Вообщем, сабж.
Сегодня убирал вирус и увидел, что файл держится чем-то и не хочет удалится. ПроцесЕксплорер показал, что хэндл принадлежит explorer.exe. Но ведь не сам же эксплорер держит вирус? Так вот, как узнать, какой-именно dll-ке (какому потоку) принадлежит хэндл файла?

Спасибо.

MBentefor, Он не держится, а используется им. Сделайте комплект логов. Выполните рекомендации (http://www.forum.oszone.net/post-717373-2.html) и прикрепите к следующему сообщению полученные логи.

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется) (http://www.gmer.net/download.php), Gmer в zip-архиве (перед применением распаковать в отдельную папку) (http://www.gmer.net/gmer.zip)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Sections
IAT/EAT
Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

P.S. Тему забираю в лечение.

Drongo, да не))) мне не нужна помощь)))
я спокойно справился с вирусом - благо дело не новичок в этом деле)

Меня интересует именно сабж - как узнать, какому потоку принадлежит хэндл.

MBentefor, как узнать, какому потоку принадлежит хэндл. »
В гугле трудно поискать ? гугли (http://www.google.ru/search?hl=ru&q=%28%D0%BA%D0%B0%D0%BA%D0%BE%D0%BC%D1%83+%D0%BF%D0%BE%D1%82%D0%BE%D0%BA%D1%83%29+%D0%BF%D1%80%D0%B8 %D0%BD%D0%B0%D0%B4%D0%BB%D0%B5%D0%B6%D0%B8%D1%82+%D1%85%D1%8D%D0%BD%D0%B4%D0%BB+%D1%84%D0%B0%D0%B9%D 0%BB&sourceid=navclient-ff&rlz=1B3GGGL_ru___MD345&ie=UTF-8)

Здесь только лечение. Нет логов - тема переносится в ХВЗ.

upp

upp » Запрещается поднимать тему добавлением сообщений или создавать новые темы с таким же содержанием, если с момента создания темы или отправки предыдущего сообщения прошло менее 3-х дней.

Так вот, как узнать, какой-именно dll-ке (какому потоку) принадлежит хэндл файла? »Как мне кажется, если в системе присутствует руткит, скрывающий вредоносные объекты, то увидеть сам файл не представится возможным. Если сильно хочется можно поэкспериментировать с помощью программы RegFile

Чесно говоря, не нашел такой программы...
Но вы меня, наверное не так поняли... Если вот в компьютере никаких вирусов нет, но файл не удаляется - значит его кто-то открыл. Смотрю в процес-експлорере - вижу, explorer.exe держит файл, у него хэндл.

Так вот, как узнать, какой поток, принадлежащий explorer.exe, открыл файл?

Чесно говоря, не нашел такой программы... »Виноват... FileMon

Смотрю в процес-експлорере - вижу, explorer.exe держит файл, у него хэндл.
Так вот, как узнать, какой поток, принадлежащий explorer.exe, открыл файл? »Вид - Выбрать столбцы - вкладка Handle выставить все галочки - ок
Вид - Показать нижнее окно или нажать Ctrl + L смотреть внизу.

В FileMon нет тех возможностей.

А во всех вкладках ProcessExplorer... Информация не прояснилась.

файл держится чем-то и не хочет удалится. ПроцесЕксплорер показал, что хэндл принадлежит explorer.exe. Но ведь не сам же эксплорер держит вирус? Так вот, как узнать, какой-именно dll-ке (какому потоку) принадлежит хэндл файла?

explorer.exe держит файл, у него хэндл.
Так вот, как узнать, какой поток, принадлежащий explorer.exe, открыл файл?
То есть, подозревается один из dll-ок из-под Эксплорера. А что за упорный файл сам по себе, может быть, тот dll и есть?
Вы хотите зайти не с того "канала". Что-то подсказывает Эксплореру, чтобы он его подержал. :) Процесс, или запись в реестре. Поэтому надо искать в самых модулях Эксплорера, в его расширениях и так далее, а не в хэндлах. IMHO. :)

А давайте, посмотрите с ProcessActivityView (NirSoft).

Вот дельное предложение. Но нет. Эта программа показывает, что открывает определенный процес, но не "кто его не дает открыть". OpenedFileView тоже ничего не дал - отображает только процессы.

То есть, подозревается один из dll-ок из-под Эксплорера. А что за упорный файл сам по себе, может быть, тот dll и есть? Вы хотите зайти не с того "канала". Что-то подсказывает Эксплореру, чтобы он его подержал. Процесс, или запись в реестре. Поэтому надо искать в самых модулях Эксплорера, в его расширениях и так далее, а не в хэндлах. IMHO.

Дело не в вирусе, меня интересует факт получения информации об конкретном хэндле.))

"кто его не дает открыть" »
Это новый подход... До того было - какому потоку принадлежит хэндл файла. В ProcessActivityView - чтО открывает такой-то модуль в рамках процесса Эксплорер (имеет смысл, попытаться открыть или удалить файл во время наблюдения программой). Вроде самое то?

Кроме того, как мне кажется, в итоге именно Эксплорер и "держит", а не его модуль.
Кроме того, если речь о winsxs, файл просто может быть нужным системе, и поиск, какой именно системный файл посылает команду блокировки, особого смысла не имеет.

В разрешениях хэндлов? По части winsxs эту информацию не отображает. Интересно...

Нет в FileMon, может быть в ProcMon-e? Но не "кто его не дает открыть". :)

TaskManager Extension (http://www.codeproject.com/KB/system/Task_Manager_Extension.aspx) пробовали для добычи информации? :)

Не пробовал. :)

MBentefor, Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется) (http://www.gmer.net/download.php), Gmer в zip-архиве (перед применением распаковать в отдельную папку) (http://www.gmer.net/gmer.zip)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Sections
IAT/EAT
Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Вроде самое то?
Нет. Не то. Мне не нужно знать, получилось ли у explorer открыть файл. Мне нужно, почему я лично (через фар, тотал или что-либо другое) не могу открыть его.

Кроме того, как мне кажется, в итоге именно Эксплорер и "держит", а не его модуль.
Не-а. Точно не он. Хотя в функциях типа CryptFileEx я не разбирался... Так-что все может быть.

Кроме того, если речь о winsxs
Речь идет о совсем левом файле (екзешник вируса), содержащемся в папке C:\Bin\Recycle\bin.exe

Нет в FileMon, может быть в ProcMon-e?
Нигде нет.

TaskManager Extension пробовали для добычи информации?
уже да. Не помогло. Да и в семерке не работает.

MBentefor, Рекомендую Anvir Task Manager:
http://keep4u.ru/imgs/s/2010/03/16/4c/4c082230d9a2e313e85e62bfc8455c44.jpg (http://keep4u.ru/full/4c082230d9a2e313e85e62bfc8455c44.html)

спс. но не.
он тут не помощник. хотя и гиперуниверсальная прога)))

Мне нужно, почему я лично (через фар, тотал или что-либо другое) не могу открыть его.

Речь идет о совсем левом файле (екзешник вируса)»
Теперь понятно (и это тоже новое; впереди речь шла о невозможности удалить).
Спросить у вашего антивируса? Или усыпить и посмотреть. :lol:

Такое бывает: вроде как ничто не держит, но антивирус помнит, что запрашивал действие, и, несмотря на отказ, остаётся при своём мнении (опознанная сигнатура и т. д.). Я усыплял его и открывал файл. Но был уверен, что это фальшивый алерт. И ХИПСа, как взрослого, не усыплял. :)