• Добро пожаловать на компьютерный форум Tehnari.ru. Здесь разбираемся с проблемами ПК и ноутбуков: Windows, драйверы, «железо», сборка и апгрейд, софт и безопасность. Форум работает много лет, сейчас он переехал на новый движок, но старые темы и аккаунты мы постарались сохранить максимально аккуратно.

    Форум не связан с магазинами и сервисами – мы ничего не продаём и не даём «рекламу под видом совета». Отвечают обычные участники и модераторы, которые следят за порядком и качеством подсказок.

    Если вы у нас впервые, загляните на страницу о форуме и правила – там коротко описано, как задать вопрос так, чтобы быстро получить ответ. Чтобы создавать темы и писать сообщения, сначала зарегистрируйтесь, а затем войдите под своим логином.

    Не знаете, с чего начать? Создайте тему с описанием проблемы – подскажем и при необходимости перенесём её в подходящий раздел.
    Задать вопрос Новые сообщения Как правильно спросить
    Если пришли по старой ссылке со старого Tehnari.ru – вы на нужном месте, просто продолжайте обсуждение.

Trojan.Mayachok.MEM

Статус
В этой теме нельзя размещать новые ответы.
Ваня

Ваня

Почётный Шарлотан
Команда форума
Регистрация
27 Авг 2010
Сообщения
9,153
Реакции
1,070
Баллы
0
Всем привет!
Случайно поймал этого зловреда, пытался поставить DJVU reader. (с сайта mydjvu, не ходите туды :) )
Так в браузерах появился смс-вымогатель. Курейт чистил его только из оперативной памяти, по этому после перезагрузки он появлялся вновь.
Сделал вот так:
1. Жмем сочетание «Win+R» (удерживая кнопку с изображением флажка, нажимаем R), набираем «Regedit» и заходим в редактор реестра;
2. Проходим по пути
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
3. Находим параметр AppInit_DLLs и смотрим его значение. Если у вас сидит Маячок, то будет что-то типа этого — «C:\windows\system32\paxzwyk.dll»
Вместо paxzwyk.dll может быть любой dll с именем из набора латинских букв;
4. Удаляем это значение. Тут очень важно: а) Удаляем значение параметра AppInit_DLLs, а не сам параметр (правой кнопкой мыши щёлкнуть по названию параметра и выбрать Изменить, затем стереть внизу значение самого параметра); б) запишите имя файла, что бы его можно было легко найти на компьютере; в) поищите информацию об этой библиотеке dll (например в Google), ибо тут могут сидеть библиотеки честных программ (например Касперский иногда там тоже прописывает свою библиотеку). Удаляем;
5. Перезагружаем систему, ибо сейчас файл не удастся удалить;
6. Находим в папке C:\windows\system32\ и удаляем файл, который был прописан в параметре AppInit_DLLs;
7. Снова перезагружаем систему, заходим в браузер, радуемся доступу в интернет.
Для тех у кого стоит 64-х разрядная система есть некоторые отличия:
1. Вирус может находиться в папке C:\windows\SYSWOW64
2. Редактор реестра, отвечающий за 32-х разрядные компоненты открываем так: Win+r -> %SystemRoot%\SysWOW64\regedit.exe
В остальном все тоже самое. Ну, вроде, это всё.
Нажмите для раскрытия...
Но теперь не работает опера, при попытке открыть яндекс или гугл зависает напрочь.
Я вот думаю, может зловред еще остался?

ВОТ что пишет uVS:
 

Вложения

В "хосте" лишние строчки не появились? Папка WINDOWS\system32\drivers\etc файл hosts открыть блокнотом. Смотрим, там снизу должна быть только строчка localhost.
 
Dr.Web туда зачем-то ютуб добавил, однако он работает.
 
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код: 
;uVS v3.80.13 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
zoo %SystemDrive%\USERS\ИВАН\DOCUMENTS\EXPLORER.DLL
addsgn A7679BC9DE37442480A1A2E6EFB50280D3FFF575B4261C5AE9C32E9AD328703826943D554B773CA923A2E81A866240AD2B8C17A2D01AC4207A21F7C7CFF9DD8C 64 Ciavax
bl 91FAE3CC5B573C2F3E5A436FCF8FA1FC 69632
delref %SystemDrive%\USERS\ИВАН\DOCUMENTS\EXPLORER.DLL
deltmp
delnfr
; Bonjour
exec MsiExec.exe /X{E4F5E48E-7155-4CF9-88CD-7F377EC9AC54} /quiet

; Pandora Service
exec C:\Program Files (x86)\PANDORA.TV\PanService\unins000.exe

czoo
restart
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту sendvirus2011@gmail.com, support@esetnod32.ru
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://www.tehnari.ru/f150/t81927/
 
Проблемы ушли, спасибо!
Malwarebytes нашел один зараженный файл в Program Files, удалил.
 
хорошо,
далее, закрываем уязвимости с помощью AVZ

Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится айл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
Нажмите для раскрытия...
 
Нашел некую Уязвимость в MSXML. Поставил обновление.
 
Re: Сделал:
 

Вложения

удалите найденное в AdwCleaner по кнопке delete
автоперезагрузка будет системы.

на этом можно закончить проверки.
 
Статус
В этой теме нельзя размещать новые ответы.

Похожие темы

F
Словил майнер с троянами, удалил, но это не точно, помогите разобраться.
Ответы
0
Просмотры
131
Feimah
F
Гризлик
При получении "синего экрана смерти" BSOD
Ответы
0
Просмотры
20K
Гризлик
Гризлик
Технарь
Телеметрия Windows 10. Как настроить сбор диагностических данных
Ответы
5
Просмотры
2K
Технарь
Технарь
J
  • Закрыта
Ускорение графического интерфейса на классической теме Windows 7 (набор решений)
Ответы
2
Просмотры
5K
Plisr
Plisr
Технарь
Процесс Antimalware Service Executable грузит систему Windows 10? Как исправить
Ответы
1
Просмотры
3K
prima
P
Назад
Сверху