Windows Server 2003 R2 Enterprise x64 with Ransom.Win32.Share file crip

[regist]

 

 

тут же идея была хоть как-то попытаться их востановить

читайте выше.

 

 

Раз восстановление системы отключено, даже если восстановите загрузку системы, то Shadow explorer не поможет.

так что это тоже

 

 

не поможет востановить файлы

Для надёжности (вдруг там утилита что неправильно определила) вы можете ещё сами визуально перепроверить включено или нет у вас там восстановление системы.

[sabotage]

 

тут же идея была хоть как-то попытаться их востановить

читайте выше.

 

 

Раз восстановление системы отключено, даже если восстановите загрузку системы, то Shadow explorer не поможет.

так что это тоже

 

 

не поможет востановить файлы

Для надёжности (вдруг там утилита что неправильно определила) вы можете ещё сами визуально перепроверить включено или нет у вас там восстановление системы.

 

Как проверить?

[regist]

@sabotage, например пуск - выполнить - rstrui.exe

Но на windows server 2003 похоже восстановления системы вообще нет по умолчанию , согласно этой статье.

 

 

например пуск - выполнить - rstrui.exe

Либо просто в свойствах системы - вкладка System Restore

[regist]

@sabotage,

1) "Пофиксите" в HijackThis:

O23 - Service S2: Windows Management Instrumentation Driver Service - (Ias) - C:\WINDOWS\SysWOW64\svchost.exe -k netsvcs; "ServiceDll" = C:\WINDOWS\Temp\ntshrui.dll (file missing)

 

2) Выполните скрипт в uVS

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v400c
BREG
;---------command-block---------
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {FAC3CBF6-8697-43D0-BAB9-DCD1FCE19D75}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {88D96A07-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {853FE2B1-B769-11D0-9C4E-00C04FB6C6FA}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {81990654-43A9-47A9-9AFC-B43160546D81}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D96A08-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D96A0A-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D96A06-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D96A05-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {764BF0E1-F219-11CE-972D-00AA00A14F56}\[CLSID]
delref {92780B25-18CC-41C8-B9BE-3C9C571A8263}\[CLSID]
delref {CA3D46F0-B769-42B7-A296-27368FB7A338}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.8\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.8\PSMACHINE_64.DLL
apply
regt 12
sfcall

3) Попробуйте снова загрузиться в обычный режим

4) Если не получится загрузиться, то лог работы uVS (текстовый файл с датой в названии) прикрепите.

[sabotage]

@sabotage,

1) "Пофиксите" в HijackThis:

O23 - Service S2: Windows Management Instrumentation Driver Service - (Ias) - C:\WINDOWS\SysWOW64\svchost.exe -k netsvcs; "ServiceDll" = C:\WINDOWS\Temp\ntshrui.dll (file missing)

2) Выполните скрипт в uVS

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v400c
BREG
;---------command-block---------
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {FAC3CBF6-8697-43D0-BAB9-DCD1FCE19D75}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {88D96A07-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {853FE2B1-B769-11D0-9C4E-00C04FB6C6FA}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {81990654-43A9-47A9-9AFC-B43160546D81}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D96A08-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D96A0A-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D96A06-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D96A05-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {764BF0E1-F219-11CE-972D-00AA00A14F56}\[CLSID]
delref {92780B25-18CC-41C8-B9BE-3C9C571A8263}\[CLSID]
delref {CA3D46F0-B769-42B7-A296-27368FB7A338}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.8\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.8\PSMACHINE_64.DLL
apply
regt 12
sfcall

3) Попробуйте снова загрузиться в обычный режим

4) Если не получится загрузиться, то лог работы uVS (текстовый файл с датой в названии) прикрепите.) 

При первом пункте пишет the service ias is system-critical  it cant be deleted (скрин 8 во вложении)  А в скрипте ошибка

begin expected в позиции 1:1

8.zip

Изменено 23 января, 2019 пользователем sabotage

[regist]

 

 

А в скрипте ошибка begin expected в позиции 1:1

внимательней читать надо

 

 

Выполните скрипт в uVS

и не надо заниматься оверквотингом. Для быстрого ответа есть поле внизу.

[regist]

+

 

 

При первом пункте пишет the service ias is system-critical it cant be deleted (скрин 8 во вложении)

1. Откройте папку C:\Windows\ABR\<ДАТА>. Скажите, есть ли внутри файл SYSTEM ?

 

2. Скачайте http://dsrt.dyndns.org/files/abr.zip

Распакуйте, запустите файл abr.exe

Во время работы ABR замечены ли ошибки?

 

3. Запустите HiJackThis, нажмите кнопку "List of backups", нажмите "Create registry backup".

Возникли ли ошибки во время работы?

[sabotage]

да файл SYSTEM есть, во время работы ABR ошибок не замечено, при  "Create registry backup" ошибка появляется но после пишет что завершено успешно скрины прикрепил. Не понял что я не так сделал со скриптом?

сорян я тут новичек, не вкурсе что можно быстрый ответ делать, исправлюсь

Изменено 24 января, 2019 пользователем sabotage

[regist]

 

 

Не понял что я не так сделал со скриптом?

не в той программе выполняете. Вы скрипт для uVS пытаетесь выполнить в AVZ, конечно он у вас ругаться будет.

Если что инструкция как выполнить скрипт uVS.

[sabotage]

После выполнения скрипта сервер не запустился в нормальном режиме, лог файл прикрепил

TERMINAL_2019-01-24_07-27-03_v4.1.2.7z

[regist]

Выше вы же один раз прикрепляли

 

 

Прикрепленные файлы Прикрепленный файл 2019-01-20_10-40-39_log.txt 19,19К

прикрепите такой же, но со свежей датой.

[sabotage]

 

Выше вы же один раз прикрепляли

 

 

Прикрепленные файлы Прикрепленный файл 2019-01-20_10-40-39_log.txt 19,19К

прикрепите такой же, но со свежей датой.

 

Лог прикрепил

2019-01-24_07-20-29_log.txt

[regist]

@sabotage, проверьте это обновление установится?

[sabotage]

@sabotage, проверьте это обновление установится?

Пишет не может установить из-за языка 

 

всe нашел это обровление на русском установил но система так и не гркзиться в нормальном режиме

Изменено 25 января, 2019 пользователем sabotage

[regist]

@sabotage, свежий образ автозапуска сделайте.

+ свежие логи Автологером.