Windows Server 2003 R2 Enterprise x64 with Ransom.Win32.Share file crip

[sabotage]

@sabotage, свежий образ автозапуска сделайте.

+ свежие логи Автологером.

CollectionLog-2019.01.24-22.41.zip

TERMINAL_2019-01-24_22-53-01_v4.1.2.7z

[regist]

Попробуем ещё.

1) Удалите у себя папку (содержимое) Store которая в каталоге с uVS.

2) Распакуйте туда вместо неё из этого архива. Напомню папка должна быть в корневой папке с uVS и не содержать подкаталогов.

3) Выполните скрипт uVS

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v400c
zoo %SystemRoot%\TEMP\NTSHRUI.DLL
delall %SystemRoot%\TEMP\NTSHRUI.DLL
apply
rknown
restart

если будет вопрос про удаление сервиса, то нажмите да.

4) Сделайте свежий лог uVS.

[sabotage]

Попробуем ещё.

1) Удалите у себя папку (содержимое) Store которая в каталоге с uVS.

2) Распакуйте туда вместо неё из этого архива. Напомню папка должна быть в корневой папке с uVS и не содержать подкаталогов.

3) Выполните скрипт uVS

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v400c
zoo %SystemRoot%\TEMP\NTSHRUI.DLL
delall %SystemRoot%\TEMP\NTSHRUI.DLL
apply
rknown
restart

если будет вопрос про удаление сервиса, то нажмите да.

4) Сделайте свежий лог uVS.

2019-01-25_00-00-35_log.txt

[regist]

Не, на этот раз просил не лог работы, а свежий образ автозапуска, то есть файл типа: 

TERMINAL_2019-01-24_22-53-01_v4.1.2.7z

но свежий, но то что этот лог прикрепили тоже хорошо. По нему видно что те два файла успешно восстановлены.

Но нужен свежий образ чтобы проверить удалили или нет наконец ту вирусную службу.

[sabotage]

Не, на этот раз просил не лог работы, а свежий образ автозапуска, то есть файл типа: 

TERMINAL_2019-01-24_22-53-01_v4.1.2.7z

но свежий, но то что этот лог прикрепили тоже хорошо. По нему видно что те два файла успешно восстановлены.

Но нужен свежий образ чтобы проверить удалили или нет наконец ту вирусную службу.

Прикрепил

TERMINAL_2019-01-25_23-28-40_v4.1.2.7z

[regist]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  S2 Ias; C:\WINDOWS\Temp\ntshrui.dll [X]
  EmptyTemp:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите компьютер вручную.

[sabotage]

 

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  S2 Ias; C:\WINDOWS\Temp\ntshrui.dll [X]
  EmptyTemp:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите компьютер вручную.

 

А что по логам пишеь что антивирусник стоит, был avast - я его удалил

[regist]

@sabotage, выше вас уже просил. Перестаньте наконец нарушать 14-й пункт правил форума. Если не читали правила при регистрации, то прочтите хоть сейчас!

И где отчёт который я просил?

[sabotage]

ой это было случайно сорян. Отчет прикрепил 

Fixlog.txt

[regist]

@sabotage, проверьте у вас такой ключ реестра есть?

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ias

если да, то удалите его руками (ибо все перебробованные выше утилиты похоже не могут этого сделать).

[sabotage]

нет такого только IASJet Скрин прикрепил

 

 

[regist]

сделайте на всякий случай ещё такой лог.

1. Загрузите GMER по одной из указанных ссылок:
   Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
2. Временно отключите драйверы эмуляторов дисков.
3. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
4. Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No.
5. Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
6. Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
7. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

 

[sabotage]

После запуска Gmer, система уходит в отказ. Запускал 2 раза

 

 

[SQ]

Sabotage,

А могли бы в FRST в поле Search вести следующее:
 

Services\Ias;

и нажать Search Registry, по окончанию создасться лог (SearchReg.txt) прикрепите его пожалуйста в следующем сообщение.

Должно получиться так как указано на картинке:

[sabotage]

SQ а почему у меня нет доступа к просмотру картинки? Лог прикрепил

 

 

SearchReg.txt