Перейти к содержанию

Рекомендуемые сообщения

Система грузится в безопасном режиме версия сборки Windows (3790 Service Pack 2). В обычном режиме не грузится (после экрана с логотипом отобрпжается черный экран), хочу попробовать востанрвить файлы через Shadow explorer но он в безопасном режиме не работает. Подскажите кто знает как можно востановить систему чтобы загрузится в обычном режиме и зарустить Shadow explorer т.к. расшифровать файлы не получилось?

Что делал:

Сделал образ сервера и подмонтировал к виртуалке как отдельный диск (для песочницы)

Проверил  KIS2019 систему и нащел этот вирус (скрин вложил), отправил запрос в лабораторию касперсперского

(На самом сервере) Проверил  Kaspersky Removal Tool не нашел он вирус

Cобрал логи во вложении

post-52640-0-52105200-1547903433_thumb.jpg

CollectionLog-2019.01.18-23.43.zip

Изменено пользователем sabotage
Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 107
  • Created
  • Последний ответ

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

Попробуйте запустить не с рабочего стола, а из корня диска, например, с C:\

Попробуем ещё. 1) Удалите у себя папку (содержимое) Store которая в каталоге с uVS. 2) Распакуйте туда вместо неё из этого архива. Напомню папка должна быть в корневой папке с uVS и не содержать под

Posted Images

Здравствуйте,

Вы пришли с TechNet?

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
 QuarantineFile('"C:\WINDOWS\Temp\ntshrui.dll','');
BC_ImportQuarantineList;
BC_Activate;
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на сообщение
Поделиться на другие сайты

 

Добрый день, да с TechNet мне посоветовали этот форум, у меня Windows server 2003 для ее особенностей нет, и при перезагрузке я так понял заходить в безопасный режим? Так система не грузится

Ссылка на сообщение
Поделиться на другие сайты

 

И так при выполнении скрипта пишет что он завершился без ошибок но в логах ошибка карантина файла см прикрепленный скрин, а вот если запускать AVZ  с правами  администратора пишет эта служба не запускается в безопасном режиме - не придумаю что я делаю не так??

post-52640-0-73760400-1547926199_thumb.jpg

post-52640-0-99044100-1547926206_thumb.jpg

Ссылка на сообщение
Поделиться на другие сайты

Странно как-то.

Могли бы пожалуйста этот файл заархивировать в zip c паролем virus и загрузить этот архив через данную форму

C:\WINDOWS\Temp\ntshrui.dll



 

Ссылка на сообщение
Поделиться на другие сайты

Странно как-то.

 

Могли бы пожалуйста этот файл заархивировать в zip c паролем virus и загрузить этот архив через данную форму

C:\WINDOWS\Temp\ntshrui.dll

 

 

Просмотрел этот путь пишет типа файла такого нет, точно этот путь??

post-52640-0-25202200-1547927013_thumb.jpg

Ссылка на сообщение
Поделиться на другие сайты

В логах был указан этот путь, если его нет то проигноруйте это. Приложите пожалуйста логи утилиту FRST, которые ранее запрашивал.

Ссылка на сообщение
Поделиться на другие сайты

В логах был указан этот путь, если его нет то проигноруйте это. Приложите пожалуйста логи утилиту FRST, которые ранее запрашивал.

Да конечно во вложении

FRST.txt

Addition.txt

Ссылка на сообщение
Поделиться на другие сайты

Уточните пожалуйста это образ оригинального сервера, т.е. можно на нем тестировать?

 

Уточните пожалуйста, что происходит при попытки загрузиться в нормальный режим?

 

Судя по логам много системных файлов отсутствуют, очень много битых служб, тяжело понять какие из них нужные.

Ссылка на сообщение
Поделиться на другие сайты

Все отправленные отчеты я делаю на сервере (реальном железе), т.к. с образа система не грузиться даже в безопасный режим. Его только можно подключить как внешний диск - я его подключил к виртуальной машине и проверил на вирусы (результаты проверки образа в теме обращения скрин ).

 При загрузке в нормальный режим идет типа загрузка системы и потом черный экран (похоже что она занрузилась но не отображается ничего) Скрины приложил

post-52640-0-57860700-1547929451_thumb.jpg

post-52640-0-44906100-1547929458_thumb.jpg

post-52640-0-77595500-1547929466_thumb.jpg

post-52640-0-47662500-1547929473_thumb.jpg

post-52640-0-25694000-1547929483_thumb.jpg

Изменено пользователем sabotage
Ссылка на сообщение
Поделиться на другие сайты

В логах присутсвует только следующая странная запись, похожая на остатки от Backdoor:

S2 Ias; C:\WINDOWS\Temp\ntshrui.dll [X]

однако без самого файла, это не проверить. Вам знаком этот путь/служба?

Ссылка на сообщение
Поделиться на другие сайты

В логах присутсвует только следующая странная запись, похожая на остатки от Backdoor:

S2 Ias; C:\WINDOWS\Temp\ntshrui.dll [X]

однако без самого файла, это не проверить. Вам знаком этот путь/служба?

Я по тому пути прошел - файл не отображается. могу всю папку temp заархивить с паролем "virus" там она 6 mb весит и прислать. Служба не знакома

Изменено пользователем sabotage
Ссылка на сообщение
Поделиться на другие сайты

 Нет папка не нужна, возможно когда проверяли антивирусом он его удалил. У вас логи удаления от антивируса остались?

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От sabotage
      Всем привет! кто-нибудь пробовал расшифровать файлы типа .!@#$%^&-()_+.1- C(Rotorcript)  Вирус -Ransom.Win32.Share 
      т.к. востановить систему не получилось тема создал тут  хочу попробовать расшифровать, если есть какие-то утитилы или кто-то пробовать напишите плз.
       

      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Опросы".

×
×
  • Создать...