Форум программистов, компьютерный форум, киберфорум
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.63/32: Рейтинг темы: голосов - 32, средняя оценка - 4.63
0 / 0 / 0
Регистрация: 06.12.2011
Сообщений: 9
1

Не получается удалить trojan.mayachok.1

07.12.2011, 10:25. Просмотров 6227. Ответов 19
Метки нет (Все метки)

Помогите избавиться от этой гадости. Cureit находит его в памяти и сносит. Но после перезагрузки он опять висит в памяти. Большинство сайтов не открываются.
0
Вложения
Тип файла: zip virusinfo_syscure.zip (29.2 Кб, 63 просмотров)
Тип файла: zip virusinfo_syscheck.zip (27.8 Кб, 22 просмотров)
Тип файла: rar log.rar (9.0 Кб, 57 просмотров)
Тип файла: rar info.rar (4.4 Кб, 41 просмотров)
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
07.12.2011, 10:25
Ответы с готовыми решениями:

Trojan.mayachok.1 как удалить?
Здравствуйте! Видела уже много таких тем. Простите, но никак не могу разобраться. Дело в том, что в...

Trojan Mayachok 1
Сидит в процессах памяти. CureIt пишет что вылечил, но он снова появляется. Заранее благодарю.

Trojan.Mayachok .1
Помогите,пожалуйста!Перепробовал всё,что можно Вирус Trojan.Mayachok .1 В реестре всё верно удалил...

Trojan.Mayachok.1
Всем привет! Симптомы проблемы такие: не запускается обновление антивируса Avira и многие другие...

19
Вирусоборец
8607 / 4177 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
07.12.2011, 10:46 2
Смотрю логи
1
Вирусоборец
318 / 120 / 2
Регистрация: 15.07.2011
Сообщений: 293
07.12.2011, 10:49 3
.....
0
Вирусоборец
8607 / 4177 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
07.12.2011, 11:33 4
Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ

Код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS.0\system32\drivers\spje.sys','');
 QuarantineFile('C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\mc22.tmp','');
 QuarantineFile('C:\WINDOWS.0\system32\adnmdhk.dll','');
 QuarantineFile('C:\WINDOWS.0\system32\75.tmp','');
 DeleteFile('C:\WINDOWS.0\system32\adnmdhk.dll');
 DeleteFile('C:\WINDOWS.0\system32\75.tmp');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteFile('C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\mc22.tmp');
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт
Код
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Полученный архив отправьте с помощью этой формы, укажите ссылку на тему и ник на форуме.


Пофиксите в HJT эти строки:
Код
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
Повторите логи AVZ и RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала , установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
1
0 / 0 / 0
Регистрация: 06.12.2011
Сообщений: 9
08.12.2011, 23:22  [ТС] 5
Вроде бы всё сделал в указанном порядке. Попробовал убить в памяти процесс kmservice.exe, и о чудо, страницы начали грузиться. Ещё бы его удалить полностью.
0
Вложения
Тип файла: zip virusinfo_syscheck.zip (21.3 Кб, 12 просмотров)
Тип файла: zip virusinfo_syscure.zip (22.0 Кб, 14 просмотров)
Тип файла: rar info.rar (4.8 Кб, 15 просмотров)
Тип файла: rar log.rar (8.9 Кб, 26 просмотров)
Тип файла: rar mbam-log-2011-12-09 (00-52-24).rar (1.6 Кб, 304 просмотров)
23 / 23 / 1
Регистрация: 09.11.2011
Сообщений: 35
08.12.2011, 23:28 6
Офис не потребует активацию? Без kms?
0
0 / 0 / 0
Регистрация: 06.12.2011
Сообщений: 9
09.12.2011, 00:54  [ТС] 7
Word открывается без проблем. Мера всё равно временная. Убил kmservice.exe и слава Богу смог на форум через свой комп зайти. А то приходится ждать когда до работы добреду.
0
Вирусоборец
8607 / 4177 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
09.12.2011, 07:46 8
МВАМ вы наверное уже закрыли, тогда просканируйте заново и удалите эти строчки
HKEY_CLASSES_ROOT\CLSID\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{BB7256DD-EBA9-480B-8441-A00388C2BEC3} (PUP.VShareRedir) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{3D782BB2-F2A5-11D3-BF4C-000000000000} (PUP.VShareRedir) -> No action taken.
HKEY_CLASSES_ROOT\MyNewsBarLauncher.IE5BarLauncherBHO.1 (PUP.VShareRedir) -> No action taken.
HKEY_CLASSES_ROOT\MyNewsBarLauncher.IE5BarLauncherBHO (PUP.VShareRedir) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\Browser Helper Objects\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ext\Settings\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ext\Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> No action taken.
HKEY_CLASSES_ROOT\MyNewsBarLauncher.IE5BarLauncher.1 (PUP.VShareRedir) -> No action taken.
HKEY_CLASSES_ROOT\MyNewsBarLauncher.IE5BarLauncher (PUP.VShareRedir) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ext\Settings\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ext\Stats\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Value: {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Value: {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Value: {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Value: {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} -> No action taken.
d:\system volume information\_restore{e30b2dc8-295c-411f-8c58-9e563fe394b0}\RP120\A0018658.exe (Malware.Packer.Krunchy) -> No action taken.
Удаление kmservice.exe (кряк Microsoft Office) на ваше усмотрение, если желаете то включите в удаление и эти строчки
Код
c:\WINDOWS.0\kmservice.exe (RiskWare.Tool.CK) -> 1876 -> No action taken.
c:\WINDOWS.0\kmservice.exe (RiskWare.Tool.CK) -> No action taken.
c:\WINDOWS\kmservice.exe (RiskWare.Tool.CK) -> No action taken.
Остальные кряки и кейгены на ваше усмотрение.

Как чувствует себя система?
1
0 / 0 / 0
Регистрация: 06.12.2011
Сообщений: 9
09.12.2011, 10:32  [ТС] 9
Можно уточнить пару нюансов?
Не знал что это кряк офиса. Я так понимаю его удаление не обязательно?
Без kmservice.exe система чувствует себя нормально. С kmservice.exe систему не тестил.
0
Вирусоборец
8607 / 4177 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
09.12.2011, 10:41 10
Можете проверить kmservice.exe на virustotal, ссылку на результат запостите здесь.
1
0 / 0 / 0
Регистрация: 06.12.2011
Сообщений: 9
09.12.2011, 22:04  [ТС] 11
Цитата Сообщение от shestale Посмотреть сообщение
Можете проверить kmservice.exe на virustotal, ссылку на результат запостите здесь.
У меня два файла kmservice.exe. Проверил их. Не уверен что всё сделал правильно.

1-ый:http://www.virustotal.com/file... 1323448257

2-ой:http://www.virustotal.com/file... 1323448436
0
Вирусоборец
8607 / 4177 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
10.12.2011, 08:07 12
Сделали все правильно. Просто вы проверили один и тот-же файл, который находился в разных местах.
Как чувствует теперь ваша система.
Повторите логи AVZ и Rsit.
2
0 / 0 / 0
Регистрация: 06.12.2011
Сообщений: 9
10.12.2011, 09:34  [ТС] 13
Система чувствует себя вроде бы неплохо. Тьфу-тьфу-тьфу... Логи повторю попозже. Я так понимаю kmservice.exe можно не удалять? Ещё вопрос, не могу разобраться, как на форуме Вам повысить репутацию? Горю желанием
0
Вирусоборец
8607 / 4177 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
10.12.2011, 09:51 14
Это не обязательно,..но приятно. Жду логи.
1
Вирусоборец
1130 / 161 / 4
Регистрация: 24.12.2010
Сообщений: 389
10.12.2011, 10:00 15
sart1980, а вы жмите под сообщением вашего лекаря на кнопу "+1 спасибо" )) репутация и подымется. Еще его репутация повысится, если логи контрольные выложите)
2
0 / 0 / 0
Регистрация: 06.12.2011
Сообщений: 9
10.12.2011, 18:36  [ТС] 16
Контрольные логи.
0
Вложения
Тип файла: rar info.rar (5.1 Кб, 38 просмотров)
Тип файла: rar log.rar (8.9 Кб, 15 просмотров)
Тип файла: zip virusinfo_syscheck.zip (20.9 Кб, 12 просмотров)
Тип файла: zip virusinfo_syscure.zip (21.3 Кб, 8 просмотров)
Вирусоборец
8607 / 4177 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
10.12.2011, 19:03 17
смотрю логи

Добавлено через 17 минут
В логах больше ни чего подозрительного не вижу.
Деинсталируйте МВАМ
Пуск-Панель управления-Установка/удаление программ-найдите Malwarebytes Anti-Malware и нажмите удалить.
Вам необходимо:
1.создать новую контрольную точку восстановления и очистить предыдущие.
2.очистить временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner.
3.на вашем компьютере разрешен авто-запуск со сменных носителей, во- избежании повторных заражений рекомендую его отключить:
скопируйте это в блокнот и сохраните с произвольным именем и расширением .reg
Код
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000dd
Запустите сохраненный файл, на запрос ответить - да.

Выполняйте пожалуйста рекомендации:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows
- регулярно проверять систему антивирусными утилитами CureIT и AVPTool.
- регулярно обновлять антивирус и антивирусные базы

Всего хорошего.
2
0 / 0 / 0
Регистрация: 06.12.2011
Сообщений: 9
11.12.2011, 02:45  [ТС] 18
Спасибо огромное! Буду стараться выполнять все рекомендации.

Добавлено через 3 часа 37 минут
По поводу 3-го пункта. Создаю файл но он не запускается. Вылетает ошибка:
Указанный файл не является файлом реестра. Возможен импорт только двоичных файлов данных реестра.
0
Заблокирован
11.12.2011, 02:57 19
Цитата Сообщение от sart1980 Посмотреть сообщение
Указанный файл не является файлом реестра
вместо твика - в окно командной строки скопируйте и вставьте команду (делает то же самое):
reg add HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Expl orer /v NoDriveTypeAutoRun /t REG_DWORD /d 221 /f
Нажмите enter.
2
0 / 0 / 0
Регистрация: 06.12.2011
Сообщений: 9
11.12.2011, 11:46  [ТС] 20
Операция успешно завершена

Спасибо за помощь.
Ну и отдельная благодарность shestale.
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
11.12.2011, 11:46

Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь.

Trojan.Mayachok
Здравствуйте Уважаемые. Помогите пожалуйста избавиться от трояна, все симптомы на троян маячок. Не...

И Снова Trojan.Mayachok.1
Здравствуйте! Др Веб сабж видит, пытается лечить, но при следующем сканировании опять находит. В...

Столкнулся с Trojan.Mayachok.1
Приветствую! Наверное довольно банальная тема, но таки подхватил Trojan.Mayachok.1 Не сталкивался...

Trojan.Mayachok.1 помогите, пожалуйста...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
20
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.