Windows Server 2003 R2 Enterprise x64 with Ransom.Win32.Share file crip

[SQ]

Журналы по каким-то причинам за 2017 год. Могли бы посмотреть все нормально с датой на сервере?

Уточните пожалуйста, доступен ли физически Вам сервер? Если да, хотелось бы проверить загрузку в нормальный режим, но перед загрузкой отсоединить сетевой кабель.

 

 

Посоветовался с колегой с VirusInfo,  есть предположение, что исходный шифровальщик ещё остался.
Можно попробовать починить сервер скриптом, для начала в папку с UVS необходимо распаковать архив  STORE.7z с хранилищем, папка STORE должна быть подкаталогом.

Важно не выполняйте скрипт, до тех пор пока не выполнили инструкции с хранилищем STORE.

Выполните скрипт в uVS:

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v400c
delref %SystemRoot%\TEMP\NTSHRUI.DLL
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\IVASCHENKO\LOCAL SETTINGS\TEMP\8\RAR$EXA0.790\MORIN_DZHENNINGS_KNIGI.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\IVASCHENKO\LOCAL SETTINGS\TEMP\8\RAR$EXA0.790\MORIN_DZHENNINGS_KNIGI.EXE
delref %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST BUSINESS\AVASTEMUPDATE.EXE
czoo
rknown

Перегрузите сервер вручную. После перегрузки сервера проверьте пожалуйста появился каталог или архив ZOO.

Пожалуйста очистите остатки от антивируса Avast утилитой aswclear.exe

[sabotage]

Журналы по каким-то причинам за 2017 год. Могли бы посмотреть все нормально с датой на сервере?

 

Уточните пожалуйста, доступен ли физически Вам сервер? Если да, хотелось бы проверить загрузку в нормальный режим, но перед загрузкой отсоединить сетевой кабель.

 

 

Посоветовался с колегой с VirusInfo,  есть предположение, что исходный шифровальщик ещё остался.

Можно попробовать починить сервер скриптом, для начала в папку с UVS необходимо распаковать архив  STORE.7z с хранилищем, папка STORE должна быть подкаталогом.

 

Важно не выполняйте скрипт, до тех пор пока не выполнили инструкции с хранилищем STORE.

 

Выполните скрипт в uVS:

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v400c
delref %SystemRoot%\TEMP\NTSHRUI.DLL
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\IVASCHENKO\LOCAL SETTINGS\TEMP\8\RAR$EXA0.790\MORIN_DZHENNINGS_KNIGI.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\IVASCHENKO\LOCAL SETTINGS\TEMP\8\RAR$EXA0.790\MORIN_DZHENNINGS_KNIGI.EXE
delref %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST BUSINESS\AVASTEMUPDATE.EXE
czoo
rknown

Перегрузите сервер вручную. После перегрузки сервера проверьте пожалуйста появился каталог или архив ZOO.

 

Пожалуйста очистите остатки от антивируса Avast утилитой aswclear.exe

На сервере дата отображается правильно сегодня, только время сбилось, с отключенным сетевым кабелем также не грузиться(( При запуске скрипта пишет см скрин что выбрать?

[SQ]

Если речь идет о службе Ias, то скорее всего необходимо выбрать "Да". Так как это служба в котором указан указанный путь:
 

S2 Ias; C:\WINDOWS\Temp\ntshrui.dll [X]

P.S. Если у Вас есть время, то я могу уточнить детали у коллеги с VirusInfo. Но это может занять некоторое время.

 

[sabotage]

Если речь идет о службе Ias, то скорее всего необходимо выбрать "Да". Так как это служба в котором указан указанный путь:

 

S2 Ias; C:\WINDOWS\Temp\ntshrui.dll [X]

P.S. Если у Вас есть время, то я могу уточнить детали у коллеги с VirusInfo. Но это может занять некоторое время.

 

 

да конечно есть, я сервер не выключаю на этом этапе жду вашего ответа. 

[SQ]

Как только получу ответ, я отпишу, но это может занять несколько часов.

[sabotage]

Как только получу ответ, я отпишу, но это может занять несколько часов.

да,буду ждать 

 

Как только получу ответ, я отпишу, но это может занять несколько часов.

да,буду ждать 

 

Готово, не выдержал нажал "да"

ZOO_2019-01-20_10-40-06.zip

Изменено 20 января, 2019 пользователем sabotage

[SQ]

Готово, не выдержал нажал "да"

Скорее всего это и нужно было сделать. Я отправил карантин в Вирлаб. Предварительный анализ показал - not-a-virus:HEUR:AdWare.Win32.Generic.

 

Проверьте пожалуйста, если сервер загружается в нормальный режим.

 

Если по каким-то причинам не помогло, попробуйте в Windows Repair AIO твики Repair Windows Updates, выбрать Set Windows Services To Default Startup - установить настройки запуска служб Windows по умолчанию.

[SQ]

Я отправил карантин в Вирлаб. Предварительный анализ показал - not-a-virus:HEUR:AdWare.Win32.Generic.

Подтвердили детект, цитирую:

 

 

 

Kaspersky Lab applications classify the specified objects as Adware and do not identify them as malicious. The notifications displayed to the user are informative and correct.

[sabotage]

Как только получу ответ, я отпишу, но это может занять несколько часов.

Есть вопрос почему при запуске утилиты aswclear.exe пишет что она не явдется приложением wim32?

 

Готово, не выдержал нажал "да"

Скорее всего это и нужно было сделать. Я отправил карантин в Вирлаб. Предварительный анализ показал - not-a-virus:HEUR:AdWare.Win32.Generic.

 

Проверьте пожалуйста, если сервер загружается в нормальный режим.

 

Если по каким-то причинам не помогло, попробуйте в Windows Repair AIO твики Repair Windows Updates, выбрать Set Windows Services To Default Startup - установить настройки запуска служб Windows по умолчанию.

 

Сервер так и не загружаеься в нромальном режиме - черный экран. Пробую Windows Repair AIO 

[Sandor]

пишет что она не явдется приложением wim32?

Попробуйте запустить не с рабочего стола, а из корня диска, например, с C:\

[sabotage]

 

пишет что она не явдется приложением wim32?

Попробуйте запустить не с рабочего стола, а из корня диска, например, с C:\

 

Пишет туже ошибку что не является приложением win32

Изменено 21 января, 2019 пользователем sabotage

[regist]

@sabotage, выплните эту проверку https://safezone.cc:443/resources/proverka-celostnosti-sistemnyx-fajlov-utilitoj-sfc-v-srede-vosstanovlenija.89/
Для загрузки в консоль восстановления (если она не установлена, то) используйте установочный диск с системой.
Лог потом прикрепите сюда. sfc там не работает.

Изменено 21 января, 2019 пользователем regist

[sabotage]

Если по каким-то причинам не помогло, попробуйте в Windows Repair AIO твики Repair Windows Updates, выбрать Set Windows Services To Default Startup - установить настройки запуска служб Windows по умолчанию.

 

Подскадите пожалуйста Не вижу в меню где можно выбрать Set Windows Services To Default Startup?

[SQ]

Посмотрите пожалуйста, вроде должен быть 27 пункт. Важно, только другие уберите галочки.

[sabotage]

@sabotage, выплните эту проверку https://safezone.cc:443/resources/proverka-celostnosti-sistemnyx-fajlov-utilitoj-sfc-v-srede-vosstanovlenija.89/

Лог потом прикрепите сюда.

лог во вложении, я так понял не удачно(

_Windows_Repair_Log.txt