Не могу выцепить вирусный файл

После захода на какой-то новостной сайт в локальном юзерском TEMP появился набор батников и dll.
explorer запросился в интернет.
При попытке послать эти файлы на анализ выявилось, что они не копируются и не читаются. Ни из системы, ни из LiveCD(BART) ни даже из DSL.
Access denied или Permission denied в случае линукса.
Переименовать, однако, можно.
Атрибуты файлов в виндовс: -ahse или --hse, то бишь, криптованные. В линукс пермишны совершенно одинаковы у всех файлов temp'a, и у тех, что копируются и у тех, что нет. 0400.
Галка шифрования не снимается.
Размеры dll - 129 536/130 048, bat - 58-61.
Пробовал выцеплять эти файлы AVZ, через ручное добавление в карантин - неуспешно:
[SIZE=2][COLOR=#ff0000][SIZE=2][COLOR=#ff0000]Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\q\Local Settings\Temp\fcarp.ba)
Карантин с использованием прямого чтения - ошибка
[COLOR=black]Свежевыкачанный cureit и обновленная AVZ этих файлов не видят. И вообще криминала не видят.[/COLOR]
[COLOR=#000000]Однако explorer в инет просится :) [/COLOR]
[COLOR=#000000]Как их достать, эти файлы?[/COLOR]
[/COLOR][/SIZE][/COLOR][/SIZE]

А если отложенным удалением AVZ попробовать их удалить?

Пробовал один. Удаляется. Но в карантин не пишется. Вот та красная цитата - как раз появилась при отложенном удалении.
Но хотелось бы его(их) все-таки выделить :)

[QUOTE='mkl;552085']Атрибуты файлов в виндовс: -ahse или --hse, то бишь, криптованные. В линукс пермишны совершенно одинаковы у всех файлов temp'a, и у тех, что копируются и у тех, что нет. 0400.
Галка шифрования не снимается.[/QUOTE]Кто владелец файлов? Из под него и копируйте.

"Текущий владелец этого элемента
q (NOTE1\q)"
Действующие разрешения для него - все возможные.
Из под него и копирую. Не хочет.

1) Запустить проводник через планировщик (в винде - at) от имени системы.
2) В hex - редакторе файлы можно открыть? А если запустить его от SYSTEM?
И скопировать в другой файл?
3) Попробовать какую-то тулзу для восстановления удаленных файлов. Они и с обычными неплохо работают. То есть, как-то задействовать прямое чтение с диска.
4) интересно, что по этому поводу скажет товарищ attrib /? Снимать атрибуты пробовали?

Воспроизвел у себя ситуацию. Предложенное выше не помогло. Помогают только игры с разрешениями/владельцами.

[size="1"][color="#666686"][B][I]Добавлено через 1 час 0 минут[/I][/B][/color][/size]

Как ни странно, помогла эта моя старая недоделка: [url]http://zalil.ru/upload/28442341[/url]
Конкретно - кнопка "Get access", там выбираем [B]папку[/B] с файлом. Так уж было задумано.

[B][/B][B]antanta[/B], большой сенькс за идею о восстановилках. Некоторые, пожалуй, могут сработать...
по порядку:
-запускал от имени System консоль.
Attrib ry.ba - A HS
Не снимаются. Атрибут "Е" виден только под виндой, также не снимается.
Файлы не читаются, не копируются.
-HxD пробовал ранее - не ест. Сейчас запустил под System - то же самое.
-Get access запустил... не дал он access'у :(
Еще раз: для q(юзер), System, Администраторов - все права есть. Владелец - q.
Тут подсказывают про файловые потоки. Может с этой стороны посмотреть?
[B]PS [/B]на этой машинке нет восстановилок, диск подключить не к чему(ноут), под админом при живом вирусе заходить стремно, завтра поищу на компактах что-нть.
[B]PPS[/B]:
Вопрос, наверное, закрыт. Скопировал IceSword.

Сегодня я нарвался на склад, 18 зверьков (видов). В числе прочих kido.jq
Его файлы прекрасно копировались под Bart PE (он в этом случае лучше работает), в нормальной системе - нет. Помогла моя утилитка.
А без админских прав в системе ничего и сработает. Боюсь, даже Ice Sword и восстановилки. Привилегию оператора архива никто не даст, take ownership - тоже не пройдет. Все равно с PE работать придется.
Запрет на чтение может наследоваться и перекрывать разрешения. Нужно смотреть расширенные настройки.

[B]antanta[/B],
ну... если в данном случае не помогла, стало быть, механизм другой.
Ледоруб, вроде бы, работает своими средствами, мимо системы. Так же как и AVZ.
Жалко, не дает более подробного лога... То ли была там чистка реестра, то ли не было - непонятно.
Файлы поубивал(AVZ), на вирустотале результаты нулевые, но это как бы и понятно: зашифрованы... (кстати, похоже, каждый раз шифруется по-разному)
Остаточные явления остались, но хоть файлы перестали самовоспроизводиться :(

То есть, не помогла все-таки?
Мимо системы ничего не делается. Все сводится к одним и тем же механизмам (ядреным функциям), иногда через разные переходники. Моя тулза внаглую назначает пермишны 777. Странно, что в линуксе не вышло. Не знаю, насколько там зависит от внерсии ядра, а вот от реализации доступа к ntfs - должно зависеть, имхо. А он бывает сильно разный. Да и с виндой странности. Есть ощущение, что в Bart PE текущий пользователь имеет больше привилегий, чем в стандартном ERD.
Я DSL давно не пользовал, даже не знаю, развивается ли он, и что там за дрова. Иногда юзаю RIP (еще пол-года назад выходили регулярно свежие версии).
А кто логов не ведет? Если AVZ, то ... бывают и более брутальные утилиты, типа ComboFix. Так чо, AVZ - практически энтилигент :)
От своей дурилки могу исходники выслать, если есть сомнения ;) Писано для себя, как концепт, логи особо ни к чему были. Ушел с паскаля, наконец-то почти совсем. Смысл - по Руссиновичу сравнить дамп реестра с самим реестром, только вместо дампа - ресторы. А к ним еще добраться нужно из юзермода. Далле созается список того, что нашли, и скармливаем его еще и AVZ. Впрочем, это старая версия.

[QUOTE=mkl;552085]После захода на какой-то новостной сайт в локальном юзерском TEMP появился набор батников и dll.
explorer запросился в интернет.
При попытке послать эти файлы на анализ выявилось, что они не копируются и не читаются. Ни из системы, ни из LiveCD(BART) ни даже из DSL.
Access denied или Permission denied в случае линукса.
Переименовать, однако, можно.
Атрибуты файлов в виндовс: -ahse или --hse, то бишь, криптованные. В линукс пермишны совершенно одинаковы у всех файлов temp'a, и у тех, что копируются и у тех, что нет. 0400.
Галка шифрования не снимается.[SIZE=2][COLOR=#ff0000][SIZE=2][COLOR=#ff0000]
[/COLOR][/SIZE][/COLOR][/SIZE][/QUOTE]тоже столкнулась с похожим вирусом -- смс-вымогатель download master.
именно так он ведет себя под обычным юзером, создает в темпе зашифрованные dll и к ней bat-файл содержащий ключ запуска этой дллки.. +батник впихивается в автозагрузку

а галка шифрования не снимается под админом, т.к. шифрование выполнено под юзером, о чем говорит вкладка доступа в шифровании и подробности о выданном сертификате ( на скрине из тестовой системы по правам: администратор - Admin, пользователь - max)

[URL="http://www.10pix.ru/img1/1093/610999.jpg"][IMG]http://www.10pix.ru/img1/1093/610999.th.jpg[/IMG][/URL]

т.е. снимаем шифрование под юзером - файл полностью доступен и админу.. делай с ним теперь что хочешь :)

у меня сработало :)



ЗЫ. спасибо за созданную тему, обсуждение очень помогло решить возникшую проблему :smile:

[B]Юльча[/B],
на всякий случай посмотрите с LiveCD \max\ApplicationData
В моем случае файл назывался sdra64 и не ловился ни вебером, ни каспером.
Сегодня, вроде, должен ловиться.
Ключ запуска - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
В системе файл не видим.

с sdra64 раньше сталкивалась пару-тройку раз, но в этом описанном мною случае его не было

Сегодня вместе с mkl (по удаленке) с помощью Active@ File Recovery
мы слили файл на флеху с FAT. Не знаю, что это даст. Все равно файл зашифрован.
mkl на связь не выходит.

mkl не может!!!
Лички после 5 сообщений заблокировались на 28 часов!
Вирь, вроде как подавлен - прятался в \q\Application Data
Тревожных симптомов нет (с)
А вообще слитый Active@ File Recovery отличается от того, что считал IceSword.
[B]antanta[/B], мож по скайпу?