Удаление залоченного системой файла

← →
Сатир (2007-05-24 16:30) [0]

Есть ли такие утилиты, которые позволяют в обычном режиме (небезопастный режим) удалять сабж, при залогиненом локальном админе?
Если есть, то какие?

← →
oldman © (2007-05-24 16:32) [1]

> Если есть, то какие?

взятка админу обычно помогает...

← →
Сатир (2007-05-24 16:36) [2]

> взятка админу обычно помогает...

самому себе чтоли?

← →
Сатир (2007-05-24 16:38) [3]

вирус удалить нужно, потому что NAV удалить не может, файл залочен
если интересно, могу даже сказать как называется вирус
c:\windows\system32\winyxb32.dll - Trojan.Nebuler

← →
oldman © (2007-05-24 16:39) [4]

Тогда - перезагрузка с системной дискеты и удаление в лоб.
Но чревато........

← →
oldman © (2007-05-24 16:42) [5]

> Удаление залоченного системой файла

А вот трояны это ох как любят...
Я тебе еще скажу - ищи во всех папках TEMP и _RESTORE левые .exe и три их тоже на фиг.

← →
Desdechado © (2007-05-24 16:44) [6]

Есть, я как-то видел. Вот только не помню, как называется, т.к. мне ни разу не было нужно.

← →
umbra © (2007-05-24 16:45) [7]

handle Марка Руссиновича можно попробовать.

← →
Anatoly Podgoretsky © (2007-05-24 16:47) [8]

> Сатир (24.05.2007 16:36:02) [2]

Если поможет, то поверю что админ, а не символ

← →
Knight © (2007-05-24 16:54) [9]

unlocker?

← →
Knight © (2007-05-24 17:05) [10]

http://www.izone.ru/sys/utilities/unlocker-screen.htm

← →
Сатир (2007-05-24 17:14) [11]

только что пробовал удалить этот файл в safe mode, сказал что отказано в доступе

> Я тебе еще скажу - ищи во всех папках TEMP и _RESTORE левые
> .exe и три их тоже на фиг.

это за меня делает антивирус, который постоянно выдаёт сообщения, что убит такой-то файл, вирус такой-то

но некоторые файлы он не может удалить...

> Если поможет, то поверю что админ, а не символ

да не работаю я админом, но за свою машину отвечаю сам.
А напрагать админов, тут у соседа тоже тачка полетела, так пришли техники, вместо того чтобы полечить, взяли снесли ему всё нафиг и переставили винду. Спасибо, мне такого счастья не нужно.

← →
Сатир (2007-05-24 17:27) [12]

> http://www.izone.ru/sys/utilities/unlocker-screen.htm

к сожалению эта тулза не помогла.
этот файл оказался подключен к процессу winlogon.exe, сам процесс убил, а файлик остался.

Какие ещё будут предложения?
пойду почитаю вируслист...

← →
umbra © (2007-05-24 17:28) [13]

http://www.microsoft.com/TechNet/Sysinternals/Utilities/Handle.mspx

← →
homm © (2007-05-24 17:39) [14]

> Есть ли такие утилиты, которые позволяют в обычном режиме
> (небезопастный режим) удалять сабж

подставляем вместо «сабж» «Удаление залоченного системой файла»
Получаем, «Есть ли такие утилиты, которые позволяют удалять удаление залоченного системой файла». Есть Антивирусы называются.

← →
Сатир (2007-05-24 17:53) [15]

> Есть Антивирусы называются.

> это за меня делает антивирус, который постоянно выдаёт сообщения,
> что убит такой-то файл, вирус такой-то
>
> но некоторые файлы он не может удалить...

2homm © (24.05.07 17:39) [14]
всю ветку читал или только заголовок?

← →
Сатир (2007-05-24 18:04) [16]

> http://www.microsoft.com/TechNet/Sysinternals/Utilities/Handle.
> mspx

Handle v3.2
Copyright (C) 1997-2006 Mark Russinovich
Sysinternals - www.sysinternals.com

winlogon.exe pid: 828 258: C:\WINDOWS\ime\CHTIME\Applets
winlogon.exe pid: 828 26C: C:\WINDOWS\ime\imjp8_1
winlogon.exe pid: 828 290: C:\WINDOWS\ime\imkr6_1\dicts
winlogon.exe pid: 828 29C: C:\WINDOWS\ime\imjp8_1\applets
winlogon.exe pid: 828 2A0: C:\WINDOWS\ime\imkr6_1\applets
winlogon.exe pid: 828 2B0: C:\WINDOWS\ime\imkr6_1
winlogon.exe pid: 828 2B4: C:\WINDOWS\ime\shared
winlogon.exe pid: 828 2C8: C:\WINDOWS\ime
winlogon.exe pid: 828 2E4: C:\WINDOWS\ime\shared\res
winlogon.exe pid: 828 2EC: C:\WINDOWS\ime\chsime\applets

вот это похоже на папки, созданные вирусом.
но как можно удалить тот файл с помощью этой утилиты?

← →
Правильный Вася (2007-05-24 18:08) [17]

> но как можно удалить тот файл с помощью этой утилиты?

наши глазки не для сказки? ты справку не осилил?

← →
Сатир (2007-05-24 18:10) [18]

> наши глазки не для сказки? ты справку не осилил?

Usage
Handle is targetted at searching for open file references, so if you do not specify any command-line parameters it will list the values of all the handles in the system that refer to open files and the names of the files. It also takes several parameters that modify this behavior.

usage: handle [[-a] [-u] | [-c <handle> [-y]] | [-s]] [-p <processname>|<pid>> [name]

-a
Dump information about all types of handles, not just those that refer to files. Other types include ports, Registry keys, synchronization primitives, threads, and processes.

-c
Closes the specified handle (interpreted as a hexadecimal number). You must specify the process by its PID.

WARNING: Closing handles can cause application or system instability.

-y
Don"t prompt for close handle confirmation.

-s
Print count of each type of handle open.

-u
Show the owning user name when searching for handles.

-p
Instead of examining all the handles in the system, this parameter narrows Handle"s scan to those processes that begin with the name process. Thus:

handle -p exp

would dump the open files for all processes that start with "exp", which would include Explorer.

name
This parameter is present so that you can direct Handle to search for references to an object with a particular name. For example, if you wanted to know which process (if any) has "c:\windows\system32" open you could type:

handle windows\system

The name match is case-insensitive and the fragment specified can be anywhere in the paths you are interested in

ану, как самый правильный, найди мне, где там файл удалить, а то я тёмный, в английском ничего не понимаю

← →
Inco (2007-05-24 18:11) [19]

Unlocker Assistant рулит

http://soft.softodrom.ru/ap/p6411.shtml
http://ccollomb.free.fr/unlocker/

← →
Правильный Вася (2007-05-24 18:15) [20]

> -c Closes the specified handle (interpreted as a hexadecimal
> number). You must specify the process by its PID.

отрубание хэндла ведет к разблокировке
дальше удаляй хоть проводником

ЗЫ и не надо мне льстить, я не "самый правильный", я просто "правильный"

← →
Сатир (2007-05-24 18:17) [21]

> > -c Closes the specified handle (interpreted as a hexadecimal
>
> > number). You must specify the process by its PID.

так это не работает
а если сработает, то слетит винда и ничего я потом хоть проводником не удалю, потому что процесс, который залочил тот файл, называется winlogon.exe

> http://ccollomb.free.fr/unlocker/

"nj e;t ghj,jdfk - yt gjl[jlbn

← →
Правильный Вася (2007-05-24 18:20) [22]

> а если сработает, то слетит винда

не кажи гоп, пока не прыгнешь

← →
Сатир (2007-05-24 18:20) [23]

> Unlocker Assistant рулит
>
> http://soft.softodrom.ru/ap/p6411.shtml
> http://ccollomb.free.fr/unlocker/

не рулит, просто срубает winlogon.exe, в который внедрён это файл

← →
Правильный Вася (2007-05-24 18:23) [24]

надеюсь, ты указываешь хэндл открытого файла, а не процесса

← →
Inco (2007-05-24 18:24) [25]

> не рулит, просто срубает winlogon.exe, в который внедрён это файл
Потом можно удалить, либо поставить задачу "Удалить при перезагрузке".

Хотя конечно срабатывает не в 100 % случаев, но я с его (UA) помощью тоже трояна убил.

← →
Сатир (2007-05-24 18:24) [26]

> не кажи гоп, пока не прыгнешь

уже прыгнул и говорю
написал в командной строке
handle.exe -c 828
в ответ он мне выдал короткую справку пользования этой тулзой

← →
Правильный Вася (2007-05-24 18:25) [27]

> handle.exe -c 828

вот, я ж говорил [24]

← →
Сатир (2007-05-24 18:32) [28]

> надеюсь, ты указываешь хэндл открытого файла, а не процесса

а где мне взять этот хендл, если в том логе, который выдал handle.exe файл winyxb32.exe не фигурирует

Имхо, если убить винлогон, удалить что-либо после этого будет достаточно проблематично.. :) А почему не загрузиться с бутдиска?

← →
Сатир (2007-05-24 18:47) [30]

> Unlocker Assistant рулит

теперь помог. смог поставить в очередь на удаление перед загрузкой системы

> почему не загрузиться с бутдиска?

сидюка на работе нету

всем спасибо, все свободны

Интересно&#133 как поведёт себя процесс System&#133 если разлочить файл (который он нагло держит) по имени pagefile.sys :)))))))))

Удаление залоченного системой файла Найти похожие ветки