Как удалить Trojan.Mayachok.1
Очень интересный вирус, которого величают Trojan.Mayachok.1. Почему именно Маячок? Не знаю, может потому что маячит он тот в одном файле, то в другом. И антивирусы с ним никак не помогут побороться, причем появился он уже года полтора назад, но успешно, при этом, продолжает обитать на компьютерах пользователей, мешая им свободно серфить по Интернету.
Trojan.Mayachok.1 – описание
Trojan.Mayachok.1 (другие названия trojan.win32.ddox.ci, trojan.mayachok.550, trojan.win32.cidox, trojan.win32.zapchast.feh, trojan:Win32/Vundo.OD, trojan.Win32.Mondere, trojan.Generic.KDV.169924) – вредоносная программа, блокирующая работу Интернета на инфицированной машине.
Ее задача – это подмена содержимого запрашиваемой веб-страницы, иными словами: вводит пользователь в адресной строке адрес, например vk.com, а вместо нее открывается фейк, то есть фальшивая страница, которая полностью копирует целевую, при этом просит:
- ввести номер телефона;
- отправить СМС;
- пройти валидацию и прочая ересь.
Другими признаками заражения вирусом Trojan Mayachok являются:
крайне медленная работа интернета во всех браузерах – страницы открываются по несколько минут.
- появление сообщения о том, что “Каналы Ростелеком перегружены”. Опять же для избавления, просят отправить платное СМС;
- страницы в браузерах на основе Cromium вообще не открываются (Яндекс браузер, Google Chrome, Нихром и т.п.)
- Иногда вместо целевой страницы открывается исходный код сайта (набор букв на белом фоне).
Если на вашем ПК имеются аналогичные признаки, скорее всего у вам именно троян Mayachok.1.
Как происходит заражение
Попав на компьютер – жертву троянец создает в каталоге Windows\System32 файл – библиотеку с расширением DLL в котором находится тело вируса. Данная библиотека загружается вместе с системой и висит в памяти, прыгая с одного процесса на другой. Антивирусами она не обнаруживается, поэтому удалять нужно вручную.
В процессе заражения вирус через реестр прописывает себя в автозагрузку в следующих местах
[\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] 'LoadAppInit_DLLs' = '00000001'
[\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] 'AppInit_DLLs' = '\ %name%.dll'
Далее зараженная система принудительно перезагружается. В процессе работы вирус подключается
Как его удалять
Процесс удаления несложен, главное делать все внимательно.
- Нажимаем Пуск – Выполнить и вбиваем regedit;
- Переходим в куст реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows и смотрим параметр AppInit_DLLs;
- Там должен быть прописан файл с расширением DLL, имя которого состоит из 7 латинских букв (имя генерируется случайным образом, на основе серийного номера жесткого диска);
- Гуглим по названию файла. Совпадений быть не должно. Даже если и будут – то в темах о вирусах.
- Удаляем запись о файле, предварительно запомнив его имя. (Удалять нужно только само значение параметра, но не сам параметр);
- Перезагружаем ПК;
- Переходим в папку Windows\System32 и ищем целевой файл;
- Удаляем его. Радуемся бесперебойной работе интернета.
Если у вас 64 разрядная система
- Открываем Пуск – Выполнить и вбиваем %SystemRoot%\SysWOW64\regedit.exe
- Повторяем все что указано выше
- На наличие вируса проверять надо также каталог C:\windows\SYSWOW64
У меня тоже ,или не открывет страницы интернет или надо нажимать трай агайн и ,вообще долго ждать.Вот уже 4 дня.Почисила антивирусом.и всем чем можно-нет вируса.Проделала путь HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows и смотрим параметр AppInit_DLLs; Там только AppInit_DLLs REG_ SZ , И БОЛЬШЕ НИЧЕГО.Вы думаете так надо.? Если нет вируса -что делать?.Хостс файл нормальный-проверила.Помогите пожалуйста..У меня Вында 7 32.Уже замучилась.
Проверьте компьютер программой adwcleaner. посмотрите параметры dns серверов. можно удалить и заново создать профиль пользователя в браузере. Этот вирус давно уже не актуален ) На подходе другие, более матерые товарищи
Если вы удалите свой профиль Google+, вы по-прежнему сможете использовать другие продукты Google, такие как Gmail и Поиск.
А вот под номером 4 . куда гуглить
??
Удаляем запись о файле, предварительно запомнив его имя. (Удалять нужно только само значение параметра, но не сам параметр)
Вот этот пункт я не поняла( у меня нет ничего в строке значение( что мне делать помогите пожалуйста!!!
Здраствуйте у меня такая же проблема только у меня высвечивается в самом конце AppInit_DLLs :adialhk.dll.Некоторые говорят что он зависит он Касперского и его нужно удалить я удалил но не помогло.И в Dr.web проверял обнаружил Trojan.Mayachok.1 Он удалился но всё равно ни как!!Что делать то??
а если я удалил адрес (целевого файла) ,не записав его,то возможно как-то его удалить?
Проверив системные папки антивирусом.
вместо имени, состоящего из 7 букв обнаружила в значениях это: c:\progra~2\browse~1\261095~1.52\{c16c1~1\browse~1.dll
“Там должен быть прописан файл с расширением DLL, имя которого состоит из 7 латинских букв (имя генерируется случайным образом, на основе серийного номера жесткого диска)” – вопрос как узнать свое имя в ПК из 7 латинских букв для Висты
а што єсли там много файлов.таких как ви говорите
Здравствуйте, у меня такая проблема, не загружался контакт, нашел в сети такой же способ решения проблемы, но по не внимательности удалил не значения в AppInit_DLLs и LoadAppInit_DLLs, а сами файлы. Пробовал их создавать, но проблема не ушла, а только к тому же еще и подключение к самому интернету нет. Поммогите, что делать?!!!!!!!!!!!!!
Спасибо большое!!! ОЧЕНЬ ПОМОГЛИ!!!
В реестре в нужной строчке удаляю значение, файл сам найден, но не удаляется, все время говорит, что используется другим процессом, в безопасном режиме удаляется, но появляется снова после перезагрузки.
Вот еще несколько проблем, может они помогут понять что это конкретно, со страницей однокласников то же самое что вы описываете, просят смс платную чтоб разблокировать, сохранения у игр перестали обновляца, сохранишся, а там всеравно старые стоят, то же самое с браузером, не сохраняет новые закладки, и история посещения остановилась на одном месте, дальше типо я вобще не заходил вовсе в интернет, вот, глюк с сохранениями появился дня два назад, становица хуже…..
Еще некоторые игры перестали запускаца, точнее онлайн игры, и игровой центр маил ру, собственно все связано с интернетом опять, я так понимаю это все действие вируса
По поводу что строчка отображаеца поправлюсь, сейчас уже ее нету, заходил через безопасный режим, там искать пробовал, пока туда сюда перезагружался, ее нету уже, но проблема осталась.
Руслан твой способ очень помог, но только на половину, как я понял у меня засел троян, что то схожее с этим маячком, интернет вдруг почти перестал работать, скорости никакой, аваст с ума сошел, постояно что то блокирует какой то “url mal” проделав твой сопсоб я в значении обнаружил вот это – “c:\progra~3\browse~1\261123~1.78\{16cdf~1\browse~1.dll” удалил значение, перезагрузил, потом вбил в поиск последний фаил из строчки всей “browse~1.dll” ничего не нашлося, поискал по всему компу, ноль, не знаю что и делать, вирус явно есть, проблема то осталось, и когда возращаюсь к проделаному, в значение опят стоит все та же строчка “c:\progra~3\browse~1\261123~1.78\{16cdf~1\browse~1.dll” помоги пожалуйста разобраться, уже и не знаю что делать…..
Искала, ничего по этому поводу нет
значит и вируса нет
Здравствуйте!
У меня была проблема с входом В контакте и Одноклассники.Отредактировала файл hosts, проверила на вирусы, проблемы больше нет, но захотела проверить HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows параметр AppInit_DLLs
и вот что у меня есть:
С:\WINDOWS\system32\tdfygbi.dll
Я поняла что это вирус, но не поняла как его удалить (Вы в п.5 пишете, что надо Удалять нужно только само значение параметра, но не сам параметр);
Это как?
И еще Вы пишете # Переходим в папку Windows\System32 и ищем целевой файл;
# Удаляем его. Радуемся бесперебойной работе интернета.
У меня в этой папке С:\WINDOWS\system32 файла tdfygbi.dll нет
И теперь у меня вопрос: есть у меня вирус или нет? И что с этим делать?
значит заходите в сам параметр удаляете строчку С:\WINDOWS\system32\tdfygbi.dll и жмете ОК. А Искали через поиск?
Здравствуйте у меня проблема не могу стереть параметр пишите не удается изменить Appinitdlls ошибка при записи нового значения параметра, помогите плз.
Здравствуйте! Сделал все как вы написали, единственно не понял пункт 4-про гуглить( зачем это). Да и самое главное— когда я перезагрузил ПК, я зашел в папку syswow 64, ввел название файла, он не нашел его. решил опять зайти в мои документы. а он там сидит как и раньше зараженный. что я мог не так сделать? Когда в пункте надо было удалять значение, нужно было переименовать и в окне значения удалить все!!?? так? в общем жду ваших комментарий по этому поводу заранее спасибо.
вбиваем в поиск название файла.
1. Нажимаем Пуск — Выполнить и вбиваем regedit;
вбила, нажимаю на файл спрашивет разрешение внести изменения в этот файл.
и ещё я не поняла 2 пункт
Большое спасибо очень помогли =) я уже все облазил и нефига в вот ваша темя поиогла!!!
Доброго Вам времени суток Руслан!
Остановился на моменте, где нужно отыскать файл с расширение DLL… Там был только один параметр AppInit_DLLs, но в нём значения не было. Что делать?
значит данного вируса у вас нет
Руслан! Почему ты не думаешь о пользователях с нетбуками? Из-за маленького экрана я выставляю разрешение экрана 800х600 пикслелей. Зашел на твою страницу, а на ней баннер – предложение подписаться на твою рассылку. Крестик, чтобы его закрыть, находится за пределами экрана. Пришлось изменить разрешение экрана на 1280х720, закрыть баннер, потом снова изменить его на 800х600. После этого уже не хочется читать твою страничку.
извините Владимир, но можно щелкнуть в любом месте за пределами окна и оно закроется. не обязательно искать крестик ))
Здравствуйте, а если в Значении вмести имени из 7 букв пусто? получается ничего не надо удалять?
и с файлом HOSTS все хорошо. Тогда в чем может быть проблема с ВК?
Здравствуйте! подскажите пожалуйста, я уже второй день с рабочего компьютера не могу зайти на страничку vk.com да и на сайт одноклассников. В контакте пишет, В данный момент мы перезагружаем сервера баз данных, попробуйте загрузить эту страницу позже!причем. когда я ввожу логин пароль, мне пишут. или такой имейл не зарегистрирован или же пароль не верный. и выскакивает код, который надо ввести. я его ввожу, и снова все тоже самое. Я уже и на вирусы проверяла, и заходила в хостс. там все чисто….не знаю. что еще делать. помогите пожалуйста.спасибо
Здравствуйте!!!!! как имя целевого файла который нужно найти уже в конце операции???????
имя генерируется случайным образом и состоит из 7 латинских букв. например xxxxxxx.dll
Здравствуйте! Сделала все как вы написали, но вместо имени, состоящего из 7 букв обнаружила в значениях это: C:PROGRA~2VKSavervksaver3.dll
что делать?
Спасибо.
эту гадость тоже можно грохнуть