Trojan.Mayachok 1

Доброго времени суток,друзья,вчера столкнулся с проблемой,хотел скачать патч 1.07 на дьябло(ностальгия :3),скачал его,запустил,и всё начало закрываться,и компьютер перезагрузился,когда включил комп,все программы загружаись медленно,браузер работал с ужасно низкой скоростью,постоянно зависал и не работает не один сайт,почти.Я сразу полез на сайт Dr.Web и скачал прогу CureIt,запустил быструю проверку и CureIt нашёл некий Trojan.Mayachok.1 в процессах system32,и обезвредил его,вроде всё стало нормально,браузер просто притормаживал.Но сегодня опять началось все тоже самое,сайты не работают,на рабочих сайтах меня сразу перекидывает на какой-то internet.com,там сообщается что-то о низком отклике интернета,сверху написан мой IP адрес и провайдер,ниже написано:
"Активируйте прокси серверы,с ними скорость интернета станет в несколько раз больше и всё в этом роде"
Сайт просит активировать прокси серверы,при помощи отправки номера телефона,после чего придёт смс с кодом подтверждения(очередной развод на деньги) Снова запустил CureIt и он снова нашёл этот проклятый Trojan.Mayachok.1,и снова его обезвредил,но в этот раз совсем ничего не изменилось,не работает,не ПГ,не яндекс,практически не один сайт!Спасает только стимовский браузер,но в через него сидеть очень неудобно.Если кто нибудь сталкивался с этим вирусом,расскажите,как вы его уничтожили,буду очень благодарен.Кстати,что он ещё делает кроме того,что треплет мне нервы со своими прокси-серверами?

Комментарии: 3
Ваш комментарий

Попробуй почистить файл в папке с виндой->system32->drivers->etc->hosts
Хотя врядли поможет, ещё попробуй переустановить браузер перед этим полгностью удалив его, короче перековыряй всё что сможешь...
Поковыряйся в реестре
Если ничего не найдёшь переустанови винду, я такого плана проблемы без антивируса решаю.

А "Активируйте прокси серверы,с ними скорость интернета станет в несколько раз больше и всё в этом роде" это вообще ржунемогу, проксисерверы могут замедлить, но никак не ускорить скорость интернета.

0

STALKER OF FREEDOM
Сейчас сканирую комп AVZ,надеюсь поможет,со стимовского браузера сидеть невозможно,лагает очень,и ничего скачать нельзя.
это вообще ржунемогу, проксисерверы могут замедлить, но никак не ускорить скорость интернета.
Вот я тоже так думаю,каким надо быть идиотом,чтобы это написать,и не предусмотреть,что они замедляют скорость интернета и к тому же в настройках браузера можно их бесплатно включить,кстати там ещё написано,что их проксисерверы стоят 10 рублей в сутки х) Кстати,гуглил,где-то находил,что троян маячок 1 ворует средства с кошельков,если я на текущей винде не разу не заходил на свой кошелек и вобще не писал его номер и пароль,он может украсть мои копейки?(ну не копейки...рублей 5 там максимум лежит :D А,может и больше,посмотрю курс доллара,скажу.Всё,посмотрел.У меня на счету 12 рублей 85 копеек :3)
Кстати хотел скачать антивиручную утилиту касперского - Касперски Ремовал Тул(Сорри,что по русски,в стиме язык ввода только через чат переключается) Так даже и сайт касперского не работает.ИЕ тоже не может попасть не на один сайт.Скачал огнелис(удивиельно,но страница загрузки огнелиса почему-то работала)В огнелисе вместо страниц отображается их исходный код.Хром не грузит вобще не одну страницу,даже визуальные вкладки и сам гугл :D
Кстати,STALKER OF FREEDOM,хотел поинтересоваться,а ты сталкивался с этим "Маячком 1"?
И в заключении,я где-то прочитал(на ПГ в блогах),что этот вирус поразил уже более 20 тысяч сайтов рунета,и обычно пробирается на ПК в образе драйвера для видеокарты или веб камеры,но ко мне он явился в образе патча,в самом неожиданном обличии,так сказать :(
edit.Ещё погуглил,похоже ты был прав,его можно удалить,покопавшись а реестре.
Вот способ удаления,сам пока не проверил,уже поздно,там есть и вся информация о нём.

Trojan.Mayachok.1 - Что это,и как с ним бороться?

Ручное удаление Trojan.Mayachok.1

удалить trojan.win32.ddox.ci, удалить trojan.mayachok.1, удалить trojan.mayachok.550, удалить trojan.win32.cidox, удалить trojan.win32.zapchast.feh, удалить trojan:Win32/Vundo.OD, удалить trojan.Win32.Mondere, удалить trojan.Generic.KDV.169924

Встречается разновидность - trojan.mayachok.550. Принцип удаления аналогичный.

Что представляет собой Trojan.Mayachok.1 (он же trojan.win32.ddox.ci, trojan.win32.cidox, trojan.win32.zapchast.feh, trojan:Win32/Vundo.OD, trojan.Win32.Mondere, trojan.Generic.KDV.169924)? По описаниям ресурса Dr.Web, это:

Цитата
Троянец, который крадет средства со счетов клиентов мобильных операторов, предлагая пользователям ответить на входящее СМС-сообщение.


Trojan.Mayachok.1 это файл .dll - динамически подключаемая библиотека, которая после установки загружается в адресное пространство памяти всех запущенных процессов (процесс установки заканчивается форсированной перезагрузкой компьютера), поэтому при сканировании системы антивирусом в нормальном режиме троянец часто видится пользователю как бы "сидящим внутри" различных файлов и "перемещающимся" из одного файла в другой. Может сложиться впечатление что Trojan.Mayachok.1 заражает файлы, но на самом деле это не так.

Что происходит после заражения? Описание повадок зловреда на сайте Dr.Web достаточно подробное поэтому не будем повторяться, от себя только добавлю что чаще всего пострадавший сталкивается со следующими проблемами:

// Подменой запрашиваемых страниц на "internet.com" "Ростелеком. Канал перегружен", "Подтвердите принадлежность аккаунта" и подобных;

// Полной невозможностью выйти в интернет при помощи любого браузера, или вместо нормальной загрузки сайта открытие страниц происходит в виде, напоминающем исходный код;

// Блокировкой запуска различных программ в нормальном режиме, в безопасном, как правило всё работает.

Итак, выяснили, у нас действительно Trojan.Mayachok.1 Как лечить? Нет смысла скачивать большое количество разнообразного антивирусного софта и тратить время на многочасовые проверки в надежде что поможет хоть что-то из этого - ни одно, так другое. Такая вероятность есть, но в некоторых случаях троянец хоть и определяется антивирусом, но оказывается ему не по зубам - при следующих проверках мы видим его снова и снова. Не стоит отчаиваться, всё на самом деле очень просто:

1. Открываем редактор реестра: нажимаем "Пуск" => "Выполнить" вписываем команду: regedit, нажимаем enter. Далее находим ветку:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
и параметр AppInit_DLLs

Смотрим значение этого параметра. Если видим запись, подобную этой:
"AppInit_DLLs" = "C:\windows\system32\tvhihgf.dll"

(кроме tvhihgf.dll имя файла может состоять семи из любых других латинских букв) - удаляем ее (имя файла запомните или запишите, чтобы потом легко его найти). Сам параметр AppInit_DLLs при этом оставляем, убираем только значение.

Ошибочные действия при правке реестра могут серьезно повредить систему!




2. Перезагружаемся. Это обязательный момент!

3. Разыскиваем этот файл на диске - и так же удаляем. Это и есть наш Trojan.Mayachok.1.

4. Находим и удаляем созданные одновременно с tvhihgf.dll или чуть позже (смотрим по дате) файлы с расширением .tmp из каталогов C:\windows\system32 и C:\windows\SYSWOW64 (на 64 битных системах). Это резервные копии Trojan.Mayachok.1.



5. Ещё раз перезагружаемся и наслаждаемся беспрепятственным доступом к любимым сайтам.

Внимание! Перед тем как удалить любую запись в AppInit_DLLs, обязательно гуглим по ней, поскольку в этом параметре могут быть прописаны и вполне легитимные программы. Если в AppInit_DLLs перечислено несколько файлов - находим информацию по каждому, и удаляем только троянский ключ.


Для пользователей x64 разрядных систем:

Троянец находится в каталоге C:\windows\SYSWOW64

Редактор реестра, отвечающий за 32 разрядные компоненты в x64 разрядных системах находится в каталоге C:\windows\SysWOW64
Для его запуска через меню "Пуск" - "Выполнить" нужно указывать полный путь:
%SystemRoot%\SysWOW64\regedit.exe



По умолчанию на x64 разрядных системах запускается редактор из каталога C:\windows, т е отвечающий за 64 разрядные компоненты. В нем так же есть 32 битный раздел - HKLM\SOFTWARE\Wow6432Node, то есть проверять нужно в том числе ветку
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows

*********************************************************************************************
Часто задаваемые вопросы

Я удалил ключ из реестра, но не запомнил и не записал имя троянского файла. Как теперь его найти?

При помощи поиска windows найдите все созданные на дату заражения файлы с расширением .dll в папках %windir%\system32 и %windir%\SYSWOW64. Trojan.Mayachok.1 имеет имя, состоящее из семи строчных латинских букв, и размер 42-56 kb. Все подозрительные файлы проверьте на сервисе virustotal.com. Троянский файл будет определен антивирусами. Так же, при поиске в Google, имя троянской .dll не будет иметь ни одного совпадения (в редких случаях бывает 1-2 совпадения, и, как правило, они ведут на темы, где упоминается Trojan.Mayachok.1).

А временные файлы можете удалить командой (вставить в командную строку):
del "%windir%\system32\*.tmp" /q

нажать enter.

Для 64 битных систем:
del "%windir%\syswow64\*.tmp" /q


Как воспользоваться поиском windows?

В меню папки выбрать "Вид" - "Панели обозревателя" - "Поиск", или нажать F3 или сочетание клавиш ctrl и E

Я по ошибке удалил из реестра троянский ключ вместе с параметром AppInit_DLLs. Что теперь произойдёт?

На работоспособность системы это не повлияет. Если в этом параметре помимо троянской записи присутствовали другие, например записи легального программного обеспечения - их функциональность может быть нарушена, поэтому такие программы рекомендуется переустановить. Обычно при установке достаточно выбрать опцию repair (восстановить).

При попытке внести изменения в реестр я получаю сообщение "Отказано в доступе"

Прежде всего убедитесь, что вы работаете под учетной записью администратора (выполняете действия от имени администратора). Откройте раздел реестра, в который требуется внести изменения. Из контекстного меню или меню "Правка" выберите команду "Разрешения". Нажмите кнопку "Дополнительно", откройте вкладку "Владелец". Назначьте себя в качестве нового владельца. На вкладке "Безопасность" владельцу должны быть назначены права - "полный доступ".

По мере необходимости ответы на вопросы будут добавляться, задавайте их, пожалуйста, в этой теме.
*********************************************************************************************

Если вам сложно разобраться самостоятельно, обратитесь на один из этих интернет-ресурсов, оказывающих бесплатную интерактивную антивирусную помощь, по мнению автора заслуживающих доверие. Автор не имеет никакого отношения к этим ресурсам

edit(11.02.12|11:33) Ребята,способ реально работает,наконец-то зашёл с любимой оперы

Кстати,у меня вирус дал себе название pavwgoa.dll

0

ъъъъъ

ъъъъъ написал:
Кстати,у меня вирус дал себе название pavwgoa.dll

Оригинально для вируса

0