0 / 0 / 0
Регистрация: 23.06.2011
Сообщений: 48
1

И Снова Trojan.Mayachok.1

05.09.2011, 22:49. Показов 6188. Ответов 16
Метки нет (Все метки)

Здравствуйте!
Др Веб сабж видит, пытается лечить, но при следующем сканировании опять находит.
В принципе, все сайты открываются и все программы запускаются, но стал сильно тормозить интернет.
Посмотрите, пожалуйста
Вложения
Тип файла: zip virusinfo_syscure.zip (21.1 Кб, 81 просмотров)
Тип файла: zip virusinfo_syscheck.zip (17.9 Кб, 32 просмотров)
Тип файла: log hijackthis.log (7.2 Кб, 38 просмотров)
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
05.09.2011, 22:49
Ответы с готовыми решениями:

Trojan.Mayachok .1
Помогите,пожалуйста!Перепробовал всё,что можно Вирус Trojan.Mayachok .1 В реестре всё верно удалил...

Trojan.Mayachok
Здравствуйте Уважаемые. Помогите пожалуйста избавиться от трояна, все симптомы на троян маячок. Не...

Trojan.Mayachok.1
Всем привет! Симптомы проблемы такие: не запускается обновление антивируса Avira и многие другие...

Trojan Mayachok 1
Сидит в процессах памяти. CureIt пишет что вылечил, но он снова появляется. Заранее благодарю.

16
Заблокирован
05.09.2011, 22:56 2
логи rsit пжлст сделайте
1
0 / 0 / 0
Регистрация: 23.06.2011
Сообщений: 48
06.09.2011, 22:50  [ТС] 3
Спасибо за оперативность!
Логи rsit:
Вложения
Тип файла: 7z info.7z (3.8 Кб, 45 просмотров)
Тип файла: 7z log.7z (7.4 Кб, 17 просмотров)
0
Заблокирован
07.09.2011, 00:09 4
ну у вас не только маячок, ещё такой лог нужен
__________________________________________________ ___________________

1. Обязательно:
Вам необходимо установить Service Pack 3 (может потребоваться активация) + скачайте и установите все последние обновления для безопасности windows
Почему важно обновлять Windows и установленные в ней программы

Также в целях безопасности скачайте и установите Internet Explorer 8

И отдельно:
необходимо закрыть уязвимости, установив обновления:
http://www.microsoft.com/downl... laylang=ru
http://www.microsoft.com/downl... laylang=ru
http://www.microsoft.com/downl... laylang=ru
http://www.microsoft.com/downl... 86-RUS.exe

2. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.
Код
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\All Users\TempDir\start.bat ','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\netprotocol.exe','');
 QuarantineFile('C:\WINDOWS\system32\1B4.tmp','');
 QuarantineFile('C:\WINDOWS\system32\177.tmp','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\user_63.exe','');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\user_63.exe');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\netprotocol.exe');
 DeleteFile('C:\WINDOWS\system32\1B4.tmp');
 DeleteFile('C:\WINDOWS\system32\177.tmp');
 RegKeyDel('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe');
 RegKeyDel('HKLM','software\microsoft\shared tools\msconfig\startupreg\debug');
 RegKeyDel('HKLM','software\microsoft\shared tools\msconfig\startupreg\Netprotocol');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
после перезагрузки выполнить второй скрипт:

Код
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

3.Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

4.сделайте повторные логи avz и rsit.

5. Установите пароль на учетную запись администратора, если пароль установлен, то убедитесь в его сложности. Смените и усложните пароли для всех учетных записей.

и вопрос. C:\Documents and Settings\All Users\TempDir\start.bat - известный вам файл?
2
0 / 0 / 0
Регистрация: 23.06.2011
Сообщений: 48
07.09.2011, 23:00  [ТС] 5
Лог gmer
Вложения
Тип файла: 7z Log.7z (2.1 Кб, 15 просмотров)
0
Заблокирован
07.09.2011, 23:19 6
1. Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится gmer.exe
Код
gmer.exe -del service edryoh
gmer.exe -del service mrkjwhyvm
gmer.exe -del file "C:\WINDOWS\system32\utdqwbvq.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\mrkjwhyvm"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\edryoh"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\mrkjwhyvm"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\edryoh"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\mrkjwhyvm"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\edryoh"
gmer.exe -reboot
И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.

2.
Цитата Сообщение от Katharsis Посмотреть сообщение
сделайте повторные логи avz и rsit.
1
0 / 0 / 0
Регистрация: 23.06.2011
Сообщений: 48
11.09.2011, 00:16  [ТС] 7
Спасибо за ответ.
SP3 и 8 IE по "техническим причинам" поставлю чуть позже (машина не моя)
Скрипты в AVZ сделала, quarantine.zip отправила.
Лог MBAM выкладываю.
"C:\Documents and Settings\All Users\TempDir\start.bat - известный вам файл?" такого файла уже нет, что за это был за батник, мне неизвестно.
Новый лог gmer и повторные логи avz и rsit выкладываю.
0
0 / 0 / 0
Регистрация: 23.06.2011
Сообщений: 48
11.09.2011, 00:23  [ТС] 8
Все логи здесь:
Вложения
Тип файла: 7z mbam-log-2011-09-08 (22-02-23).7z (1.4 Кб, 20 просмотров)
Тип файла: 7z Log.7z (1.6 Кб, 6 просмотров)
Тип файла: zip virusinfo_syscheck.zip (19.2 Кб, 10 просмотров)
Тип файла: zip virusinfo_syscure.zip (19.0 Кб, 6 просмотров)
Тип файла: 7z Log RSIT.7z (7.3 Кб, 12 просмотров)
0
Заблокирован
11.09.2011, 00:45 9
Цитата Сообщение от Ptichka_SP Посмотреть сообщение
SP3 и 8 IE по "техническим причинам" поставлю чуть позже (машина не моя)
не установите обновления - избавиться от kido будет невозможно

вижу, что из обновлений не установлено ничего. Ну, раз так, познакомьтесь с вашим новым другом поближе - Conficker, он будет с вами теперь постоянно.

Добавлено через 19 минут
на диске F какая система установлена?
из найденного malwarebytes удалите
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Trojan.Agent.CK) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\LtuSoftware (Malware.Trace) -> No action taken.

Зараженные файлы:
e:\program files\internet explorer\msimg32.dll (PUP.FunWebProducts) -> No action taken.
e:\program files\mywebsearch\bar\1.bin\F3CJPEG.DLL (PUP.FunWebProducts) -> No action taken.
e:\program files\mywebsearch\bar\1.bin\F3DTACTL.DLL (PUP.FunWebProducts) -> No action taken.
e:\program files\mywebsearch\bar\1.bin\F3HISTSW.DLL (PUP.FunWebProducts) -> No action taken.
e:\program files\mywebsearch\bar\1.bin\F3HTMLMU.DLL (PUP.FunWebProducts) -> No action taken.
e:\program files\mywebsearch\bar\1.bin\F3IMSTUB.DLL (PUP.FunWebProducts) -> No action taken.
e:\program files\mywebsearch\bar\1.bin\F3POPSWT.DLL (PUP.FunWebProducts) -> No action taken.
e:\program files\mywebsearch\bar\1.bin\F3PSSAVR.SCR (PUP.FunWebProducts) -> No action taken.
e:\program files\mywebsearch\bar\1.bin\F3REPROX.DLL (PUP.FunWebProducts) -> No action taken.
e:\program files\mywebsearch\bar\1.bin\F3RESTUB.DLL (PUP.FunWebProducts) -> No action taken.
e:\program files\mywebsearch\bar\1.bin\F3SCHMON.EXE (PUP.FunWebProducts) -> No action taken.
e:\program files\mywebsearch\bar\1.bin\F3SCRCTR.DLL (PUP.FunWebProducts) -> No action taken.
e:\program files\mywebsearch\bar\1.bin\F3SHLLVW.DLL (PUP.FunWebProducts) -> No action taken.
e:\program files\mywebsearch\bar\1.bin\F3WPHOOK.DLL (Adware.MyWebSearch) -> No action taken.
e:\program files\mywebsearch\bar\1.bin\M3HTML.DLL (Adware.MyWebSearch) -> No action taken.
e:\program files\mywebsearch\bar\1.bin\M3IDLE.DLL (Adware.MyWebSearch) -> No action taken.
e:\program files\mywebsearch\bar\1.bin\M3IMPIPE.EXE (Adware.MyWebSearch) -> No action taken.
e:\program files\mywebsearch\bar\1.bin\M3MSG.DLL (Adware.MyWebSearch) -> No action taken.
e:\program files\mywebsearch\bar\1.bin\M3OUTLCN.DLL (Adware.MyWebSearch) -> No action taken.
e:\program files\mywebsearch\bar\1.bin\M3PLUGIN.DLL (Adware.MyWebSearch) -> No action taken.
e:\program files\mywebsearch\bar\1.bin\M3SKIN.DLL (Adware.MyWebSearch) -> No action taken.
e:\program files\mywebsearch\bar\1.bin\M3SKPLAY.EXE (Adware.MyWebSearch) -> No action taken.
e:\program files\mywebsearch\bar\1.bin\M3SLSRCH.EXE (Adware.MyWebSearch) -> No action taken.
e:\program files\mywebsearch\bar\1.bin\M3SRCHMN.EXE (Adware.MyWebSearch) -> No action taken.
e:\program files\mywebsearch\bar\1.bin\MWSBAR.DLL (Adware.MyWebSearch) -> No action taken.
e:\program files\mywebsearch\bar\1.bin\MWSOEMON.EXE (Adware.MyWebSearch) -> No action taken.
e:\program files\mywebsearch\bar\1.bin\MWSOEPLG.DLL (Adware.MyWebSearch) -> No action taken.
e:\program files\mywebsearch\bar\1.bin\MWSOESTB.DLL (Adware.MyWebSearch) -> No action taken.
e:\program files\mywebsearch\bar\1.bin\NPMYWEBS.DLL (Adware.MyWebSearch) -> No action taken.
e:\program files\mywebsearch\SrchAstt\1.bin\MWSSRCAS.DLL (Adware.MyWebSearch) -> No action taken.
f:\WINDOWS\system32\ctfmon.exe (Trojan.FakeMS) -> No action taken.
f:\WINDOWS\Temp\~TM12.tmp (Trojan.Agent) -> No action taken.
f:\WINDOWS\Temp\~TM22.tmp (Trojan.Agent) -> No action taken.
f:\documents and settings\networkservice\local settings\Temp\~TM23.tmp (Trojan.Agent) -> No action taken.
g:\Antivir\avz4(2)\avz4\quarantine\2011-09-08\avz00001.dta (Trojan.Agent) -> No action taken.


этот файл замените на аналогичный с системы на диске C:
f:\WINDOWS\system32\ctfmon.exe
повторите лог

удалите GMER:
Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up
1
0 / 0 / 0
Регистрация: 23.06.2011
Сообщений: 48
11.09.2011, 21:40  [ТС] 10
Из обновлений установила вот это:
И отдельно:
необходимо закрыть уязвимости, установив обновления:
http://www.microsoft.com/downl... laylang=ru
http://www.microsoft.com/downl... laylang=ru
http://www.microsoft.com/downl... laylang=ru
http://www.microsoft.com/downl... 86-RUS.exe
на диске F какая система установлена?
Уже никакой Дисков E и F уже нет.
Лог malwarebytes повторила.
OTCleanIt скачала и запустила.
Вложения
Тип файла: 7z mbam-log-2011-09-11 (21-40-13).7z (661 байт, 11 просмотров)
0
Заблокирован
11.09.2011, 21:44 11
Цитата Сообщение от Ptichka_SP Посмотреть сообщение
Из обновлений установила вот это:
не достаточно. в вашем случае ставить sp3- обязательно. Internet Explorer 8 - так же (тем более никакой активации не требует).
1
0 / 0 / 0
Регистрация: 23.06.2011
Сообщений: 48
23.09.2011, 21:00  [ТС] 12
SP3+IE8 установлены
Какие сделать отчеты, чтобы убедиться в наличии проблем (либо в их отсутствии, что маловероятно?)
Хотя система сейчас работает стабильно, все открывается, не тормозит
0
Заблокирован
23.09.2011, 23:02 13
По последним уже ничего плохого видно не было. Для собственного успокоения можете сделать virusinfo_syscheck.zip + rsit
0
0 / 0 / 0
Регистрация: 23.06.2011
Сообщений: 48
28.09.2011, 20:38  [ТС] 14
Логи сделала.
Спасибо за помощь!
Вложения
Тип файла: zip virusinfo_syscheck.zip (18.8 Кб, 10 просмотров)
Тип файла: 7z info.7z (4.2 Кб, 6 просмотров)
Тип файла: 7z log.7z (8.6 Кб, 6 просмотров)
0
Заблокирован
28.09.2011, 21:01 15
Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.
Код
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 50000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\002728_.tmp','');
 DeleteFile('C:\WINDOWS\002728_.tmp');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
после перезагрузки выполнить второй скрипт:

Код
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

лог rsit повторите.

ещё что то беспокоит?
0
0 / 0 / 0
Регистрация: 23.06.2011
Сообщений: 48
03.10.2011, 21:31  [ТС] 16
quarantine.zip отправила
Логи RSIT выкладываю
Спасибо, больше пока ничего не беспокоит
Вложения
Тип файла: 7z info.7z (4.1 Кб, 7 просмотров)
Тип файла: 7z log.7z (8.7 Кб, 7 просмотров)
0
Заблокирован
03.10.2011, 21:34 17
чисто.

Во избежание новых заражений желательно отключить автозапуск программ с различных носителей, кроме CDROM. (это по вашему желанию) Пуск - выполнить - cmd (запуск от имени администратора). В окно командной строки скопируйте и вставьте команду:
reg add HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221 /f
Нажмите enter.


Если больше никаких проблем не возникает, то:

Создайте новую контрольную точку восстановления и очистите заражённую:

1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить

2. Нажмите Пуск - Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли

если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли.

Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.
- регулярно проверять систему антивирусными утилитами CureIT и AVPTool
1
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
03.10.2011, 21:34
Помогаю со студенческими работами здесь

Столкнулся с Trojan.Mayachok.1
Приветствую! Наверное довольно банальная тема, но таки подхватил Trojan.Mayachok.1 Не сталкивался...

Не получается удалить trojan.mayachok.1
Помогите избавиться от этой гадости. Cureit находит его в памяти и сносит. Но после перезагрузки он...

Trojan. Mayachok.1 не могу вылечить
Проверил dr.web, находятся процессы связанные с троян.маячок.1. Вроде все сделал по FAQ, заранее...

Trojan.mayachok.1 как удалить?
Здравствуйте! Видела уже много таких тем. Простите, но никак не могу разобраться. Дело в том, что в...

Trojan.Mayachok.1 нужна помощь
Запустил непроверенный exe, комп перезагрузился, и все браузеры тормозят и не грузят сайты.

taskhost.exe + Trojan.Mayachok.1
После захода на игровой форум (не помню на какой, игрушка с.т.а.л.к.е.р.) произошла неожиданная...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
17
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin
Copyright ©2000 - 2023, CyberForum.ru