-
Junior Member
- Вес репутации
- 59
Не могу выцепить вирусный файл
После захода на какой-то новостной сайт в локальном юзерском TEMP появился набор батников и dll.
explorer запросился в интернет.
При попытке послать эти файлы на анализ выявилось, что они не копируются и не читаются. Ни из системы, ни из LiveCD(BART) ни даже из DSL.
Access denied или Permission denied в случае линукса.
Переименовать, однако, можно.
Атрибуты файлов в виндовс: -ahse или --hse, то бишь, криптованные. В линукс пермишны совершенно одинаковы у всех файлов temp'a, и у тех, что копируются и у тех, что нет. 0400.
Галка шифрования не снимается.
Размеры dll - 129 536/130 048, bat - 58-61.
Пробовал выцеплять эти файлы AVZ, через ручное добавление в карантин - неуспешно:
Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\q\Local Settings\Temp\fcarp.ba)
Карантин с использованием прямого чтения - ошибка
Свежевыкачанный cureit и обновленная AVZ этих файлов не видят. И вообще криминала не видят.
Однако explorer в инет просится
Как их достать, эти файлы?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 53
А если отложенным удалением AVZ попробовать их удалить?
-
Junior Member
- Вес репутации
- 59
Пробовал один. Удаляется. Но в карантин не пишется. Вот та красная цитата - как раз появилась при отложенном удалении.
Но хотелось бы его(их) все-таки выделить
-
Сообщение от
mkl
Атрибуты файлов в виндовс: -ahse или --hse, то бишь, криптованные. В линукс пермишны совершенно одинаковы у всех файлов temp'a, и у тех, что копируются и у тех, что нет. 0400.
Галка шифрования не снимается.
Кто владелец файлов? Из под него и копируйте.
-
-
Junior Member
- Вес репутации
- 59
"Текущий владелец этого элемента
q (NOTE1\q)"
Действующие разрешения для него - все возможные.
Из под него и копирую. Не хочет.
-
1) Запустить проводник через планировщик (в винде - at) от имени системы.
2) В hex - редакторе файлы можно открыть? А если запустить его от SYSTEM?
И скопировать в другой файл?
3) Попробовать какую-то тулзу для восстановления удаленных файлов. Они и с обычными неплохо работают. То есть, как-то задействовать прямое чтение с диска.
4) интересно, что по этому поводу скажет товарищ attrib /? Снимать атрибуты пробовали?
Воспроизвел у себя ситуацию. Предложенное выше не помогло. Помогают только игры с разрешениями/владельцами.
Добавлено через 1 час 0 минут
Как ни странно, помогла эта моя старая недоделка: http://zalil.ru/upload/28442341
Конкретно - кнопка "Get access", там выбираем папку с файлом. Так уж было задумано.
Последний раз редактировалось antanta; 05.01.2010 в 23:22.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 59
antanta, большой сенькс за идею о восстановилках. Некоторые, пожалуй, могут сработать...
по порядку:
-запускал от имени System консоль.
Attrib ry.ba - A HS
Не снимаются. Атрибут "Е" виден только под виндой, также не снимается.
Файлы не читаются, не копируются.
-HxD пробовал ранее - не ест. Сейчас запустил под System - то же самое.
-Get access запустил... не дал он access'у
Еще раз: для q(юзер), System, Администраторов - все права есть. Владелец - q.
Тут подсказывают про файловые потоки. Может с этой стороны посмотреть?
PS на этой машинке нет восстановилок, диск подключить не к чему(ноут), под админом при живом вирусе заходить стремно, завтра поищу на компактах что-нть.
PPS:
Вопрос, наверное, закрыт. Скопировал IceSword.
Последний раз редактировалось mkl; 06.01.2010 в 00:48.
Причина: добавление
-
Сегодня я нарвался на склад, 18 зверьков (видов). В числе прочих kido.jq
Его файлы прекрасно копировались под Bart PE (он в этом случае лучше работает), в нормальной системе - нет. Помогла моя утилитка.
А без админских прав в системе ничего и сработает. Боюсь, даже Ice Sword и восстановилки. Привилегию оператора архива никто не даст, take ownership - тоже не пройдет. Все равно с PE работать придется.
Запрет на чтение может наследоваться и перекрывать разрешения. Нужно смотреть расширенные настройки.
-
-
Junior Member
- Вес репутации
- 59
antanta,
ну... если в данном случае не помогла, стало быть, механизм другой.
Ледоруб, вроде бы, работает своими средствами, мимо системы. Так же как и AVZ.
Жалко, не дает более подробного лога... То ли была там чистка реестра, то ли не было - непонятно.
Файлы поубивал(AVZ), на вирустотале результаты нулевые, но это как бы и понятно: зашифрованы... (кстати, похоже, каждый раз шифруется по-разному)
Остаточные явления остались, но хоть файлы перестали самовоспроизводиться
-
То есть, не помогла все-таки?
Мимо системы ничего не делается. Все сводится к одним и тем же механизмам (ядреным функциям), иногда через разные переходники. Моя тулза внаглую назначает пермишны 777. Странно, что в линуксе не вышло. Не знаю, насколько там зависит от внерсии ядра, а вот от реализации доступа к ntfs - должно зависеть, имхо. А он бывает сильно разный. Да и с виндой странности. Есть ощущение, что в Bart PE текущий пользователь имеет больше привилегий, чем в стандартном ERD.
Я DSL давно не пользовал, даже не знаю, развивается ли он, и что там за дрова. Иногда юзаю RIP (еще пол-года назад выходили регулярно свежие версии).
А кто логов не ведет? Если AVZ, то ... бывают и более брутальные утилиты, типа ComboFix. Так чо, AVZ - практически энтилигент
От своей дурилки могу исходники выслать, если есть сомнения Писано для себя, как концепт, логи особо ни к чему были. Ушел с паскаля, наконец-то почти совсем. Смысл - по Руссиновичу сравнить дамп реестра с самим реестром, только вместо дампа - ресторы. А к ним еще добраться нужно из юзермода. Далле созается список того, что нашли, и скармливаем его еще и AVZ. Впрочем, это старая версия.
-
-
Сообщение от
mkl
После захода на какой-то новостной сайт в локальном юзерском TEMP появился набор батников и dll.
explorer запросился в интернет.
При попытке послать эти файлы на анализ выявилось, что они не копируются и не читаются. Ни из системы, ни из LiveCD(BART) ни даже из DSL.
Access denied или Permission denied в случае линукса.
Переименовать, однако, можно.
Атрибуты файлов в виндовс: -ahse или --hse, то бишь, криптованные. В линукс пермишны совершенно одинаковы у всех файлов temp'a, и у тех, что копируются и у тех, что нет. 0400.
Галка шифрования не снимается.
тоже столкнулась с похожим вирусом -- смс-вымогатель download master.
именно так он ведет себя под обычным юзером, создает в темпе зашифрованные dll и к ней bat-файл содержащий ключ запуска этой дллки.. +батник впихивается в автозагрузку
а галка шифрования не снимается под админом, т.к. шифрование выполнено под юзером, о чем говорит вкладка доступа в шифровании и подробности о выданном сертификате ( на скрине из тестовой системы по правам: администратор - Admin, пользователь - max)
т.е. снимаем шифрование под юзером - файл полностью доступен и админу.. делай с ним теперь что хочешь
у меня сработало
ЗЫ. спасибо за созданную тему, обсуждение очень помогло решить возникшую проблему
Последний раз редактировалось Юльча; 08.01.2010 в 04:47.
-
Junior Member
- Вес репутации
- 59
Юльча,
на всякий случай посмотрите с LiveCD \max\ApplicationData
В моем случае файл назывался sdra64 и не ловился ни вебером, ни каспером.
Сегодня, вроде, должен ловиться.
Ключ запуска - HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
В системе файл не видим.
-
с sdra64 раньше сталкивалась пару-тройку раз, но в этом описанном мною случае его не было
-
Сегодня вместе с mkl (по удаленке) с помощью Active@ File Recovery
мы слили файл на флеху с FAT. Не знаю, что это даст. Все равно файл зашифрован.
mkl на связь не выходит.
-
-
Junior Member
- Вес репутации
- 59
mkl не может!!!
Лички после 5 сообщений заблокировались на 28 часов!
Вирь, вроде как подавлен - прятался в \q\Application Data
Тревожных симптомов нет (с)
А вообще слитый Active@ File Recovery отличается от того, что считал IceSword.
antanta, мож по скайпу?