData\LocalLow\README.txt
    2019-10-30 02:59 - 2019-07-10 01:59 - 000000810 ____C C:\Users\Admin\AppData\Local\README.txt
    2019-10-30 02:59 - 2019-07-10 01:58 - 000000810 ____C C:\Users\Acronis Agent User\README.txt
    2019-10-30 02:59 - 2019-07-10 01:58 - 000000810 ____C C:\Users\Acronis Agent User\Downloads\README.txt
    2019-10-30 02:59 - 2019-07-10 01:58 - 000000810 ____C C:\Users\Acronis Agent User\Documents\README.txt
    2019-10-30 02:59 - 2019-07-10 01:58 - 000000810 ____C C:\Users\Acronis Agent User\Desktop\README.txt
    2019-10-30 02:59 - 2019-07-10 01:58 - 000000810 ____C C:\Users\Acronis Agent User\AppData\Roaming\README.txt
    2019-10-30 02:59 - 2019-07-10 01:58 - 000000810 ____C C:\Users\Acronis Agent User\AppData\README.txt
    2019-10-30 02:59 - 2019-07-10 01:58 - 000000810 ____C C:\Users\Acronis Agent User\AppData\LocalLow\README.txt
    2019-10-30 02:59 - 2019-07-10 01:58 - 000000810 ____C C:\Users\Acronis Agent User\AppData\Local\README.txt
    2019-10-30 02:59 - 2015-11-15 15:12 - 000000810 ____C C:\Users\Admin\Downloads\README.txt
    2019-10-30 02:58 - 2019-07-10 02:08 - 000000776 ____C C:\Program Files (x86)\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:58 - 2019-07-10 02:06 - 000000776 ____C C:\Users\BUH-1\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:58 - 2019-07-10 02:06 - 000000776 ____C C:\Users\BUH-1\Downloads\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:58 - 2019-07-10 02:06 - 000000776 ____C C:\Users\BUH-1\Documents\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:58 - 2019-07-10 02:06 - 000000776 ____C C:\Users\BUH-1\AppData\Roaming\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:58 - 2019-07-10 02:06 - 000000776 ____C C:\Users\BUH-1\AppData\LocalLow\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:58 - 2019-07-10 02:06 - 000000776 ____C C:\Users\BUH-1\AppData\Local\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:58 - 2019-07-10 02:06 - 000000776 ____C C:\Users\BUH-1\AppData\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:56 - 2019-07-10 02:05 - 000000776 ____C C:\Users\ASPNET\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:56 - 2019-07-10 02:05 - 000000776 ____C C:\Users\ASPNET\Downloads\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:56 - 2019-07-10 02:05 - 000000776 ____C C:\Users\ASPNET\Documents\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:56 - 2019-07-10 02:05 - 000000776 ____C C:\Users\ASPNET\Desktop\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:56 - 2019-07-10 02:05 - 000000776 ____C C:\Users\ASPNET\AppData\Roaming\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:56 - 2019-07-10 02:05 - 000000776 ____C C:\Users\ASPNET\AppData\LocalLow\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:56 - 2019-07-10 02:05 - 000000776 ____C C:\Users\ASPNET\AppData\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:56 - 2019-07-10 02:04 - 000000776 ____C C:\Users\ASPNET\AppData\Local\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:51 - 2019-07-10 02:01 - 000000776 ____C C:\Users\Admin\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:51 - 2019-07-10 02:01 - 000000776 ____C C:\Users\Admin\Documents\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:51 - 2019-07-10 02:01 - 000000776 ____C C:\Program Files\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:51 - 2019-07-10 02:01 - 000000096 ____C C:\Program Files\README.txt
    2019-10-30 02:46 - 2019-07-10 01:58 - 000000776 ____C C:\Users\Acronis Agent User\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:46 - 2019-07-10 01:58 - 000000776 ____C C:\Users\Acronis Agent User\Downloads\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:46 - 2019-07-10 01:58 - 000000776 ____C C:\Users\Acronis Agent User\Documents\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:46 - 2019-07-10 01:58 - 000000776 ____C C:\Users\Acronis Agent User\Desktop\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:46 - 2019-07-10 01:58 - 000000776 ____C C:\Users\Acronis Agent User\AppData\Roaming\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:46 - 2019-07-10 01:58 - 000000776 ____C C:\Users\Acronis Agent User\AppData\LocalLow\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:46 - 2019-07-10 01:58 - 000000776 ____C C:\Users\Acronis Agent User\AppData\Local\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    2019-10-30 02:46 - 2019-07-10 01:58 - 000000776 ____C C:\Users\Acronis Agent User\AppData\email-corpseworm@protonmail.com.ver-CS 1.7.id-.usr-bJbMbVbRbW.fname-README.txt.cs16
    AlternateDataStreams: C:\Users\Admin:id [66]
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Готово
 

Вложения

  • Fixlog.txt
    68.1 KB · Просмотры: 1
Файл C:\Users\BUH10\Downloads\bifit_signer_7.12.exe проверьте на www.virustotal.com и покажите ссылку на отчёт.
 
Этот файл вам известен?
 
Это плагин для рутокена банка
BUH-10 на ней стоит банк а почему он оказался на сервере не знаю
 
Последнее редактирование:
По сути он должен был скачан на пк BUH-10 и установлен , а это exe-шник
 
По сути он должен был скачан на пк BUH-10 и установлен , а это exe-шник
Нам необходимо было выяснить, что это за файл, если он известен вам, то все хорошо. По поводу файлов, ждите ответа от @thyrex
 
другой вариант
 

Вложения

  • 30-10-2019_10-43-28 (1).zip
    795.1 KB · Просмотры: 2
блин мужики не то, это с прошлого шифрования
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу