Windows Server 2003 R2 Enterprise x64 with Ransom.Win32.Share file crip

[sabotage 0]

Система грузится в безопасном режиме версия сборки Windows (3790 Service Pack 2). В обычном режиме не грузится (после экрана с логотипом отобрпжается черный экран), хочу попробовать востанрвить файлы через Shadow explorer но он в безопасном режиме не работает. Подскажите кто знает как можно востановить систему чтобы загрузится в обычном режиме и зарустить Shadow explorer т.к. расшифровать файлы не получилось?

Что делал:

Сделал образ сервера и подмонтировал к виртуалке как отдельный диск (для песочницы)

Проверил  KIS2019 систему и нащел этот вирус (скрин вложил), отправил запрос в лабораторию касперсперского

(На самом сервере) Проверил  Kaspersky Removal Tool не нашел он вирус

Cобрал логи во вложении

CollectionLog-2019.01.18-23.43.zip

Изменено 19 января, 2019 пользователем sabotage

[SQ 831]

Здравствуйте,

Вы пришли с TechNet?

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
 QuarantineFile('"C:\WINDOWS\Temp\ntshrui.dll','');
BC_ImportQuarantineList;
BC_Activate;
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[sabotage 0]

 

Добрый день, да с TechNet мне посоветовали этот форум, у меня Windows server 2003 для ее особенностей нет, и при перезагрузке я так понял заходить в безопасный режим? Так система не грузится

[SQ 831]

Да в безопасный режим, видимо повредились из-за шифровальщика системные файлы.

[sabotage 0]

 

И так при выполнении скрипта пишет что он завершился без ошибок но в логах ошибка карантина файла см прикрепленный скрин, а вот если запускать AVZ  с правами  администратора пишет эта служба не запускается в безопасном режиме - не придумаю что я делаю не так??

[SQ 831]

Странно как-то.

Могли бы пожалуйста этот файл заархивировать в zip c паролем virus и загрузить этот архив через данную форму

C:\WINDOWS\Temp\ntshrui.dll

 

[sabotage 0]

Странно как-то.

 

Могли бы пожалуйста этот файл заархивировать в zip c паролем virus и загрузить этот архив через данную форму

C:\WINDOWS\Temp\ntshrui.dll

 

 

Просмотрел этот путь пишет типа файла такого нет, точно этот путь??

[SQ 831]

В логах был указан этот путь, если его нет то проигноруйте это. Приложите пожалуйста логи утилиту FRST, которые ранее запрашивал.

[sabotage 0]

В логах был указан этот путь, если его нет то проигноруйте это. Приложите пожалуйста логи утилиту FRST, которые ранее запрашивал.

Да конечно во вложении

FRST.txt

Addition.txt

[SQ 831]

Уточните пожалуйста это образ оригинального сервера, т.е. можно на нем тестировать?

 

Уточните пожалуйста, что происходит при попытки загрузиться в нормальный режим?

 

Судя по логам много системных файлов отсутствуют, очень много битых служб, тяжело понять какие из них нужные.

[sabotage 0]

Все отправленные отчеты я делаю на сервере (реальном железе), т.к. с образа система не грузиться даже в безопасный режим. Его только можно подключить как внешний диск - я его подключил к виртуальной машине и проверил на вирусы (результаты проверки образа в теме обращения скрин ).

 При загрузке в нормальный режим идет типа загрузка системы и потом черный экран (похоже что она занрузилась но не отображается ничего) Скрины приложил

Изменено 19 января, 2019 пользователем sabotage

[SQ 831]

В логах присутсвует только следующая странная запись, похожая на остатки от Backdoor:

S2 Ias; C:\WINDOWS\Temp\ntshrui.dll [X]

однако без самого файла, это не проверить. Вам знаком этот путь/служба?

[sabotage 0]

В логах присутсвует только следующая странная запись, похожая на остатки от Backdoor:

S2 Ias; C:\WINDOWS\Temp\ntshrui.dll [X]

однако без самого файла, это не проверить. Вам знаком этот путь/служба?

Я по тому пути прошел - файл не отображается. могу всю папку temp заархивить с паролем "virus" там она 6 mb весит и прислать. Служба не знакома

Изменено 19 января, 2019 пользователем sabotage

[SQ 831]

 Нет папка не нужна, возможно когда проверяли антивирусом он его удалил. У вас логи удаления от антивируса остались?

[sabotage 0]

Проверял сервер Kaspersky Virus Removal Tool, он хранит логи?