Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Windows Server 2003 R2 Enterprise x64 with Ransom.Win32.Share file crip

sabotage
 Поделиться

Рекомендуемые сообщения

SQ

SQ

Опубликовано
Опубликовано

Журналы по каким-то причинам за 2017 год. Могли бы посмотреть все нормально с датой на сервере?

Уточните пожалуйста, доступен ли физически Вам сервер? Если да, хотелось бы проверить загрузку в нормальный режим, но перед загрузкой отсоединить сетевой кабель.

 

 

Посоветовался с колегой с VirusInfo,  есть предположение, что исходный шифровальщик ещё остался.
Можно попробовать починить сервер скриптом, для начала в папку с UVS необходимо распаковать архив  STORE.7z с хранилищем, папка STORE должна быть подкаталогом.

Важно не выполняйте скрипт, до тех пор пока не выполнили инструкции с хранилищем STORE.

Выполните скрипт в uVS:

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v400c
delref %SystemRoot%\TEMP\NTSHRUI.DLL
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\IVASCHENKO\LOCAL SETTINGS\TEMP\8\RAR$EXA0.790\MORIN_DZHENNINGS_KNIGI.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\IVASCHENKO\LOCAL SETTINGS\TEMP\8\RAR$EXA0.790\MORIN_DZHENNINGS_KNIGI.EXE
delref %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST BUSINESS\AVASTEMUPDATE.EXE
czoo
rknown

Перегрузите сервер вручную. После перегрузки сервера проверьте пожалуйста появился каталог или архив ZOO.

Пожалуйста очистите остатки от антивируса Avast утилитой aswclear.exe

  • Ответов 107
  • Создана
  • Последний ответ

Топ авторов темы

  • sabotage

    50

  • SQ

    37

  • regist

    20

  • Sandor

    1

Топ авторов темы

Популярные посты

Sandor
Sandor

Попробуйте запустить не с рабочего стола, а из корня диска, например, с C:\

regist
regist

Попробуем ещё. 1) Удалите у себя папку (содержимое) Store которая в каталоге с uVS. 2) Распакуйте туда вместо неё из этого архива. Напомню папка должна быть в корневой папке с uVS и не содержать под

Изображения в теме

sabotage

sabotage

Опубликовано
  • Автор
Опубликовано

Журналы по каким-то причинам за 2017 год. Могли бы посмотреть все нормально с датой на сервере?

 

Уточните пожалуйста, доступен ли физически Вам сервер? Если да, хотелось бы проверить загрузку в нормальный режим, но перед загрузкой отсоединить сетевой кабель.

 

 

Посоветовался с колегой с VirusInfo,  есть предположение, что исходный шифровальщик ещё остался.

Можно попробовать починить сервер скриптом, для начала в папку с UVS необходимо распаковать архив  STORE.7z с хранилищем, папка STORE должна быть подкаталогом.

 

Важно не выполняйте скрипт, до тех пор пока не выполнили инструкции с хранилищем STORE.

 

Выполните скрипт в uVS:

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v400c
delref %SystemRoot%\TEMP\NTSHRUI.DLL
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\IVASCHENKO\LOCAL SETTINGS\TEMP\8\RAR$EXA0.790\MORIN_DZHENNINGS_KNIGI.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\IVASCHENKO\LOCAL SETTINGS\TEMP\8\RAR$EXA0.790\MORIN_DZHENNINGS_KNIGI.EXE
delref %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST BUSINESS\AVASTEMUPDATE.EXE
czoo
rknown

Перегрузите сервер вручную. После перегрузки сервера проверьте пожалуйста появился каталог или архив ZOO.

 

Пожалуйста очистите остатки от антивируса Avast утилитой aswclear.exe

На сервере дата отображается правильно сегодня, только время сбилось, с отключенным сетевым кабелем также не грузиться(( При запуске скрипта пишет см скрин что выбрать?

post-52640-0-74543300-1548017229_thumb.jpg

SQ

SQ

Опубликовано
Опубликовано

Если речь идет о службе Ias, то скорее всего необходимо выбрать "Да". Так как это служба в котором указан указанный путь:
 

S2 Ias; C:\WINDOWS\Temp\ntshrui.dll [X]

P.S. Если у Вас есть время, то я могу уточнить детали у коллеги с VirusInfo. Но это может занять некоторое время.

 

sabotage

sabotage

Опубликовано
  • Автор
Опубликовано

Если речь идет о службе Ias, то скорее всего необходимо выбрать "Да". Так как это служба в котором указан указанный путь:

 

S2 Ias; C:\WINDOWS\Temp\ntshrui.dll [X]

P.S. Если у Вас есть время, то я могу уточнить детали у коллеги с VirusInfo. Но это может занять некоторое время.

 

 

да конечно есть, я сервер не выключаю на этом этапе жду вашего ответа. 

SQ

SQ

Опубликовано
Опубликовано

Как только получу ответ, я отпишу, но это может занять несколько часов.

sabotage

sabotage

Опубликовано
  • Автор
Опубликовано (изменено)

Как только получу ответ, я отпишу, но это может занять несколько часов.

да,буду ждать 

 

Как только получу ответ, я отпишу, но это может занять несколько часов.

да,буду ждать 

 

Готово, не выдержал нажал "да"

ZOO_2019-01-20_10-40-06.zip

Изменено пользователем sabotage
SQ

SQ

Опубликовано
Опубликовано

Готово, не выдержал нажал "да"

Скорее всего это и нужно было сделать. Я отправил карантин в Вирлаб. Предварительный анализ показал - not-a-virus:HEUR:AdWare.Win32.Generic.

 

Проверьте пожалуйста, если сервер загружается в нормальный режим.

 

Если по каким-то причинам не помогло, попробуйте в Windows Repair AIO твики Repair Windows Updates, выбрать Set Windows Services To Default Startup - установить настройки запуска служб Windows по умолчанию.

SQ

SQ

Опубликовано
Опубликовано

Я отправил карантин в Вирлаб. Предварительный анализ показал - not-a-virus:HEUR:AdWare.Win32.Generic.

Подтвердили детект, цитирую:

 

 

 

Kaspersky Lab applications classify the specified objects as Adware and do not identify them as malicious. The notifications displayed to the user are informative and correct.

sabotage

sabotage

Опубликовано
  • Автор
Опубликовано

Как только получу ответ, я отпишу, но это может занять несколько часов.

Есть вопрос почему при запуске утилиты aswclear.exe пишет что она не явдется приложением wim32?

 

Готово, не выдержал нажал "да"

Скорее всего это и нужно было сделать. Я отправил карантин в Вирлаб. Предварительный анализ показал - not-a-virus:HEUR:AdWare.Win32.Generic.

 

Проверьте пожалуйста, если сервер загружается в нормальный режим.

 

Если по каким-то причинам не помогло, попробуйте в Windows Repair AIO твики Repair Windows Updates, выбрать Set Windows Services To Default Startup - установить настройки запуска служб Windows по умолчанию.

 

Сервер так и не загружаеься в нромальном режиме - черный экран. Пробую Windows Repair AIO 

post-52640-0-51607800-1548071828_thumb.jpg

Sandor

Sandor

Опубликовано
Опубликовано

пишет что она не явдется приложением wim32?

Попробуйте запустить не с рабочего стола, а из корня диска, например, с C:\
  • Согласен 2
sabotage

sabotage

Опубликовано
  • Автор
Опубликовано (изменено)

 

пишет что она не явдется приложением wim32?

Попробуйте запустить не с рабочего стола, а из корня диска, например, с C:\

 

Пишет туже ошибку что не является приложением win32

Изменено пользователем sabotage
regist

regist

Опубликовано
Опубликовано (изменено)

@sabotage, выплните эту проверку https://safezone.cc:443/resources/proverka-celostnosti-sistemnyx-fajlov-utilitoj-sfc-v-srede-vosstanovlenija.89/
Для загрузки в консоль восстановления (если она не установлена, то) используйте установочный диск с системой.
Лог потом прикрепите сюда. sfc там не работает.

Изменено пользователем regist
sabotage

sabotage

Опубликовано
  • Автор
Опубликовано

Если по каким-то причинам не помогло, попробуйте в Windows Repair AIO твики Repair Windows Updates, выбрать Set Windows Services To Default Startup - установить настройки запуска служб Windows по умолчанию.

 

Подскадите пожалуйста Не вижу в меню где можно выбрать Set Windows Services To Default Startup?

post-52640-0-14883900-1548089957_thumb.jpg

SQ

SQ

Опубликовано
Опубликовано

Посмотрите пожалуйста, вроде должен быть 27 пункт. Важно, только другие уберите галочки.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Антон Кажаев
      Все ваши файлы зашифрованы! К расширению файлов добавилось sivtyfuh332kgayz.onion@mail.ru_FMKum8h
      Автор Антон Кажаев
      Добрый день, нужна помощь!
      На компьютере зашифрованы все файлы.
      в каждой папке на компютере появился html файл следующего содержания
      КАК_РАСШИФРОВАТЬ_ФАЙЛЫ
       
      CollectionLog-2015.05.19-12.52.zip
    • sabum74
      зашифрованы фотографии
      Автор sabum74
      помогите поймал вирус зашифровались фотки не подумал и снес сразу систему а теперь не знаю что делать 
    • sasha_sverdlov
      меняет разширение файла
      Автор sasha_sverdlov
      меняет разширение на jpg.paycrypt@gmail_com ЧТО ДЕЛАТЬ
    • mkhaer
      Зашифрованы файлы.
      Автор mkhaer
      Добрый день.
       
      В логах kav появилось сообщение:  Удалено троянская программа Trojan-Ransom.Win32.Rakhni.sk. После этого имена многих файлов стали такого вида: *.doc.sapril2015@126.com_joVv.
      CollectionLog-2015.05.29-13.54.zip
    • valmon
      Вирусом зашифрованы файлы. id id 325874
      Автор valmon
      Внимание!! У вас на компьютере обнаружен пиратский контент! Все ваши файлы зашифрованы! 
      Чтобы расшифровать файлы вам необходимо
      посетить сайт http://utrozen.pixub.comи следовать  инструкциям размещённым на нём. 
      Если сайт по каким-то причинам недоступен
      обращайтесь на stoppirates@yahoo.com.  Ваш id 325874.
       
      Вы можете 5 раз ввести пароль. При превышении этого 
      лимита, все файлы будут удалены! Самостоятельные попытки расшифровать данные могут 
      привести к их утере.
       
      Как бороться? Чем победить? Буду рад любой помощи.
×
×
  • Создать...