Показано с 1 по 12 из 12.

Как удалить файл, который используеться процессом winlogon

  1. #1
    Junior Member Репутация
    Регистрация
    16.12.2007
    Сообщений
    10
    Вес репутации
    37

    Как удалить файл, который используеться процессом winlogon

    Доброго времени суток, не стал писать в раздел "Помогите", там с логами морочиться, поэтому написал в этой теме, засадил себе на комп Trojan.Vundo (аваст назвал его Win32:TratBHO[Trj]), все зараженные файлы поубивал, реестр почистил, но один зараженный файл неудаеться удалить: qomjigh.dll - использует кроме прочих процесов: explorer.exe и winlogon, с explorer.exe проблем нет, а вот при завершении winlogon комп уходит в ребут (что и не удивительно). Так вот никто не знает как удалить этот файл? Потому что с загрузочного диска невыйдет (файловая система NTFS). Заранее спасибо.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Знаю в AVZ на основании лога AVZ делаешь скрипт и потом запускаешь на поражённой машине, подробнее вы уже знаете - нужны логи можно ещё hijack this , catch me

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1362
    Сделайте логи, аваст не все находит, могут быть и другие зараженные файлы. А удалить можно через отложенное удаление в АВЗ.

  5. #4
    Junior Member Репутация
    Регистрация
    16.12.2007
    Сообщений
    10
    Вес репутации
    37
    АВЗ (обновил его перед этим) сканировал, он ничего не нашел (пишет в конце чтото вроде зараженых файлов 0, подозрительных файлов 0), но Аваст в результате постоянного мониторинга время от времени убивает создаваемые qomjigh.dll файлы (при чем qomjigh.dll как вирус не видит), только что попробовал функцию АВЗ с отложенным удалением (это тоже самое что dellater в бат-файле?) - файл не удален (разве что я действительно чтото упустил и он просто заново создаеться после удаления).

    П.С. спасибо за оперативную помощь.
    Последний раз редактировалось Eublefar; 09.01.2008 в 00:15.

  6. #5
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    796
    Цитата Сообщение от Eublefar Посмотреть сообщение
    Так вот никто не знает как удалить этот файл? Потому что с загрузочного диска невыйдет (файловая система NTFS). Заранее спасибо.
    Загрузчный диск WinPE или BartPE прекрасно понимают NTFS.
    ---
    С уважением,
    Borka.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1362
    АВЗ диагностическая утилита, прежде всего. Требуются некоторые знания для чтения и понимания логов.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    09.08.2006
    Адрес
    Google
    Сообщений
    971
    Вес репутации
    497
    omfg, зачем геморится с какими-то скриптами, перезагрузками, liveCD, если подобное выносится в два счёта :
    1) Unlocker 1.8.5
    2) Если первое не помогло (вероятность чего <5%), то icesword.

    Зачем усложнять жизнь =)

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.02.2007
    Адрес
    Минск, Беларусь
    Сообщений
    569
    Вес репутации
    563
    Цитата Сообщение от Eublefar Посмотреть сообщение
    Доброго времени суток, не стал писать в раздел "Помогите", там с логами морочиться, поэтому написал в этой теме, засадил себе на комп Trojan.Vundo (аваст назвал его Win32:TratBHO[Trj]), все зараженные файлы поубивал, реестр почистил, но один зараженный файл неудаеться удалить: qomjigh.dll - использует кроме прочих процесов: explorer.exe и winlogon, с explorer.exe проблем нет, а вот при завершении winlogon комп уходит в ребут (что и не удивительно). Так вот никто не знает как удалить этот файл? Потому что с загрузочного диска не выйдет (файловая система NTFS). Заранее спасибо.
    Нужно всего лишь воспользоваться функционалом того антивируса, который у Вас есть. У AVAST есть функция загрузочного сканирования. Это сканирование можно запланировать непосредственно из интерфейса антивируса и при следующей загрузки системы Avast найдет и сможет удалить эту библиотеку.
    anti-malware.ru

  10. #9
    Junior Member Репутация
    Регистрация
    16.12.2007
    Сообщений
    10
    Вес репутации
    37
    Borka такой вопрос: где нажать чтобы тебе "Спасибо" засчитало?
    Потому что проблема была решена как ты и сказал BartPE запустился с диска нашел файл и грохнул без проблем (щас добиваю хвосты в System_restore_information)
    2 surfer: к сведенью файлы используемые таким критическим процесом как winlogon анлокером и свордом не удаляються (анлокер у самого стоит - комп уходит в ребут при попытке завершить винлогон)

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Так не надо завершать. В AVZ есть отложенное удаление. CureIt известную заразу из-под winlogon выдёргивает на раз. Через перезагрузку, конечно.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    09.08.2006
    Адрес
    Google
    Сообщений
    971
    Вес репутации
    497
    Цитата Сообщение от Eublefar Посмотреть сообщение
    при попытке завершить винлогон
    а зачем его завершать было ?
    Надо вообще-то "Разблокировать всё", а действие "Удалить" или "Переместить"

  13. #12
    Гость форума
    Guest

    Если Барта под рукой нет...

    Находим файл, обнуляем права доступа -- никто/ничего, перегружаемся, выставляем себе (админу) полный доступ и удаляем.

Похожие темы

  1. ссылается на файл который не может быть чтением (заявка №26083)
    От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
    Ответов: 1
    Последнее сообщение: 25.07.2010, 02:00
  2. Вирус, который не получается удалить
    От Ниори в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 23.05.2010, 18:05
  3. Вирус который не удается удалить.
    От ALGLOBAL в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 22.03.2010, 23:30
  4. Ответов: 10
    Последнее сообщение: 17.03.2009, 10:00
  5. Спамбот, который заразил winlogon
    От helenrf в разделе Помогите!
    Ответов: 18
    Последнее сообщение: 22.02.2009, 02:56

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01603 seconds with 16 queries