Как удалить Trojan.Mayachok.1

07.01.2013 12:30

Очень интересный вирус, которого величают Trojan.Mayachok.1. Почему именно Маячок? Не знаю, может потому что маячит он то в одном файле, то в другом. И антивирусы с ним никак не помогут побороться, причем появился он уже года полтора назад, но при этом успешно продолжает обитать на компьютерах пользователей, мешая им свободно серфить по Интернету.

Trojan.Mayachok.1 — описание

Trojan.Mayachok.1 (другие названия trojan.win32.ddox.ci, trojan.mayachok.550, trojan.win32.cidox, trojan.win32.zapchast.feh, trojan:Win32/Vundo.OD, trojan.Win32.Mondere, trojan.Generic.KDV.169924) — вредоносная программа, блокирующая работу Интернета на инфицированной машине.

Ее задача — это подмена содержимого запрашиваемой веб-страницы, иными словами: вводит пользователь в адресной строке адрес, например vk.com, а вместо нее открывается фейк, то есть фальшивая страница, которая полностью копирует целевую, при этом просит:

  • ввести номер телефона;
  • отправить СМС;
  • пройти валидацию и прочая ересь.
  • Другими признаками заражения вирусом Trojan Mayachok являются:

  • крайне медленная работа интернета во всех браузерах — страницы открываются по несколько минут.
  • появление сообщения о том, что «Каналы Ростелеком перегружены». Опять же для избавления, просят отправить платное СМС;
  • страницы в браузерах на основе Cromium вообще не открываются (Яндекс браузер, Google Chrome, Нихром и т.п.)
  • Иногда вместо целевой страницы открывается исходный код сайта (набор букв на белом фоне).
  • Если на вашем ПК имеются аналогичные признаки, скорее всего у вам именно троян Mayachok.1.

    Как происходит заражение

    Попав на компьютер — жертву троянец создает в каталоге Windows\System32 файл — библиотеку с расширением DLL в котором находится тело вируса. Данная библиотека загружается вместе с системой и висит в памяти, прыгая с одного процесса на другой. Антивирусами она не обнаруживается, поэтому удалять нужно вручную. <>В процессе заражения вирус через реестр прописывает себя в автозагрузку в следующих местах

    [\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] 'LoadAppInit_DLLs' = '00000001'

    [\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] 'AppInit_DLLs' = '\ %name%.dll'

    Далее зараженная система принудительно перезагружается. В процессе работы вирус подключается

    Как его удалять

    Процесс удаления несложен, главное делать все внимательно.

  • Нажимаем Пуск — Выполнить и вбиваем regedit;
  • Переходим в куст реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows и смотрим параметр AppInit_DLLs;
  • Там должен быть прописан файл с расширением DLL, имя которого состоит из 7 латинских букв (имя генерируется случайным образом, на основе серийного номера жесткого диска);
  • Гуглим по названию файла. Совпадений быть не должно. Даже если и будут — то в темах о вирусах.
  • Удаляем запись о файле, предварительно запомнив его имя. (Удалять нужно только само значение параметра, но не сам параметр);
  • Перезагружаем ПК;
  • Переходим в папку Windows\System32 и ищем целевой файл;
  • Удаляем его. Радуемся бесперебойной работе интернета.
  • Если у вас 64 разрядная система

  • Открываем Пуск — Выполнить и вбиваем %SystemRoot%\SysWOW64\regedit.exe
  • Повторяем все что указано выше
  • На наличие вируса проверять надо также каталог C:\windows\SYSWOW64
  •  

    Источник


    mariannax
    0 1448
        icon   icon   icon   icon   icon
    Комментариев нет

    Оставлять комментарии могут только пользователи с рекомендацией.

    Лучшие

    Популярные