Перейти к содержанию
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Windows Server 2003 R2 Enterprise x64 with Ransom.Win32.Share file crip

sabotage
 Поделиться

Рекомендуемые сообщения

  • Ответов 107
  • Создана
  • Последний ответ

Топ авторов темы

  • sabotage

    50

  • SQ

    37

  • regist

    20

  • Sandor

    1

Топ авторов темы

Популярные посты

Sandor
Sandor

Попробуйте запустить не с рабочего стола, а из корня диска, например, с C:\

regist
regist

Попробуем ещё. 1) Удалите у себя папку (содержимое) Store которая в каталоге с uVS. 2) Распакуйте туда вместо неё из этого архива. Напомню папка должна быть в корневой папке с uVS и не содержать под

Изображения в теме

sabotage

sabotage

Опубликовано
  • Автор
Опубликовано (изменено)

по умолчанию C:\KVRT_Data

Да все есть: там 3 папки, legal notice, reports, quarantine (какая из них?)

Изменено пользователем sabotage
SQ

SQ

Опубликовано
Опубликовано

Странно в указанных логах удален только:
 

C:\Program Files\Process Hacker 2\ProcessHacker.exe  not-a-virus:HEUR:RiskTool.Win32.ProcHack.gen

Вы точно, правильные логи указали?


У Вас есть установочный диск Windows Server 2003 с которого ранее вставили систему?

sabotage

sabotage

Опубликовано
  • Автор
Опубликовано (изменено)

Странно в указанных логах удален только:

 

C:\Program Files\Process Hacker 2\ProcessHacker.exe  not-a-virus:HEUR:RiskTool.Win32.ProcHack.gen

Вы точно, правильные логи указали?

У Вас есть установочный диск Windows Server 2003 с которого ранее вставили систему?

да все верно, установочного диска нет т.к. это версия OEM, есть образ на виртуалке могу глянуть на нем, но там сканировал систему через kaspersky internet security

Изменено пользователем sabotage
sabotage

sabotage

Опубликовано
  • Автор
Опубликовано (изменено)

пишет ссылка не найдена  - все скачал

 

пишет ссылка не найдена  - все скачал

 

Готово

TERMINAL_2019-01-19_08-38-30_v4.1.2.7z

Изменено пользователем sabotage
sabotage

sabotage

Опубликовано
  • Автор
Опубликовано (изменено)

В логах ничего вредоносного не видно.

Значит вируса уже нет?

Изменено пользователем sabotage
SQ

SQ

Опубликовано
Опубликовано

Активного вредоносного ПО не видно, похоже шифровальщик выполнил свою миссию и ликвидировался, либо антивирус его удалил.


Чтобы попробовать восстановить загрузку в нормальный режим, скорее всего потребуется установочный диск, чтобы проверить целостность системных файлов в командной строке (cmd.exe)
 

sfc /scannow

P.S. но согласно логу uVS очень много битых системных файлов и драйверов.

sabotage

sabotage

Опубликовано
  • Автор
Опубликовано (изменено)

Активного вредоносного ПО не видно, похоже шифровальщик выполнил свою миссию и ликвидировался, либо антивирус его удалил.

Значит его удалил кто-то из сотрудников ну или он сам удалился(такого еще не видел) т.к. образ я делал сразу после заражения и там этот вирус был. Он есть в скрине в самой теме Trojan-Ransom.Win32.Share 

Есть какие-то шансы востановить систему?

Активного вредоносного ПО не видно, похоже шифровальщик выполнил свою миссию и ликвидировался, либо антивирус его удалил.

Чтобы попробовать восстановить загрузку в нормальный режим, скорее всего потребуется установочный диск, чтобы проверить целостность системных файлов в командной строке (cmd.exe)

 

sfc /scannow

P.S. но согласно логу uVS очень много битых системных файлов и драйверов.

А образы windos server 2003 r2 enterprise x64 еще есть на сайте microsoft? поддержка этой системы уже прекращена где-то года 3 с половиной

Изменено пользователем sabotage
SQ

SQ

Опубликовано
Опубликовано

Есть какие-то шансы востановить систему?

А могли бы попробовать загрузиться в режиме чистой загрузки? Может отсутствие какого-то драйвера мешает загрузки ОС, например отсутствие драйверов ключа 1C.

 

Значит его удалил кто-то из сотрудников ну или он сам удалился(такого еще не видел) т.к. образ я делал сразу после заражения и там этот вирус был. Он есть в скрине в самой теме Trojan-Ransom.Win32.Share 

Есть какие-то шансы востановить систему?

Мало вероятно, чтобы кто-то из сотрудников удалил, на скрине видно, что антивирус нашел вредоносное ПО, разве оно не удалила?

 

Могу лишь еще предположить, что они не попали в лог, вы видете вредоносное ПО по путям которые указаны на скриншоте антивируса?

SQ

SQ

Опубликовано
Опубликовано

Могли бы пожалуйста экпортировать журналы (EventLogs) для анализа, по каким причинам не грузиться в нормальный режим. (Обычно требуется 3 журнала: Application, Security, System).

Вы кстате не смотрели есть ли в журналах записи по RDP подключения на сервер, обычно если нет то злоумышлинник подключился на сервер по средствам RDP и удалил за собой следы?

sabotage

sabotage

Опубликовано
  • Автор
Опубликовано (изменено)

Мало вероятно, чтобы кто-то из сотрудников удалил, на скрине видно, что антивирус нашел вредоносное ПО, разве оно не удалила?

 

Могу лишь еще предположить, что они не попали в лог, вы видете вредоносное ПО по путям которые указаны на скриншоте антивируса?

Добрый день. Скрин шот в теме запроса это с виртуалки. На самом же сервере проверяли еше авастом систему мои сотрудники, вполне могли снести вирус.

А вот образ точно с вирусом. 

 

Могли бы пожалуйста экпортировать журналы (EventLogs) для анализа, по каким причинам не грузиться в нормальный режим. (Обычно требуется 3 журнала: Application, Security, System).

 

Вы кстате не смотрели есть ли в журналах записи по RDP подключения на сервер, обычно если нет то злоумышлинник подключился на сервер по средствам RDP и удалил за собой следы?

RDP логи не проверял, подскажите где их можно просмотреть? И где остальные(указанные вами) жуналы можно достать?

 

А могли бы попробовать загрузиться в режиме чистой загрузки? Может отсутствие какого-то драйвера мешает загрузки ОС, например отсутствие драйверов ключа 1C.

 

Могу лишь еще предположить, что они не попали в лог, вы видете вредоносное ПО по путям которые указаны на скриншоте антивируса?

Проверил - запустил систему через чистую загрузку не сработало все также черный экран

 

Активного вредоносного ПО не видно, похоже шифровальщик выполнил свою миссию и ликвидировался, либо антивирус его удалил.

 

Чтобы попробовать восстановить загрузку в нормальный режим, скорее всего потребуется установочный диск, чтобы проверить целостность системных файлов в командной строке (cmd.exe)

 

sfc /scannow
P.S. но согласно логу uVS очень много битых системных файлов и драйверов.

 

Запустил в коммандную строку в безпасной режиме пишет что не совпадает сhecksum и закрывается, а при загруке системы с поддержкой коммандной строки при вводе команды "sfc /scannow" пишет что сервер RDP не длступен?? Похоже что я что-то не так делаю скрины прикрепил

 

Могли бы пожалуйста экпортировать журналы (EventLogs) для анализа, по каким причинам не грузиться в нормальный режим. (Обычно требуется 3 журнала: Application, Security, System).

 

Вы кстате не смотрели есть ли в журналах записи по RDP подключения на сервер, обычно если нет то злоумышлинник подключился на сервер по средствам RDP и удалил за собой следы?

Все нашел во вложении

post-52640-0-10258300-1547994265_thumb.jpg

post-52640-0-24269400-1547994272_thumb.jpg

jurnals.zip

Изменено пользователем SQ

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • AA1895
      расшифровка вирусных файлов keybtc@foxmail2.com
      Автор AA1895
      Здравствуйте! На почту пришло письмо - в приложении о судебной повестке. После открытия сработал шифровальщик  и все данные зашифровал! В приложении письмо вымогателей. Как можно расшифровать.
      Заранее огромное спасибо!
       

      Сообщение от модератора Nark D. Pearlstone Если письмо понадобится, то вас попросят его прикрепить. В данный момент файл удалён.
    • Wildo
      Зашифрованы файлы
      Автор Wildo
      Та же проблема!Помогите пожалуйста.Делал все по комментариям,как вы писали.
      KLAN-2544242696
      Здравствуйте,
      Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

      quarantine.zip

      Этот файл повреждён.

      С уважением, Лаборатория Касперского

      "125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"
       

      Сообщение от модератора "Mark D. Pearlstone" Перенесено из темы
    • LelyaZ
      Вирус изменил расширения файлов и изображений
      Автор LelyaZ
      Здравствуйте!
      Скачала файл с вирусом, после чего все файлы и изображения теперь не открываются, указано: Приложение MS-DOS, и в названиях файлов появилось .id-4378333746_xsmail@india, где id у почти везде разный. Файлы музыки и видео не изменились. 
      Прошу помочь расшифровать файлы.
      CollectionLog-2015.02.16-20.17.zip
    • goa.sar
      Вирус изменил расширение файлов на .qetputd
      Автор goa.sar
      По почте получил письмо, открыл после этого все файлы Майкрософт офис, .pdf и картинки формата .jpeg поменяли свое расширение на .qetputd
      CollectionLog-2015.02.05-23.26.zip
    • denuzl
      Шифровальщик
      Автор denuzl
      добрый день.  пользователю по электронной почте прислали файл с расширением ехе и не долго думая она его запустила. это оказался шифровальщик. теперь файлы с расширением .doc.id-****_paycrypt@inbox.com. есть ли возможность расшифровать.
      2015_02_03.rar
×
×
  • Создать...