Перейти к содержанию

Windows Server 2003 R2 Enterprise x64 with Ransom.Win32.Share file crip

sabotage
 Поделиться

Рекомендуемые сообщения

  • Ответов 107
  • Создана
  • Последний ответ

Топ авторов темы

  • sabotage

    50

  • SQ

    37

  • regist

    20

  • Sandor

    1

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

Sandor
Sandor

Попробуйте запустить не с рабочего стола, а из корня диска, например, с C:\

regist
regist

Попробуем ещё. 1) Удалите у себя папку (содержимое) Store которая в каталоге с uVS. 2) Распакуйте туда вместо неё из этого архива. Напомню папка должна быть в корневой папке с uVS и не содержать под

Изображения в теме

regist

regist

Опубликовано
Опубликовано

Попробуем ещё.

1) Удалите у себя папку (содержимое) Store которая в каталоге с uVS.

2) Распакуйте туда вместо неё из этого архива. Напомню папка должна быть в корневой папке с uVS и не содержать подкаталогов.

3) Выполните скрипт uVS

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v400c
zoo %SystemRoot%\TEMP\NTSHRUI.DLL
delall %SystemRoot%\TEMP\NTSHRUI.DLL
apply
rknown
restart

если будет вопрос про удаление сервиса, то нажмите да.

4) Сделайте свежий лог uVS.

  • Спасибо (+1) 1
sabotage

sabotage

Опубликовано
  • Автор
Опубликовано

Попробуем ещё.

1) Удалите у себя папку (содержимое) Store которая в каталоге с uVS.

2) Распакуйте туда вместо неё из этого архива. Напомню папка должна быть в корневой папке с uVS и не содержать подкаталогов.

3) Выполните скрипт uVS

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v400c
zoo %SystemRoot%\TEMP\NTSHRUI.DLL
delall %SystemRoot%\TEMP\NTSHRUI.DLL
apply
rknown
restart

если будет вопрос про удаление сервиса, то нажмите да.

4) Сделайте свежий лог uVS.

2019-01-25_00-00-35_log.txt

regist

regist

Опубликовано
Опубликовано

Не, на этот раз просил не лог работы, а свежий образ автозапуска, то есть файл типа: 

TERMINAL_2019-01-24_22-53-01_v4.1.2.7z

но свежий, но то что этот лог прикрепили тоже хорошо. По нему видно что те два файла успешно восстановлены.

Но нужен свежий образ чтобы проверить удалили или нет наконец ту вирусную службу.

sabotage

sabotage

Опубликовано
  • Автор
Опубликовано

Не, на этот раз просил не лог работы, а свежий образ автозапуска, то есть файл типа: 

TERMINAL_2019-01-24_22-53-01_v4.1.2.7z

но свежий, но то что этот лог прикрепили тоже хорошо. По нему видно что те два файла успешно восстановлены.

Но нужен свежий образ чтобы проверить удалили или нет наконец ту вирусную службу.

Прикрепил

TERMINAL_2019-01-25_23-28-40_v4.1.2.7z

regist

regist

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
CreateRestorePoint:
S2 Ias; C:\WINDOWS\Temp\ntshrui.dll [X]
EmptyTemp:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите компьютер вручную.
sabotage

sabotage

Опубликовано
  • Автор
Опубликовано

 

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
S2 Ias; C:\WINDOWS\Temp\ntshrui.dll [X]
EmptyTemp:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите компьютер вручную.

 

А что по логам пишеь что антивирусник стоит, был avast - я его удалил

regist

regist

Опубликовано
Опубликовано

@sabotage, выше вас уже просил. Перестаньте наконец нарушать 14-й пункт правил форума. Если не читали правила при регистрации, то прочтите хоть сейчас!

И где отчёт который я просил?

regist

regist

Опубликовано
Опубликовано

@sabotage, проверьте у вас такой ключ реестра есть?

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ias

если да, то удалите его руками (ибо все перебробованные выше утилиты похоже не могут этого сделать).

regist

regist

Опубликовано
Опубликовано

сделайте на всякий случай ещё такой лог.

  1. Загрузите GMER по одной из указанных ссылок:
    Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
  2. Временно отключите драйверы эмуляторов дисков.
  3. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
  4. Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No.
  5. Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
  6. Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
  7. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

    !!! Обратите внимание
    , что утилиты необходимо запускать от имени Администратора. По умолчанию в
    Windows XP
    так и есть. В
    Windows Vista
    и
    Windows 7
    администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
    Запуск от имени Администратора
    , при необходимости укажите пароль администратора и нажмите
    "Да"
    .



 

sabotage

sabotage

Опубликовано
  • Автор
Опубликовано

После запуска Gmer, система уходит в отказ. Запускал 2 раза


 

 

post-52640-0-71575600-1548625789_thumb.jpg

post-52640-0-15940500-1548625800_thumb.jpg

post-52640-0-61223200-1548625807_thumb.jpg

SQ

SQ

Опубликовано
Опубликовано

Sabotage,

А могли бы в FRST в поле Search вести следующее:
 

Services\Ias;

и нажать Search Registry, по окончанию создасться лог (SearchReg.txt) прикрепите его пожалуйста в следующем сообщение.

Должно получиться так как указано на картинке:

post-551-0-17645500-1548629866_thumb.png

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • MicroSkittles
      Не устанавливается KSWS 11.0.0.480 на windows server 2003 R2
      Автор MicroSkittles
      Добрый вечер.
      Наблюдается ошибка при установке KSWS 11.0.0.480 на windows server 2003 R2, ошибка без кода. НЕ понимаю почему, на другие сервера с такой же OS установилось без проблем
      Сервер KSC 14.


    • wumbo12
      Windows Server и Windows SP3
      Автор wumbo12
      Добрый день ! Мне нужна необходимая информация, нужен две пк поставить Windows SP 3 и Сервер , нужна старая версия , с актуальным матчем . 
       
      Не предлагать Windows 2012-2024 версии Сервера , а низкие версии .
      Не предлагать Windows 7,8,10 - нужна низкие операционные системы , с актуальным патчем .
    • Евгений_О
      Совместимость KasperskyPremium с Windows 8.1 x64
      Автор Евгений_О
      Доброго времени суток!
      Уже достаточно давно использовал на своих ПК Kaspersky Total Security. Сейчас лицензия истекает, но Kaspersky Total Security больше недоступен. Вместо него предлагается KasperskyPremium. Но у меня на ПК и нетбуке установлен Windows 8.1. В связи с чем и возникает вопрос совместимости ОС Windows 8.1 и ПО KasperskyPremium? Сможет ли KasperskyPremium установиться на ОС Windows 8.1 и корректно работать?
    • jangur
      Зашифрованы файлы windows server 2019
      Автор jangur
      Добрый день. У меня взломали сервер  с 1С.  Все файлы зашифрованы. Прошу помощи. в архиве логи FRST и 2 зашифрованных файла с требованием
      FRST.zip зашифриТребование.zip
    • serioussd
      Шифровальщик blackbit, windows server 2012r2
      Автор serioussd
      Сервер поймал шифровальщик blackbit, прошу помощи в чистке сервера и возможной дешифровке файлов, пропали все программы, на сервере расположены базы 1с, postgresql  два файла.zipFixlog.txt   

×
×
  • Создать...