Показано с 1 по 15 из 15.

Не могу выцепить вирусный файл

  1. #1
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    52
    Вес репутации
    59

    Не могу выцепить вирусный файл

    После захода на какой-то новостной сайт в локальном юзерском TEMP появился набор батников и dll.
    explorer запросился в интернет.
    При попытке послать эти файлы на анализ выявилось, что они не копируются и не читаются. Ни из системы, ни из LiveCD(BART) ни даже из DSL.
    Access denied или Permission denied в случае линукса.
    Переименовать, однако, можно.
    Атрибуты файлов в виндовс: -ahse или --hse, то бишь, криптованные. В линукс пермишны совершенно одинаковы у всех файлов temp'a, и у тех, что копируются и у тех, что нет. 0400.
    Галка шифрования не снимается.
    Размеры dll - 129 536/130 048, bat - 58-61.
    Пробовал выцеплять эти файлы AVZ, через ручное добавление в карантин - неуспешно:
    Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\q\Local Settings\Temp\fcarp.ba)
    Карантин с использованием прямого чтения - ошибка
    Свежевыкачанный cureit и обновленная AVZ этих файлов не видят. И вообще криминала не видят.
    Однако explorer в инет просится
    Как их достать, эти файлы?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    23.12.2009
    Сообщений
    10
    Вес репутации
    53
    А если отложенным удалением AVZ попробовать их удалить?

  4. #3
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    52
    Вес репутации
    59
    Пробовал один. Удаляется. Но в карантин не пишется. Вот та красная цитата - как раз появилась при отложенном удалении.
    Но хотелось бы его(их) все-таки выделить

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Цитата Сообщение от mkl Посмотреть сообщение
    Атрибуты файлов в виндовс: -ahse или --hse, то бишь, криптованные. В линукс пермишны совершенно одинаковы у всех файлов temp'a, и у тех, что копируются и у тех, что нет. 0400.
    Галка шифрования не снимается.
    Кто владелец файлов? Из под него и копируйте.

  6. #5
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    52
    Вес репутации
    59
    "Текущий владелец этого элемента
    q (NOTE1\q)"
    Действующие разрешения для него - все возможные.
    Из под него и копирую. Не хочет.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для antanta
    Регистрация
    27.12.2008
    Адрес
    Алматы
    Сообщений
    687
    Вес репутации
    530
    1) Запустить проводник через планировщик (в винде - at) от имени системы.
    2) В hex - редакторе файлы можно открыть? А если запустить его от SYSTEM?
    И скопировать в другой файл?
    3) Попробовать какую-то тулзу для восстановления удаленных файлов. Они и с обычными неплохо работают. То есть, как-то задействовать прямое чтение с диска.
    4) интересно, что по этому поводу скажет товарищ attrib /? Снимать атрибуты пробовали?

    Воспроизвел у себя ситуацию. Предложенное выше не помогло. Помогают только игры с разрешениями/владельцами.

    Добавлено через 1 час 0 минут

    Как ни странно, помогла эта моя старая недоделка: http://zalil.ru/upload/28442341
    Конкретно - кнопка "Get access", там выбираем папку с файлом. Так уж было задумано.
    Последний раз редактировалось antanta; 05.01.2010 в 23:22. Причина: Добавлено

  8. #7
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    52
    Вес репутации
    59
    antanta, большой сенькс за идею о восстановилках. Некоторые, пожалуй, могут сработать...
    по порядку:
    -запускал от имени System консоль.
    Attrib ry.ba - A HS
    Не снимаются. Атрибут "Е" виден только под виндой, также не снимается.
    Файлы не читаются, не копируются.
    -HxD пробовал ранее - не ест. Сейчас запустил под System - то же самое.
    -Get access запустил... не дал он access'у
    Еще раз: для q(юзер), System, Администраторов - все права есть. Владелец - q.
    Тут подсказывают про файловые потоки. Может с этой стороны посмотреть?
    PS на этой машинке нет восстановилок, диск подключить не к чему(ноут), под админом при живом вирусе заходить стремно, завтра поищу на компактах что-нть.
    PPS:
    Вопрос, наверное, закрыт. Скопировал IceSword.
    Последний раз редактировалось mkl; 06.01.2010 в 00:48. Причина: добавление

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для antanta
    Регистрация
    27.12.2008
    Адрес
    Алматы
    Сообщений
    687
    Вес репутации
    530
    Сегодня я нарвался на склад, 18 зверьков (видов). В числе прочих kido.jq
    Его файлы прекрасно копировались под Bart PE (он в этом случае лучше работает), в нормальной системе - нет. Помогла моя утилитка.
    А без админских прав в системе ничего и сработает. Боюсь, даже Ice Sword и восстановилки. Привилегию оператора архива никто не даст, take ownership - тоже не пройдет. Все равно с PE работать придется.
    Запрет на чтение может наследоваться и перекрывать разрешения. Нужно смотреть расширенные настройки.

  10. #9
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    52
    Вес репутации
    59
    antanta,
    ну... если в данном случае не помогла, стало быть, механизм другой.
    Ледоруб, вроде бы, работает своими средствами, мимо системы. Так же как и AVZ.
    Жалко, не дает более подробного лога... То ли была там чистка реестра, то ли не было - непонятно.
    Файлы поубивал(AVZ), на вирустотале результаты нулевые, но это как бы и понятно: зашифрованы... (кстати, похоже, каждый раз шифруется по-разному)
    Остаточные явления остались, но хоть файлы перестали самовоспроизводиться

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для antanta
    Регистрация
    27.12.2008
    Адрес
    Алматы
    Сообщений
    687
    Вес репутации
    530
    То есть, не помогла все-таки?
    Мимо системы ничего не делается. Все сводится к одним и тем же механизмам (ядреным функциям), иногда через разные переходники. Моя тулза внаглую назначает пермишны 777. Странно, что в линуксе не вышло. Не знаю, насколько там зависит от внерсии ядра, а вот от реализации доступа к ntfs - должно зависеть, имхо. А он бывает сильно разный. Да и с виндой странности. Есть ощущение, что в Bart PE текущий пользователь имеет больше привилегий, чем в стандартном ERD.
    Я DSL давно не пользовал, даже не знаю, развивается ли он, и что там за дрова. Иногда юзаю RIP (еще пол-года назад выходили регулярно свежие версии).
    А кто логов не ведет? Если AVZ, то ... бывают и более брутальные утилиты, типа ComboFix. Так чо, AVZ - практически энтилигент
    От своей дурилки могу исходники выслать, если есть сомнения Писано для себя, как концепт, логи особо ни к чему были. Ушел с паскаля, наконец-то почти совсем. Смысл - по Руссиновичу сравнить дамп реестра с самим реестром, только вместо дампа - ресторы. А к ним еще добраться нужно из юзермода. Далле созается список того, что нашли, и скармливаем его еще и AVZ. Впрочем, это старая версия.

  12. #11
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Юльча
    Регистрация
    19.01.2009
    Адрес
    Ukraine
    Сообщений
    350
    Вес репутации
    383
    Цитата Сообщение от mkl Посмотреть сообщение
    После захода на какой-то новостной сайт в локальном юзерском TEMP появился набор батников и dll.
    explorer запросился в интернет.
    При попытке послать эти файлы на анализ выявилось, что они не копируются и не читаются. Ни из системы, ни из LiveCD(BART) ни даже из DSL.
    Access denied или Permission denied в случае линукса.
    Переименовать, однако, можно.
    Атрибуты файлов в виндовс: -ahse или --hse, то бишь, криптованные. В линукс пермишны совершенно одинаковы у всех файлов temp'a, и у тех, что копируются и у тех, что нет. 0400.
    Галка шифрования не снимается.
    тоже столкнулась с похожим вирусом -- смс-вымогатель download master.
    именно так он ведет себя под обычным юзером, создает в темпе зашифрованные dll и к ней bat-файл содержащий ключ запуска этой дллки.. +батник впихивается в автозагрузку

    а галка шифрования не снимается под админом, т.к. шифрование выполнено под юзером, о чем говорит вкладка доступа в шифровании и подробности о выданном сертификате ( на скрине из тестовой системы по правам: администратор - Admin, пользователь - max)



    т.е. снимаем шифрование под юзером - файл полностью доступен и админу.. делай с ним теперь что хочешь

    у меня сработало



    ЗЫ. спасибо за созданную тему, обсуждение очень помогло решить возникшую проблему
    Последний раз редактировалось Юльча; 08.01.2010 в 04:47.

  13. #12
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    52
    Вес репутации
    59
    Юльча,
    на всякий случай посмотрите с LiveCD \max\ApplicationData
    В моем случае файл назывался sdra64 и не ловился ни вебером, ни каспером.
    Сегодня, вроде, должен ловиться.
    Ключ запуска - HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
    В системе файл не видим.

  14. #13
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Юльча
    Регистрация
    19.01.2009
    Адрес
    Ukraine
    Сообщений
    350
    Вес репутации
    383
    с sdra64 раньше сталкивалась пару-тройку раз, но в этом описанном мною случае его не было

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для antanta
    Регистрация
    27.12.2008
    Адрес
    Алматы
    Сообщений
    687
    Вес репутации
    530
    Сегодня вместе с mkl (по удаленке) с помощью Active@ File Recovery
    мы слили файл на флеху с FAT. Не знаю, что это даст. Все равно файл зашифрован.
    mkl на связь не выходит.

  16. #15
    Junior Member Репутация
    Регистрация
    05.03.2008
    Сообщений
    52
    Вес репутации
    59
    mkl не может!!!
    Лички после 5 сообщений заблокировались на 28 часов!
    Вирь, вроде как подавлен - прятался в \q\Application Data
    Тревожных симптомов нет (с)
    А вообще слитый Active@ File Recovery отличается от того, что считал IceSword.
    antanta, мож по скайпу?

Похожие темы

  1. Не удаляется вирусный файл \"winmap.exe\" (заявка №34271)
    От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
    Ответов: 1
    Последнее сообщение: 27.10.2010, 03:00
  2. Не могу восстановить файл
    От Sway в разделе Софт - общий
    Ответов: 6
    Последнее сообщение: 13.09.2010, 20:50
  3. Не могу удалить файл
    От Pavel123 в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 22.02.2009, 09:36
  4. Не могу найти файл servics.exe
    От грин в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 22.02.2009, 09:07
  5. Файл sxs.exe на флешке, не могу удалить
    От mstep74 в разделе Помогите!
    Ответов: 18
    Последнее сообщение: 19.03.2008, 19:19

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00190 seconds with 19 queries