Скрытые процессы
Материал из wiki.drweb.com.
Данная статья описывает методику и способы извлечения скрытых файлов (руткитов, драйверов) с помощью недокументированных функций антивирусного сканера Dr.Web® и дополнительных утилит сторонних разработчиков.
Содержание |
Сканер Dr.Web
Если известно имя драйвера в текущей сессии, то можно с помощью сканера его скопировать в карантин и отправить в вируслаб.
- Создать в каталоге антивируса Drweb текстовый файл, например
filelist.txt
Если у вас установлена версия 5.0 и выше, то создание файла filelist.txt в каталоге антивируса будет блокировано самозащитой. В таком случае создайте файл filelist.txt в другом каталоге (см. пример).
- Записать в него полный путь к файлу драйвера руткита, например
с:\windows\system32\drivers\driver.sys
Строк в одном файле может быть много.
- Запустить сканер с параметрами:
drweb32w.exe /copy:filelist.txt
Например: антивирус у меня установлен в каталог C:\Program Files\DrWeb, а текстовый файл я создал в корне диска С:\filelist.txt
Теперь нажимаем кнопку "Пуск" далее выбираем "Выполнить" и вставляем вот такую строчку:
"C:\Program Files\DrWeb\drweb32w.exe" /copy:С:\filelist.txt
Внимание! Кавычки в данном случае необходимы!
- Или если Вы используете CureIT, то
launch.exe -sp/copy:[полный_путь_к_файлу_списка]
После этого, если такой драйвер существует на диске, в карантине в папке C:\Program Files\DrWeb\Infected.!!! (или в папке %USERPROFILE%\DoctorWeb\Quarantine\ для КуреИта) будет лежать файл drivers.sys.dwq. Теперь его архивируем и отправляем в вирлаб.
Gmer
- На вкладке Rootkit/Malware нажимаем кнопку Сканировать. Дождемся, пока программа соберет все данные.После необходимо щелкнуть мышкой по вкладке ">>>>" для того,чтобы открылись скрытые вкладки.
- Правой кнопкой мышки выбираем необходимый модуль и через контекстное меню выбираем "Copy"
- Если меню "Copy" не активно, то выбираем "dump module"
- На вкладке "Processes" смотрим необходимый процесс и в поле "Command" вводим комманду cmd.exe /c copy
Например:
cmd.exe /c copy c:\drweb\spidernt.exe c:\spidernt.exe
В данном случае мы получим на диске С: исполняемый файл процесса spidernt.exe
Если не один из этих методов не помог, то можно попытаться найти файл.
- Необходимо щелкнуть мышкой по вкладке ">>>>" для того,чтобы открылись скрытые вкладки.
- Переходим на вкладку "Files"
- Ищем файл как в Проводнике,выделяем его.
- Нажимаем кнопку "Copy". Сохраняем файл в необходимый вам каталог.
RKU
- Выбираем вкладку "Drivers" и через контекстное меню выбираем "Copy".
- Если скопировать не получается - сделаем дамп. Для этого через контекстное меню выбираем комманду "Dump Selected".
RootRepeal
- Выбираем вкладку "Process" и нажимаем кнопку "Scan"
- Правой кнопкой мышки щелкаем по подозрительному процессу и выбираем пункт меню "Copy file..."
Отложенное удаление с помощью HJ
Иногда возникает ситуация когда необходимо удалить файл(троян), но стандартными средствами из Проводника это не получается. Для этого воспользуемся HJ. После запуска HJ нажимаем на кнопку "Open the Misc Tools section" и далее нажимаем кнопку "Delete a file on reboot...". Появится диалоговое окно выбора файла (если файл не виден, то можно выбрать папку где он находится и вручную ввести имя файла и расширение...или же воспользоваться рекомендациями Если_что-то_отключено).
После указания пути к файлу и его имени программа затребует перезагрузку ОС. Закройте все приложеня предварительно сохранив данные и нажмите кнопку "ДА" на вопрос "Выполнить перезагрузку сейчас".
Поиск и удаление ADS с помощью HJ
- Запустить HJ.
- Main menu-Open the Misc Tools section.
- Нажимаем кнопку Scan(1).
- Отмечаем все (ставим галочки нанайденом..На рисунке под цифрой 2).
- Нажимаем "Remove selected" (3). В редких случаях возможно понадобится перезагрузка.
Поиск и удаление ADS с помощью AlternateStreamView
- Запустить приложение. Автоматически появится окошко Scan Options.
- Следуя рекомендациям, полученным на форуме выбрать каталог сканирования с помощью кнопки Browse... (1)
- Нажать кнопку Scan (2) и дождаться окончания сканирования.
- Щелкнуть по указанной строке и нажать правую кнопку мышки.
- Для того чтобы достать данные из потока щелкаем по пункту меню Export Selected Streams To...В появившемся окошке Export Streams To... нажимаем кнопку Browse и указываем каталог в который хотим сохранить эти данные для отправки в вирлаб.
- Для удаления потока щелкаем по пункту меню Delete Selected Streams.
- Для создания файла отчета выбираем пункт HTML Report-All Items.
