->

пятница, 29 апреля 2011 г.

Dllhosl.exe... Удаляем "неудаляемое"...

Вчера, а именно 28 апреля 2011 года, вызвало у меня подозрение сообщение антивируса о том, что при загрузке был заблокирован файл "dllhosl.exe". Мне подумалось, что это конечно все прикольно, что файл заблокирован, но нафига мне это счастье?
Полез посмотреть что это за набор ноликов и единичек.

Выяснилось, что файл лежит в папке system32, и похоже имитирует системный файл dllhost.exe (у нормального файла буква "t" в конце, у вируса буква "l"). Копировать себя файл не дает, удалять тоже.
В реестре прописан в запуске у эксплорера:
и в "системных" названиях файлов:

Перво-наперво решился испробовать CureIt!. Программа прекрасно справилась с поиском, нашла файл, и определила его как Trojan.MBRlock.5. По поводу данного вируса ничего конкретного найти не удалось. Но про похожий вирус с индексом 1 есть информация у Dr.Web (цитирую):

"Trojan.MBRlock.1Добавлен в вирусную базу Dr.Web: 2010-11-30
Тип вируса: загрузочный, блокировщик запуска системы
Техническая информация
Троянец перезаписывает несколько секторов загрузочного сектора диска, включая Master Boot Record. В MBR программа записывает код, который загружает с соседних секторов основное тело вредоносной программы, которое отображает экран с требованиями злоумышленников, которые необходимо выполнить для восстановления загрузочной области диска и возможности загрузить операционную систему."
Удаление файла также прошло без каких либо заморочек. Выбрал опцию "переместить", почему то. Теперь маюсь, куда он переместился....
Перемещение файла производится при перезагрузке системы, о чем будет выдано соответствующее сообщение.

В общем удалил два параметра, изображенных на картинках, и перезагрузился, указав, что данный файл должен быть удален. Поскольку запуск данного файла был заблокирован, то в реестр он при перезагрузке ничего не написал.

Как вариант "удаления" неудаляемых файлов давно использую программу Unlocker (мелкая утилита, едва пару сотен килобайт, но нужная в самых разнообразных случаях). Для работы программы нужны права администратора. Блин, как будто вирус пропиарил :). Для сомневающихся предлагаю посмотреть информацию по данной программе на других ресурсах (да хотя бы даже в википедии), чтобы уж все было по честному.
Ссылка на страницу производителя (на английском языке): http://www.emptyloop.com/unlocker/
Версия на русском языке: http://depositfiles.com/files/yp0u9ug5g