Безопасность

Erekle · Отправлено: **00:28, 16-03-2010** | #11

Цитата MBentefor:

файл держится чем-то и не хочет удалится. ПроцесЕксплорер показал, что хэндл принадлежит explorer.exe. Но ведь не сам же эксплорер держит вирус? Так вот, как узнать, какой-именно dll-ке (какому потоку) принадлежит хэндл файла?

explorer.exe держит файл, у него хэндл.
Так вот, как узнать, какой поток, принадлежащий explorer.exe, открыл файл?

То есть, подозревается один из dll-ок из-под Эксплорера. А что за упорный файл сам по себе, может быть, тот dll и есть?
Вы хотите зайти не с того "канала". Что-то подсказывает Эксплореру, чтобы он его подержал.

Процесс, или запись в реестре. Поэтому надо искать в самых модулях Эксплорера, в его расширениях и так далее, а не в хэндлах. IMHO.

А давайте, посмотрите с ProcessActivityView (NirSoft).

MBentefor · Отправлено: **01:37, 16-03-2010** | #12

Вот дельное предложение. Но нет. Эта программа показывает, что открывает определенный процес, но не "кто его не дает открыть". OpenedFileView тоже ничего не дал - отображает только процессы.

Цитата:

То есть, подозревается один из dll-ок из-под Эксплорера. А что за упорный файл сам по себе, может быть, тот dll и есть? Вы хотите зайти не с того "канала". Что-то подсказывает Эксплореру, чтобы он его подержал. Процесс, или запись в реестре. Поэтому надо искать в самых модулях Эксплорера, в его расширениях и так далее, а не в хэндлах. IMHO.

Дело не в вирусе, меня интересует факт получения информации об конкретном хэндле.))

Erekle · Отправлено: **02:34, 16-03-2010** | #13

Цитата MBentefor:

"кто его не дает открыть" »

Это новый подход... До того было - какому потоку принадлежит хэндл файла. В ProcessActivityView - чтО открывает такой-то модуль в рамках процесса Эксплорер (имеет смысл, попытаться открыть или удалить файл во время наблюдения программой). Вроде самое то?

Кроме того, как мне кажется, в итоге именно Эксплорер и "держит", а не его модуль.
Кроме того, если речь о winsxs, файл просто может быть нужным системе, и поиск, какой именно системный файл посылает команду блокировки, особого смысла не имеет.

В разрешениях хэндлов? По части winsxs эту информацию не отображает. Интересно...

Нет в FileMon, может быть в ProcMon-e? Но не "кто его не дает открыть".

K.A.V. · Конфигурация компьютера

TaskManager Extension пробовали для добычи информации?

Erekle · Отправлено: **04:05, 16-03-2010** | #15

Не пробовал.

Drongo · Конфигурация компьютера

MBentefor, Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

Sections
IAT/EAT
Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

MBentefor · Отправлено: **18:21, 16-03-2010** | #17

Цитата:

Вроде самое то?

Нет. Не то. Мне не нужно знать, получилось ли у explorer открыть файл. Мне нужно, почему я лично (через фар, тотал или что-либо другое) не могу открыть его.

Цитата:

Кроме того, как мне кажется, в итоге именно Эксплорер и "держит", а не его модуль.

Не-а. Точно не он. Хотя в функциях типа CryptFileEx я не разбирался... Так-что все может быть.

Цитата:

Кроме того, если речь о winsxs

Речь идет о совсем левом файле (екзешник вируса), содержащемся в папке C:\Bin\Recycle\bin.exe

Цитата:

Нет в FileMon, может быть в ProcMon-e?

Нигде нет.

Цитата:

TaskManager Extension пробовали для добычи информации?

уже да. Не помогло. Да и в семерке не работает.

Ment69 · Отправлено: **19:54, 16-03-2010** | #18

MBentefor, Рекомендую Anvir Task Manager:

MBentefor · Отправлено: **22:11, 16-03-2010** | #19

спс. но не.
он тут не помощник. хотя и гиперуниверсальная прога)))

Erekle · Отправлено: **02:17, 17-03-2010** | #20

Цитата MBentefor:

Мне нужно, почему я лично (через фар, тотал или что-либо другое) не могу открыть его.

Речь идет о совсем левом файле (екзешник вируса)»

Теперь понятно (и это тоже новое; впереди речь шла о невозможности удалить).
Спросить у вашего антивируса? Или усыпить и посмотреть.

Такое бывает: вроде как ничто не держит, но антивирус помнит, что запрашивал действие, и, несмотря на отказ, остаётся при своём мнении (опознанная сигнатура и т. д.). Я усыплял его и открывал файл. Но был уверен, что это фальшивый алерт. И ХИПСа, как взрослого, не усыплял.