Как удалить Trojan.Mayachok.1 (не работают браузеры , не запускаются программы в обычном режиме , перенаправление на internet.com и другие сайты) - Безопасность - Ответ 2163809

Sanya · Регистрация: 25.10.2010

Author24 — интернет-сервис помощи студентам

Что представляет собой Trojan.Mayachok.1 (он же trojan.win32.ddox.ci, trojan.mayachok.1, trojan.mayachok.550, trojan.win32.cidox, trojan.win32.zapchast.feh, trojan:Win32/Vundo.OD, trojan.Win32.Mondere, trojan.Generic.KDV.169924).

По описаниям ресурса Dr.Web, это:

Троянец, который крадет средства со счетов клиентов мобильных операторов, предлагая пользователям ответить на входящее СМС-сообщение.

Trojan.Mayachok.1 это файл .dll - динамически подключаемая библиотека, которая после установки загружается в адресное пространство памяти всех запущенных процессов (процесс установки заканчивается форсированной перезагрузкой компьютера), поэтому при сканировании системы антивирусом в нормальном режиме троянец часто видится пользователю как бы "сидящим внутри" различных файлов и "перемещающимся" из одного файла в другой. Может сложиться впечатление что Trojan.Mayachok.1 заражает файлы, но на самом деле это не так.
Trojan.Mayachok.1 имеет имя, состоящее из семи строчных латинских букв, и размер 48-56 kb.

Описание повадок зловреда на сайте Dr.Web достаточно подробное поэтому не будем повторяться, от себя только добавлю:

1.) пострадавший сталкивается с полной невозможностью выйти в интернет при помощи любого браузера,

Как удалить Trojan.Mayachok.1 (не работают браузеры , не запускаются программы в обычном режиме , перенаправление на internet.com и другие сайты)

2.) вместо нормальной загрузки сайта открытие страниц происходит в виде, напоминающем исходный код.

3.) подменой запрашиваемых страниц на "Ростелеком. Канал перегружен", "Подтвердите принадлежность аккаунта","internet.com" и подобных

4.) маячок может блокировать запуск программ в нормальном режиме. в безопасном, как правило всё работает.

Итак, выяснили, у нас действительно Trojan.Mayachok.1.

Что делать? Нет смысла скачивать большое количество разнообразного антивирусного софта и тратить время на многочасовые проверки в надежде что поможет хоть что-то из этого - ни одно, так другое.
Такая вероятность есть, но в некоторых случаях троянец хоть и определяется антивирусом, но оказывается ему не по зубам - при следующих проверках мы видим его снова и снова. Не стоит отчаиваться, всё на самом деле очень просто.

1) Открываем редактор реестра - regedit.exe,( пуск - выполнить - regedit ) находим ветку:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
и параметр AppInit_DLLs.

Смотрим значение этого параметра.
Если видим запись, подобную этой:

"AppInit_DLLs" = "C:\windows\system32\tvhihgf.dll"
(кроме tvhihgf.dll имя файла может состоять из семи любых других латинских букв) - удаляем ее (имя файла запомните или запишите, чтобы потом легко его найти).

Сам параметр AppInit_DLLs при этом оставляем, убираем только значение.

Внимание! Перед тем как удалить любую запись в AppInit_DLLs, обязательно гуглим по ней ( имя троянской .dll не будет иметь ни одного совпадения (в редких случаях бывает 1-2 совпадения, и, как правило, они ведут на темы, где упоминается Trojan.Mayachok.1)) , поскольку в этом параметре могут быть прописаны и вполне легитимные программы. Если в AppInit_DLLs перечислено несколько файлов - находим информацию по каждому, и удаляем только троянский ключ.

2) Обязательное условие : Перезагружаемся

3) После этого разыскиваем этот файл на диске в папке C:\windows\system32 - и так же удаляем. Это и есть наш Trojan.Mayachok.1.

4) Потом находим и удаляем созданные одновременно с tvhihgf.dll (смотрим по дате) файлы с расширением *.tmp из каталога C:\windows\system32 и C:\windows\SYSWOW64 (на 64 битных системах). Это резервные копии Trojan.Mayachok.1.
Название: темпы.jpg
Просмотров: 129952

Размер: 7.4 Кб

Название: темпы.jpg
Просмотров: 129952

Размер: 7.4 Кб

5) Перезагружаемся и наслаждаемся беспрепятственным доступом к любимым сайтам.

Для пользователей x64 разрядных систем: троянец может находиться в каталоге C:\windows\SYSWOW64

Редактор реестра, отвечающий за 32 разрядные компоненты в x64 разрядных системах находится в каталоге C:\windows\SysWOW64
Для его запуска через меню "Пуск" - "Выполнить" нужно указывать полный путь:

%SystemRoot%\SysWOW64\regedit.exe

По умолчанию на x64 разрядных системах запускается редактор из каталога C:\windows, т е отвечающий за 64 разрядные компоненты. В нем так же есть 32 битный раздел - HKLM\SOFTWARE\Wow6432Node, то есть проверять нужно в том числе ветку
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows

******************************************************************************** ***************************
Вопросы которые могут возникнуть при данном способе удаления

Я удалил ключ из реестра, но не запомнил и не записал имя троянского файла. Как теперь его найти?

При помощи поиска windows найдите все созданные на дату заражения файлы с расширением .dll в папках %windir%\system32 и %windir%\SYSWOW64. Trojan.Mayachok.1 имеет имя, состоящее из семи строчных латинских букв, и размер 48-56 kb. Все подозрительные файлы проверьте на сервисе virustotal.com. Троянский файл будет определен антивирусами. Так же, при поиске в Google, имя троянской .dll не будет иметь ни одного совпадения (в редких случаях бывает 1-2 совпадения, и, как правило, они ведут на темы, где упоминается Trojan.Mayachok.1).

А временные файлы можете удалить командой (вставить в командную строку):

del "%windir%\system32\*.tmp" /q

нажать enter.

Для 64 битных систем:

del "%windir%\syswow64\*.tmp" /q

Я по ошибке удалил из реестра троянский ключ вместе с параметром AppInit_DLLs. Что теперь произойдёт?

На работоспособность системы это не повлияет. Если в этом параметре помимо троянской записи присутствовали другие, например записи легального программного обеспечения - их функциональность может быть нарушена, поэтому такие программы рекомендуется переустановить. Обычно при установке достаточно выбрать опцию repair (восстановить).

При попытке внести изменения в реестр я получаю сообщение "Отказано в доступе"

Прежде всего убедитесь, что вы работаете под учетной записью администратора (выполняете действия от имени администратора). Откройте раздел реестра, в который требуется внести изменения. Из контекстного меню или меню "Правка" выберите команду "Разрешения". Нажмите кнопку "Дополнительно", откройте вкладку "Владелец". Назначьте себя в качестве нового владельца. На вкладке "Безопасность" владельцу должны быть назначены права - "полный доступ"

******************************************************************************** *******************************************************************************
Ниже в этой теме есть текстовая версия этой статьи. Которую можно скачать и не спеша проводить все манипуляции со своим компьютером

Вернуться к обсуждению:
Как удалить Trojan.Mayachok.1 (не работают браузеры , не запускаются программы в обычном режиме , перенаправление на internet.com и другие сайты) Безопасность

Следующий ответ

Другие темы раздела
Безопасность Не открываются некоторые ехе Сидел в интернете, зашел на какую-то страницу. Сразу же закрылся и интернет и сам компьютер презагрузился. Потом перестали открываться почти все ехе файлы (кроме блокнота, калькулятора и игр) Вопрос : что делать? Ну и вторая проблемка) На втором компьютере все вордовские документы автомотически открываются в блокноте ( для открытия в самом ворде надо ворд выбрать ). Вопрос : что сделать для... https://www.cyberforum.ru/ security/ thread382380.html	apache2 метод get Безопасность как защитить апач, от получения в get всякой ненужной дряни типа довичного кода сплоитов и левых адресов, типа "GET http://www.sharkspear.info/proxyheader.php HTTP/1.1" 404 438 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"???
Безопасность Возможно появился вирус Привет всем, сейчас сидел за компом в интернете, и тут раз вылазиет такая заставочка типа я нарушил чьи-то права, на моем компе обнаружено : информация террористического характера, также порно и т.д... и ваш компьютер заблокирован органами управления чего-то там... короче типа полиция заблочила комп, для разблокировки, пойдите купите там там,там-то бумажку на сумму в 100 евро и введите код с... https://www.cyberforum.ru/ security/ thread379588.html	Безопасность Темы для диплома по информационной безопасности Здравствуйте, люди добрые, не могли бы вы помочь с выбором темы по диплому в сфере информационной безопасности, или предложить вам известные темы, которые кто-то когда-освещал, мне конечно было бы интересно поработать над темами , связанными со стегоанализом, детектированием компьютерных вирусов, запрятанных в различных файлах стеганографическими методами. Заранее благодарен. https://www.cyberforum.ru/ security/ thread375828.html
Надпись в трее "Возможно Вы приобрели подделанную копию программного обеспечения..." Безопасность Здравствуйте. Есть такая проблема. У моей знакомой пропала картинка с рабочего стола, остались только ярлыки и в трее выписывает, что "Возможно Вы приобрели подделанную копию программного обеспечения. Это копия Windows не прошла проверку подлинности. Ищите подленое по Microsoft". И даёт ссыль, на которую комп автоматически заходит, закрывая все вкладки в браузере. Попадая на ссыль, требует купить...	Безопасность Банковские карты Здоровенько всем, друзья! Помогите найти стать на тему "защита в автом. системах банковских расчётов на базе пластиковых карточек(алгоритмы механизмы модели)." А то я в гугле запутался) Буду очень признателен за линки на эти статьи. https://www.cyberforum.ru/ security/ thread371320.html
Безопасность Подозрительные вещи в папке Roaming Здравствуйте! Зайдя в папку C:\Users\ПОЛЬЗОВАТЕЛЬ\AppData\Roaming, обнаружил там два очень подозрительных файла: 7376af4ca и 7376af8ea. Оба без расширения. Второй файл при просмотре в блокноте содержит только имя моей учётки, а вот в первом содержатся мои действия за вчера и сегодня (то, что я кому-либо печатал, какие приложения открывал, на какие сайты заходил). Что это может быть? PS:... https://www.cyberforum.ru/ security/ thread368904.html	DrWeb удалил файл, можно ли его восстановить? Безопасность Всем здравствуйте! Доктор cureit удалил запускающий файл одной из программ расценив его как вирус (не поместил его в карантин, а именно удалил), можно ли его как-нибудь восстановить? Заранее спасибо!
Безопасность Правильная комбинация защиты (совместимость) Всем привет. Стоит на компе Panda cloud antivirus Free и совместно Emsisoft anti-malware v6 с отключенной файловой защитой(только контроль программ и веб-защита). Защитник windows отключен. Такое сочетание правильное? Т.е. все ли есть для полноценной защиты и не мешают ли они друг другу? https://www.cyberforum.ru/ security/ thread367112.html	Безопасность Странный вирус Люди нужна помощ комп походу подхватил какойто вирусняк и этот вирус делает попытки подключения к интернету без разрешения пользователи помогите чем можете!! https://www.cyberforum.ru/ security/ thread366710.html
Безопасность Если кто знает что это за вирус Всем привет! Поднимаю данную тему т.к. считаю ее актуальной. На данный момент ни лабараторией Касперского ни др. известными мне антивирусными системами не выпущено никаких обновлений решающих данную проблему! Я до сих пор встречаю этот вирус при работающих антивирусах. Помогает только вырезание его из автозагрузки утилитой Hijackthis и последующего ручного удаления тела вируса, при чем...	Безопасность Как зашифровать пароли Filezilla под TrueCrypt Здравствуйте. В общем встал вопрос о безопасности компа. Хочу чтобы пароли для файлзиллы были в безопасном месте. удалено] Тут немного расписано, но вот самое интересное утаили Устанавливаем наш FileZilla в том TrueCrypt, после установки заходим в том копируем ярлык, на рабочем столе вставляем ярлык, вот и все! Кто разбирается - подскажите пожалуйста. https://www.cyberforum.ru/ security/ thread365526.html

Sanya 13175 / 4623 / 168 Регистрация: 25.10.2010 Сообщений: 9,412
		0
	Как удалить Trojan.Mayachok.1 (не работают браузеры , не запускаются программы в обычном режиме , перенаправление на internet.com и другие сайты) - Безопасность - Ответ 2163809 12.11.2011, 20:30. Показов 285689. Ответов 8 Метки (Все метки) Что представляет собой Trojan.Mayachok.1 (он же trojan.win32.ddox.ci, trojan.mayachok.1, trojan.mayachok.550, trojan.win32.cidox, trojan.win32.zapchast.feh, trojan:Win32/Vundo.OD, trojan.Win32.Mondere, trojan.Generic.KDV.169924). По описаниям ресурса Dr.Web, это: Троянец, который крадет средства со счетов клиентов мобильных операторов, предлагая пользователям ответить на входящее СМС-сообщение. Trojan.Mayachok.1 это файл .dll - динамически подключаемая библиотека, которая после установки загружается в адресное пространство памяти всех запущенных процессов (процесс установки заканчивается форсированной перезагрузкой компьютера), поэтому при сканировании системы антивирусом в нормальном режиме троянец часто видится пользователю как бы "сидящим внутри" различных файлов и "перемещающимся" из одного файла в другой. Может сложиться впечатление что Trojan.Mayachok.1 заражает файлы, но на самом деле это не так. Trojan.Mayachok.1 имеет имя, состоящее из семи строчных латинских букв, и размер 48-56 kb. Описание повадок зловреда на сайте Dr.Web достаточно подробное поэтому не будем повторяться, от себя только добавлю: 1.) пострадавший сталкивается с полной невозможностью выйти в интернет при помощи любого браузера, 2.) вместо нормальной загрузки сайта открытие страниц происходит в виде, напоминающем исходный код. 3.) подменой запрашиваемых страниц на "Ростелеком. Канал перегружен", "Подтвердите принадлежность аккаунта","internet.com" и подобных 4.) маячок может блокировать запуск программ в нормальном режиме. в безопасном, как правило всё работает. Итак, выяснили, у нас действительно Trojan.Mayachok.1. Что делать? Нет смысла скачивать большое количество разнообразного антивирусного софта и тратить время на многочасовые проверки в надежде что поможет хоть что-то из этого - ни одно, так другое. Такая вероятность есть, но в некоторых случаях троянец хоть и определяется антивирусом, но оказывается ему не по зубам - при следующих проверках мы видим его снова и снова. Не стоит отчаиваться, всё на самом деле очень просто. 1) Открываем редактор реестра - regedit.exe,( пуск - выполнить - regedit ) находим ветку: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows и параметр AppInit_DLLs. Смотрим значение этого параметра. Если видим запись, подобную этой: "AppInit_DLLs" = "C:\windows\system32\tvhihgf.dll" (кроме tvhihgf.dll имя файла может состоять из семи любых других латинских букв) - удаляем ее (имя файла запомните или запишите, чтобы потом легко его найти). Сам параметр AppInit_DLLs при этом оставляем, убираем только значение. Внимание! Перед тем как удалить любую запись в AppInit_DLLs, обязательно гуглим по ней ( имя троянской .dll не будет иметь ни одного совпадения (в редких случаях бывает 1-2 совпадения, и, как правило, они ведут на темы, где упоминается Trojan.Mayachok.1)) , поскольку в этом параметре могут быть прописаны и вполне легитимные программы. Если в AppInit_DLLs перечислено несколько файлов - находим информацию по каждому, и удаляем только троянский ключ. 2) Обязательное условие : Перезагружаемся 3) После этого разыскиваем этот файл на диске в папке C:\windows\system32 - и так же удаляем. Это и есть наш Trojan.Mayachok.1. 4) Потом находим и удаляем созданные одновременно с tvhihgf.dll (смотрим по дате) файлы с расширением .tmp из каталога C:\windows\system32 и C:\windows\SYSWOW64* (на 64 битных системах). Это резервные копии Trojan.Mayachok.1. 5) Перезагружаемся и наслаждаемся беспрепятственным доступом к любимым сайтам. Для пользователей x64 разрядных систем: троянец может находиться в каталоге C:\windows\SYSWOW64 Редактор реестра, отвечающий за 32 разрядные компоненты в x64 разрядных системах находится в каталоге C:\windows\SysWOW64 Для его запуска через меню "Пуск" - "Выполнить" нужно указывать полный путь: %SystemRoot%\SysWOW64\regedit.exe По умолчанию на x64 разрядных системах запускается редактор из каталога C:\windows, т е отвечающий за 64 разрядные компоненты. В нем так же есть 32 битный раздел - HKLM\SOFTWARE\Wow6432Node, то есть проверять нужно в том числе ветку HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows ****************************************************************************** ************************* Вопросы которые могут возникнуть при данном способе удаления Я удалил ключ из реестра, но не запомнил и не записал имя троянского файла. Как теперь его найти? При помощи поиска windows найдите все созданные на дату заражения файлы с расширением .dll в папках %windir%\system32 и %windir%\SYSWOW64. Trojan.Mayachok.1 имеет имя, состоящее из семи строчных латинских букв, и размер 48-56 kb. Все подозрительные файлы проверьте на сервисе virustotal.com. Троянский файл будет определен антивирусами. Так же, при поиске в Google, имя троянской .dll не будет иметь ни одного совпадения (в редких случаях бывает 1-2 совпадения, и, как правило, они ведут на темы, где упоминается Trojan.Mayachok.1). А временные файлы можете удалить командой (вставить в командную строку): del "%windir%\system32\.tmp" /q нажать enter. Для 64 битных систем: del "%windir%\syswow64\.tmp" /q Я по ошибке удалил из реестра троянский ключ вместе с параметром AppInit_DLLs. Что теперь произойдёт? На работоспособность системы это не повлияет. Если в этом параметре помимо троянской записи присутствовали другие, например записи легального программного обеспечения - их функциональность может быть нарушена, поэтому такие программы рекомендуется переустановить. Обычно при установке достаточно выбрать опцию repair (восстановить). При попытке внести изменения в реестр я получаю сообщение "Отказано в доступе" Прежде всего убедитесь, что вы работаете под учетной записью администратора (выполняете действия от имени администратора). Откройте раздел реестра, в который требуется внести изменения. Из контекстного меню или меню "Правка" выберите команду "Разрешения". Нажмите кнопку "Дополнительно", откройте вкладку "Владелец". Назначьте себя в качестве нового владельца. На вкладке "Безопасность" владельцу должны быть назначены права - "полный доступ" ****************************************************************************** *************************************************************************** Ниже в этой теме есть текстовая версия этой статьи. Которую можно скачать и не спеша проводить все манипуляции со своим компьютером Вернуться к обсуждению: Как удалить Trojan.Mayachok.1 (не работают браузеры , не запускаются программы в обычном режиме , перенаправление на internet.com и другие сайты) Безопасность Следующий ответ** 30

	12.11.2011, 20:30