Как удалить вирус Маячок - Trojan.Mayachok

Вирус может быть определен антивирусными программами как: trojan.win32.ddox.ci, trojan.win32.cidox, trojan.win32.zapchast.feh, trojan:Win32/Vundo.OD, trojan.Win32.Mondere, trojan.Generic.KDV.169924.  И при этом - антивирусы не в состоянии самостоятельно справится с этим вирусом. Они удаляют лишь активный модуль из оперативной памяти, но вычистить запись из реестра, перезапуститься и удалить исходный код - они не в состоянии.

Для начала уточним, что делает вирус Маячок.

Где вы можете скачать вирус маячок:

социальные сети, разные фальшивые утилиты, как правило, имеющие расширение "exe". Запомните, если Вы, скажем, ищите песню, или какую то редкую платную программу, а она вдруг обнаруживается на сайте без регистрации, показов рекламы и прочей ерунды, да еще сразу качается без использования условно-бесплатных файловых хостингов типа depositefiles - да еще в формате exe - это на 99% будет вирус. Один из подтвержденных методов распространения данной вредоносной программы — рассылка в социальной сети «В контакте», рекламирующая программу для просмотра посещающих страницу пользователя гостей. В описании этой программы имеется ссылка, по которой и загружается Trojan.Mayachok.1. Запустившись на инфицированном компьютере, троянец создает в папке system32 библиотеку с именем, сгенерированным на основе серийного номера текущего раздела жесткого диска, затем копирует себя во временную папку под именем flash_player_update.exe и начинает запускать этот файл с периодичностью в 10 секунд. Затем троянец вносит изменения в системный реестр Windows и перезагружает компьютер. После этого Trojan.Mayachok.1 сохраняет в папку C:\Documents and Settings\All Users\Application Data\cf собственный конфигурационный файл, содержащий перечень блокируемых сайтов, адреса управляющих серверов и скрипты, которые встраиваются в запрашиваемые пользователем веб-страницы.

Особо печально, что  скачав и проверив архив с вирусом при помощи nod32, касперский, drweb, MSE - вы не обнаружите вирус. То есть узнать инфицирован файл или нет вы узнаете лишь после запуска, и соответственно - инфицирования. 

Типичные признаки заражения:

• Ваш ПК сам перезагрузился, не выдавая никаких ошибок. 
• После загрузки, при попытке зайти на каждый сайт или соц. сети, Маячок перенаправляет на фальшивые страницы этих сайтов как "Ростелеком", "Вконтакте", "Одноклассники" и др., где попросят собственный номер телефона. Для восстановить пароль или для проверки вашей личности. После ввода телефона с него незамедлительно списываются деньги, да также будет подключена рассылка, за которую так же будете платить.
• При попытки выйти в интернет броузер:
  • выдает ошибку подключения
  • страница типа blank - пустая
  • действия браузеров отличаются зараженной машины отличаются друг от друга. Скажем Google Chrome не будет работать вообще, Opera - будет открывать лишь каждую 10 ссылку. Что на самом деле еще не известно - хорошо ли это. И, да,  скачать антивирус в этом случае практически не реально.
• Многие утилиты перестают запускаться, выдавая разные ошибки. Как правило, если загрузиться в безопасном режиме, то все будет вести работу.

Та что же такое Trojan.Mayachok.1?

Это динамическая библиотека, которая, после заражения, подключается ко всем загруженным в системе процессам (svhost). По этой причине, даже если вы и прогоните всю систему антивирусом или сканером аля Dr.Web CUREIT, то они могут радостно отрапортовать, что процесс обезврежен. Однако радоваться то не стоит, ибо после перезагрузки процесс вновь будет заражен. Тот же Dr.Web CUREIT в упор не видит и не распознает сам файл с вирусом Trojan.Mayachok. Только его процессы в оперативной памяти.

Что требуется чтоб удалить вирус Троян.Маячок:

• Заходим в редактор реестра;
• Проходим по пути;

HKEY_LOCAL_MACHINE\SOFTWARE\Майкрософт\Windows NT\CURRENTVERSION\Windows

• Находим параметр APPINIT_DLLS и смотрим его значение. Если ПК инфицирован Mayachok, то обнаружите навроде этого  - "C:\windows\system32\sdfgsdf.dll" (вместо sdfgsdf.dll может оказаться каждый dll с именем из набора латинских букв);
• Записываем это значение на бумажку, а затем удаляем это значение из реестра. Только значение, а не название параметра! 
• Перезагружаем систему, ибо теперь файл запущен и удалить вам его не дозволят;
• После перезагрузки находим в папке C:\windows\system32\ и удаляем файл, который был прописан в параметре APPINIT_DLLS, и все файлы с расширением .tmp появившиеся в одно время с ним (там резервные копииTrojan.Mayachok);
• Вновь перезагружаем систему.
• Очистите кеш (временные файлы браузера) — там могут скрываться вирусы
• Очистите файл hosts - либо при помощи утилиты от drweb , либо вручную, найдя этот файл на ПК и удалив строки перенаправляения с сайтов одноклассников, ростелекома, вконтакте и др - на сайты злоумышленников.

Для 64-х разрядных решение несколько иное

1. Вирус может располагаться в папке C:\windows\SYSWOW64

2. Редактор реестра, отвечающий за 32-х разрядные компоненты открываем так: Win+r -> %SYSTEMROOT%\SYSWOW64\regedit.exe

Дополнение

Появилась  новая версия трояна Trojan.Mayachok, с присвоенным именем Trojan.Mayachok.17516. Несмотря на то, что эта угроза имеет определенное сходство с широко распространенным троянцем Trojan.Mayachok.1, в ее архитектуре выявлен и ряд существенных отличий.

Trojan.Mayachok.17516 представляет собой динамическую библиотеку, устанавливаемую в операционную систему с использованием дроппера, который, являясь исполняемым файлом, в общем случае расшифровывает и копирует эту библиотеку на диск. Если в операционной системе включена функция контроля учетных записей пользователей (User Accounts Control, UAC), дроппер копирует себя во временную папку под именем flash_player_update_1_12.exe и запускается на исполнение.

В случае успешного запуска этот исполняемый файл расшифровывает содержащую троянца библиотеку и сохраняет ее в одну из системных папок со случайным именем. Существуют версии библиотеки как для 32-разрядной, так и для 64-разрядной версий Windows. Затем дроппер регистрирует библиотеку в системном реестре и перезагружает компьютер.

Вирус встраивается в другие процессы с использованием регистрации в параметре реестра AppInit_DLLs, при этом, в отличие от Trojan.Mayachok.1, Trojan.Mayachok.17516 способен работать не только в процессах браузеров, но также в процессах svchost.exe и проводнике explorer.exe.

В 64-разрядных системах вредоносная программа работает только в этих двух процессах. Маячок использует для своей работы зашифрованный конфигурационный файл, который он сохраняет либо во временную папку, либо в служебную папку %appdata%.

Основные функции Trojan.Mayachok.17516 заключаются в скачивании и запуске исполняемых файлов, перехвате сетевых функций браузеров. При помощи процесса explorer.exe Trojan.Mayachok.17516 осуществляет скрытый запуск браузеров и производит «накрутку» посещаемости некоторых интернет-ресурсов. Инфицированный процесс svchost.exe отвечает за обеспечение связи с удаленным командным сервером, а также за загрузку конфигурационных файлов и обновлений. Злоумышленникам, в свою очередь, передается информация о зараженном компьютере, в том числе версия операционной системы, сведения об установленных браузерах и т. д.

Поделиться:

Оставьте свой комментарий!