RSS    

Видеокурсы

Видеокурсы по ВТ

Опасности в социальных сетях

Социальные сети

Программы для бесплатного просмотра online tv...  

Компьютер заражен? Есть несколько вариантов вылечить ПК...

Стандарт LTE - Long-Term Evolution - или стандарт связи четвертого поколения (4G) считается перспективным... 



Как удалить вирус Маячок - Trojan.Mayachok

Вирус может быть определен антивирусными программами как: trojan.win32.ddox.ci, trojan.win32.cidox, trojan.win32.zapchast.feh, trojan:Win32/Vundo.OD, trojan.Win32.Mondere, trojan.Generic.KDV.169924.  И при этом - антивирусы не в состоянии самостоятельно справится с этим вирусом. Они удаляют лишь активный модуль из оперативной памяти, но вычистить запись из реестра, перезапуститься и удалить исходный код - они не в состоянии.

Для начала уточним, что делает вирус Маячок.

Mayachok вымогает денежные средства своих жертв путем списания денежных средств с вашего телефона путем подписки на рассылку. Претензии оператору предъявлять бесполезно, так как вы сами добровольно поставили подписи на платную россылку 

Где вы можете скачать вирус маячок:

социальные сети, разные фальшивые утилиты, как правило, имеющие расширение "exe". Запомните, если Вы, скажем, ищите песню, или какую то редкую платную программу, а она вдруг обнаруживается на сайте без регистрации, показов рекламы и прочей ерунды, да еще сразу качается без использования условно-бесплатных файловых хостингов типа depositefiles - да еще в формате exe - это на 99% будет вирус. Один из подтвержденных методов распространения данной вредоносной программы — рассылка в социальной сети «В контакте», рекламирующая программу для просмотра посещающих страницу пользователя гостей. В описании этой программы имеется ссылка, по которой и загружается Trojan.Mayachok.1. Запустившись на инфицированном компьютере, троянец создает в папке system32 библиотеку с именем, сгенерированным на основе серийного номера текущего раздела жесткого диска, затем копирует себя во временную папку под именем flash_player_update.exe и начинает запускать этот файл с периодичностью в 10 секунд. Затем троянец вносит изменения в системный реестр Windows и перезагружает компьютер. После этого Trojan.Mayachok.1 сохраняет в папку C:\Documents and Settings\All Users\Application Data\cf собственный конфигурационный файл, содержащий перечень блокируемых сайтов, адреса управляющих серверов и скрипты, которые встраиваются в запрашиваемые пользователем веб-страницы.

Особо печально, что  скачав и проверив архив с вирусом при помощи nod32, касперский, drweb, MSE - вы не обнаружите вирус. То есть узнать инфицирован файл или нет вы узнаете лишь после запуска, и соответственно - инфицирования. 

Типичные признаки заражения:

  • Ваш ПК сам перезагрузился, не выдавая никаких ошибок. 
  • После загрузки, при попытке зайти на каждый сайт или соц. сети, Маячок перенаправляет на фальшивые страницы этих сайтов как "Ростелеком", "Вконтакте", "Одноклассники" и др., где попросят собственный номер телефона. Для восстановить пароль или для проверки вашей личности. После ввода телефона с него незамедлительно списываются деньги, да также будет подключена рассылка, за которую так же будете платить.
  • При попытки выйти в интернет броузер:
    • выдает ошибку подключения
    • страница типа blank - пустая
    • действия браузеров отличаются зараженной машины отличаются друг от друга. Скажем Google Chrome не будет работать вообще, Opera - будет открывать лишь каждую 10 ссылку. Что на самом деле еще не известно - хорошо ли это. И, да,  скачать антивирус в этом случае практически не реально.
  • Многие утилиты перестают запускаться, выдавая разные ошибки. Как правило, если загрузиться в безопасном режиме, то все будет вести работу.

Та что же такое Trojan.Mayachok.1?

Это динамическая библиотека, которая, после заражения, подключается ко всем загруженным в системе процессам (svhost). По этой причине, даже если вы и прогоните всю систему антивирусом или сканером аля Dr.Web CUREIT, то они могут радостно отрапортовать, что процесс обезврежен. Однако радоваться то не стоит, ибо после перезагрузки процесс вновь будет заражен. Тот же Dr.Web CUREIT в упор не видит и не распознает сам файл с вирусом Trojan.Mayachok. Только его процессы в оперативной памяти.

Что требуется чтоб удалить вирус Троян.Маячок:

  • Заходим в редактор реестра;
  • Проходим по пути;

HKEY_LOCAL_MACHINE\SOFTWARE\Майкрософт\Windows NT\CURRENTVERSION\Windows

  • Находим параметр APPINIT_DLLS и смотрим его значение. Если ПК инфицирован Mayachok, то обнаружите навроде этого  - "C:\windows\system32\sdfgsdf.dll" (вместо sdfgsdf.dll может оказаться каждый dll с именем из набора латинских букв);
  • Записываем это значение на бумажку, а затем удаляем это значение из реестра. Только значение, а не название параметра! 
  • Перезагружаем систему, ибо теперь файл запущен и удалить вам его не дозволят;
  • После перезагрузки находим в папке C:\windows\system32\ и удаляем файл, который был прописан в параметре APPINIT_DLLS, и все файлы с расширением .tmp появившиеся в одно время с ним (там резервные копииTrojan.Mayachok);
  • Вновь перезагружаем систему.
  • Очистите кеш (временные файлы браузера) — там могут скрываться вирусы
  • Очистите файл hosts - либо при помощи утилиты от drweb , либо вручную, найдя этот файл на ПК и удалив строки перенаправляения с сайтов одноклассников, ростелекома, вконтакте и др - на сайты злоумышленников.

 

Для 64-х разрядных решение несколько иное

1. Вирус может располагаться в папке C:\windows\SYSWOW64

2. Редактор реестра, отвечающий за 32-х разрядные компоненты открываем так: Win+r -> %SYSTEMROOT%\SYSWOW64\regedit.exe

 

Дополнение

Появилась  новая версия трояна Trojan.Mayachok, с присвоенным именем Trojan.Mayachok.17516. Несмотря на то, что эта угроза имеет определенное сходство с широко распространенным троянцем Trojan.Mayachok.1, в ее архитектуре выявлен и ряд существенных отличий.

 

экран компьюетра, зараженного вирусом "маячок"
 

Trojan.Mayachok.17516 представляет собой динамическую библиотеку, устанавливаемую в операционную систему с использованием дроппера, который, являясь исполняемым файлом, в общем случае расшифровывает и копирует эту библиотеку на диск. Если в операционной системе включена функция контроля учетных записей пользователей (User Accounts Control, UAC), дроппер копирует себя во временную папку под именем flash_player_update_1_12.exe и запускается на исполнение.

 

В случае успешного запуска этот исполняемый файл расшифровывает содержащую троянца библиотеку и сохраняет ее в одну из системных папок со случайным именем. Существуют версии библиотеки как для 32-разрядной, так и для 64-разрядной версий Windows. Затем дроппер регистрирует библиотеку в системном реестре и перезагружает компьютер.

 

Вирус встраивается в другие процессы с использованием регистрации в параметре реестра AppInit_DLLs, при этом, в отличие от Trojan.Mayachok.1, Trojan.Mayachok.17516 способен работать не только в процессах браузеров, но также в процессах svchost.exe и проводнике explorer.exe.

В 64-разрядных системах вредоносная программа работает только в этих двух процессах. Маячок использует для своей работы зашифрованный конфигурационный файл, который он сохраняет либо во временную папку, либо в служебную папку %appdata%.

 

Основные функции Trojan.Mayachok.17516 заключаются в скачивании и запуске исполняемых файлов, перехвате сетевых функций браузеров. При помощи процесса explorer.exe Trojan.Mayachok.17516 осуществляет скрытый запуск браузеров и производит «накрутку» посещаемости некоторых интернет-ресурсов. Инфицированный процесс svchost.exe отвечает за обеспечение связи с удаленным командным сервером, а также за загрузку конфигурационных файлов и обновлений. Злоумышленникам, в свою очередь, передается информация о зараженном компьютере, в том числе версия операционной системы, сведения об установленных браузерах и т. д.

 

Оставьте свой отзыв:

Комментарии   

 
Ангелина
+3 # Ангелина 03.06.2012 19:41
Вот по своей дури скачала exe. файл.Заразилась
Решила испробовать.Заш ла в редактор реестра.
И что я вижу?
HKEY_LOCAL_MA CHINE\SOFTWARE\ Майкрософт\Wind ows NT\CURRENTVERSI ON\Windows - ничего подобного
HKEY_LOCAL_MA CHINE- окау.
Ну поехали дальше.В этой белиберде нет ничего даже схожего с этим - APPINIT_DLLS
Тем не менее Троян очевиден-вместо обычных страниц непонятные коды,выдает фейковые сайты.
Теперь главный вопрос -ЩТО МНЕ ДЕЛАТЬ
Ответить | Сообщить модератору
 
 
Иван
+1 # Иван 03.06.2012 21:08
Вопрос сразу возникает - откуда уверенность что инфицирован именно Маячком?

Тут описан случай, когда антивирусные программы типа MSE и drweb обнаруживают вирус, убивают его резидентный(сид ящий в оперативной памяти) модуль, но не предотвращают повторное заражение после перезагрузки ПК.
Ответить | Сообщить модератору
 
 
Guest
+1 # Guest 03.06.2012 21:13
проверьте на всякий случай файл hosts. Немодифицирован ные hosts выглядит примерно так:


# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost
Ответить | Сообщить модератору
 
 
Ангелина
+2 # Ангелина 04.06.2012 14:04
Хосты проверяла,удали ла всю непонятную фигню.Создала новый файл,в блокноте все сделала.Окау. r *>Честно говоря я уверена,что это Маячок.
Я как бы не очень разбираюсь в компьютерах.Про шу написать мне простым языком ибо я нубло в этом деле.
Ответить | Сообщить модератору
 
 
Guest
+1 # Guest 04.06.2012 15:44
Скачайте с *cureit* бесплатный антивирус. Просканируйте им все диски компьютера. Он если и не вылечит, то по крайней мере скажем чем заражен ваш компьютер.
Ну а дальше уже дело техники.
Ответить | Сообщить модератору
 
 
Ангелина
+1 # Ангелина 04.06.2012 15:55
Спасибо за помощь,надеюсь все будет хорошо, и мне не придется переустанавлива ть Винду.
Ответить | Сообщить модератору
 
 
артём
+1 # артём 02.07.2012 00:49
у меня клавиатурный маячок скажите что мне делать
Ответить | Сообщить модератору
 
 
вован
+1 # вован 14.07.2012 18:22
HKEY_LOCAL_MACH INE\SOFTWARE\Ма йкрософт\Window s NT\CURRENTVERSI ON\Windows

вот блин наконец нашел, на всех остальных сайтах эта строка выглядела по другому и я мучался днями. огромное спасибо!!! я наконец нашел решение проблемы
Ответить | Сообщить модератору
 
 
Виталий
-2 # Виталий 16.07.2012 15:54
Ну что за бред?
В Windows 7 (32бит) нет такой строки
HKEY_LOCAL_MA CHINE\SOFTWARE\ Microsoft\Windo ws NT\CurrentVersi on\Windows
Вернее папки \Windows NT\ НЕТ!
Непонятно вообще для каких систем эти рекомендации написаны
Ответить | Сообщить модератору
 
 
Guest
0 # Guest 16.07.2012 19:09
[quote name="Виталий"] Ну что за бред?
В Windows 7 (32бит) нет такой строки
HKEY_LOCAL_MA CHINE\SOFTWARE\ Microsoft\Windo ws NT\CurrentVersi on\Windows
Вернее папки \Windows NT\ НЕТ!
Непонятно вообще для каких систем эти рекомендации написаны[*quote ]

папка windows NT есть, проверьте. Только что на своей машине проверил.
Ответить | Сообщить модератору
 
 
Ангелина
+1 # Ангелина 21.07.2012 15:02
Товарсчи!Нихрен а подобного,до сих пор,живу я по соседству с "этим",ибо ничего не могу сделать.И единственный совет,который могу дать я - истинное нубло,сносите вашу старую винду,и проблем не будет.Пока,сама я буду думу думать,о том у кого стыбзить диск спасения.Кстати я уже привыкла к тому,что вместо страниц грузит хтмл код который вроде бы должен отобразиться,эт о своеобразный учебник по столь хитрому делу.Ну вот так вот,даже к столь УЖАСНОДЕБИЛЬНОМ УНАГЛОМУВИРУСЯК Е можно привыкнуть.











П.С-мой экран покрылся кучей царапин,ввиду того,что теперь благодаря столь наглому трояну,я знаю на что способна моя нервная система.
Ответить | Сообщить модератору
 
 
jeka
+1 # jeka 29.07.2012 12:10
я не могу удалить значение! пишет что ошибка и его нельзя изменить! чо такое?
Ответить | Сообщить модератору
 
 
Татьяна
0 # Татьяна 31.07.2012 23:07
попробуйте мышкой отредактировать значение
Ответить | Сообщить модератору
 
 
Николай
+6 # Николай 26.12.2012 13:35
значение ApplInit_DLLs пустое. Что делать?
Везде описан подобный способ. Но нигде не указано как поступить в случае если значение отсутствует
Ответить | Сообщить модератору
 
 
евгений
+1 # евгений 14.01.2013 22:24
Спасибо автору громадное! Все заработало.
15 минут головоломки и поиска нужных строк в реестре, и вуаля! Работает! Спасибо!
Ответить | Сообщить модератору
 
 
Pro_100_DemoN
0 # Pro_100_DemoN 27.02.2013 10:17
Хочу поделиться опытом!
Сам лично друзям вылечил недуг баннер "Windows заблокирован"!! !
В диспетчере задач висит приложение LokoMoTO это Trojan.Winlock. 6999 или 6613 (Исполняемый файл вредоносного ПО имеет имя

xxx_v*o.scr, MVbCn7d.exe, MXROH_U_MF.EXE, YWR4ATG.EXE)

Кодов разблокировки не существует

Быстро исправляем проблему самостоятельно, в два шага, грузимся в безопасный режим с поддержкой коммандной строки и выполняем:
1. команда cleanmgr
2. команда rs*i
Ответить | Сообщить модератору
 
 
Анна
0 # Анна 25.05.2013 17:29
[quote name="Николай"] значение ApplInit_DLLs пустое. Что делать?
Везде описан подобный способ. Но нигде не указано как поступить в случае если значение отсутствует[*qu ote]
У меня та же проблема,значен ие ApplInit_DLLs пустое.*cureit* находит Trojan.mayachok MEM.7. файл hosts тоже в порядке. как удалить вирус???
Ответить | Сообщить модератору
 

Добавить комментарий


Защитный код
Обновить

 

Самое читаемое:

Быстрый поиск

Группа вКонтакте: новости

 

Новости в Twitter и Facebook

  подписка на новости в twitter              Подписка на новости facebook

Инструкции к программам

Инструкции к программам

Новые информационные технологии и программы