Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Мне тоже Mayachok.1 не даёт покоя( (http://forum.oszone.net/showthread.php?t=228273)

smirnov1493 20-02-2012 01:20 1862439

Мне тоже Mayachok.1 не даёт покоя(
 
Вложений: 2
Ребята пожалуйста помогите, незнаю что делать , исчу в инете а найти не могу , многие страницы просто напросто не открывает, гугл хром не работает вообще, сижу с оперы. Подхватил эту гадость гдето, так вот Др.Веб находит, говорит обезврежен Mayachok.1 , но через пару сек он опять выскакивает

Скачал Malwarebytes' Anti-Malware , вроде прикрепил логи. так вот там где было что то обнаружено в реестре , я и почистил , а KMservice это вроде как активировал, раньше когда то Office . что делать , как быть?
а вот еще что , антивирус вообще перестал запускаться (касперский кристал)

S.R 20-02-2012 01:46 1862447

Выполните http://forum.oszone.net/thread-98169.html

smirnov1493 20-02-2012 07:23 1862514

S.R, спасибо , мне удалось найти решение этой проблемы, более простым минутным способом , просто раньше меня не пускало , на другие сайты, а я быстро обезвредил маяк в ДрВебе затем резко обновил страницу , и там был простой способ )))

SolarSpark 20-02-2012 13:31 1862682

smirnov1493, дайте лог RSIT посмотреть, наверняка антивирь не дочистил систему

smirnov1493 20-02-2012 19:05 1862928

SolarSpark, Спасибо за содействие, с проблемой разобрался (касивая))).
Цитата:

Цитата smirnov1493
мне удалось найти решение этой проблемы, более простым минутным способом »

Ну вирус звеееерь , заставил понервничать , я так часто переустанавливал раньше систему, и это так запарило, а тут бац , всего пару тыков в реестре.

Что бы не переходить на сторонний сайт который я выложил в предыдущем посте. Выложим решение этой проблемы на вашем форуме . И ТАК!)))

Удаляем Trojan.Mayachok.1 в ручную! Как удалить Mayachok.1 ( Маячок )


Прибыл в мое расположение вчера компьютер с симптомами — не выходит в интернет.
Подключение есть, а вот в интернет не выходит. Посмотрев на бедный антивирус Касперского, который не обновлялся,
наверно, с развала СССР, мною тут же была выдвинута теория, что подхвачен относительно
молодой вирусняк — Trojan.Mayachok.1. Мои опасения подтвердились — Trojan.Mayachok.1
спокойно сидел в системе маскируясь под системный процесс.
О том, что же это за зверь и как с ним бороться и поговорим сегодня.

Досье на Trojan.Mayachok.1

Подозреваемый Trojan.Mayachok.1, он же носит клички: trojan.win32.ddox.ci,
trojan.win32.cidox, trojan.win32.zapchast.feh, trojan:Win32/Vundo.OD,
trojan.Win32.Mondere, trojan.Generic.KDV.169924. Подозреваемый Trojan.Mayachok.1 хитер
и крайне опасен — вымогает деньги своих жертв путем просьбы ввести свой номер телефона, с
которого сразу же списываются счета путем подписки на рассылку. Платные СМСки и
«положите деньги на телефон» в прошлом.

Основные источники заражения: — социальные сети, хотя и в других местах его ничуть не труднее поймать.

Характерные признаки заражения:(Отступление — я видел 2 признака из трех в своей практике)

1. При попытки зайти на любой сайт или соц. сети, жертва перенаправляется на поддельные
страницы таких сайтов как «Ростелеком», «Вконтакте», «Одноклассники» и др., где под
разными предлогами просят ввести жертву свой номер телефона. После ввода телефона с
него незамедлительно списываются денежные средства, да к тому же будет подключена
рассылка, за которую Вы так же будете платить. Возможность отписаться есть, но могут
отписать не сразу, да и номер Вы свой спалите и не исключен спам на него.
(прим. ред. — данный вид мне не попадался)

2. При попытки выйти в интернет браузер: а) либо попросту не открывает ничего, выдавая ошибку подключения;
б) страница предстает в виде чистого кода страницы.
(прим. ред. — с этим сталкиваюсь очень часто).

3. Многие программы перестают запускаться, выдавая различные ошибки. Зачастую этот признак
идет в купе с невозможностью выхода в интернет, описанного выше. Если загрузиться в безопасном режиме, то все будет работать.

Та что же такое Trojan.Mayachok.1? Это динамическая библиотека, которая, после заражения,
подключается ко всем загруженным в системе процессам. Поэтому, даже если вы и прогоните всю
систему антивирусом или сканером аля Dr.Web CureIt, то они могут радостно отрапортовать, что
процесс обезврежен. Но радоваться то не стоит, ибо после перезагрузки процесс снова будет
заражен. Так как же с ним бороться?!?

Удаление Trojan.Mayachok.1 в ручную:

1. Жмем сочетание «Win+R», набираем «Regedit» и заходим в редактор реестра;

2. Проходим по пути;

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

3. Находим параметр AppInit_DLLs и смотрим его значение. Если у вас сидит Маячок, то будет что-то типа этого — «C:\windows\system32\paxzwyk.dll»


Вместо paxzwyk.dll может быть любой dll с именем из набора латинских букв;

4. Удаляем это значение. Тут очень важно: а) Удаляем значение параметра AppInit_DLLs, а не сам параметр;
б) запишите имя файла, что бы его можно было легко найти на компьютере;
в) поищите информацию об этой библиотеке dll (например в Google), ибо тут могут сидеть библиотеки честных программ
(например Касперский иногда там тоже прописывает свою библиотеку). Удаляем;


5. Перезагружаем систему, ибо сейчас файл не удастся удалить;

6. Находим в папке C:\windows\system32\ и удаляем файл, который был прописан в параметре AppInit_DLLs;

7. Снова перезагружаем систему, заходим в браузер, радуемся доступу в интернет.

Для тех у кого стоит 64-х разрядная система есть некоторые отличия:

1. Вирус может находиться в папке C:\windows\SYSWOW64

2. Редактор реестра, отвечающий за 32-х разрядные компоненты открываем так:
Win+r -> %SystemRoot%\SysWOW64\regedit.exe

В остальном все тоже самое.




SolarSpark 20-02-2012 19:26 1862942

молодца) только не все зачистил.. сидят еще файлы темповские в system32

так что просим лог RSIT

smirnov1493 20-02-2012 19:37 1862952

Цитата:

Цитата SolarSpark
молодца) только не все зачистил.. сидят еще файлы темповские в system32
так что просим лог RSIT »

так , всё же вроде нормально работает, а папку Temp можно и BoostSpeedom почистить ))

а можно ссылочку на рабочую RSIT ) ?

Тя как звать то ? не Марья случайно )))

thyrex 20-02-2012 19:39 1862955

Цитата:

Цитата smirnov1493
а можно ссылочку на рабочую RSIT ) ? »

Ну так здесь http://forum.oszone.net/thread-98169.html все есть

smirnov1493 20-02-2012 19:58 1862970

Вложений: 1
Вроде это, жуть как много информации, неужели можно разобрать , что есть вирус , а что и нет
log.txt

SolarSpark 20-02-2012 20:11 1862976

Пофиксить в HijackThis следующие строчки:
Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\Windows\system32\C228.tmp');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.


После выполнения скрипта компьютер перезагрузится!

smirnov1493 20-02-2012 20:31 1862989

Цитата:

Цитата SolarSpark
После выполнения скрипта компьютер перезагрузится! »

всё в точности , так и произошло. Значит вируса нет ?

iskander-k 20-02-2012 21:35 1863012

Обновите базы АВЗ и повторите логи. АВЗ и RSIT.

smirnov1493 20-02-2012 22:01 1863023

Вложений: 2
сделал

iskander-k 20-02-2012 22:12 1863035

АВЗ лог не тот.
Смотрите правила- с этими[/url] инструкциями.

smirnov1493 20-02-2012 22:21 1863041

Вложений: 1
Цитата:

Цитата iskander-k
АВЗ лог не тот. »

нажимаю сохранить протокол , и прекрепляю)

iskander-k 20-02-2012 22:49 1863070

Протокол не нужен.

Выложите логи в соответствии с этими инструкциями.

smirnov1493 21-02-2012 12:39 1863421

Вложений: 2
незнаю , вот походу то

SolarSpark 21-02-2012 13:20 1863463

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
 ExecuteRepair(1);
RebootWindows(true);
end.

Выполните рекомендации после лечения


Время: 11:41.

Время: 11:41.
© OSzone.net 2001-