Главная страница
    Top.Mail.Ru    Яндекс.Метрика
Форум: "Прочее";
Текущий архив: 2007.06.24;
Скачать: [xml.tar.bz2];

Вниз

Удаление залоченного системой файла   Найти похожие ветки 

 
Сатир   (2007-05-24 16:30) [0]

Есть ли такие утилиты, которые позволяют в обычном режиме (небезопастный режим) удалять сабж, при залогиненом локальном админе?
Если есть, то какие?


 
oldman ©   (2007-05-24 16:32) [1]


> Если есть, то какие?


взятка админу обычно помогает...


 
Сатир   (2007-05-24 16:36) [2]


> взятка админу обычно помогает...

самому себе чтоли?


 
Сатир   (2007-05-24 16:38) [3]

вирус удалить нужно, потому что NAV удалить не может, файл залочен
если интересно, могу даже сказать как называется вирус
c:\windows\system32\winyxb32.dll - Trojan.Nebuler


 
oldman ©   (2007-05-24 16:39) [4]

Тогда - перезагрузка с системной дискеты и удаление в лоб.
Но чревато........


 
oldman ©   (2007-05-24 16:42) [5]


> Удаление залоченного системой файла


А вот трояны это ох как любят...
Я тебе еще скажу - ищи во всех папках TEMP и _RESTORE левые .exe и три их тоже на фиг.


 
Desdechado ©   (2007-05-24 16:44) [6]

Есть, я как-то видел. Вот только не помню, как называется, т.к. мне ни разу не было нужно.


 
umbra ©   (2007-05-24 16:45) [7]

handle Марка Руссиновича можно попробовать.


 
Anatoly Podgoretsky ©   (2007-05-24 16:47) [8]

> Сатир  (24.05.2007 16:36:02)  [2]

Если поможет, то поверю что админ, а не символ


 
Knight ©   (2007-05-24 16:54) [9]

unlocker?


 
Knight ©   (2007-05-24 17:05) [10]

http://www.izone.ru/sys/utilities/unlocker-screen.htm


 
Сатир   (2007-05-24 17:14) [11]

только что пробовал удалить этот файл в safe mode, сказал что отказано в доступе

> Я тебе еще скажу - ищи во всех папках TEMP и _RESTORE левые
> .exe и три их тоже на фиг.

это за меня делает антивирус, который постоянно выдаёт сообщения, что убит такой-то файл, вирус такой-то

но некоторые файлы он не может удалить...


> Если поможет, то поверю что админ, а не символ

да не работаю я админом, но за свою машину отвечаю сам.
А напрагать админов, тут у соседа тоже тачка полетела, так пришли техники, вместо того чтобы полечить, взяли снесли ему всё нафиг и переставили винду. Спасибо, мне такого счастья не нужно.


 
Сатир   (2007-05-24 17:27) [12]


> http://www.izone.ru/sys/utilities/unlocker-screen.htm

к сожалению эта тулза не помогла.
этот файл оказался подключен к процессу winlogon.exe, сам процесс убил, а файлик остался.

Какие ещё будут предложения?
пойду почитаю вируслист...


 
umbra ©   (2007-05-24 17:28) [13]

http://www.microsoft.com/TechNet/Sysinternals/Utilities/Handle.mspx


 
homm ©   (2007-05-24 17:39) [14]

> Есть ли такие утилиты, которые позволяют в обычном режиме
> (небезопастный режим) удалять сабж

подставляем вместо «сабж» «Удаление залоченного системой файла»
Получаем, «Есть ли такие утилиты, которые позволяют удалять удаление залоченного системой файла». Есть Антивирусы называются.


 
Сатир   (2007-05-24 17:53) [15]


> Есть Антивирусы называются.



> это за меня делает антивирус, который постоянно выдаёт сообщения,
>  что убит такой-то файл, вирус такой-то
>
> но некоторые файлы он не может удалить...


2homm ©   (24.05.07 17:39) [14]
всю ветку читал или только заголовок?


 
Сатир   (2007-05-24 18:04) [16]


> http://www.microsoft.com/TechNet/Sysinternals/Utilities/Handle.
> mspx

Handle v3.2
Copyright (C) 1997-2006 Mark Russinovich
Sysinternals - www.sysinternals.com

winlogon.exe       pid: 828     258: C:\WINDOWS\ime\CHTIME\Applets
winlogon.exe       pid: 828     26C: C:\WINDOWS\ime\imjp8_1
winlogon.exe       pid: 828     290: C:\WINDOWS\ime\imkr6_1\dicts
winlogon.exe       pid: 828     29C: C:\WINDOWS\ime\imjp8_1\applets
winlogon.exe       pid: 828     2A0: C:\WINDOWS\ime\imkr6_1\applets
winlogon.exe       pid: 828     2B0: C:\WINDOWS\ime\imkr6_1
winlogon.exe       pid: 828     2B4: C:\WINDOWS\ime\shared
winlogon.exe       pid: 828     2C8: C:\WINDOWS\ime
winlogon.exe       pid: 828     2E4: C:\WINDOWS\ime\shared\res
winlogon.exe       pid: 828     2EC: C:\WINDOWS\ime\chsime\applets

вот это похоже на папки, созданные вирусом.
но как можно удалить тот файл с помощью этой утилиты?


 
Правильный Вася   (2007-05-24 18:08) [17]


> но как можно удалить тот файл с помощью этой утилиты?

наши глазки не для сказки? ты справку не осилил?


 
Сатир   (2007-05-24 18:10) [18]


> наши глазки не для сказки? ты справку не осилил?

Usage
Handle is targetted at searching for open file references, so if you do not specify any command-line parameters it will list the values of all the handles in the system that refer to open files and the names of the files. It also takes several parameters that modify this behavior.

usage: handle [[-a] [-u] | [-c <handle> [-y]] | [-s]] [-p <processname>|<pid>> [name]

-a
Dump information about all types of handles, not just those that refer to files. Other types include ports, Registry keys, synchronization primitives, threads, and processes.

-c
Closes the specified handle (interpreted as a hexadecimal number). You must specify the process by its PID.

WARNING: Closing handles can cause application or system instability.

-y
Don"t prompt for close handle confirmation.

-s
Print count of each type of handle open.

-u
Show the owning user name when searching for handles.

-p
Instead of examining all the handles in the system, this parameter narrows Handle"s scan to those processes that begin with the name process. Thus:

handle -p exp

would dump the open files for all processes that start with "exp", which would include Explorer.

name
This parameter is present so that you can direct Handle to search for references to an object with a particular name. For example, if you wanted to know which process (if any) has "c:\windows\system32" open you could type:

handle windows\system

The name match is case-insensitive and the fragment specified can be anywhere in the paths you are interested in

ану, как самый правильный, найди мне, где там файл удалить, а то я тёмный, в английском ничего не понимаю


 
Inco   (2007-05-24 18:11) [19]

Unlocker Assistant рулит

http://soft.softodrom.ru/ap/p6411.shtml
http://ccollomb.free.fr/unlocker/


 
Правильный Вася   (2007-05-24 18:15) [20]


> -c Closes the specified handle (interpreted as a hexadecimal
> number). You must specify the process by its PID.

отрубание хэндла ведет к разблокировке
дальше удаляй хоть проводником

ЗЫ и не надо мне льстить, я не "самый правильный", я просто "правильный"


 
Сатир   (2007-05-24 18:17) [21]


> > -c Closes the specified handle (interpreted as a hexadecimal
>
> > number). You must specify the process by its PID.

так это не работает
а если сработает, то слетит винда и ничего я потом хоть проводником не удалю, потому что процесс, который залочил тот файл, называется winlogon.exe


> http://ccollomb.free.fr/unlocker/

"nj e;t ghj,jdfk - yt gjl[jlbn


 
Правильный Вася   (2007-05-24 18:20) [22]


> а если сработает, то слетит винда

не кажи гоп, пока не прыгнешь


 
Сатир   (2007-05-24 18:20) [23]


> Unlocker Assistant рулит
>
> http://soft.softodrom.ru/ap/p6411.shtml
> http://ccollomb.free.fr/unlocker/

не рулит, просто срубает winlogon.exe, в который внедрён это файл


 
Правильный Вася   (2007-05-24 18:23) [24]

надеюсь, ты указываешь хэндл открытого файла, а не процесса


 
Inco   (2007-05-24 18:24) [25]

> не рулит, просто срубает winlogon.exe, в который внедрён это файл
Потом можно удалить, либо поставить задачу "Удалить при перезагрузке".

Хотя конечно срабатывает не в 100 % случаев, но я с его (UA) помощью тоже трояна убил.


 
Сатир   (2007-05-24 18:24) [26]


> не кажи гоп, пока не прыгнешь

уже прыгнул и говорю
написал в командной строке
handle.exe -c 828
в ответ он мне выдал короткую справку пользования этой тулзой


 
Правильный Вася   (2007-05-24 18:25) [27]


> handle.exe -c 828

вот, я ж говорил [24]


 
Сатир   (2007-05-24 18:32) [28]


> надеюсь, ты указываешь хэндл открытого файла, а не процесса

а где мне взять этот хендл, если в том логе, который выдал handle.exe файл winyxb32.exe не фигурирует


 
Иксик ©   (2007-05-24 18:34) [29]

Имхо, если убить винлогон, удалить что-либо после этого будет достаточно проблематично.. :) А почему не загрузиться с бутдиска?


 
Сатир   (2007-05-24 18:47) [30]


> Unlocker Assistant рулит

теперь помог. смог поставить в очередь на удаление перед загрузкой системы


>  почему не загрузиться с бутдиска?

сидюка на работе нету

всем спасибо, все свободны


 
Knight ©   (2007-05-24 21:44) [31]

Интересно&#133 как поведёт себя процесс System&#133 если разлочить файл (который он нагло держит) по имени pagefile.sys :)))))))))


 
Fredy314 ©   (2007-05-25 00:43) [32]

> [31] Knight ©   (24.05.07 21:44)

разлочить нестрашно, а вот убить ;-)



Страницы: 1 вся ветка

Форум: "Прочее";
Текущий архив: 2007.06.24;
Скачать: [xml.tar.bz2];

Наверх




Память: 0.52 MB
Время: 0.038 c
2-1180861988
Delf_
2007-06-03 13:13
2007.06.24
2 вопроса


9-1154586671
vladimirg88
2006-08-03 10:31
2007.06.24
картинка внлубь монитора


8-1160741982
@!!ex
2006-10-13 16:19
2007.06.24
Delphi + OpenGL + Web


15-1180158762
Kostafey
2007-05-26 09:52
2007.06.24
С днем рождения ! 26 мая


2-1180711141
WebSQLNeederr
2007-06-01 19:19
2007.06.24
Нужна информация по сокетам в Делфи 7 !!





Afrikaans Albanian Arabic Armenian Azerbaijani Basque Belarusian Bulgarian Catalan Chinese (Simplified) Chinese (Traditional) Croatian Czech Danish Dutch English Estonian Filipino Finnish French
Galician Georgian German Greek Haitian Creole Hebrew Hindi Hungarian Icelandic Indonesian Irish Italian Japanese Korean Latvian Lithuanian Macedonian Malay Maltese Norwegian
Persian Polish Portuguese Romanian Russian Serbian Slovak Slovenian Spanish Swahili Swedish Thai Turkish Ukrainian Urdu Vietnamese Welsh Yiddish Bengali Bosnian
Cebuano Esperanto Gujarati Hausa Hmong Igbo Javanese Kannada Khmer Lao Latin Maori Marathi Mongolian Nepali Punjabi Somali Tamil Telugu Yoruba
Zulu
Английский Французский Немецкий Итальянский Португальский Русский Испанский