Windows Server 2003 R2 Enterprise x64 with Ransom.Win32.Share file crip

[SQ]

SQ а почему у меня нет доступа к просмотру картинки? Лог прикрепил

Видимо связанно это с ограничением ветки вирусбойни.

 

А так в реестре не видно это службы, давайте попробуем еще так.

 

Могли бы в FRST в поле Search вести следующее:

 

Ias;

и нажать Search Registry, по окончанию создасться лог (SearchReg.txt) прикрепите его пожалуйста в следующем сообщение.

[sabotage]

Да не видно так. Лог файл прикрепил:

SearchReg.txt

[SQ]

Спасибо, похоже, что ругается на следующий путь в реестре:

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IAS]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IAS\0000]
"Service"="Ias"

P.S. Однако осталось понять как почистить, чтобы не нарушить работу сервера.

[sabotage]

Если почистить вручную то система не запуститься?

[SQ]

Я уточняю этот вопрос.

[SQ]

На тестовой сервере не нахожу указанный путь в реестре, согласно некоторым источникам все таки это вредоносная служба.

Можно попробовать почистить вручную (если получиться), предварительно экспортировав ключ (на всякий случай). Однако гарантировать, то что после этого запуститься система в нормальный режим не могу.
Но по идеи в безопасный режим он должен загрузиться по любому.

P.S. А так уже продолжительно время пытаемся восстановить работу сервера, уже не уверен, что вообще стоит тянуть с ним дальше

Также присутствует еще следующий путь в реестре:
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ias]

[sabotage]

согласен продолжительное время и все без особых результатов. Тогда что последнее можно попробовать и как? И закрываем тему

[SQ]

Незнаю как закрываем, это решать вам. Касаемо реестра попробуйте, но не забывайте вначале экпортировать ключ, а потом удалять. И начните со следующего:
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ias]

[sabotage]

Удалил ключ и сделал бекап, в безопасном режиме грузится в обычном нет(((

[SQ]

Удалили только один ключ? Сообщите пожалуйста также а вы загрузиться в безопасный режим с поддержкой сети можете?

[sabotage]

Да удалил только этот 

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ias] и да загружаюсь  в безопасный режим с поддержкой сети!

[SQ]

Попробуйте и другой ключ и предварительно экпортируйте его.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IAS]

[sabotage]

При удалении пишет оигтюка приужалении раздела  

 

 

[SQ]

Могли бы проверить права на указанный раздел?

[sabotage]

Ой все, уже решил только опсшифорвывать файлы! Сервер на переустановку отправил