Перейти к содержанию

Рекомендуемые сообщения

  • Ответов 107
  • Created
  • Последний ответ

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

Попробуйте запустить не с рабочего стола, а из корня диска, например, с C:\

Попробуем ещё. 1) Удалите у себя папку (содержимое) Store которая в каталоге с uVS. 2) Распакуйте туда вместо неё из этого архива. Напомню папка должна быть в корневой папке с uVS и не содержать под

Posted Images

по умолчанию C:\KVRT_Data

Да все есть: там 3 папки, legal notice, reports, quarantine (какая из них?)

Изменено пользователем sabotage
Ссылка на сообщение
Поделиться на другие сайты

Странно в указанных логах удален только:
 

C:\Program Files\Process Hacker 2\ProcessHacker.exe  not-a-virus:HEUR:RiskTool.Win32.ProcHack.gen

Вы точно, правильные логи указали?


У Вас есть установочный диск Windows Server 2003 с которого ранее вставили систему?

Ссылка на сообщение
Поделиться на другие сайты

Странно в указанных логах удален только:

 

C:\Program Files\Process Hacker 2\ProcessHacker.exe  not-a-virus:HEUR:RiskTool.Win32.ProcHack.gen

Вы точно, правильные логи указали?

У Вас есть установочный диск Windows Server 2003 с которого ранее вставили систему?

да все верно, установочного диска нет т.к. это версия OEM, есть образ на виртуалке могу глянуть на нем, но там сканировал систему через kaspersky internet security

Изменено пользователем sabotage
Ссылка на сообщение
Поделиться на другие сайты

пишет ссылка не найдена  - все скачал

 

пишет ссылка не найдена  - все скачал

 

Готово

TERMINAL_2019-01-19_08-38-30_v4.1.2.7z

Изменено пользователем sabotage
Ссылка на сообщение
Поделиться на другие сайты

Активного вредоносного ПО не видно, похоже шифровальщик выполнил свою миссию и ликвидировался, либо антивирус его удалил.


Чтобы попробовать восстановить загрузку в нормальный режим, скорее всего потребуется установочный диск, чтобы проверить целостность системных файлов в командной строке (cmd.exe)
 

sfc /scannow

P.S. но согласно логу uVS очень много битых системных файлов и драйверов.

Ссылка на сообщение
Поделиться на другие сайты

Активного вредоносного ПО не видно, похоже шифровальщик выполнил свою миссию и ликвидировался, либо антивирус его удалил.

Значит его удалил кто-то из сотрудников ну или он сам удалился(такого еще не видел) т.к. образ я делал сразу после заражения и там этот вирус был. Он есть в скрине в самой теме Trojan-Ransom.Win32.Share 

Есть какие-то шансы востановить систему?

Активного вредоносного ПО не видно, похоже шифровальщик выполнил свою миссию и ликвидировался, либо антивирус его удалил.

Чтобы попробовать восстановить загрузку в нормальный режим, скорее всего потребуется установочный диск, чтобы проверить целостность системных файлов в командной строке (cmd.exe)

 

sfc /scannow

P.S. но согласно логу uVS очень много битых системных файлов и драйверов.

А образы windos server 2003 r2 enterprise x64 еще есть на сайте microsoft? поддержка этой системы уже прекращена где-то года 3 с половиной

Изменено пользователем sabotage
Ссылка на сообщение
Поделиться на другие сайты

Есть какие-то шансы востановить систему?

А могли бы попробовать загрузиться в режиме чистой загрузки? Может отсутствие какого-то драйвера мешает загрузки ОС, например отсутствие драйверов ключа 1C.

 

Значит его удалил кто-то из сотрудников ну или он сам удалился(такого еще не видел) т.к. образ я делал сразу после заражения и там этот вирус был. Он есть в скрине в самой теме Trojan-Ransom.Win32.Share 

Есть какие-то шансы востановить систему?

Мало вероятно, чтобы кто-то из сотрудников удалил, на скрине видно, что антивирус нашел вредоносное ПО, разве оно не удалила?

 

Могу лишь еще предположить, что они не попали в лог, вы видете вредоносное ПО по путям которые указаны на скриншоте антивируса?

Ссылка на сообщение
Поделиться на другие сайты

Могли бы пожалуйста экпортировать журналы (EventLogs) для анализа, по каким причинам не грузиться в нормальный режим. (Обычно требуется 3 журнала: Application, Security, System).

Вы кстате не смотрели есть ли в журналах записи по RDP подключения на сервер, обычно если нет то злоумышлинник подключился на сервер по средствам RDP и удалил за собой следы?

Ссылка на сообщение
Поделиться на другие сайты

Мало вероятно, чтобы кто-то из сотрудников удалил, на скрине видно, что антивирус нашел вредоносное ПО, разве оно не удалила?

 

Могу лишь еще предположить, что они не попали в лог, вы видете вредоносное ПО по путям которые указаны на скриншоте антивируса?

Добрый день. Скрин шот в теме запроса это с виртуалки. На самом же сервере проверяли еше авастом систему мои сотрудники, вполне могли снести вирус.

А вот образ точно с вирусом. 

 

Могли бы пожалуйста экпортировать журналы (EventLogs) для анализа, по каким причинам не грузиться в нормальный режим. (Обычно требуется 3 журнала: Application, Security, System).

 

Вы кстате не смотрели есть ли в журналах записи по RDP подключения на сервер, обычно если нет то злоумышлинник подключился на сервер по средствам RDP и удалил за собой следы?

RDP логи не проверял, подскажите где их можно просмотреть? И где остальные(указанные вами) жуналы можно достать?

 

А могли бы попробовать загрузиться в режиме чистой загрузки? Может отсутствие какого-то драйвера мешает загрузки ОС, например отсутствие драйверов ключа 1C.

 

Могу лишь еще предположить, что они не попали в лог, вы видете вредоносное ПО по путям которые указаны на скриншоте антивируса?

Проверил - запустил систему через чистую загрузку не сработало все также черный экран

 

Активного вредоносного ПО не видно, похоже шифровальщик выполнил свою миссию и ликвидировался, либо антивирус его удалил.

 

Чтобы попробовать восстановить загрузку в нормальный режим, скорее всего потребуется установочный диск, чтобы проверить целостность системных файлов в командной строке (cmd.exe)

 

sfc /scannow
P.S. но согласно логу uVS очень много битых системных файлов и драйверов.

 

Запустил в коммандную строку в безпасной режиме пишет что не совпадает сhecksum и закрывается, а при загруке системы с поддержкой коммандной строки при вводе команды "sfc /scannow" пишет что сервер RDP не длступен?? Похоже что я что-то не так делаю скрины прикрепил

 

Могли бы пожалуйста экпортировать журналы (EventLogs) для анализа, по каким причинам не грузиться в нормальный режим. (Обычно требуется 3 журнала: Application, Security, System).

 

Вы кстате не смотрели есть ли в журналах записи по RDP подключения на сервер, обычно если нет то злоумышлинник подключился на сервер по средствам RDP и удалил за собой следы?

Все нашел во вложении

post-52640-0-10258300-1547994265_thumb.jpg

post-52640-0-24269400-1547994272_thumb.jpg

jurnals.zip

Изменено пользователем SQ
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От sabotage
      Всем привет! кто-нибудь пробовал расшифровать файлы типа .!@#$%^&-()_+.1- C(Rotorcript)  Вирус -Ransom.Win32.Share 
      т.к. востановить систему не получилось тема создал тут  хочу попробовать расшифровать, если есть какие-то утитилы или кто-то пробовать напишите плз.
       

      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Опросы".

×
×
  • Создать...