Маячок вирус что это такое

Обновлено: 23.04.2024

Несколько раз проверил dr.web и malwarebytes! Когда 1 раз проверял на dr web был найден 1 вирус (просто троян) - удалил! Но есть другой вирус есть на компе - троян маячок! C\WINDOWS\system32\ohtxalf.dll Dr web не может его удалить,обезвредить и переместить

Удаление Trojan.Mayachok.1 в ручную:

Итак, спасаем свое железо от Маячка:

2. Проходим по пути: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

ВАЖНО: Скорее всего это и есть вирус Маячок, но вы на всякий случай скопируйте название и вбейте в поиск Яндекса. Вдруг это честная программа.

5. Вирус еще жив. Пока не расслабляйтесь. Перезагружаем комп. Заходим в C:\windows\system32\ и удаляем тот файл, что был прописан в параметре AppInit_DLLs. Опять перезагружаем комп. Для некоторых это еще не конец.

Если у вас стоит 64-х разрядная система, нужно будет еще попыхтеть:

1. Маячок может быть в папке C:\windows\SYSWOW64

Радуемся жизни, открываем браузер и восхищаемся собой!! !

ps: НЕспасибо интернету за заразу и СПАСИБО интернету за решение проблемы.

пуск-выполнить-regedit . в реестре раскрываем последовательно ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows .дальше щёлкаем по "windows" и с правой колонки реестра будет отображаться все его параметры . надо найти параметр "AppInit_DLLs" . дальше щелкаем по нему и смотрим какое у него значение, в вашем случае часто встречается вот такой надпись C:\windows\system32\tvhihgf.dll" . у вас последнее 7 латинские буквы может отличаться, но это и есть зараза в любом случае, поэтому удаляем весь это значение и надо записать это 7-значный название на бумагу .после удаления этого значение, надо перезагружаться . после этого, идем по пути C:\windows\system32 и находим название файла кот. записали на бумагу и удаляем его. после этого удаляем все файлы с расширением .temp отсюда тоже C:\windows\system32. после этого перезагрузка и вроде бы все.

Ну если вам выдает левую страницу интернета то тоже имеется вирус просто запускаем защитник виндовс находит угрозу смотрим в журнале подробности удаляем перезапус комп и вуаля

Вирус может быть определен антивирусными программами как: trojan.win32.ddox.ci, trojan.win32.cidox, trojan.win32.zapchast.feh, trojan:Win32/Vundo.OD, trojan.Win32.Mondere, trojan.Generic.KDV.169924. И при этом - антивирусы не в состоянии самостоятельно справится с этим вирусом. Они удаляют лишь активный модуль из оперативной памяти, но вычистить запись из реестра, перезапуститься и удалить исходный код - они не в состоянии.

Для начала уточним, что делает вирус Маячок.

Mayachok вымогает денежные средства своих жертв путем списания денежных средств с вашего телефона путем подписки на рассылку. Претензии оператору предъявлять бесполезно, так как вы сами добровольно поставили подписи на платную россылку

Где вы можете скачать вирус маячок:

Особо печально, что скачав и проверив архив с вирусом при помощи nod32, касперский, drweb, MSE - вы не обнаружите вирус. То есть узнать инфицирован файл или нет вы узнаете лишь после запуска, и соответственно - инфицирования.

Типичные признаки заражения:

• Ваш ПК сам перезагрузился, не выдавая никаких ошибок.
• После загрузки, при попытке зайти на каждый сайт или соц. сети, Маячок перенаправляет на фальшивые страницы этих сайтов как "Ростелеком", "Вконтакте", "Одноклассники" и др., где попросят собственный номер телефона. Для восстановить пароль или для проверки вашей личности. После ввода телефона с него незамедлительно списываются деньги, да также будет подключена рассылка, за которую так же будете платить.
• При попытки выйти в интернет броузер:
  • выдает ошибку подключения
  • страница типа blank - пустая
  • действия браузеров отличаются зараженной машины отличаются друг от друга. Скажем Google Chrome не будет работать вообще, Opera - будет открывать лишь каждую 10 ссылку. Что на самом деле еще не известно - хорошо ли это. И, да, скачать антивирус в этом случае практически не реально.

  Та что же такое Trojan.Mayachok.1?

  Это динамическая библиотека, которая, после заражения, подключается ко всем загруженным в системе процессам (svhost). По этой причине, даже если вы и прогоните всю систему антивирусом или сканером аля Dr.Web CUREIT, то они могут радостно отрапортовать, что процесс обезврежен. Однако радоваться то не стоит, ибо после перезагрузки процесс вновь будет заражен. Тот же Dr.Web CUREIT в упор не видит и не распознает сам файл с вирусом Trojan.Mayachok. Только его процессы в оперативной памяти.

  Что требуется чтоб удалить вирус Троян.Маячок:

  • Заходим в редактор реестра;
  • Проходим по пути;
  • Находим параметр APPINIT_DLLS и смотрим его значение. Если ПК инфицирован Mayachok, то обнаружите навроде этого - "C:\windows\system32\sdfgsdf.dll" (вместо sdfgsdf .dll может оказаться каждый dll с именем из набора латинских букв);
  • Записываем это значение на бумажку, а затем удаляем это значение из реестра. Только значение, а не название параметра!
  • Перезагружаем систему, ибо теперь файл запущен и удалить вам его не дозволят;
  • После перезагрузки находим в папке C:\windows\system32\ и удаляем файл, который был прописан в параметре APPINIT_DLLS , и все файлы с расширением .tmp появившиеся в одно время с ним (там резервные копииTrojan.Mayachok);
  • Вновь перезагружаем систему.
  • Очистите кеш (временные файлы браузера) — там могут скрываться вирусы
  • Очистите файл hosts - либо при помощи утилиты от drweb , либо вручную, найдя этот файл на ПК и удалив строки перенаправляения с сайтов одноклассников, ростелекома, вконтакте и др - на сайты злоумышленников.

  Для 64-х разрядных решение несколько иное

  1. Вирус может располагаться в папке C:\windows\SYSWOW64

  2. Редактор реестра, отвечающий за 32-х разрядные компоненты открываем так: Win+r -> %SYSTEMROOT%\SYSWOW64\regedit.exe

  Дополнение

  Появилась новая версия трояна Trojan.Mayachok, с присвоенным именем Trojan.Mayachok.17516. Несмотря на то, что эта угроза имеет определенное сходство с широко распространенным троянцем Trojan.Mayachok.1, в ее архитектуре выявлен и ряд существенных отличий.

  
  
  

  Trojan.Mayachok.17516 представляет собой динамическую библиотеку, устанавливаемую в операционную систему с использованием дроппера, который, являясь исполняемым файлом, в общем случае расшифровывает и копирует эту библиотеку на диск. Если в операционной системе включена функция контроля учетных записей пользователей (User Accounts Control, UAC), дроппер копирует себя во временную папку под именем flash_player_update_1_12.exe и запускается на исполнение.

  В случае успешного запуска этот исполняемый файл расшифровывает содержащую троянца библиотеку и сохраняет ее в одну из системных папок со случайным именем. Существуют версии библиотеки как для 32-разрядной, так и для 64-разрядной версий Windows. Затем дроппер регистрирует библиотеку в системном реестре и перезагружает компьютер.

  Вирус встраивается в другие процессы с использованием регистрации в параметре реестра AppInit_DLLs, при этом, в отличие от Trojan.Mayachok.1, Trojan.Mayachok.17516 способен работать не только в процессах браузеров, но также в процессах svchost.exe и проводнике explorer.exe.

  В 64-разрядных системах вредоносная программа работает только в этих двух процессах. Маячок использует для своей работы зашифрованный конфигурационный файл, который он сохраняет либо во временную папку, либо в служебную папку %appdata%.

  Facebook Если у вас не работает этот способ авторизации, сконвертируйте свой аккаунт по ссылке ВКонтакте Google RAMBLER&Co ID

  Авторизуясь в LiveJournal с помощью стороннего сервиса вы принимаете условия Пользовательского соглашения LiveJournal

  Вы выиграли бонус - вирус Trojan.Mayachok. Удаляем вирус

  И всё, никакие страницы не открываются, вкладки не создаются, антивирус ругается. Что же делать?

  1) Заходим в редактор реестра операционной системы Windows через команду "Выполнить", где вводим regedir.exe.
  Внимание: работать в редакторе реестра операционной системы следует с особой осторожностью, в противном случае последствия могут быть губительны для системы Windows.
  2) Проходим по следующему пути реестра HKEY_LOCAL_MACHINE -> SOFTWARE -> Microsoft -> Windows NT -> CurrentVersion -> Windows
  3) Ищем параметр AppInit_DLLs

  
  4) Открываем данный параметр (далем на нём двойной клик левой кнопкой мыши) и смотрим на строку значения. В моём случае путь выглядел следующим образом: C:\windows\system 32\lmyvnum.dll

  
  5) По некоторым данным имя данного файла (lmyvnum.dll) может быть каким угодно, но в любом случае состоит из семи строчных латинских букв. Удаляем это значение (путь C:\windows\system 32\lmyvnum.dll) и жмём ОК, при этом сам параметр AppInit_DLL не удаляем. Чтобы избежать ситцации, когда удаляется рабочее значение, рекомендую, перед тем как удалять значение, вбить в любой поисковик имя файла (например, lmyvnum.dll), чтобы убедиться, что это действительно не системный файл, и его можно удалять (если файл системный, то любой поисковик предложит Вам не одну страницу с описанием данного файла, в таком случае этот файл не трогаем и ищем другие сопособы борьбы с трояном-маячком)
  Запоминаем путь из значения параметра и стираем его. Тем самым вирус мягко говоря, теряет направление своей вредоносной деятельности. После того, как удаляем значение параметра.
  6) Выполняем обычную перезагрузку системы.
  7) Система загрузилась после перезагрузки - продолжаем искоренять зло из компьютерной системы вашего железного любимца. Для этого лучше всего использовать какой-нибудь файловый менеджер (например, Total Commandor). Выбираем тот путь, который указывался в значении параметра AppInit_DLLs, ищем тот самый злостный файл (как в моём случае lmyvnum.dll) - это и есть "маячок". Безжалостно удалем его. Затем всё в том же файловом менеджере сортируем файлы по типу расширения, находим группу расширений *.tmp и ищем все файлы, которые датируются датой заражения вашего компьютера троянчиком-маячком. Так же безжалостно удаляем их, поскольку это есть ни что иное, как резервные копии главного файла-вируса. Обычно эти файлы не содержат много букв в имени - в моём случае такой "резервист" содержал всего одну букву и размер 0.
  8) После удаления файлов вируса из системы, вновь перезагружаем систему, а после её загрузки продолжаем работать с интернет.
  Как удалить вирус Trojan.Mayachok
  
  

  
  

  Доброго времени суток,друзья,вчера столкнулся с проблемой,хотел скачать патч 1.07 на дьябло(ностальгия :3),скачал его,запустил,и всё начало закрываться,и компьютер перезагрузился,когда включил комп,все программы загружаись медленно,браузер работал с ужасно низкой скоростью,постоянно зависал и не работает не один сайт,почти.Я сразу полез на сайт Dr.Web и скачал прогу CureIt,запустил быструю проверку и CureIt нашёл некий Trojan.Mayachok.1 в процессах system32,и обезвредил его,вроде всё стало нормально,браузер просто притормаживал.Но сегодня опять началось все тоже самое,сайты не работают,на рабочих сайтах меня сразу перекидывает на какой-то internet.com,там сообщается что-то о низком отклике интернета,сверху написан мой IP адрес и провайдер,ниже написано:
  "Активируйте прокси серверы,с ними скорость интернета станет в несколько раз больше и всё в этом роде"
  Сайт просит активировать прокси серверы,при помощи отправки номера телефона,после чего придёт смс с кодом подтверждения(очередной развод на деньги) Снова запустил CureIt и он снова нашёл этот проклятый Trojan.Mayachok.1,и снова его обезвредил,но в этот раз совсем ничего не изменилось,не работает,не ПГ,не яндекс,практически не один сайт!Спасает только стимовский браузер,но в через него сидеть очень неудобно.Если кто нибудь сталкивался с этим вирусом,расскажите,как вы его уничтожили,буду очень благодарен.Кстати,что он ещё делает кроме того,что треплет мне нервы со своими прокси-серверами?

  
  

  Попробуй почистить файл в папке с виндой->system32->drivers->etc->hosts
  Хотя врядли поможет, ещё попробуй переустановить браузер перед этим полгностью удалив его, короче перековыряй всё что сможешь.
  Поковыряйся в реестре
  Если ничего не найдёшь переустанови винду, я такого плана проблемы без антивируса решаю.

  А "Активируйте прокси серверы,с ними скорость интернета станет в несколько раз больше и всё в этом роде" это вообще ржунемогу, проксисерверы могут замедлить, но никак не ускорить скорость интернета.

  
  

  STALKER OF FREEDOM
  Сейчас сканирую комп AVZ,надеюсь поможет,со стимовского браузера сидеть невозможно,лагает очень,и ничего скачать нельзя.
  это вообще ржунемогу, проксисерверы могут замедлить, но никак не ускорить скорость интернета.
  Вот я тоже так думаю,каким надо быть идиотом,чтобы это написать,и не предусмотреть,что они замедляют скорость интернета и к тому же в настройках браузера можно их бесплатно включить,кстати там ещё написано,что их проксисерверы стоят 10 рублей в сутки х) Кстати,гуглил,где-то находил,что троян маячок 1 ворует средства с кошельков,если я на текущей винде не разу не заходил на свой кошелек и вобще не писал его номер и пароль,он может украсть мои копейки?(ну не копейки. рублей 5 там максимум лежит :D А,может и больше,посмотрю курс доллара,скажу.Всё,посмотрел.У меня на счету 12 рублей 85 копеек :3)
  Кстати хотел скачать антивиручную утилиту касперского - Касперски Ремовал Тул(Сорри,что по русски,в стиме язык ввода только через чат переключается) Так даже и сайт касперского не работает.ИЕ тоже не может попасть не на один сайт.Скачал огнелис(удивиельно,но страница загрузки огнелиса почему-то работала)В огнелисе вместо страниц отображается их исходный код.Хром не грузит вобще не одну страницу,даже визуальные вкладки и сам гугл :D
  Кстати,STALKER OF FREEDOM,хотел поинтересоваться,а ты сталкивался с этим "Маячком 1"?
  И в заключении,я где-то прочитал(на ПГ в блогах),что этот вирус поразил уже более 20 тысяч сайтов рунета,и обычно пробирается на ПК в образе драйвера для видеокарты или веб камеры,но ко мне он явился в образе патча,в самом неожиданном обличии,так сказать :(
  edit.Ещё погуглил,похоже ты был прав,его можно удалить,покопавшись а реестре.
  Вот способ удаления,сам пока не проверил,уже поздно,там есть и вся информация о нём.
  

  Ручное удаление Trojan.Mayachok.1

  удалить trojan.win32.ddox.ci, удалить trojan.mayachok.1, удалить trojan.mayachok.550, удалить trojan.win32.cidox, удалить trojan.win32.zapchast.feh, удалить trojan:Win32/Vundo.OD, удалить trojan.Win32.Mondere, удалить trojan.Generic.KDV.169924

  Встречается разновидность - trojan.mayachok.550. Принцип удаления аналогичный.

  Что представляет собой Trojan.Mayachok.1 (он же trojan.win32.ddox.ci, trojan.win32.cidox, trojan.win32.zapchast.feh, trojan:Win32/Vundo.OD, trojan.Win32.Mondere, trojan.Generic.KDV.169924)? По описаниям ресурса Dr.Web, это:

  
  Trojan.Mayachok.1 это файл .dll - динамически подключаемая библиотека, которая после установки загружается в адресное пространство памяти всех запущенных процессов (процесс установки заканчивается форсированной перезагрузкой компьютера), поэтому при сканировании системы антивирусом в нормальном режиме троянец часто видится пользователю как бы "сидящим внутри" различных файлов и "перемещающимся" из одного файла в другой. Может сложиться впечатление что Trojan.Mayachok.1 заражает файлы, но на самом деле это не так.

  Что происходит после заражения? Описание повадок зловреда на сайте Dr.Web достаточно подробное поэтому не будем повторяться, от себя только добавлю что чаще всего пострадавший сталкивается со следующими проблемами:

  // Подменой запрашиваемых страниц на "internet.com" "Ростелеком. Канал перегружен", "Подтвердите принадлежность аккаунта" и подобных;

  // Полной невозможностью выйти в интернет при помощи любого браузера, или вместо нормальной загрузки сайта открытие страниц происходит в виде, напоминающем исходный код;

  // Блокировкой запуска различных программ в нормальном режиме, в безопасном, как правило всё работает.

  Итак, выяснили, у нас действительно Trojan.Mayachok.1 Как лечить? Нет смысла скачивать большое количество разнообразного антивирусного софта и тратить время на многочасовые проверки в надежде что поможет хоть что-то из этого - ни одно, так другое. Такая вероятность есть, но в некоторых случаях троянец хоть и определяется антивирусом, но оказывается ему не по зубам - при следующих проверках мы видим его снова и снова. Не стоит отчаиваться, всё на самом деле очень просто:

  1. Открываем редактор реестра: нажимаем "Пуск" => "Выполнить" вписываем команду: regedit, нажимаем enter. Далее находим ветку:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
  и параметр AppInit_DLLs

  Смотрим значение этого параметра. Если видим запись, подобную этой:
  "AppInit_DLLs" = "C:\windows\system32\tvhihgf.dll"

  (кроме tvhihgf.dll имя файла может состоять семи из любых других латинских букв) - удаляем ее (имя файла запомните или запишите, чтобы потом легко его найти). Сам параметр AppInit_DLLs при этом оставляем, убираем только значение.

  Ошибочные действия при правке реестра могут серьезно повредить систему!

  
  2. Перезагружаемся. Это обязательный момент!

  3. Разыскиваем этот файл на диске - и так же удаляем. Это и есть наш Trojan.Mayachok.1.

  4. Находим и удаляем созданные одновременно с tvhihgf.dll или чуть позже (смотрим по дате) файлы с расширением .tmp из каталогов C:\windows\system32 и C:\windows\SYSWOW64 (на 64 битных системах). Это резервные копии Trojan.Mayachok.1.

  5. Ещё раз перезагружаемся и наслаждаемся беспрепятственным доступом к любимым сайтам.

  Внимание! Перед тем как удалить любую запись в AppInit_DLLs, обязательно гуглим по ней, поскольку в этом параметре могут быть прописаны и вполне легитимные программы. Если в AppInit_DLLs перечислено несколько файлов - находим информацию по каждому, и удаляем только троянский ключ.

  
  Для пользователей x64 разрядных систем:

  Троянец находится в каталоге C:\windows\SYSWOW64

  Редактор реестра, отвечающий за 32 разрядные компоненты в x64 разрядных системах находится в каталоге C:\windows\SysWOW64
  Для его запуска через меню "Пуск" - "Выполнить" нужно указывать полный путь:
  %SystemRoot%\SysWOW64\regedit.exe

  По умолчанию на x64 разрядных системах запускается редактор из каталога C:\windows, т е отвечающий за 64 разрядные компоненты. В нем так же есть 32 битный раздел - HKLM\SOFTWARE\Wow6432Node, то есть проверять нужно в том числе ветку
  HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows

  Я удалил ключ из реестра, но не запомнил и не записал имя троянского файла. Как теперь его найти?

  А временные файлы можете удалить командой (вставить в командную строку):
  del "%windir%\system32\*.tmp" /q

  Для 64 битных систем:
  del "%windir%\syswow64\*.tmp" /q

  
  Как воспользоваться поиском windows?

  В меню папки выбрать "Вид" - "Панели обозревателя" - "Поиск", или нажать F3 или сочетание клавиш ctrl и E

  Я по ошибке удалил из реестра троянский ключ вместе с параметром AppInit_DLLs. Что теперь произойдёт?

  На работоспособность системы это не повлияет. Если в этом параметре помимо троянской записи присутствовали другие, например записи легального программного обеспечения - их функциональность может быть нарушена, поэтому такие программы рекомендуется переустановить. Обычно при установке достаточно выбрать опцию repair (восстановить).

  Если вам сложно разобраться самостоятельно, обратитесь на один из этих интернет-ресурсов, оказывающих бесплатную интерактивную антивирусную помощь, по мнению автора заслуживающих доверие. Автор не имеет никакого отношения к этим ресурсам

  
  

  edit(11.02.12|11:33) Ребята,способ реально работает,наконец-то зашёл с любимой оперы Кстати,у меня вирус дал себе название pavwgoa.dll

  Читайте также:

    
  • Что делать при герпесе на ранних стадиях
    
  • Что не хватает организму если часто герпес
    
  • Вирус геморрагической лихорадки крым конго
    
  • Вирусная инфекция у детей сколько дней заразна
    
  • При остром вирусном гепатите пациент должен соблюдать