читать дальше »

Цитата smirnov1493 мне удалось найти решение этой проблемы, более простым минутным способом »

Прибыл в мое расположение вчера компьютер с симптомами — не выходит в интернет.
Подключение есть, а вот в интернет не выходит. Посмотрев на бедный антивирус Касперского, который не обновлялся,
наверно, с развала СССР, мною тут же была выдвинута теория, что подхвачен относительно
молодой вирусняк — Trojan.Mayachok.1. Мои опасения подтвердились — Trojan.Mayachok.1
спокойно сидел в системе маскируясь под системный процесс.
О том, что же это за зверь и как с ним бороться и поговорим сегодня.

Досье на Trojan.Mayachok.1

Подозреваемый Trojan.Mayachok.1, он же носит клички: trojan.win32.ddox.ci,
trojan.win32.cidox, trojan.win32.zapchast.feh, trojan:Win32/Vundo.OD,
trojan.Win32.Mondere, trojan.Generic.KDV.169924. Подозреваемый Trojan.Mayachok.1 хитер
и крайне опасен — вымогает деньги своих жертв путем просьбы ввести свой номер телефона, с
которого сразу же списываются счета путем подписки на рассылку. Платные СМСки и
«положите деньги на телефон» в прошлом.

Основные источники заражения: — социальные сети, хотя и в других местах его ничуть не труднее поймать.

Характерные признаки заражения:(Отступление — я видел 2 признака из трех в своей практике)

1. При попытки зайти на любой сайт или соц. сети, жертва перенаправляется на поддельные
страницы таких сайтов как «Ростелеком», «Вконтакте», «Одноклассники» и др., где под
разными предлогами просят ввести жертву свой номер телефона. После ввода телефона с
него незамедлительно списываются денежные средства, да к тому же будет подключена
рассылка, за которую Вы так же будете платить. Возможность отписаться есть, но могут
отписать не сразу, да и номер Вы свой спалите и не исключен спам на него.
(прим. ред. — данный вид мне не попадался)

2. При попытки выйти в интернет браузер: а) либо попросту не открывает ничего, выдавая ошибку подключения;
б) страница предстает в виде чистого кода страницы.
(прим. ред. — с этим сталкиваюсь очень часто).

3. Многие программы перестают запускаться, выдавая различные ошибки. Зачастую этот признак
идет в купе с невозможностью выхода в интернет, описанного выше. Если загрузиться в безопасном режиме, то все будет работать.

Та что же такое Trojan.Mayachok.1? Это динамическая библиотека, которая, после заражения,
подключается ко всем загруженным в системе процессам. Поэтому, даже если вы и прогоните всю
систему антивирусом или сканером аля Dr.Web CureIt, то они могут радостно отрапортовать, что
процесс обезврежен. Но радоваться то не стоит, ибо после перезагрузки процесс снова будет
заражен. Так как же с ним бороться?!?

Удаление Trojan.Mayachok.1 в ручную:

1. Жмем сочетание «Win+R», набираем «Regedit» и заходим в редактор реестра;

2. Проходим по пути;

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

3. Находим параметр AppInit_DLLs и смотрим его значение. Если у вас сидит Маячок, то будет что-то типа этого — «C:\windows\system32\paxzwyk.dll»


4. Удаляем это значение. Тут очень важно: а) Удаляем значение параметра AppInit_DLLs, а не сам параметр;
б) запишите имя файла, что бы его можно было легко найти на компьютере;
в) поищите информацию об этой библиотеке dll (например в Google), ибо тут могут сидеть библиотеки честных программ
(например Касперский иногда там тоже прописывает свою библиотеку). Удаляем;


5. Перезагружаем систему, ибо сейчас файл не удастся удалить;

6. Находим в папке C:\windows\system32\ и удаляем файл, который был прописан в параметре AppInit_DLLs;

7. Снова перезагружаем систему, заходим в браузер, радуемся доступу в интернет.

Для тех у кого стоит 64-х разрядная система есть некоторые отличия:

1. Вирус может находиться в папке C:\windows\SYSWOW64

2. Редактор реестра, отвечающий за 32-х разрядные компоненты открываем так:
Win+r -> %SystemRoot%\SysWOW64\regedit.exe

В остальном все тоже самое.

Цитата SolarSpark молодца) только не все зачистил.. сидят еще файлы темповские в system32 так что просим лог RSIT »

Цитата smirnov1493 а можно ссылочку на рабочую RSIT ) ? »

---

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk

---

---

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\Windows\system32\C228.tmp');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

---

Цитата SolarSpark После выполнения скрипта компьютер перезагрузится! »

Цитата iskander-k АВЗ лог не тот. »

---

begin
 ExecuteRepair(1);
RebootWindows(true);
end.

---