Как удалить Trojan.Mayachok.1

Очень интересный вирус, которого величают Trojan.Mayachok.1. Почему именно Маячок? Не знаю, может потому что маячит он тот в одном файле, то  в другом. И антивирусы с ним никак не помогут побороться, причем появился он уже года полтора назад, но успешно, при этом, продолжает обитать на компьютерах пользователей, мешая им свободно серфить по Интернету.

Trojan.Mayachok.1 — описание

Trojan.Mayachok.1 (другие названия trojan.win32.ddox.ci, trojan.mayachok.550, trojan.win32.cidox, trojan.win32.zapchast.feh, trojan:Win32/Vundo.OD, trojan.Win32.Mondere, trojan.Generic.KDV.169924) — вредоносная программа, блокирующая работу Интернета на инфицированной машине.

Ее задача — это подмена содержимого запрашиваемой веб-страницы, иными словами: вводит пользователь в адресной строке адрес, например vk.com, а вместо нее открывается фейк, то есть фальшивая страница, которая полностью копирует целевую, при этом просит:

  • ввести номер телефона;
  • отправить СМС;
  • пройти валидацию и прочая ересь.

Другими признаками заражения вирусом Trojan Mayachok являются:

крайне медленная работа интернета во всех браузерах — страницы открываются по несколько минут.

  • появление сообщения о том, что «Каналы Ростелеком перегружены». Опять же для избавления, просят отправить платное СМС;
  • страницы в браузерах на основе Cromium вообще не открываются (Яндекс браузер, Google Chrome, Нихром и т.п.)
  • Иногда вместо целевой страницы открывается исходный код сайта (набор букв на белом фоне).

Если на вашем ПК имеются аналогичные признаки, скорее всего у вам именно троян Mayachok.1.

Как происходит заражение

Попав на компьютер — жертву троянец создает в каталоге Windows\System32 файл — библиотеку с расширением DLL в котором находится тело вируса. Данная библиотека загружается вместе с системой и висит в памяти, прыгая с одного процесса на другой. Антивирусами она не обнаруживается, поэтому удалять нужно вручную.

В процессе заражения вирус через реестр прописывает себя в автозагрузку в следующих местах
[\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] 'LoadAppInit_DLLs' = '00000001'
[\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] 'AppInit_DLLs' = '\ %name%.dll'

Далее зараженная система принудительно перезагружается. В процессе работы вирус подключается

Как его удалять

Процесс удаления несложен, главное делать все внимательно.

  1. Нажимаем Пуск — Выполнить и вбиваем regedit;
  2. Переходим в куст реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows и смотрим параметр AppInit_DLLs;
  3. Там должен быть прописан файл с расширением DLL, имя которого состоит из 7 латинских букв (имя генерируется случайным образом, на основе серийного номера жесткого диска);
  4. Гуглим по названию файла. Совпадений быть не должно. Даже если и будут — то в темах о вирусах.
  5. Удаляем запись о файле, предварительно запомнив его имя. (Удалять нужно только само значение параметра, но не сам параметр);
  6. Перезагружаем ПК;
  7. Переходим в папку Windows\System32 и ищем целевой файл;
  8. Удаляем его. Радуемся бесперебойной работе интернета.

Если у вас 64 разрядная система

  • Открываем Пуск — Выполнить и вбиваем %SystemRoot%\SysWOW64\regedit.exe
  • Повторяем все что указано выше
  • На наличие вируса проверять надо также каталог C:\windows\SYSWOW64

 

Опубликовано в Безопасность Метки: , , ,
36 комментариев на “Как удалить Trojan.Mayachok.1
  1. A:

    У меня тоже ,или не открывет страницы интернет или надо нажимать трай агайн и ,вообще долго ждать.Вот уже 4 дня.Почисила антивирусом.и всем чем можно-нет вируса.Проделала путь HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows и смотрим параметр AppInit_DLLs; Там только AppInit_DLLs REG_ SZ , И БОЛЬШЕ НИЧЕГО.Вы думаете так надо.? Если нет вируса -что делать?.Хостс файл нормальный-проверила.Помогите пожалуйста..У меня Вында 7 32.Уже замучилась.

    • Проверьте компьютер программой adwcleaner. посмотрите параметры dns серверов. можно удалить и заново создать профиль пользователя в браузере. Этот вирус давно уже не актуален ) На подходе другие, более матерые товарищи

  2. Elizase:

    Если вы удалите свой профиль Google+, вы по-прежнему сможете использовать другие продукты Google, такие как Gmail и Поиск.  

  3. Степа:

    А вот под номером 4 . куда гуглить
    ??

  4. Аделя:

    Удаляем запись о файле, предварительно запомнив его имя. (Удалять нужно только само значение параметра, но не сам параметр)
    Вот этот пункт я не поняла( у меня нет ничего в строке значение( что мне делать помогите пожалуйста!!!

  5. Здраствуйте у меня такая же проблема только у меня высвечивается в самом конце AppInit_DLLs :adialhk.dll.Некоторые говорят что он зависит он Касперского и его нужно удалить я удалил но не помогло.И в Dr.web проверял обнаружил Trojan.Mayachok.1 Он удалился но всё равно ни как!!Что делать то??

  6. Роман:

    а если я удалил адрес (целевого файла) ,не записав его,то возможно как-то его удалить?

  7. Оксана:

    вместо имени, состоящего из 7 букв обнаружила в значениях это: c:\progra~2\browse~1\261095~1.52\{c16c1~1\browse~1.dll

    «Там должен быть прописан файл с расширением DLL, имя которого состоит из 7 латинских букв (имя генерируется случайным образом, на основе серийного номера жесткого диска)» — вопрос как узнать свое имя в ПК из 7 латинских букв для Висты

  8. Артур:

    а што єсли там много файлов.таких как ви говорите

  9. Александр:

    Здравствуйте, у меня такая проблема, не загружался контакт, нашел в сети такой же способ решения проблемы, но по не внимательности удалил не значения в AppInit_DLLs и LoadAppInit_DLLs, а сами файлы. Пробовал их создавать, но проблема не ушла, а только к тому же еще и подключение к самому интернету нет. Поммогите, что делать?!!!!!!!!!!!!!

  10. Елизавета:

    Спасибо большое!!! ОЧЕНЬ ПОМОГЛИ!!!

  11. Татьяна:

    В реестре в нужной строчке удаляю значение, файл сам найден, но не удаляется, все время говорит, что используется другим процессом, в безопасном режиме удаляется, но появляется снова после перезагрузки.

  12. Денис:

    Вот еще несколько проблем, может они помогут понять что это конкретно, со страницей однокласников то же самое что вы описываете, просят смс платную чтоб разблокировать, сохранения у игр перестали обновляца, сохранишся, а там всеравно старые стоят, то же самое с браузером, не сохраняет новые закладки, и история посещения остановилась на одном месте, дальше типо я вобще не заходил вовсе в интернет, вот, глюк с сохранениями появился дня два назад, становица хуже…..

  13. ДЕНИС:

    Еще некоторые игры перестали запускаца, точнее онлайн игры, и игровой центр маил ру, собственно все связано с интернетом опять, я так понимаю это все действие вируса

  14. ДЕНИС:

    По поводу что строчка отображаеца поправлюсь, сейчас уже ее нету, заходил через безопасный режим, там искать пробовал, пока туда сюда перезагружался, ее нету уже, но проблема осталась.

  15. Денис:

    Руслан твой способ очень помог, но только на половину, как я понял у меня засел троян, что то схожее с этим маячком, интернет вдруг почти перестал работать, скорости никакой, аваст с ума сошел, постояно что то блокирует какой то «url mal» проделав твой сопсоб я в значении обнаружил вот это — «c:\progra~3\browse~1\261123~1.78\{16cdf~1\browse~1.dll» удалил значение, перезагрузил, потом вбил в поиск последний фаил из строчки всей «browse~1.dll» ничего не нашлося, поискал по всему компу, ноль, не знаю что и делать, вирус явно есть, проблема то осталось, и когда возращаюсь к проделаному, в значение опят стоит все та же строчка «c:\progra~3\browse~1\261123~1.78\{16cdf~1\browse~1.dll» помоги пожалуйста разобраться, уже и не знаю что делать…..

  16. Ирина:

    Искала, ничего по этому поводу нет

  17. Ирина:

    Здравствуйте!
    У меня была проблема с входом В контакте и Одноклассники.Отредактировала файл hosts, проверила на вирусы, проблемы больше нет, но захотела проверить HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows параметр AppInit_DLLs
    и вот что у меня есть:
    С:\WINDOWS\system32\tdfygbi.dll
    Я поняла что это вирус, но не поняла как его удалить (Вы в п.5 пишете, что надо Удалять нужно только само значение параметра, но не сам параметр);
    Это как?
    И еще Вы пишете # Переходим в папку Windows\System32 и ищем целевой файл;
    # Удаляем его. Радуемся бесперебойной работе интернета.
    У меня в этой папке С:\WINDOWS\system32 файла tdfygbi.dll нет
    И теперь у меня вопрос: есть у меня вирус или нет? И что с этим делать?

  18. Васька:

    Здравствуйте у меня проблема не могу стереть параметр пишите не удается изменить Appinitdlls ошибка при записи нового значения параметра, помогите плз.

  19. Артем:

    Здравствуйте! Сделал все как вы написали, единственно не понял пункт 4-про гуглить( зачем это). Да и самое главное— когда я перезагрузил ПК, я зашел в папку syswow 64, ввел название файла, он не нашел его. решил опять зайти в мои документы. а он там сидит как и раньше зараженный. что я мог не так сделать? Когда в пункте надо было удалять значение, нужно было переименовать и в окне значения удалить все!!?? так? в общем жду ваших комментарий по этому поводу заранее спасибо.

  20. оля:

    1. Нажимаем Пуск — Выполнить и вбиваем regedit;
    вбила, нажимаю на файл спрашивет разрешение внести изменения в этот файл.
    и ещё я не поняла 2 пункт

  21. Аноним:

    Большое спасибо очень помогли =) я уже все облазил и нефига в вот ваша темя поиогла!!!

  22. Сергей.:

    Доброго Вам времени суток Руслан!

    Остановился на моменте, где нужно отыскать файл с расширение DLL… Там был только один параметр AppInit_DLLs, но в нём значения не было. Что делать?

  23. vovan:

    Руслан! Почему ты не думаешь о пользователях с нетбуками? Из-за маленького экрана я выставляю разрешение экрана 800х600 пикслелей. Зашел на твою страницу, а на ней баннер — предложение подписаться на твою рассылку. Крестик, чтобы его закрыть, находится за пределами экрана. Пришлось изменить разрешение экрана на 1280х720, закрыть баннер, потом снова изменить его на 800х600. После этого уже не хочется читать твою страничку.

  24. Дарья:

    Здравствуйте, а если в Значении вмести имени из 7 букв пусто? получается ничего не надо удалять?
    и с файлом HOSTS все хорошо. Тогда в чем может быть проблема с ВК?

  25. Александра:

    Здравствуйте! подскажите пожалуйста, я уже второй день с рабочего компьютера не могу зайти на страничку vk.com да и на сайт одноклассников. В контакте пишет, В данный момент мы перезагружаем сервера баз данных, попробуйте загрузить эту страницу позже!причем. когда я ввожу логин пароль, мне пишут. или такой имейл не зарегистрирован или же пароль не верный. и выскакивает код, который надо ввести. я его ввожу, и снова все тоже самое. Я уже и на вирусы проверяла, и заходила в хостс. там все чисто….не знаю. что еще делать. помогите пожалуйста.спасибо

  26. Алексей:

    Здравствуйте!!!!! как имя целевого файла который нужно найти уже в конце операции???????

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*

Subscribe without commenting