-
Junior Member
- Вес репутации
- 60
Как удалить файл, который используеться процессом winlogon
Доброго времени суток, не стал писать в раздел "Помогите", там с логами морочиться, поэтому написал в этой теме, засадил себе на комп Trojan.Vundo (аваст назвал его Win32:TratBHO[Trj]), все зараженные файлы поубивал, реестр почистил, но один зараженный файл неудаеться удалить: qomjigh.dll - использует кроме прочих процесов: explorer.exe и winlogon, с explorer.exe проблем нет, а вот при завершении winlogon комп уходит в ребут (что и не удивительно). Так вот никто не знает как удалить этот файл? Потому что с загрузочного диска невыйдет (файловая система NTFS). Заранее спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Сделайте логи, аваст не все находит, могут быть и другие зараженные файлы. А удалить можно через отложенное удаление в АВЗ.
-
-
Junior Member
- Вес репутации
- 60
АВЗ (обновил его перед этим) сканировал, он ничего не нашел (пишет в конце чтото вроде зараженых файлов 0, подозрительных файлов 0), но Аваст в результате постоянного мониторинга время от времени убивает создаваемые qomjigh.dll файлы (при чем qomjigh.dll как вирус не видит), только что попробовал функцию АВЗ с отложенным удалением (это тоже самое что dellater в бат-файле?) - файл не удален (разве что я действительно чтото упустил и он просто заново создаеться после удаления).
П.С. спасибо за оперативную помощь.
Последний раз редактировалось Eublefar; 09.01.2008 в 00:15.
-
Сообщение от
Eublefar
Так вот никто не знает как удалить этот файл? Потому что с загрузочного диска невыйдет (файловая система NTFS). Заранее спасибо.
Загрузчный диск WinPE или BartPE прекрасно понимают NTFS.
-
АВЗ диагностическая утилита, прежде всего. Требуются некоторые знания для чтения и понимания логов.
-
-
omfg, зачем геморится с какими-то скриптами, перезагрузками, liveCD, если подобное выносится в два счёта :
1) Unlocker 1.8.5
2) Если первое не помогло (вероятность чего <5%), то icesword.
Зачем усложнять жизнь =)
-
-
Сообщение от
Eublefar
Доброго времени суток, не стал писать в раздел "Помогите", там с логами морочиться, поэтому написал в этой теме, засадил себе на комп Trojan.Vundo (аваст назвал его Win32:TratBHO[Trj]), все зараженные файлы поубивал, реестр почистил, но один зараженный файл неудаеться удалить: qomjigh.dll - использует кроме прочих процесов: explorer.exe и winlogon, с explorer.exe проблем нет, а вот при завершении winlogon комп уходит в ребут (что и не удивительно). Так вот никто не знает как удалить этот файл? Потому что с загрузочного диска не выйдет (файловая система NTFS). Заранее спасибо.
Нужно всего лишь воспользоваться функционалом того антивируса, который у Вас есть. У AVAST есть функция загрузочного сканирования. Это сканирование можно запланировать непосредственно из интерфейса антивируса и при следующей загрузки системы Avast найдет и сможет удалить эту библиотеку.
-
-
Junior Member
- Вес репутации
- 60
Borka такой вопрос: где нажать чтобы тебе "Спасибо" засчитало?
Потому что проблема была решена как ты и сказал BartPE запустился с диска нашел файл и грохнул без проблем (щас добиваю хвосты в System_restore_information)
2 surfer: к сведенью файлы используемые таким критическим процесом как winlogon анлокером и свордом не удаляються (анлокер у самого стоит - комп уходит в ребут при попытке завершить винлогон)
-
Так не надо завершать. В AVZ есть отложенное удаление. CureIt известную заразу из-под winlogon выдёргивает на раз. Через перезагрузку, конечно.
-
-
Сообщение от
Eublefar
при попытке завершить винлогон
а зачем его завершать было ?
Надо вообще-то "Разблокировать всё", а действие "Удалить" или "Переместить"
-
-
Если Барта под рукой нет...
Находим файл, обнуляем права доступа -- никто/ничего, перегружаемся, выставляем себе (админу) полный доступ и удаляем.
-