Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Компьютеры + Интернет » Хочу все знать » Безопасность - Узнать, какому потоку принадлежит Хэндл

Ответить
Настройки темы
Безопасность - Узнать, какому потоку принадлежит Хэндл

Забанен


Сообщения: 17
Благодарности: 0

Профиль | Цитировать


Вообщем, сабж.
Сегодня убирал вирус и увидел, что файл держится чем-то и не хочет удалится. ПроцесЕксплорер показал, что хэндл принадлежит explorer.exe. Но ведь не сам же эксплорер держит вирус? Так вот, как узнать, какой-именно dll-ке (какому потоку) принадлежит хэндл файла?

Спасибо.

Отправлено: 15:48, 14-03-2010

 

Аватара для Drongo

Будем жить, Маэстро...


Сообщения: 6694
Благодарности: 1393

Профиль | Сайт | Отправить PM | Цитировать


MBentefor, Он не держится, а используется им. Сделайте комплект логов. Выполните рекомендации и прикрепите к следующему сообщению полученные логи.

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
  • Sections
  • IAT/EAT
  • Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

P.S. Тему забираю в лечение.

-------
Правильная постановка вопроса свидетельствует о некотором знакомстве с делом.
3нание бывает двух видов. Мы сами знаем предмет — или же знаем, где найти о нём сведения.
[Quick Killer 3.0 Final [OSZone.net]] | [Quick Killer 3.0 Final [SafeZone.cc]] | [Парсер логов Gmer] | [Парсер логов AVZ]

http://tools.oszone.net/Drongo/Userbar/SafeZone_cc.gif

Это сообщение посчитали полезным следующие участники:

Отправлено: 16:03, 14-03-2010 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Забанен


Сообщения: 17
Благодарности: 0

Профиль | Цитировать


Drongo, да не))) мне не нужна помощь)))
я спокойно справился с вирусом - благо дело не новичок в этом деле)

Меня интересует именно сабж - как узнать, какому потоку принадлежит хэндл.

Отправлено: 16:29, 14-03-2010 | #3


Аватара для iskander-k

скептик-оптимист


Moderator


Сообщения: 5718
Благодарности: 1115

Профиль | Отправить PM | Цитировать


MBentefor,
Цитата MBentefor:
как узнать, какому потоку принадлежит хэндл. »
В гугле трудно поискать ? гугли

Здесь только лечение. Нет логов - тема переносится в ХВЗ.

-------
Мягкий и пушистый - если не гладить против шерсти.




Вам помог совет? Нажмите на ссылку Полезное сообщение .


Последний раз редактировалось iskander-k, 15-03-2010 в 00:41.


Отправлено: 18:54, 14-03-2010 | #4


Забанен


Сообщения: 17
Благодарности: 0

Профиль | Цитировать


upp

Отправлено: 01:19, 15-03-2010 | #5


Ушел из жизни


Сообщения: 26925
Благодарности: 3924

Профиль | Сайт | Отправить PM | Цитировать


Цитата MBentefor:
upp »
Запрещается поднимать тему добавлением сообщений или создавать новые темы с таким же содержанием, если с момента создания темы или отправки предыдущего сообщения прошло менее 3-х дней.

-------
ВНИМАНИЕ ознакомьтесь, прежде чем создать тему! Процессор - мозг компьютера, блок питания - сердце и печень.


Отправлено: 04:48, 15-03-2010 | #6


Аватара для Drongo

Будем жить, Маэстро...


Сообщения: 6694
Благодарности: 1393

Профиль | Сайт | Отправить PM | Цитировать


Цитата MBentefor:
Так вот, как узнать, какой-именно dll-ке (какому потоку) принадлежит хэндл файла? »
Как мне кажется, если в системе присутствует руткит, скрывающий вредоносные объекты, то увидеть сам файл не представится возможным. Если сильно хочется можно поэкспериментировать с помощью программы RegFile

-------
Правильная постановка вопроса свидетельствует о некотором знакомстве с делом.
3нание бывает двух видов. Мы сами знаем предмет — или же знаем, где найти о нём сведения.
[Quick Killer 3.0 Final [OSZone.net]] | [Quick Killer 3.0 Final [SafeZone.cc]] | [Парсер логов Gmer] | [Парсер логов AVZ]

http://tools.oszone.net/Drongo/Userbar/SafeZone_cc.gif


Отправлено: 11:11, 15-03-2010 | #7


Забанен


Сообщения: 17
Благодарности: 0

Профиль | Цитировать


Чесно говоря, не нашел такой программы...
Но вы меня, наверное не так поняли... Если вот в компьютере никаких вирусов нет, но файл не удаляется - значит его кто-то открыл. Смотрю в процес-експлорере - вижу, explorer.exe держит файл, у него хэндл.

Так вот, как узнать, какой поток, принадлежащий explorer.exe, открыл файл?

Отправлено: 18:03, 15-03-2010 | #8


Аватара для Drongo

Будем жить, Маэстро...


Сообщения: 6694
Благодарности: 1393

Профиль | Сайт | Отправить PM | Цитировать


Цитата MBentefor:
Чесно говоря, не нашел такой программы... »
Виноват... FileMon

Цитата MBentefor:
Смотрю в процес-експлорере - вижу, explorer.exe держит файл, у него хэндл.
Так вот, как узнать, какой поток, принадлежащий explorer.exe, открыл файл? »
Вид - Выбрать столбцы - вкладка Handle выставить все галочки - ок
Вид - Показать нижнее окно или нажать Ctrl + L смотреть внизу.

-------
Правильная постановка вопроса свидетельствует о некотором знакомстве с делом.
3нание бывает двух видов. Мы сами знаем предмет — или же знаем, где найти о нём сведения.
[Quick Killer 3.0 Final [OSZone.net]] | [Quick Killer 3.0 Final [SafeZone.cc]] | [Парсер логов Gmer] | [Парсер логов AVZ]

http://tools.oszone.net/Drongo/Userbar/SafeZone_cc.gif


Отправлено: 19:31, 15-03-2010 | #9


Забанен


Сообщения: 17
Благодарности: 0

Профиль | Цитировать


Изображения
Тип файла: png Без імені.png
(64.9 Kb, 3 просмотров)

В FileMon нет тех возможностей.

А во всех вкладках ProcessExplorer... Информация не прояснилась.

Отправлено: 22:47, 15-03-2010 | #10



Компьютерный форум OSzone.net » Компьютеры + Интернет » Хочу все знать » Безопасность - Узнать, какому потоку принадлежит Хэндл

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Какому рейтингу по антивирусам можно доверять? ITSpec Хочу все знать 6 17-12-2009 15:10
V. 5.5/2000/2003 - [решено] Exchange 2003. Найти в AD кому принадлежит e-mail. vicwanderer Microsoft Exchange Server 3 09-12-2009 01:35
к какому типу относятся файло-рекламные сайты n_i_x Вебмастеру 1 13-09-2009 10:35
Установка - По какому принципу установщик Windows называет диски? truvo Microsoft Windows 2000/XP 1 07-07-2008 09:02
К какому разъему подключать DVI? Catalyst Хочу все знать 2 27-02-2008 07:14




 
Переход