Все администраторы ваши? И почему так много администраторов?
Администратор (S-1-5-21-3581300512-2918486786-4040281322-500 - Administrator - Enabled)
admin (S-1-5-21-887754554-99585062-1249466260-1003 - Administrator - Disabled) => C:\Users\admin
sanyok (S-1-5-21-887754554-99585062-1249466260-1175 - Administrator - Enabled) => C:\Users\sanyok
User02 (S-1-5-21-887754554-99585062-1249466260-1177 - Administrator - Enabled) => C:\Users\User02
User03 (S-1-5-21-887754554-99585062-1249466260-1178 - Administrator - Enabled) => C:\Users\User03
User04 (S-1-5-21-887754554-99585062-1249466260-1179 - Administrator - Enabled) => C:\Users\User04
User05 (S-1-5-21-887754554-99585062-1249466260-1180 - Administrator - Enabled) => C:\Users\User05
User06 (S-1-5-21-887754554-99585062-1249466260-1181 - Administrator - Enabled) => C:\Users\User06
User07 (S-1-5-21-887754554-99585062-1249466260-1182 - Administrator - Enabled) => C:\Users\User07
User08 (S-1-5-21-887754554-99585062-1249466260-1184 - Administrator - Enabled) => C:\Users\User08
Админ (S-1-5-21-887754554-99585062-1249466260-1187 - Administrator - Enabled) => C:\Users\Админ
Смените пароли на RDP
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Start::
CreateRestorePoint:
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13934 2020-05-01] () [File not signed]
HKLM\...\Run: [C:\Users\Администратор\AppData\Roaming\Info.hta] => C:\Users\Администратор\AppData\Roaming\Info.hta [13934 2020-04-30] () [File not signed]
2020-05-01 13:25 - 2020-05-01 13:25 - 000013934 _____ C:\Users\User03\AppData\Roaming\Info.hta
2020-04-30 10:55 - 2020-05-01 13:25 - 000013934 _____ C:\Windows\system32\Info.hta
2020-04-30 10:55 - 2020-05-01 13:25 - 000000234 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-04-30 10:55 - 2020-05-01 13:25 - 000000234 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2020-04-30 10:55 - 2020-05-01 13:25 - 000000234 _____ C:\FILES ENCRYPTED.txt
End::
- Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.
Подробнее читайте в
этом руководстве.