Windows Server 2003 R2 Enterprise x64 with Ransom.Win32.Share file crip

22 января, 2019

тут же идея была хоть как-то попытаться их востановить

читайте выше.

Раз восстановление системы отключено, даже если восстановите загрузку системы, то Shadow explorer не поможет.

так что это тоже

не поможет востановить файлы

Для надёжности (вдруг там утилита что неправильно определила) вы можете ещё сами визуально перепроверить включено или нет у вас там восстановление системы.

22 января, 2019

тут же идея была хоть как-то попытаться их востановить
читайте выше.

Раз восстановление системы отключено, даже если восстановите загрузку системы, то Shadow explorer не поможет.
так что это тоже

не поможет востановить файлы

Для надёжности (вдруг там утилита что неправильно определила) вы можете ещё сами визуально перепроверить включено или нет у вас там восстановление системы.

Как проверить?

22 января, 2019

@sabotage, например пуск - выполнить - rstrui.exe

Но на windows server 2003 похоже восстановления системы вообще нет по умолчанию , согласно этой статье.

например пуск - выполнить - rstrui.exe

Либо просто в свойствах системы - вкладка System Restore

23 января, 2019

@sabotage,

1) "Пофиксите" в HijackThis:

O23 - Service S2: Windows Management Instrumentation Driver Service - (Ias) - C:\WINDOWS\SysWOW64\svchost.exe -k netsvcs; "ServiceDll" = C:\WINDOWS\Temp\ntshrui.dll (file missing)

2) Выполните скрипт в uVS

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v400c
BREG
;---------command-block---------
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {FAC3CBF6-8697-43D0-BAB9-DCD1FCE19D75}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {88D96A07-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {853FE2B1-B769-11D0-9C4E-00C04FB6C6FA}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {81990654-43A9-47A9-9AFC-B43160546D81}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D96A08-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D96A0A-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D96A06-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D96A05-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {764BF0E1-F219-11CE-972D-00AA00A14F56}\[CLSID]
delref {92780B25-18CC-41C8-B9BE-3C9C571A8263}\[CLSID]
delref {CA3D46F0-B769-42B7-A296-27368FB7A338}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.8\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.8\PSMACHINE_64.DLL
apply
regt 12
sfcall

3) Попробуйте снова загрузиться в обычный режим

4) Если не получится загрузиться, то лог работы uVS (текстовый файл с датой в названии) прикрепите.

23 января, 2019

@sabotage,

1) "Пофиксите" в HijackThis:

O23 - Service S2: Windows Management Instrumentation Driver Service - (Ias) - C:\WINDOWS\SysWOW64\svchost.exe -k netsvcs; "ServiceDll" = C:\WINDOWS\Temp\ntshrui.dll (file missing)

2) Выполните скрипт в uVS

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v400c
BREG
;---------command-block---------
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {FAC3CBF6-8697-43D0-BAB9-DCD1FCE19D75}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {88D96A07-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {853FE2B1-B769-11D0-9C4E-00C04FB6C6FA}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {81990654-43A9-47A9-9AFC-B43160546D81}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D96A08-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D96A0A-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D96A06-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D96A05-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {764BF0E1-F219-11CE-972D-00AA00A14F56}\[CLSID]
delref {92780B25-18CC-41C8-B9BE-3C9C571A8263}\[CLSID]
delref {CA3D46F0-B769-42B7-A296-27368FB7A338}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.8\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.8\PSMACHINE_64.DLL
apply
regt 12
sfcall

3) Попробуйте снова загрузиться в обычный режим

4) Если не получится загрузиться, то лог работы uVS (текстовый файл с датой в названии) прикрепите.)

При первом пункте пишет the service ias is system-critical it cant be deleted (скрин 8 во вложении) А в скрипте ошибка

begin expected в позиции 1:1

8.zip

Изменено 23 января, 2019 пользователем sabotage

23 января, 2019

А в скрипте ошибка begin expected в позиции 1:1

внимательней читать надо

Выполните скрипт в uVS

и не надо заниматься оверквотингом. Для быстрого ответа есть поле внизу.

23 января, 2019

+

При первом пункте пишет the service ias is system-critical it cant be deleted (скрин 8 во вложении)

1. Откройте папку C:\Windows\ABR\<ДАТА>. Скажите, есть ли внутри файл SYSTEM ?

2. Скачайте http://dsrt.dyndns.org/files/abr.zip

Распакуйте, запустите файл abr.exe

Во время работы ABR замечены ли ошибки?

3. Запустите HiJackThis, нажмите кнопку "List of backups", нажмите "Create registry backup".

Возникли ли ошибки во время работы?

24 января, 2019

да файл SYSTEM есть, во время работы ABR ошибок не замечено, при "Create registry backup" ошибка появляется но после пишет что завершено успешно скрины прикрепил. Не понял что я не так сделал со скриптом?

сорян я тут новичек, не вкурсе что можно быстрый ответ делать, исправлюсь

Изменено 24 января, 2019 пользователем sabotage

24 января, 2019

Не понял что я не так сделал со скриптом?

не в той программе выполняете. Вы скрипт для uVS пытаетесь выполнить в AVZ, конечно он у вас ругаться будет.

Если что инструкция как выполнить скрипт uVS.

24 января, 2019

После выполнения скрипта сервер не запустился в нормальном режиме, лог файл прикрепил

TERMINAL_2019-01-24_07-27-03_v4.1.2.7z

24 января, 2019

Выше вы же один раз прикрепляли

Прикрепленные файлы Прикрепленный файл 2019-01-20_10-40-39_log.txt 19,19К

прикрепите такой же, но со свежей датой.

25 января, 2019

Выше вы же один раз прикрепляли

Прикрепленные файлы Прикрепленный файл 2019-01-20_10-40-39_log.txt 19,19К
прикрепите такой же, но со свежей датой.

Лог прикрепил

2019-01-24_07-20-29_log.txt

25 января, 2019

@sabotage, проверьте это обновление установится?

25 января, 2019

@sabotage, проверьте это обновление установится?

Пишет не может установить из-за языка

всe нашел это обровление на русском установил но система так и не гркзиться в нормальном режиме

Изменено 25 января, 2019 пользователем sabotage

25 января, 2019

@sabotage, свежий образ автозапуска сделайте.

+ свежие логи Автологером.

Войти

Windows Server 2003 R2 Enterprise x64 with Ransom.Win32.Share file crip

Рекомендуемые сообщения

regist 617

Ссылка на сообщение

Поделиться на другие сайты

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

Posted Images

sabotage 0

Ссылка на сообщение

Поделиться на другие сайты

regist 617

Ссылка на сообщение

Поделиться на другие сайты

regist 617

Ссылка на сообщение

Поделиться на другие сайты

sabotage 0

Ссылка на сообщение

Поделиться на другие сайты

regist 617

Ссылка на сообщение

Поделиться на другие сайты

regist 617

Ссылка на сообщение

Поделиться на другие сайты

sabotage 0

Ссылка на сообщение

Поделиться на другие сайты

regist 617

Ссылка на сообщение

Поделиться на другие сайты

sabotage 0

Ссылка на сообщение

Поделиться на другие сайты

regist 617

Ссылка на сообщение

Поделиться на другие сайты

sabotage 0

Ссылка на сообщение

Поделиться на другие сайты

regist 617

Ссылка на сообщение

Поделиться на другие сайты

sabotage 0

Ссылка на сообщение

Поделиться на другие сайты

regist 617

Ссылка на сообщение

Поделиться на другие сайты

Присоединяйтесь к обсуждению

Похожий контент