Ручное удаление Trojan.Mayachok.1
Что представляет собой Trojan.Mayachok.1 (он же trojan.win32.ddox.ci, trojan.win32.cidox, trojan.win32.zapchast.feh, trojan:Win32/Vundo.OD, trojan.Win32.Mondere, trojan.Generic.KDV.169924)? По описаниям ресурса Dr.Web, это:
Код:
Троянец, который крадет средства со счетов клиентов мобильных операторов, предлагая пользователям Что происходит после заражения? Описание повадок зловреда на сайте Dr.Web достаточно подробное поэтому не будем повторяться, от себя только добавлю что чаще всего пострадавший сталкивается со следующими проблемами: // Подменой запрашиваемых страниц на "internet.com" "Ростелеком. Канал перегружен", "Подтвердите принадлежность аккаунта" и подобных; // Полной невозможностью выйти в интернет при помощи любого браузера, или вместо нормальной загрузки сайта открытие страниц происходит в виде, напоминающем исходный код; // Блокировкой запуска различных программ в нормальном режиме, в безопасном, как правило всё работает. Итак, выяснили, у нас действительно Trojan.Mayachok.1 Как лечить? Нет смысла скачивать большое количество разнообразного антивирусного софта и тратить время на многочасовые проверки в надежде что поможет хоть что-то из этого - ни одно, так другое. Такая вероятность есть, но в некоторых случаях троянец хоть и определяется антивирусом, но оказывается ему не по зубам - при следующих проверках мы видим его снова и снова. Не стоит отчаиваться, всё на самом деле очень просто: 1. Открываем редактор реестра: нажимаем "Пуск" => "Выполнить" вписываем команду: regedit, нажимаем enter. Далее находим ветку: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows и параметр AppInit_DLLs Смотрим значение этого параметра. Если видим запись, подобную этой: "AppInit_DLLs" = "C:\windows\system32\tvhihgf.dll" (кроме tvhihgf.dll имя файла может состоять семи из любых других латинских букв) - удаляем ее (имя файла запомните или запишите, чтобы потом легко его найти). Сам параметр AppInit_DLLs при этом оставляем, убираем только значение.
2. Перезагружаемся. Это обязательный момент! 3. Разыскиваем этот файл на диске - и так же удаляем. Это и есть наш Trojan.Mayachok.1. 4. Находим и удаляем созданные одновременно с tvhihgf.dll или чуть позже (смотрим по дате) файлы с расширением .tmp из каталогов C:\windows\system32 и C:\windows\SYSWOW64 (на 64 битных системах). Это резервные копии Trojan.Mayachok.1. 5. Ещё раз перезагружаемся и наслаждаемся беспрепятственным доступом к любимым сайтам.
Для пользователей x64 разрядных систем: Троянец находится в каталоге C:\windows\SYSWOW64 Редактор реестра, отвечающий за 32 разрядные компоненты в x64 разрядных системах находится в каталоге C:\windows\SysWOW64 Для его запуска через меню "Пуск" - "Выполнить" нужно указывать полный путь: %SystemRoot%\SysWOW64\regedit.exe По умолчанию на x64 разрядных системах запускается редактор из каталога C:\windows, т е отвечающий за 64 разрядные компоненты. В нем так же есть 32 битный раздел - HKLM\SOFTWARE\Wow6432Node, то есть проверять нужно в том числе ветку HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\ Windows NT\CurrentVersion\Windows ************************************************** ******************************************* Часто задаваемые вопросы Я удалил ключ из реестра, но не запомнил и не записал имя троянского файла. Как теперь его найти? При помощи поиска windows найдите все созданные на дату заражения файлы с расширением .dll в папках %windir%\system32 и %windir%\SYSWOW64. Trojan.Mayachok.1 имеет имя, состоящее из семи строчных латинских букв, и размер 48-56 kb. Все подозрительные файлы проверьте на сервисе virustotal.com. Троянский файл будет определен антивирусами. Так же, при поиске в Google, имя троянской .dll не будет иметь ни одного совпадения (в редких случаях бывает 1-2 совпадения, и, как правило, они ведут на темы, где упоминается Trojan.Mayachok.1). А временные файлы можете удалить командой (вставить в командную строку): Код:
del "%windir%\system32\*.tmp" /q Для 64 битных систем: Код:
del "%windir%\syswow64\*.tmp" /q В меню папки выбрать "Вид" - "Панели обозревателя" - "Поиск", или нажать F3 или сочетание клавиш ctrl и E Я по ошибке удалил из реестра троянский ключ вместе с параметром AppInit_DLLs. Что теперь произойдёт? На работоспособность системы это не повлияет. Если в этом параметре помимо троянской записи присутствовали другие, например записи легального программного обеспечения - их функциональность может быть нарушена, поэтому такие программы рекомендуется переустановить. Обычно при установке достаточно выбрать опцию repair (восстановить). При попытке внести изменения в реестр я получаю сообщение "Отказано в доступе" Прежде всего убедитесь, что вы работаете под учетной записью администратора (выполняете действия от имени администратора). Откройте раздел реестра, в который требуется внести изменения. Из контекстного меню или меню "Правка" выберите команду "Разрешения". Нажмите кнопку "Дополнительно", откройте вкладку "Владелец". Назначьте себя в качестве нового владельца. На вкладке "Безопасность" владельцу должны быть назначены права - "полный доступ". |
Данную тему создал, т.к. с начала января уже четвертый знакомый обращается с жалобой на симптому указывающие на маячок и после лечения лень опят кому либо обьяснять. Поэтому просто теперь будет тема.
P.S. данный троян прекрасно обходит систему Касперского, как бы вы его не обновляли и в окончании блокирует вообще его запуск. |
Интересно как его другие антивирусы ощущают )
спс полезная инфа. |
спасибо, тоже была такая проблема
|
NOD32 попросту его блокирует, нод вообще предвзято относиться к любым файлам, всем известно что нод любые кряки блокирует моментально :)
|
восстановление системы для таких случаев
|
Цитата:
Помоги мне, плиз) у меня есть подозрения, что этот троян прочно засел в моей системе, потому как симптомы все налицо. хотя сайты и грузятся, но оооочень долго, минут по 10-20, а то и 30. В онлайн игры спокойно играю, интернет каким был, таким и остался. Проблема есть во всех браузерах |
Реж винду, ставь Касперского, покупай лицензии
|
Trojan.Admess.1 помоги вручную удалить
|
Часовой пояс GMT +9, время: 23:11. |
Powered by vBulletin® Version 3.6.3
Copyright ©2000 - 2024, Якутск-Online. Перевод: zCarot