Узнать, какому потоку принадлежит Хэндл
 

Вообщем, сабж.
Сегодня убирал вирус и увидел, что файл держится чем-то и не хочет удалится. ПроцесЕксплорер показал, что хэндл принадлежит explorer.exe. Но ведь не сам же эксплорер держит вирус? Так вот, как узнать, какой-именно dll-ке (какому потоку) принадлежит хэндл файла?

Спасибо.

MBentefor, Он не держится, а используется им. Сделайте комплект логов. Выполните рекомендации и прикрепите к следующему сообщению полученные логи.

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

P.S. Тему забираю в лечение.

Drongo, да не))) мне не нужна помощь)))
я спокойно справился с вирусом - благо дело не новичок в этом деле)

Меня интересует именно сабж - как узнать, какому потоку принадлежит хэндл.

MBentefor, В гугле трудно поискать ? гугли

Здесь только лечение. Нет логов - тема переносится в ХВЗ.

upp

Как мне кажется, если в системе присутствует руткит, скрывающий вредоносные объекты, то увидеть сам файл не представится возможным. Если сильно хочется можно поэкспериментировать с помощью программы RegFile

Чесно говоря, не нашел такой программы...
Но вы меня, наверное не так поняли... Если вот в компьютере никаких вирусов нет, но файл не удаляется - значит его кто-то открыл. Смотрю в процес-експлорере - вижу, explorer.exe держит файл, у него хэндл.

Так вот, как узнать, какой поток, принадлежащий explorer.exe, открыл файл?

Виноват... FileMon

Вид - Выбрать столбцы - вкладка Handle выставить все галочки - ок
Вид - Показать нижнее окно или нажать Ctrl + L смотреть внизу.

В FileMon нет тех возможностей.

А во всех вкладках ProcessExplorer... Информация не прояснилась.

То есть, подозревается один из dll-ок из-под Эксплорера. А что за упорный файл сам по себе, может быть, тот dll и есть?
Вы хотите зайти не с того "канала". Что-то подсказывает Эксплореру, чтобы он его подержал. :) Процесс, или запись в реестре. Поэтому надо искать в самых модулях Эксплорера, в его расширениях и так далее, а не в хэндлах. IMHO. :)

А давайте, посмотрите с ProcessActivityView (NirSoft).

Вот дельное предложение. Но нет. Эта программа показывает, что открывает определенный процес, но не "кто его не дает открыть". OpenedFileView тоже ничего не дал - отображает только процессы.

Дело не в вирусе, меня интересует факт получения информации об конкретном хэндле.))

Это новый подход... До того было - какому потоку принадлежит хэндл файла. В ProcessActivityView - чтО открывает такой-то модуль в рамках процесса Эксплорер (имеет смысл, попытаться открыть или удалить файл во время наблюдения программой). Вроде самое то?

Кроме того, как мне кажется, в итоге именно Эксплорер и "держит", а не его модуль.
Кроме того, если речь о winsxs, файл просто может быть нужным системе, и поиск, какой именно системный файл посылает команду блокировки, особого смысла не имеет.

В разрешениях хэндлов? По части winsxs эту информацию не отображает. Интересно...

Нет в FileMon, может быть в ProcMon-e? Но не "кто его не дает открыть". :)

TaskManager Extension пробовали для добычи информации? :)

Не пробовал. :)

MBentefor, Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Нет. Не то. Мне не нужно знать, получилось ли у explorer открыть файл. Мне нужно, почему я лично (через фар, тотал или что-либо другое) не могу открыть его.

Не-а. Точно не он. Хотя в функциях типа CryptFileEx я не разбирался... Так-что все может быть.

Речь идет о совсем левом файле (екзешник вируса), содержащемся в папке C:\Bin\Recycle\bin.exe

Нигде нет.

уже да. Не помогло. Да и в семерке не работает.

MBentefor, Рекомендую Anvir Task Manager:

спс. но не.
он тут не помощник. хотя и гиперуниверсальная прога)))

Теперь понятно (и это тоже новое; впереди речь шла о невозможности удалить).
Спросить у вашего антивируса? Или усыпить и посмотреть. :lol:

Такое бывает: вроде как ничто не держит, но антивирус помнит, что запрашивал действие, и, несмотря на отказ, остаётся при своём мнении (опознанная сигнатура и т. д.). Я усыплял его и открывал файл. Но был уверен, что это фальшивый алерт. И ХИПСа, как взрослого, не усыплял. :)

Erekle, не надо пытатся показать себя слишком умным. Не получается.

Во первых, открыть = получить доступ.
Во вторых, я не пользуюсь антивирусом.

Цитата:

Цитата MBentefor хотя и гиперуниверсальная прога »

Что можно увидеть в этой Аvire, что не покажет Process Explorer?

:off: StarteR,
Во-первых, иронизировать в ответ на попытку помочь - нехорошо. :) Даже если попытка такая неудачная, как у нас с вами.
Во-вторых, открыть = открыть, запустить. Иначе я не понимаю, что значит "открыть файл Эксплорером".
В-третьих, никто не обязан знать, что у вас установлено, и что вы подразумеваете под вопросом в первый раз, во второй раз, и так далее.
Удачи. :)

(P. S. Если у вас нет антивируса, но хочется посмотреть файл, например, в Блокноте, а он не хочет, то скорее всего... вас уже отсылали на поиски ГМЕРа)

Severny,
я не говорю, что авир - хорошая прога, просто там много (часто ненужных) функций, типа редактора автозагрузки, распознавание файла на вирусы и т.д....

Erekle,
Без обид...
Есть комп без антивира. На нем есть вирус. ПОМОЩИ В УДАЛЕНИИ НЕ НАДО! Екзешник не запущен, но не удаляется. Открыть его не дает вторая половинка вируса, содержащаяся в памяти. Дрова проверены - вирусов нет. Хендл от файла принадлежит процессу explorer. Меня не интересует удаление вируса, а как можно узнать, какой именно поток, принадлежащий експлореру, открыл хэндл.


Спасибо.

О. За это спасибо. Не знал (не нужно мне) - теперь знаю (никогда не знаешь, когда пригодится).
Вопрос остается в силе)))

Объясни, что подразумеваешь под выражениями:
1. Поток процесса
2. Handle файла

StarteR, За создание клона, (оригинальный ник - MBentefor) в соответствиями с правилами - Правила. Бан на 7 дней.