Как удалить Trojan.Mayachok.1 (не работают браузеры , не запускаются программы в обычном режиме , перенаправление на internet.com и другие сайты)

Sanya · Регистрация: 25.10.2010

Что представляет собой Trojan.Mayachok.1 (он же trojan.win32.ddox.ci, trojan.mayachok.1, trojan.mayachok.550, trojan.win32.cidox, trojan.win32.zapchast.feh, trojan:Win32/Vundo.OD, trojan.Win32.Mondere, trojan.Generic.KDV.169924).

По описаниям ресурса Dr.Web, это:

Троянец, который крадет средства со счетов клиентов мобильных операторов, предлагая пользователям ответить на входящее СМС-сообщение.

Trojan.Mayachok.1 это файл .dll - динамически подключаемая библиотека, которая после установки загружается в адресное пространство памяти всех запущенных процессов (процесс установки заканчивается форсированной перезагрузкой компьютера), поэтому при сканировании системы антивирусом в нормальном режиме троянец часто видится пользователю как бы "сидящим внутри" различных файлов и "перемещающимся" из одного файла в другой. Может сложиться впечатление что Trojan.Mayachok.1 заражает файлы, но на самом деле это не так.
Trojan.Mayachok.1 имеет имя, состоящее из семи строчных латинских букв, и размер 48-56 kb.

Описание повадок зловреда на сайте Dr.Web достаточно подробное поэтому не будем повторяться, от себя только добавлю:

1.) пострадавший сталкивается с полной невозможностью выйти в интернет при помощи любого браузера,

Как удалить Trojan.Mayachok.1 (не работают браузеры , не запускаются программы в обычном режиме , перенаправление на internet.com и другие сайты)

2.) вместо нормальной загрузки сайта открытие страниц происходит в виде, напоминающем исходный код.

3.) подменой запрашиваемых страниц на "Ростелеком. Канал перегружен", "Подтвердите принадлежность аккаунта","internet.com" и подобных

4.) маячок может блокировать запуск программ в нормальном режиме. в безопасном, как правило всё работает.

Итак, выяснили, у нас действительно Trojan.Mayachok.1.

Что делать? Нет смысла скачивать большое количество разнообразного антивирусного софта и тратить время на многочасовые проверки в надежде что поможет хоть что-то из этого - ни одно, так другое.
Такая вероятность есть, но в некоторых случаях троянец хоть и определяется антивирусом, но оказывается ему не по зубам - при следующих проверках мы видим его снова и снова. Не стоит отчаиваться, всё на самом деле очень просто.

1) Открываем редактор реестра - regedit.exe,( пуск - выполнить - regedit ) находим ветку:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
и параметр AppInit_DLLs.

Смотрим значение этого параметра.
Если видим запись, подобную этой:

"AppInit_DLLs" = "C:\windows\system32\tvhihgf.dll"
(кроме tvhihgf.dll имя файла может состоять из семи любых других латинских букв) - удаляем ее (имя файла запомните или запишите, чтобы потом легко его найти).

Сам параметр AppInit_DLLs при этом оставляем, убираем только значение.

Внимание! Перед тем как удалить любую запись в AppInit_DLLs, обязательно гуглим по ней ( имя троянской .dll не будет иметь ни одного совпадения (в редких случаях бывает 1-2 совпадения, и, как правило, они ведут на темы, где упоминается Trojan.Mayachok.1)) , поскольку в этом параметре могут быть прописаны и вполне легитимные программы. Если в AppInit_DLLs перечислено несколько файлов - находим информацию по каждому, и удаляем только троянский ключ.

2) Обязательное условие : Перезагружаемся

3) После этого разыскиваем этот файл на диске в папке C:\windows\system32 - и так же удаляем. Это и есть наш Trojan.Mayachok.1.

4) Потом находим и удаляем созданные одновременно с tvhihgf.dll (смотрим по дате) файлы с расширением *.tmp из каталога C:\windows\system32 и C:\windows\SYSWOW64 (на 64 битных системах). Это резервные копии Trojan.Mayachok.1.
Название: темпы.jpg
Просмотров: 129920

Размер: 7.4 Кб

Название: темпы.jpg
Просмотров: 129920

Размер: 7.4 Кб

5) Перезагружаемся и наслаждаемся беспрепятственным доступом к любимым сайтам.

Для пользователей x64 разрядных систем: троянец может находиться в каталоге C:\windows\SYSWOW64

Редактор реестра, отвечающий за 32 разрядные компоненты в x64 разрядных системах находится в каталоге C:\windows\SysWOW64
Для его запуска через меню "Пуск" - "Выполнить" нужно указывать полный путь:

%SystemRoot%\SysWOW64\regedit.exe

По умолчанию на x64 разрядных системах запускается редактор из каталога C:\windows, т е отвечающий за 64 разрядные компоненты. В нем так же есть 32 битный раздел - HKLM\SOFTWARE\Wow6432Node, то есть проверять нужно в том числе ветку
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows

************************************************************ ***********************************************
Вопросы которые могут возникнуть при данном способе удаления

Я удалил ключ из реестра, но не запомнил и не записал имя троянского файла. Как теперь его найти?

При помощи поиска windows найдите все созданные на дату заражения файлы с расширением .dll в папках %windir%\system32 и %windir%\SYSWOW64. Trojan.Mayachok.1 имеет имя, состоящее из семи строчных латинских букв, и размер 48-56 kb. Все подозрительные файлы проверьте на сервисе virustotal.com. Троянский файл будет определен антивирусами. Так же, при поиске в Google, имя троянской .dll не будет иметь ни одного совпадения (в редких случаях бывает 1-2 совпадения, и, как правило, они ведут на темы, где упоминается Trojan.Mayachok.1).

А временные файлы можете удалить командой (вставить в командную строку):

del "%windir%\system32\*.tmp" /q

нажать enter.

Для 64 битных систем:

del "%windir%\syswow64\*.tmp" /q

Я по ошибке удалил из реестра троянский ключ вместе с параметром AppInit_DLLs. Что теперь произойдёт?

На работоспособность системы это не повлияет. Если в этом параметре помимо троянской записи присутствовали другие, например записи легального программного обеспечения - их функциональность может быть нарушена, поэтому такие программы рекомендуется переустановить. Обычно при установке достаточно выбрать опцию repair (восстановить).

При попытке внести изменения в реестр я получаю сообщение "Отказано в доступе"

Прежде всего убедитесь, что вы работаете под учетной записью администратора (выполняете действия от имени администратора). Откройте раздел реестра, в который требуется внести изменения. Из контекстного меню или меню "Правка" выберите команду "Разрешения". Нажмите кнопку "Дополнительно", откройте вкладку "Владелец". Назначьте себя в качестве нового владельца. На вкладке "Безопасность" владельцу должны быть назначены права - "полный доступ"

************************************************************ ************************************************************ ***************************************
Ниже в этой теме есть текстовая версия этой статьи. Которую можно скачать и не спеша проводить все манипуляции со своим компьютером

Вернуться к обсуждению:
Как удалить Trojan.Mayachok.1 (не работают браузеры , не запускаются программы в обычном режиме , перенаправление на internet.com и другие сайты)

Следующий ответ

Другие темы раздела
Безопасность Не открываются некоторые ехе https://www.cyberforum.ru/ security/ thread382380.html Сидел в интернете, зашел на какую-то страницу. Сразу же закрылся и интернет и сам компьютер презагрузился. Потом перестали открываться почти все ехе файлы (кроме блокнота, калькулятора и игр) Вопрос...	apache2 метод get Безопасность как защитить апач, от получения в get всякой ненужной дряни типа довичного кода сплоитов и левых адресов, типа "GET http://www.sharkspear.info/proxyheader.php HTTP/1.1" 404 438 "-" "Mozilla/4.0...
Безопасность Возможно появился вирус Привет всем, сейчас сидел за компом в интернете, и тут раз вылазиет такая заставочка типа я нарушил чьи-то права, на моем компе обнаружено : информация террористического характера, также порно и...	Безопасность Темы для диплома по информационной безопасности Здравствуйте, люди добрые, не могли бы вы помочь с выбором темы по диплому в сфере информационной безопасности, или предложить вам известные темы, которые кто-то когда-освещал, мне конечно было бы... https://www.cyberforum.ru/ security/ thread375828.html
Безопасность Надпись в трее "Возможно Вы приобрели подделанную копию программного обеспечения..." https://www.cyberforum.ru/ security/ thread371763.html Здравствуйте. Есть такая проблема. У моей знакомой пропала картинка с рабочего стола, остались только ярлыки и в трее выписывает, что "Возможно Вы приобрели подделанную копию программного...	Безопасность Банковские карты Здоровенько всем, друзья! Помогите найти стать на тему "защита в автом. системах банковских расчётов на базе пластиковых карточек(алгоритмы механизмы модели)." А то я в гугле запутался) Буду очень...
Безопасность Подозрительные вещи в папке Roaming Здравствуйте! Зайдя в папку C:\Users\ПОЛЬЗОВАТЕЛЬ\AppData\Roaming, обнаружил там два очень подозрительных файла: 7376af4ca и 7376af8ea. Оба без расширения. Второй файл при просмотре в блокноте...	Безопасность DrWeb удалил файл, можно ли его восстановить? Всем здравствуйте! Доктор cureit удалил запускающий файл одной из программ расценив его как вирус (не поместил его в карантин, а именно удалил), можно ли его как-нибудь восстановить? Заранее спасибо! https://www.cyberforum.ru/ security/ thread368803.html
Безопасность Правильная комбинация защиты (совместимость) https://www.cyberforum.ru/ security/ thread367112.html Всем привет. Стоит на компе Panda cloud antivirus Free и совместно Emsisoft anti-malware v6 с отключенной файловой защитой(только контроль программ и веб-защита). Защитник windows отключен. Такое...	Безопасность Странный вирус Люди нужна помощ комп походу подхватил какойто вирусняк и этот вирус делает попытки подключения к интернету без разрешения пользователи помогите чем можете!! https://www.cyberforum.ru/ security/ thread366710.html

Sanya 13170 / 4618 / 168 Регистрация: 25.10.2010 Сообщений: 9,414
		0
	Как удалить Trojan.Mayachok.1 (не работают браузеры , не запускаются программы в обычном режиме , перенаправление на internet.com и другие сайты) 12.11.2011, 20:30. Просмотров 281050. Ответов 8 Метки (Все метки) Что представляет собой Trojan.Mayachok.1 (он же trojan.win32.ddox.ci, trojan.mayachok.1, trojan.mayachok.550, trojan.win32.cidox, trojan.win32.zapchast.feh, trojan:Win32/Vundo.OD, trojan.Win32.Mondere, trojan.Generic.KDV.169924). По описаниям ресурса Dr.Web, это: Троянец, который крадет средства со счетов клиентов мобильных операторов, предлагая пользователям ответить на входящее СМС-сообщение. Trojan.Mayachok.1 это файл .dll - динамически подключаемая библиотека, которая после установки загружается в адресное пространство памяти всех запущенных процессов (процесс установки заканчивается форсированной перезагрузкой компьютера), поэтому при сканировании системы антивирусом в нормальном режиме троянец часто видится пользователю как бы "сидящим внутри" различных файлов и "перемещающимся" из одного файла в другой. Может сложиться впечатление что Trojan.Mayachok.1 заражает файлы, но на самом деле это не так. Trojan.Mayachok.1 имеет имя, состоящее из семи строчных латинских букв, и размер 48-56 kb. Описание повадок зловреда на сайте Dr.Web достаточно подробное поэтому не будем повторяться, от себя только добавлю: 1.) пострадавший сталкивается с полной невозможностью выйти в интернет при помощи любого браузера, 2.) вместо нормальной загрузки сайта открытие страниц происходит в виде, напоминающем исходный код. 3.) подменой запрашиваемых страниц на "Ростелеком. Канал перегружен", "Подтвердите принадлежность аккаунта","internet.com" и подобных 4.) маячок может блокировать запуск программ в нормальном режиме. в безопасном, как правило всё работает. Итак, выяснили, у нас действительно Trojan.Mayachok.1. Что делать? Нет смысла скачивать большое количество разнообразного антивирусного софта и тратить время на многочасовые проверки в надежде что поможет хоть что-то из этого - ни одно, так другое. Такая вероятность есть, но в некоторых случаях троянец хоть и определяется антивирусом, но оказывается ему не по зубам - при следующих проверках мы видим его снова и снова. Не стоит отчаиваться, всё на самом деле очень просто. 1) Открываем редактор реестра - regedit.exe,( пуск - выполнить - regedit ) находим ветку: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows и параметр AppInit_DLLs. Смотрим значение этого параметра. Если видим запись, подобную этой: "AppInit_DLLs" = "C:\windows\system32\tvhihgf.dll" (кроме tvhihgf.dll имя файла может состоять из семи любых других латинских букв) - удаляем ее (имя файла запомните или запишите, чтобы потом легко его найти). Сам параметр AppInit_DLLs при этом оставляем, убираем только значение. Внимание! Перед тем как удалить любую запись в AppInit_DLLs, обязательно гуглим по ней ( имя троянской .dll не будет иметь ни одного совпадения (в редких случаях бывает 1-2 совпадения, и, как правило, они ведут на темы, где упоминается Trojan.Mayachok.1)) , поскольку в этом параметре могут быть прописаны и вполне легитимные программы. Если в AppInit_DLLs перечислено несколько файлов - находим информацию по каждому, и удаляем только троянский ключ. 2) Обязательное условие : Перезагружаемся 3) После этого разыскиваем этот файл на диске в папке C:\windows\system32 - и так же удаляем. Это и есть наш Trojan.Mayachok.1. 4) Потом находим и удаляем созданные одновременно с tvhihgf.dll (смотрим по дате) файлы с расширением .tmp из каталога C:\windows\system32 и C:\windows\SYSWOW64* (на 64 битных системах). Это резервные копии Trojan.Mayachok.1. 5) Перезагружаемся и наслаждаемся беспрепятственным доступом к любимым сайтам. Для пользователей x64 разрядных систем: троянец может находиться в каталоге C:\windows\SYSWOW64 Редактор реестра, отвечающий за 32 разрядные компоненты в x64 разрядных системах находится в каталоге C:\windows\SysWOW64 Для его запуска через меню "Пуск" - "Выполнить" нужно указывать полный путь: %SystemRoot%\SysWOW64\regedit.exe По умолчанию на x64 разрядных системах запускается редактор из каталога C:\windows, т е отвечающий за 64 разрядные компоненты. В нем так же есть 32 битный раздел - HKLM\SOFTWARE\Wow6432Node, то есть проверять нужно в том числе ветку HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows ********************************************************** ********************************************* Вопросы которые могут возникнуть при данном способе удаления Я удалил ключ из реестра, но не запомнил и не записал имя троянского файла. Как теперь его найти? При помощи поиска windows найдите все созданные на дату заражения файлы с расширением .dll в папках %windir%\system32 и %windir%\SYSWOW64. Trojan.Mayachok.1 имеет имя, состоящее из семи строчных латинских букв, и размер 48-56 kb. Все подозрительные файлы проверьте на сервисе virustotal.com. Троянский файл будет определен антивирусами. Так же, при поиске в Google, имя троянской .dll не будет иметь ни одного совпадения (в редких случаях бывает 1-2 совпадения, и, как правило, они ведут на темы, где упоминается Trojan.Mayachok.1). А временные файлы можете удалить командой (вставить в командную строку): del "%windir%\system32\.tmp" /q нажать enter. Для 64 битных систем: del "%windir%\syswow64\.tmp" /q Я по ошибке удалил из реестра троянский ключ вместе с параметром AppInit_DLLs. Что теперь произойдёт? На работоспособность системы это не повлияет. Если в этом параметре помимо троянской записи присутствовали другие, например записи легального программного обеспечения - их функциональность может быть нарушена, поэтому такие программы рекомендуется переустановить. Обычно при установке достаточно выбрать опцию repair (восстановить). При попытке внести изменения в реестр я получаю сообщение "Отказано в доступе" Прежде всего убедитесь, что вы работаете под учетной записью администратора (выполняете действия от имени администратора). Откройте раздел реестра, в который требуется внести изменения. Из контекстного меню или меню "Правка" выберите команду "Разрешения". Нажмите кнопку "Дополнительно", откройте вкладку "Владелец". Назначьте себя в качестве нового владельца. На вкладке "Безопасность" владельцу должны быть назначены права - "полный доступ" ********************************************************** ******************************************************** *********************************** Ниже в этой теме есть текстовая версия этой статьи. Которую можно скачать и не спеша проводить все манипуляции со своим компьютером Вернуться к обсуждению: Как удалить Trojan.Mayachok.1 (не работают браузеры , не запускаются программы в обычном режиме , перенаправление на internet.com и другие сайты) Следующий ответ** 30