Перейти к содержанию
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Windows Server 2003 R2 Enterprise x64 with Ransom.Win32.Share file crip

sabotage
 Поделиться

Рекомендуемые сообщения

regist

regist

Опубликовано
Опубликовано

 

 


тут же идея была хоть как-то попытаться их востановить
читайте выше.

 

 


Раз восстановление системы отключено, даже если восстановите загрузку системы, то Shadow explorer не поможет.
так что это тоже

 

 


не поможет востановить файлы

Для надёжности (вдруг там утилита что неправильно определила) вы можете ещё сами визуально перепроверить включено или нет у вас там восстановление системы.

  • Ответов 107
  • Создана
  • Последний ответ

Топ авторов темы

  • sabotage

    50

  • SQ

    37

  • regist

    20

  • Sandor

    1

Топ авторов темы

Популярные посты

Sandor
Sandor

Попробуйте запустить не с рабочего стола, а из корня диска, например, с C:\

regist
regist

Попробуем ещё. 1) Удалите у себя папку (содержимое) Store которая в каталоге с uVS. 2) Распакуйте туда вместо неё из этого архива. Напомню папка должна быть в корневой папке с uVS и не содержать под

Изображения в теме

sabotage

sabotage

Опубликовано
  • Автор
Опубликовано

 

тут же идея была хоть как-то попытаться их востановить

читайте выше.

 

 

Раз восстановление системы отключено, даже если восстановите загрузку системы, то Shadow explorer не поможет.

так что это тоже

 

 

не поможет востановить файлы

Для надёжности (вдруг там утилита что неправильно определила) вы можете ещё сами визуально перепроверить включено или нет у вас там восстановление системы.

 

Как проверить?

regist

regist

Опубликовано
Опубликовано

@sabotage, например пуск - выполнить - rstrui.exe

Но на windows server 2003 похоже восстановления системы вообще нет по умолчанию :(, согласно этой статье.


 

 


например пуск - выполнить - rstrui.exe
Либо просто в свойствах системы - вкладка System Restore
regist

regist

Опубликовано
Опубликовано

@sabotage,

1) "Пофиксите" в HijackThis:

O23 - Service S2: Windows Management Instrumentation Driver Service - (Ias) - C:\WINDOWS\SysWOW64\svchost.exe -k netsvcs; "ServiceDll" = C:\WINDOWS\Temp\ntshrui.dll (file missing)

 

2) Выполните скрипт в uVS

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v400c
BREG
;---------command-block---------
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {FAC3CBF6-8697-43D0-BAB9-DCD1FCE19D75}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {88D96A07-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {853FE2B1-B769-11D0-9C4E-00C04FB6C6FA}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {81990654-43A9-47A9-9AFC-B43160546D81}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D96A08-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D96A0A-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D96A06-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D96A05-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {764BF0E1-F219-11CE-972D-00AA00A14F56}\[CLSID]
delref {92780B25-18CC-41C8-B9BE-3C9C571A8263}\[CLSID]
delref {CA3D46F0-B769-42B7-A296-27368FB7A338}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.8\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.8\PSMACHINE_64.DLL
apply
regt 12
sfcall

3) Попробуйте снова загрузиться в обычный режим

4) Если не получится загрузиться, то лог работы uVS (текстовый файл с датой в названии) прикрепите.

sabotage

sabotage

Опубликовано
  • Автор
Опубликовано (изменено)

@sabotage,

1) "Пофиксите" в HijackThis:

O23 - Service S2: Windows Management Instrumentation Driver Service - (Ias) - C:\WINDOWS\SysWOW64\svchost.exe -k netsvcs; "ServiceDll" = C:\WINDOWS\Temp\ntshrui.dll (file missing)

2) Выполните скрипт в uVS

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v400c
BREG
;---------command-block---------
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {FAC3CBF6-8697-43D0-BAB9-DCD1FCE19D75}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {88D96A07-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {853FE2B1-B769-11D0-9C4E-00C04FB6C6FA}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {81990654-43A9-47A9-9AFC-B43160546D81}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D96A08-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D96A0A-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D96A06-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D96A05-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {764BF0E1-F219-11CE-972D-00AA00A14F56}\[CLSID]
delref {92780B25-18CC-41C8-B9BE-3C9C571A8263}\[CLSID]
delref {CA3D46F0-B769-42B7-A296-27368FB7A338}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.8\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.8\PSMACHINE_64.DLL
apply
regt 12
sfcall

3) Попробуйте снова загрузиться в обычный режим

4) Если не получится загрузиться, то лог работы uVS (текстовый файл с датой в названии) прикрепите.) 

При первом пункте пишет the service ias is system-critical  it cant be deleted (скрин 8 во вложении)  А в скрипте ошибка

begin expected в позиции 1:1

8.zip

Изменено пользователем sabotage
regist

regist

Опубликовано
Опубликовано

 

 


А в скрипте ошибка begin expected в позиции 1:1
внимательней читать надо

 

 


Выполните скрипт в uVS
и не надо заниматься оверквотингом. Для быстрого ответа есть поле внизу.
regist

regist

Опубликовано
Опубликовано

+

 

 


При первом пункте пишет the service ias is system-critical it cant be deleted (скрин 8 во вложении)

1. Откройте папку C:\Windows\ABR\<ДАТА>. Скажите, есть ли внутри файл SYSTEM ?

 

2. Скачайте http://dsrt.dyndns.org/files/abr.zip

Распакуйте, запустите файл abr.exe

Во время работы ABR замечены ли ошибки?

 

3. Запустите HiJackThis, нажмите кнопку "List of backups", нажмите "Create registry backup".

Возникли ли ошибки во время работы?

sabotage

sabotage

Опубликовано
  • Автор
Опубликовано (изменено)

да файл SYSTEM есть, во время работы ABR ошибок не замечено, при  "Create registry backup" ошибка появляется но после пишет что завершено успешно скрины прикрепил. Не понял что я не так сделал со скриптом?


сорян я тут новичек, не вкурсе что можно быстрый ответ делать, исправлюсь

post-52640-0-37978300-1548357998_thumb.jpg

post-52640-0-83977300-1548358005_thumb.jpg

Изменено пользователем sabotage
regist

regist

Опубликовано
Опубликовано

 

 


Не понял что я не так сделал со скриптом?
не в той программе выполняете. Вы скрипт для uVS пытаетесь выполнить в AVZ, конечно он у вас ругаться будет.

Если что инструкция как выполнить скрипт uVS.

regist

regist

Опубликовано
Опубликовано

Выше вы же один раз прикрепляли

 

 


Прикрепленные файлы Прикрепленный файл 2019-01-20_10-40-39_log.txt 19,19К
прикрепите такой же, но со свежей датой.
sabotage

sabotage

Опубликовано
  • Автор
Опубликовано

 

Выше вы же один раз прикрепляли

 

 

Прикрепленные файлы Прикрепленный файл 2019-01-20_10-40-39_log.txt 19,19К

прикрепите такой же, но со свежей датой.

 

Лог прикрепил

2019-01-24_07-20-29_log.txt

sabotage

sabotage

Опубликовано
  • Автор
Опубликовано (изменено)

@sabotage, проверьте это обновление установится?

Пишет не может установить из-за языка 

 

всe нашел это обровление на русском установил но система так и не гркзиться в нормальном режиме

post-52640-0-59688700-1548414821_thumb.jpg

Изменено пользователем sabotage
regist

regist

Опубликовано
Опубликовано

@sabotage, свежий образ автозапуска сделайте.

+ свежие логи Автологером.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • AA1895
      расшифровка вирусных файлов keybtc@foxmail2.com
      Автор AA1895
      Здравствуйте! На почту пришло письмо - в приложении о судебной повестке. После открытия сработал шифровальщик  и все данные зашифровал! В приложении письмо вымогателей. Как можно расшифровать.
      Заранее огромное спасибо!
       

      Сообщение от модератора Nark D. Pearlstone Если письмо понадобится, то вас попросят его прикрепить. В данный момент файл удалён.
    • Wildo
      Зашифрованы файлы
      Автор Wildo
      Та же проблема!Помогите пожалуйста.Делал все по комментариям,как вы писали.
      KLAN-2544242696
      Здравствуйте,
      Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

      quarantine.zip

      Этот файл повреждён.

      С уважением, Лаборатория Касперского

      "125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"
       

      Сообщение от модератора "Mark D. Pearlstone" Перенесено из темы
    • LelyaZ
      Вирус изменил расширения файлов и изображений
      Автор LelyaZ
      Здравствуйте!
      Скачала файл с вирусом, после чего все файлы и изображения теперь не открываются, указано: Приложение MS-DOS, и в названиях файлов появилось .id-4378333746_xsmail@india, где id у почти везде разный. Файлы музыки и видео не изменились. 
      Прошу помочь расшифровать файлы.
      CollectionLog-2015.02.16-20.17.zip
    • goa.sar
      Вирус изменил расширение файлов на .qetputd
      Автор goa.sar
      По почте получил письмо, открыл после этого все файлы Майкрософт офис, .pdf и картинки формата .jpeg поменяли свое расширение на .qetputd
      CollectionLog-2015.02.05-23.26.zip
    • denuzl
      Шифровальщик
      Автор denuzl
      добрый день.  пользователю по электронной почте прислали файл с расширением ехе и не долго думая она его запустила. это оказался шифровальщик. теперь файлы с расширением .doc.id-****_paycrypt@inbox.com. есть ли возможность расшифровать.
      2015_02_03.rar
×
×
  • Создать...