Скрытые процессы — различия между версиями

Материал из wiki.drweb.com
Перейти к: навигация, поиск
(Сканер Dr.Web)
Строка 26: Строка 26:
 
* Или если Вы используете CureIT, то
 
* Или если Вы используете CureIT, то
 
  launch.exe -sp/copy:[полный_путь_к_файлу_списка]
 
  launch.exe -sp/copy:[полный_путь_к_файлу_списка]
После этого, если такой драйвер существует на диске, в карантине в папке infected.!!! будет лежать файл drivers.sys.dwq. Теперь его архивируем и отправляем в [http://vms.drweb.com/sendvirus/ вирлаб].
+
После этого, если такой драйвер существует на диске, в карантине в папке C:\Program Files\DrWeb\Infected.!!! (или в папке %USERPROFILE%\DoctorWeb\Quarantine\ для КуреИта) будет лежать файл drivers.sys.dwq. Теперь его архивируем и отправляем в [http://vms.drweb.com/sendvirus/ вирлаб].
  
 
== Gmer ==
 
== Gmer ==

Версия 15:12, 29 июля 2009

Данная статья описывает методику и способы извлечения скрытых файлов (руткитов, драйверов) с помощью недокументированных функций антивирусного сканера Dr.Web® и дополнительных утилит сторонних разработчиков.

Сканер Dr.Web

Если известно имя драйвера в текущей сессии, то можно с помощью сканера его скопировать в карантин и отправить в вируслаб.

  • Создать в каталоге антивируса Drweb текстовый файл, например
filelist.txt

Если у вас установлена версия 5.0 и выше, то создание файла filelist.txt в каталоге антивируса будет блокировано самозащитой. В таком случае создайте файл filelist.txt в другом каталоге (см. пример).

  • Записать в него полный путь к файлу драйвера руткита, например
с:\windows\system32\drivers\driver.sys

Строк в одном файле может быть много.

  • Запустить сканер с параметрами:
drweb32w.exe /copy:filelist.txt

Например: антивирус у меня установлен в каталог C:\Program Files\DrWeb, а текстовый файл я создал в корне диска С:\filelist.txt

Теперь нажимаем кнопку "Пуск" далее выбираем "Выполнить" и вставляем вот такую строчку:

"C:\Program Files\DrWeb\drweb32w.exe" /copy:С:\filelist.txt

Внимание! Кавычки в данном случае необходимы!

  • Или если Вы используете CureIT, то
launch.exe -sp/copy:[полный_путь_к_файлу_списка]

После этого, если такой драйвер существует на диске, в карантине в папке C:\Program Files\DrWeb\Infected.!!! (или в папке %USERPROFILE%\DoctorWeb\Quarantine\ для КуреИта) будет лежать файл drivers.sys.dwq. Теперь его архивируем и отправляем в вирлаб.

Gmer

  • На вкладке Rootkit/Malware нажимаем кнопку Сканировать. Дождемся, пока программа соберет все данные.После необходимо щелкнуть мышкой по вкладке ">>>>" для того,чтобы открылись скрытые вкладки.
  • Правой кнопкой мышки выбираем необходимый модуль и через контекстное меню выбираем "Copy"
  • Если меню "Copy" не активно, то выбираем "dump module"
  • На вкладке "Processes" смотрим необходимый процесс и в поле "Command" вводим комманду cmd.exe /c copy

Например:

cmd.exe /c copy c:\drweb\spidernt.exe c:\spidernt.exe

В данном случае мы получим на диске С: исполняемый файл процесса spidernt.exe Gmer.png

Если не один из этих методов не помог, то можно попытаться найти файл.

  • Необходимо щелкнуть мышкой по вкладке ">>>>" для того,чтобы открылись скрытые вкладки.
  • Переходим на вкладку "Files"
  • Ищем файл как в Проводнике,выделяем его.
  • Нажимаем кнопку "Copy". Сохраняем файл в необходимый вам каталог.

Gmer12.PNG

RKU

  • Выбираем вкладку "Drivers" и через контекстное меню выбираем "Copy".
  • Если скопировать не получается - сделаем дамп. Для этого через контекстное меню выбираем комманду "Dump Selected".

Rku.png

RootRepeal

  • Выбираем вкладку "Process" и нажимаем кнопку "Scan"
  • Правой кнопкой мышки щелкаем по подозрительному процессу и выбираем пункт меню "Copy file..."

RootRepeal.png

Отложенное удаление с помощью HJ

Иногда возникает ситуация когда необходимо удалить файл(троян), но стандартными средствами из Проводника это не получается. Для этого воспользуемся HJ. После запуска HJ нажимаем на кнопку "Open the Misc Tools section" и далее нажимаем кнопку "Delete a file on reboot...". Появится диалоговое окно выбора файла (если файл не виден, то можно выбрать папку где он находится и вручную ввести имя файла и расширение...или же воспользоваться рекомендациями Если_что-то_отключено).

Hj moveex.PNG

После указания пути к файлу и его имени программа затребует перезагрузку ОС. Закройте все приложеня предварительно сохранив данные и нажмите кнопку "ДА" на вопрос "Выполнить перезагрузку сейчас".

Ссылки