Внимание: этот
раздел больше не пополняется. Все новые вопросы и ответы теперь
размещаются на форуме
ITrader
Современная, простая программа с неограниченными возможностями преобразования
времени, знаний и опыта в деньги! Бесплатный доступ ко всем финансовым рынкам,
к мировым торгам и профессиональному росту. Скачай и открой бесплатный Демо-счет!
Дистанционное обучение. Депозит от 1000 рублей. ФГ Калита-Финанс. Подробнее...
Народная мудрость: одни пользователи ПК спрашивают, а
другие пользователи ПК отвечают.
Авторские права на грамматические и орфографические ошибки полностью и всецело
принадлежат их авторам :)
***
?
Как удалить троян Haxdoor? Нахожу антивирусом, удаляю, а он снова
появляется. Найти его размещение не могу.
Отвечает workigor: Попробуй устроить проверку всего винта из безопасного режима.
Отвечает Umnik: У меня 2 варианта. Либо ты удаляешь файл, создаваемый вирусом, но при
этом вирус остается живым, либо ты постоянно хватаешь этот вирус из какой-то дырки.
Отвечает TU-154: Проведите проверку и удаление в Безопасном режиме (нажмите F8 в начале
загрузки системы и выберите Безопасный режим). При этом не будет отрабатываться
автозагрузка и троян не будет восстанавливаться после удаления.
Отвечает Хайлов Константин Юрьевич: Попробуйте провести сканирование в безопасном режиме. Для этого при
загрузки нажмите F7 или F8 (точно не помню).
Отвечает Шарифуллин Ильдар: Outpost поставь 3.0, там нормальный сканер. Он
загонит в карантин, оттуда удалишь.
Отвечает Niobium the wise: вообще-то haxdoor работает на низком уровне и удалить его сканером даже из безопасного режима не всегда выходит. Посмотри статейку в базе данных microsoft - там есть инструкция по удалению через консоль восстановления системы. Приводить здесь нет смысла - там много.
Отвечает Get: При запуске создает на диске файлы (они хранятся внутри основного):
1. pdx.dll — размер около 20 КБ, упакован UPX; основной компонент;
2. pdx32.sys — размер около 13 КБ; kernel mode драйвер (root kit), который создает в системе устройство \Device\pdx32 и используется для обхода разных системных ограничений, например, для чтения заблокированных файлов.
Добавляет ключи в системный реестр:
[System\CurrentControlSet\Control\MPRServices\TestService]
"DLLName"="pdx.dll"
"EntryPoint"="CorpseProc"
"StackSize"=0x1000
[SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]
"DllName"="pdx.dll"
"Startup"="CorpseProc"
"Impersonate"=1
"Asynchronous"=0
"MaxWait"=1
