Как вылечить от трояна маячок
Вирус может быть определен антивирусными программами как: trojan.win32.ddox.ci, trojan.win32.cidox, trojan.win32.zapchast.feh, trojan:Win32/Vundo.OD, trojan.Win32.Mondere, trojan.Generic.KDV.169924. И при этом — антивирусы не в состоянии самостоятельно справится с этим вирусом. Они удаляют лишь активный модуль из оперативной памяти, но вычистить запись из реестра, перезапуститься и удалить исходный код — они не в состоянии.
Для начала уточним, что делает вирус Маячок.
Mayachok вымогает денежные средства своих жертв путем списания денежных средств с вашего телефона путем подписки на рассылку. Претензии оператору предъявлять бесполезно, так как вы сами добровольно поставили подписи на платную россылку
Где вы можете скачать вирус маячок:
социальные сети, разные фальшивые утилиты, как правило, имеющие расширение «exe». Запомните, если Вы, скажем, ищите песню, или какую то редкую платную программу, а она вдруг обнаруживается на сайте без регистрации, показов рекламы и прочей ерунды, да еще сразу качается без использования условно-бесплатных файловых хостингов типа depositefiles — да еще в формате exe — это на 99% будет вирус. Один из подтвержденных методов распространения данной вредоносной программы — рассылка в социальной сети «В контакте», рекламирующая программу для просмотра посещающих страницу пользователя гостей. В описании этой программы имеется ссылка, по которой и загружается Trojan.Mayachok.1. Запустившись на инфицированном компьютере, троянец создает в папке system32 библиотеку с именем, сгенерированным на основе серийного номера текущего раздела жесткого диска, затем копирует себя во временную папку под именем flash_player_update.exe и начинает запускать этот файл с периодичностью в 10 секунд. Затем троянец вносит изменения в системный реестр Windows и перезагружает компьютер. После этого Trojan.Mayachok.1 сохраняет в папку C:Documents and SettingsAll UsersApplication Datacf собственный конфигурационный файл, содержащий перечень блокируемых сайтов, адреса управляющих серверов и скрипты, которые встраиваются в запрашиваемые пользователем веб-страницы.
Особо печально, что скачав и проверив архив с вирусом при помощи nod32, касперский, drweb, MSE — вы не обнаружите вирус. То есть узнать инфицирован файл или нет вы узнаете лишь после запуска, и соответственно — инфицирования.
Типичные признаки заражения:
- Ваш ПК сам перезагрузился, не выдавая никаких ошибок.
- После загрузки, при попытке зайти на каждый сайт или соц. сети, Маячок перенаправляет на фальшивые страницы этих сайтов как «Ростелеком», «Вконтакте», «Одноклассники» и др., где попросят собственный номер телефона. Для восстановить пароль или для проверки вашей личности. После ввода телефона с него незамедлительно списываются деньги, да также будет подключена рассылка, за которую так же будете платить.
- При попытки выйти в интернет броузер:
- выдает ошибку подключения
- страница типа blank — пустая
- действия браузеров отличаются зараженной машины отличаются друг от друга. Скажем Google Chrome не будет работать вообще, Opera — будет открывать лишь каждую 10 ссылку. Что на самом деле еще не известно — хорошо ли это. И, да, скачать антивирус в этом случае практически не реально.
- Многие утилиты перестают запускаться, выдавая разные ошибки. Как правило, если загрузиться в безопасном режиме, то все будет вести работу.
Та что же такое Trojan.Mayachok.1?
Это динамическая библиотека, которая, после заражения, подключается ко всем загруженным в системе процессам (svhost). По этой причине, даже если вы и прогоните всю систему антивирусом или сканером аля Dr.Web CUREIT, то они могут радостно отрапортовать, что процесс обезврежен. Однако радоваться то не стоит, ибо после перезагрузки процесс вновь будет заражен. Тот же Dr.Web CUREIT в упор не видит и не распознает сам файл с вирусом Trojan.Mayachok. Только его процессы в оперативной памяти.
Что требуется чтоб удалить вирус Троян.Маячок:
- Заходим в редактор реестра;
- Проходим по пути;
HKEY_LOCAL_MACHINESOFTWAREМайкрософтWindows NTCURRENTVERSIONWindows
- Находим параметр APPINIT_DLLS и смотрим его значение. Если ПК инфицирован Mayachok, то обнаружите навроде этого — «C:windowssystem32sdfgsdf.dll» (вместо sdfgsdf.dll может оказаться каждый dll с именем из набора латинских букв);
- Записываем это значение на бумажку, а затем удаляем это значение из реестра. Только значение, а не название параметра!
- Перезагружаем систему, ибо теперь файл запущен и удалить вам его не дозволят;
- После перезагрузки находим в папке C:windowssystem32 и удаляем файл, который был прописан в параметре APPINIT_DLLS, и все файлы с расширением .tmp появившиеся в одно время с ним (там резервные копииTrojan.Mayachok);
- Вновь перезагружаем систему.
- Очистите кеш (временные файлы браузера) — там могут скрываться вирусы
- Очистите файл hosts — либо при помощи утилиты от drweb , либо вручную, найдя этот файл на ПК и удалив строки перенаправляения с сайтов одноклассников, ростелекома, вконтакте и др — на сайты злоумышленников.
Для 64-х разрядных решение несколько иное
1. Вирус может располагаться в папке C:windowsSYSWOW64
2. Редактор реестра, отвечающий за 32-х разрядные компоненты открываем так: Win+r -> %SYSTEMROOT%SYSWOW64regedit.exe
Дополнение
Появилась новая версия трояна Trojan.Mayachok, с присвоенным именем Trojan.Mayachok.17516. Несмотря на то, что эта угроза имеет определенное сходство с широко распространенным троянцем Trojan.Mayachok.1, в ее архитектуре выявлен и ряд существенных отличий.
Trojan.Mayachok.17516 представляет собой динамическую библиотеку, устанавливаемую в операционную систему с использованием дроппера, который, являясь исполняемым файлом, в общем случае расшифровывает и копирует эту библиотеку на диск. Если в операционной системе включена функция контроля учетных записей пользователей (User Accounts Control, UAC), дроппер копирует себя во временную папку под именем flash_player_update_1_12.exe и запускается на исполнение.
В случае успешного запуска этот исполняемый файл расшифровывает содержащую троянца библиотеку и сохраняет ее в одну из системных папок со случайным именем. Существуют версии библиотеки как для 32-разрядной, так и для 64-разрядной версий Windows. Затем дроппер регистрирует библиотеку в системном реестре и перезагружает компьютер.
Вирус встраивается в другие процессы с использованием регистрации в параметре реестра AppInit_DLLs, при этом, в отличие от Trojan.Mayachok.1, Trojan.Mayachok.17516 способен работать не только в процессах браузеров, но также в процессах svchost.exe и проводнике explorer.exe.
В 64-разрядных системах вредоносная программа работает только в этих двух процессах. Маячок использует для своей работы зашифрованный конфигурационный файл, который он сохраняет либо во временную папку, либо в служебную папку %appdata%.
Основные функции Trojan.Mayachok.17516 заключаются в скачивании и запуске исполняемых файлов, перехвате сетевых функций браузеров. При помощи процесса explorer.exe Trojan.Mayachok.17516 осуществляет скрытый запуск браузеров и производит «накрутку» посещаемости некоторых интернет-ресурсов. Инфицированный процесс svchost.exe отвечает за обеспечение связи с удаленным командным сервером, а также за загрузку конфигурационных файлов и обновлений. Злоумышленникам, в свою очередь, передается информация о зараженном компьютере, в том числе версия операционной системы, сведения об установленных браузерах и т. д.
Поделиться:
Оставьте свой комментарий!
Источник
STALKER OF FREEDOM
Сейчас сканирую комп AVZ,надеюсь поможет,со стимовского браузера сидеть невозможно,лагает очень,и ничего скачать нельзя.
это вообще ржунемогу, проксисерверы могут замедлить, но никак не ускорить скорость интернета.
Вот я тоже так думаю,каким надо быть идиотом,чтобы это написать,и не предусмотреть,что они замедляют скорость интернета и к тому же в настройках браузера можно их бесплатно включить,кстати там ещё написано,что их проксисерверы стоят 10 рублей в сутки х) Кстати,гуглил,где-то находил,что троян маячок 1 ворует средства с кошельков,если я на текущей винде не разу не заходил на свой кошелек и вобще не писал его номер и пароль,он может украсть мои копейки?(ну не копейки…рублей 5 там максимум лежит 😀 А,может и больше,посмотрю курс доллара,скажу.Всё,посмотрел.У меня на счету 12 рублей 85 копеек :3)
Кстати хотел скачать антивиручную утилиту касперского — Касперски Ремовал Тул(Сорри,что по русски,в стиме язык ввода только через чат переключается) Так даже и сайт касперского не работает.ИЕ тоже не может попасть не на один сайт.Скачал огнелис(удивиельно,но страница загрузки огнелиса почему-то работала)В огнелисе вместо страниц отображается их исходный код.Хром не грузит вобще не одну страницу,даже визуальные вкладки и сам гугл 😀
Кстати,STALKER OF FREEDOM,хотел поинтересоваться,а ты сталкивался с этим «Маячком 1»?
И в заключении,я где-то прочитал(на ПГ в блогах),что этот вирус поразил уже более 20 тысяч сайтов рунета,и обычно пробирается на ПК в образе драйвера для видеокарты или веб камеры,но ко мне он явился в образе патча,в самом неожиданном обличии,так сказать 🙁
edit.Ещё погуглил,похоже ты был прав,его можно удалить,покопавшись а реестре.
Вот способ удаления,сам пока не проверил,уже поздно,там есть и вся информация о нём.
Ручное удаление Trojan.Mayachok.1
удалить trojan.win32.ddox.ci, удалить trojan.mayachok.1, удалить trojan.mayachok.550, удалить trojan.win32.cidox, удалить trojan.win32.zapchast.feh, удалить trojan:Win32/Vundo.OD, удалить trojan.Win32.Mondere, удалить trojan.Generic.KDV.169924
Встречается разновидность — trojan.mayachok.550. Принцип удаления аналогичный.
Что представляет собой Trojan.Mayachok.1 (он же trojan.win32.ddox.ci, trojan.win32.cidox, trojan.win32.zapchast.feh, trojan:Win32/Vundo.OD, trojan.Win32.Mondere, trojan.Generic.KDV.169924)? По описаниям ресурса Dr.Web, это:
Цитата
Троянец, который крадет средства со счетов клиентов мобильных операторов, предлагая пользователям ответить на входящее СМС-сообщение.
Trojan.Mayachok.1 это файл .dll — динамически подключаемая библиотека, которая после установки загружается в адресное пространство памяти всех запущенных процессов (процесс установки заканчивается форсированной перезагрузкой компьютера), поэтому при сканировании системы антивирусом в нормальном режиме троянец часто видится пользователю как бы «сидящим внутри» различных файлов и «перемещающимся» из одного файла в другой. Может сложиться впечатление что Trojan.Mayachok.1 заражает файлы, но на самом деле это не так.
Что происходит после заражения? Описание повадок зловреда на сайте Dr.Web достаточно подробное поэтому не будем повторяться, от себя только добавлю что чаще всего пострадавший сталкивается со следующими проблемами:
// Подменой запрашиваемых страниц на «internet.com» «Ростелеком. Канал перегружен», «Подтвердите принадлежность аккаунта» и подобных;
// Полной невозможностью выйти в интернет при помощи любого браузера, или вместо нормальной загрузки сайта открытие страниц происходит в виде, напоминающем исходный код;
// Блокировкой запуска различных программ в нормальном режиме, в безопасном, как правило всё работает.
Итак, выяснили, у нас действительно Trojan.Mayachok.1 Как лечить? Нет смысла скачивать большое количество разнообразного антивирусного софта и тратить время на многочасовые проверки в надежде что поможет хоть что-то из этого — ни одно, так другое. Такая вероятность есть, но в некоторых случаях троянец хоть и определяется антивирусом, но оказывается ему не по зубам — при следующих проверках мы видим его снова и снова. Не стоит отчаиваться, всё на самом деле очень просто:
1. Открываем редактор реестра: нажимаем «Пуск» => «Выполнить» вписываем команду: regedit, нажимаем enter. Далее находим ветку:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows
и параметр AppInit_DLLs
Смотрим значение этого параметра. Если видим запись, подобную этой:
«AppInit_DLLs» = «C:windowssystem32tvhihgf.dll»
(кроме tvhihgf.dll имя файла может состоять семи из любых других латинских букв) — удаляем ее (имя файла запомните или запишите, чтобы потом легко его найти). Сам параметр AppInit_DLLs при этом оставляем, убираем только значение.
Ошибочные действия при правке реестра могут серьезно повредить систему!
2. Перезагружаемся.
Это обязательный момент!
3. Разыскиваем этот файл на диске — и так же удаляем. Это и есть наш Trojan.Mayachok.1.
4. Находим и удаляем созданные одновременно с tvhihgf.dll или чуть позже (смотрим по дате) файлы с расширением .tmp из каталогов C:windowssystem32 и C:windowsSYSWOW64 (на 64 битных системах). Это резервные копии Trojan.Mayachok.1.
5. Ещё раз перезагружаемся и наслаждаемся беспрепятственным доступом к любимым сайтам.
Внимание! Перед тем как удалить любую запись в AppInit_DLLs, обязательно гуглим по ней, поскольку в этом параметре могут быть прописаны и вполне легитимные программы. Если в AppInit_DLLs перечислено несколько файлов — находим информацию по каждому, и удаляем только троянский ключ.
Для пользователей x64 разрядных систем:
Троянец находится в каталоге C:windowsSYSWOW64
Редактор реестра, отвечающий за 32 разрядные компоненты в x64 разрядных системах находится в каталоге C:windowsSysWOW64
Для его запуска через меню «Пуск» — «Выполнить» нужно указывать полный путь:
%SystemRoot%SysWOW64regedit.exe
По умолчанию на x64 разрядных системах запускается редактор из каталога C:windows, т е отвечающий за 64 разрядные компоненты. В нем так же есть 32 битный раздел — HKLMSOFTWAREWow6432Node, то есть проверять нужно в том числе ветку
HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindows NTCurrentVersionWindows
*********************************************************************************************
Часто задаваемые вопросы
Я удалил ключ из реестра, но не запомнил и не записал имя троянского файла. Как теперь его найти?
При помощи поиска windows найдите все созданные на дату заражения файлы с расширением .dll в папках %windir%system32 и %windir%SYSWOW64. Trojan.Mayachok.1 имеет имя, состоящее из семи строчных латинских букв, и размер 42-56 kb. Все подозрительные файлы проверьте на сервисе virustotal.com. Троянский файл будет определен антивирусами. Так же, при поиске в Google, имя троянской .dll не будет иметь ни одного совпадения (в редких случаях бывает 1-2 совпадения, и, как правило, они ведут на темы, где упоминается Trojan.Mayachok.1).
А временные файлы можете удалить командой (вставить в командную строку):
del «%windir%system32*.tmp» /q
нажать enter.
Для 64 битных систем:
del «%windir%syswow64*.tmp» /q
Как воспользоваться поиском windows?
В меню папки выбрать «Вид» — «Панели обозревателя» — «Поиск», или нажать F3 или сочетание клавиш ctrl и E
Я по ошибке удалил из реестра троянский ключ вместе с параметром AppInit_DLLs. Что теперь произойдёт?
На работоспособность системы это не повлияет. Если в этом параметре помимо троянской записи присутствовали другие, например записи легального программного обеспечения — их функциональность может быть нарушена, поэтому такие программы рекомендуется переустановить. Обычно при установке достаточно выбрать опцию repair (восстановить).
При попытке внести изменения в реестр я получаю сообщение «Отказано в доступе»
Прежде всего убедитесь, что вы работаете под учетной записью администратора (выполняете действия от имени администратора). Откройте раздел реестра, в который требуется внести изменения. Из контекстного меню или меню «Правка» выберите команду «Разрешения». Нажмите кнопку «Дополнительно», откройте вкладку «Владелец». Назначьте себя в качестве нового владельца. На вкладке «Безопасность» владельцу должны быть назначены права — «полный доступ».
По мере необходимости ответы на вопросы будут добавляться, задавайте их, пожалуйста, в этой теме.
*********************************************************************************************
Если вам сложно разобраться самостоятельно, обратитесь на один из этих интернет-ресурсов, оказывающих бесплатную интерактивную антивирусную помощь, по мнению автора заслуживающих доверие. Автор не имеет никакого отношения к этим ресурсам
edit(11.02.12|11:33) Ребята,способ реально работает,наконец-то зашёл с любимой оперы Кстати,у меня вирус дал себе название pavwgoa.dll
Источник
Среди массы виртуального вирусного шлака, есть такая мелкая и мерзкая дрянь, как Trojan.Mayachok или Trojan.Mayachok1 (с единичкой в конце). Разницы между ними принципиальной нет: просто подписан по-разному (видимо и среди вирус-строителей есть плагиаторы). Вся мерзость ситуации заключается в том, что этот поганец блокирует вход на множество сайтов! Особая аллергия у него на антивирусные сайты: ни на один не войдете! Давайте рассмотрим алгоритм обнаружения, с последующим удалением гада. Итак!
Основные симптомы Trojan.Mayachok — невозможность входа на львиную долю сайтов, отображение странного шрифта в виде марсианских иероглифов, постоянная переадресация, сообщения «невозможно отобразить страницу» и всё в таком духе. Где можно подхватить Trojan.Mayachok? Ха, да где у угодно, но особенно часто — в соц сетях! Основным признаком того, что вирус попал на ваш компьютер является спонтанная перезагрузка. В общем, как наступите на эти «грабли» — сразу поймете!
Скажу сразу: если думаете, что решить проблему с этим «маячком» — проще пареной репы, то глубоко заблуждаетесь! Даже такой противовирусный монстр, как «Dr.Web» не уничтожает его! Да, друзья: вы запускаете сканер, он находит троян и, якобы, уничтожает его. Но при последующей попытке войти на сайт — всё повторяется вновь. Вопрос: что же тогда удалил «Dr.Web»?! Ну да хрен с ним — с этим «»Dr.Web»: лично я никогда не испытывал особого доверия в антивирусным программа. Почему? Да потому, что все равно пропускают массу мелкой гадости, а найти потом не могут Поэтому гораздо лучше, если вы научитесь удалять заразу собственноручно. Давайте же перейдем к алгоритму удаления.
«Пуск» — «Выполнить». В поле «Открыть» вписываем команду regedit и жмем «Ок» или «Ввод». ВЫ попали в «Редактор реестра». Ищем ветку HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows и проходим по ней до конца. Конечная папка в этой ветке — Windows. Открыв эту папку, внимательно посмотрите в правую сторону окна: там вы увидите параметр AppInit_DLLs (обычно, это вторая строчка в списке). Теперь смотрите сюда: правая сторона имеет три раздела «Имя», «Тип» и «Значение». Так вот: в поле «Значение» вы увидите такой вот адрес — C:windowssystem32…dll, где три точки — это какое-либо обозначение файла dll, например — isbdykk.dll. В моем случае этот файл и был той самой заразой. Однако имейте в виду: вирусные файлы редко повторяются, поэтому ваш файл dll может иметь совсем другое обозначение.
Наведите курсор на параметр AppInit_DLLs и кликните правой кнопкой мышки. Выпадет меню, в котором выбираем строчку «Изменить». В окне «Изменение строкового параметра» видим поле «Значение» с прописанным в нем адресом. Берем лист бумаги и переписываем название адреса — пригодится! А теперь — удаляем всё, что в этой строчке! Внимание: поле «Параметр» не трогаем!
После удаления содержимого поля «Значение» — перезагружаем систему. Но это еще не все, ибо троян ещё жив! Заходим по адресу C:windowssystem32, ищем папку с адресом, который вы записали на листке бумаги и удаляем её. Снова перезагружаем систему. НА этом проблема заканчивается, но только для владельцев 32-битных (разрядных) машин.
Если же у вас разрядность 64-бит, то продолжаем алгоритм удаления. Заходим вот по этому адресу C:windowsSYSWOW64 и ищем папку именно тут: на папке точно такая же надпись, как и у вас на листке. Удаляем папку, перезагружаем систему и всё будет работать. Внимание: не забудьте обязательно записать название заразного файла перед тем, как удалить его из «Редактора реестра», иначе не сможете удалить его из системной папки system32!
Источник
