Всем привет! Вот столкнулся с новым вирусом. Он вместо нормальной загрузки сайта открывает страницы в виде, напоминающем исходный код, а также в правом нижнем углу появляется сообщение "вы выиграли бонус! получите 50 бесплатных смс и 15 минут..."
Как выяснилось этот вирус называется Trojan.Mayachok.1 (он же trojan.win32.ddox.ci, trojan.mayachok.1, trojan.mayachok.550, trojan.win32.cidox, trojan.win32.zapchast.feh, trojan:Win32/Vundo.OD, trojan.Win32.Mondere, trojan.Generic.KDV.169924)
Его краткое описание: Trojan.Mayachok.1 это файл .dll - динамически подключаемая библиотека, которая после установки загружается в адресное пространство памяти всех запущенных процессов (процесс установки заканчивается форсированной перезагрузкой компьютера), поэтому при сканировании системы антивирусом в нормальном режиме троянец часто видится пользователю как бы "сидящим внутри" различных файлов и "перемещающимся" из одного файла в другой. Может сложиться впечатление что Trojan.Mayachok.1 заражает файлы, но на самом деле это не так.
Trojan.Mayachok.1 имеет имя, состоящее из семи строчных латинских букв, и размер 48-56 kb.
Вот решение проблемы:
1) Открываем редактор реестра - regedit.exe,( пуск - выполнить - regedit ) находим ветку:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
и параметр AppInit_DLLs.
Смотрим значение этого параметра.
Если видим запись, подобную этой:
"AppInit_DLLs" = "C:\windows\system32\tvhihgf.dll"
(кроме tvhihgf.dll имя файла может состоять из семи любых других латинских букв) - удаляем ее (имя файла запомните или запишите, чтобы потом легко его найти).
Сам параметр AppInit_DLLs при этом оставляем, убираем только значение.
Внимание! Перед тем как удалить любую запись в AppInit_DLLs, обязательно гуглим по ней ( имя троянской .dll не будет иметь ни одного совпадения (в редких случаях бывает 1-2 совпадения, и, как правило, они ведут на темы, где упоминается Trojan.Mayachok.1)) , поскольку в этом параметре могут быть прописаны и вполне легитимные программы. Если в AppInit_DLLs перечислено несколько файлов - находим информацию по каждому, и удаляем только троянский ключ.
2) Обязательное условие : Перезагружаемся
3) После этого разыскиваем этот файл на диске в папке C:\windows\system32 - и так же удаляем. Это и есть наш Trojan.Mayachok.1.
4) Потом находим и удаляем созданные одновременно с tvhihgf.dll (смотрим по дате) файлы с расширением *.tmp из каталога C:\windows\system32 и C:\windows\SYSWOW64 (на 64 битных системах). Это резервные копии Trojan.Mayachok.1.
5) Перезагружаемся и наслаждаемся беспрепятственным доступом к любимым сайтам.
Для пользователей x64 разрядных систем: троянец может находиться в каталоге C:\windows\SYSWOW64
Редактор реестра, отвечающий за 32 разрядные компоненты в x64 разрядных системах находится в каталоге C:\windows\SysWOW64
Для его запуска через меню "Пуск" - "Выполнить" нужно указывать полный путь: %SystemRoot%\SysWOW64\regedit.exe
По умолчанию на x64 разрядных системах запускается редактор из каталога C:\windows, т.е. отвечающий за 64 разрядные компоненты. В нем так же есть 32 битный раздел - HKLM\SOFTWARE\Wow6432Node, т.е. проверять нужно в том числе ветку
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows
Александр 2012-07-06 17:04:08 Спасибо - помогло !!!
Ksju 2012-07-18 23:19:51 Вы мой спаситель!!!
Роман 2012-07-19 16:01:53 Спасибо! Все сработало!
ещё Роман 2012-07-28 15:03:24 слава тем, кто это написал :-), всё работает
Роберт 2012-07-28 21:02:57 СПАСИБО!!!!!!!!! всем о вашем сайте говорить буду! СПАСИБО!
Анна 2012-08-11 14:55:46 Большое спасибо!!!!! :)))) Все заработало
Дэн 2012-08-14 15:57:43 Спасибища Агроменная))). У меня удалилось на "ура": удалил запись в "редакторе реестра", а в системной папке ваще ничего не было! Комп пашет, вебсайты нормуль отображаются! Спасибо ещё раз, дружище!
Денис 2012-08-15 16:01:42 Спасибо, все получилось! Респект и уважуха!
Ника 2012-08-24 06:57:32 Спасибо огромное)))все работает
николай 2012-09-02 20:44:35 низкий поклон автору статьи
Иван 2012-09-06 22:06:31 спасибо!!!
Константин 2012-10-08 10:01:53 Большое спасибо!!!
marchello 2012-11-02 12:44:21 Спасибо, супер!
файнман 2012-11-26 13:59:00 щикарно
Стеш 2012-12-10 22:54:21 Ох, спасибо огромное автору статьи, у меня он вообще тупо в документах папку создал, и там сидел :D
Всё просто, понятно. Ещё раз БОЛЬШОЕ спасибо
Oleg Ishenko 2012-12-27 14:19:23 у меня этот параметр обновляеться с каждым запуском системы((что делать?в папке C:Documents and settings/Admin/Application Data создаеться 9.exe и A.exe он и обновляет AppInit_dlls((
Благодарю!
Спасибо - помогло !!!
Вы мой спаситель!!!
Спасибо! Все сработало!
слава тем, кто это написал :-), всё работает
СПАСИБО!!!!!!!!! всем о вашем сайте говорить буду! СПАСИБО!
Большое спасибо!!!!! :)))) Все заработало
Спасибища Агроменная))). У меня удалилось на "ура": удалил запись в "редакторе реестра", а в системной папке ваще ничего не было! Комп пашет, вебсайты нормуль отображаются! Спасибо ещё раз, дружище!
Спасибо, все получилось! Респект и уважуха!
Спасибо огромное)))все работает
Спасибо большое,реально помогло!!!!!
низкий поклон автору статьи
спасибо!!!
Большое спасибо!!!
Спасибо, супер!
щикарно
Ох, спасибо огромное автору статьи, у меня он вообще тупо в документах папку создал, и там сидел :D Всё просто, понятно. Ещё раз БОЛЬШОЕ спасибо
у меня этот параметр обновляеться с каждым запуском системы((что делать?в папке C:Documents and settings/Admin/Application Data создаеться 9.exe и A.exe он и обновляет AppInit_dlls((
не помогло!