• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Помогите расшифровать файлы sirattacker0@tutanota.com

T

Tser

Новый пользователь
Сообщения
11
Реакции
0
Всем добрый день!
Сервер с windows server 2019 был атакован шифровальщиком.
Отчет Farbar и зашифрованные файлы во вложении.
Посмотрите пжл, есть ли надежда?
 

Вложения

  • Virus.zip
    23 KB · Просмотры: 2
  • Addition.txt
    68 KB · Просмотры: 1
  • FRST.txt
    302.9 KB · Просмотры: 1
Здравствуйте!

Один из файлов "How to Recovery.bat" прикрепите к следующему сообщению, пожалуйста.
Не буду обнадёживать, скорее всего расшифровки нет. Но хотя бы определим тип вымогателя.
 
вот
 

Вложения

  • How to Recovery.zip
    877 байт · Просмотры: 1
Так как вредонос активен, пока выполните скрипт:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-880318448-2200110538-3682484860-1103\...\Run: [System] => C:\ProgramData\System.exe [76288 2023-02-13] (Quick Heal Technologies Ltd.) [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\How to Recovery.bat [2023-02-14] () [Файл не подписан]
Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\System.lnk [2023-02-14]
ShortcutTarget: System.lnk -> C:\ProgramData\System.exe (Quick Heal Technologies Ltd.) [Файл не подписан]
Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\System.lnk.i5ry [2023-02-14]
Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\System.lnk.u050 [2023-02-14]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\How to Recovery.bat [2023-02-14] () [Файл не подписан]
Startup: C:\Users\ashpin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\How to Recovery.bat [2023-02-14] () [Файл не подписан]
Startup: C:\Users\Bukovka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\How to Recovery.bat [2023-02-14] () [Файл не подписан]
Startup: C:\Users\DOREL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\How to Recovery.bat [2023-02-14] () [Файл не подписан]
Startup: C:\Users\ermohin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\How to Recovery.bat [2023-02-14] () [Файл не подписан]
Startup: C:\Users\Fedkin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\How to Recovery.bat [2023-02-14] () [Файл не подписан]
Startup: C:\Users\IRINA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\How to Recovery.bat [2023-02-14] () [Файл не подписан]
Startup: C:\Users\IRINA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\setup - Ярлык.lnk.3goh [2023-02-14]
Startup: C:\Users\Irina1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\How to Recovery.bat [2023-02-14] () [Файл не подписан]
Startup: C:\Users\Korovyansky\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\How to Recovery.bat [2023-02-14] () [Файл не подписан]
Startup: C:\Users\krivonosov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\How to Recovery.bat [2023-02-14] () [Файл не подписан]
Startup: C:\Users\mokshin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\How to Recovery.bat [2023-02-14] () [Файл не подписан]
Startup: C:\Users\pavelev\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\How to Recovery.bat [2023-02-14] () [Файл не подписан]
Startup: C:\Users\polovov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\How to Recovery.bat [2023-02-14] () [Файл не подписан]
Startup: C:\Users\punt\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\How to Recovery.bat [2023-02-14] () [Файл не подписан]
Startup: C:\Users\samoylov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\How to Recovery.bat [2023-02-14] () [Файл не подписан]
Startup: C:\Users\skiljazhin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\How to Recovery.bat [2023-02-14] () [Файл не подписан]
Startup: C:\Users\teleworker\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\How to Recovery.bat [2023-02-14] () [Файл не подписан]
Startup: C:\Users\Varetsa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\How to Recovery.bat [2023-02-14] () [Файл не подписан]
Startup: C:\Users\voronin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\How to Recovery.bat [2023-02-14] () [Файл не подписан]
Startup: C:\Users\VVCH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\How to Recovery.bat [2023-02-14] () [Файл не подписан]
Task: {18E569BB-3843-4CBE-936E-B033B141AB42} - System32\Tasks\System => C:\ProgramData\System.exe [76288 2023-02-13] (Quick Heal Technologies Ltd.) [Файл не подписан] <==== ВНИМАНИЕ
2023-02-13 23:43 - 2023-02-13 23:43 - 000003486 _____ C:\Windows\system32\Tasks\System
2023-02-13 23:42 - 2023-02-13 23:38 - 000076288 _____ (Quick Heal Technologies Ltd.) C:\ProgramData\System.exe
Virustotal: C:\ProgramData\System.exe
AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [200]
FirewallRules: [{4C96EE4F-9578-4176-B4A3-D1B831461AC3}] => (Allow) LPort=3389
FirewallRules: [{b4e1a2f5-897e-4777-957a-50e255a1115b}] => (Allow) LPort=1194
Zip: c:\FRST\Quarantine\
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.
На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Подробнее читайте в этом руководстве.
 
Лог приложил
 

Вложения

  • Fixlog.txt
    10.5 KB · Просмотры: 3
Архив к сожалению выслать не получается, и gmail и mail.ru ругаются на вирус и не позволяют отправить письмо
 
Упакуйте его ещё раз со сложным паролем (который не забудьте сообщить) и пробуйте отправить. Если тоже не получится, залейте на доступный файлообменник и ссылку на скачивание отправьте мне личным сообщением.
 
Получилось отправить на почту
 
Получил, спасибо. Ещё некоторое время подождите.
 
Несколько вопросов :
1) Проверка говорит, что порт 3389 открыт Проверка порта
2) Я правильно понимаю, что платить выкуп не имеет смысла, файлы не закодированы, а именно повреждены?
3) Систему как-то можно вылечить? или только полная переустановка?
 
Tser написал(а):
Проверка говорит, что порт 3389 открыт
Нажмите для раскрытия...
Соберите новые логи FRST.txt и Addition.txt, посмотрим.

Tser написал(а):
файлы не закодированы, а именно повреждены?
Нажмите для раскрытия...
Файлы закодированы. Платить или нет, решать вам. Мы не советуем, т.к. тем самым вы стимулируете злодеев на дальнейшую работу в этом направлении.
К тому же нередко даже после уплаты выкупа, они ничего не высылают и пропадают. Примеров много:
www.safezone.cc

Антимошенник

Поймал за руку мошенника? Расскажи об этом сообществу.
www.safezone.cc www.safezone.cc

Tser написал(а):
Систему как-то можно вылечить?
Нажмите для раскрытия...
После анализа повторных логов смогу ответить, но предположу, что вредоносных файлов уже нет.
 
Свежие логи
 

Вложения

  • Addition.txt
    64 KB · Просмотры: 1
  • FRST.txt
    296.4 KB · Просмотры: 1
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\How to Recovery.bat [2023-02-14] () [Файл не подписан]
Task: {E6CB5328-8938-4A4E-AD7D-6A5051629A38} - System32\Tasks\BDAntiCryptoWallTask => C:\Program Files\Bitdefender\Tools\BDAntiRansomware\BDAntiRansomware.exe (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
2023-02-14 05:05 - 2023-02-14 04:52 - 000001835 _____ C:\Users\vps\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\Администратор\Downloads\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\Администратор\Documents\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\VVCH\Downloads\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\VVCH\Documents\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\VVCH\Desktop\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\voronin\Downloads\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\voronin\Documents\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\teleworker\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\teleworker\AppData\Roaming\Microsoft\Windows\Start Menu\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\skiljazhin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\skiljazhin\AppData\Roaming\Microsoft\Windows\Start Menu\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\samoylov\Downloads\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\samoylov\Documents\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\samoylov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\samoylov\AppData\Roaming\Microsoft\Windows\Start Menu\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\punt\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\punt\AppData\Roaming\Microsoft\Windows\Start Menu\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\polovov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\polovov\AppData\Roaming\Microsoft\Windows\Start Menu\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\Korovyansky\Downloads\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\Korovyansky\Documents\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\Irina1\Desktop\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\Fedkin\Downloads\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\Fedkin\Documents\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\Fedkin\Desktop\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\ermohin\Downloads\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\ermohin\Documents\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\ashpin\Downloads\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\ashpin\Documents\How to Recovery.bat
2023-02-14 04:53 - 2023-02-14 04:53 - 000001835 _____ C:\Users\ashpin\Desktop\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Администратор\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Администратор\Desktop\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Администратор\AppData\Local\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\VVCH\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\VVCH\AppData\Local\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\voronin\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\voronin\Desktop\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\voronin\AppData\Local\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Varetsa\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Varetsa\Downloads\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Varetsa\Documents\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Varetsa\Desktop\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Varetsa\AppData\Local\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\USR1CV8\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\USR1CV8.CDTS\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\teleworker\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\teleworker\Downloads\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\teleworker\Documents\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\teleworker\Desktop\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\teleworker\AppData\Local\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\skiljazhin\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\skiljazhin\Downloads\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\skiljazhin\Documents\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\skiljazhin\Desktop\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\skiljazhin\AppData\Local\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\samoylov\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\samoylov\Desktop\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\samoylov\AppData\Local\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\punt\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\punt\Downloads\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\punt\Documents\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\punt\Desktop\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\punt\AppData\Local\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Public\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Public\Downloads\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Public\Documents\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\polovov\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\polovov\Downloads\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\polovov\Documents\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\polovov\Desktop\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\polovov\AppData\Local\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\pavelev\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\pavelev\Downloads\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\pavelev\Documents\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\pavelev\Desktop\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\pavelev\AppData\Local\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\mokshin\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\mokshin\Downloads\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\mokshin\Documents\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\mokshin\Desktop\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\mokshin\AppData\Local\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\krivonosov\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\krivonosov\Downloads\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\krivonosov\Documents\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\krivonosov\Desktop\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\krivonosov\AppData\Local\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Korovyansky\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Korovyansky\AppData\Local\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Irina1\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Irina1\AppData\Local\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\IRINA\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\IRINA\Downloads\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\IRINA\Documents\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\IRINA\Desktop\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\IRINA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\IRINA\AppData\Roaming\Microsoft\Windows\Start Menu\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\IRINA\AppData\Local\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Fedkin\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Fedkin\AppData\Local\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\ermohin\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\ermohin\Desktop\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\ermohin\AppData\Local\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\DOREL\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\DOREL\Downloads\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\DOREL\Documents\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\DOREL\Desktop\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\DOREL\AppData\Local\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Default\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Bukovka\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Bukovka\Downloads\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Bukovka\Documents\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Bukovka\Desktop\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\Bukovka\AppData\Local\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\ashpin\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\ashpin\AppData\Local\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\admin\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\admin\Downloads\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\admin\Documents\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\admin\Desktop\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\admin\AppData\Local\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\.NET v4.5\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\Users\.NET v4.5 Classic\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\ProgramData\Microsoft\Windows\Start Menu\How to Recovery.bat
2023-02-14 04:52 - 2023-02-14 04:52 - 000001835 _____ C:\ProgramData\How to Recovery.bat
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.
 
Большое спасибо за помощь!
 
Добрый день!
Собрал новый отчет FRST, проверьте пжл
 

Вложения

  • Addition.txt
    72 KB · Просмотры: 1
  • FRST.txt
    224.6 KB · Просмотры: 1
Плохого не видно.
Файлы How to Recovery.bat можете просто удалить.

Смените пароли администраторов.
Если используете подключение через RDP, прячьте его за VPN.
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху Снизу