Очередная напасть - файлы упакованы в rAr-архивы

[nedes]

Важное дополнение!

На примере ситуации у DuDDiTs убедился в том, что если компьютер входит в сон (особенно актуально для ноутбуков) то способ нахождения "времени работы" по последнему событию LogEvent 6013 (время работоспособности) не работает.

ЕСЛИ КОМПЬЮТЕР ВХОДИТ В СОН, то нужно пользоваться способом как для XP или следующим алгоритмом:
1. Находим в логах ближайшее событие 6005 (Запуск журнала событий) к моменту заражения.
2. В ту же секунду есть событие 6013 (время работоспособности). Обычно в нем значение около 15-40 сек.
3. Запустить утилиту, но в качестве логов брать дату, время и значение именно этой записи.

Please, Help:

03.06.2014 13:22:46 EventLog (6013) 57857 сек (понятно, что это все со спящим режимом!),
но в логах нет события 6005!
03.06.2014 16:15:00 создание System
03.06.2014 16:16:00 создание Key

Почти отчаялся, т.к. 3-й день вводил 57857 сек "играясь" с ± 60-120 сек в диапазоне, сейчас вместо 57857 влепил 40. Диапазон выставил 16:16:00 ± 60 сек. Все ли правильно делаю?

О! кажется нашел, как раз 6005 и следом 6013 на 42 сек! Но это уже дата след. для (04.06.2014) - позже отпишусь по результатам.

[stack515]

Please, Help:

03.06.2014 13:22:46 EventLog (6013) 57857 сек (понятно, что это все со спящим режимом!),
но в логах нет события 6005!
03.06.2014 16:15:00 создание System
03.06.2014 16:16:00 создание Key

Почти отчаялся, т.к. 3-й день вводил 57857 сек "играясь" с ± 60-120 сек в диапазоне, сейчас вместо 57857 влепил 40. Диапазон выставил 16:16:00 ± 60 сек. Все ли правильно делаю?

Просто так угадывать цифры не стоит...
Попробую помочь: мне надо видеть Ваш лог. Для этого на журнале "система" жмем правой кнопкой, затем "сохранить все события как". Далее выкладываем этот файл на любой файлообменник (например rghost) и кидаем сюда ссылку.

- - - Добавлено - - -

Please, Help:

03.06.2014 13:22:46 EventLog (6013) 57857 сек (понятно, что это все со спящим режимом!),
но в логах нет события 6005!
03.06.2014 16:15:00 создание System
03.06.2014 16:16:00 создание Key

Почти отчаялся, т.к. 3-й день вводил 57857 сек "играясь" с ± 60-120 сек в диапазоне, сейчас вместо 57857 влепил 40. Диапазон выставил 16:16:00 ± 60 сек. Все ли правильно делаю?

О! кажется нашел, как раз 6005 и следом 6013 на 42 сек! Но это уже дата след. для (04.06.2014) - позже отпишусь по результатам.

Нет! Нет!!!! День после - это не то!!!! Надо ДО! По Вашему логу момент загрузки 01.06.2014 19:51:51. Там два события в одну секунду: 6005 и 6013 (со значением 55 сек). Вот это и надо использовать как время в логах в Вашем случае!!!

[DuDDiTs]

Еще раз спасибо Уважаемому stack515, !!!!

[stack515]

Еще раз спасибо Уважаемому stack515, !!!!

Рад, что все хорошо закончилось!

[nedes]

1. УРА !!! Если есть алгоритм решения - следуй ему! ЕСТЬ!!!
2. Итак, по собственному опыту: в суете и попыхах ничего не выходило, надо было неспеша в логах посмотреть на сутки и более назад - так и вышло. заражение файлов началось 03.06, но вирус был приобретен уже 1-го числа. Именно так, как в этой ветке и описано:
1. Находим в логах ближайшее событие 6005 (Запуск журнала событий) к моменту заражения.
2. В ту же секунду есть событие 6013 (время работоспособности). Обычно в нем значение около 15-40 сек.
- в моем случае 55 сек.

ИТОГО: около 2 часов на подбор пароля (Toshiba satellite c660 Core i5 - 60 сек в разбег), как только файл _passw.txt появился, я закрыл все работающие еще окна по подбору пароля и проверил - gotcha!!! stack515 спас мне 3 года фотоархивов и всех сделанных за это время работ. Низкий поклон и благодарю!!!

[stack515]

1. УРА !!! Если есть алгоритм решения - следуй ему! ЕСТЬ!!!
2. Итак, по собственному опыту: в суете и попыхах ничего не выходило, надо было неспеша в логах посмотреть на сутки и более назад - так и вышло. заражение файлов началось 03.06, но вирус был приобретен уже 1-го числа. Именно так, как в этой ветке и описано:
1. Находим в логах ближайшее событие 6005 (Запуск журнала событий) к моменту заражения.
2. В ту же секунду есть событие 6013 (время работоспособности). Обычно в нем значение около 15-40 сек.
- в моем случае 55 сек.

ИТОГО: около 2 часов на подбор пароля (Toshiba satellite c660 Core i5 - 60 сек в разбег), как только файл _passw.txt появился, я закрыл все работающие еще окна по подбору пароля и проверил - gotcha!!! stack515 спас мне 3 года фотоархивов и всех сделанных за это время работ. Низкий поклон и благодарю!!!

Отлично! Рад за Вас! Все верно. Надо все делать как раз не спеша, так как от точности параметров введенных в программу зависит успех!!!

[AlexSv]

Огромное спасибо Уважаемому stack515. ( пароль найден )

[Alex8282]

Народ у меня почему-то не выходи??? Может что-то не так делаю??
WS2008 st Нахожу в журнале системы событие билж. к дате заражения
Имя журнала: System
Источник: EventLog
Дата: 20.05.2014 12:50:19
Код события: 6005
Имя журнала: System
Источник: EventLog
Дата: 20.05.2014 12:50:19
Код события: 6009
Далее кей я не нашел....упорядочил архивы через поиск * rAr самый ранний 03.06.2014 15:10 .....секунд нет ставлю 00
Результата нет....может что-то не так делаю????

[stack515]

Народ у меня почему-то не выходи??? Может что-то не так делаю??
WS2008 st Нахожу в журнале системы событие билж. к дате заражения
Имя журнала: System
Источник: EventLog
Дата: 20.05.2014 12:50:19
Код события: 6005
Имя журнала: System
Источник: EventLog
Дата: 20.05.2014 12:50:19
Код события: 6009
Далее кей я не нашел....упорядочил архивы через поиск * rAr самый ранний 03.06.2014 15:10 .....секунд нет ставлю 00
Результата нет....может что-то не так делаю????

Хм... На первый взгляд - все так.

- Попробуйте найти все-таки папку c:\tmp, если ее нет - надо постараться понять куда она могла пропасть. в ней должен быть файл key.

- 20.05 - это ближайшая перезагрузка?

- Как я понял в WS2008 нет события 6013?

- Долго ли грузится комп? Попробуйте утилиткой из сообщения #60 проанализировать значение таймера в момент события 6005.

- Какой разброс стоит в программе. Советую расширить. Если позволяет мощность - значительно расширить. (например -600 +300)

[Alex8282]

c:\tmp Точно нет!
Вирус пришел по сети...у пользователей подключена папка обмена
20.05 это ближайшая...
WinSer2008 есть событие 6013
Имя журнала: System
Источник: EventLog
Дата: 02.06.2014 12:00:00
Код события: 6013
Категория задачи:Отсутствует
Уровень: Сведения
Ключевые слова:Классический
Пользователь: Н/Д
Время работоспособного состояния 1120229 сек.
ДЛя чего нужен????
Файл так и называется key? а расширение?
Key поиск не находит

- - - Добавлено - - -

Вложение 480549

Скорей всего оно не верно

С датой 20.06.2014 получил значение 104 что с ним делать??

[stack515]

c:\tmp Точно нет!
Вирус пришел по сети...у пользователей подключена папка обмена

Стоп!!! Стоп!!!! Вы хотите сказать что это не тот компьютер на котором было заражение?

Скажу пару слов о работе вируса: Вирус для генерации пароля использует число миллисекунд, которые прошли с момента запуска компьютера до момента заражения!

Вам необходимо найти компьютер, который это зашифровал!

Искать его, кстати можно, именно по присутствию папки c:\tmp с соответствующим содержимым. Файлы moar.exe, key, psystem, system, testz, driver.bat, bmrsa.exe и т.д.

[Alex8282]

я наше комп с Key !!!!!!!!!!!!!! ура
теперь вопрос я должен подбирать на том компе у которого есть папка c:\tmp или могу на сервере???

[stack515]

я наше комп с Key !!!!!!!!!!!!!! ура
теперь вопрос я должен подбирать на том компе у которого есть папка c:\tmp или могу на сервере???

Подбирать можно на любом, НО дату и время в логах надо брать от ЭТОГО КОМПА!. Ну и дату/время key файла из c:/tmp естественно с него же...

Какая ОС не нем?

[Alex8282]

win7 64 кей от 03.06 а EventLog тоже надо брать от 03.06 с того компа который был заражен?

[thyrex]

Именно так

[Alex8282]

А в логах на том компе дата 04.06 а не 03.06 (EventLog Код события: 6005 и 6009 совпадают а заражение файл кей 03.06. 15 09 53

[stack515]

А в логах на том компе дата 04.06 а не 03.06 (EventLog Код события: 6005 и 6009 совпадают а заражение файл кей 03.06. 15 09 53

Надо искать события ДО заражения! Если 6005 и 6009, то оно может быть вообще в мае. Или найти событие 6013 от 03.06.2014 (обычно в 12-00) и взять его за основу, но ТОЛЬКО в том случае если этот компьютер не входит в сон!

Если возникают проблемы, то выложите лог "система" (правой кнопкой на журнале "система", затем "сохранить все события как") на какой-либо хостинг (например rghost), а затем выложите ссылку.

[sandro206]

Люди добрые,а подскажите пожалуйста как быть в такой ситуации, если отсутствует лог системы в день заражения вирусом, система Win Xp?, один комп получилось восстановить, но там и лог был и винда W7

[stack515]

Люди добрые,а подскажите пожалуйста как быть в такой ситуации, если отсутствует лог системы в день заражения вирусом, система Win Xp?, один комп получилось восстановить, но там и лог был и винда W7

Для XP, как было уже сказано, нужно искать событие 6005 (Запуск журнала событий). Оно не обязательно в этот же день будет. Если комп включили неделю назад и он неделю работал, то и событие 6005 надо искать неделю назад. В этом случае во время события 6005 время работы обычно составляет около 20 сек. Для более точного определения можно воспользоваться утилиткой из сообщения #60. Уже несколько человек с XP излечились. Пробуйте!

PS: Не забывайте отписываться о результатах. Это важно для понимания того какие ситуации как разрешались.

[sandro206]

Для XP, как было уже сказано, нужно искать событие 6005 (Запуск журнала событий). Оно не обязательно в этот же день будет. Если комп включили неделю назад и он неделю работал, то и событие 6005 надо искать неделю назад. В этом случае во время события 6005 время работы обычно составляет около 20 сек. Для более точного определения можно воспользоваться утилиткой из сообщения #60. Уже несколько человек с XP излечились. Пробуйте!

PS: Не забывайте отписываться о результатах. Это важно для понимания того какие ситуации как разрешались.

наверно я не правильно сформулировал свой вопрос, заражение вирусом было 3 июня, а логи системы только с 4 июня, и компьютер включается и выключается каждый день.