Вернуться   Форумы Якутск Онлайн > Hi-Tech > Soft
Soft Software

Ответ
 
Опции темы Опции просмотра

Ручное удаление Trojan.Mayachok.1
Старый 15.01.2012, 23:03   #1
Flare
Постоялец
 
Аватар для Flare
 
Flare вне форума
Регистрация: 04.05.2006
Адрес: Якутск
Сообщений: 681
Flare имеет наиславнейшую репутациюFlare имеет наиславнейшую репутациюFlare имеет наиславнейшую репутациюFlare имеет наиславнейшую репутациюFlare имеет наиславнейшую репутациюFlare имеет наиславнейшую репутациюFlare имеет наиславнейшую репутациюFlare имеет наиславнейшую репутациюFlare имеет наиславнейшую репутациюFlare имеет наиславнейшую репутациюFlare имеет наиславнейшую репутацию
По умолчанию Ручное удаление Trojan.Mayachok.1

Что представляет собой Trojan.Mayachok.1 (он же trojan.win32.ddox.ci, trojan.win32.cidox, trojan.win32.zapchast.feh, trojan:Win32/Vundo.OD, trojan.Win32.Mondere, trojan.Generic.KDV.169924)? По описаниям ресурса Dr.Web, это:
Код:
Троянец, который крадет средства со счетов клиентов мобильных операторов, предлагая пользователям
ответить на входящее СМС-сообщение.
Trojan.Mayachok.1 это файл .dll - динамически подключаемая библиотека, которая после установки загружается в адресное пространство памяти всех запущенных процессов (процесс установки заканчивается форсированной перезагрузкой компьютера), поэтому при сканировании системы антивирусом в нормальном режиме троянец часто видится пользователю как бы "сидящим внутри" различных файлов и "перемещающимся" из одного файла в другой. Может сложиться впечатление что Trojan.Mayachok.1 заражает файлы, но на самом деле это не так.

Что происходит после заражения? Описание повадок зловреда на сайте Dr.Web достаточно подробное поэтому не будем повторяться, от себя только добавлю что чаще всего пострадавший сталкивается со следующими проблемами:

// Подменой запрашиваемых страниц на "internet.com" "Ростелеком. Канал перегружен", "Подтвердите принадлежность аккаунта" и подобных;

// Полной невозможностью выйти в интернет при помощи любого браузера, или вместо нормальной загрузки сайта открытие страниц происходит в виде, напоминающем исходный код;

// Блокировкой запуска различных программ в нормальном режиме, в безопасном, как правило всё работает.

Итак, выяснили, у нас действительно Trojan.Mayachok.1 Как лечить? Нет смысла скачивать большое количество разнообразного антивирусного софта и тратить время на многочасовые проверки в надежде что поможет хоть что-то из этого - ни одно, так другое. Такая вероятность есть, но в некоторых случаях троянец хоть и определяется антивирусом, но оказывается ему не по зубам - при следующих проверках мы видим его снова и снова. Не стоит отчаиваться, всё на самом деле очень просто:

1. Открываем редактор реестра: нажимаем "Пуск" => "Выполнить" вписываем команду: regedit, нажимаем enter. Далее находим ветку:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
и параметр AppInit_DLLs

Смотрим значение этого параметра. Если видим запись, подобную этой:
"AppInit_DLLs" = "C:\windows\system32\tvhihgf.dll"

(кроме tvhihgf.dll имя файла может состоять семи из любых других латинских букв) - удаляем ее (имя файла запомните или запишите, чтобы потом легко его найти). Сам параметр AppInit_DLLs при этом оставляем, убираем только значение.
  • Ошибочные действия при правке реестра могут серьезно повредить систему!



2. Перезагружаемся. Это обязательный момент!

3. Разыскиваем этот файл на диске - и так же удаляем. Это и есть наш Trojan.Mayachok.1.

4. Находим и удаляем созданные одновременно с tvhihgf.dll или чуть позже (смотрим по дате) файлы с расширением .tmp из каталогов C:\windows\system32 и C:\windows\SYSWOW64 (на 64 битных системах). Это резервные копии Trojan.Mayachok.1.



5. Ещё раз перезагружаемся и наслаждаемся беспрепятственным доступом к любимым сайтам.
  • Внимание! Перед тем как удалить любую запись в AppInit_DLLs, обязательно гуглим по ней, поскольку в этом параметре могут быть прописаны и вполне легитимные программы. Если в AppInit_DLLs перечислено несколько файлов - находим информацию по каждому, и удаляем только троянский ключ.



Для пользователей x64 разрядных систем:

Троянец находится в каталоге C:\windows\SYSWOW64

Редактор реестра, отвечающий за 32 разрядные компоненты в x64 разрядных системах находится в каталоге C:\windows\SysWOW64
Для его запуска через меню "Пуск" - "Выполнить" нужно указывать полный путь:
%SystemRoot%\SysWOW64\regedit.exe



По умолчанию на x64 разрядных системах запускается редактор из каталога C:\windows, т е отвечающий за 64 разрядные компоненты. В нем так же есть 32 битный раздел - HKLM\SOFTWARE\Wow6432Node, то есть проверять нужно в том числе ветку
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\ Windows NT\CurrentVersion\Windows

************************************************** *******************************************

Часто задаваемые вопросы

Я удалил ключ из реестра, но не запомнил и не записал имя троянского файла. Как теперь его найти?

При помощи поиска windows найдите все созданные на дату заражения файлы с расширением .dll в папках %windir%\system32 и %windir%\SYSWOW64. Trojan.Mayachok.1 имеет имя, состоящее из семи строчных латинских букв, и размер 48-56 kb. Все подозрительные файлы проверьте на сервисе virustotal.com. Троянский файл будет определен антивирусами. Так же, при поиске в Google, имя троянской .dll не будет иметь ни одного совпадения (в редких случаях бывает 1-2 совпадения, и, как правило, они ведут на темы, где упоминается Trojan.Mayachok.1).

А временные файлы можете удалить командой (вставить в командную строку):
Код:
del "%windir%\system32\*.tmp" /q
нажать enter.

Для 64 битных систем:
Код:
del "%windir%\syswow64\*.tmp" /q
Как воспользоваться поиском windows?

В меню папки выбрать "Вид" - "Панели обозревателя" - "Поиск", или нажать F3 или сочетание клавиш ctrl и E

Я по ошибке удалил из реестра троянский ключ вместе с параметром AppInit_DLLs. Что теперь произойдёт?

На работоспособность системы это не повлияет. Если в этом параметре помимо троянской записи присутствовали другие, например записи легального программного обеспечения - их функциональность может быть нарушена, поэтому такие программы рекомендуется переустановить. Обычно при установке достаточно выбрать опцию repair (восстановить).

При попытке внести изменения в реестр я получаю сообщение "Отказано в доступе"

Прежде всего убедитесь, что вы работаете под учетной записью администратора (выполняете действия от имени администратора). Откройте раздел реестра, в который требуется внести изменения. Из контекстного меню или меню "Правка" выберите команду "Разрешения". Нажмите кнопку "Дополнительно", откройте вкладку "Владелец". Назначьте себя в качестве нового владельца. На вкладке "Безопасность" владельцу должны быть назначены права - "полный доступ".
__________________
Хорошая браузерная игра по комиксам - тыц
  Ответить с цитированием

Старый 15.01.2012, 23:05   #2
Flare
Постоялец
 
Аватар для Flare
 
Flare вне форума
Регистрация: 04.05.2006
Адрес: Якутск
Сообщений: 681
Flare имеет наиславнейшую репутациюFlare имеет наиславнейшую репутациюFlare имеет наиславнейшую репутациюFlare имеет наиславнейшую репутациюFlare имеет наиславнейшую репутациюFlare имеет наиславнейшую репутациюFlare имеет наиславнейшую репутациюFlare имеет наиславнейшую репутациюFlare имеет наиславнейшую репутациюFlare имеет наиславнейшую репутациюFlare имеет наиславнейшую репутацию
По умолчанию

Данную тему создал, т.к. с начала января уже четвертый знакомый обращается с жалобой на симптому указывающие на маячок и после лечения лень опят кому либо обьяснять. Поэтому просто теперь будет тема.

P.S. данный троян прекрасно обходит систему Касперского, как бы вы его не обновляли и в окончании блокирует вообще его запуск.
__________________
Хорошая браузерная игра по комиксам - тыц
  Ответить с цитированием

Старый 15.01.2012, 23:24   #3
Данила
Участник
 
Данила вне форума
Регистрация: 10.01.2009
Сообщений: 200
Данила имеет наиславнейшую репутациюДанила имеет наиславнейшую репутациюДанила имеет наиславнейшую репутациюДанила имеет наиславнейшую репутациюДанила имеет наиславнейшую репутациюДанила имеет наиславнейшую репутациюДанила имеет наиславнейшую репутациюДанила имеет наиславнейшую репутациюДанила имеет наиславнейшую репутациюДанила имеет наиславнейшую репутациюДанила имеет наиславнейшую репутацию
По умолчанию

Интересно как его другие антивирусы ощущают )
спс полезная инфа.
  Ответить с цитированием

Старый 15.01.2012, 23:29   #4
ExTaZy
Участник
 
Аватар для ExTaZy
 
ExTaZy вне форума
Регистрация: 01.12.2008
Адрес: Дома
Сообщений: 400
ExTaZy имеет наиславнейшую репутациюExTaZy имеет наиславнейшую репутациюExTaZy имеет наиславнейшую репутациюExTaZy имеет наиславнейшую репутациюExTaZy имеет наиславнейшую репутациюExTaZy имеет наиславнейшую репутациюExTaZy имеет наиславнейшую репутациюExTaZy имеет наиславнейшую репутациюExTaZy имеет наиславнейшую репутациюExTaZy имеет наиславнейшую репутациюExTaZy имеет наиславнейшую репутацию
По умолчанию

спасибо, тоже была такая проблема
  Ответить с цитированием

Старый 16.01.2012, 00:07   #5
Samir
Постоялец
 
Samir вне форума
Регистрация: 08.11.2009
Сообщений: 621
Samir имеет наиславнейшую репутациюSamir имеет наиславнейшую репутациюSamir имеет наиславнейшую репутациюSamir имеет наиславнейшую репутациюSamir имеет наиславнейшую репутациюSamir имеет наиславнейшую репутациюSamir имеет наиславнейшую репутациюSamir имеет наиславнейшую репутациюSamir имеет наиславнейшую репутациюSamir имеет наиславнейшую репутациюSamir имеет наиславнейшую репутацию
По умолчанию

NOD32 попросту его блокирует, нод вообще предвзято относиться к любым файлам, всем известно что нод любые кряки блокирует моментально
  Ответить с цитированием

Старый 07.07.2012, 09:17   #6
saref
Новичок
 
saref вне форума
Регистрация: 03.05.2011
Сообщений: 13
saref на пути к уважению
По умолчанию

восстановление системы для таких случаев
  Ответить с цитированием

Старый 28.08.2013, 02:29   #7
BaH9[RNG]
Заинтересовавшийся
 
Аватар для BaH9[RNG]
 
BaH9[RNG] вне форума
Регистрация: 04.03.2009
Адрес: Yakutsk
Сообщений: 52
BaH9[RNG] имеет наиславнейшую репутациюBaH9[RNG] имеет наиславнейшую репутациюBaH9[RNG] имеет наиславнейшую репутациюBaH9[RNG] имеет наиславнейшую репутациюBaH9[RNG] имеет наиславнейшую репутациюBaH9[RNG] имеет наиславнейшую репутациюBaH9[RNG] имеет наиславнейшую репутациюBaH9[RNG] имеет наиславнейшую репутациюBaH9[RNG] имеет наиславнейшую репутациюBaH9[RNG] имеет наиславнейшую репутациюBaH9[RNG] имеет наиславнейшую репутацию
По умолчанию

Цитата:
Сообщение от Flare Посмотреть сообщение
Данную тему создал, т.к. с начала января уже четвертый знакомый обращается с жалобой на симптому указывающие на маячок и после лечения лень опят кому либо обьяснять. Поэтому просто теперь будет тема.

P.S. данный троян прекрасно обходит систему Касперского, как бы вы его не обновляли и в окончании блокирует вообще его запуск.

Помоги мне, плиз) у меня есть подозрения, что этот троян прочно засел в моей системе, потому как симптомы все налицо. хотя сайты и грузятся, но оооочень долго, минут по 10-20, а то и 30. В онлайн игры спокойно играю, интернет каким был, таким и остался. Проблема есть во всех браузерах
__________________
Six million ways to die - choose one.
  Ответить с цитированием

Старый 03.01.2014, 14:50   #8
Imhoteb
Новичок
 
Аватар для Imhoteb
 
Imhoteb вне форума
Регистрация: 03.01.2014
Сообщений: 15
Imhoteb на пути к уважению
По умолчанию

Реж винду, ставь Касперского, покупай лицензии
  Ответить с цитированием

Старый 12.02.2014, 02:33   #9
bip2
Новичок
 
bip2 вне форума
Регистрация: 01.02.2013
Сообщений: 20
bip2 имеет наиславнейшую репутациюbip2 имеет наиславнейшую репутациюbip2 имеет наиславнейшую репутациюbip2 имеет наиславнейшую репутациюbip2 имеет наиславнейшую репутациюbip2 имеет наиславнейшую репутациюbip2 имеет наиславнейшую репутациюbip2 имеет наиславнейшую репутациюbip2 имеет наиславнейшую репутациюbip2 имеет наиславнейшую репутациюbip2 имеет наиславнейшую репутацию
По умолчанию

Trojan.Admess.1 помоги вручную удалить
  Ответить с цитированием
Ответ


Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать темы
Вы не можете отвечать на сообщения
Вы не можете прикреплять файлы
Вы не можете редактировать сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.



Часовой пояс GMT +9, время: 11:42.


vBulletin skin developed by: eXtremepixels
Powered by vBulletin® Version 3.6.3
Copyright ©2000 - 2019, Якутск-Online. Перевод: zCarot