Перейти к содержанию

Windows Server 2003 R2 Enterprise x64 with Ransom.Win32.Share file crip

sabotage
 Поделиться

Рекомендуемые сообщения

SQ

SQ

Опубликовано
Опубликовано

Журналы по каким-то причинам за 2017 год. Могли бы посмотреть все нормально с датой на сервере?

Уточните пожалуйста, доступен ли физически Вам сервер? Если да, хотелось бы проверить загрузку в нормальный режим, но перед загрузкой отсоединить сетевой кабель.

 

 

Посоветовался с колегой с VirusInfo,  есть предположение, что исходный шифровальщик ещё остался.
Можно попробовать починить сервер скриптом, для начала в папку с UVS необходимо распаковать архив  STORE.7z с хранилищем, папка STORE должна быть подкаталогом.

Важно не выполняйте скрипт, до тех пор пока не выполнили инструкции с хранилищем STORE.

Выполните скрипт в uVS:

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v400c
delref %SystemRoot%\TEMP\NTSHRUI.DLL
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\IVASCHENKO\LOCAL SETTINGS\TEMP\8\RAR$EXA0.790\MORIN_DZHENNINGS_KNIGI.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\IVASCHENKO\LOCAL SETTINGS\TEMP\8\RAR$EXA0.790\MORIN_DZHENNINGS_KNIGI.EXE
delref %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST BUSINESS\AVASTEMUPDATE.EXE
czoo
rknown

Перегрузите сервер вручную. После перегрузки сервера проверьте пожалуйста появился каталог или архив ZOO.

Пожалуйста очистите остатки от антивируса Avast утилитой aswclear.exe

  • Ответов 107
  • Создана
  • Последний ответ

Топ авторов темы

  • sabotage

    50

  • SQ

    37

  • regist

    20

  • Sandor

    1

Топ авторов темы

Популярные посты

Sandor
Sandor

Попробуйте запустить не с рабочего стола, а из корня диска, например, с C:\

regist
regist

Попробуем ещё. 1) Удалите у себя папку (содержимое) Store которая в каталоге с uVS. 2) Распакуйте туда вместо неё из этого архива. Напомню папка должна быть в корневой папке с uVS и не содержать под

Изображения в теме

sabotage

sabotage

Опубликовано
  • Автор
Опубликовано

Журналы по каким-то причинам за 2017 год. Могли бы посмотреть все нормально с датой на сервере?

 

Уточните пожалуйста, доступен ли физически Вам сервер? Если да, хотелось бы проверить загрузку в нормальный режим, но перед загрузкой отсоединить сетевой кабель.

 

 

Посоветовался с колегой с VirusInfo,  есть предположение, что исходный шифровальщик ещё остался.

Можно попробовать починить сервер скриптом, для начала в папку с UVS необходимо распаковать архив  STORE.7z с хранилищем, папка STORE должна быть подкаталогом.

 

Важно не выполняйте скрипт, до тех пор пока не выполнили инструкции с хранилищем STORE.

 

Выполните скрипт в uVS:

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v400c
delref %SystemRoot%\TEMP\NTSHRUI.DLL
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\IVASCHENKO\LOCAL SETTINGS\TEMP\8\RAR$EXA0.790\MORIN_DZHENNINGS_KNIGI.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\IVASCHENKO\LOCAL SETTINGS\TEMP\8\RAR$EXA0.790\MORIN_DZHENNINGS_KNIGI.EXE
delref %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST BUSINESS\AVASTEMUPDATE.EXE
czoo
rknown

Перегрузите сервер вручную. После перегрузки сервера проверьте пожалуйста появился каталог или архив ZOO.

 

Пожалуйста очистите остатки от антивируса Avast утилитой aswclear.exe

На сервере дата отображается правильно сегодня, только время сбилось, с отключенным сетевым кабелем также не грузиться(( При запуске скрипта пишет см скрин что выбрать?

post-52640-0-74543300-1548017229_thumb.jpg

SQ

SQ

Опубликовано
Опубликовано

Если речь идет о службе Ias, то скорее всего необходимо выбрать "Да". Так как это служба в котором указан указанный путь:
 

S2 Ias; C:\WINDOWS\Temp\ntshrui.dll [X]

P.S. Если у Вас есть время, то я могу уточнить детали у коллеги с VirusInfo. Но это может занять некоторое время.

 

sabotage

sabotage

Опубликовано
  • Автор
Опубликовано

Если речь идет о службе Ias, то скорее всего необходимо выбрать "Да". Так как это служба в котором указан указанный путь:

 

S2 Ias; C:\WINDOWS\Temp\ntshrui.dll [X]

P.S. Если у Вас есть время, то я могу уточнить детали у коллеги с VirusInfo. Но это может занять некоторое время.

 

 

да конечно есть, я сервер не выключаю на этом этапе жду вашего ответа. 

SQ

SQ

Опубликовано
Опубликовано

Как только получу ответ, я отпишу, но это может занять несколько часов.

sabotage

sabotage

Опубликовано
  • Автор
Опубликовано (изменено)

Как только получу ответ, я отпишу, но это может занять несколько часов.

да,буду ждать 

 

Как только получу ответ, я отпишу, но это может занять несколько часов.

да,буду ждать 

 

Готово, не выдержал нажал "да"

ZOO_2019-01-20_10-40-06.zip

Изменено пользователем sabotage
SQ

SQ

Опубликовано
Опубликовано

Готово, не выдержал нажал "да"

Скорее всего это и нужно было сделать. Я отправил карантин в Вирлаб. Предварительный анализ показал - not-a-virus:HEUR:AdWare.Win32.Generic.

 

Проверьте пожалуйста, если сервер загружается в нормальный режим.

 

Если по каким-то причинам не помогло, попробуйте в Windows Repair AIO твики Repair Windows Updates, выбрать Set Windows Services To Default Startup - установить настройки запуска служб Windows по умолчанию.

SQ

SQ

Опубликовано
Опубликовано

Я отправил карантин в Вирлаб. Предварительный анализ показал - not-a-virus:HEUR:AdWare.Win32.Generic.

Подтвердили детект, цитирую:

 

 

 

Kaspersky Lab applications classify the specified objects as Adware and do not identify them as malicious. The notifications displayed to the user are informative and correct.

sabotage

sabotage

Опубликовано
  • Автор
Опубликовано

Как только получу ответ, я отпишу, но это может занять несколько часов.

Есть вопрос почему при запуске утилиты aswclear.exe пишет что она не явдется приложением wim32?

 

Готово, не выдержал нажал "да"

Скорее всего это и нужно было сделать. Я отправил карантин в Вирлаб. Предварительный анализ показал - not-a-virus:HEUR:AdWare.Win32.Generic.

 

Проверьте пожалуйста, если сервер загружается в нормальный режим.

 

Если по каким-то причинам не помогло, попробуйте в Windows Repair AIO твики Repair Windows Updates, выбрать Set Windows Services To Default Startup - установить настройки запуска служб Windows по умолчанию.

 

Сервер так и не загружаеься в нромальном режиме - черный экран. Пробую Windows Repair AIO 

post-52640-0-51607800-1548071828_thumb.jpg

Sandor

Sandor

Опубликовано
Опубликовано

пишет что она не явдется приложением wim32?

Попробуйте запустить не с рабочего стола, а из корня диска, например, с C:\
  • Согласен 2
sabotage

sabotage

Опубликовано
  • Автор
Опубликовано (изменено)

 

пишет что она не явдется приложением wim32?

Попробуйте запустить не с рабочего стола, а из корня диска, например, с C:\

 

Пишет туже ошибку что не является приложением win32

Изменено пользователем sabotage
regist

regist

Опубликовано
Опубликовано (изменено)

@sabotage, выплните эту проверку https://safezone.cc:443/resources/proverka-celostnosti-sistemnyx-fajlov-utilitoj-sfc-v-srede-vosstanovlenija.89/
Для загрузки в консоль восстановления (если она не установлена, то) используйте установочный диск с системой.
Лог потом прикрепите сюда. sfc там не работает.

Изменено пользователем regist
sabotage

sabotage

Опубликовано
  • Автор
Опубликовано

Если по каким-то причинам не помогло, попробуйте в Windows Repair AIO твики Repair Windows Updates, выбрать Set Windows Services To Default Startup - установить настройки запуска служб Windows по умолчанию.

 

Подскадите пожалуйста Не вижу в меню где можно выбрать Set Windows Services To Default Startup?

post-52640-0-14883900-1548089957_thumb.jpg

SQ

SQ

Опубликовано
Опубликовано

Посмотрите пожалуйста, вроде должен быть 27 пункт. Важно, только другие уберите галочки.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Любовь Анфалова
      Вирус зашифровал данные
      Автор Любовь Анфалова
      Добрый день. Воспользовалась рекомендациями из предыдущих тем. Прикрепляю фвйлы полученые в результате использования Farbar Recovery Scan Tool. Спасибо
      Desktop.zip
    • nevus68
      Шифровальцик dat
      Автор nevus68
      Добрый день. Обнаружен шифровальщик. Закодировал файлы, теперь они с расширением .dat. Помогите в расшифровке и чистке. Лог вложил.
      CollectionLog-2018.06.15-15.39.zip
    • komsomolec
      Файлы компьютера зашифрованы шифровальщикоь BlackRuby. Названия поменялись на Encrypted_набор символов.BlackRubyLight
      Автор komsomolec
      Windows Server 2003. Судя по всему вирус попал по RDP (я наблюдал процессы winlogon и (вроде) scrnsrv с кодами сеанса 2), пароль был 123456+три латинских символа. Зашифровал много. Т.к. я побоялся распространения, я сервер выключил и жесткий диск подключил к другой машине, предварительно установив на нее антивирус.
       
      Кое-что было в резервных копиях, поэтому я прикладываю:
      1) оригинальные файлы
      2) зараженные файлы
      3) текстовый файл с требованиями злоумышленников, в котором хранится открытый ключ.
      4) какой-то кусок svchost из папки temp (возможно чем-то поможет)

      Если понадобится, я дополнительно могу выслать любые необходимые для решения проблемы файлы. Можно попробовать прогнать диск программами восстановления файлов для выявления исходного вирусного исполняемого файла.
       
      Заранее благодарю за помощь!
      BlackRuby.zip
    • lf1xix
      Шифровальщик dat
      Автор lf1xix
      Помогите расшифровать файлы, поймал этот вирус https://www.virustotal.com/ru/file/53bf757dc213d4cd1cc8bb757bb161ea6613636129a45f593830bc93e763802b/analysis/
      файл удалён
      CollectionLog-2018.06.17-22.22.zip
    • gariksanovich
      Зашифрован весь Комп (castor-troy-restore@protonmail.com)
      Автор gariksanovich
      Такая проблема. Зашивровали все файлы на компе. 1С разные базы доки .doc .xls и т.д.
       
      скину для примера файл и лог собранный FRST64.exe.
       
      KVRT нашел траяна MARVEL.EXE
       
      Подскажите как быть?
      раб. инст.docx
      Addition.txt
      FRST.txt

×
×
  • Создать...