Сейчас обсуждают

[John Silver]

Поймал случайно маячок вот такой Trojan.Mayachok.1.
И вот такой метод лечения предлагают в сети.

» Спойлер (нажмите, чтобы прочесть) «

1. Жмем сочетание «Win+R», набираем «Regedit» и заходим в редактор реестра;
2. Проходим по пути;

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

3. Находим параметр AppInit_DLLs и смотрим его значение. Если у вас сидит Маячок, то будет что-то типа этого — «C:\windows\system32\paxzwyk.dll»

Вместо paxzwyk.dll может быть любой dll с именем из набора латинских букв;

4. Удаляем это значение. Тут очень важно: а) Удаляем значение параметра AppInit_DLLs, а не сам параметр; б) запишите имя файла, что бы его можно было легко найти на компьютере; в) поищите информацию об этой библиотеке dll (например в Google), ибо тут могут сидеть библиотеки честных программ (например Касперский иногда там тоже прописывает свою библиотеку). Удаляем;

5. Перезагружаем систему, ибо сейчас файл не удастся удалить;

6. Находим в папке C:\windows\system32\ и удаляем файл, который был прописан в параметре AppInit_DLLs;

7. Снова перезагружаем систему, заходим в браузер, радуемся доступу в интернет.

Для тех у кого стоит 64-х разрядная система есть некоторые отличия:

1. Вирус может находиться в папке C:\windows\SYSWOW64

2. Редактор реестра, отвечающий за 32-х разрядные компоненты открываем так: Win+r -> %SystemRoot%\SysWOW64\regedit.exe

Досье на Trojan.Mayachok.1

» Спойлер (нажмите, чтобы прочесть) «

Подозреваемый Trojan.Mayachok.1, он же носит клички: trojan.win32.ddox.ci, trojan.win32.cidox, trojan.win32.zapchast.feh, trojan:Win32/Vundo.OD, trojan.Win32.Mondere, trojan.Generic.KDV.169924. Подозреваемый Trojan.Mayachok.1 хитер и крайне опасен — вымогает деньги своих жертв путем просьбы ввести свой номер телефона, с которого сразу же списываются счета путем подписки на рассылку. Платные СМСки и «положите деньги на телефон» в прошлом.

Основные источники заражения: — социальные сети, хотя и в других местах его ничуть не труднее поймать.

Характерные признаки заражения:

1. При попытки зайти на любой сайт или соц. сети, жертва перенаправляется на поддельные страницы таких сайтов как «Ростелеком», «Вконтакте», «Одноклассники» и др., где под разными предлогами просят ввести жертву свой номер телефона. После ввода телефона с него незамедлительно списываются денежные средства, да к тому же будет подключена рассылка, за которую Вы так же будете платить. Возможность отписаться есть, но могут отписать не сразу, да и номер Вы свой спалите и не исключен спам на него. (прим. ред. — данный вид мне не попадался)

2. При попытки выйти в интернет браузер: а) либо попросту не открывает ничего, выдавая ошибку подключения; б) страница предстает в виде чистого кода страницы. (прим. ред. — с этим сталкиваюсь очень часто).

3. Многие программы перестают запускаться, выдавая различные ошибки. Зачастую этот признак идет в купе с невозможностью выхода в интернет, описанного выше. Если загрузиться в безопасном режиме, то все будет работать.

Та что же такое Trojan.Mayachok.1? Это динамическая библиотека, которая, после заражения, подключается ко всем загруженным в системе процессам. Поэтому, даже если вы и прогоните всю систему антивирусом или сканером аля Dr.Web CureIt, то они могут радостно отрапортовать, что процесс обезврежен. Но радоваться то не стоит, ибо после перезагрузки процесс снова будет заражен.

P.S -Я свой комп вылечил.

[MAKSIM914]

Ни как не получается не изменить,не удалить параметр AppInit_DLLs.Значение у него такое:C:\PROGRA~2\VKSAVER\VKSAVER3.DLL.Пробывал загружаться с LiveCD и в безопасном режиме,все равно не получается удалить(т.е. удалять то получается,но после перезагрузки все возвращается).Помогите пожалуйста избавиться от этого паразита.Кстати в папке C:\windows\system32\ файл который прописан в параметре AppInit_DLLs отсутствует.

[999_999_999]

Воспользуйся поиском, ищи файл VKSAVER3.DLL т.е то что прописано у тебя в параметре AppInit_DLLs. Кстати VKSAVER это программа для скачивания музыки вконтакте, которую ты сам скорее всего установил, возможно достаточно будет просто ее удалить!
На вирустотал на эту программу(одну из ее модификаций) заругались 4 из 42 антивирей!

» Спойлер (нажмите, чтобы прочесть) «

SHA256: d18b348e952c57944b9d1c85f4eca7b55bc65f22e2d5ecfe7ba0160263a29e52
File name: vksaver_install.exe
Detection ratio: 4 / 42
Analysis date: 2012-02-29 03:47:30 UTC ( 1 минута ago )
00
Antivirus Result Update
AhnLab-V3 - 20120228
AntiVir - 20120228
Antiy-AVL Downloader/Win32.Walta.gen 20120228
Avast - 20120228
AVG - 20120229
BitDefender - 20120229
ByteHero - 20120222
CAT-QuickHeal - 20120228
ClamAV - 20120229
Commtouch - 20120229
Comodo - 20120228
DrWeb Adware.Downware.211 20120229
Emsisoft Win32.AdWare.AAG!IK 20120229
eSafe - 20120227
eTrust-Vet - 20120228
F-Prot - 20120228
F-Secure - 20120229
Fortinet - 20120229
GData - 20120229
Ikarus Win32.AdWare.AAG 20120229
Jiangmin - 20120228
K7AntiVirus - 20120228
McAfee - 20120229
McAfee-GW-Edition - 20120228
Microsoft - 20120228
NOD32 - 20120229
Norman - 20120228
nProtect - 20120228
Panda - 20120228
PCTools - 20120228
Prevx - 20120229
Rising - 20120228
Sophos - 20120229
SUPERAntiSpyware - 20120229
Symantec - 20120229
TheHacker - 20120228
TrendMicro - 20120228
TrendMicro-HouseCall - 20120229
VBA32 - 20120228
VIPRE - 20120229
ViRobot - 20120229
VirusBuster - 20120229
Comments
Additional information
No comments
You have not signed in. Only registered users can leave comments, sign in and have a voice!
Sign in Join the community

Сообщение отредактировал 999_999_999 - 29.2.2012, 10:58

[MAKSIM914]

VKSaver я удалил после того,как оный начал глючить.Интернет начал моросить только после этого и полез в реестр.Вот тут-то и обнаружил гаденыша,теперь избавиться от него не могу. Пробывал и через поиск поискать какой-нибудь файл относящийся к данной программе, но удалял я эту прогу граммотно поэтому поиск оказался безрезультатным.

[e2c33ad]

C:\PROGRA~2\WI3C8A~1\Datamngr\x64\datamngr.dll C:\PROGRA~2\WI3C8A~1\Datamngr\x64\IEBHO.dll это вирус?

[MotoArhangel]

http://www.filecheck.ru/process/iebho.dll.html

[mik31199]

Я тоже столкнулся с этим трояном. Сразу же скачал доктор веба и просканировал. Вроде удалился. По крайней мере не видно его присутствия.