Убить DLL

← →
Undert © (2004-07-16 17:21) [0]

Проблема: некая dll присобачилась к процессу Winlogon, она хулиганит - открывает IE со всякой рекламой, уже задолбала, невозможно удалить ибо файл занят винлогоном ...

Как от этого избавится ?
Дело осложняется еще тем, что это на ноутбуке и просто так винчестер к другому компу не подрубить, в реестре нахожу ее имя - удаляю, при перезагрузке - оптяь на месте.

← →
Sandman25 © (2004-07-16 17:23) [1]

Пробовали ее в DOS-е удалить?

← →
Undert © (2004-07-16 17:24) [2]

DOS и NTFS не любят друг друга - а диска нету с поддержкой NTFS загрузочного ... :(

← →
Almaz © (2004-07-16 17:25) [3]

Есть такая программа Lavasoft Ad-Aware - занимается уничтожением подобных DLL и прочего spyware. Лично мне неоднократно помогала - по-этому советую.

Удачи.

← →
clickmaker © (2004-07-16 17:28) [4]

If the dwFlags parameter specifies MOVEFILE_DELAY_UNTIL_REBOOT, MoveFileEx stores the locations of the files to be renamed at reboot in the following registry value:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations

The function fails if it cannot access the registry.

The PendingFileRenameOperations value is of type REG_MULTI_SZ. Each rename operation stores a pair of NULL-terminated strings. The system uses these registry entries to complete the operations at reboot in the same order that they were issued. For example, the following code fragment creates registry entries that delete szDstFile and rename szSrcFile to be szDstFile at reboot:

MoveFileEx(szDstFile, NULL, MOVEFILE_DELAY_UNTIL_REBOOT);
MoveFileEx(szSrcFile, szDstFile, MOVEFILE_DELAY_UNTIL_REBOOT);

The system stores the following entries in PendingFileRenameOperations:

szDstFile\0\0
szSrcFile\0szDstFile\0\0

← →
VMcL © (2004-07-16 17:31) [5]

>>Undert © (16.07.04 17:21)

Переименуй DLL-ку, перезагрузись и потом прибей. Если не получится, тогда [4].

← →
Ihor Osov'yak © (2004-07-16 17:32) [6]

вирусок, однако. ну, троян может..
Попітайся просто переименовать длл - в нт системах такой вариант пройдет.
Если после переименования длл появиться снова - поставь файлмонитор от www.sysinternals - и проследи за тем, какой процес "воскрешает" dll, с ним и разберись. На том же сисинтерналс найдешь regmonitor - с его помощью установишь, какая беда возобновляет записи в реестре о негоднике..
Убийство процесса нарушителя может быть осложнено тем, что может быть два процесса, перезапускающих друг-друга в случае убиения одного. Тоглда иногда поможет переименование бинарников соотв. процессов.. В особо клиничном случае поставь триальною версию какого-то персонального фаервола, который в режиме обучения говорит - "такой-то процесс пытается запустить то и то", а потом спрашивает - позволять ли это.. Таким образом разорвешь круг поддерживающих друг-друга троянов - вирусов. Кажется, тот же зонеалярм обладает такой функциональностью..

← →
Undert © (2004-07-16 17:35) [7]

С переименовыванием - не получается, говорит нарушение совместного доступа к фалу....

← →
Ihor Osov'yak © (2004-07-16 17:38) [8]

да, следует начать с [3]. тем более, программа фришная для личного использования. С не очень зловредными троянами разделывается на ура..
если не выйдет - [4]. Исли и это нет - тогда танцы, предложеные мною.

← →
Ihor Osov'yak © (2004-07-16 17:41) [9]

> С переименовыванием - не получается,

Если система nt-ряда (а это все же так - откуда иначе ntfs) - то переименование проходит "в пределах" того же каталога, может даже тома.

← →
Undert © (2004-07-16 17:46) [10]

Запустил Лавусофт - что-то ищет и находит :((

← →
Undert © (2004-07-16 17:58) [11]

Угу, она нашла много чего, все удалил, но именно эта виря так и висит :(((

← →
Prohodil Mimo © (2004-07-16 18:09) [12]

на listsoft.ru есть проги для создания загр. дисков для нтфс.

Хммм... ничего не помогает :(

Dll - это только часть всего и генерируется (или качается) другой программкой.
Вот здесь почитай:
http://www.softpedia.com/public/cat/10/17/10-17-150.shtml
http://www.mvps.org/sramesh2k/Defend_CWS.htm

← →
Burmistroff (2004-07-16 21:05) [15]

на diamondcs.com.au есть какая-то прога че-то типа "advanced process manipulation" - она умеет выгружать dll"ки. если не поможет, то SSM (maxcomputing.narod.ru) тоже умеет

Мне в таких случаях (ну или почти в таких) помогал ProcessExplorer от sysinternals... Через него выгружал нужную *.DLL-ку и удалял её...

---
...Death Is Only The Begining...

Хмм... в том то и дело - ничто не берет ... а-ля Access Denide, хотя сижу из под administrator

Попробуй запустить какую нибудь софтину (из тех что привели) из под сервиса... Хрен его знает, мож поможет...

---
...Death Is Only The Begining...

Убить DLL Найти похожие ветки