[Решено] Помогите удалить троян hale.exe (((

Какой-то неправильный троян поселился на моем компьютере.


MSE его не находит
Dr. Web Cure IT его тоже не находит
Hale.exe trojan remover ТОЖЕ его не находит.

Причем, что интересно. Все три антивиря обнаруживают hale.exe в папке system32, но никто его не принимает за троян.

Но самое интересно. Погуглив, узнал, что достаточно просто удалить hale.exe из папки system32 из безопасного режима.

Парадокс в том, что этого файла там нет, хотя сканеры его видят (естественно скрытые файлы поставлены на отображение).

Не знаю, что делать...А ОС он сильно тормозит...

Roger Wilco, правой кнопкой на процесс - "открыть место хранения файла". Если так не видно, грузитесь с livecd/.

Roger Wilco,

естественно скрытые файлы поставлены на отображение

а системные?

attrib "%SystemRoot%\System32\hale.exe" -H -S

del "%SystemRoot%\System32\hale.exe"

Roger Wilco, удалить это (и не только это) действительно проще, загрузившись с LiveCD. Другое дело - посмотрите, не стартует ли процесс hale.exe из "Планировщика задач". И в реестре все "хвосты" (если есть) - тоже удалите. Временнные файлы браузера - туда же.

Lico, да, не видит тоже, попробую ливесд потом

Andrey100, и системные

arseny1992, не находит

NMS, пожалуй, просто переустановлю ОС, а то на оскверненной нет желания сидеть)))

Roger Wilco, в таком случае и тему-то можно было не открывать ))) На самом деле - ничего сложного в удалении этого файла нет, "осквернений" он тоже особых не принёс )))) А переустановка ОС - это Ваше личное дело, разумеется.

Roger Wilco,
Если этот процесс запускается при загрузке:
Запускаем Process Monitor. Включаем лог загрузки, перезагружаемся, запускаем снова и конвертируем лог загрузки в формат Procmon. Ищем откуда ноги растут у этого процесса. Если он каждый раз воссоздаётся из другого троянского процесса, убиваем корень зла.

Если процесс запускается при входе в систему:
Запускаем Procmon в сеансе 0. Диск E: это у меня флешка с полным пакетом Sysinternals.

PS E:\> .\psexec -sd -i 0 "E:\procmon.exe"

Включить захват, вернуться в свой сеанс, выйти из системы (не перезагрузка, не смена пользователя, а именно log off), войти снова, открыть командную строку, или PowerShell. Там перезапускаем Службу обнаружения интерактивных служб:

net stop ui0detect

net start ui0detect

и тут же из появившегося окна переходим обратно в сеанс 0. Останавливаем захват, анализируем и убиваем корень зла.

Переустановка ОС - это не решение проблемы, а её обход. Если вы опять получите такой файл, то что, будете каждый раз переустанавливать систему? Переустановка системы была ответом на все проблемы в эпоху Windows 9x. Сегодня, в эру NT надо об этом забыть.

win7x64: поднастроил outpost firewall pro и теперь я увидел что запускается процесс HALE.EXE *32 который приходилось постоянно блокировать.. после очистки лишних ключей автозапуска из под администратора утилитой autoruns комплекта SysinternalsSuite (только) другие autoruns не отображают нужные закладки, перестал запускаться..один раз его видел в диспетчере задач..на диске ни разу..никто. зачем пишут про скрытые файлы и системные кто пытается решить подобную задачу давно юзают файловые менеджеры

Вот решение вашей проблемы. Если не сможете прочесть на англ, спрашивайте, хотя там все просто
Загрузите TDSSKiller http://support.kaspersky.com/downloads/utils/tdsskiller.zip
Раскройте архив
Откройте папку TDSSKiller и запустите TDSSKiller.exe, затем Start Scan.

azmesm,
вообще-то достаточно юзать нормальный антивирус....

#198554 Andrey100 :
azmesm,
вообще-то достаточно юзать нормальный антивирус....

В данном случае ваш совет неуместен. Если человеку срочно нужна помощь, то вот такие советы можно расценивать просто как издевательство!
Потом, безусловно. Не спорю. Но после того как, а не вместо того как!

cybercop,
я ни в коем случае не хотел ни над кем издеваться.
Однако в посте azmesm я не увидел наличия у него какой-либо проблемы. Он обнаружил с помощью фаерволла!!! наличие в системе вируса и то только после того как "подкрутил" его настройки. Т.е. до этого вирус спокойно "работал" в системе. Далее он заблокировал его запуск с помощью autoruns и удалил с помощью файлового менеджера. Что все это время делал антивирус мне не понятно...

Андрей, я не хотел вас обидеть! Просто... Ну что ж. Если пользователь не умеет (не знает) как и с чем нужно работать, безусловно это его проблемы. А по поводу антивируса - безусловно он нужен!
Кстати, по поводу вот таких вот заражений. Рекомендую использовать Live CD от производителей антивирусов. Я уже писал о них и давал ссылки. При загрузке из-под чистой системы гораздо проще обнаружить и нейтрализовать "заразу".
PS
Просто для меня это работа

...фишка ф том что файла как такового нет ..файловым менеджером ничего не удалял почистил лишние(непонятные) записи в autoruns (в основном в закладке Scheduled Tasks ) выяснить кто создает этот файл, скорее всего в памяти, не удалось.. перезагрузка и все нету трояна) такчто оригинальный он какойто.. использую бесплатную версию AVG + Outpost. И какую вы заразу найдете, если файла не сушествует (покрайне мере в семерке) диском Live CD! думаю что ничо он не успел сделать - как появился так и стал обнаруживаться оутпостом..причем постоянно при создании..с переодичностью в 2-3 минуты.. AVG его не видел так как он блокировался в Anti-Leak и файл не создавался!!! в приложениях он заблокирован был сразу..такчто не умничайте здорово) а если считаете что KAV это решение проблемы..тогда думаю у вас все впереди) полегче на поворотах, прежде чем говорить что кто то что то не умеет..учитесь пока жив. можно сказать почти в ручную убил.

Вот что нашел в моей системе TDSSkiller datas/users/100676-kill-hale.gif вы знаете что будет если пользователь выберет удалить или заблокировать...синий экран ..правильно. И что ему нужно будет сделать чтобы восстановить рабочую винду..