Очередная напасть - файлы упакованы в rAr-архивы

Более подробнее примерно вот такая картина. Сразу же после запуска утилита показывает 20 сек. Как и положено. Но потом в логах видно, что произошла синхронизация времени с контроллером домена. И утилита показывает -59. Пока методом подбора я запустил перебор паролей. О результатах отпишусь.

С помощью генератора [B]stack515[/B] получилось подобрать пароль, Вин ХП.
Спасибо большое!!!

Взял начальный параметр 180 конечный 0 .Пароль вычислился за пару часов. Stack515, ещё раз огромнейшее тебе спасибо!

[QUOTE=yarmar;1126787]Взял начальный параметр 180 конечный 0 .Пароль вычислился за пару часов. Stack515, ещё раз огромнейшее тебе спасибо![/QUOTE]
Отлично!!!

[QUOTE=stack515;1126791]Отлично!!![/QUOTE]

Спасибо огромное, у меня тоже получилось, меньше 2х часов на Xeon e5645.

Добрый вечер!
Пытаюсь разобраться с утилитой уважаемого stack515, запускаю start.cmd появляется окно, где написано нажмите любую клавишу, нажимаю и ничего не происходит. Если запустить antihack вручную, то появляется окно как в файле ЧИТАТЬ, куда необходимо вводить данные. Подскажите плиз как правильно. Заранее спасибо!

С помощью генератора stack515 получилось подобрать пароль, Win 7, (защифровал сетевую шару)
Спасибо ОГРОМНОЕ!!!

[b]icon80[/b], [b]yarmar[/b], [b]ykar[/b], [b]iriider[/b] Рад за всех вас! Просматривайте, пожалуйста, еще какое-то время эту тему. У вас уже есть опыт и, возможно, вы сможете кому-нибудь помочь.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

[QUOTE=DuDDiTs;1126955]Добрый вечер!
Пытаюсь разобраться с утилитой уважаемого stack515, запускаю start.cmd появляется окно, где написано нажмите любую клавишу, нажимаю и ничего не происходит. Если запустить antihack вручную, то появляется окно как в файле ЧИТАТЬ, куда необходимо вводить данные. Подскажите плиз как правильно. Заранее спасибо![/QUOTE]

[b]DuDDiTs[/b], Окно с надписью "Нажмите любую клавишу..." появляется в том случае если в папке нет файла 1.rAr. Проверьте, пожалуйста, точно ли Вы следовали инструкции.

[b]stack515[/b], спасибо большое за быстрый ответ!
Файл 1.rAr есть, я уже пробовал разные файлы архивные переименовывать, start.cmd пишет нажмите любую клавишу...может быть я не в то место распаковываю архив с Вашей утилитой? Или не важно где папка с утилитой находится?

[QUOTE=DuDDiTs;1127051][b]stack515[/b], спасибо большое за быстрый ответ!
Файл 1.rAr есть, я уже пробовал разные файлы архивные переименовывать, start.cmd пишет нажмите любую клавишу...может быть я не в то место распаковываю архив с Вашей утилитой? Или не важно где папка с утилитой находится?[/QUOTE]
Странно... папка может быть любая, очень желательно не сетевая. Ну и запускать _start.cmd лучше из нее напрямую, а не через ярлык. Можно проверить права на файлы, если в системе есть разграничения прав. Можно поступить так: запакуйте свою папку, выложите куда-нибудь (например на rghost), а я скачаю - гляну что не так.

[QUOTE=stack515;1127058]Странно... папка может быть любая, очень желательно не сетевая. Ну и запускать _start.cmd лучше из нее напрямую, а не через ярлык. Можно проверить права на файлы, если в системе есть разграничения прав. Можно поступить так: запакуйте свою папку, выложите куда-нибудь (например на rghost), а я скачаю - гляну что не так.[/QUOTE]
Посмотрите пожалуйста [url]http://rghost.ru/56443247[/url]

[QUOTE=DuDDiTs;1127069]Посмотрите пожалуйста [url]http://rghost.ru/56443247[/url][/QUOTE]

Вот что у Вас получилось:
[ATTACH=CONFIG]479477[/ATTACH]

Это происходит потому что Ваша система не отображает расширений файлов. То есть при переименовывании винда сама добавит .rAr к имени файла. Следовательно надо переименовать его как "1" (без .rAr)

[QUOTE=stack515;1127077]Вот что у Вас получилось:
[ATTACH=CONFIG]479477[/ATTACH]

Это происходит потому что Ваша система не отображает расширений файлов. То есть при переименовывании винда сама добавит .rAr к имени файла. Следовательно надо переименовать его как "1" (без .rAr)[/QUOTE]
Спасибо большое!
Если можно подскажите плиз еще по интервалам временным, правильно ли я все понял.
У меня дата файла key в папке tmp ‎04.06.2014 ‏‎0:23:03
EventLog в событиях 04.06.2014 0: 20 :18
Время работы отображается 87105 сек
Достаточно ли будет интервалов -60/+60?

[QUOTE=DuDDiTs;1127086]Спасибо большое!
Если можно подскажите плиз еще по интервалам временным, правильно ли я все понял.
У меня дата файла key в папке tmp ‎04.06.2014 ‏‎0:23:03
EventLog в событиях 04.06.2014 0: 20 :18
Время работы отображается 87105 сек
Достаточно ли будет интервалов -60/+60?[/QUOTE]
Тут могу только сказать, что многие на Win7 использовали интервал +/-60 удачно.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

[b]DuDDiTs[/b], Архив правда какой-то странноватый... 114 байт. Так что если не получится - предлагаю взять другой.

запустить получилось, после того как закрыл графическое окно появилось около 7-8 окон командной строки, в которых бежали строки, потом они все остановились в низу надпись already exists. Оverwrit it и предлагалось выбрать Y (Yes), N (No), A (all), Q (quit). Нажал А, после этого появился в папке с утилитой текстовый файл, который подошел к переименованному файлу, к другим не подходит. Я так понимаю необходимо каждый заархивированный файл прогонять через утилиту? Или я что-то неправильно сделал?

[b]DuDDiTs[/b], Для проверки архива запустил у себя.... 100% надо другой!!!

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

[QUOTE=DuDDiTs;1127117]запустить получилось, после того как закрыл графическое окно появилось около 7-8 окон командной строки, в которых бежали строки, потом они все остановились в низу надпись already exists. Оverwrit it и предлагалось выбрать Y (Yes), N (No), A (all), Q (quit). Нажал А, после этого появился в папке с утилитой текстовый файл, который подошел к переименованному файлу, к другим не подходит. Я так понимаю необходимо каждый заархивированный файл прогонять через утилиту? Или я что-то неправильно сделал?[/QUOTE]
Просто архив битый. Надо другой

пробую другой, я только до конца так и не понял какой должен быть результат, утилита должна выдать пароль который будет подходить ко всем заархивированным файлам?

[QUOTE=DuDDiTs;1127123]пробую другой, я только до конца так и не понял какой должен быть результат, утилита должна выдать пароль который будет подходить ко всем заархивированным файлам?[/QUOTE]
Да... в папке должен появится файл _passw.txt в котором будет пароль ко всем архивам.

PS: Во второй раз утилита при запуске _start.cmd будет тупить минуты две.

Благодаря [b]stack515[/b], и его утилите все подобралось. Огромное Вам спасибо за помощь! Очень приятно, что есть отзывчивые люди, которые помогают в беде!:)

[B]Важное дополнение![/B]

На примере ситуации у [b]DuDDiTs[/b] убедился в том, что если компьютер входит в сон (особенно актуально для ноутбуков) то способ нахождения "времени работы" по последнему событию LogEvent 6013 (время работоспособности) не работает.

[B]ЕСЛИ КОМПЬЮТЕР ВХОДИТ В СОН[/B], то нужно пользоваться способом как для XP [B]или[/B] следующим алгоритмом:
1. Находим в логах ближайшее событие 6005 (Запуск журнала событий) к моменту заражения.
2. [B]В ту же секунду[/B] есть событие 6013 (время работоспособности). Обычно в нем значение около 15-40 сек.
3. Запустить утилиту, но в качестве логов брать дату, время и значение именно этой записи.

[QUOTE=stack515;1127410][B]Важное дополнение![/B]

На примере ситуации у [b]DuDDiTs[/b] убедился в том, что если компьютер входит в сон (особенно актуально для ноутбуков) то способ нахождения "времени работы" по последнему событию LogEvent 6013 (время работоспособности) не работает.

[B]ЕСЛИ КОМПЬЮТЕР ВХОДИТ В СОН[/B], то нужно пользоваться способом как для XP [B]или[/B] следующим алгоритмом:
1. Находим в логах ближайшее событие 6005 (Запуск журнала событий) к моменту заражения.
2. [B]В ту же секунду[/B] есть событие 6013 (время работоспособности). Обычно в нем значение около 15-40 сек.
3. Запустить утилиту, но в качестве логов брать дату, время и значение именно этой записи.[/QUOTE]

Please, Help:

03.06.2014 13:22:46 EventLog (6013) 57857 сек (понятно, что это все со спящим режимом!),
но в логах нет события 6005! :(
03.06.2014 16:15:00 создание System
03.06.2014 16:16:00 создание Key

Почти отчаялся, т.к. 3-й день вводил 57857 сек "играясь" с ± 60-120 сек в диапазоне, сейчас вместо 57857 влепил 40. Диапазон выставил 16:16:00 ± 60 сек. Все ли правильно делаю?

О! кажется нашел, как раз 6005 и следом 6013 на 42 сек! Но это уже дата след. для (04.06.2014) - позже отпишусь по результатам.

[QUOTE=nedes;1127422]Please, Help:

03.06.2014 13:22:46 EventLog (6013) 57857 сек (понятно, что это все со спящим режимом!),
но в логах нет события 6005! :(
03.06.2014 16:15:00 создание System
03.06.2014 16:16:00 создание Key

Почти отчаялся, т.к. 3-й день вводил 57857 сек "играясь" с ± 60-120 сек в диапазоне, сейчас вместо 57857 влепил 40. Диапазон выставил 16:16:00 ± 60 сек. Все ли правильно делаю?[/QUOTE]
Просто так угадывать цифры не стоит...
Попробую помочь: мне надо видеть Ваш лог. Для этого на журнале "система" жмем правой кнопкой, затем "сохранить все события как". Далее выкладываем этот файл на любой файлообменник (например rghost) и кидаем сюда ссылку.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

[QUOTE=nedes;1127422]Please, Help:

03.06.2014 13:22:46 EventLog (6013) 57857 сек (понятно, что это все со спящим режимом!),
но в логах нет события 6005! :(
03.06.2014 16:15:00 создание System
03.06.2014 16:16:00 создание Key

Почти отчаялся, т.к. 3-й день вводил 57857 сек "играясь" с ± 60-120 сек в диапазоне, сейчас вместо 57857 влепил 40. Диапазон выставил 16:16:00 ± 60 сек. Все ли правильно делаю?

О! кажется нашел, как раз 6005 и следом 6013 на 42 сек! Но это уже дата след. для (04.06.2014) - позже отпишусь по результатам.[/QUOTE]
Нет! Нет!!!! День после - это не то!!!! Надо ДО! По Вашему логу момент загрузки [B]01.06.2014 19:51:51[/B]. Там два события в одну секунду: 6005 и 6013 (со значением [B]55[/B] сек). Вот это и надо использовать как время в логах в Вашем случае!!!

Еще раз спасибо Уважаемому [b]stack515[/b], !!!!:)

[QUOTE=DuDDiTs;1127499]Еще раз спасибо Уважаемому [b]stack515[/b], !!!!:)[/QUOTE]
Рад, что все хорошо закончилось! :)

1. УРА !!! Если есть алгоритм решения - следуй ему! ЕСТЬ!!!
2. Итак, по собственному опыту: в суете и попыхах ничего не выходило, надо было неспеша в логах посмотреть на сутки и более назад - так и вышло. заражение файлов началось 03.06, но вирус был приобретен уже 1-го числа. Именно так, как в этой ветке и описано:
1. Находим в логах ближайшее событие 6005 (Запуск журнала событий) к моменту заражения.
2. В ту же секунду есть событие 6013 (время работоспособности). Обычно в нем значение около 15-40 сек.
- в моем случае 55 сек.

ИТОГО: около 2 часов на подбор пароля (Toshiba satellite c660 Core i5 - 60 сек в разбег), как только файл _passw.txt появился, я закрыл все работающие еще окна по подбору пароля и проверил - gotcha!!! stack515 спас мне 3 года фотоархивов и всех сделанных за это время работ. Низкий поклон и благодарю!!! :clapping: :clapping: :clapping:

[QUOTE=nedes;1127620]1. УРА !!! Если есть алгоритм решения - следуй ему! ЕСТЬ!!!
2. Итак, по собственному опыту: в суете и попыхах ничего не выходило, надо было неспеша в логах посмотреть на сутки и более назад - так и вышло. заражение файлов началось 03.06, но вирус был приобретен уже 1-го числа. Именно так, как в этой ветке и описано:
1. Находим в логах ближайшее событие 6005 (Запуск журнала событий) к моменту заражения.
2. В ту же секунду есть событие 6013 (время работоспособности). Обычно в нем значение около 15-40 сек.
- в моем случае 55 сек.

ИТОГО: около 2 часов на подбор пароля (Toshiba satellite c660 Core i5 - 60 сек в разбег), как только файл _passw.txt появился, я закрыл все работающие еще окна по подбору пароля и проверил - gotcha!!! stack515 спас мне 3 года фотоархивов и всех сделанных за это время работ. Низкий поклон и благодарю!!! :clapping: :clapping: :clapping:[/QUOTE]
Отлично! Рад за Вас! Все верно. Надо все делать как раз не спеша, так как от точности параметров введенных в программу зависит успех!!!

Огромное спасибо Уважаемому stack515. ( пароль найден )

Народ у меня почему-то не выходи??? Может что-то не так делаю??
WS2008 st Нахожу в журнале системы событие билж. к дате заражения
Имя журнала: System
Источник: EventLog
Дата: 20.05.2014 12:50:19
Код события: 6005
Имя журнала: System
Источник: EventLog
Дата: 20.05.2014 12:50:19
Код события: 6009
Далее кей я не нашел....упорядочил архивы через поиск * rAr самый ранний 03.06.2014 15:10 .....секунд нет ставлю 00
Результата нет....может что-то не так делаю????

[QUOTE=Alex8282;1129006]Народ у меня почему-то не выходи??? Может что-то не так делаю??
WS2008 st Нахожу в журнале системы событие билж. к дате заражения
Имя журнала: System
Источник: EventLog
Дата: 20.05.2014 12:50:19
Код события: 6005
Имя журнала: System
Источник: EventLog
Дата: 20.05.2014 12:50:19
Код события: 6009
Далее кей я не нашел....упорядочил архивы через поиск * rAr самый ранний 03.06.2014 15:10 .....секунд нет ставлю 00
Результата нет....может что-то не так делаю????[/QUOTE]

Хм... На первый взгляд - все так.

- Попробуйте найти все-таки папку c:\tmp, если ее нет - надо постараться понять куда она могла пропасть. в ней должен быть файл key.

- 20.05 - это ближайшая перезагрузка?

- Как я понял в WS2008 нет события 6013?

- Долго ли грузится комп? Попробуйте утилиткой из сообщения #60 проанализировать значение таймера в момент события 6005.

- Какой разброс стоит в программе. Советую расширить. Если позволяет мощность - значительно расширить. (например -600 +300)

c:\tmp Точно нет!
Вирус пришел по сети...у пользователей подключена папка обмена
20.05 это ближайшая...
WinSer2008 есть событие 6013
Имя журнала: System
Источник: EventLog
Дата: 02.06.2014 12:00:00
Код события: 6013
Категория задачи:Отсутствует
Уровень: Сведения
Ключевые слова:Классический
Пользователь: Н/Д
Время работоспособного состояния 1120229 сек.
ДЛя чего нужен????
Файл так и называется key? а расширение?
Key поиск не находит

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

[ATTACH=CONFIG]480549[/ATTACH]

Скорей всего оно не верно

С датой 20.06.2014 получил значение 104 что с ним делать??

[QUOTE=Alex8282;1129038]c:\tmp Точно нет!
Вирус пришел по сети...у пользователей подключена папка обмена
[/QUOTE]

Стоп!!! Стоп!!!! Вы хотите сказать что это не тот компьютер на котором было заражение?

Скажу пару слов о работе вируса: Вирус для генерации пароля использует число миллисекунд, которые прошли с момента запуска компьютера до момента заражения!

Вам [B]необходимо[/B] найти компьютер, который это зашифровал!

Искать его, кстати можно, именно по присутствию папки c:\tmp с соответствующим содержимым. Файлы [B]moar.exe, key, psystem, system, testz, driver.bat, bmrsa.exe[/B] и т.д.

я наше комп с Key !!!!!!!!!!!!!! ура
теперь вопрос я должен подбирать на том компе у которого есть папка c:\tmp или могу на сервере???

[QUOTE=Alex8282;1129102]я наше комп с Key !!!!!!!!!!!!!! ура
теперь вопрос я должен подбирать на том компе у которого есть папка c:\tmp или могу на сервере???[/QUOTE]

Подбирать можно на [B]любом[/B], НО дату и время в логах надо брать от [B]ЭТОГО КОМПА![/B]. Ну и дату/время key файла из c:/tmp естественно с него же...

Какая ОС не нем?

win7 64 кей от 03.06 а EventLog тоже надо брать от 03.06 с того компа который был заражен?

Именно так

А в логах на том компе дата 04.06 а не 03.06 (EventLog Код события: 6005 и 6009 совпадают а заражение файл кей 03.06. 15 09 53

[QUOTE=Alex8282;1129406]А в логах на том компе дата 04.06 а не 03.06 (EventLog Код события: 6005 и 6009 совпадают а заражение файл кей 03.06. 15 09 53[/QUOTE]

Надо искать события [B]ДО[/B] заражения! Если 6005 и 6009, то оно может быть вообще в мае. Или найти событие 6013 от 03.06.2014 (обычно в 12-00) и взять его за основу, но [B]ТОЛЬКО[/B] в том случае если этот компьютер не входит в сон!

Если возникают проблемы, то выложите лог "система" (правой кнопкой на журнале "система", затем "сохранить все события как") на какой-либо хостинг (например rghost), а затем выложите ссылку.

Люди добрые,а подскажите пожалуйста как быть в такой ситуации, если отсутствует лог системы в день заражения вирусом, система Win Xp?, один комп получилось восстановить, но там и лог был и винда W7

[QUOTE=sandro206;1129989]Люди добрые,а подскажите пожалуйста как быть в такой ситуации, если отсутствует лог системы в день заражения вирусом, система Win Xp?, один комп получилось восстановить, но там и лог был и винда W7[/QUOTE]

Для XP, как было уже сказано, нужно искать событие 6005 (Запуск журнала событий). Оно не обязательно в этот же день будет. Если комп включили неделю назад и он неделю работал, то и событие 6005 надо искать неделю назад. В этом случае во время события 6005 время работы обычно составляет около 20 сек. Для более точного определения можно воспользоваться утилиткой из сообщения #60. Уже несколько человек с XP излечились. Пробуйте!

PS: Не забывайте отписываться о результатах. Это важно для понимания того какие ситуации как разрешались.

[QUOTE=stack515;1129997]Для XP, как было уже сказано, нужно искать событие 6005 (Запуск журнала событий). Оно не обязательно в этот же день будет. Если комп включили неделю назад и он неделю работал, то и событие 6005 надо искать неделю назад. В этом случае во время события 6005 время работы обычно составляет около 20 сек. Для более точного определения можно воспользоваться утилиткой из сообщения #60. Уже несколько человек с XP излечились. Пробуйте!

PS: Не забывайте отписываться о результатах. Это важно для понимания того какие ситуации как разрешались.[/QUOTE]
наверно я не правильно сформулировал свой вопрос, заражение вирусом было 3 июня, а логи системы только с 4 июня, и компьютер включается и выключается каждый день.