• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки sclown@elude.in расшифровка

Константин-ств

Новый пользователь
Сообщения
25
Реакции
3
Здравствуйте. Столкнулся с новой проблемой по шифровальщикам. Теперь вот такой адрес. ПК знакомых. систему не сносили. Все нужные файлы вместе с отчетом во вложении. Буду благодарен за помощь. Тело пока найти не удалось.
 

Вложения

Это шифровальщик The DMR. Пока данных по нему почти нет.
 
Это шифровальщик The DMR. Пока данных по нему почти нет.
спасибо большое, так понял что данные не восстановить?
имеет ли смысл заняться поиском тела? Может ли это помочь Вам в дальнейшем?
 
Нет, тела в логах не видно, самоудалилось. Зашли через RDP?

RAdmin3 и TeamViewer - сами устанавливали?

Все пользователи легитимны? (и зачем столько админов))))
Buh1-8 (S-1-5-21-2425315536-827134682-914325228-1002 - Administrator - Enabled) => C:\Users\Buh1-8
Buh2-8 (S-1-5-21-2425315536-827134682-914325228-1003 - Administrator - Enabled) => C:\Users\Buh2-8
Buh3-8 (S-1-5-21-2425315536-827134682-914325228-1004 - Administrator - Enabled) => C:\Users\Buh3-8
postgres (S-1-5-21-2425315536-827134682-914325228-1007 - Limited - Enabled)
USR1CV8 (S-1-5-21-2425315536-827134682-914325228-1009 - Limited - Enabled) => C:\Users\USR1CV8.SERVER8.001
Администратор (S-1-5-21-2425315536-827134682-914325228-500 - Administrator - Enabled) => C:\Users\Администратор


  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\!!! READ THIS !!!.hta [2020-04-20] () [File not signed]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO RECOVER ENCRYPTED FILES.txt [2020-04-20] () [File not signed]
    2020-04-20 23:08 - 2020-04-20 23:24 - 000002892 _____ C:\Program Files (x86)\!!! READ THIS !!!.hta
    2020-04-20 23:08 - 2020-04-20 23:24 - 000002209 _____ C:\Program Files (x86)\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\Все пользователи\Documents\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\Все пользователи\Desktop\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\Все пользователи\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\USR1CV8\Downloads\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\USR1CV8\Documents\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\USR1CV8\Desktop\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\USR1CV8\AppData\Roaming\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\USR1CV8\AppData\Local\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\USR1CV8\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\USR1CV8.SERVER8\Downloads\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\USR1CV8.SERVER8\Documents\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\USR1CV8.SERVER8\Desktop\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\USR1CV8.SERVER8\AppData\Roaming\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\USR1CV8.SERVER8\AppData\Local\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\USR1CV8.SERVER8\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\USR1CV8.SERVER8.001\Downloads\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\USR1CV8.SERVER8.001\Documents\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\USR1CV8.SERVER8.001\Desktop\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\USR1CV8.SERVER8.001\AppData\Roaming\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\USR1CV8.SERVER8.001\AppData\Local\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\USR1CV8.SERVER8.001\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\USR1CV8.SERVER8.000\Downloads\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\USR1CV8.SERVER8.000\Documents\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\USR1CV8.SERVER8.000\Desktop\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\USR1CV8.SERVER8.000\AppData\Roaming\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\USR1CV8.SERVER8.000\AppData\Local\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\USR1CV8.SERVER8.000\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\Public\Downloads\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\Public\Documents\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\Public\Desktop\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\Public\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\Default\Downloads\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\Default\Documents\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\Default\Desktop\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\Default\AppData\Roaming\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\Default\AppData\Local\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\Default\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\Default User\Downloads\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\Default User\Documents\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\Default User\Desktop\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\Default User\AppData\Roaming\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\Default User\AppData\Local\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\Default User\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\Buh3-8\Downloads\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\Buh3-8\Documents\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\Buh3-8\Desktop\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\Buh3-8\AppData\Roaming\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\Buh3-8\AppData\Local\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\Buh3-8\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\Buh2-8\Downloads\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\Buh2-8\Documents\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\Buh2-8\Desktop\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\Buh2-8\AppData\Roaming\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\Buh2-8\AppData\Local\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\Buh2-8\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\Buh1-8\Downloads\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\Buh1-8\Documents\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\Buh1-8\Desktop\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\Buh1-8\AppData\Roaming\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\Buh1-8\AppData\Local\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\Buh1-8\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Users\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\ProgramData\Microsoft\Windows\Start Menu\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\ProgramData\Documents\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\ProgramData\Desktop\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\ProgramData\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Program Files\Common Files\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\Program Files\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ C:\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\Все пользователи\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\Все пользователи\Documents\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\Все пользователи\Desktop\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\USR1CV8\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\USR1CV8\Downloads\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\USR1CV8\Documents\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\USR1CV8\Desktop\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\USR1CV8\AppData\Roaming\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\USR1CV8\AppData\Local\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\USR1CV8.SERVER8\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\USR1CV8.SERVER8\Downloads\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\USR1CV8.SERVER8\Documents\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\USR1CV8.SERVER8\Desktop\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\USR1CV8.SERVER8\AppData\Roaming\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\USR1CV8.SERVER8\AppData\Local\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\USR1CV8.SERVER8.001\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\USR1CV8.SERVER8.001\Downloads\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\USR1CV8.SERVER8.001\Documents\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\USR1CV8.SERVER8.001\Desktop\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\USR1CV8.SERVER8.001\AppData\Roaming\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\USR1CV8.SERVER8.001\AppData\Local\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\USR1CV8.SERVER8.000\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\USR1CV8.SERVER8.000\Downloads\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\USR1CV8.SERVER8.000\Documents\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\USR1CV8.SERVER8.000\Desktop\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\USR1CV8.SERVER8.000\AppData\Roaming\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\USR1CV8.SERVER8.000\AppData\Local\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\Public\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\Public\Downloads\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\Public\Documents\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\Public\Desktop\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\Default\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\Default\Downloads\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\Default\Documents\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\Default\Desktop\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\Default\AppData\Roaming\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\Default\AppData\Local\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\Default User\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\Default User\Downloads\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\Default User\Documents\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\Default User\Desktop\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\Default User\AppData\Roaming\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\Default User\AppData\Local\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\Buh3-8\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\Buh3-8\Downloads\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\Buh3-8\Documents\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\Buh3-8\Desktop\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\Buh3-8\AppData\Roaming\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\Buh3-8\AppData\Local\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\Buh2-8\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\Buh2-8\Downloads\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\Buh2-8\Documents\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\Buh2-8\Desktop\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\Buh2-8\AppData\Roaming\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\Buh2-8\AppData\Local\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\Buh1-8\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\Buh1-8\Downloads\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\Buh1-8\Documents\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\Buh1-8\Desktop\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\Buh1-8\AppData\Roaming\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Users\Buh1-8\AppData\Local\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\ProgramData\Microsoft\Windows\Start Menu\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\ProgramData\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\ProgramData\Documents\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\ProgramData\Desktop\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Program Files\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ C:\Program Files\Common Files\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ () C:\Program Files\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ () C:\Program Files\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:08 - 2020-04-20 23:24 - 000002892 _____ () C:\Program Files (x86)\!!! READ THIS !!!.hta
    2020-04-20 23:08 - 2020-04-20 23:24 - 000002209 _____ () C:\Program Files (x86)\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002892 _____ () C:\Program Files\Common Files\!!! READ THIS !!!.hta
    2020-04-20 23:07 - 2020-04-20 23:24 - 000002209 _____ () C:\Program Files\Common Files\HOW TO RECOVER ENCRYPTED FILES.txt
    2020-04-20 23:08 - 2020-04-20 23:24 - 000002892 _____ () C:\Program Files (x86)\Common Files\!!! READ THIS !!!.hta
    2020-04-20 23:08 - 2020-04-20 23:24 - 000002209 _____ () C:\Program Files (x86)\Common Files\HOW TO RECOVER ENCRYPTED FILES.txt
    ContextMenuHandlers1: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Program Files (x86)\WinRAR\rarext64.dll -> No File
    ContextMenuHandlers1-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files (x86)\WinRAR\rarext.dll -> No File
    ContextMenuHandlers4: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Program Files (x86)\WinRAR\rarext64.dll -> No File
    ContextMenuHandlers4-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files (x86)\WinRAR\rarext.dll -> No File
    ContextMenuHandlers6: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => C:\Program Files (x86)\WinRAR\rarext64.dll -> No File
    ContextMenuHandlers6-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files (x86)\WinRAR\rarext.dll -> No File
    FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC] => (Allow) %systemroot%\system32\scshost.exe No File
    FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC-EndPointMapper] => (Allow) %systemroot%\system32\scshost.exe No File
    FirewallRules: [{DF0E98DE-78F9-49EB-A686-66E9FB7937EC}] => (Allow) %SystemDrive%\Install\AA3.5-Corp (2).exe No File
    FirewallRules: [{34890033-DE9D-425D-85DD-1065C5A12CF4}] => (Allow) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe No File
    FirewallRules: [{E2BFC843-99BD-4CAA-8DF9-1A6828037582}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe No File
    FirewallRules: [{49EE00A9-3755-4913-9C3D-524B8CB5AC13}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe No File
    FirewallRules: [{2ECE4041-9644-441C-872B-7B49727F28EB}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe No File
    FirewallRules: [{55998F0D-9215-4898-8B2F-0ACB08582B7D}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe No File
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.
 
Последнее редактирование:
Все пользователи легитимны? (и зачем столько админов))))
Buh1-8 (S-1-5-21-2425315536-827134682-914325228-1002 - Administrator - Enabled) => C:\Users\Buh1-8
Buh2-8 (S-1-5-21-2425315536-827134682-914325228-1003 - Administrator - Enabled) => C:\Users\Buh2-8
Buh3-8 (S-1-5-21-2425315536-827134682-914325228-1004 - Administrator - Enabled) => C:\Users\Buh3-8
postgres (S-1-5-21-2425315536-827134682-914325228-1007 - Limited - Enabled)
USR1CV8 (S-1-5-21-2425315536-827134682-914325228-1009 - Limited - Enabled) => C:\Users\USR1CV8.SERVER8.001
Администратор (S-1-5-21-2425315536-827134682-914325228-500 - Administrator - Enabled) => C:\Users\Администратор
тут не подскажу, это делал не я) Но судя по всему какой то умный создавал) и что бы не париться сделал все учетки админскими) Жертвы удаленки блин)
 
А со скриптом что?
 
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

И на сим пока все. +++ пароли на RDP смените ++ а лучше используйте RDP за VPN или услугами защищенного сервера.
 
спасибо, Я им ссылочку скинул на S.lab так что думаю сами скоро напишут, так как у них легла база 1с, и бэкап к ней тоже лег, так как лежал на этом же компе, просто на другом диске.
 
Назад
Сверху Снизу