-
Junior Member
- Вес репутации
- 53
Сообщение от
stack515
Важное дополнение!
На примере ситуации у DuDDiTs убедился в том, что если компьютер входит в сон (особенно актуально для ноутбуков) то способ нахождения "времени работы" по последнему событию LogEvent 6013 (время работоспособности) не работает.
ЕСЛИ КОМПЬЮТЕР ВХОДИТ В СОН, то нужно пользоваться способом как для XP или следующим алгоритмом:
1. Находим в логах ближайшее событие 6005 (Запуск журнала событий) к моменту заражения.
2. В ту же секунду есть событие 6013 (время работоспособности). Обычно в нем значение около 15-40 сек.
3. Запустить утилиту, но в качестве логов брать дату, время и значение именно этой записи.
Please, Help:
03.06.2014 13:22:46 EventLog (6013) 57857 сек (понятно, что это все со спящим режимом!),
но в логах нет события 6005!
03.06.2014 16:15:00 создание System
03.06.2014 16:16:00 создание Key
Почти отчаялся, т.к. 3-й день вводил 57857 сек "играясь" с ± 60-120 сек в диапазоне, сейчас вместо 57857 влепил 40. Диапазон выставил 16:16:00 ± 60 сек. Все ли правильно делаю?
О! кажется нашел, как раз 6005 и следом 6013 на 42 сек! Но это уже дата след. для (04.06.2014) - позже отпишусь по результатам.
Последний раз редактировалось nedes; 19.06.2014 в 10:54.
Причина: дополнение!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
nedes
Please, Help:
03.06.2014 13:22:46 EventLog (6013) 57857 сек (понятно, что это все со спящим режимом!),
но в логах нет события 6005!
03.06.2014 16:15:00 создание System
03.06.2014 16:16:00 создание Key
Почти отчаялся, т.к. 3-й день вводил 57857 сек "играясь" с ± 60-120 сек в диапазоне, сейчас вместо 57857 влепил 40. Диапазон выставил 16:16:00 ± 60 сек. Все ли правильно делаю?
Просто так угадывать цифры не стоит...
Попробую помочь: мне надо видеть Ваш лог. Для этого на журнале "система" жмем правой кнопкой, затем "сохранить все события как". Далее выкладываем этот файл на любой файлообменник (например rghost) и кидаем сюда ссылку.
- - - Добавлено - - -
Сообщение от
nedes
Please, Help:
03.06.2014 13:22:46 EventLog (6013) 57857 сек (понятно, что это все со спящим режимом!),
но в логах нет события 6005!
03.06.2014 16:15:00 создание System
03.06.2014 16:16:00 создание Key
Почти отчаялся, т.к. 3-й день вводил 57857 сек "играясь" с ± 60-120 сек в диапазоне, сейчас вместо 57857 влепил 40. Диапазон выставил 16:16:00 ± 60 сек. Все ли правильно делаю?
О! кажется нашел, как раз 6005 и следом 6013 на 42 сек! Но это уже дата след. для (04.06.2014) - позже отпишусь по результатам.
Нет! Нет!!!! День после - это не то!!!! Надо ДО! По Вашему логу момент загрузки 01.06.2014 19:51:51. Там два события в одну секунду: 6005 и 6013 (со значением 55 сек). Вот это и надо использовать как время в логах в Вашем случае!!!
-
Junior Member
- Вес репутации
- 36
Еще раз спасибо Уважаемому stack515, !!!!
-
Сообщение от
DuDDiTs
Еще раз спасибо Уважаемому
stack515, !!!!
Рад, что все хорошо закончилось!
-
Junior Member
- Вес репутации
- 53
-
Сообщение от
nedes
1. УРА !!! Если есть алгоритм решения - следуй ему! ЕСТЬ!!!
2. Итак, по собственному опыту: в суете и попыхах ничего не выходило, надо было неспеша в логах посмотреть на сутки и более назад - так и вышло. заражение файлов началось 03.06, но вирус был приобретен уже 1-го числа. Именно так, как в этой ветке и описано:
1. Находим в логах ближайшее событие 6005 (Запуск журнала событий) к моменту заражения.
2. В ту же секунду есть событие 6013 (время работоспособности). Обычно в нем значение около 15-40 сек.
- в моем случае 55 сек.
ИТОГО: около 2 часов на подбор пароля (Toshiba satellite c660 Core i5 - 60 сек в разбег), как только файл _passw.txt появился, я закрыл все работающие еще окна по подбору пароля и проверил - gotcha!!! stack515 спас мне 3 года фотоархивов и всех сделанных за это время работ. Низкий поклон и благодарю!!!
Отлично! Рад за Вас! Все верно. Надо все делать как раз не спеша, так как от точности параметров введенных в программу зависит успех!!!
-
Junior Member
- Вес репутации
- 56
Огромное спасибо Уважаемому stack515. ( пароль найден )
-
Junior Member
- Вес репутации
- 36
Народ у меня почему-то не выходи??? Может что-то не так делаю??
WS2008 st Нахожу в журнале системы событие билж. к дате заражения
Имя журнала: System
Источник: EventLog
Дата: 20.05.2014 12:50:19
Код события: 6005
Имя журнала: System
Источник: EventLog
Дата: 20.05.2014 12:50:19
Код события: 6009
Далее кей я не нашел....упорядочил архивы через поиск * rAr самый ранний 03.06.2014 15:10 .....секунд нет ставлю 00
Результата нет....может что-то не так делаю????
-
Сообщение от
Alex8282
Народ у меня почему-то не выходи??? Может что-то не так делаю??
WS2008 st Нахожу в журнале системы событие билж. к дате заражения
Имя журнала: System
Источник: EventLog
Дата: 20.05.2014 12:50:19
Код события: 6005
Имя журнала: System
Источник: EventLog
Дата: 20.05.2014 12:50:19
Код события: 6009
Далее кей я не нашел....упорядочил архивы через поиск * rAr самый ранний 03.06.2014 15:10 .....секунд нет ставлю 00
Результата нет....может что-то не так делаю????
Хм... На первый взгляд - все так.
- Попробуйте найти все-таки папку c:\tmp, если ее нет - надо постараться понять куда она могла пропасть. в ней должен быть файл key.
- 20.05 - это ближайшая перезагрузка?
- Как я понял в WS2008 нет события 6013?
- Долго ли грузится комп? Попробуйте утилиткой из сообщения #60 проанализировать значение таймера в момент события 6005.
- Какой разброс стоит в программе. Советую расширить. Если позволяет мощность - значительно расширить. (например -600 +300)
-
Junior Member
- Вес репутации
- 36
c:\tmp Точно нет!
Вирус пришел по сети...у пользователей подключена папка обмена
20.05 это ближайшая...
WinSer2008 есть событие 6013
Имя журнала: System
Источник: EventLog
Дата: 02.06.2014 12:00:00
Код события: 6013
Категория задачи:Отсутствует
Уровень: Сведения
Ключевые слова:Классический
Пользователь: Н/Д
Время работоспособного состояния 1120229 сек.
ДЛя чего нужен????
Файл так и называется key? а расширение?
Key поиск не находит
- - - Добавлено - - -
Вложение 480549
Скорей всего оно не верно
С датой 20.06.2014 получил значение 104 что с ним делать??
Последний раз редактировалось Alex8282; 23.06.2014 в 15:19.
-
Сообщение от
Alex8282
c:\tmp Точно нет!
Вирус пришел по сети...у пользователей подключена папка обмена
Стоп!!! Стоп!!!! Вы хотите сказать что это не тот компьютер на котором было заражение?
Скажу пару слов о работе вируса: Вирус для генерации пароля использует число миллисекунд, которые прошли с момента запуска компьютера до момента заражения!
Вам необходимо найти компьютер, который это зашифровал!
Искать его, кстати можно, именно по присутствию папки c:\tmp с соответствующим содержимым. Файлы moar.exe, key, psystem, system, testz, driver.bat, bmrsa.exe и т.д.
Последний раз редактировалось stack515; 23.06.2014 в 16:12.
-
Junior Member
- Вес репутации
- 36
я наше комп с Key !!!!!!!!!!!!!! ура
теперь вопрос я должен подбирать на том компе у которого есть папка c:\tmp или могу на сервере???
-
Сообщение от
Alex8282
я наше комп с Key !!!!!!!!!!!!!! ура
теперь вопрос я должен подбирать на том компе у которого есть папка c:\tmp или могу на сервере???
Подбирать можно на любом, НО дату и время в логах надо брать от ЭТОГО КОМПА!. Ну и дату/время key файла из c:/tmp естественно с него же...
Какая ОС не нем?
-
Junior Member
- Вес репутации
- 36
win7 64 кей от 03.06 а EventLog тоже надо брать от 03.06 с того компа который был заражен?
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 36
А в логах на том компе дата 04.06 а не 03.06 (EventLog Код события: 6005 и 6009 совпадают а заражение файл кей 03.06. 15 09 53
-
Сообщение от
Alex8282
А в логах на том компе дата 04.06 а не 03.06 (EventLog Код события: 6005 и 6009 совпадают а заражение файл кей 03.06. 15 09 53
Надо искать события ДО заражения! Если 6005 и 6009, то оно может быть вообще в мае. Или найти событие 6013 от 03.06.2014 (обычно в 12-00) и взять его за основу, но ТОЛЬКО в том случае если этот компьютер не входит в сон!
Если возникают проблемы, то выложите лог "система" (правой кнопкой на журнале "система", затем "сохранить все события как") на какой-либо хостинг (например rghost), а затем выложите ссылку.
-
Junior Member
- Вес репутации
- 37
Люди добрые,а подскажите пожалуйста как быть в такой ситуации, если отсутствует лог системы в день заражения вирусом, система Win Xp?, один комп получилось восстановить, но там и лог был и винда W7
-
Сообщение от
sandro206
Люди добрые,а подскажите пожалуйста как быть в такой ситуации, если отсутствует лог системы в день заражения вирусом, система Win Xp?, один комп получилось восстановить, но там и лог был и винда W7
Для XP, как было уже сказано, нужно искать событие 6005 (Запуск журнала событий). Оно не обязательно в этот же день будет. Если комп включили неделю назад и он неделю работал, то и событие 6005 надо искать неделю назад. В этом случае во время события 6005 время работы обычно составляет около 20 сек. Для более точного определения можно воспользоваться утилиткой из сообщения #60. Уже несколько человек с XP излечились. Пробуйте!
PS: Не забывайте отписываться о результатах. Это важно для понимания того какие ситуации как разрешались.
-
Junior Member
- Вес репутации
- 37
Сообщение от
stack515
Для XP, как было уже сказано, нужно искать событие 6005 (Запуск журнала событий). Оно не обязательно в этот же день будет. Если комп включили неделю назад и он неделю работал, то и событие 6005 надо искать неделю назад. В этом случае во время события 6005 время работы обычно составляет около 20 сек. Для более точного определения можно воспользоваться утилиткой из сообщения #60. Уже несколько человек с XP излечились. Пробуйте!
PS: Не забывайте отписываться о результатах. Это важно для понимания того какие ситуации как разрешались.
наверно я не правильно сформулировал свой вопрос, заражение вирусом было 3 июня, а логи системы только с 4 июня, и компьютер включается и выключается каждый день.