Как удалить Trojan.Mayachok.1

Как удалить Trojan.Mayachok.1Очень интересный вирус, которого величают Trojan.Mayachok.1. Почему именно Маячок? Не знаю, может потому что маячит он тот в одном файле, то  в другом. И антивирусы с ним никак не помогут побороться, причем появился он уже года полтора назад, но успешно, при этом, продолжает обитать на компьютерах пользователей, мешая им свободно серфить по Интернету.

Trojan.Mayachok.1 – описание

Trojan.Mayachok.1 (другие названия trojan.win32.ddox.ci, trojan.mayachok.550, trojan.win32.cidox, trojan.win32.zapchast.feh, trojan:Win32/Vundo.OD, trojan.Win32.Mondere, trojan.Generic.KDV.169924) – вредоносная программа, блокирующая работу Интернета на инфицированной машине.

Ее задача – это подмена содержимого запрашиваемой веб-страницы, иными словами: вводит пользователь в адресной строке адрес, например vk.com, а вместо нее открывается фейк, то есть фальшивая страница, которая полностью копирует целевую, при этом просит:

  • ввести номер телефона;
  • отправить СМС;
  • пройти валидацию и прочая ересь.

Другими признаками заражения вирусом Trojan Mayachok являются:

крайне медленная работа интернета во всех браузерах – страницы открываются по несколько минут.

  • появление сообщения о том, что “Каналы Ростелеком перегружены”. Опять же для избавления, просят отправить платное СМС;
  • страницы в браузерах на основе Cromium вообще не открываются (Яндекс браузер, Google Chrome, Нихром и т.п.)
  • Иногда вместо целевой страницы открывается исходный код сайта (набор букв на белом фоне).

Если на вашем ПК имеются аналогичные признаки, скорее всего у вам именно троян Mayachok.1.

Как происходит заражение

Попав на компьютер – жертву троянец создает в каталоге Windows\System32 файл – библиотеку с расширением DLL в котором находится тело вируса. Данная библиотека загружается вместе с системой и висит в памяти, прыгая с одного процесса на другой. Антивирусами она не обнаруживается, поэтому удалять нужно вручную.

В процессе заражения вирус через реестр прописывает себя в автозагрузку в следующих местах
[\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] 'LoadAppInit_DLLs' = '00000001'
[\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] 'AppInit_DLLs' = '\ %name%.dll'

Далее зараженная система принудительно перезагружается. В процессе работы вирус подключается

Как его удалять

Процесс удаления несложен, главное делать все внимательно.

  1. Нажимаем Пуск – Выполнить и вбиваем regedit;
  2. Переходим в куст реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows и смотрим параметр AppInit_DLLs;
  3. Там должен быть прописан файл с расширением DLL, имя которого состоит из 7 латинских букв (имя генерируется случайным образом, на основе серийного номера жесткого диска);
  4. Гуглим по названию файла. Совпадений быть не должно. Даже если и будут – то в темах о вирусах.
  5. Удаляем запись о файле, предварительно запомнив его имя. (Удалять нужно только само значение параметра, но не сам параметр);
  6. Перезагружаем ПК;
  7. Переходим в папку Windows\System32 и ищем целевой файл;
  8. Удаляем его. Радуемся бесперебойной работе интернета.

Если у вас 64 разрядная система

  • Открываем Пуск – Выполнить и вбиваем %SystemRoot%\SysWOW64\regedit.exe
  • Повторяем все что указано выше
  • На наличие вируса проверять надо также каталог C:\windows\SYSWOW64

 

Чтобы узнавать больше подписывайтесь на Телеграм-канал Блог компьютерного мастера

36 thoughts on “Как удалить Trojan.Mayachok.1

  • 25/02/2016 at 23:22
    Permalink

    У меня тоже ,или не открывет страницы интернет или надо нажимать трай агайн и ,вообще долго ждать.Вот уже 4 дня.Почисила антивирусом.и всем чем можно-нет вируса.Проделала путь HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows и смотрим параметр AppInit_DLLs; Там только AppInit_DLLs REG_ SZ , И БОЛЬШЕ НИЧЕГО.Вы думаете так надо.? Если нет вируса -что делать?.Хостс файл нормальный-проверила.Помогите пожалуйста..У меня Вында 7 32.Уже замучилась.

    Reply
    • 26/02/2016 at 09:54
      Permalink

      Проверьте компьютер программой adwcleaner. посмотрите параметры dns серверов. можно удалить и заново создать профиль пользователя в браузере. Этот вирус давно уже не актуален ) На подходе другие, более матерые товарищи

      Reply
  • 06/02/2016 at 01:55
    Permalink

    Если вы удалите свой профиль Google+, вы по-прежнему сможете использовать другие продукты Google, такие как Gmail и Поиск.  

    Reply
  • 30/12/2015 at 23:29
    Permalink

    А вот под номером 4 . куда гуглить
    ??

    Reply
  • 07/07/2014 at 13:30
    Permalink

    Удаляем запись о файле, предварительно запомнив его имя. (Удалять нужно только само значение параметра, но не сам параметр)
    Вот этот пункт я не поняла( у меня нет ничего в строке значение( что мне делать помогите пожалуйста!!!

    Reply
  • 26/01/2014 at 15:42
    Permalink

    Здраствуйте у меня такая же проблема только у меня высвечивается в самом конце AppInit_DLLs :adialhk.dll.Некоторые говорят что он зависит он Касперского и его нужно удалить я удалил но не помогло.И в Dr.web проверял обнаружил Trojan.Mayachok.1 Он удалился но всё равно ни как!!Что делать то??

    Reply
  • 10/09/2013 at 19:22
    Permalink

    а если я удалил адрес (целевого файла) ,не записав его,то возможно как-то его удалить?

    Reply
  • 14/07/2013 at 12:48
    Permalink

    вместо имени, состоящего из 7 букв обнаружила в значениях это: c:\progra~2\browse~1\261095~1.52\{c16c1~1\browse~1.dll

    “Там должен быть прописан файл с расширением DLL, имя которого состоит из 7 латинских букв (имя генерируется случайным образом, на основе серийного номера жесткого диска)” – вопрос как узнать свое имя в ПК из 7 латинских букв для Висты

    Reply
  • 07/07/2013 at 20:34
    Permalink

    а што єсли там много файлов.таких как ви говорите

    Reply
  • 10/04/2013 at 11:02
    Permalink

    Здравствуйте, у меня такая проблема, не загружался контакт, нашел в сети такой же способ решения проблемы, но по не внимательности удалил не значения в AppInit_DLLs и LoadAppInit_DLLs, а сами файлы. Пробовал их создавать, но проблема не ушла, а только к тому же еще и подключение к самому интернету нет. Поммогите, что делать?!!!!!!!!!!!!!

    Reply
  • 22/03/2013 at 19:51
    Permalink

    Спасибо большое!!! ОЧЕНЬ ПОМОГЛИ!!!

    Reply
  • 14/03/2013 at 15:40
    Permalink

    В реестре в нужной строчке удаляю значение, файл сам найден, но не удаляется, все время говорит, что используется другим процессом, в безопасном режиме удаляется, но появляется снова после перезагрузки.

    Reply
  • 03/03/2013 at 10:51
    Permalink

    Вот еще несколько проблем, может они помогут понять что это конкретно, со страницей однокласников то же самое что вы описываете, просят смс платную чтоб разблокировать, сохранения у игр перестали обновляца, сохранишся, а там всеравно старые стоят, то же самое с браузером, не сохраняет новые закладки, и история посещения остановилась на одном месте, дальше типо я вобще не заходил вовсе в интернет, вот, глюк с сохранениями появился дня два назад, становица хуже…..

    Reply
  • 03/03/2013 at 04:09
    Permalink

    Еще некоторые игры перестали запускаца, точнее онлайн игры, и игровой центр маил ру, собственно все связано с интернетом опять, я так понимаю это все действие вируса

    Reply
  • 03/03/2013 at 04:05
    Permalink

    По поводу что строчка отображаеца поправлюсь, сейчас уже ее нету, заходил через безопасный режим, там искать пробовал, пока туда сюда перезагружался, ее нету уже, но проблема осталась.

    Reply
  • 03/03/2013 at 02:52
    Permalink

    Руслан твой способ очень помог, но только на половину, как я понял у меня засел троян, что то схожее с этим маячком, интернет вдруг почти перестал работать, скорости никакой, аваст с ума сошел, постояно что то блокирует какой то “url mal” проделав твой сопсоб я в значении обнаружил вот это – “c:\progra~3\browse~1\261123~1.78\{16cdf~1\browse~1.dll” удалил значение, перезагрузил, потом вбил в поиск последний фаил из строчки всей “browse~1.dll” ничего не нашлося, поискал по всему компу, ноль, не знаю что и делать, вирус явно есть, проблема то осталось, и когда возращаюсь к проделаному, в значение опят стоит все та же строчка “c:\progra~3\browse~1\261123~1.78\{16cdf~1\browse~1.dll” помоги пожалуйста разобраться, уже и не знаю что делать…..

    Reply
  • 18/02/2013 at 16:58
    Permalink

    Искала, ничего по этому поводу нет

    Reply
  • 18/02/2013 at 01:39
    Permalink

    Здравствуйте!
    У меня была проблема с входом В контакте и Одноклассники.Отредактировала файл hosts, проверила на вирусы, проблемы больше нет, но захотела проверить HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows параметр AppInit_DLLs
    и вот что у меня есть:
    С:\WINDOWS\system32\tdfygbi.dll
    Я поняла что это вирус, но не поняла как его удалить (Вы в п.5 пишете, что надо Удалять нужно только само значение параметра, но не сам параметр);
    Это как?
    И еще Вы пишете # Переходим в папку Windows\System32 и ищем целевой файл;
    # Удаляем его. Радуемся бесперебойной работе интернета.
    У меня в этой папке С:\WINDOWS\system32 файла tdfygbi.dll нет
    И теперь у меня вопрос: есть у меня вирус или нет? И что с этим делать?

    Reply
    • 18/02/2013 at 09:37
      Permalink

      значит заходите в сам параметр удаляете строчку С:\WINDOWS\system32\tdfygbi.dll и жмете ОК. А Искали через поиск?

      Reply
  • 10/02/2013 at 17:53
    Permalink

    Здравствуйте у меня проблема не могу стереть параметр пишите не удается изменить Appinitdlls ошибка при записи нового значения параметра, помогите плз.

    Reply
  • 09/02/2013 at 22:59
    Permalink

    Здравствуйте! Сделал все как вы написали, единственно не понял пункт 4-про гуглить( зачем это). Да и самое главное— когда я перезагрузил ПК, я зашел в папку syswow 64, ввел название файла, он не нашел его. решил опять зайти в мои документы. а он там сидит как и раньше зараженный. что я мог не так сделать? Когда в пункте надо было удалять значение, нужно было переименовать и в окне значения удалить все!!?? так? в общем жду ваших комментарий по этому поводу заранее спасибо.

    Reply
  • 03/02/2013 at 16:28
    Permalink

    1. Нажимаем Пуск — Выполнить и вбиваем regedit;
    вбила, нажимаю на файл спрашивет разрешение внести изменения в этот файл.
    и ещё я не поняла 2 пункт

    Reply
  • 31/01/2013 at 15:22
    Permalink

    Большое спасибо очень помогли =) я уже все облазил и нефига в вот ваша темя поиогла!!!

    Reply
  • 28/01/2013 at 18:30
    Permalink

    Доброго Вам времени суток Руслан!

    Остановился на моменте, где нужно отыскать файл с расширение DLL… Там был только один параметр AppInit_DLLs, но в нём значения не было. Что делать?

    Reply
  • 27/01/2013 at 20:48
    Permalink

    Руслан! Почему ты не думаешь о пользователях с нетбуками? Из-за маленького экрана я выставляю разрешение экрана 800х600 пикслелей. Зашел на твою страницу, а на ней баннер – предложение подписаться на твою рассылку. Крестик, чтобы его закрыть, находится за пределами экрана. Пришлось изменить разрешение экрана на 1280х720, закрыть баннер, потом снова изменить его на 800х600. После этого уже не хочется читать твою страничку.

    Reply
    • 28/01/2013 at 14:14
      Permalink

      извините Владимир, но можно щелкнуть в любом месте за пределами окна и оно закроется. не обязательно искать крестик ))

      Reply
  • 24/12/2012 at 00:36
    Permalink

    Здравствуйте, а если в Значении вмести имени из 7 букв пусто? получается ничего не надо удалять?
    и с файлом HOSTS все хорошо. Тогда в чем может быть проблема с ВК?

    Reply
  • 21/12/2012 at 15:57
    Permalink

    Здравствуйте! подскажите пожалуйста, я уже второй день с рабочего компьютера не могу зайти на страничку vk.com да и на сайт одноклассников. В контакте пишет, В данный момент мы перезагружаем сервера баз данных, попробуйте загрузить эту страницу позже!причем. когда я ввожу логин пароль, мне пишут. или такой имейл не зарегистрирован или же пароль не верный. и выскакивает код, который надо ввести. я его ввожу, и снова все тоже самое. Я уже и на вирусы проверяла, и заходила в хостс. там все чисто….не знаю. что еще делать. помогите пожалуйста.спасибо

    Reply
  • 20/12/2012 at 15:14
    Permalink

    Здравствуйте!!!!! как имя целевого файла который нужно найти уже в конце операции???????

    Reply
    • 20/12/2012 at 23:49
      Permalink

      имя генерируется случайным образом и состоит из 7 латинских букв. например xxxxxxx.dll

      Reply
      • 21/12/2012 at 09:59
        Permalink

        Здравствуйте! Сделала все как вы написали, но вместо имени, состоящего из 7 букв обнаружила в значениях это: C:PROGRA~2VKSavervksaver3.dll
        что делать?
        Спасибо.

        Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

13 − eleven =