Trojan.mayachok.1 как удалить?

@juliaSS · Регистрация: 13.08.2012

Здравствуйте! Видела уже много таких тем. Простите, но никак не могу разобраться. Дело в том, что в редакторе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows - последней папки Windows у меня нет. Подскажите как можно удалить эту заразу. Спасибо.

@shestale · 13.08.2012, 07:17

Правила оформления запроса о помощи. Если не будет логов, мы отправим вас в эту тему.

@juliaSS · 14.08.2012, 03:59 **[ТС]**

простите, что так долго

@shestale · 14.08.2012, 06:31

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас
похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
1. Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\WINDOWS\system32\ddpuxrn.dll','');
 QuarantineFile('C:\WINDOWS\system32\B9.tmp','');
 QuarantineFile('C:\WINDOWS\system32\3.tmp','');
 QuarantineFile('C:\WINDOWS\system32\20F.tmp','');
 DeleteFile('C:\WINDOWS\system32\B9.tmp');
 DeleteFile('C:\WINDOWS\system32\3.tmp');
 DeleteFile('C:\WINDOWS\system32\20F.tmp');
 DeleteFile('C:\WINDOWS\system32\ddpuxrn.dll');
 DeleteFileMask('C:\WINDOWS\system32', '*.tmp', false);
RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'Software\Microsoft\Windows\CurrentVersion\Run'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
ExecuteRepair(6);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

2. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

3. В целях безопасности обновите Internet Explorer6 до v.8, даже если им не пользуетесь.

4. Сделайте лог SecurityCheck by screen317

5. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

6. Повторите логи AVZ и Rsit и прикрепите их к сообщению.

@juliaSS · 14.08.2012, 19:59 **[ТС]**

Простите, у меня код не копируется. Пишет ошибка:begin exected в позиции 1.1.

@shestale · 14.08.2012, 20:01

цифры не копируйте.

@juliaSS · 14.08.2012, 21:00 **[ТС]**

Спасибо.

Добавлено через 56 минут
Скажите, плиззз, а то, что нашел Malwarebytes' Anti-Malware удалять??? Или так оставить

@~~Katharsis~~ · 14.08.2012, 21:16

нет не удалять. программу не закрывать, отчет выложить сюда

@juliaSS · 14.08.2012, 21:18 **[ТС]**

Вроде что-то сделала. А что дальше?

@juliaSS · 14.08.2012, 21:28 **[ТС]**

Ничего если у меня перед загрузкой windows появляется окно с двумя прямоугольниками и ОК. Окно не закрывается, только если нажмёшь на ОК. Загрузка происходит нормально. Спасибо.

@~~Katharsis~~ · 14.08.2012, 21:39

log.txt выложите

@juliaSS · 14.08.2012, 23:56 **[ТС]**

простите, не заметила....

@~~Katharsis~~ · 15.08.2012, 00:48

AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт (без номеров строк) - Нажать кнопку Запустить.

Код

begin
 RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system','legalnoticecaption','');
 RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system','legalnoticetext','');
 RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','LegalNoticeCaption','');
 RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','LegalNoticeText','');
 ExecuteRepair(7);
RebootWindows(true);
end.

компьютер перезагрузится

окно при загрузке больше не будет появляться

отпишитесь

@juliaSS · 17.08.2012, 09:39 **[ТС]**

Спасибо, большое. Помогло.

S.R · 17.08.2012, 12:58

- Если вы хотите отблагодарить нас - пополните базу безопасных файлов антивирусной утилиты AVZ:

Запустите AVZ, выполните обновление баз (меню Файл - Обновление баз). Запустите все установленные браузеры.
Выполните скрипт в AVZ:
Код
```
begin
 ExecuteStdScr(4);
end.
```
Выполнение скрипта займет некоторое время, порядка 1 - 4 мин. В результате в папке AVZ\LOG будет создан архив с именем virusinfo_files_<имя_ПК>.zip
Закачайте полученный архив, как описано на этой странице.

- Выполните 6 стандартный скрипт в AVZ.
- Удалите антивирусные утилиты, использованные в лечении.

- Ознакомьтесь с рекомендациями.

@juliaSS · 20.09.2012, 20:27 **[ТС]**

У меня получилось сделать архив, но я не знаю куда его скинуть, т.к. (Закачайте полученный архив, как описано на этой странице.) "эта страница" не открывается.

@shestale · 21.09.2012, 07:06

Не нужно. Этот сервис сейчас отключен. Так-что удачи вам.

@juliaSS 0 / 0 / 0 Регистрация: 13.08.2012 Сообщений: 9
		1
	Trojan.mayachok.1 как удалить? 13.08.2012, 02:19. Просмотров 3793. Ответов 16 Метки нет (Все метки) Здравствуйте! Видела уже много таких тем. Простите, но никак не могу разобраться. Дело в том, что в редакторе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows - последней папки Windows у меня нет. Подскажите как можно удалить эту заразу. Спасибо. 0

@shestale 8607 / 4177 / 332 Регистрация: 22.02.2011 Сообщений: 13,730
	13.08.2012, 07:17	2
	Правила оформления запроса о помощи. Если не будет логов, мы отправим вас в эту тему. 0

@shestale 8607 / 4177 / 332 Регистрация: 22.02.2011 Сообщений: 13,730
	14.08.2012, 06:31	4
	Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 1. Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО. AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить. Код begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\WINDOWS\system32\ddpuxrn.dll',''); QuarantineFile('C:\WINDOWS\system32\B9.tmp',''); QuarantineFile('C:\WINDOWS\system32\3.tmp',''); QuarantineFile('C:\WINDOWS\system32\20F.tmp',''); DeleteFile('C:\WINDOWS\system32\B9.tmp'); DeleteFile('C:\WINDOWS\system32\3.tmp'); DeleteFile('C:\WINDOWS\system32\20F.tmp'); DeleteFile('C:\WINDOWS\system32\ddpuxrn.dll'); DeleteFileMask('C:\WINDOWS\system32', '.tmp', false); RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"'); AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'Software\Microsoft\Windows\CurrentVersion\Run'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,3,true); ExecuteRepair(6); RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится! 2. Полученный архив quarantine.zip* из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме. 3. В целях безопасности обновите Internet Explorer6 до v.8, даже если им не пользуетесь. 4. Сделайте лог SecurityCheck by screen317 5. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. 6. Повторите логи AVZ и Rsit и прикрепите их к сообщению. 1

@juliaSS 0 / 0 / 0 Регистрация: 13.08.2012 Сообщений: 9
	14.08.2012, 19:59 [ТС]	5
	Простите, у меня код не копируется. Пишет ошибка:begin exected в позиции 1.1. 0

@shestale 8607 / 4177 / 332 Регистрация: 22.02.2011 Сообщений: 13,730
	14.08.2012, 20:01	6
	цифры не копируйте. 0

@juliaSS 0 / 0 / 0 Регистрация: 13.08.2012 Сообщений: 9
	14.08.2012, 21:00 [ТС]	7
	Спасибо. Добавлено через 56 минут Скажите, плиззз, а то, что нашел Malwarebytes' Anti-Malware удалять??? Или так оставить 0

@~~Katharsis~~ Заблокирован
	14.08.2012, 21:16	8
	нет не удалять. программу не закрывать, отчет выложить сюда 0

@juliaSS 0 / 0 / 0 Регистрация: 13.08.2012 Сообщений: 9
	14.08.2012, 21:28 [ТС]	10
	Ничего если у меня перед загрузкой windows появляется окно с двумя прямоугольниками и ОК. Окно не закрывается, только если нажмёшь на ОК. Загрузка происходит нормально. Спасибо. 0

@~~Katharsis~~ Заблокирован
	14.08.2012, 21:39	11
	log.txt выложите 0

@juliaSS 0 / 0 / 0 Регистрация: 13.08.2012 Сообщений: 9
	17.08.2012, 09:39 [ТС]	14
	Спасибо, большое. Помогло. 0

Опции темы

S.R Консультант 368 / 138 / 3 Регистрация: 09.11.2011 Сообщений: 409
	17.08.2012, 12:58	15
	- Если вы хотите отблагодарить нас - пополните базу безопасных файлов антивирусной утилиты AVZ: Запустите AVZ, выполните обновление баз (меню Файл - Обновление баз). Запустите все установленные браузеры. Выполните скрипт в AVZ: Код begin ExecuteStdScr(4); end. Выполнение скрипта займет некоторое время, порядка 1 - 4 мин. В результате в папке AVZ\LOG будет создан архив с именем virusinfo_files_<имя_ПК>.zip Закачайте полученный архив, как описано на этой странице. - Выполните 6 стандартный скрипт в AVZ. - Удалите антивирусные утилиты, использованные в лечении. - Ознакомьтесь с рекомендациями. 0

@juliaSS 0 / 0 / 0 Регистрация: 13.08.2012 Сообщений: 9
	20.09.2012, 20:27 [ТС]	16
	У меня получилось сделать архив, но я не знаю куда его скинуть, т.к. (Закачайте полученный архив, как описано на этой странице.) "эта страница" не открывается. 0

@shestale 8607 / 4177 / 332 Регистрация: 22.02.2011 Сообщений: 13,730
	21.09.2012, 07:06	17
	Не нужно. Этот сервис сейчас отключен. Так-что удачи вам. 1