• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Проблема с расшифровкой файлов на Windows Server 8

  • Автор темы Автор темы zabunov
  • Дата начала Дата начала
Статус
В этой теме нельзя размещать новые ответы.
Z

zabunov

Новый пользователь
Сообщения
3
Реакции
0
windows server 8 денег не успели попросить, вирус так и не нашел.
 

Вложения

Последнее редактирование:
У вас шифровальщик два раза отработал похоже. Смените пароли на RDP и разберитесь с администраторами

user1 (S-1-5-21-1455548016-3730048436-1541026060-1002 - Administrator - Enabled) => C:\Users\user1
Администратор (S-1-5-21-1455548016-3730048436-1541026060-500 - Administrator - Enabled) => C:\Users\Администратор
Гость (S-1-5-21-1455548016-3730048436-1541026060-501 - Administrator - Enabled)

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CreateRestorePoint:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\!ENCRYPTED-README.hta [2020-05-03] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile [2020-05-03] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\{RDPrecovery1@protonmail.com}.ID=45K4PU.AnyDesk.lnk.!lockfile [2020-05-03]
Startup: C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!ENCRYPTED-README.hta [2020-05-03] () [File not signed]
Startup: C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile [2020-05-03] () [File not signed]
Startup: C:\Users\user2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!ENCRYPTED-README.hta [2020-05-03] () [File not signed]
Startup: C:\Users\user2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile [2020-05-03] () [File not signed]
Startup: C:\Users\user3\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!ENCRYPTED-README.hta [2020-05-03] () [File not signed]
Startup: C:\Users\user3\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile [2020-05-03] () [File not signed]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!ENCRYPTED-README.hta [2020-05-03] () [File not signed]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile [2020-05-03] () [File not signed]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{RDPrecovery1@protonmail.com}.ID=45K4PU.auto.lnk.!lockfile [2020-05-03]
Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Program Files (x86)\Common Files\Microsoft Shared\Help\hxds.dll No File
Handler: mso-minsb.16 - {3459B272-CC19-4448-86C9-DDC3B4B2FAD3} - C:\Program Files (x86)\Microsoft Office\Office16\MSOSB.DLL No File
Handler: osf.16 - {5504BE45-A83B-4808-900A-3A5C36E7F77A} - C:\Program Files (x86)\Microsoft Office\Office16\MSOSB.DLL No File
Filter: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~2\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL No File
BHO: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\PROGRA~1\MICROS~2\Office16\URLREDIR.DLL => No File
BHO-x32: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\PROGRA~2\MICROS~2\Office16\URLREDIR.DLL => No File
FF Plugin: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~1\MICROS~2\Office16\NPSPWRAP.DLL [No File]
FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~2\MICROS~2\Office16\NPSPWRAP.DLL [No File]
2020-05-15 15:27 - 2020-05-03 18:10 - 000004775 _____ C:\Users\user1\Downloads\!ENCRYPTED-README (1).hta
2020-05-03 18:06 - 2020-05-03 18:10 - 000004775 _____ C:\Users\Администратор\Documents\!ENCRYPTED-README.hta
2020-05-03 18:06 - 2020-05-03 18:09 - 000004775 _____ C:\Users\Администратор\Downloads\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 18:06 - 2020-05-03 18:09 - 000004775 _____ C:\Users\Администратор\Downloads\!ENCRYPTED-README.hta
2020-05-03 18:06 - 2020-05-03 18:09 - 000004775 _____ C:\Users\Администратор\Documents\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 18:05 - 2020-05-03 18:10 - 000004775 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\!ENCRYPTED-README.hta
2020-05-03 18:05 - 2020-05-03 18:09 - 000004775 _____ C:\Users\Администратор\Desktop\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 18:05 - 2020-05-03 18:09 - 000004775 _____ C:\Users\Администратор\Desktop\!ENCRYPTED-README.hta
2020-05-03 18:05 - 2020-05-03 18:09 - 000004775 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 18:05 - 2020-05-03 18:09 - 000004775 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!ENCRYPTED-README.hta
2020-05-03 18:05 - 2020-05-03 18:09 - 000004775 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 18:05 - 2020-05-03 18:09 - 000004775 _____ C:\Users\Администратор\AppData\Roaming\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 18:05 - 2020-05-03 18:09 - 000004775 _____ C:\Users\Администратор\AppData\Roaming\!ENCRYPTED-README.hta
2020-05-03 18:05 - 2020-05-03 18:09 - 000004775 _____ C:\Users\Администратор\AppData\LocalLow\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 18:05 - 2020-05-03 18:09 - 000004775 _____ C:\Users\Администратор\AppData\LocalLow\!ENCRYPTED-README.hta
2020-05-03 18:03 - 2020-05-03 18:10 - 000004775 _____ C:\Users\Администратор\AppData\Local\!ENCRYPTED-README.hta
2020-05-03 18:03 - 2020-05-03 18:09 - 000004775 _____ C:\Users\Администратор\AppData\Local\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 18:03 - 2020-05-03 18:09 - 000004775 _____ C:\Users\Администратор\AppData\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 18:03 - 2020-05-03 18:09 - 000004775 _____ C:\Users\Администратор\AppData\!ENCRYPTED-README.hta
2020-05-03 18:03 - 2020-05-03 18:09 - 000004775 _____ C:\Users\Администратор\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 18:03 - 2020-05-03 18:09 - 000004775 _____ C:\Users\Администратор\!ENCRYPTED-README.hta
2020-05-03 18:03 - 2020-05-03 18:09 - 000004775 _____ C:\Users\user3\Downloads\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 18:03 - 2020-05-03 18:09 - 000004775 _____ C:\Users\user3\Downloads\!ENCRYPTED-README.hta
2020-05-03 18:03 - 2020-05-03 18:09 - 000004775 _____ C:\Users\user3\Documents\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 18:03 - 2020-05-03 18:09 - 000004775 _____ C:\Users\user3\Documents\!ENCRYPTED-README.hta
2020-05-03 18:03 - 2020-05-03 18:09 - 000004775 _____ C:\Users\user3\Desktop\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 18:03 - 2020-05-03 18:09 - 000004775 _____ C:\Users\user3\Desktop\!ENCRYPTED-README.hta
2020-05-03 18:03 - 2020-05-03 18:09 - 000004775 _____ C:\Users\user3\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 18:03 - 2020-05-03 18:09 - 000004775 _____ C:\Users\user3\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!ENCRYPTED-README.hta
2020-05-03 18:03 - 2020-05-03 18:09 - 000004775 _____ C:\Users\user3\AppData\Roaming\Microsoft\Windows\Start Menu\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 18:03 - 2020-05-03 18:09 - 000004775 _____ C:\Users\user3\AppData\Roaming\Microsoft\Windows\Start Menu\!ENCRYPTED-README.hta
2020-05-03 18:03 - 2020-05-03 18:09 - 000004775 _____ C:\Users\user3\AppData\Roaming\!ENCRYPTED-README.hta
2020-05-03 18:03 - 2020-05-03 18:08 - 000004775 _____ C:\Users\user3\AppData\Roaming\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 18:03 - 2020-05-03 18:08 - 000004775 _____ C:\Users\user3\AppData\LocalLow\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 18:03 - 2020-05-03 18:08 - 000004775 _____ C:\Users\user3\AppData\LocalLow\!ENCRYPTED-README.hta
2020-05-03 18:02 - 2020-05-03 18:09 - 000004775 _____ C:\Users\user3\AppData\Local\!ENCRYPTED-README.hta
2020-05-03 18:02 - 2020-05-03 18:08 - 000004775 _____ C:\Users\user3\AppData\Local\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 18:02 - 2020-05-03 18:08 - 000004775 _____ C:\Users\user3\AppData\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 18:02 - 2020-05-03 18:08 - 000004775 _____ C:\Users\user3\AppData\!ENCRYPTED-README.hta
2020-05-03 18:02 - 2020-05-03 18:08 - 000004775 _____ C:\Users\user3\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 18:02 - 2020-05-03 18:08 - 000004775 _____ C:\Users\user3\!ENCRYPTED-README.hta
2020-05-03 18:02 - 2020-05-03 18:08 - 000004775 _____ C:\Users\user2\Downloads\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 18:02 - 2020-05-03 18:08 - 000004775 _____ C:\Users\user2\Downloads\!ENCRYPTED-README.hta
2020-05-03 18:02 - 2020-05-03 18:08 - 000004775 _____ C:\Users\user2\Documents\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 18:02 - 2020-05-03 18:08 - 000004775 _____ C:\Users\user2\Documents\!ENCRYPTED-README.hta
2020-05-03 18:02 - 2020-05-03 18:08 - 000004775 _____ C:\Users\user2\Desktop\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 18:02 - 2020-05-03 18:08 - 000004775 _____ C:\Users\user2\Desktop\!ENCRYPTED-README.hta
2020-05-03 18:02 - 2020-05-03 18:08 - 000004775 _____ C:\Users\user2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 18:02 - 2020-05-03 18:08 - 000004775 _____ C:\Users\user2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!ENCRYPTED-README.hta
2020-05-03 18:02 - 2020-05-03 18:08 - 000004775 _____ C:\Users\user2\AppData\Roaming\Microsoft\Windows\Start Menu\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 18:02 - 2020-05-03 18:08 - 000004775 _____ C:\Users\user2\AppData\Roaming\Microsoft\Windows\Start Menu\!ENCRYPTED-README.hta
2020-05-03 18:02 - 2020-05-03 18:08 - 000004775 _____ C:\Users\user2\AppData\Roaming\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 18:02 - 2020-05-03 18:08 - 000004775 _____ C:\Users\user2\AppData\Roaming\!ENCRYPTED-README.hta
2020-05-03 18:02 - 2020-05-03 18:08 - 000004775 _____ C:\Users\user2\AppData\LocalLow\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 18:02 - 2020-05-03 18:08 - 000004775 _____ C:\Users\user2\AppData\LocalLow\!ENCRYPTED-README.hta
2020-05-03 18:01 - 2020-05-03 18:08 - 000004775 _____ C:\Users\user2\AppData\Local\!ENCRYPTED-README.hta
2020-05-03 18:01 - 2020-05-03 18:07 - 000004775 _____ C:\Users\user2\AppData\Local\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 18:01 - 2020-05-03 18:07 - 000004775 _____ C:\Users\user2\AppData\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 18:01 - 2020-05-03 18:07 - 000004775 _____ C:\Users\user2\AppData\!ENCRYPTED-README.hta
2020-05-03 18:01 - 2020-05-03 18:07 - 000004775 _____ C:\Users\user2\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 18:01 - 2020-05-03 18:07 - 000004775 _____ C:\Users\user2\!ENCRYPTED-README.hta
2020-05-03 18:01 - 2020-05-03 18:07 - 000004775 _____ C:\Users\user1\Downloads\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 18:01 - 2020-05-03 18:07 - 000004775 _____ C:\Users\user1\Downloads\!ENCRYPTED-README.hta
2020-05-03 18:00 - 2020-05-03 18:10 - 000004775 _____ C:\Users\user1\Desktop\!ENCRYPTED-README.hta
2020-05-03 18:00 - 2020-05-03 18:07 - 000004775 _____ C:\Users\user1\Documents\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 18:00 - 2020-05-03 18:07 - 000004775 _____ C:\Users\user1\Documents\!ENCRYPTED-README.hta
2020-05-03 18:00 - 2020-05-03 18:07 - 000004775 _____ C:\Users\user1\Desktop\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:59 - 2020-05-03 18:07 - 000004775 _____ C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:59 - 2020-05-03 18:07 - 000004775 _____ C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!ENCRYPTED-README.hta
2020-05-03 17:59 - 2020-05-03 18:07 - 000004775 _____ C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:59 - 2020-05-03 18:07 - 000004775 _____ C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\!ENCRYPTED-README.hta
2020-05-03 17:59 - 2020-05-03 18:07 - 000004775 _____ C:\Users\user1\AppData\Roaming\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:59 - 2020-05-03 18:07 - 000004775 _____ C:\Users\user1\AppData\Roaming\!ENCRYPTED-README.hta
2020-05-03 17:59 - 2020-05-03 18:07 - 000004775 _____ C:\Users\user1\AppData\LocalLow\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:59 - 2020-05-03 18:07 - 000004775 _____ C:\Users\user1\AppData\LocalLow\!ENCRYPTED-README.hta
2020-05-03 17:37 - 2020-05-03 18:07 - 000004775 _____ C:\Users\user1\AppData\Local\!ENCRYPTED-README.hta
2020-05-03 17:37 - 2020-05-03 18:05 - 000004775 _____ C:\Users\user1\AppData\Local\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:37 - 2020-05-03 18:05 - 000004775 _____ C:\Users\user1\AppData\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:37 - 2020-05-03 18:05 - 000004775 _____ C:\Users\user1\AppData\!ENCRYPTED-README.hta
2020-05-03 17:37 - 2020-05-03 18:05 - 000004775 _____ C:\Users\user1\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:37 - 2020-05-03 18:05 - 000004775 _____ C:\Users\user1\!ENCRYPTED-README.hta
2020-05-03 17:37 - 2020-05-03 18:05 - 000004775 _____ C:\Users\Public\Downloads\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:37 - 2020-05-03 18:05 - 000004775 _____ C:\Users\Public\Downloads\!ENCRYPTED-README.hta
2020-05-03 17:37 - 2020-05-03 18:05 - 000004775 _____ C:\Users\Public\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:37 - 2020-05-03 18:05 - 000004775 _____ C:\Users\Public\!ENCRYPTED-README.hta
2020-05-03 17:37 - 2020-05-03 18:05 - 000004775 _____ C:\Users\Default\Downloads\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:37 - 2020-05-03 18:05 - 000004775 _____ C:\Users\Default\Downloads\!ENCRYPTED-README.hta
2020-05-03 17:37 - 2020-05-03 18:05 - 000004775 _____ C:\Users\Default\Documents\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:37 - 2020-05-03 18:05 - 000004775 _____ C:\Users\Default\Documents\!ENCRYPTED-README.hta
2020-05-03 17:37 - 2020-05-03 18:05 - 000004775 _____ C:\Users\Default\Desktop\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:37 - 2020-05-03 18:05 - 000004775 _____ C:\Users\Default\Desktop\!ENCRYPTED-README.hta
2020-05-03 17:37 - 2020-05-03 18:05 - 000004775 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:37 - 2020-05-03 18:05 - 000004775 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!ENCRYPTED-README.hta
2020-05-03 17:37 - 2020-05-03 18:05 - 000004775 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:37 - 2020-05-03 18:05 - 000004775 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\!ENCRYPTED-README.hta
2020-05-03 17:37 - 2020-05-03 18:05 - 000004775 _____ C:\Users\Default\AppData\Roaming\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:37 - 2020-05-03 18:05 - 000004775 _____ C:\Users\Default\AppData\Roaming\!ENCRYPTED-README.hta
2020-05-03 17:37 - 2020-05-03 18:05 - 000004775 _____ C:\Users\Default\AppData\Local\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:37 - 2020-05-03 18:05 - 000004775 _____ C:\Users\Default\AppData\Local\!ENCRYPTED-README.hta
2020-05-03 17:37 - 2020-05-03 18:05 - 000004775 _____ C:\Users\Default\AppData\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:37 - 2020-05-03 18:05 - 000004775 _____ C:\Users\Default\AppData\!ENCRYPTED-README.hta
2020-05-03 17:37 - 2020-05-03 18:05 - 000004775 _____ C:\Users\Default\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:37 - 2020-05-03 18:05 - 000004775 _____ C:\Users\Default\!ENCRYPTED-README.hta
2020-05-03 17:37 - 2020-05-03 18:05 - 000004775 _____ C:\Users\Default User\Downloads\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:37 - 2020-05-03 18:05 - 000004775 _____ C:\Users\Default User\Downloads\!ENCRYPTED-README.hta
2020-05-03 17:37 - 2020-05-03 18:05 - 000004775 _____ C:\Users\Default User\Documents\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:37 - 2020-05-03 18:05 - 000004775 _____ C:\Users\Default User\Documents\!ENCRYPTED-README.hta
2020-05-03 17:37 - 2020-05-03 18:05 - 000004775 _____ C:\Users\Default User\Desktop\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:37 - 2020-05-03 18:05 - 000004775 _____ C:\Users\Default User\Desktop\!ENCRYPTED-README.hta
2020-05-03 17:37 - 2020-05-03 18:05 - 000004775 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:37 - 2020-05-03 18:05 - 000004775 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!ENCRYPTED-README.hta
2020-05-03 17:37 - 2020-05-03 18:05 - 000004775 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:37 - 2020-05-03 18:05 - 000004775 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\!ENCRYPTED-README.hta
2020-05-03 17:37 - 2020-05-03 18:05 - 000004775 _____ C:\Users\Default User\AppData\Roaming\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:37 - 2020-05-03 18:05 - 000004775 _____ C:\Users\Default User\AppData\Roaming\!ENCRYPTED-README.hta
2020-05-03 17:37 - 2020-05-03 18:05 - 000004775 _____ C:\Users\Default User\AppData\Local\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:37 - 2020-05-03 18:05 - 000004775 _____ C:\Users\Default User\AppData\Local\!ENCRYPTED-README.hta
2020-05-03 17:37 - 2020-05-03 18:05 - 000004775 _____ C:\Users\Default User\AppData\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:37 - 2020-05-03 18:05 - 000004775 _____ C:\Users\Default User\AppData\!ENCRYPTED-README.hta
2020-05-03 17:37 - 2020-05-03 18:05 - 000004775 _____ C:\Users\Default User\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:37 - 2020-05-03 18:05 - 000004775 _____ C:\Users\Default User\!ENCRYPTED-README.hta
2020-05-03 17:36 - 2020-05-03 18:10 - 000004775 _____ C:\Users\Все пользователи\Documents\!ENCRYPTED-README.hta
2020-05-03 17:36 - 2020-05-03 18:10 - 000004775 _____ C:\Users\Все пользователи\Desktop\!ENCRYPTED-README.hta
2020-05-03 17:36 - 2020-05-03 18:10 - 000004775 _____ C:\Users\Все пользователи\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:36 - 2020-05-03 18:10 - 000004775 _____ C:\Users\Все пользователи\!ENCRYPTED-README.hta
2020-05-03 17:36 - 2020-05-03 18:10 - 000004775 _____ C:\Users\Public\Documents\!ENCRYPTED-README.hta
2020-05-03 17:36 - 2020-05-03 18:10 - 000004775 _____ C:\Users\Public\Desktop\!ENCRYPTED-README.hta
2020-05-03 17:36 - 2020-05-03 18:10 - 000004775 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:36 - 2020-05-03 18:10 - 000004775 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\!ENCRYPTED-README.hta
2020-05-03 17:36 - 2020-05-03 18:10 - 000004775 _____ C:\ProgramData\Microsoft\Windows\Start Menu\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:36 - 2020-05-03 18:10 - 000004775 _____ C:\ProgramData\Microsoft\Windows\Start Menu\!ENCRYPTED-README.hta
2020-05-03 17:36 - 2020-05-03 18:10 - 000004775 _____ C:\ProgramData\Documents\!ENCRYPTED-README.hta
2020-05-03 17:36 - 2020-05-03 18:10 - 000004775 _____ C:\ProgramData\Desktop\!ENCRYPTED-README.hta
2020-05-03 17:36 - 2020-05-03 18:10 - 000004775 _____ C:\ProgramData\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:36 - 2020-05-03 18:10 - 000004775 _____ C:\ProgramData\!ENCRYPTED-README.hta
2020-05-03 17:36 - 2020-05-03 18:05 - 000004775 _____ C:\Users\Все пользователи\Documents\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:36 - 2020-05-03 18:05 - 000004775 _____ C:\Users\Все пользователи\Desktop\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:36 - 2020-05-03 18:05 - 000004775 _____ C:\Users\Public\Documents\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:36 - 2020-05-03 18:05 - 000004775 _____ C:\Users\Public\Desktop\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:36 - 2020-05-03 18:05 - 000004775 _____ C:\ProgramData\Documents\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:36 - 2020-05-03 18:05 - 000004775 _____ C:\ProgramData\Desktop\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:33 - 2020-05-03 18:05 - 000004775 _____ C:\Program Files (x86)\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:33 - 2020-05-03 18:05 - 000004775 _____ C:\Program Files (x86)\!ENCRYPTED-README.hta
2020-05-03 17:31 - 2020-05-03 18:04 - 000004775 _____ C:\Program Files\Common Files\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:31 - 2020-05-03 18:04 - 000004775 _____ C:\Program Files\Common Files\!ENCRYPTED-README.hta
2020-05-03 17:31 - 2020-05-03 18:04 - 000004775 _____ C:\Program Files\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:31 - 2020-05-03 18:04 - 000004775 _____ C:\Program Files\!ENCRYPTED-README.hta
2020-05-03 17:30 - 2020-05-03 18:05 - 000004775 _____ C:\Users\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:30 - 2020-05-03 18:05 - 000004775 _____ C:\Users\!ENCRYPTED-README.hta
2020-05-03 17:26 - 2020-05-05 15:14 - 000003107 _____ C:\!ENCRYPTED-README.hta
2020-05-03 17:26 - 2020-05-03 18:04 - 000004775 _____ C:\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:31 - 2020-05-03 18:04 - 000004775 _____ () C:\Program Files\!ENCRYPTED-README.hta
2020-05-03 17:31 - 2020-05-03 18:04 - 000004775 _____ () C:\Program Files\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:33 - 2020-05-03 18:05 - 000004775 _____ () C:\Program Files (x86)\!ENCRYPTED-README.hta
2020-05-03 17:33 - 2020-05-03 18:05 - 000004775 _____ () C:\Program Files (x86)\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:31 - 2020-05-03 18:04 - 000004775 _____ () C:\Program Files\Common Files\!ENCRYPTED-README.hta
2020-05-03 17:31 - 2020-05-03 18:04 - 000004775 _____ () C:\Program Files\Common Files\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:34 - 2020-05-03 18:05 - 000004775 _____ () C:\Program Files (x86)\Common Files\!ENCRYPTED-README.hta
2020-05-03 17:34 - 2020-05-03 18:05 - 000004775 _____ () C:\Program Files (x86)\Common Files\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:59 - 2020-05-03 18:07 - 000004775 _____ () C:\Users\user1\AppData\Roaming\!ENCRYPTED-README.hta
2020-05-03 17:59 - 2020-05-03 18:07 - 000004775 _____ () C:\Users\user1\AppData\Roaming\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:59 - 2020-05-03 18:07 - 000004775 _____ () C:\Users\user1\AppData\Roaming\Microsoft\!ENCRYPTED-README.hta
2020-05-03 17:59 - 2020-05-03 18:07 - 000004775 _____ () C:\Users\user1\AppData\Roaming\Microsoft\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
2020-05-03 17:37 - 2020-05-03 18:07 - 000004775 _____ () C:\Users\user1\AppData\Local\!ENCRYPTED-README.hta
2020-05-03 17:37 - 2020-05-03 18:05 - 000004775 _____ () C:\Users\user1\AppData\Local\{RDPrecovery1@protonmail.com}.ID=45K4PU.!ENCRYPTED-README.hta.!lockfile
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную

Подробнее читайте в этом руководстве.
 
У вас шифровальщик два раза отработал похоже. Смените пароли на RDP и разберитесь с администраторами

user1 (S-1-5-21-1455548016-3730048436-1541026060-1002 - Administrator - Enabled) => C:\Users\user1 этот - был включен
Администратор (S-1-5-21-1455548016-3730048436-1541026060-500 - Administrator - Enabled) => C:\Users\Администратор был включен
Гость (S-1-5-21-1455548016-3730048436-1541026060-501 - Administrator - Enabled) был выключен

сервер переставил на другой HDD этот диск лежит отдельно с него только данные нужны
 

Вложения

По поводу расшифровки точнее скажет @thyrex
 
с файлами что то можно сделать (интересует .xlsx файлы небольшого объема).
 
Увы, для этого шифровальщика пока нет возможности расшифровать файлы без участия преступников. Попробовать часть вернуть софтом для восстановления файлов (например hetman office recovery), но восстановить все надежды нет.
 
Последнее редактирование:
Статус
В этой теме нельзя размещать новые ответы.

Похожие темы

S
  • Закрыта
Закрыто Проблема с расшифровкой файлов
Ответы
2
Просмотры
1K
Sandor
Sandor
L
  • Закрыта
Закрыто Проблема с расшифровкой файлов: ищу помощь
Ответы
3
Просмотры
3K
Кирилл
Кирилл
D
В работе Проблема с установкой MalwareBytes
Ответы
3
Просмотры
307
Sandor
Sandor
Назад
Сверху Снизу