[S.R]

Выполните http://forum.oszone.net/thread-98169.html

[smirnov1493]

S.R, спасибо , мне удалось найти решение этой проблемы, более простым минутным способом , просто раньше меня не пускало , на другие сайты, а я быстро обезвредил маяк в ДрВебе затем резко обновил страницу , и там был простой способ )))

читать дальше »

Вот он

[SolarSpark]

smirnov1493, дайте лог RSIT посмотреть, наверняка антивирь не дочистил систему

[smirnov1493]

SolarSpark, Спасибо за содействие, с проблемой разобрался (касивая))).

Цитата smirnov1493:

мне удалось найти решение этой проблемы, более простым минутным способом »

Ну вирус звеееерь , заставил понервничать , я так часто переустанавливал раньше систему, и это так запарило, а тут бац , всего пару тыков в реестре.

Что бы не переходить на сторонний сайт который я выложил в предыдущем посте. Выложим решение этой проблемы на вашем форуме . И ТАК!)))

Удаляем Trojan.Mayachok.1 в ручную! Как удалить Mayachok.1 ( Маячок )

Прибыл в мое расположение вчера компьютер с симптомами — не выходит в интернет.
Подключение есть, а вот в интернет не выходит. Посмотрев на бедный антивирус Касперского, который не обновлялся,
наверно, с развала СССР, мною тут же была выдвинута теория, что подхвачен относительно
молодой вирусняк — Trojan.Mayachok.1. Мои опасения подтвердились — Trojan.Mayachok.1
спокойно сидел в системе маскируясь под системный процесс.
О том, что же это за зверь и как с ним бороться и поговорим сегодня.

Досье на Trojan.Mayachok.1

Подозреваемый Trojan.Mayachok.1, он же носит клички: trojan.win32.ddox.ci,
trojan.win32.cidox, trojan.win32.zapchast.feh, trojan:Win32/Vundo.OD,
trojan.Win32.Mondere, trojan.Generic.KDV.169924. Подозреваемый Trojan.Mayachok.1 хитер
и крайне опасен — вымогает деньги своих жертв путем просьбы ввести свой номер телефона, с
которого сразу же списываются счета путем подписки на рассылку. Платные СМСки и
«положите деньги на телефон» в прошлом.

Основные источники заражения: — социальные сети, хотя и в других местах его ничуть не труднее поймать.

Характерные признаки заражения:(Отступление — я видел 2 признака из трех в своей практике)

1. При попытки зайти на любой сайт или соц. сети, жертва перенаправляется на поддельные
страницы таких сайтов как «Ростелеком», «Вконтакте», «Одноклассники» и др., где под
разными предлогами просят ввести жертву свой номер телефона. После ввода телефона с
него незамедлительно списываются денежные средства, да к тому же будет подключена
рассылка, за которую Вы так же будете платить. Возможность отписаться есть, но могут
отписать не сразу, да и номер Вы свой спалите и не исключен спам на него.
(прим. ред. — данный вид мне не попадался)

2. При попытки выйти в интернет браузер: а) либо попросту не открывает ничего, выдавая ошибку подключения;
б) страница предстает в виде чистого кода страницы.
(прим. ред. — с этим сталкиваюсь очень часто).

3. Многие программы перестают запускаться, выдавая различные ошибки. Зачастую этот признак
идет в купе с невозможностью выхода в интернет, описанного выше. Если загрузиться в безопасном режиме, то все будет работать.

Та что же такое Trojan.Mayachok.1? Это динамическая библиотека, которая, после заражения,
подключается ко всем загруженным в системе процессам. Поэтому, даже если вы и прогоните всю
систему антивирусом или сканером аля Dr.Web CureIt, то они могут радостно отрапортовать, что
процесс обезврежен. Но радоваться то не стоит, ибо после перезагрузки процесс снова будет
заражен. Так как же с ним бороться?!?

Удаление Trojan.Mayachok.1 в ручную:

1. Жмем сочетание «Win+R», набираем «Regedit» и заходим в редактор реестра;

2. Проходим по пути;

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

3. Находим параметр AppInit_DLLs и смотрим его значение. Если у вас сидит Маячок, то будет что-то типа этого — «C:\windows\system32\paxzwyk.dll»

Вместо paxzwyk.dll может быть любой dll с именем из набора латинских букв;

4. Удаляем это значение. Тут очень важно: а) Удаляем значение параметра AppInit_DLLs, а не сам параметр;
б) запишите имя файла, что бы его можно было легко найти на компьютере;
в) поищите информацию об этой библиотеке dll (например в Google), ибо тут могут сидеть библиотеки честных программ
(например Касперский иногда там тоже прописывает свою библиотеку). Удаляем;

5. Перезагружаем систему, ибо сейчас файл не удастся удалить;

6. Находим в папке C:\windows\system32\ и удаляем файл, который был прописан в параметре AppInit_DLLs;

7. Снова перезагружаем систему, заходим в браузер, радуемся доступу в интернет.

Для тех у кого стоит 64-х разрядная система есть некоторые отличия:

1. Вирус может находиться в папке C:\windows\SYSWOW64

2. Редактор реестра, отвечающий за 32-х разрядные компоненты открываем так:
Win+r -> %SystemRoot%\SysWOW64\regedit.exe

В остальном все тоже самое.

[SolarSpark]

молодца) только не все зачистил.. сидят еще файлы темповские в system32

так что просим лог RSIT

[smirnov1493]

Цитата SolarSpark:

молодца) только не все зачистил.. сидят еще файлы темповские в system32 так что просим лог RSIT »

так , всё же вроде нормально работает, а папку Temp можно и BoostSpeedom почистить ))

а можно ссылочку на рабочую RSIT ) ?

Тя как звать то ? не Марья случайно )))

[thyrex]

Цитата smirnov1493:

а можно ссылочку на рабочую RSIT ) ? »

Ну так здесь http://forum.oszone.net/thread-98169.html все есть

[smirnov1493]

Вроде это, жуть как много информации, неужели можно разобрать , что есть вирус , а что и нет
log.txt

[SolarSpark]

Пофиксить в HijackThis следующие строчки:

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\Windows\system32\C228.tmp');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!