Форум программистов, компьютерный форум, киберфорум
Наши страницы

Компьютерная безопасность

Войти
Регистрация
Восстановить пароль
 
Рейтинг: Рейтинг темы: голосов - 2102, средняя оценка - 4.76
Sanya
Эксперт Windows
13039 / 4551 / 155
Регистрация: 25.10.2010
Сообщений: 9,335
#1

Как удалить Trojan.Mayachok.1 (не работают браузеры , не запускаются программы в обычном режиме , перенаправление на internet.com и другие сайты) - Безопасность

12.11.2011, 20:30. Просмотров 260677. Ответов 8

Что представляет собой Trojan.Mayachok.1 (он же trojan.win32.ddox.ci, trojan.mayachok.1, trojan.mayachok.550, trojan.win32.cidox, trojan.win32.zapchast.feh, trojan:Win32/Vundo.OD, trojan.Win32.Mondere, trojan.Generic.KDV.169924).

По описаниям ресурса Dr.Web, это:
Троянец, который крадет средства со счетов клиентов мобильных операторов, предлагая пользователям ответить на входящее СМС-сообщение.
Trojan.Mayachok.1 это файл .dll - динамически подключаемая библиотека, которая после установки загружается в адресное пространство памяти всех запущенных процессов (процесс установки заканчивается форсированной перезагрузкой компьютера), поэтому при сканировании системы антивирусом в нормальном режиме троянец часто видится пользователю как бы "сидящим внутри" различных файлов и "перемещающимся" из одного файла в другой. Может сложиться впечатление что Trojan.Mayachok.1 заражает файлы, но на самом деле это не так.
Trojan.Mayachok.1 имеет имя, состоящее из семи строчных латинских букв, и размер 48-56 kb.

Описание повадок зловреда на сайте Dr.Web достаточно подробное поэтому не будем повторяться, от себя только добавлю:

1.) пострадавший сталкивается с полной невозможностью выйти в интернет при помощи любого браузера,

Как удалить Trojan.Mayachok.1 (не работают браузеры , не запускаются программы в обычном режиме , перенаправление на internet.com и другие сайты)

2.) вместо нормальной загрузки сайта открытие страниц происходит в виде, напоминающем исходный код.

Как удалить Trojan.Mayachok.1 (не работают браузеры , не запускаются программы в обычном режиме , перенаправление на internet.com и другие сайты)

3.) подменой запрашиваемых страниц на "Ростелеком. Канал перегружен", "Подтвердите принадлежность аккаунта","internet.com" и подобных

Как удалить Trojan.Mayachok.1 (не работают браузеры , не запускаются программы в обычном режиме , перенаправление на internet.com и другие сайты) Как удалить Trojan.Mayachok.1 (не работают браузеры , не запускаются программы в обычном режиме , перенаправление на internet.com и другие сайты)

4.) маячок может блокировать запуск программ в нормальном режиме. в безопасном, как правило всё работает.

Итак, выяснили, у нас действительно Trojan.Mayachok.1.

Что делать? Нет смысла скачивать большое количество разнообразного антивирусного софта и тратить время на многочасовые проверки в надежде что поможет хоть что-то из этого - ни одно, так другое.
Такая вероятность есть, но в некоторых случаях троянец хоть и определяется антивирусом, но оказывается ему не по зубам - при следующих проверках мы видим его снова и снова. Не стоит отчаиваться, всё на самом деле очень просто.

1) Открываем редактор реестра - regedit.exe,( пуск - выполнить - regedit ) находим ветку:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
и параметр AppInit_DLLs.

Смотрим значение этого параметра.
Если видим запись, подобную этой:

"AppInit_DLLs" = "C:\windows\system32\tvhihgf.dll"
(кроме tvhihgf.dll имя файла может состоять из семи любых других латинских букв) - удаляем ее (имя файла запомните или запишите, чтобы потом легко его найти).
Как удалить Trojan.Mayachok.1 (не работают браузеры , не запускаются программы в обычном режиме , перенаправление на internet.com и другие сайты)
Сам параметр AppInit_DLLs при этом оставляем, убираем только значение.

Внимание! Перед тем как удалить любую запись в AppInit_DLLs, обязательно гуглим по ней ( имя троянской .dll не будет иметь ни одного совпадения (в редких случаях бывает 1-2 совпадения, и, как правило, они ведут на темы, где упоминается Trojan.Mayachok.1)) , поскольку в этом параметре могут быть прописаны и вполне легитимные программы. Если в AppInit_DLLs перечислено несколько файлов - находим информацию по каждому, и удаляем только троянский ключ.

2) Обязательное условие : Перезагружаемся

3) После этого разыскиваем этот файл на диске в папке C:\windows\system32 - и так же удаляем. Это и есть наш Trojan.Mayachok.1.

4) Потом находим и удаляем созданные одновременно с tvhihgf.dll (смотрим по дате) файлы с расширением *.tmp из каталога C:\windows\system32 и C:\windows\SYSWOW64 (на 64 битных системах). Это резервные копии Trojan.Mayachok.1.
Название: темпы.jpg
Просмотров: 129849

Размер: 7.4 Кб

5) Перезагружаемся и наслаждаемся беспрепятственным доступом к любимым сайтам.

Для пользователей x64 разрядных систем: троянец может находиться в каталоге C:\windows\SYSWOW64

Редактор реестра, отвечающий за 32 разрядные компоненты в x64 разрядных системах находится в каталоге C:\windows\SysWOW64
Для его запуска через меню "Пуск" - "Выполнить" нужно указывать полный путь:
%SystemRoot%\SysWOW64\regedit.exe
Как удалить Trojan.Mayachok.1 (не работают браузеры , не запускаются программы в обычном режиме , перенаправление на internet.com и другие сайты)
По умолчанию на x64 разрядных системах запускается редактор из каталога C:\windows, т е отвечающий за 64 разрядные компоненты. В нем так же есть 32 битный раздел - HKLM\SOFTWARE\Wow6432Node, то есть проверять нужно в том числе ветку
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows

***********************************************************************************************************
Вопросы которые могут возникнуть при данном способе удаления

Я удалил ключ из реестра, но не запомнил и не записал имя троянского файла. Как теперь его найти?

При помощи поиска windows найдите все созданные на дату заражения файлы с расширением .dll в папках %windir%\system32 и %windir%\SYSWOW64. Trojan.Mayachok.1 имеет имя, состоящее из семи строчных латинских букв, и размер 48-56 kb. Все подозрительные файлы проверьте на сервисе virustotal.com. Троянский файл будет определен антивирусами. Так же, при поиске в Google, имя троянской .dll не будет иметь ни одного совпадения (в редких случаях бывает 1-2 совпадения, и, как правило, они ведут на темы, где упоминается Trojan.Mayachok.1).

А временные файлы можете удалить командой (вставить в командную строку):
del "%windir%\system32\*.tmp" /q
нажать enter.

Для 64 битных систем:
del "%windir%\syswow64\*.tmp" /q
Я по ошибке удалил из реестра троянский ключ вместе с параметром AppInit_DLLs. Что теперь произойдёт?

На работоспособность системы это не повлияет. Если в этом параметре помимо троянской записи присутствовали другие, например записи легального программного обеспечения - их функциональность может быть нарушена, поэтому такие программы рекомендуется переустановить. Обычно при установке достаточно выбрать опцию repair (восстановить).

При попытке внести изменения в реестр я получаю сообщение "Отказано в доступе"

Прежде всего убедитесь, что вы работаете под учетной записью администратора (выполняете действия от имени администратора). Откройте раздел реестра, в который требуется внести изменения. Из контекстного меню или меню "Правка" выберите команду "Разрешения". Нажмите кнопку "Дополнительно", откройте вкладку "Владелец". Назначьте себя в качестве нового владельца. На вкладке "Безопасность" владельцу должны быть назначены права - "полный доступ"

************************************************************************************************************************ ***************************************
Ниже в этой теме есть текстовая версия этой статьи. Которую можно скачать и не спеша проводить все манипуляции со своим компьютером
30
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
12.11.2011, 20:30
Здравствуйте! Я подобрал для вас темы с ответами на вопрос Как удалить Trojan.Mayachok.1 (не работают браузеры , не запускаются программы в обычном режиме , перенаправление на internet.com и другие сайты) (Безопасность):

Trojan.mayachok.1 как удалить? - Удаление вирусов
Здравствуйте! Видела уже много таких тем. Простите, но никак не могу разобраться. Дело в том, что в редакторе реестра...

Браузеры перестали открывать страницы, другие программы с интернетом работают - Удаление вирусов
Ни один браузер (Crome, Firefox, Opera, IE) не открывает страницы. При этом другие программы (Skype, Mail.Ru Агент, Обновление Nod32)...

Не получается удалить trojan.mayachok.1 - Удаление вирусов
Помогите избавиться от этой гадости. Cureit находит его в памяти и сносит. Но после перезагрузки он опять висит в памяти. Большинство...

Самопроизвольно устанавливаются Crossbrowser, ciplus, другие программы, браузеры работают сами по себе - Удаление вирусов
Происходит установка Crossbrowser, другие браузеры (опера, гугл, хромиум) открываются и закрываются автономно. Стартовая страница всегда...

Не запускаются exe.ники win7. сканировал cureit, он нашел Trojan.Mayachok.1, обезвредил его - не помогло. Помогите пожалуйста, буду очень благодарен. - Удаление вирусов
Понимаю, что подобные темы уже были, но сам не смог написать скритп для переноса в карантин. Приложения не запускаются, работают только в...

Не запускаются приложения в обычном режиме, зависает при входе в метро режим - Удаление вирусов
Добрый день. Забрался в мой ноут такой вирус. Блокирует запуск приложений в обычном режиме(не safe mode), перестал работать скрол на...

8
qvad
Эксперт HardwareЭксперт Windows
20530 / 11931 / 637
Регистрация: 11.04.2010
Сообщений: 53,470
05.12.2011, 15:13 #2
Sanya, а как быть в семерке? аналоично?
2
Sanya
Эксперт Windows
13039 / 4551 / 155
Регистрация: 25.10.2010
Сообщений: 9,335
05.12.2011, 15:23  [ТС] #3
qvad, точно так же лечил )))
4
Jury
05.12.2011, 17:04 #4
Спасибо ! реально помогло, симптомы вируса 100% , сканеры ничего ненаходят, за 5 мин. и пока нет проблем.
waka
26.01.2012, 14:42 #5
Sanya.*Спасибо*огромное*за*помощь*МНЕ*и*спасение*диска*С\*от*форматирования.
Sanya
Эксперт Windows
13039 / 4551 / 155
Регистрация: 25.10.2010
Сообщений: 9,335
20.03.2012, 22:12  [ТС] #6
Для тех кто испытывает трудности с инетом, выкладываю текстовую версию статьи по удалению Trojan.Mayachok.1 , любезно предоставленную глобальной сетью Internet )))
2
Вложения
Тип файла: rar Trojan.Mayachok.1.rar (51.9 Кб, 5732 просмотров)
_kamar_
01.08.2012, 22:31 #7
Спасибо большое за помощ!
Lucio_Gulchi
3 / 2 / 0
Регистрация: 13.03.2013
Сообщений: 33
13.03.2013, 14:04 #8
Вот bat файл автоматизирующий лечение вируса маячок.Строго не судите,языками программирования не владею .Так получилось что сломал руку =\ вот решил совместить полезное и новое узнать. Хотелось бы услышать критику по поводу кода, получился явно усложненный дерьмокод подробней про вирус тут

код
@echo off
CHCP 1251
rem *********************************************
rem Вывод файла в C:\log\log.txt
rem копия ветки реестра в C:\log\copy
rem *********************************************

md C:\log \\ Создаем папку
md C:\log\copy \\ Создаем папку
echo Дата лога %date% %time% > C:\log\log.txt Создаем файл log.txt + записываем дату и время
echo Сохраняем ветку реестра >> C:\log\log.txt
reg save HKLM\Software\Microsoft C:\log\copy\copy.reg >> C:\log\log.txt Сохраняем ветку +пишем лог
AppInit_DLLs REG_SZ > C:\log\1AppInit_DLLs.txt
Создаем файл с чистым значением реестра + пишем в лог , дальше значение будет использоваться для проверки изменен параметр реестра или нет
echo получаем значение AppInit_DLLs >> C:\log\log.txt
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs >> C:\log\AppInit_DLLs.txt Создаем файл с текущим значением в реестре + пишем в лог
for /f "tokens=*" %%A in (C:\log\AppInit_DLLs.txt) do @for /f "tokens=*" %%B in (C:\log\1AppInit_DLLs.txt) do @if /I %%A equ %%B goto :EXIT[COLOR="seagreen"]Проверяем , если значение в реестре изменено продолжаем выполнять код или уходим на выход
echo чистим AppInit_DLLs >> C:\log\log.txt
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /d "" /f >> C:\log\log.txt отчищаем значение на пустое
echo добавляем в автозагрузку >> C:\log\log.txt
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v Delbat /d "C:\log\del.bat" /f >> C:\log\log.txt добавляем в атазапуск путь до второго батнкика который удалит dll вируса после перезагрузки
echo формируем батдлл >> C:\log\log.txt
for /f "tokens=1-3" %%A in (C:\log\AppInit_DLLs.txt) do (echo del %%C > C:\log\del.bat & echo reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v Delbat /d "" /f >> C:\log\del.bat & echo shutdown -r >> C:\log\del.bat) Создаем бат файл который после перезагрузки удалит длл вируса и уберет запись о себе в атозагрузке
echo Перезагружаем компьютер >> C:\log\log.txt
shutdown -r перезагружаем , после загрузки системы сработает второй бат фаил
:EXIT
пример измененного вирусов значения AppInit_DLLs
! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs REG_SZ C:\WINDOWS\system32\afasf.dll
0
Вложения
Тип файла: rar ma9k.rar (670 байт, 324 просмотров)
Katharsis
Заблокирован
14.03.2013, 00:02 #9
Ну вы намудрили. Нельзя ничего удалять из AppInit_DLLs без проверки цифровой подписи, вернее, удалять можно только то, что ее не имеет. Т к иначе вы нарушите работоспособность некоторых программ, например защитных (каспер, комодо и тд), крипто про, приблуд от вконтакте итд. итп. Юзер вам за это спасибо не скажет.

Кстати, в AppInit_DLLs может быть несколько записей, например, 1 -2 легальных + троянская. Удалять оттуда все - не нужно.

Поэтому вам Lucio_Gulchi, лучше всего доработать свою поделку

зы. маячок 1 уже около года как утратил актуальность, сейчас в ходу другие модификации.
1
14.03.2013, 00:02
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
14.03.2013, 00:02
Привет! Вот еще темы с ответами:

Не запускаются браузеры кроме Internet Explorer - Удаление вирусов
Здравствуйте. Не запускались браузеры на компьютере.После поиска в сети,нашёл статью на вашем сайте...

Браузеры не запускаются, антивирусные сайты недоступны. - Удаление вирусов
Видимо подхватил то же, что и многие тут. Грохнулся браузер, сайты антивирусные в блоке. Лицензионный dr.web молчит и ничего не...

Браузеры не запускаются, антивирусные программы так же не запускаются - Удаление вирусов
Видимо что то подхватил, проверил курейтом всю систему всё якобы чисто. AVZ так и не смог запустить. что делать с этой проблемой? ...

Не работают браузеры, кроме internet Explorer - Удаление вирусов
Windows 7 Первые дни, ни в одном браузере не было подключения, вчера IE cтал работать. Торрент файлы не закачиваются, фоторедактор ACDSEE...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
9
Закрытая тема Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2017, vBulletin Solutions, Inc.
Рейтинг@Mail.ru