Решена без расшифровки Виртуальный сервер заражет win35.hllp.neshta (согласно отчета DR.Web)

[ditresh_lp]

Добрый день! Прошу помочь в решении проблемы заражения системы

Ориентировочно 27 числа виртуальный сервер был заражен вирусом.

Многие наши пользователи работают удаленно. Скорее всего от кого-то пришла зараза через RDP.

2 зашифрованных файла, 1 файл окно с вымогателем (возможно это и есть сам вирус), 1 текстовый файл с текстом требования (скопировал, когда в первый раз открыл фал вымогателя) прилагаю в архиве. Логи прилагаю.

Антивирус DR. Web определил угрозу как win35.hllp.neshta

Прошу помочь в расшифровке файлов, утранении и предупреждении угроз в дальнейшем, а также, если это возможно, выявлении источника (например определенного пользователя) или времени заражения.

Заранее вас благодарю!

 

[Sandor]

Здравствуйте!

Расшифровки этой версии вымогателя нет.

Антивирус DR. Web определил угрозу как win35.hllp.neshta

В каком файле? Отчёт или скриншот обнаружения можете показать?

 

[ditresh_lp]

Здравствуйте!

Расшифровки этой версии вымогателя нет.


В каком файле? Отчёт или скриншот обнаружения можете показать?

Есть фото процесса проверки, прилагаю

 

[ditresh_lp]

Здравствуйте!

Расшифровки этой версии вымогателя нет.


В каком файле? Отчёт или скриншот обнаружения можете показать?

Ошибся, правильное название угрозы в антивирусе Win32.hllp.neshta

 

[Sandor]

Ясно. Это просто в хранилище файлов на диске Е болтаются зараженные файловым вирусом файлы. К этой проблеме они никак не относятся.

Время проникновения в систему 2021-03-27 21:23 скорее всего через пользователя C:\Users\Manager2

Скорее всего от кого-то пришла зараза через RDP

Да, это наиболее вероятный способ. Так что меняйте все пароли.

Эту систему чистим или планируете переустановку?

 

[ditresh_lp]

Ясно. Это просто в хранилище файлов на диске Е болтаются зараженные файловым вирусом файлы. К этой проблеме они никак не относятся.

Время проникновения в систему 2021-03-27 21:23 скорее всего через пользователя C:\Users\Manager2


Да, это наиболее вероятный способ. Так что меняйте все пароли.

Эту систему чистим или планируете переустановку?

Чистим

 

[Sandor]

Еще уточнение: файл C:\1.bat вам известен?

 

[ditresh_lp]

Еще уточнение: файл C:\1.bat вам известен?

Да, это файл для копирования баз данных

 

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  2021-03-27 21:31 - 2021-03-27 21:31 - 000013919 _____ C:\Users\Администратор\how_to_decrypt.hta
  2021-03-27 21:31 - 2021-03-27 21:31 - 000013919 _____ C:\Users\Администратор\Downloads\how_to_decrypt.hta
  2021-03-27 21:31 - 2021-03-27 21:31 - 000013919 _____ C:\Users\Администратор\Documents\how_to_decrypt.hta
  2021-03-27 21:31 - 2021-03-27 21:31 - 000013919 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-03-27 21:31 - 2021-03-27 21:31 - 000013919 _____ C:\Users\Администратор\AppData\Roaming\how_to_decrypt.hta
  2021-03-27 21:31 - 2021-03-27 21:31 - 000013919 _____ C:\Users\Администратор\AppData\how_to_decrypt.hta
  2021-03-27 21:30 - 2021-03-27 21:30 - 000013919 _____ C:\Users\Администратор\AppData\LocalLow\how_to_decrypt.hta
  2021-03-27 21:30 - 2021-03-27 21:30 - 000013919 _____ C:\Users\Администратор\AppData\Local\Temp\how_to_decrypt.hta
  2021-03-27 21:30 - 2021-03-27 21:30 - 000013919 _____ C:\Users\Админ\how_to_decrypt.hta
  2021-03-27 21:30 - 2021-03-27 21:30 - 000013919 _____ C:\Users\Админ\Downloads\how_to_decrypt.hta
  2021-03-27 21:30 - 2021-03-27 21:30 - 000013919 _____ C:\Users\Админ\Documents\how_to_decrypt.hta
  2021-03-27 21:30 - 2021-03-27 21:30 - 000013919 _____ C:\Users\Админ\Desktop\how_to_decrypt.hta
  2021-03-27 21:30 - 2021-03-27 21:30 - 000013919 _____ C:\Users\Админ\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-03-27 21:30 - 2021-03-27 21:30 - 000013919 _____ C:\Users\Админ\AppData\Roaming\how_to_decrypt.hta
  2021-03-27 21:30 - 2021-03-27 21:30 - 000013919 _____ C:\Users\Админ\AppData\LocalLow\how_to_decrypt.hta
  2021-03-27 21:30 - 2021-03-27 21:30 - 000013919 _____ C:\Users\Админ\AppData\how_to_decrypt.hta
  2021-03-27 21:30 - 2021-03-27 21:30 - 000013919 _____ C:\Users\USR1CV8\how_to_decrypt.hta
  2021-03-27 21:30 - 2021-03-27 21:30 - 000013919 _____ C:\Users\USR1CV8\Downloads\how_to_decrypt.hta
  2021-03-27 21:30 - 2021-03-27 21:30 - 000013919 _____ C:\Users\USR1CV8\Documents\how_to_decrypt.hta
  2021-03-27 21:30 - 2021-03-27 21:30 - 000013919 _____ C:\Users\USR1CV8\Desktop\how_to_decrypt.hta
  2021-03-27 21:30 - 2021-03-27 21:30 - 000013919 _____ C:\Users\USR1CV8\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-03-27 21:30 - 2021-03-27 21:30 - 000013919 _____ C:\Users\USR1CV8\AppData\Roaming\how_to_decrypt.hta
  2021-03-27 21:30 - 2021-03-27 21:30 - 000013919 _____ C:\Users\USR1CV8\AppData\LocalLow\how_to_decrypt.hta
  2021-03-27 21:30 - 2021-03-27 21:30 - 000013919 _____ C:\Users\USR1CV8\AppData\Local\Temp\how_to_decrypt.hta
  2021-03-27 21:30 - 2021-03-27 21:30 - 000013919 _____ C:\Users\USR1CV8\AppData\how_to_decrypt.hta
  2021-03-27 21:30 - 2021-03-27 21:30 - 000013919 _____ C:\Users\Tranzit\how_to_decrypt.hta
  2021-03-27 21:30 - 2021-03-27 21:30 - 000013919 _____ C:\Users\Tranzit\Downloads\how_to_decrypt.hta
  2021-03-27 21:30 - 2021-03-27 21:30 - 000013919 _____ C:\Users\Tranzit\Documents\how_to_decrypt.hta
  2021-03-27 21:30 - 2021-03-27 21:30 - 000013919 _____ C:\Users\Tranzit\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-03-27 21:29 - 2021-03-27 21:29 - 000013919 _____ C:\Users\Tranzit\Desktop\how_to_decrypt.hta
  2021-03-27 21:29 - 2021-03-27 21:29 - 000013919 _____ C:\Users\Tranzit\AppData\Roaming\how_to_decrypt.hta
  2021-03-27 21:29 - 2021-03-27 21:29 - 000013919 _____ C:\Users\Tranzit\AppData\LocalLow\how_to_decrypt.hta
  2021-03-27 21:29 - 2021-03-27 21:29 - 000013919 _____ C:\Users\Tranzit\AppData\Local\Temp\how_to_decrypt.hta
  2021-03-27 21:29 - 2021-03-27 21:29 - 000013919 _____ C:\Users\Tranzit\AppData\how_to_decrypt.hta
  2021-03-27 21:29 - 2021-03-27 21:29 - 000013919 _____ C:\Users\SSASTELEMETRY\how_to_decrypt.hta
  2021-03-27 21:29 - 2021-03-27 21:29 - 000013919 _____ C:\Users\SSASTELEMETRY\Downloads\how_to_decrypt.hta
  2021-03-27 21:29 - 2021-03-27 21:29 - 000013919 _____ C:\Users\SSASTELEMETRY\Documents\how_to_decrypt.hta
  2021-03-27 21:29 - 2021-03-27 21:29 - 000013919 _____ C:\Users\SSASTELEMETRY\Desktop\how_to_decrypt.hta
  2021-03-27 21:29 - 2021-03-27 21:29 - 000013919 _____ C:\Users\SSASTELEMETRY\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-03-27 21:29 - 2021-03-27 21:29 - 000013919 _____ C:\Users\SSASTELEMETRY\AppData\Roaming\how_to_decrypt.hta
  2021-03-27 21:29 - 2021-03-27 21:29 - 000013919 _____ C:\Users\SSASTELEMETRY\AppData\LocalLow\how_to_decrypt.hta
  2021-03-27 21:29 - 2021-03-27 21:29 - 000013919 _____ C:\Users\SSASTELEMETRY\AppData\Local\Temp\how_to_decrypt.hta
  2021-03-27 21:29 - 2021-03-27 21:29 - 000013919 _____ C:\Users\SSASTELEMETRY\AppData\how_to_decrypt.hta
  2021-03-27 21:29 - 2021-03-27 21:29 - 000013919 _____ C:\Users\SQLTELEMETRY\how_to_decrypt.hta
  2021-03-27 21:29 - 2021-03-27 21:29 - 000013919 _____ C:\Users\SQLTELEMETRY\Downloads\how_to_decrypt.hta
  2021-03-27 21:29 - 2021-03-27 21:29 - 000013919 _____ C:\Users\SQLTELEMETRY\Documents\how_to_decrypt.hta
  2021-03-27 21:29 - 2021-03-27 21:29 - 000013919 _____ C:\Users\SQLTELEMETRY\Desktop\how_to_decrypt.hta
  2021-03-27 21:29 - 2021-03-27 21:29 - 000013919 _____ C:\Users\SQLTELEMETRY\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-03-27 21:29 - 2021-03-27 21:29 - 000013919 _____ C:\Users\SQLTELEMETRY\AppData\Roaming\how_to_decrypt.hta
  2021-03-27 21:29 - 2021-03-27 21:29 - 000013919 _____ C:\Users\SQLTELEMETRY\AppData\LocalLow\how_to_decrypt.hta
  2021-03-27 21:29 - 2021-03-27 21:29 - 000013919 _____ C:\Users\SQLTELEMETRY\AppData\Local\Temp\how_to_decrypt.hta
  2021-03-27 21:29 - 2021-03-27 21:29 - 000013919 _____ C:\Users\SQLTELEMETRY\AppData\how_to_decrypt.hta
  2021-03-27 21:29 - 2021-03-27 21:29 - 000013919 _____ C:\Users\SQLSERVERAGENT\how_to_decrypt.hta
  2021-03-27 21:29 - 2021-03-27 21:29 - 000013919 _____ C:\Users\SQLSERVERAGENT\Downloads\how_to_decrypt.hta
  2021-03-27 21:29 - 2021-03-27 21:29 - 000013919 _____ C:\Users\SQLSERVERAGENT\Documents\how_to_decrypt.hta
  2021-03-27 21:29 - 2021-03-27 21:29 - 000013919 _____ C:\Users\SQLSERVERAGENT\Desktop\how_to_decrypt.hta
  2021-03-27 21:29 - 2021-03-27 21:29 - 000013919 _____ C:\Users\SQLSERVERAGENT\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-03-27 21:28 - 2021-03-27 21:28 - 000013919 _____ C:\Users\SQLSERVERAGENT\AppData\Roaming\how_to_decrypt.hta
  2021-03-27 21:28 - 2021-03-27 21:28 - 000013919 _____ C:\Users\SQLSERVERAGENT\AppData\LocalLow\how_to_decrypt.hta
  2021-03-27 21:28 - 2021-03-27 21:28 - 000013919 _____ C:\Users\SQLSERVERAGENT\AppData\Local\Temp\how_to_decrypt.hta
  2021-03-27 21:28 - 2021-03-27 21:28 - 000013919 _____ C:\Users\SQLSERVERAGENT\AppData\how_to_decrypt.hta
  2021-03-27 21:28 - 2021-03-27 21:28 - 000013919 _____ C:\Users\SPB-Manager6\how_to_decrypt.hta
  2021-03-27 21:28 - 2021-03-27 21:28 - 000013919 _____ C:\Users\SPB-Manager6\Downloads\how_to_decrypt.hta
  2021-03-27 21:28 - 2021-03-27 21:28 - 000013919 _____ C:\Users\SPB-Manager6\Documents\how_to_decrypt.hta
  2021-03-27 21:28 - 2021-03-27 21:28 - 000013919 _____ C:\Users\SPB-Manager6\Desktop\how_to_decrypt.hta
  2021-03-27 21:28 - 2021-03-27 21:28 - 000013919 _____ C:\Users\SPB-Manager6\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-03-27 21:28 - 2021-03-27 21:28 - 000013919 _____ C:\Users\SPB-Manager6\AppData\Roaming\how_to_decrypt.hta
  2021-03-27 21:28 - 2021-03-27 21:28 - 000013919 _____ C:\Users\SPB-Manager6\AppData\LocalLow\how_to_decrypt.hta
  2021-03-27 21:28 - 2021-03-27 21:28 - 000013919 _____ C:\Users\SPB-Manager6\AppData\Local\Temp\how_to_decrypt.hta
  2021-03-27 21:28 - 2021-03-27 21:28 - 000013919 _____ C:\Users\SPB-Manager6\AppData\how_to_decrypt.hta
  2021-03-27 21:28 - 2021-03-27 21:28 - 000013919 _____ C:\Users\SPB-Manager5\how_to_decrypt.hta
  2021-03-27 21:28 - 2021-03-27 21:28 - 000013919 _____ C:\Users\SPB-Manager5\Downloads\how_to_decrypt.hta
  2021-03-27 21:28 - 2021-03-27 21:28 - 000013919 _____ C:\Users\SPB-Manager5\Documents\how_to_decrypt.hta
  2021-03-27 21:28 - 2021-03-27 21:28 - 000013919 _____ C:\Users\SPB-Manager5\Desktop\how_to_decrypt.hta
  2021-03-27 21:28 - 2021-03-27 21:28 - 000013919 _____ C:\Users\SPB-Manager5\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-03-27 21:28 - 2021-03-27 21:28 - 000013919 _____ C:\Users\SPB-Manager5\AppData\Roaming\how_to_decrypt.hta
  2021-03-27 21:28 - 2021-03-27 21:28 - 000013919 _____ C:\Users\SPB-Manager5\AppData\LocalLow\how_to_decrypt.hta
  2021-03-27 21:28 - 2021-03-27 21:28 - 000013919 _____ C:\Users\SPB-Manager5\AppData\Local\Temp\how_to_decrypt.hta
  2021-03-27 21:28 - 2021-03-27 21:28 - 000013919 _____ C:\Users\SPB-Manager5\AppData\how_to_decrypt.hta
  2021-03-27 21:27 - 2021-03-27 21:27 - 000013919 _____ C:\Users\SPB-Manager3\how_to_decrypt.hta
  2021-03-27 21:27 - 2021-03-27 21:27 - 000013919 _____ C:\Users\SPB-Manager3\Downloads\how_to_decrypt.hta
  2021-03-27 21:27 - 2021-03-27 21:27 - 000013919 _____ C:\Users\SPB-Manager3\Documents\how_to_decrypt.hta
  2021-03-27 21:27 - 2021-03-27 21:27 - 000013919 _____ C:\Users\SPB-Manager3\Desktop\how_to_decrypt.hta
  2021-03-27 21:27 - 2021-03-27 21:27 - 000013919 _____ C:\Users\SPB-Manager3\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-03-27 21:27 - 2021-03-27 21:27 - 000013919 _____ C:\Users\SPB-Manager3\AppData\Roaming\how_to_decrypt.hta
  2021-03-27 21:27 - 2021-03-27 21:27 - 000013919 _____ C:\Users\SPB-Manager3\AppData\LocalLow\how_to_decrypt.hta
  2021-03-27 21:27 - 2021-03-27 21:27 - 000013919 _____ C:\Users\SPB-Manager3\AppData\Local\Temp\how_to_decrypt.hta
  2021-03-27 21:27 - 2021-03-27 21:27 - 000013919 _____ C:\Users\SPB-Manager3\AppData\how_to_decrypt.hta
  2021-03-27 21:27 - 2021-03-27 21:27 - 000013919 _____ C:\Users\SPB-Manager2\how_to_decrypt.hta
  2021-03-27 21:27 - 2021-03-27 21:27 - 000013919 _____ C:\Users\SPB-Manager2\Downloads\how_to_decrypt.hta
  2021-03-27 21:27 - 2021-03-27 21:27 - 000013919 _____ C:\Users\SPB-Manager2\Documents\how_to_decrypt.hta
  2021-03-27 21:27 - 2021-03-27 21:27 - 000013919 _____ C:\Users\SPB-Manager2\Desktop\how_to_decrypt.hta
  2021-03-27 21:27 - 2021-03-27 21:27 - 000013919 _____ C:\Users\SPB-Manager2\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-03-27 21:27 - 2021-03-27 21:27 - 000013919 _____ C:\Users\SPB-Manager2\AppData\Roaming\how_to_decrypt.hta
  2021-03-27 21:27 - 2021-03-27 21:27 - 000013919 _____ C:\Users\SPB-Manager2\AppData\LocalLow\how_to_decrypt.hta
  2021-03-27 21:27 - 2021-03-27 21:27 - 000013919 _____ C:\Users\SPB-Manager2\AppData\Local\Temp\how_to_decrypt.hta
  2021-03-27 21:27 - 2021-03-27 21:27 - 000013919 _____ C:\Users\SPB-Manager2\AppData\how_to_decrypt.hta
  2021-03-27 21:27 - 2021-03-27 21:27 - 000013919 _____ C:\Users\SPB-Manager1\how_to_decrypt.hta
  2021-03-27 21:27 - 2021-03-27 21:27 - 000013919 _____ C:\Users\SPB-Manager1\Downloads\how_to_decrypt.hta
  2021-03-27 21:27 - 2021-03-27 21:27 - 000013919 _____ C:\Users\SPB-Manager1\Documents\how_to_decrypt.hta
  2021-03-27 21:27 - 2021-03-27 21:27 - 000013919 _____ C:\Users\SPB-Manager1\Desktop\how_to_decrypt.hta
  2021-03-27 21:27 - 2021-03-27 21:27 - 000013919 _____ C:\Users\SPB-Manager1\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-03-27 21:27 - 2021-03-27 21:27 - 000013919 _____ C:\Users\SPB-Manager1\AppData\Roaming\how_to_decrypt.hta
  2021-03-27 21:27 - 2021-03-27 21:27 - 000013919 _____ C:\Users\SPB-Manager1\AppData\LocalLow\how_to_decrypt.hta
  2021-03-27 21:27 - 2021-03-27 21:27 - 000013919 _____ C:\Users\SPB-Manager1\AppData\Local\Temp\how_to_decrypt.hta
  2021-03-27 21:27 - 2021-03-27 21:27 - 000013919 _____ C:\Users\SPB-Manager1\AppData\how_to_decrypt.hta
  2021-03-27 21:27 - 2021-03-27 21:27 - 000013919 _____ C:\Users\sclad\how_to_decrypt.hta
  2021-03-27 21:26 - 2021-03-27 21:26 - 000013919 _____ C:\Users\sclad\Downloads\how_to_decrypt.hta
  2021-03-27 21:26 - 2021-03-27 21:26 - 000013919 _____ C:\Users\sclad\Documents\how_to_decrypt.hta
  2021-03-27 21:26 - 2021-03-27 21:26 - 000013919 _____ C:\Users\sclad\Desktop\how_to_decrypt.hta
  2021-03-27 21:26 - 2021-03-27 21:26 - 000013919 _____ C:\Users\sclad\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-03-27 21:26 - 2021-03-27 21:26 - 000013919 _____ C:\Users\sclad\AppData\Roaming\how_to_decrypt.hta
  2021-03-27 21:26 - 2021-03-27 21:26 - 000013919 _____ C:\Users\sclad\AppData\LocalLow\how_to_decrypt.hta
  2021-03-27 21:26 - 2021-03-27 21:26 - 000013919 _____ C:\Users\sclad\AppData\Local\Temp\how_to_decrypt.hta
  2021-03-27 21:26 - 2021-03-27 21:26 - 000013919 _____ C:\Users\sclad\AppData\how_to_decrypt.hta
  2021-03-27 21:26 - 2021-03-27 21:26 - 000013919 _____ C:\Users\ReportServer\how_to_decrypt.hta
  2021-03-27 21:26 - 2021-03-27 21:26 - 000013919 _____ C:\Users\ReportServer\Downloads\how_to_decrypt.hta
  2021-03-27 21:26 - 2021-03-27 21:26 - 000013919 _____ C:\Users\ReportServer\Documents\how_to_decrypt.hta
  2021-03-27 21:26 - 2021-03-27 21:26 - 000013919 _____ C:\Users\ReportServer\Desktop\how_to_decrypt.hta
  2021-03-27 21:26 - 2021-03-27 21:26 - 000013919 _____ C:\Users\ReportServer\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-03-27 21:26 - 2021-03-27 21:26 - 000013919 _____ C:\Users\ReportServer\AppData\Roaming\how_to_decrypt.hta
  2021-03-27 21:26 - 2021-03-27 21:26 - 000013919 _____ C:\Users\ReportServer\AppData\LocalLow\how_to_decrypt.hta
  2021-03-27 21:26 - 2021-03-27 21:26 - 000013919 _____ C:\Users\ReportServer\AppData\Local\Temp\how_to_decrypt.hta
  2021-03-27 21:26 - 2021-03-27 21:26 - 000013919 _____ C:\Users\ReportServer\AppData\how_to_decrypt.hta
  2021-03-27 21:26 - 2021-03-27 21:26 - 000013919 _____ C:\Users\MSSQLServerOLAPService\how_to_decrypt.hta
  2021-03-27 21:26 - 2021-03-27 21:26 - 000013919 _____ C:\Users\MSSQLServerOLAPService\Downloads\how_to_decrypt.hta
  2021-03-27 21:26 - 2021-03-27 21:26 - 000013919 _____ C:\Users\MSSQLServerOLAPService\Documents\how_to_decrypt.hta
  2021-03-27 21:26 - 2021-03-27 21:26 - 000013919 _____ C:\Users\MSSQLServerOLAPService\Desktop\how_to_decrypt.hta
  2021-03-27 21:26 - 2021-03-27 21:26 - 000013919 _____ C:\Users\MSSQLServerOLAPService\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-03-27 21:26 - 2021-03-27 21:26 - 000013919 _____ C:\Users\MSSQLServerOLAPService\AppData\Roaming\how_to_decrypt.hta
  2021-03-27 21:26 - 2021-03-27 21:26 - 000013919 _____ C:\Users\MSSQLServerOLAPService\AppData\LocalLow\how_to_decrypt.hta
  2021-03-27 21:26 - 2021-03-27 21:26 - 000013919 _____ C:\Users\MSSQLServerOLAPService\AppData\Local\Temp\how_to_decrypt.hta
  2021-03-27 21:26 - 2021-03-27 21:26 - 000013919 _____ C:\Users\MSSQLServerOLAPService\AppData\how_to_decrypt.hta
  2021-03-27 21:26 - 2021-03-27 21:26 - 000013919 _____ C:\Users\MSSQLSERVER\how_to_decrypt.hta
  2021-03-27 21:25 - 2021-03-27 21:25 - 000013919 _____ C:\Users\MSSQLSERVER\Downloads\how_to_decrypt.hta
  2021-03-27 21:25 - 2021-03-27 21:25 - 000013919 _____ C:\Users\MSSQLSERVER\Documents\how_to_decrypt.hta
  2021-03-27 21:25 - 2021-03-27 21:25 - 000013919 _____ C:\Users\MSSQLSERVER\Desktop\how_to_decrypt.hta
  2021-03-27 21:25 - 2021-03-27 21:25 - 000013919 _____ C:\Users\MSSQLSERVER\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-03-27 21:25 - 2021-03-27 21:25 - 000013919 _____ C:\Users\MSSQLSERVER\AppData\Roaming\how_to_decrypt.hta
  2021-03-27 21:25 - 2021-03-27 21:25 - 000013919 _____ C:\Users\MSSQLSERVER\AppData\LocalLow\how_to_decrypt.hta
  2021-03-27 21:25 - 2021-03-27 21:25 - 000013919 _____ C:\Users\MSSQLSERVER\AppData\Local\Temp\how_to_decrypt.hta
  2021-03-27 21:25 - 2021-03-27 21:25 - 000013919 _____ C:\Users\MSSQLSERVER\AppData\how_to_decrypt.hta
  2021-03-27 21:25 - 2021-03-27 21:25 - 000013919 _____ C:\Users\MSSQLFDLauncher\how_to_decrypt.hta
  2021-03-27 21:25 - 2021-03-27 21:25 - 000013919 _____ C:\Users\MSSQLFDLauncher\Downloads\how_to_decrypt.hta
  2021-03-27 21:25 - 2021-03-27 21:25 - 000013919 _____ C:\Users\MSSQLFDLauncher\Documents\how_to_decrypt.hta
  2021-03-27 21:25 - 2021-03-27 21:25 - 000013919 _____ C:\Users\MSSQLFDLauncher\Desktop\how_to_decrypt.hta
  2021-03-27 21:25 - 2021-03-27 21:25 - 000013919 _____ C:\Users\MSSQLFDLauncher\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-03-27 21:25 - 2021-03-27 21:25 - 000013919 _____ C:\Users\MSSQLFDLauncher\AppData\Roaming\how_to_decrypt.hta
  2021-03-27 21:25 - 2021-03-27 21:25 - 000013919 _____ C:\Users\MSSQLFDLauncher\AppData\LocalLow\how_to_decrypt.hta
  2021-03-27 21:25 - 2021-03-27 21:25 - 000013919 _____ C:\Users\MSSQLFDLauncher\AppData\Local\Temp\how_to_decrypt.hta
  2021-03-27 21:25 - 2021-03-27 21:25 - 000013919 _____ C:\Users\MSSQLFDLauncher\AppData\how_to_decrypt.hta
  2021-03-27 21:25 - 2021-03-27 21:25 - 000013919 _____ C:\Users\Manager9\how_to_decrypt.hta
  2021-03-27 21:25 - 2021-03-27 21:25 - 000013919 _____ C:\Users\Manager9\Downloads\how_to_decrypt.hta
  2021-03-27 21:25 - 2021-03-27 21:25 - 000013919 _____ C:\Users\Manager9\Documents\how_to_decrypt.hta
  2021-03-27 21:25 - 2021-03-27 21:25 - 000013919 _____ C:\Users\Manager9\Desktop\how_to_decrypt.hta
  2021-03-27 21:25 - 2021-03-27 21:25 - 000013919 _____ C:\Users\Manager9\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-03-27 21:25 - 2021-03-27 21:25 - 000013919 _____ C:\Users\Manager9\AppData\Roaming\how_to_decrypt.hta
  2021-03-27 21:25 - 2021-03-27 21:25 - 000013919 _____ C:\Users\Manager9\AppData\LocalLow\how_to_decrypt.hta
  2021-03-27 21:25 - 2021-03-27 21:25 - 000013919 _____ C:\Users\Manager9\AppData\Local\Temp\how_to_decrypt.hta
  2021-03-27 21:25 - 2021-03-27 21:25 - 000013919 _____ C:\Users\Manager9\AppData\how_to_decrypt.hta
  2021-03-27 21:25 - 2021-03-27 21:25 - 000013919 _____ C:\Users\Manager8\how_to_decrypt.hta
  2021-03-27 21:25 - 2021-03-27 21:25 - 000013919 _____ C:\Users\Manager8\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-03-27 21:24 - 2021-03-27 21:24 - 000013919 _____ C:\Users\Manager8\Downloads\how_to_decrypt.hta
  2021-03-27 21:24 - 2021-03-27 21:24 - 000013919 _____ C:\Users\Manager8\Documents\how_to_decrypt.hta
  2021-03-27 21:24 - 2021-03-27 21:24 - 000013919 _____ C:\Users\Manager8\Desktop\how_to_decrypt.hta
  2021-03-27 21:24 - 2021-03-27 21:24 - 000013919 _____ C:\Users\Manager8\AppData\Roaming\how_to_decrypt.hta
  2021-03-27 21:24 - 2021-03-27 21:24 - 000013919 _____ C:\Users\Manager8\AppData\LocalLow\how_to_decrypt.hta
  2021-03-27 21:24 - 2021-03-27 21:24 - 000013919 _____ C:\Users\Manager8\AppData\Local\Temp\how_to_decrypt.hta
  2021-03-27 21:24 - 2021-03-27 21:24 - 000013919 _____ C:\Users\Manager8\AppData\how_to_decrypt.hta
  2021-03-27 21:24 - 2021-03-27 21:24 - 000013919 _____ C:\Users\Manager6\how_to_decrypt.hta
  2021-03-27 21:24 - 2021-03-27 21:24 - 000013919 _____ C:\Users\Manager6\Downloads\how_to_decrypt.hta
  2021-03-27 21:24 - 2021-03-27 21:24 - 000013919 _____ C:\Users\Manager6\Documents\how_to_decrypt.hta
  2021-03-27 21:24 - 2021-03-27 21:24 - 000013919 _____ C:\Users\Manager6\Desktop\how_to_decrypt.hta
  2021-03-27 21:24 - 2021-03-27 21:24 - 000013919 _____ C:\Users\Manager6\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-03-27 21:24 - 2021-03-27 21:24 - 000013919 _____ C:\Users\Manager6\AppData\Roaming\how_to_decrypt.hta
  2021-03-27 21:24 - 2021-03-27 21:24 - 000013919 _____ C:\Users\Manager6\AppData\LocalLow\how_to_decrypt.hta
  2021-03-27 21:24 - 2021-03-27 21:24 - 000013919 _____ C:\Users\Manager6\AppData\Local\Temp\how_to_decrypt.hta
  2021-03-27 21:24 - 2021-03-27 21:24 - 000013919 _____ C:\Users\Manager6\AppData\how_to_decrypt.hta
  2021-03-27 21:24 - 2021-03-27 21:24 - 000013919 _____ C:\Users\Manager5\how_to_decrypt.hta
  2021-03-27 21:24 - 2021-03-27 21:24 - 000013919 _____ C:\Users\Manager5\Downloads\how_to_decrypt.hta
  2021-03-27 21:24 - 2021-03-27 21:24 - 000013919 _____ C:\Users\Manager5\Documents\how_to_decrypt.hta
  2021-03-27 21:24 - 2021-03-27 21:24 - 000013919 _____ C:\Users\Manager5\Desktop\how_to_decrypt.hta
  2021-03-27 21:24 - 2021-03-27 21:24 - 000013919 _____ C:\Users\Manager5\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-03-27 21:24 - 2021-03-27 21:24 - 000013919 _____ C:\Users\Manager5\AppData\Roaming\how_to_decrypt.hta
  2021-03-27 21:24 - 2021-03-27 21:24 - 000013919 _____ C:\Users\Manager5\AppData\LocalLow\how_to_decrypt.hta
  2021-03-27 21:24 - 2021-03-27 21:24 - 000013919 _____ C:\Users\Manager5\AppData\Local\Temp\how_to_decrypt.hta
  2021-03-27 21:24 - 2021-03-27 21:24 - 000013919 _____ C:\Users\Manager5\AppData\how_to_decrypt.hta
  2021-03-27 21:24 - 2021-03-27 21:24 - 000013919 _____ C:\Users\Manager4\how_to_decrypt.hta
  2021-03-27 21:24 - 2021-03-27 21:24 - 000013919 _____ C:\Users\Manager4\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-03-27 21:23 - 2021-03-27 21:23 - 000013919 _____ C:\Users\Manager4\Downloads\how_to_decrypt.hta
  2021-03-27 21:23 - 2021-03-27 21:23 - 000013919 _____ C:\Users\Manager4\Documents\how_to_decrypt.hta
  2021-03-27 21:23 - 2021-03-27 21:23 - 000013919 _____ C:\Users\Manager4\Desktop\how_to_decrypt.hta
  2021-03-27 21:23 - 2021-03-27 21:23 - 000013919 _____ C:\Users\Manager4\AppData\Roaming\how_to_decrypt.hta
  2021-03-27 21:23 - 2021-03-27 21:23 - 000013919 _____ C:\Users\Manager4\AppData\LocalLow\how_to_decrypt.hta
  2021-03-27 21:23 - 2021-03-27 21:23 - 000013919 _____ C:\Users\Manager4\AppData\Local\Temp\how_to_decrypt.hta
  2021-03-27 21:23 - 2021-03-27 21:23 - 000013919 _____ C:\Users\Manager4\AppData\how_to_decrypt.hta
  2021-03-27 21:23 - 2021-03-27 21:23 - 000013919 _____ C:\Users\Manager3\how_to_decrypt.hta
  2021-03-27 21:23 - 2021-03-27 21:23 - 000013919 _____ C:\Users\Manager3\Downloads\how_to_decrypt.hta
  2021-03-27 21:23 - 2021-03-27 21:23 - 000013919 _____ C:\Users\Manager3\Documents\how_to_decrypt.hta
  2021-03-27 21:23 - 2021-03-27 21:23 - 000013919 _____ C:\Users\Manager3\Desktop\how_to_decrypt.hta
  2021-03-27 21:23 - 2021-03-27 21:23 - 000013919 _____ C:\Users\Manager3\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-03-27 21:23 - 2021-03-27 21:23 - 000013919 _____ C:\Users\Manager3\AppData\Roaming\how_to_decrypt.hta
  2021-03-27 21:23 - 2021-03-27 21:23 - 000013919 _____ C:\Users\Manager3\AppData\LocalLow\how_to_decrypt.hta
  2021-03-27 21:23 - 2021-03-27 21:23 - 000013919 _____ C:\Users\Manager3\AppData\Local\Temp\how_to_decrypt.hta
  2021-03-27 21:23 - 2021-03-27 21:23 - 000013919 _____ C:\Users\Manager3\AppData\how_to_decrypt.hta
  2021-03-27 21:23 - 2021-03-27 21:23 - 000013919 _____ C:\Users\Manager2\how_to_decrypt.hta
  2021-03-27 21:23 - 2021-03-27 21:23 - 000013919 _____ C:\Users\Manager2\Downloads\how_to_decrypt.hta
  2021-03-27 21:23 - 2021-03-27 21:23 - 000013919 _____ C:\Users\Manager2\Documents\how_to_decrypt.hta
  2021-03-27 21:23 - 2021-03-27 21:23 - 000013919 _____ C:\Users\Manager2\Desktop\how_to_decrypt.hta
  2021-03-27 21:23 - 2021-03-27 21:23 - 000013919 _____ C:\Users\Manager2\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-03-27 21:23 - 2021-03-27 21:23 - 000013919 _____ C:\Users\Manager2\AppData\Roaming\how_to_decrypt.hta
  2021-03-27 21:23 - 2021-03-27 21:23 - 000013919 _____ C:\Users\Manager2\AppData\LocalLow\how_to_decrypt.hta
  2021-03-27 21:23 - 2021-03-27 21:23 - 000013919 _____ C:\Users\Manager2\AppData\Local\Temp\how_to_decrypt.hta
  2021-03-27 21:23 - 2021-03-27 21:23 - 000013919 _____ C:\Users\Manager2\AppData\how_to_decrypt.hta
  2021-03-27 21:23 - 2021-03-27 21:23 - 000013919 _____ C:\Users\manager13\how_to_decrypt.hta
  2021-03-27 21:23 - 2021-03-27 21:23 - 000013919 _____ C:\Users\manager13\Downloads\how_to_decrypt.hta
  2021-03-27 21:23 - 2021-03-27 21:23 - 000013919 _____ C:\Users\manager13\Documents\how_to_decrypt.hta
  2021-03-27 21:23 - 2021-03-27 21:23 - 000013919 _____ C:\Users\manager13\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-03-27 21:22 - 2021-03-27 21:22 - 000013919 _____ C:\Users\manager13\Desktop\how_to_decrypt.hta
  2021-03-27 21:22 - 2021-03-27 21:22 - 000013919 _____ C:\Users\manager13\AppData\Roaming\how_to_decrypt.hta
  2021-03-27 21:22 - 2021-03-27 21:22 - 000013919 _____ C:\Users\manager13\AppData\LocalLow\how_to_decrypt.hta
  2021-03-27 21:22 - 2021-03-27 21:22 - 000013919 _____ C:\Users\manager13\AppData\Local\Temp\how_to_decrypt.hta
  2021-03-27 21:22 - 2021-03-27 21:22 - 000013919 _____ C:\Users\manager13\AppData\how_to_decrypt.hta
  2021-03-27 21:22 - 2021-03-27 21:22 - 000013919 _____ C:\Users\Manager12\how_to_decrypt.hta
  2021-03-27 21:22 - 2021-03-27 21:22 - 000013919 _____ C:\Users\Manager12\Downloads\how_to_decrypt.hta
  2021-03-27 21:22 - 2021-03-27 21:22 - 000013919 _____ C:\Users\Manager12\Documents\how_to_decrypt.hta
  2021-03-27 21:22 - 2021-03-27 21:22 - 000013919 _____ C:\Users\Manager12\Desktop\how_to_decrypt.hta
  2021-03-27 21:22 - 2021-03-27 21:22 - 000013919 _____ C:\Users\Manager12\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-03-27 21:22 - 2021-03-27 21:22 - 000013919 _____ C:\Users\Manager12\AppData\Roaming\how_to_decrypt.hta
  2021-03-27 21:22 - 2021-03-27 21:22 - 000013919 _____ C:\Users\Manager12\AppData\LocalLow\how_to_decrypt.hta
  2021-03-27 21:22 - 2021-03-27 21:22 - 000013919 _____ C:\Users\Manager12\AppData\Local\Temp\how_to_decrypt.hta
  2021-03-27 21:22 - 2021-03-27 21:22 - 000013919 _____ C:\Users\Manager12\AppData\how_to_decrypt.hta
  2021-03-27 21:22 - 2021-03-27 21:22 - 000013919 _____ C:\Users\Manager11\how_to_decrypt.hta
  2021-03-27 21:22 - 2021-03-27 21:22 - 000013919 _____ C:\Users\Manager11\Downloads\how_to_decrypt.hta
  2021-03-27 21:22 - 2021-03-27 21:22 - 000013919 _____ C:\Users\Manager11\Documents\how_to_decrypt.hta
  2021-03-27 21:22 - 2021-03-27 21:22 - 000013919 _____ C:\Users\Manager11\Desktop\how_to_decrypt.hta
  2021-03-27 21:22 - 2021-03-27 21:22 - 000013919 _____ C:\Users\Manager11\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-03-27 21:22 - 2021-03-27 21:22 - 000013919 _____ C:\Users\Manager11\AppData\Roaming\how_to_decrypt.hta
  2021-03-27 21:22 - 2021-03-27 21:22 - 000013919 _____ C:\Users\Manager11\AppData\LocalLow\how_to_decrypt.hta
  2021-03-27 21:22 - 2021-03-27 21:22 - 000013919 _____ C:\Users\Manager11\AppData\Local\Temp\how_to_decrypt.hta
  2021-03-27 21:22 - 2021-03-27 21:22 - 000013919 _____ C:\Users\Manager11\AppData\how_to_decrypt.hta
  2021-03-27 21:22 - 2021-03-27 21:22 - 000013919 _____ C:\Users\Manager10\how_to_decrypt.hta
  2021-03-27 21:22 - 2021-03-27 21:22 - 000013919 _____ C:\Users\Manager10\Downloads\how_to_decrypt.hta
  2021-03-27 21:22 - 2021-03-27 21:22 - 000013919 _____ C:\Users\Manager10\Documents\how_to_decrypt.hta
  2021-03-27 21:22 - 2021-03-27 21:22 - 000013919 _____ C:\Users\Manager10\Desktop\how_to_decrypt.hta
  2021-03-27 21:22 - 2021-03-27 21:22 - 000013919 _____ C:\Users\Manager10\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-03-27 21:21 - 2021-03-27 21:21 - 000013919 _____ C:\Users\manager-izoflex\how_to_decrypt.hta
  2021-03-27 21:21 - 2021-03-27 21:21 - 000013919 _____ C:\Users\manager-izoflex\Downloads\how_to_decrypt.hta
  2021-03-27 21:21 - 2021-03-27 21:21 - 000013919 _____ C:\Users\manager-izoflex\Documents\how_to_decrypt.hta
  2021-03-27 21:21 - 2021-03-27 21:21 - 000013919 _____ C:\Users\manager-izoflex\Desktop\how_to_decrypt.hta
  2021-03-27 21:21 - 2021-03-27 21:21 - 000013919 _____ C:\Users\manager-izoflex\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-03-27 21:21 - 2021-03-27 21:21 - 000013919 _____ C:\Users\manager-izoflex\AppData\Roaming\how_to_decrypt.hta
  2021-03-27 21:21 - 2021-03-27 21:21 - 000013919 _____ C:\Users\manager-izoflex\AppData\LocalLow\how_to_decrypt.hta
  2021-03-27 21:21 - 2021-03-27 21:21 - 000013919 _____ C:\Users\manager-izoflex\AppData\Local\Temp\how_to_decrypt.hta
  2021-03-27 21:21 - 2021-03-27 21:21 - 000013919 _____ C:\Users\manager-izoflex\AppData\how_to_decrypt.hta
  2021-03-27 21:21 - 2021-03-27 21:21 - 000013919 _____ C:\Users\Manager10\AppData\Roaming\how_to_decrypt.hta
  2021-03-27 21:21 - 2021-03-27 21:21 - 000013919 _____ C:\Users\Manager10\AppData\LocalLow\how_to_decrypt.hta
  2021-03-27 21:21 - 2021-03-27 21:21 - 000013919 _____ C:\Users\Manager10\AppData\Local\Temp\how_to_decrypt.hta
  2021-03-27 21:21 - 2021-03-27 21:21 - 000013919 _____ C:\Users\Manager10\AppData\how_to_decrypt.hta
  2021-03-27 21:21 - 2021-03-27 21:21 - 000013919 _____ C:\Users\Manager1\how_to_decrypt.hta
  2021-03-27 21:21 - 2021-03-27 21:21 - 000013919 _____ C:\Users\Manager1\Downloads\how_to_decrypt.hta
  2021-03-27 21:21 - 2021-03-27 21:21 - 000013919 _____ C:\Users\Manager1\Documents\how_to_decrypt.hta
  2021-03-27 21:21 - 2021-03-27 21:21 - 000013919 _____ C:\Users\Manager1\Desktop\how_to_decrypt.hta
  2021-03-27 21:21 - 2021-03-27 21:21 - 000013919 _____ C:\Users\Manager1\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-03-27 21:21 - 2021-03-27 21:21 - 000013919 _____ C:\Users\Manager1\AppData\Roaming\how_to_decrypt.hta
  2021-03-27 21:21 - 2021-03-27 21:21 - 000013919 _____ C:\Users\Manager1\AppData\LocalLow\how_to_decrypt.hta
  2021-03-27 21:21 - 2021-03-27 21:21 - 000013919 _____ C:\Users\Manager1\AppData\Local\Temp\how_to_decrypt.hta
  2021-03-27 21:21 - 2021-03-27 21:21 - 000013919 _____ C:\Users\Manager1\AppData\how_to_decrypt.hta
  2021-03-27 21:21 - 2021-03-27 21:21 - 000013919 _____ C:\Users\IS-Manager4\how_to_decrypt.hta
  2021-03-27 21:21 - 2021-03-27 21:21 - 000013919 _____ C:\Users\IS-Manager4\Downloads\how_to_decrypt.hta
  2021-03-27 21:21 - 2021-03-27 21:21 - 000013919 _____ C:\Users\IS-Manager4\Documents\how_to_decrypt.hta
  2021-03-27 21:21 - 2021-03-27 21:21 - 000013919 _____ C:\Users\IS-Manager4\Desktop\how_to_decrypt.hta
  2021-03-27 21:21 - 2021-03-27 21:21 - 000013919 _____ C:\Users\IS-Manager4\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-03-27 21:21 - 2021-03-27 21:21 - 000013919 _____ C:\Users\IS-Manager4\AppData\Roaming\how_to_decrypt.hta
  2021-03-27 21:21 - 2021-03-27 21:21 - 000013919 _____ C:\Users\IS-Manager4\AppData\LocalLow\how_to_decrypt.hta
  2021-03-27 21:21 - 2021-03-27 21:21 - 000013919 _____ C:\Users\IS-Manager4\AppData\Local\Temp\how_to_decrypt.hta
  2021-03-27 21:21 - 2021-03-27 21:21 - 000013919 _____ C:\Users\IS-Manager4\AppData\how_to_decrypt.hta
  2021-03-27 21:20 - 2021-03-27 21:20 - 000013919 _____ C:\Users\IS-Manager1\how_to_decrypt.hta
  2021-03-27 21:20 - 2021-03-27 21:20 - 000013919 _____ C:\Users\IS-Manager1\Downloads\how_to_decrypt.hta
  2021-03-27 21:20 - 2021-03-27 21:20 - 000013919 _____ C:\Users\IS-Manager1\Documents\how_to_decrypt.hta
  2021-03-27 21:20 - 2021-03-27 21:20 - 000013919 _____ C:\Users\IS-Manager1\Desktop\how_to_decrypt.hta
  2021-03-27 21:20 - 2021-03-27 21:20 - 000013919 _____ C:\Users\IS-Manager1\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-03-27 21:20 - 2021-03-27 21:20 - 000013919 _____ C:\Users\IS-Manager1\AppData\Roaming\how_to_decrypt.hta
  2021-03-27 21:20 - 2021-03-27 21:20 - 000013919 _____ C:\Users\IS-Manager1\AppData\LocalLow\how_to_decrypt.hta
  2021-03-27 21:20 - 2021-03-27 21:20 - 000013919 _____ C:\Users\IS-Manager1\AppData\Local\Temp\how_to_decrypt.hta
  2021-03-27 21:20 - 2021-03-27 21:20 - 000013919 _____ C:\Users\IS-Manager1\AppData\how_to_decrypt.hta
  2021-03-27 21:20 - 2021-03-27 21:20 - 000013919 _____ C:\Users\is-buh\how_to_decrypt.hta
  2021-03-27 21:20 - 2021-03-27 21:20 - 000013919 _____ C:\Users\is-buh\Downloads\how_to_decrypt.hta
  2021-03-27 21:20 - 2021-03-27 21:20 - 000013919 _____ C:\Users\is-buh\Documents\how_to_decrypt.hta
  2021-03-27 21:20 - 2021-03-27 21:20 - 000013919 _____ C:\Users\is-buh\Desktop\how_to_decrypt.hta
  2021-03-27 21:20 - 2021-03-27 21:20 - 000013919 _____ C:\Users\is-buh\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-03-27 21:20 - 2021-03-27 21:20 - 000013919 _____ C:\Users\is-buh\AppData\Roaming\how_to_decrypt.hta
  2021-03-27 21:20 - 2021-03-27 21:20 - 000013919 _____ C:\Users\is-buh\AppData\LocalLow\how_to_decrypt.hta
  2021-03-27 21:20 - 2021-03-27 21:20 - 000013919 _____ C:\Users\is-buh\AppData\Local\Temp\how_to_decrypt.hta
  2021-03-27 21:20 - 2021-03-27 21:20 - 000013919 _____ C:\Users\is-buh\AppData\how_to_decrypt.hta
  2021-03-27 21:20 - 2021-03-27 21:20 - 000013919 _____ C:\Users\igun\how_to_decrypt.hta
  2021-03-27 21:20 - 2021-03-27 21:20 - 000013919 _____ C:\Users\igun\Downloads\how_to_decrypt.hta
  2021-03-27 21:20 - 2021-03-27 21:20 - 000013919 _____ C:\Users\igun\Documents\how_to_decrypt.hta
  2021-03-27 21:20 - 2021-03-27 21:20 - 000013919 _____ C:\Users\igun\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-03-27 21:19 - 2021-03-27 21:19 - 000013919 _____ C:\Users\igun\Desktop\how_to_decrypt.hta
  2021-03-27 21:19 - 2021-03-27 21:19 - 000013919 _____ C:\Users\igun\AppData\Roaming\how_to_decrypt.hta
  2021-03-27 21:19 - 2021-03-27 21:19 - 000013919 _____ C:\Users\igun\AppData\LocalLow\how_to_decrypt.hta
  2021-03-27 21:19 - 2021-03-27 21:19 - 000013919 _____ C:\Users\igun\AppData\Local\Temp\how_to_decrypt.hta
  2021-03-27 21:19 - 2021-03-27 21:19 - 000013919 _____ C:\Users\igun\AppData\how_to_decrypt.hta
  2021-03-27 21:19 - 2021-03-27 21:19 - 000013919 _____ C:\Users\GP1\how_to_decrypt.hta
  2021-03-27 21:19 - 2021-03-27 21:19 - 000013919 _____ C:\Users\GP1\Downloads\how_to_decrypt.hta
  2021-03-27 21:19 - 2021-03-27 21:19 - 000013919 _____ C:\Users\GP1\Documents\how_to_decrypt.hta
  2021-03-27 21:19 - 2021-03-27 21:19 - 000013919 _____ C:\Users\GP1\Desktop\how_to_decrypt.hta
  2021-03-27 21:19 - 2021-03-27 21:19 - 000013919 _____ C:\Users\GP1\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-03-27 21:19 - 2021-03-27 21:19 - 000013919 _____ C:\Users\GP1\AppData\Roaming\how_to_decrypt.hta
  2021-03-27 21:19 - 2021-03-27 21:19 - 000013919 _____ C:\Users\GP1\AppData\LocalLow\how_to_decrypt.hta
  2021-03-27 21:19 - 2021-03-27 21:19 - 000013919 _____ C:\Users\GP1\AppData\Local\Temp\how_to_decrypt.hta
  2021-03-27 21:19 - 2021-03-27 21:19 - 000013919 _____ C:\Users\GP1\AppData\how_to_decrypt.hta
  2021-03-27 21:19 - 2021-03-27 21:19 - 000013919 _____ C:\Users\GLBUH\how_to_decrypt.hta
  2021-03-27 21:19 - 2021-03-27 21:19 - 000013919 _____ C:\Users\GLBUH\Downloads\how_to_decrypt.hta
  2021-03-27 21:19 - 2021-03-27 21:19 - 000013919 _____ C:\Users\GLBUH\Documents\how_to_decrypt.hta
  2021-03-27 21:19 - 2021-03-27 21:19 - 000013919 _____ C:\Users\GLBUH\Desktop\how_to_decrypt.hta
  2021-03-27 21:19 - 2021-03-27 21:19 - 000013919 _____ C:\Users\GLBUH\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-03-27 21:19 - 2021-03-27 21:19 - 000013919 _____ C:\Users\GLBUH\AppData\Roaming\how_to_decrypt.hta
  2021-03-27 21:19 - 2021-03-27 21:19 - 000013919 _____ C:\Users\GLBUH\AppData\LocalLow\how_to_decrypt.hta
  2021-03-27 21:19 - 2021-03-27 21:19 - 000013919 _____ C:\Users\GLBUH\AppData\Local\Temp\how_to_decrypt.hta
  2021-03-27 21:19 - 2021-03-27 21:19 - 000013919 _____ C:\Users\GLBUH\AppData\how_to_decrypt.hta
  2021-03-27 21:19 - 2021-03-27 21:19 - 000013919 _____ C:\Users\DIRECTOR\how_to_decrypt.hta
  2021-03-27 21:19 - 2021-03-27 21:19 - 000013919 _____ C:\Users\DIRECTOR\Downloads\how_to_decrypt.hta
  2021-03-27 21:19 - 2021-03-27 21:19 - 000013919 _____ C:\Users\DIRECTOR\Documents\how_to_decrypt.hta
  2021-03-27 21:19 - 2021-03-27 21:19 - 000013919 _____ C:\Users\DIRECTOR\Desktop\how_to_decrypt.hta
  2021-03-27 21:19 - 2021-03-27 21:19 - 000013919 _____ C:\Users\DIRECTOR\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-03-27 21:19 - 2021-03-27 21:19 - 000013919 _____ C:\Users\DIRECTOR\AppData\Roaming\how_to_decrypt.hta
  2021-03-27 21:19 - 2021-03-27 21:19 - 000013919 _____ C:\Users\DIRECTOR\AppData\LocalLow\how_to_decrypt.hta
  2021-03-27 21:19 - 2021-03-27 21:19 - 000013919 _____ C:\Users\DIRECTOR\AppData\Local\Temp\how_to_decrypt.hta
  2021-03-27 21:19 - 2021-03-27 21:19 - 000013919 _____ C:\Users\DIRECTOR\AppData\how_to_decrypt.hta
  2021-03-27 21:18 - 2021-03-27 21:18 - 000013919 _____ C:\Users\Default\how_to_decrypt.hta
  2021-03-27 21:18 - 2021-03-27 21:18 - 000013919 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
  2021-03-27 21:18 - 2021-03-27 21:18 - 000013919 _____ C:\Users\Default\Documents\how_to_decrypt.hta
  2021-03-27 21:18 - 2021-03-27 21:18 - 000013919 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
  2021-03-27 21:18 - 2021-03-27 21:18 - 000013919 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-03-27 21:18 - 2021-03-27 21:18 - 000013919 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
  2021-03-27 21:18 - 2021-03-27 21:18 - 000013919 _____ C:\Users\Default\AppData\Local\Temp\how_to_decrypt.hta
  2021-03-27 21:18 - 2021-03-27 21:18 - 000013919 _____ C:\Users\Default\AppData\how_to_decrypt.hta
  2021-03-27 21:18 - 2021-03-27 21:18 - 000013919 _____ C:\Users\Classic .NET AppPool\how_to_decrypt.hta
  2021-03-27 21:18 - 2021-03-27 21:18 - 000013919 _____ C:\Users\Classic .NET AppPool\Downloads\how_to_decrypt.hta
  2021-03-27 21:18 - 2021-03-27 21:18 - 000013919 _____ C:\Users\Classic .NET AppPool\Documents\how_to_decrypt.hta
  2021-03-27 21:18 - 2021-03-27 21:18 - 000013919 _____ C:\Users\Classic .NET AppPool\Desktop\how_to_decrypt.hta
  2021-03-27 21:18 - 2021-03-27 21:18 - 000013919 _____ C:\Users\Classic .NET AppPool\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-03-27 21:18 - 2021-03-27 21:18 - 000013919 _____ C:\Users\Classic .NET AppPool\AppData\Roaming\how_to_decrypt.hta
  2021-03-27 21:18 - 2021-03-27 21:18 - 000013919 _____ C:\Users\Classic .NET AppPool\AppData\LocalLow\how_to_decrypt.hta
  2021-03-27 21:18 - 2021-03-27 21:18 - 000013919 _____ C:\Users\Classic .NET AppPool\AppData\Local\Temp\how_to_decrypt.hta
  2021-03-27 21:18 - 2021-03-27 21:18 - 000013919 _____ C:\Users\Classic .NET AppPool\AppData\how_to_decrypt.hta
  2021-03-27 21:18 - 2021-03-27 21:18 - 000013919 _____ C:\Users\Cash\how_to_decrypt.hta
  2021-03-27 21:18 - 2021-03-27 21:18 - 000013919 _____ C:\Users\Cash\Downloads\how_to_decrypt.hta
  2021-03-27 21:18 - 2021-03-27 21:18 - 000013919 _____ C:\Users\Cash\Documents\how_to_decrypt.hta
  2021-03-27 21:18 - 2021-03-27 21:18 - 000013919 _____ C:\Users\Cash\Desktop\how_to_decrypt.hta
  2021-03-27 21:18 - 2021-03-27 21:18 - 000013919 _____ C:\Users\Cash\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-03-27 21:18 - 2021-03-27 21:18 - 000013919 _____ C:\Users\Cash\AppData\Roaming\how_to_decrypt.hta
  2021-03-27 21:18 - 2021-03-27 21:18 - 000013919 _____ C:\Users\Cash\AppData\LocalLow\how_to_decrypt.hta
  2021-03-27 21:18 - 2021-03-27 21:18 - 000013919 _____ C:\Users\Cash\AppData\how_to_decrypt.hta
  2021-03-27 21:17 - 2021-03-27 21:17 - 000013919 _____ C:\Users\Cash\AppData\Local\Temp\how_to_decrypt.hta
  2021-03-27 21:17 - 2021-03-27 21:17 - 000013919 _____ C:\Users\Buh2\how_to_decrypt.hta
  2021-03-27 21:17 - 2021-03-27 21:17 - 000013919 _____ C:\Users\Buh2\Downloads\how_to_decrypt.hta
  2021-03-27 21:17 - 2021-03-27 21:17 - 000013919 _____ C:\Users\Buh2\Documents\how_to_decrypt.hta
  2021-03-27 21:17 - 2021-03-27 21:17 - 000013919 _____ C:\Users\Buh2\Desktop\how_to_decrypt.hta
  2021-03-27 21:17 - 2021-03-27 21:17 - 000013919 _____ C:\Users\Buh2\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-03-27 21:17 - 2021-03-27 21:17 - 000013919 _____ C:\Users\Buh2\AppData\Roaming\how_to_decrypt.hta
  2021-03-27 21:17 - 2021-03-27 21:17 - 000013919 _____ C:\Users\Buh2\AppData\LocalLow\how_to_decrypt.hta
  2021-03-27 21:17 - 2021-03-27 21:17 - 000013919 _____ C:\Users\Buh2\AppData\Local\Temp\how_to_decrypt.hta
  2021-03-27 21:17 - 2021-03-27 21:17 - 000013919 _____ C:\Users\Buh2\AppData\how_to_decrypt.hta
  2021-03-27 21:17 - 2021-03-27 21:17 - 000013919 _____ C:\Users\1c\how_to_decrypt.hta
  2021-03-27 21:17 - 2021-03-27 21:17 - 000013919 _____ C:\Users\1c\Downloads\how_to_decrypt.hta
  2021-03-27 21:17 - 2021-03-27 21:17 - 000013919 _____ C:\Users\1c\Documents\how_to_decrypt.hta
  2021-03-27 21:17 - 2021-03-27 21:17 - 000013919 _____ C:\Users\1c\Desktop\how_to_decrypt.hta
  2021-03-27 21:17 - 2021-03-27 21:17 - 000013919 _____ C:\Users\1c\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-03-27 21:17 - 2021-03-27 21:17 - 000013919 _____ C:\Users\1c\AppData\Roaming\how_to_decrypt.hta
  2021-03-27 21:17 - 2021-03-27 21:17 - 000013919 _____ C:\Users\1c\AppData\LocalLow\how_to_decrypt.hta
  2021-03-27 21:17 - 2021-03-27 21:17 - 000013919 _____ C:\Users\1c\AppData\Local\Temp\how_to_decrypt.hta
  2021-03-27 21:17 - 2021-03-27 21:17 - 000013919 _____ C:\Users\1c\AppData\how_to_decrypt.hta
  2021-03-27 21:17 - 2021-03-27 21:17 - 000013919 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-03-27 21:17 - 2021-03-27 21:17 - 000013919 _____ C:\ProgramData\how_to_decrypt.hta
  2021-03-27 21:17 - 2021-03-27 21:17 - 000013919 _____ C:\ProgramData\Documents\how_to_decrypt.hta
  2021-03-27 21:16 - 2021-03-27 21:16 - 000013919 _____ C:\Users\.NET v4.5\how_to_decrypt.hta
  2021-03-27 21:16 - 2021-03-27 21:16 - 000013919 _____ C:\Users\.NET v4.5\Downloads\how_to_decrypt.hta
  2021-03-27 21:16 - 2021-03-27 21:16 - 000013919 _____ C:\Users\.NET v4.5\Documents\how_to_decrypt.hta
  2021-03-27 21:16 - 2021-03-27 21:16 - 000013919 _____ C:\Users\.NET v4.5\Desktop\how_to_decrypt.hta
  2021-03-27 21:16 - 2021-03-27 21:16 - 000013919 _____ C:\Users\.NET v4.5\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-03-27 21:16 - 2021-03-27 21:16 - 000013919 _____ C:\Users\.NET v4.5\AppData\Roaming\how_to_decrypt.hta
  2021-03-27 21:16 - 2021-03-27 21:16 - 000013919 _____ C:\Users\.NET v4.5\AppData\LocalLow\how_to_decrypt.hta
  2021-03-27 21:16 - 2021-03-27 21:16 - 000013919 _____ C:\Users\.NET v4.5\AppData\Local\Temp\how_to_decrypt.hta
  2021-03-27 21:16 - 2021-03-27 21:16 - 000013919 _____ C:\Users\.NET v4.5\AppData\how_to_decrypt.hta
  2021-03-27 21:16 - 2021-03-27 21:16 - 000013919 _____ C:\Users\.NET v4.5 Classic\how_to_decrypt.hta
  2021-03-27 21:16 - 2021-03-27 21:16 - 000013919 _____ C:\Users\.NET v4.5 Classic\Downloads\how_to_decrypt.hta
  2021-03-27 21:16 - 2021-03-27 21:16 - 000013919 _____ C:\Users\.NET v4.5 Classic\Documents\how_to_decrypt.hta
  2021-03-27 21:16 - 2021-03-27 21:16 - 000013919 _____ C:\Users\.NET v4.5 Classic\Desktop\how_to_decrypt.hta
  2021-03-27 21:16 - 2021-03-27 21:16 - 000013919 _____ C:\Users\.NET v4.5 Classic\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-03-27 21:16 - 2021-03-27 21:16 - 000013919 _____ C:\Users\.NET v4.5 Classic\AppData\Roaming\how_to_decrypt.hta
  2021-03-27 21:16 - 2021-03-27 21:16 - 000013919 _____ C:\Users\.NET v4.5 Classic\AppData\LocalLow\how_to_decrypt.hta
  2021-03-27 21:16 - 2021-03-27 21:16 - 000013919 _____ C:\Users\.NET v4.5 Classic\AppData\Local\Temp\how_to_decrypt.hta
  2021-03-27 21:16 - 2021-03-27 21:16 - 000013919 _____ C:\Users\.NET v4.5 Classic\AppData\how_to_decrypt.hta
  2021-03-27 21:16 - 2021-03-27 21:16 - 000013919 _____ C:\Users\.NET v2.0 Classic\how_to_decrypt.hta
  2021-03-27 21:16 - 2021-03-27 21:16 - 000013919 _____ C:\Users\.NET v2.0 Classic\Downloads\how_to_decrypt.hta
  2021-03-27 21:16 - 2021-03-27 21:16 - 000013919 _____ C:\Users\.NET v2.0 Classic\Documents\how_to_decrypt.hta
  2021-03-27 21:16 - 2021-03-27 21:16 - 000013919 _____ C:\Users\.NET v2.0 Classic\Desktop\how_to_decrypt.hta
  2021-03-27 21:16 - 2021-03-27 21:16 - 000013919 _____ C:\Users\.NET v2.0 Classic\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-03-27 21:16 - 2021-03-27 21:16 - 000013919 _____ C:\Users\.NET v2.0 Classic\AppData\Roaming\how_to_decrypt.hta
  2021-03-27 21:16 - 2021-03-27 21:16 - 000013919 _____ C:\Users\.NET v2.0 Classic\AppData\LocalLow\how_to_decrypt.hta
  2021-03-27 21:16 - 2021-03-27 21:16 - 000013919 _____ C:\Users\.NET v2.0 Classic\AppData\how_to_decrypt.hta
  2021-03-27 21:15 - 2021-03-27 21:15 - 000013919 _____ C:\Users\how_to_decrypt.hta
  2021-03-27 21:15 - 2021-03-27 21:15 - 000013919 _____ C:\Users\.NET v2.0\how_to_decrypt.hta
  2021-03-27 21:15 - 2021-03-27 21:15 - 000013919 _____ C:\Users\.NET v2.0\Downloads\how_to_decrypt.hta
  2021-03-27 21:15 - 2021-03-27 21:15 - 000013919 _____ C:\Users\.NET v2.0\Documents\how_to_decrypt.hta
  2021-03-27 21:15 - 2021-03-27 21:15 - 000013919 _____ C:\Users\.NET v2.0\Desktop\how_to_decrypt.hta
  2021-03-27 21:15 - 2021-03-27 21:15 - 000013919 _____ C:\Users\.NET v2.0\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
  2021-03-27 21:15 - 2021-03-27 21:15 - 000013919 _____ C:\Users\.NET v2.0\AppData\Roaming\how_to_decrypt.hta
  2021-03-27 21:15 - 2021-03-27 21:15 - 000013919 _____ C:\Users\.NET v2.0\AppData\LocalLow\how_to_decrypt.hta
  2021-03-27 21:15 - 2021-03-27 21:15 - 000013919 _____ C:\Users\.NET v2.0\AppData\Local\Temp\how_to_decrypt.hta
  2021-03-27 21:15 - 2021-03-27 21:15 - 000013919 _____ C:\Users\.NET v2.0\AppData\how_to_decrypt.hta
  2021-03-27 21:15 - 2021-03-27 21:15 - 000013919 _____ C:\Users\.NET v2.0 Classic\AppData\Local\Temp\how_to_decrypt.hta
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Перепроверьте разрешения фаервола на порты:

FirewallRules: [{2AD33B7D-1BC1-45B7-8BD4-8F19CD574886}] => (Allow) LPort=475
FirewallRules: [{517AD38D-5ED1-48A9-A823-AE07DC4A1EA8}] => (Allow) LPort=475
FirewallRules: [{D0F2EF4E-C442-49C7-9715-DECEABD19D9F}] => (Allow) LPort=9422
FirewallRules: [{E2D12FD0-6004-4C62-9E5B-9C76A11ABB5C}] => (Allow) LPort=9245
FirewallRules: [{424DDC8B-F2DF-482A-8DBD-CFCB22CAE2EF}] => (Allow) LPort=9246
FirewallRules: [{C1806025-1C82-400C-9B10-798545F5BFBA}] => (Allow) LPort=9247
FirewallRules: [{BCB24CDC-7EA1-4EE3-B3F0-CA069A7FFB00}] => (Allow) LPort=475
FirewallRules: [{95B51DF8-8270-4F3B-82C8-2746C35C162A}] => (Allow) LPort=475
FirewallRules: [{AE5244C9-B21C-4C3F-8B9F-CF70109945E5}] => (Allow) LPort=3389
FirewallRules: [{35E1926A-CDFC-46F1-AA9E-E357CE03BC88}] => (Allow) LPort=9422
FirewallRules: [{BC21D7E9-C83D-4162-9528-7500A71DDA37}] => (Allow) LPort=9245
FirewallRules: [{91D24DE2-4979-4719-8532-08059EF1A6CE}] => (Allow) LPort=9246
FirewallRules: [{2750B039-AFE5-4E7E-A97B-56E7778F072A}] => (Allow) LPort=9247
FirewallRules: [{EAE82DA0-7947-413C-81C2-F88013872909}] => (Allow) LPort=10501
FirewallRules: [{669F13B9-BDAB-40B0-8C31-63CCC1F696B5}] => (Allow) LPort=10502
FirewallRules: [{68F60392-C963-4146-A801-9CE2BDE9E235}] => (Allow) LPort=9000

 

[ditresh_lp]

• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Перепроверьте разрешения фаервола на порты:

Лог-файл прилагаю.

Подскажите пожалуйста, как мне проверить разрешения фаервола на порты, возможно есть ссылка на руководство?

 

[Sandor]

Фикс достаточно было один раз выполнить.

как мне проверить разрешения фаервола

Давайте мы все перечисленные закроем, а при необходимости вы нужное откроете. Как правило, если программе это требуется, появляется запрос.

1. Отключите до перезагрузки антивирус.
2. Выделите следующий код:
   

   Start::
   FirewallRules: [{2AD33B7D-1BC1-45B7-8BD4-8F19CD574886}] => (Allow) LPort=475
   FirewallRules: [{517AD38D-5ED1-48A9-A823-AE07DC4A1EA8}] => (Allow) LPort=475
   FirewallRules: [{D0F2EF4E-C442-49C7-9715-DECEABD19D9F}] => (Allow) LPort=9422
   FirewallRules: [{E2D12FD0-6004-4C62-9E5B-9C76A11ABB5C}] => (Allow) LPort=9245
   FirewallRules: [{424DDC8B-F2DF-482A-8DBD-CFCB22CAE2EF}] => (Allow) LPort=9246
   FirewallRules: [{C1806025-1C82-400C-9B10-798545F5BFBA}] => (Allow) LPort=9247
   FirewallRules: [{BCB24CDC-7EA1-4EE3-B3F0-CA069A7FFB00}] => (Allow) LPort=475
   FirewallRules: [{95B51DF8-8270-4F3B-82C8-2746C35C162A}] => (Allow) LPort=475
   FirewallRules: [{AE5244C9-B21C-4C3F-8B9F-CF70109945E5}] => (Allow) LPort=3389
   FirewallRules: [{35E1926A-CDFC-46F1-AA9E-E357CE03BC88}] => (Allow) LPort=9422
   FirewallRules: [{BC21D7E9-C83D-4162-9528-7500A71DDA37}] => (Allow) LPort=9245
   FirewallRules: [{91D24DE2-4979-4719-8532-08059EF1A6CE}] => (Allow) LPort=9246
   FirewallRules: [{2750B039-AFE5-4E7E-A97B-56E7778F072A}] => (Allow) LPort=9247
   FirewallRules: [{EAE82DA0-7947-413C-81C2-F88013872909}] => (Allow) LPort=10501
   FirewallRules: [{669F13B9-BDAB-40B0-8C31-63CCC1F696B5}] => (Allow) LPort=10502
   FirewallRules: [{68F60392-C963-4146-A801-9CE2BDE9E235}] => (Allow) LPort=9000
   End::

3. Скопируйте выделенный текст (правой кнопкой - Копировать).
4. Запустите FRST (FRST64) от имени администратора.
5. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

 

[ditresh_lp]

Фикс достаточно было один раз выполнить.


Давайте мы все перечисленные закроем, а при необходимости вы нужное откроете. Как правило, если программе это требуется, появляется запрос.

1. Отключите до перезагрузки антивирус.
2. Выделите следующий код:
   

   Start::
   FirewallRules: [{2AD33B7D-1BC1-45B7-8BD4-8F19CD574886}] => (Allow) LPort=475
   FirewallRules: [{517AD38D-5ED1-48A9-A823-AE07DC4A1EA8}] => (Allow) LPort=475
   FirewallRules: [{D0F2EF4E-C442-49C7-9715-DECEABD19D9F}] => (Allow) LPort=9422
   FirewallRules: [{E2D12FD0-6004-4C62-9E5B-9C76A11ABB5C}] => (Allow) LPort=9245
   FirewallRules: [{424DDC8B-F2DF-482A-8DBD-CFCB22CAE2EF}] => (Allow) LPort=9246
   FirewallRules: [{C1806025-1C82-400C-9B10-798545F5BFBA}] => (Allow) LPort=9247
   FirewallRules: [{BCB24CDC-7EA1-4EE3-B3F0-CA069A7FFB00}] => (Allow) LPort=475
   FirewallRules: [{95B51DF8-8270-4F3B-82C8-2746C35C162A}] => (Allow) LPort=475
   FirewallRules: [{AE5244C9-B21C-4C3F-8B9F-CF70109945E5}] => (Allow) LPort=3389
   FirewallRules: [{35E1926A-CDFC-46F1-AA9E-E357CE03BC88}] => (Allow) LPort=9422
   FirewallRules: [{BC21D7E9-C83D-4162-9528-7500A71DDA37}] => (Allow) LPort=9245
   FirewallRules: [{91D24DE2-4979-4719-8532-08059EF1A6CE}] => (Allow) LPort=9246
   FirewallRules: [{2750B039-AFE5-4E7E-A97B-56E7778F072A}] => (Allow) LPort=9247
   FirewallRules: [{EAE82DA0-7947-413C-81C2-F88013872909}] => (Allow) LPort=10501
   FirewallRules: [{669F13B9-BDAB-40B0-8C31-63CCC1F696B5}] => (Allow) LPort=10502
   FirewallRules: [{68F60392-C963-4146-A801-9CE2BDE9E235}] => (Allow) LPort=9000
   End::

3. Скопируйте выделенный текст (правой кнопкой - Копировать).
4. Запустите FRST (FRST64) от имени администратора.
5. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

Лог-файл прилагаю.

 

[Sandor]

Проверьте уязвимые места системы:
Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

 

[ditresh_lp]

Проверьте уязвимые места системы:
Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Скрипт выполнил. Обнаружил одну уязвимость (лог файл прилагаю).

При попытке установить обновление появляется ошибка: "В системе не найдена ожидаемая версия продукта".
Вероятно, это связано с работой вируса, так как исполняемые файлы Офиса были изменены.

После завершения всей чистки я могу удалить весь офис, чтобы не тратить сейчас время, если данная уязвимость не является критичной.

 

[Sandor]

Да, Microsoft Office Профессиональный 2007 уже не поддерживается и подвержен уязвимостям. Удалите или обновите до актуальной версии.

На заметку - Рекомендации после удаления вредоносного ПО

 

[ditresh_lp]

Да, Microsoft Office Профессиональный 2007 уже не поддерживается и подвержен уязвимостям. Удалите или обновите до актуальной версии.

На заметку - Рекомендации после удаления вредоносного ПО

Удалил.

Проверил, в отчете программы AVZ:
"Поиск критических уязвимостей
Часто используемые уязвимости не обнаружены.

 

[Sandor]

в хранилище файлов на диске Е болтаются зараженные файловым вирусом файлы

Там тоже наведите порядок и лишнее (особенно зараженное) удалите.

 

[ditresh_lp]

Там тоже наведите порядок и лишнее (особенно зараженное) удалите.

Понял. Благодарю.

 

[ditresh_lp]

Там тоже наведите порядок и лишнее (особенно зараженное) удалите.

Вопрос. Подскажите, файлы how_to_decrypt.hta, их DR. Web не распознает как угрозы (не видит вообще), их вручную удалять или же есть специальное средство, которое удалит их?

 

[Sandor]

Разве после скрипта из сообщения №9 они ещё остались? Если да, то можно вручную удалить. Сами по себе они не несут в себе ничего вредоносного.