Перейти к содержанию

Windows Server 2003 R2 Enterprise x64 with Ransom.Win32.Share file crip

sabotage
 Поделиться

Рекомендуемые сообщения

  • Ответов 107
  • Создана
  • Последний ответ

Топ авторов темы

  • sabotage

    50

  • SQ

    37

  • regist

    20

  • Sandor

    1

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

Sandor
Sandor

Попробуйте запустить не с рабочего стола, а из корня диска, например, с C:\

regist
regist

Попробуем ещё. 1) Удалите у себя папку (содержимое) Store которая в каталоге с uVS. 2) Распакуйте туда вместо неё из этого архива. Напомню папка должна быть в корневой папке с uVS и не содержать под

Изображения в теме

sabotage

sabotage

Опубликовано
  • Автор
Опубликовано (изменено)

по умолчанию C:\KVRT_Data

Да все есть: там 3 папки, legal notice, reports, quarantine (какая из них?)

Изменено пользователем sabotage
SQ

SQ

Опубликовано
Опубликовано

Странно в указанных логах удален только:
 

C:\Program Files\Process Hacker 2\ProcessHacker.exe  not-a-virus:HEUR:RiskTool.Win32.ProcHack.gen

Вы точно, правильные логи указали?


У Вас есть установочный диск Windows Server 2003 с которого ранее вставили систему?

sabotage

sabotage

Опубликовано
  • Автор
Опубликовано (изменено)

Странно в указанных логах удален только:

 

C:\Program Files\Process Hacker 2\ProcessHacker.exe  not-a-virus:HEUR:RiskTool.Win32.ProcHack.gen

Вы точно, правильные логи указали?

У Вас есть установочный диск Windows Server 2003 с которого ранее вставили систему?

да все верно, установочного диска нет т.к. это версия OEM, есть образ на виртуалке могу глянуть на нем, но там сканировал систему через kaspersky internet security

Изменено пользователем sabotage
sabotage

sabotage

Опубликовано
  • Автор
Опубликовано (изменено)

пишет ссылка не найдена  - все скачал

 

пишет ссылка не найдена  - все скачал

 

Готово

TERMINAL_2019-01-19_08-38-30_v4.1.2.7z

Изменено пользователем sabotage
sabotage

sabotage

Опубликовано
  • Автор
Опубликовано (изменено)

В логах ничего вредоносного не видно.

Значит вируса уже нет?

Изменено пользователем sabotage
SQ

SQ

Опубликовано
Опубликовано

Активного вредоносного ПО не видно, похоже шифровальщик выполнил свою миссию и ликвидировался, либо антивирус его удалил.


Чтобы попробовать восстановить загрузку в нормальный режим, скорее всего потребуется установочный диск, чтобы проверить целостность системных файлов в командной строке (cmd.exe)
 

sfc /scannow

P.S. но согласно логу uVS очень много битых системных файлов и драйверов.

sabotage

sabotage

Опубликовано
  • Автор
Опубликовано (изменено)

Активного вредоносного ПО не видно, похоже шифровальщик выполнил свою миссию и ликвидировался, либо антивирус его удалил.

Значит его удалил кто-то из сотрудников ну или он сам удалился(такого еще не видел) т.к. образ я делал сразу после заражения и там этот вирус был. Он есть в скрине в самой теме Trojan-Ransom.Win32.Share 

Есть какие-то шансы востановить систему?

Активного вредоносного ПО не видно, похоже шифровальщик выполнил свою миссию и ликвидировался, либо антивирус его удалил.

Чтобы попробовать восстановить загрузку в нормальный режим, скорее всего потребуется установочный диск, чтобы проверить целостность системных файлов в командной строке (cmd.exe)

 

sfc /scannow

P.S. но согласно логу uVS очень много битых системных файлов и драйверов.

А образы windos server 2003 r2 enterprise x64 еще есть на сайте microsoft? поддержка этой системы уже прекращена где-то года 3 с половиной

Изменено пользователем sabotage
SQ

SQ

Опубликовано
Опубликовано

Есть какие-то шансы востановить систему?

А могли бы попробовать загрузиться в режиме чистой загрузки? Может отсутствие какого-то драйвера мешает загрузки ОС, например отсутствие драйверов ключа 1C.

 

Значит его удалил кто-то из сотрудников ну или он сам удалился(такого еще не видел) т.к. образ я делал сразу после заражения и там этот вирус был. Он есть в скрине в самой теме Trojan-Ransom.Win32.Share 

Есть какие-то шансы востановить систему?

Мало вероятно, чтобы кто-то из сотрудников удалил, на скрине видно, что антивирус нашел вредоносное ПО, разве оно не удалила?

 

Могу лишь еще предположить, что они не попали в лог, вы видете вредоносное ПО по путям которые указаны на скриншоте антивируса?

SQ

SQ

Опубликовано
Опубликовано

Могли бы пожалуйста экпортировать журналы (EventLogs) для анализа, по каким причинам не грузиться в нормальный режим. (Обычно требуется 3 журнала: Application, Security, System).

Вы кстате не смотрели есть ли в журналах записи по RDP подключения на сервер, обычно если нет то злоумышлинник подключился на сервер по средствам RDP и удалил за собой следы?

sabotage

sabotage

Опубликовано
  • Автор
Опубликовано (изменено)

Мало вероятно, чтобы кто-то из сотрудников удалил, на скрине видно, что антивирус нашел вредоносное ПО, разве оно не удалила?

 

Могу лишь еще предположить, что они не попали в лог, вы видете вредоносное ПО по путям которые указаны на скриншоте антивируса?

Добрый день. Скрин шот в теме запроса это с виртуалки. На самом же сервере проверяли еше авастом систему мои сотрудники, вполне могли снести вирус.

А вот образ точно с вирусом. 

 

Могли бы пожалуйста экпортировать журналы (EventLogs) для анализа, по каким причинам не грузиться в нормальный режим. (Обычно требуется 3 журнала: Application, Security, System).

 

Вы кстате не смотрели есть ли в журналах записи по RDP подключения на сервер, обычно если нет то злоумышлинник подключился на сервер по средствам RDP и удалил за собой следы?

RDP логи не проверял, подскажите где их можно просмотреть? И где остальные(указанные вами) жуналы можно достать?

 

А могли бы попробовать загрузиться в режиме чистой загрузки? Может отсутствие какого-то драйвера мешает загрузки ОС, например отсутствие драйверов ключа 1C.

 

Могу лишь еще предположить, что они не попали в лог, вы видете вредоносное ПО по путям которые указаны на скриншоте антивируса?

Проверил - запустил систему через чистую загрузку не сработало все также черный экран

 

Активного вредоносного ПО не видно, похоже шифровальщик выполнил свою миссию и ликвидировался, либо антивирус его удалил.

 

Чтобы попробовать восстановить загрузку в нормальный режим, скорее всего потребуется установочный диск, чтобы проверить целостность системных файлов в командной строке (cmd.exe)

 

sfc /scannow
P.S. но согласно логу uVS очень много битых системных файлов и драйверов.

 

Запустил в коммандную строку в безпасной режиме пишет что не совпадает сhecksum и закрывается, а при загруке системы с поддержкой коммандной строки при вводе команды "sfc /scannow" пишет что сервер RDP не длступен?? Похоже что я что-то не так делаю скрины прикрепил

 

Могли бы пожалуйста экпортировать журналы (EventLogs) для анализа, по каким причинам не грузиться в нормальный режим. (Обычно требуется 3 журнала: Application, Security, System).

 

Вы кстате не смотрели есть ли в журналах записи по RDP подключения на сервер, обычно если нет то злоумышлинник подключился на сервер по средствам RDP и удалил за собой следы?

Все нашел во вложении

post-52640-0-10258300-1547994265_thumb.jpg

post-52640-0-24269400-1547994272_thumb.jpg

jurnals.zip

Изменено пользователем SQ

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sabotage
      Кто-нибудь уже пробовал расшифровать Rotorcript файлы?
      Автор sabotage
      Всем привет! кто-нибудь пробовал расшифровать файлы типа .!@#$%^&-()_+.1- C(Rotorcript)  Вирус -Ransom.Win32.Share 
      т.к. востановить систему не получилось тема создал тут  хочу попробовать расшифровать, если есть какие-то утитилы или кто-то пробовать напишите плз.
       

      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Опросы".
×
×
  • Создать...