Троянская программа Trojan.Mayachok.1
Антивирусы находят, блокируют в памяти - но при перезагрузке опять появляется.
http://vkontakte.ru/dream_lair Салават Валиуллин
Доброго времени суток всем... Не давно тоже столкнулся с этим, В последнее время эта напасть успела осложнить жизнь многим пользователям интернета, и я надеюсь найденный мной способ поможет сберечь время, деньги и нервы многим будущим пострадавшим от Trojan.Mayachok.1
Описание повадок зловреда на сайте Dr.Web достаточно подробное поэтому не будем повторяться, от себя только добавлю что иногда пострадавший сталкивается с полной невозможностью выйти в интернет при помощи любого браузера, или вместо нормальной загрузки сайта открытие страниц происходит в виде, напоминающем исходный код.
Итак, выяснили, у нас действительно Trojan.Mayachok.1. Что делать? Нет смысла скачивать большое количество разнообразного антивирусного софта и тратить время на многочасовые проверки в надежде что поможет хоть что-то из этого - ни одно, так другое. Такая вероятность есть, но в некоторых случаях троянец хоть и определяется антивирусом, но оказывается ему не по зубам - при следующих проверках мы видим его снова и снова. Не стоит отчаиваться, всё на самом деле очень просто. Открываем редактор реестра - regedit.exe, находим ветку: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows и параметр AppInit_DLLs. Смотрим значение этого параметра. Если видим запись, подобную этой: "AppInit_DLLs" = "C:\windows\system32\tvhihgf.dll" (кроме tvhihgf.dll имя файла может состоять из любых других латинских букв) - удаляем ее (имя файла запомните или запишите, чтобы потом легко его найти). Сам параметр AppInit_DLLs при этом оставляем, убираем только значение. Перезагружаемся. После этого разыскиваем этот файл на диске - и так же удаляем. Это и есть наш Trojan.Mayachok.1. Потом находим и удаляем созданные одновременно с tvhihgf.dll (смотрим по дате) файлы с расширением .tmp из каталога C:\windows\system32. Ещё раз перезагружаемся и наслаждаемся беспрепятственным доступом к любимым сайтам.
Внимание! Перед тем как удалить любую запись в AppInit_DLLs, обязательно гуглим по ней, поскольку в этом параметре могут быть прописаны и вполне легитимные программы. Если в AppInit_DLLs перечислено несколько файлов - находим информацию по каждому, и удаляем только троянский ключ.
Для пользователей x64 разрядных систем:
Троянец может находиться в каталоге C:\windows\SYSWOW64
Редактор реестра, отвечающий за 32 разрядные компоненты в x64 разрядных системах находится в каталоге C:\windows\SysWOW64
Для его запуска через меню "Пуск" - "Выполнить" нужно указывать полный путь:
%SystemRoot%\SysWOW64\regedit.exe
По умолчанию на x64 разрядных системах запускается редактор из каталога C:\windows, т е отвечающий за 64 разрядные компоненты. В нем так же есть 32 битный раздел - HKLM\SOFTWARE\Wow6432Node, то есть проверять нужно в том числе ветку
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows
------
Описание трояна:
http://news.drweb.com/?i=1809