Всем привет! Вот столкнулся с новым вирусом. Он вместо нормальной загрузки сайта открывает страницы в виде, напоминающем исходный код, а также в правом нижнем углу появляется сообщение "вы выиграли бонус! получите 50 бесплатных смс и 15 минут..."
Как выяснилось этот вирус называется Trojan.Mayachok.1 (он же trojan.win32.ddox.ci, trojan.mayachok.1, trojan.mayachok.550, trojan.win32.cidox, trojan.win32.zapchast.feh, trojan:Win32/Vundo.OD, trojan.Win32.Mondere, trojan.Generic.KDV.169924)
Его краткое описание: Trojan.Mayachok.1 это файл .dll - динамически подключаемая библиотека, которая после установки загружается в адресное пространство памяти всех запущенных процессов (процесс установки заканчивается форсированной перезагрузкой компьютера), поэтому при сканировании системы антивирусом в нормальном режиме троянец часто видится пользователю как бы "сидящим внутри" различных файлов и "перемещающимся" из одного файла в другой. Может сложиться впечатление что Trojan.Mayachok.1 заражает файлы, но на самом деле это не так.
Trojan.Mayachok.1 имеет имя, состоящее из семи строчных латинских букв, и размер 48-56 kb.
Вот решение проблемы:
1) Открываем редактор реестра - regedit.exe,( пуск - выполнить - regedit ) находим ветку:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
и параметр AppInit_DLLs.
Смотрим значение этого параметра.
Если видим запись, подобную этой:
"AppInit_DLLs" = "C:\windows\system32\tvhihgf.dll"
(кроме tvhihgf.dll имя файла может состоять из семи любых других латинских букв) - удаляем ее (имя файла запомните или запишите, чтобы потом легко его найти).
Сам параметр AppInit_DLLs при этом оставляем, убираем только значение.
Внимание! Перед тем как удалить любую запись в AppInit_DLLs, обязательно гуглим по ней ( имя троянской .dll не будет иметь ни одного совпадения (в редких случаях бывает 1-2 совпадения, и, как правило, они ведут на темы, где упоминается Trojan.Mayachok.1)) , поскольку в этом параметре могут быть прописаны и вполне легитимные программы. Если в AppInit_DLLs перечислено несколько файлов - находим информацию по каждому, и удаляем только троянский ключ.
2) Обязательное условие : Перезагружаемся
3) После этого разыскиваем этот файл на диске в папке C:\windows\system32 - и так же удаляем. Это и есть наш Trojan.Mayachok.1.
4) Потом находим и удаляем созданные одновременно с tvhihgf.dll (смотрим по дате) файлы с расширением *.tmp из каталога C:\windows\system32 и C:\windows\SYSWOW64 (на 64 битных системах). Это резервные копии Trojan.Mayachok.1.
5) Перезагружаемся и наслаждаемся беспрепятственным доступом к любимым сайтам.
Для пользователей x64 разрядных систем: троянец может находиться в каталоге C:\windows\SYSWOW64
Редактор реестра, отвечающий за 32 разрядные компоненты в x64 разрядных системах находится в каталоге C:\windows\SysWOW64
Для его запуска через меню "Пуск" - "Выполнить" нужно указывать полный путь: %SystemRoot%\SysWOW64\regedit.exe
По умолчанию на x64 разрядных системах запускается редактор из каталога C:\windows, т.е. отвечающий за 64 разрядные компоненты. В нем так же есть 32 битный раздел - HKLM\SOFTWARE\Wow6432Node, т.е. проверять нужно в том числе ветку
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows
Есть такой вирус Trojan-Downloader.Win32.VB.huj (определение от Касперского), который делает все папки на диске (флешке) скрытыми. Даже после удаления вируса атрибут "Скрытый" остается у папок и снять его средствами Windows невозможно.
Возможные решения:
1. Через Total Commander.
а. Выделите все необходимые папки.
б. Зайдите "Файл-Изменить атрибуты" поставьте галку напротив пункта "Обрабатывать содержимое каталогов" и снимите отметки у всех атрибутов.
в. Нажмите кнопку "ОК" и дождитесь завершения операции.
2. Через командный файл.
а. Создайте текстовый документ.
б. Вставьте в него нижеприведенный код.
в. Сохраните его и измените расширение файла на .bat.
г. Скопируйте файл в корень диска, на котором находятся поврежденные папки.
е. Запустите созданный файл.
@echo off
mode con codepage select=1251 > nul
echo Please wait...
attrib -s -h -r -a /s /d