Связаться с автором блога Карта сайта

Заразился диким трояном «Trojan.Mayachok.1»

Заразился диким трояном «Trojan.Mayachok.1»

Что только не повстречаешь на просторах рунета кроме полезной и интересной информации, тут тебе и всякий мусор, и по*рно, и вирусы, и кидалы, и прочая нечесть. Вот и мне с моей защитой, которую я долго вытачивал, пришлось столкнуться с диким трояном «Trojan.Mayachok.1», который не просто умудрился поразить мой компьютер, но и заразить мой антивирус 8-O !

Конечно, это и осеняя активизация вируса (читал в новостях), и возможно, руткиты или ещё что вмешалось, но он умудрился обойти мой firewall и антвирус, и поглумиться над моей системой, а это уже повод задуматься над безопасностью ещё сильнее, хотя я и так параноик на эту тему!

Для начала поведаю, что стоит у меня:

  • Eset Nod 32 4.0.467
  • Outpost Firewall Pro 2009
  • Windows XP

Ну привык я юзать эту троицу, и ничего поделать не могу, хотя уже взял лицензию на Windows 7, и желаю поставить самый навороченный антивирус от лаборатории Касперского. Осталось только решиться снести систему и всё это поставить.

Предыстория и процесс

Для начала я продолжал работать сразу на двух ПК, то есть на своём и на серверном, где работаю с Xrumer’ом и прочим софтом. Работал-работал, и на тебе, всё начинает закрываться, и дело пошло к перезагрузке системы. Чёрт побери.

Компьютер перезагрузился, Nod 32 сразу же выцепил из оперативной памяти какой-то вирусняк связанный с «netprotocol.exe» и выдал такое сообщение:

вероятно модифицированный Win32/TrojanClicker.Agent.NII троянская программа

По идее, когда дело касается заражения оперативной памяти, то я незамедлительно начинаю качать всеми известный Cureit, а вместе с ним и утилиту от Касперского, ведь это не шутки!

Вперёд к цели!

Скачал обе софтины и первым делом врубил cureit, который так же очень быстро нашёл заразу «Trojan.Mayachok.1» где-то в корне system32, в одном из ключевых файлов, а следом за ним и «Trojan.Mayachok.2» в месте, которое далеко от моего понимания и представления.

Первый троян был обезврежен, а второй исцелён. Честно говоря, я давно уже не видел таких сообщений от cureit’а, так как обычно он просто удаляет вирусы.

Забавно, что в след за ними он нашёл вирусняк в процессе «ekrn.exe», который является базовым процессом антивируса nod 32, то есть как я понимаю это трактуется так, что этот троян поразил и мой антивирус. Ну его он обезвредил, ладно.

Вместе с этой пакостью, Cureit обнаружил «Adware.Downware.25» и подозрение на «DLOADER.Trojan», которые так же беспощадно удалил.

Но оказалось вирусняк жив!

В итоге после этой полной проверки, и удаления всякой нечисти, я сделал очередную быструю проверку в результате которой был вновь найден «Trojan.Mayachok.1» и снова в процессе антивируса, и опять был удалён.

На этот раз поражённый процесс был несколько иначе представлен, то есть либо оба антивируса находят лишь зараженные файлы, а не сам вирус, либо мои идеи иссякли.

Но после этого сделал новый полный прогон диска C, и на этот раз вирусов найдено не было! Но неудовлетворённый, я по новой врубил быструю проверку Cureit’ом, что бы окончательно убедиться, что вирус удалён.

После проверки, cureit снова выявил этот чёртов «Trojan.Mayachok.1», и снова его обезвредил, но это значит пришло время для утилиты от лаборатории Касперского, а именно для «Kaspersky Virus Removal Tool».

Начинаю беспокоиться

Такой ситуации, когда заражался мой собственный антивирус, у меня никогда не было, да и когда Cureit что-то находил, но не мог удалить, вроде бы тоже.

Кроме того, на случай если зарекомендовавшие себя утилиты не справятся с этой злобой дня, я скачал ещё чистящих софтин:

  • Malwarebyters’ Anti-Malware
  • Trojan Remover
  • Spyware Doctor
  • Super Antispyware
  • Registry booster

Каждая из этих программ нарекомендована мне либо массовыми голосованиями на форумах безопасности, либо я пользовался ими сам. Из всего списка я пользовался лишь Spyware Doctor, и в то время она показала себя очень хорошо в плане обезвреживания всякого рода шпионов и мусора.

Запускаю пятый антивирус

А точнее пятую программу из всего перечня (Nod32, Cureit, VRT, MAM и Trojan Remover), выставил, как и ранее, самые мощные настройки, и получаю, что она почти сутки работала, но к сожалению, вообще ничего не нашла.

К слову, предыдущие 4-е что-то да находили, это были либо иные угрозы, либо разные имена всё того же «Trojan.Mayachok.1», и каждая делала свою работу по удалению, а итог один и тот же, cureit всё-равно находит вирус, и почти каждый раз в новом файле.

И что тогда делать дальше?

Идти по списку своих программ, и следующим по списку как раз идёт ранее зарекомендовавший себя «Spyware Doctor», правда не знаю, или уже не надеюсь, что и он справится. И всё же покапался в настройках «Trojan Remover», и по новой запустил проверку, правда теперь какой-то супер эвристический анализ, так как проверялся почти сутки, и вообще ничего нового не нашёл.

Снова проверил компьютер Cureit, и снова он нашёл этот долбанный «Trojan.Mayachok.1», а при прочих равных и мой Nod32 время от времени срабатывал на «Win32/Agent.SFM» в «Malwarebyters’ Anti-Malware». Всё проверил, всё почистил, запустил снова nod 32 на проверку всего компьютера, и о боги, он снова нашёл вирусы, не смог их обезвредить и попросил перезагрузку системы.

Систему перезагрузил, и ни nod32, ни Cureit больше ничего не находят! Похоже, мне всё-таки удалось удалить этот чёртов троян с помощью обезвреживания и лечения Cureit’ом моего заражённого Nod32, удаления связанной с этим вирусом нечестии с помощью «Malwarebyters’ Anti-Malware» и прочих действий.

В завершение

В завершение я ещё на раз проверил компьютер с помощью Nod32, Cureit, Virus Removal Tool и «Malwarebyters’ Anti-Malware», и никто из них более ничего не нашёл. Теперь я убедился, что система чиста, что мне однозначно приглянулся «Malwarebyters’ Anti-Malware», надо брать лицензию, и наконец, что бы быть аккуратнее с сервером, ведь именно оттуда вирус и пришёл.

Ну и напоследок, хочу напомнить, что это первая часть статьи, где я написал как я боролся с трояном «Trojan.Mayachok.1», его производными и прочим мусором, но будет ещё и следующая статья, где я расшифровал процессы в диспетчере задач, что так же косвенно мне помогло бороться с этой зловрединой.

Оффтоп

Ну и пока искал картинку для этого поста набрёл на видео группы “Вирус”, под которую мы колбасились лет 10 назад, включил, глянул, послушал, ностальгия прям :-)

П.С. Зачем она так открыла рот и закрыла глаза? :-P

С уважением, Максим Шихаль.

 
03.12.2011 | Раздел: Разное |

VK
OK
MR
GP

Предыдущие посты блога:

  • 1 Ноя. 2011 - Будущие темы на форуме. Ноябрь 2011
  • 24 Окт. 2011 - Хобби - программирование мышления!
  • 19 Окт. 2011 - Определение уровня риска при продвижении сайта
  • |
    • Bulgakov

      Где же тебя угораздило получить этот вирус? На Серваке не ставил антивирус что ли?

    • Да по идее на серваке антивирусы и не ставятся… да не на серваке я его получил, так как тем же Cureit’ом проверил, и ничего не нашёл….

    • каспер ставь и не парься

    • Летом у меня такая же беда случилась, сама так и не справилась – пришлось звать доктора. Но обошлось без переустановки, слава Богу.
      После этого завязала с бесплатным Авастом и купила лицензию для Касперского.
      Где нашла вирус даже не знаю – шастала в основном только по блогам.

    • Ну вот теперь буду ставить его, и на лицензионное ПО переходить… слал я крякнутый софт теперь… сегодня систему буду сносить и семёрку лицуху ставить..)

    • Оу… Ну такие зловредины не всегда удаётся своими силами удалить, тут ведь не только антивирусы и антитрояны, тут ещё и с реестром ковыряться, и не только… в общем правильно сделала, что доктора вызывала..) А какого? Для взрослого компа ныные педиатора вызывают?)))) 

      Ну иногда бывает, что авторы блогов не замечают, как их движок уже прошили….

    • Сначала я обратилась к официальной компьютерной медицине, то бишь в ремонтную мастерскую, но они доверия не вызвали. Пришлось через знакомых найти знахаря-самоучку))
      Что значит движок прошили?

    • А зачастую так и бывает… но а нам простым смертным что делать?) То что предлагают нам.. 

      Ну а знахари самоучки нередко бывают лучше конвеерных..)

      Это значит, что посредством увода пароля от ftp, или инъекциями, прописали в ключевые файлы вирусную информацию..

    • Timofiy

      На самом деле обзор малвари не рыба не мясо! Сразу видно, дилетант писал. (без обид) На сет малвари этой да, хорошенький вирус) Я кстати был первым кто сообщил в ESET о данной малвари и они включили его в сигнатуры.

    • Маским, а касперский денежек сколько просит за антивирус? На год там вроде покупаешь?

    • Гость

      Почему не пишете в твиттер больше?) 

    • ты куда пропал?

    • Артур

      Скачивал crack для программы а вместо него попалась вот эта вот гадость!
      Сейчас не знаю что делать,Dr.Web его не убивает все антивирусные программы описанные выше и в инете не помогают они просто умирают(пропадают из компа),Курент доктора находит его пишет что обезвредил но после перезапуска все снова…

      Реестр чистил,откат системы не помогает,винду переустановить не дает(пишет ошибку мол пока не удалишь не переустановлюсь)…

    • Hdfhsh

      просто нод это полное авно! смени антивирус

    • А я сейчас юзаю касперского лицензию с ежемесячной оплатой по своему интернет провайдеру… в итоге выходит на 5%: дешевле, чем на оффициальном сайте:)

    • Ну почему же? Пишу!) Причём активно даже..)

    • Я уже нашёлся..)

    • Ну тут только через безопасный режим, и многократное удаление антивирусами этой заразы… я же как баран по несколкьо раз одним и тем же антивирусом, в разной последовательности его бил.. и всё-атки же убил:) Теперь поставил лицензионный касперский и не парюсь однако!)

    • Уже сменил..) Касперского последнего поставил лицуху..)

    • ARGLETOR

      Такая же проблема была с трояном Trojan.Mayachok.1,
      поставил Dr. Web, он его нашел и удалил. 

    • Aleks 13

      1. Открываем редактор реестра: нажимаем “Пуск” => “Выполнить” вписываем команду: regedit, нажимаем enter. Далее находим ветку: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows
      и параметр AppInit_DLLs
      Смотрим значение этого параметра. Если видим запись, подобную этой: “AppInit_DLLs” = “C:windowssystem32tvhihgf.dll” (кроме tvhihgf.dll имя файла может состоять семи из любых других латинских букв) – удаляем ее (имя файла запомните или запишите, чтобы потом легко его найти). Сам параметр AppInit_DLLs при этом оставляем, убираем только значение.
      Ошибочные действия при правке реестра могут серьезно повредить систему!
      2. Перезагружаемся. Это обязательный момент! Входим в безопасный режим.
      3. Разыскиваем этот файл на диске – и так же удаляем. Это и есть наш Trojan.Mayachok.1.
      4. Находим и удаляем созданные одновременно с tvhihgf.dll или чуть позже (смотрим по дате) файлы с расширением .tmp из каталогов C:windowssystem32 и C:windowsSYSWOW64 (на 64 битных системах). Это резервные копии Trojan.Mayachok.1.
      5. Ещё раз перезагружаемся и наслаждаемся беспрепятственным доступом к любимым сайтам.
      6.Так же троян может иметь имя C:WINDOWSsystem32xktudsc.dll С ним поступаем аналогично.

    • Amidly

      у меня тоже самое, сейчас буду ити по твоему плану
      ….. спс за инфу))

    • Гость

      Удалил утилитой  “Malwarebyters’ Anti-Malware”

    • Игорек

      ну а вот приблизительно 2 часть.Я столкнулся с аналогичной точь в точь проблемой.
      открываем ПУСК-ВЫПОЛНИТЬ-ВВОДИМ regedit, ДАЛЕЕ ПОЭТАПНО:HKEY LOCAL MACHINESOFTWAREMICROSOFTWINDOWS NTCURRENTVERSIONWINDOWSНАХОДИМ ФАЙЛ AppInit DLLsсмотрим значение, долно быть C:windowssystem32после цифр 32 не должно быть НИЧЕГО, если там что то написано, то смело удаляемЕсли там в значении вообще ничего не написано, то просто прописываем C:windowssystem32….и сразу проверяем….и радуемся. Все это необходимо проделать только после удаления вируса с помощью различных программ.

    • Игорек

      ну а вот приблизительно 2 часть.Я столкнулся с аналогичной точь в точь проблемой.
      открываем ПУСК-ВЫПОЛНИТЬ-ВВОДИМ regedit, ДАЛЕЕ ПОЭТАПНО:HKEY LOCAL MACHINE SOFTWARE MICROSOFT WINDOWS NT CURRENTVERSION WINDOWS НАХОДИМ ФАЙЛ AppInit DLLs смотрим значение, долно быть C:windowssystem32 после цифр 32 не должно быть НИЧЕГО, если там что то написано, то смело удаляем Если там в значении вообще ничего не написано, то просто прописываем C:windowssystem32 ….и сразу проверяем….и радуемся. Все это необходимо проделать только после удаления вируса с помощью различных программ.

    • Al-x

      Ну и стоит у меня самый распоследний касперский. И два раза я с ним этот вирус словил. Каспер виря обнаружил, но комп все равно ушел в перезагруз и после этого оказался зараженным, т.к. интернет перестал нормально работать. Помог только куреит. Да и каспера я снес. Обиделся чет.

    • И всё же Касперский (если KIS) является лучшим среди антивирусных систем комплексного типа. Его можно настроить так, что реально ни один вирус не сможет поразить систему.

    • MG42

      Мужики, ну я и поржал над вами… 5 антивирей имеете на компе… а то и лецензию проталкиваете здесь… А у меня вообще ничего из этого не стоит… правда вот что то словил седня… едва систему восстановил, куреит нашел якобы Маячка, но  не нашел никаких делелеелок… Короче… внимание и внимание, по порноисайтам не ходить и на сомнительные линки не давить (как я умудрился, знаю). В общем – никаких ван антивирей, никаких лицензий… 

    • OksanaGord

      большое-большое Вам спасибо))  антивирус Dr.Web помог только название вируса обнаружить, а дальше – все вышеперечисленные шаги..супер!!! и это притом, что редакция реестра была закрыта у меня, и в безопасном режиме никогда ниче не делала – все ОК

    • Да это тоже глупо так…

      Насчёт маячка, их с тысячу версий, одна лучше другой.

    • Всегда пожалуйста! Рад, что вам удалось найти решение своей проблемы у меня в блоге!

    • Jkmuf

       Спасибо, спасибо, история точно такая же как и OksanaGord вот только не знаю получится ли его выселить вместе с корнями или все же что-то да  останется

    • APJJ

      Игорек, а что нужно писать после system 32?

    • правда-матка

      автор еблан

    • Василий

      поставте убунту пунто свичер,а на нее виртуальную винду и проблемы исчезают сами собой и не надо антивирусников никаких!!!под убунту вирусов не пишут!))))

    • Иван

      Напиши как бороться с Sality.NBA вирусом или что то в этом роде

    • Я не специалист, поэтому вам лучше идти на специализированный форум. Я всегда делаю просто, качаю cureit и утилиту касперского -> вырубаю интернет, проверяю установленным антивирусом, потом обеими утилитами и любая зараза отправлена в ад.

    Комментариев в блоге
    39,984
    -----------------------
    Обновлено: 11:42 29.09.2016
    Я в социальных сетях
    Мой твиттер   Мой ВК   Мой фейсбук   Мой G+
    Мои цели
    • 3'000 посетителей в день (до 1.05.17)
    • 40'000 комментариев (до 1.05.17)
    • 20'000 фолловеров в тви (до 1.05.17)
    • 50'000 рублей в месяц (до 1.05.2017)
    • 100'000 руб. на отпуск (до 1.07.2017)
    • Отдохнуть в Таиланде (09.2017)..
    Статистика блога
    Яндекс Каталог  DMOZ

      Яндекс.Метрика

    вся статистика
    Рекомендую
    • Родина Линков - хороший источник вечных ссылок
    • Gogetlinks - хорошая биржа вечных ссылок
    • Pr.Sape - вечные ссылки с гарантией индексации, оплатой в рассрочку и страховкой от снятия вебмастерами