Перейти к содержанию

Windows Server 2003 R2 Enterprise x64 with Ransom.Win32.Share file crip

sabotage
 Поделиться

Рекомендуемые сообщения

  • Ответов 107
  • Создана
  • Последний ответ

Топ авторов темы

  • sabotage

    50

  • SQ

    37

  • regist

    20

  • Sandor

    1

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

Sandor
Sandor

Попробуйте запустить не с рабочего стола, а из корня диска, например, с C:\

regist
regist

Попробуем ещё. 1) Удалите у себя папку (содержимое) Store которая в каталоге с uVS. 2) Распакуйте туда вместо неё из этого архива. Напомню папка должна быть в корневой папке с uVS и не содержать под

Изображения в теме

sabotage Постоялец

sabotage

Опубликовано
  • Автор
Опубликовано (изменено)

по умолчанию C:\KVRT_Data

Да все есть: там 3 папки, legal notice, reports, quarantine (какая из них?)

Изменено пользователем sabotage
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Странно в указанных логах удален только:
 

C:\Program Files\Process Hacker 2\ProcessHacker.exe  not-a-virus:HEUR:RiskTool.Win32.ProcHack.gen

Вы точно, правильные логи указали?


У Вас есть установочный диск Windows Server 2003 с которого ранее вставили систему?

Ссылка на комментарий
Поделиться на другие сайты
sabotage Постоялец

sabotage

Опубликовано
  • Автор
Опубликовано (изменено)

Странно в указанных логах удален только:

 

C:\Program Files\Process Hacker 2\ProcessHacker.exe  not-a-virus:HEUR:RiskTool.Win32.ProcHack.gen

Вы точно, правильные логи указали?

У Вас есть установочный диск Windows Server 2003 с которого ранее вставили систему?

да все верно, установочного диска нет т.к. это версия OEM, есть образ на виртуалке могу глянуть на нем, но там сканировал систему через kaspersky internet security

Изменено пользователем sabotage
Ссылка на комментарий
Поделиться на другие сайты
sabotage Постоялец

sabotage

Опубликовано
  • Автор
Опубликовано (изменено)

пишет ссылка не найдена  - все скачал

 

пишет ссылка не найдена  - все скачал

 

Готово

TERMINAL_2019-01-19_08-38-30_v4.1.2.7z

Изменено пользователем sabotage
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Активного вредоносного ПО не видно, похоже шифровальщик выполнил свою миссию и ликвидировался, либо антивирус его удалил.


Чтобы попробовать восстановить загрузку в нормальный режим, скорее всего потребуется установочный диск, чтобы проверить целостность системных файлов в командной строке (cmd.exe)
 

sfc /scannow

P.S. но согласно логу uVS очень много битых системных файлов и драйверов.

Ссылка на комментарий
Поделиться на другие сайты
sabotage Постоялец

sabotage

Опубликовано
  • Автор
Опубликовано (изменено)

Активного вредоносного ПО не видно, похоже шифровальщик выполнил свою миссию и ликвидировался, либо антивирус его удалил.

Значит его удалил кто-то из сотрудников ну или он сам удалился(такого еще не видел) т.к. образ я делал сразу после заражения и там этот вирус был. Он есть в скрине в самой теме Trojan-Ransom.Win32.Share 

Есть какие-то шансы востановить систему?

Активного вредоносного ПО не видно, похоже шифровальщик выполнил свою миссию и ликвидировался, либо антивирус его удалил.

Чтобы попробовать восстановить загрузку в нормальный режим, скорее всего потребуется установочный диск, чтобы проверить целостность системных файлов в командной строке (cmd.exe)

 

sfc /scannow

P.S. но согласно логу uVS очень много битых системных файлов и драйверов.

А образы windos server 2003 r2 enterprise x64 еще есть на сайте microsoft? поддержка этой системы уже прекращена где-то года 3 с половиной

Изменено пользователем sabotage
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Есть какие-то шансы востановить систему?

А могли бы попробовать загрузиться в режиме чистой загрузки? Может отсутствие какого-то драйвера мешает загрузки ОС, например отсутствие драйверов ключа 1C.

 

Значит его удалил кто-то из сотрудников ну или он сам удалился(такого еще не видел) т.к. образ я делал сразу после заражения и там этот вирус был. Он есть в скрине в самой теме Trojan-Ransom.Win32.Share 

Есть какие-то шансы востановить систему?

Мало вероятно, чтобы кто-то из сотрудников удалил, на скрине видно, что антивирус нашел вредоносное ПО, разве оно не удалила?

 

Могу лишь еще предположить, что они не попали в лог, вы видете вредоносное ПО по путям которые указаны на скриншоте антивируса?

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Могли бы пожалуйста экпортировать журналы (EventLogs) для анализа, по каким причинам не грузиться в нормальный режим. (Обычно требуется 3 журнала: Application, Security, System).

Вы кстате не смотрели есть ли в журналах записи по RDP подключения на сервер, обычно если нет то злоумышлинник подключился на сервер по средствам RDP и удалил за собой следы?

Ссылка на комментарий
Поделиться на другие сайты
sabotage Постоялец

sabotage

Опубликовано
  • Автор
Опубликовано (изменено)

Мало вероятно, чтобы кто-то из сотрудников удалил, на скрине видно, что антивирус нашел вредоносное ПО, разве оно не удалила?

 

Могу лишь еще предположить, что они не попали в лог, вы видете вредоносное ПО по путям которые указаны на скриншоте антивируса?

Добрый день. Скрин шот в теме запроса это с виртуалки. На самом же сервере проверяли еше авастом систему мои сотрудники, вполне могли снести вирус.

А вот образ точно с вирусом. 

 

Могли бы пожалуйста экпортировать журналы (EventLogs) для анализа, по каким причинам не грузиться в нормальный режим. (Обычно требуется 3 журнала: Application, Security, System).

 

Вы кстате не смотрели есть ли в журналах записи по RDP подключения на сервер, обычно если нет то злоумышлинник подключился на сервер по средствам RDP и удалил за собой следы?

RDP логи не проверял, подскажите где их можно просмотреть? И где остальные(указанные вами) жуналы можно достать?

 

А могли бы попробовать загрузиться в режиме чистой загрузки? Может отсутствие какого-то драйвера мешает загрузки ОС, например отсутствие драйверов ключа 1C.

 

Могу лишь еще предположить, что они не попали в лог, вы видете вредоносное ПО по путям которые указаны на скриншоте антивируса?

Проверил - запустил систему через чистую загрузку не сработало все также черный экран

 

Активного вредоносного ПО не видно, похоже шифровальщик выполнил свою миссию и ликвидировался, либо антивирус его удалил.

 

Чтобы попробовать восстановить загрузку в нормальный режим, скорее всего потребуется установочный диск, чтобы проверить целостность системных файлов в командной строке (cmd.exe)

 

sfc /scannow
P.S. но согласно логу uVS очень много битых системных файлов и драйверов.

 

Запустил в коммандную строку в безпасной режиме пишет что не совпадает сhecksum и закрывается, а при загруке системы с поддержкой коммандной строки при вводе команды "sfc /scannow" пишет что сервер RDP не длступен?? Похоже что я что-то не так делаю скрины прикрепил

 

Могли бы пожалуйста экпортировать журналы (EventLogs) для анализа, по каким причинам не грузиться в нормальный режим. (Обычно требуется 3 журнала: Application, Security, System).

 

Вы кстате не смотрели есть ли в журналах записи по RDP подключения на сервер, обычно если нет то злоумышлинник подключился на сервер по средствам RDP и удалил за собой следы?

Все нашел во вложении

post-52640-0-10258300-1547994265_thumb.jpg

post-52640-0-24269400-1547994272_thumb.jpg

jurnals.zip

Изменено пользователем SQ
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Евгений_О
      Совместимость KasperskyPremium с Windows 8.1 x64
      Автор Евгений_О
      Доброго времени суток!
      Уже достаточно давно использовал на своих ПК Kaspersky Total Security. Сейчас лицензия истекает, но Kaspersky Total Security больше недоступен. Вместо него предлагается KasperskyPremium. Но у меня на ПК и нетбуке установлен Windows 8.1. В связи с чем и возникает вопрос совместимости ОС Windows 8.1 и ПО KasperskyPremium? Сможет ли KasperskyPremium установиться на ОС Windows 8.1 и корректно работать?
    • jangur
      Зашифрованы файлы windows server 2019
      Автор jangur
      Добрый день. У меня взломали сервер  с 1С.  Все файлы зашифрованы. Прошу помощи. в архиве логи FRST и 2 зашифрованных файла с требованием
      FRST.zip зашифриТребование.zip
    • VaDima32
      Ночью зашифровали сервер на Windows Server 2019. Все файлы с расширением .SyMat
      Автор VaDima32
      Ночью зашифровали сервер на Windows Server 2019 с базой 1С. Все файлы с расширением .SyMat. Есть хоть какой-то шанс восстановить данные?
      Заранее спасибо. 
      Файлы Логов программы Farbar Recovery Scan Tool, а так же архив с двумя зашифрованными файлами и фаллом письма вымогателей прикрепляю.    
      Логи.zip Архив.zip
    • vasili_rb
      После трояна не работают службы обновления windows server 2022
      Автор vasili_rb
      Добрый вечер.
      Прошу помочь знающих людей.
      Поймал трояна. Антивирусом вычистил, но не работают службы обновления Windows.
      Заранее спасибо.
      Дополнение:
      возможно удалились службы...
      Либо троян что то с ними сделал...
    • Tarnum
      KSOS 21.3 убил Windows Server 2016
      Автор Tarnum
      Возможно, кто-нибудь сталкивался с подобной проблемой? Начал ставить триальную версию KSOS 21.3 на Microsoft Windows Server 2016, официальный установщик обнаружил на сервере несовместимое ПО (Defender - т.е. защитник Windows) и начал его удалять, после чего предложил перезагрузить сервер (сам KSOS при этом даже ещё не начал устанавливаться!). После перезагрузки сервер больше не загружается, выпадает в BSOD (Critical Porocess Died), пробовал безопасный режим - тот же BSOD. Пускает только в командную строку консоли восстановления, но образа системы нет, восстанавливать неоткуда и всё это случилось, что называется, "на ровном месте".
      В общем, я попал. Наверное, придётся увольняться с работы, не знаю, что делать, если до 20 января (ближайший понедельник) никто ничего не посоветует, придётся устанавливать сервер с нуля, и надеяться, что хоть какие-то данные на диске уцелели... :-(
×
×
  • Создать...