[Drongo]

MBentefor, Он не держится, а используется им. Сделайте комплект логов. Выполните рекомендации и прикрепите к следующему сообщению полученные логи.

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

P.S. Тему забираю в лечение.

[MBentefor]

Drongo, да не))) мне не нужна помощь)))
я спокойно справился с вирусом - благо дело не новичок в этом деле)

Меня интересует именно сабж - как узнать, какому потоку принадлежит хэндл.

[iskander-k]

MBentefor,

Цитата MBentefor:

как узнать, какому потоку принадлежит хэндл. »

В гугле трудно поискать ? гугли

Здесь только лечение. Нет логов - тема переносится в ХВЗ.

[MBentefor]

upp

[Ment69]

Цитата MBentefor:

upp »

Запрещается поднимать тему добавлением сообщений или создавать новые темы с таким же содержанием, если с момента создания темы или отправки предыдущего сообщения прошло менее 3-х дней.

[Drongo]

Цитата MBentefor:

Так вот, как узнать, какой-именно dll-ке (какому потоку) принадлежит хэндл файла? »

Как мне кажется, если в системе присутствует руткит, скрывающий вредоносные объекты, то увидеть сам файл не представится возможным. Если сильно хочется можно поэкспериментировать с помощью программы RegFile

[MBentefor]

Чесно говоря, не нашел такой программы...
Но вы меня, наверное не так поняли... Если вот в компьютере никаких вирусов нет, но файл не удаляется - значит его кто-то открыл. Смотрю в процес-експлорере - вижу, explorer.exe держит файл, у него хэндл.

Так вот, как узнать, какой поток, принадлежащий explorer.exe, открыл файл?

[Drongo]

Цитата MBentefor:

Чесно говоря, не нашел такой программы... »

Виноват... FileMon

Цитата MBentefor:

Смотрю в процес-експлорере - вижу, explorer.exe держит файл, у него хэндл. Так вот, как узнать, какой поток, принадлежащий explorer.exe, открыл файл? »

Вид - Выбрать столбцы - вкладка Handle выставить все галочки - ок
Вид - Показать нижнее окно или нажать Ctrl + L смотреть внизу.

[MBentefor]

В FileMon нет тех возможностей.

А во всех вкладках ProcessExplorer... Информация не прояснилась.