Перейти к содержанию

Windows Server 2003 R2 Enterprise x64 with Ransom.Win32.Share file crip

sabotage
 Share

Рекомендуемые сообщения

  • Ответов 107
  • Created
  • Последний ответ

Top Posters In This Topic

  • sabotage

    50

  • SQ

    37

  • regist

    20

  • Sandor

    1

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

Sandor
Sandor

Попробуйте запустить не с рабочего стола, а из корня диска, например, с C:\

regist
regist

Попробуем ещё. 1) Удалите у себя папку (содержимое) Store которая в каталоге с uVS. 2) Распакуйте туда вместо неё из этого архива. Напомню папка должна быть в корневой папке с uVS и не содержать под

Posted Images

sabotage Постоялец

sabotage

Опубликовано
  • Автор
Опубликовано (изменено)

по умолчанию C:\KVRT_Data

Да все есть: там 3 папки, legal notice, reports, quarantine (какая из них?)

Изменено пользователем sabotage
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Странно в указанных логах удален только:
 

C:\Program Files\Process Hacker 2\ProcessHacker.exe  not-a-virus:HEUR:RiskTool.Win32.ProcHack.gen

Вы точно, правильные логи указали?


У Вас есть установочный диск Windows Server 2003 с которого ранее вставили систему?

Ссылка на комментарий
Поделиться на другие сайты
sabotage Постоялец

sabotage

Опубликовано
  • Автор
Опубликовано (изменено)

Странно в указанных логах удален только:

 

C:\Program Files\Process Hacker 2\ProcessHacker.exe  not-a-virus:HEUR:RiskTool.Win32.ProcHack.gen

Вы точно, правильные логи указали?

У Вас есть установочный диск Windows Server 2003 с которого ранее вставили систему?

да все верно, установочного диска нет т.к. это версия OEM, есть образ на виртуалке могу глянуть на нем, но там сканировал систему через kaspersky internet security

Изменено пользователем sabotage
Ссылка на комментарий
Поделиться на другие сайты
sabotage Постоялец

sabotage

Опубликовано
  • Автор
Опубликовано (изменено)

пишет ссылка не найдена  - все скачал

 

пишет ссылка не найдена  - все скачал

 

Готово

TERMINAL_2019-01-19_08-38-30_v4.1.2.7z

Изменено пользователем sabotage
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Активного вредоносного ПО не видно, похоже шифровальщик выполнил свою миссию и ликвидировался, либо антивирус его удалил.


Чтобы попробовать восстановить загрузку в нормальный режим, скорее всего потребуется установочный диск, чтобы проверить целостность системных файлов в командной строке (cmd.exe)
 

sfc /scannow

P.S. но согласно логу uVS очень много битых системных файлов и драйверов.

Ссылка на комментарий
Поделиться на другие сайты
sabotage Постоялец

sabotage

Опубликовано
  • Автор
Опубликовано (изменено)

Активного вредоносного ПО не видно, похоже шифровальщик выполнил свою миссию и ликвидировался, либо антивирус его удалил.

Значит его удалил кто-то из сотрудников ну или он сам удалился(такого еще не видел) т.к. образ я делал сразу после заражения и там этот вирус был. Он есть в скрине в самой теме Trojan-Ransom.Win32.Share 

Есть какие-то шансы востановить систему?

Активного вредоносного ПО не видно, похоже шифровальщик выполнил свою миссию и ликвидировался, либо антивирус его удалил.

Чтобы попробовать восстановить загрузку в нормальный режим, скорее всего потребуется установочный диск, чтобы проверить целостность системных файлов в командной строке (cmd.exe)

 

sfc /scannow

P.S. но согласно логу uVS очень много битых системных файлов и драйверов.

А образы windos server 2003 r2 enterprise x64 еще есть на сайте microsoft? поддержка этой системы уже прекращена где-то года 3 с половиной

Изменено пользователем sabotage
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Есть какие-то шансы востановить систему?

А могли бы попробовать загрузиться в режиме чистой загрузки? Может отсутствие какого-то драйвера мешает загрузки ОС, например отсутствие драйверов ключа 1C.

 

Значит его удалил кто-то из сотрудников ну или он сам удалился(такого еще не видел) т.к. образ я делал сразу после заражения и там этот вирус был. Он есть в скрине в самой теме Trojan-Ransom.Win32.Share 

Есть какие-то шансы востановить систему?

Мало вероятно, чтобы кто-то из сотрудников удалил, на скрине видно, что антивирус нашел вредоносное ПО, разве оно не удалила?

 

Могу лишь еще предположить, что они не попали в лог, вы видете вредоносное ПО по путям которые указаны на скриншоте антивируса?

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Могли бы пожалуйста экпортировать журналы (EventLogs) для анализа, по каким причинам не грузиться в нормальный режим. (Обычно требуется 3 журнала: Application, Security, System).

Вы кстате не смотрели есть ли в журналах записи по RDP подключения на сервер, обычно если нет то злоумышлинник подключился на сервер по средствам RDP и удалил за собой следы?

Ссылка на комментарий
Поделиться на другие сайты
sabotage Постоялец

sabotage

Опубликовано
  • Автор
Опубликовано (изменено)

Мало вероятно, чтобы кто-то из сотрудников удалил, на скрине видно, что антивирус нашел вредоносное ПО, разве оно не удалила?

 

Могу лишь еще предположить, что они не попали в лог, вы видете вредоносное ПО по путям которые указаны на скриншоте антивируса?

Добрый день. Скрин шот в теме запроса это с виртуалки. На самом же сервере проверяли еше авастом систему мои сотрудники, вполне могли снести вирус.

А вот образ точно с вирусом. 

 

Могли бы пожалуйста экпортировать журналы (EventLogs) для анализа, по каким причинам не грузиться в нормальный режим. (Обычно требуется 3 журнала: Application, Security, System).

 

Вы кстате не смотрели есть ли в журналах записи по RDP подключения на сервер, обычно если нет то злоумышлинник подключился на сервер по средствам RDP и удалил за собой следы?

RDP логи не проверял, подскажите где их можно просмотреть? И где остальные(указанные вами) жуналы можно достать?

 

А могли бы попробовать загрузиться в режиме чистой загрузки? Может отсутствие какого-то драйвера мешает загрузки ОС, например отсутствие драйверов ключа 1C.

 

Могу лишь еще предположить, что они не попали в лог, вы видете вредоносное ПО по путям которые указаны на скриншоте антивируса?

Проверил - запустил систему через чистую загрузку не сработало все также черный экран

 

Активного вредоносного ПО не видно, похоже шифровальщик выполнил свою миссию и ликвидировался, либо антивирус его удалил.

 

Чтобы попробовать восстановить загрузку в нормальный режим, скорее всего потребуется установочный диск, чтобы проверить целостность системных файлов в командной строке (cmd.exe)

 

sfc /scannow
P.S. но согласно логу uVS очень много битых системных файлов и драйверов.

 

Запустил в коммандную строку в безпасной режиме пишет что не совпадает сhecksum и закрывается, а при загруке системы с поддержкой коммандной строки при вводе команды "sfc /scannow" пишет что сервер RDP не длступен?? Похоже что я что-то не так делаю скрины прикрепил

 

Могли бы пожалуйста экпортировать журналы (EventLogs) для анализа, по каким причинам не грузиться в нормальный режим. (Обычно требуется 3 журнала: Application, Security, System).

 

Вы кстате не смотрели есть ли в журналах записи по RDP подключения на сервер, обычно если нет то злоумышлинник подключился на сервер по средствам RDP и удалил за собой следы?

Все нашел во вложении

post-52640-0-10258300-1547994265_thumb.jpg

post-52640-0-24269400-1547994272_thumb.jpg

jurnals.zip

Изменено пользователем SQ
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • ГГеоргий
      BSOD после установки File: \Windows\System32\DRIVERS\Klelam.sys
      От ГГеоргий
      В процессе локальной установки  КЕС на устройство, оно выключилось и включилось уже с синим экраном
      error code 0xc00000f 
       "The operating system couldnt be loaded because a critical driver  missing or contains error" File: \Windows\System32\DRIVERS\Klelam.sys.
      в Safemode зайти не удается - всё равно выкидывает ошибку
      точки восстановления нет
      что делать? 
      мы ставили на два идентичных устройства до этого - всё прошло успешно
       
    • serioussd
      Шифровальщик blackbit, windows server 2012r2
      От serioussd
      Сервер поймал шифровальщик blackbit, прошу помощи в чистке сервера и возможной дешифровке файлов, пропали все программы, на сервере расположены базы 1с, postgresql  два файла.zipFixlog.txt   

    • wumbo12
      Windows Server и Windows SP3
      От wumbo12
      Добрый день ! Мне нужна необходимая информация, нужен две пк поставить Windows SP 3 и Сервер , нужна старая версия , с актуальным матчем . 
       
      Не предлагать Windows 2012-2024 версии Сервера , а низкие версии .
      Не предлагать Windows 7,8,10 - нужна низкие операционные системы , с актуальным патчем .
    • Андрей E.
      словили blackbit на windows server 2016. скорее всего через открытый порт намаршрутизаторе 3389.
      От Андрей E.
      Какие наши действия?
    • saha96
      Обновление Windows server 2008 r2
      От saha96
      Доброго времени суток, после запуска установщика Windows Server 2012 появляется ошибка "Обновление невозможно, так как язык содержимого на установочном диске отличается от языка, используемого на компьютере. Перейдите по адресу http://go.microsoft.com/fwlink/?LinkID=142337 и узнайте, как установить Windows и не потерять при этом свои файлы и параметры." Кто знает как можно побороть данную проблему?
×
×
  • Создать...