Удаляем Trojan.Mayachok.1 в ручную!
Прибыл в мое расположение вчера компьютер с симптомами — не выходит в интернет. Подключение есть, а вот в интернет не выходит. Посмотрев на бедный антивирус Касперского, который не обновлялся, наверно, с развала СССР, мною тут же была выдвинута теория, что подхвачен относительно молодой вирусняк — Trojan.Mayachok.1. Мои опасения подтвердились — Trojan.Mayachok.1 спокойно сидел в системе маскируясь под системный процесс. О том, что же это за зверь и как с ним бороться и поговорим сегодня.
Досье на Trojan.Mayachok.1
Подозреваемый Trojan.Mayachok.1, он же носит клички: trojan.win32.ddox.ci, trojan.win32.cidox, trojan.win32.zapchast.feh, trojan:Win32/Vundo.OD, trojan.Win32.Mondere, trojan.Generic.KDV.169924. Подозреваемый Trojan.Mayachok.1 хитер и крайне опасен — вымогает деньги своих жертв путем просьбы ввести свой номер телефона, с которого сразу же списываются счета путем подписки на рассылку. Платные СМСки и «положите деньги на телефон» в прошлом.
Основные источники заражения: — социальные сети, хотя и в других местах его ничуть не труднее поймать.
Характерные признаки заражения:(Отступление — я видел 2 признака из трех в своей практике)
1. При попытки зайти на любой сайт или соц. сети, жертва перенаправляется на поддельные страницы таких сайтов как «Ростелеком», «Вконтакте», «Одноклассники» и др., где под разными предлогами просят ввести жертву свой номер телефона. После ввода телефона с него незамедлительно списываются денежные средства, да к тому же будет подключена рассылка, за которую Вы так же будете платить. Возможность отписаться есть, но могут отписать не сразу, да и номер Вы свой спалите и не исключен спам на него. (прим. ред. — данный вид мне не попадался)
2. При попытки выйти в интернет браузер: а) либо попросту не открывает ничего, выдавая ошибку подключения; б) страница предстает в виде чистого кода страницы. (прим. ред. — с этим сталкиваюсь очень часто).
3. Многие программы перестают запускаться, выдавая различные ошибки. Зачастую этот признак идет в купе с невозможностью выхода в интернет, описанного выше. Если загрузиться в безопасном режиме, то все будет работать.
Та что же такое Trojan.Mayachok.1? Это динамическая библиотека, которая, после заражения, подключается ко всем загруженным в системе процессам. Поэтому, даже если вы и прогоните всю систему антивирусом или сканером аля Dr.Web CureIt, то они могут радостно отрапортовать, что процесс обезврежен. Но радоваться то не стоит, ибо после перезагрузки процесс снова будет заражен. Так как же с ним бороться?!?
Удаление Trojan.Mayachok.1 в ручную
1. Жмем сочетание «Win+R», набираем «Regedit» и заходим в редактор реестра;
2. Проходим по пути:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
3. Находим параметр AppInit_DLLs и смотрим его значение. Если у вас сидит Маячок, то будет что-то типа этого — «C:\windows\system32\paxzwyk.dll»
Вместо paxzwyk.dll может быть любой dll с именем из набора латинских букв;
4. Удаляем это значение. Тут очень важно: а) Удаляем значение параметра AppInit_DLLs, а не сам параметр; б) запишите имя файла, что бы его можно было легко найти на компьютере; в) поищите информацию об этой библиотеке dll (например в Google), ибо тут могут сидеть библиотеки честных программ (например Касперский иногда там тоже прописывает свою библиотеку). Удаляем;
5. Перезагружаем систему, ибо сейчас файл не удастся удалить;
6. Находим в папке C:\windows\system32\ и удаляем файл, который был прописан в параметре AppInit_DLLs;
7. Снова перезагружаем систему, заходим в браузер, радуемся доступу в интернет.
Для тех у кого стоит 64-х разрядная система есть некоторые отличия:
1. Вирус может находиться в папке C:\windows\SYSWOW64
2. Редактор реестра, отвечающий за 64-х разрядные компоненты открываем так: Win+r -> %SystemRoot%\SysWOW64\regedit.exe
В остальном все тоже самое. Ну, вроде, это все, что я хотел сегодня вам рассказать. Вопросы? Задавайте!
![Firefox не показывает картинки [Решено]](http://zone-pc.ru/wp-content/themes/neblog/images/thumb.png)
Только этот способ и помог! Спасибо!!!
Все получилось! Спасибо вам огромное! =)
Привет!
А у меня в реестре по указанному адресу такого параметра нет вообще.
Что делать?
Саня, deadbird: Рад, что смог вам помочь.
Navy_Z: Какая операционная система?!? Какова ее разрядность? Скриншот бы мне увидеть вашего реестра.
Огромное спасибо! Класс!!! Особенно инфа о том, что «маячок» может сидеть в dll с разными названиями. А то об этом никто не пишет. Очень пригодилось.
LAV:Не за что. Постарался описать как можно полнее.
СПАСИБО!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
«Привет!
А у меня в реестре по указанному адресу такого параметра нет вообще.
Что делать?»
у мя такая же проблема,помогите плиз!
ОС:WinXP(sp3)x86
куда выслать скрин реестра?
Спасибо огромное!все получилось…
kola: ПЖЛ))
Unknown_911: рад что у вас все получилось…маячок набирает обороты в последнее время. Сегодня 2 штуки удалил))
Удаляем это значение. Тут очень важно: а) Удаляем значение параметра AppInit_DLLs, а не сам параметр я по тупости удалил этот параметр !(((что теперь можно ли как то выкрутиться ?!
Спасибо, помогло на Win 7 32
CheeToS: Откатиться есть вариант?!? Если да, то откатывайтесь назад и уже удаляйте само значение параметра.
SVHack: Больше не подхватывайте «каку» 😉
Спасибо вам огромное! Слава богу есть ipod с него и попал в интернет) а там вы ,все подробно объяснили) Единственное что почему то не удаляется в реестре значение. Сам файл удалил через unlocker при перезагрузке. Без файла то разницы наверное нет,даже если он прописан в реестре?
Tyler: Сейчас встречается модифицированный вирусняк, который восстанавливается сразу после его удаления. Если вы его нашли на диске, то копируйте его имя и делайте поиск по всему реестру (ctrl+f) и удаляйте все записи….это вообще тема для отдельно статьи 🙂
Спасибо! Вроде в реестре больше нет упоминаний о нем) Да и симптомов никаких больше нет) Значит мне «старенький» попался)
Tyler: Ну если что, знайте, что реестр на наличие падали всегда надо проверять…
у меня Винда 7ка, 64 разряд. все делал как Вы и говорили, но не помогло мне это, маячок.1 вирус, название файл имел такое — nvinitx.dll… как быть?
nvinitx.dll нашел в еще одной папке system32/driverStore/FileRepository/nvam.inf_amd64_neutral_e8598…/ доступа к файлу нет, не могу удалить. Вот только почему пишет что создан в ине, изменен в декабре, открыт в январе 3 дня назад
«Привет!
А у меня в реестре по указанному адресу такого параметра нет вообще.
Что делать?»
Помогите!!! Спасибо!!!
короче не то я снес((( поискал файлы DLL по дате появления, нашел только 1 за вчера, как раз комп полетел в это время — папка:sysWOW64 файл:vxlzxrh.dll, снес в безопасном режиме и норм, работает, теперь буду думать, что у меня перестанет работать из за неверно удаленного файла, но а где тогда в реестре был этот вирус? может все верно сделал?
Nike: Да, снесли Вы по-началу не ту библиотеку. nvinitx.dll — это что-то от NVIDIA, так что может придется переустановить драйвера, но сам факт удаления не страшен — многие ошибаются. А по вопросу вируса — знаете его точное имя, вбивайте в поиск реестра и удаляйте все записи. Сейчас многие вирусы прописываются везде, где только можно.
Ekaterina: Это уже совсем интересно. Винда не 64-х битная?!? Да и вообще какая ОСь? Пока мне сложно Вам помочь…опишите проблему чуточку тонее, а точнее какая операционная система и каковы симптомы вируса….
Спасибо большое, помогло.
Raider: Рад, что помогло!
Добрый день .
Спасибо вам большое все получилось .
Есть только один вопрос есть какая нибудь заплатка ю
Так как через день поймал этот вирус снова(подозреваю один сайт )))) .
Спасибо .
gerimax-76: О заплатках, к сожалению, ничего не слышал. Антивирусы их не видят. Я бы рекомендовал к антивирусам поставить ещё что-то наподобие spybot (читать тут), которые попросту не позволяют производить изменения без вашего согласия.
Огромное спасибо, три дня мучал всякими антивирусами, только ваши рекомендации помогли
sh_Grog: антивирусы тут показали себя не с самой лучшей стороны)))
Юлен: Самый из возможных вариантов — он использует программу-шпион, собирающую всю информацию по вашим действиям…или он может смотреть сайты через DNS сервера…что эот и как — читаем тут. Вообще это сложный вопрос…и скорее вопрос уже доверия…
нечаянно по невнимательности удалила AppInit_DLLs(((((((((((((((( что делать?(((((((((((((
Кемберлен: Если есть возможность откатиться — откатитесь, если нет — то можете и подзабить. Самой системе от этого не сильно плохо станет, а точнее вообще не станет. Могут только пострадать программы, которые легально были прописаны в данном параметре, но и это можно восстановить просто установив их повторно…
здрасте. у меня такая запарка. я всю ночь пытался эту гадость убрать потом через доктор веб нашел что у меня прописал и наткнулся на ваш сайт. я сонный был и удалил и не записал что удалил. и в папке систем32 не знаю что искать и удалять. что делать? откатки назад системы нет. подскажите.
maks: Здесь ничего сложного. В зависимости от разрядности системы, в папке System32 (SYSWOW64) найдите все .dll файлы. Троянский файл имеет имя из 7 латинских букв (по набору символов вирусы сами себя выдают) и имеет размер 42-56кб. Смотрите на самые подозрительные и пробивайте их по гуглу — если и будет упоминание вирусной библиотеки, то только в связи с вирусами. Так же при таком ручном поиске и антивирусы могут определить файл как вирус.
Отпишитесь по результату.
спасибо. нашел вроде бы что-то похожие. все работает. а если я всетаки не удалил их что тогда?или не то удалил?
maks: Главное нейтрализовать их действие в реестре….даже уже они просто валяются на диски. А вот восстановление лучше все же включить на компьютере…или хотя бы делать точки в ручную при таких вот действиях с реестром и системными файлами.
«http://www.munkytattoo.com/files/klyuchi-dlya-tuneup-utilities-2012-forum.html» зацепил тут и так эта сволота убеждала в своих хороших намерениях, типо всё там чисто и тип топ. Трояна этого задолбался гонять, маячок сук… и столько людей поблагодарили , я и повелся… первый в списке Deex -по его ссылке качнул этот гемор, уж не знаю с умыслом или он сам дурко-хз. А тебе ItSlam ОГРОМНОЕ ЧЕЛОВЕЧЕСКОЕ СПАСИБО!!! как замечательно что ты не поленился и так хорошо написал , выложил и помог . спасибо))
Спасибо большое, выручили!!!:)
Большое спасибо. Пошло сразу.До этоо промучился. От куда только вы это все знаете.
Weimar: Сижу и думаю — удалить ссылку, что бы люди не попадались или оставить как наглядный пример :D. Ну а за похвалу — спасибо, личный опыт мне намного интересней описывать…
kotэ: Рад, что смог помочь!
Norel: Ну мне в мозг знания тоже никто не запихивает. Так же при встрече ищу способы решения и описываю))) Вот вчера встретился новый вид баннера….маялся с ним с час-полтора…так и не понял — смог ли полностью его вывести из системы….
спасибо ! обгромное!
удалил в корзину в корзине его нету как его из корзины удалить?)
Юрч: Нет в корзине, значит его нет. Ну для пущей верности — пройдитесь Ccleaner’ом.
Я бы добавил в статью пункт о сохранении системного реестра. А то люди понаудалют не то по ошибке. И добавить инфу как потом реестр восстановить после неудачных экспериментов.
Semm, хорошее дополнения. Вроде всегда стараюсь предупредить людей об опасности и необходимости резервной копии или точке восстановления, а вот тут как-то и подзабыл.
Спасибо большое за эту статью. Это самый реальный способ избавится от этого вируса!!!
Ирина: спасибо, старался 🙂
помогло! спс
siterace: Должно было помочь 😉
Sedside: Как обычному пользователю, я бы вам посоветовал сделать откат системы до момента заражения и уже после чего проверять всю машину др.Вебом…и лучше последней версией Cureit. Если такой возможности нет, то лучше сделайте лог программой HiJackThis и дать его посмотреть человеку у которого глаз наметан на подозрительные вещи. Можете выслать мне, можете обратиться к ребятам из VirusInfo, можете показать сисадмину на работе.
Здравствуйте.
Спасибо за статью, но у меня всё равно вирус продолжает появляться снова. Это происходит каждый день около 4 утра (ребут компа и всё по-новой). Помимо tmp файлов и пресловутой dll-ки в папке system32 появляются файлы PerfStringBackup.tmp и wpa.dbl с той же датой модификации. Поискала ещё tmp файлы по всему диску, поудаляла все с датами создания после 8 февраля (тогда 1й раз подхватила вирус, но почему-то полная проверка доктор вебом всё вылечила, и больше он не появлялся). Результат пока не знаю, надо ждать ночи.
Что Вы можете посоветовать?
И мне не помогло…
В реестре AppInit_DLLs пустой, но Cureit в памяти вылавливает Mayachok.1
Что делать дальше?
Reanimator, спасибо за наводку. Нужно будет ее попробовать и сделать ей обзор…
Привет! Все зделала, как описано выше, но через какое-то время опять подменивают адреса сайтов, сканирую Dr.Web, опять сидит этот маяк…Почему так?
Инна, попробуйте прошерстить весь свой реестр на наличие файла маячка. Жмем Ctrl-F, копируем полое имя маячка, ищем, если находим — удаляем. Советую точку восстановления сделать, а то можно убить систему.
Если бы вы уважаемый хотя бы полностью скопипастили текс удаления маяка, то у многих бы не возникало вопросов, а почему я удалила его в реестре, а он снова у меня на компе живет.
Инна найдите в сети более подробную и правильную инструкцию по удалению, и не будет у Вас проблем
Sanya, ну если бы вы, уважаемый, хотя бы читали, что написано, то и не писали бы охинеи, а именно пункты:
и
Если человек проявить фантазию, то можно его вообще поискать на всем компе, через поиск файлов.
Ну и раз вы уважаемый, так уж любите всех тыкать носом, что чтож не указали ссылку на полную инструкцию?!? Я ссылки не затираю, да и самому будет интересно почитать развитие вируса…
3.) После этого разыскиваем этот файл на диске в папке C:\windows\system32 — и так же удаляем. Это и есть наш Trojan.Mayachok.1.
Потом находим и удаляем созданные одновременно с tvhihgf.dll (смотрим по дате) файлы с расширением *.tmp из каталога C:\windows\system32 и C:\windows\SYSWOW64 (на 64 битных системах). Это резервные копии Trojan.Mayachok.1.
Это из оригинальной статьи
Добавьте в «свою» инструкцию упоминание об обязательном удалении файлов *.tmp и тогда не нужно будет людям предлагать бестолковые занятия лишний раз шерстить реестр
Sanya, полезное дополнение…можно и дополнить статью
Спасибо огромное)
Для начала доброго времени суток. Есть желание просмотреть динамику развития? Следующая — на компе полностью блокируется хром. С такого идиота как ИЕ доступ в инет был — оттуда и прочитал вашу статью. Спасибо — помогла. Правда Куреит скосил сам все — без перезагрузки
А зацепил далеко не на порносайте (никого этим обидеть не желаю) а скачав дровину на сетевуху д-линк. Знал что дрова в .exe бывают но точно не на сетевку однако установил. И сетевка поднялась и вирус пришел. Вот такая вот ботва.
ugaday, ловят вирусы повсюду и порносайты давно сошли с пьедестала разносчиков вирусни 🙂 У Д-линк есть свой сервер Ftp откуда качать можно все драйвера и без вирусов 😉
Не могу удалить .dll файл из системы.
«Не удается удалить qavwqff.dll Нет доступа.
Диск может быть переполнен или защищен от записи, либо файл занят другим приложением.»
ANDRE626, после зачистки реестра вы комп перезагружали?!? Если да, но все равно говорит о невозможности удаления файла, значит он продолжает использоваться. Реестр -> Правка -> Найти -> Ищем файл во всех ветках реестра и удаляем.
ANDRE626, загрузитесь с любого Live CD, например DR.Web Live CD и удалите файл. Можно попробовать в винде правой кнопкой мыши на файле -> свойства и снять галку с «только для чтения», если не дает -> загрузиться в безопасном режиме и сделать тоже самое. Возможно не дает удалить, так как процесс запущен -> сначала убейте процесс из памяти с помощью CureIt, а потом удалите, но первый вариант наиболее простой.
Спасибо, интернет снова летает))))))
Кстати, а вот то, что комп сам на перезагрузку уходил когда ему вздумается это тоже «заслуга» маячка?
FaithNOmore, это удаление самого файла, но раз он запускается, значит в реесте это прописно — после удаления файла останется «мертвая» запись в реестре. Удаляем причину — потом уже следствие. Хотя с атрибутами хорошая подсказка — возможно вирус поменял атрибуты файла или доступ к нему.
Daelena, не замечал за маячком таких шалостей. Нужно смотреть журнал — выявлять виновника перезагрузок.
спасибо, вроде всё работает!
elcapitano, я рад, что смог помочь.
ItSlam, и вам спасибо, только вот один странный момент. После чистки реестра и удаления тех файлов, при следующей загрузке компьютера появилась надпись об ошибке в реестре и требовании заново активировать. Я почитал в интернете, только в 2 случаях из 20 говорилось, что это вирус. В остальных говорили, что всё нормально. Но вроде действительно всё нормально, правда немного стал комп подвисать, сейчас я дефрагментацию сделал. Ещё раз спасибо.
ItSlam, и вам спасибо, только вот один странный момент. После чистки реестра и удаления тех файлов, при следующей загрузке компьютера появилась надпись об ошибке в реестре и требовании заново активировать. Я почитал в интернете, только в 2 случаях из 20 говорилось, что это вирус. В остальных говорили, что всё нормально. Но вроде действительно всё нормально, правда немного стал комп подвисать, сейчас я дефрагментацию сделал. Ещё раз спасибо.
P.S. После чистки кеша и активизации КьюрИт не видит маячка больше.
Люди помогите! У меня значение исчезло, что делать?
JustDieGue: Если система продолжает работать, то можно подзабить на это дело. Удаление этого параметра не смертельно.
Спасибо, рально помогло — выручил.
СПАСИБО!!!!
Спс огромное!!!! очень помогли, прям респект пожизненно) Я уже доктором вебом проверял, всеми антивирусами, ничего не помогло( А Ваш сайт помог, теперь я сново могу радоваться интернетуУ))) спс вам за то что вы есть)
MuXa: Ну я прям аж покраснел))) Не за что, приходите ещё)))
здравствуйте, начну с того что названия эта сволочь имеет разные. мое решение таково — стоит аваст, он его не видит (а видит только какойто грёбанный http) Запустил безопаску, полазил в regedit. вверху написано(автором поста), правда перед этим аваста попросил полную проверку сделать до загрузки системы, после утилитой доктора вэба, с оф. сайта полную проверку(в безопасном режиме). этот дядька все поместил в свою папку — карантин. для уверенности прогнал comodo registri cliner магко работает, может пахать с флэш. после перезагрузки аваст всю дрянь при сканировании увидел, и карантин весь вэбоский поднял. единственное что при таком сканировании на авасте подтвердить надо что с этими зверями делать (ибо в системе давно проверку не делали) одно неудобство долго в таком режиме сканирование идет. от себя — ставьте фаерволы — хоть как то можно блокировать. ну и как я говорю: своего зверя надо периодически мыть и чистить
yakytdiabet: Я предпочитаю с такими вредителями разбираться в ручную…для их поиска мне помогает утилита HiJackThis. Однако обычному пользователю она мало чем поможет. Тут уже в игру вступают антивирусные сканеры, которые отлично борются с заразой, однако фиксить реестр они не умеют и часто они попросту становятся бесполезными. Вот и стараюсь писать о знакомых мне способах борьбы с разного рода вредителями..
Скажите, а что делать если я удалила всё, а не только значение (не прочитала ЧТО ВАЖНО)…. Что теперь делать, папка не удаляэтся и после перезагрузки.
я 4 пункт не очень поняла , куда и что писать ?
И ещё какая та библиотека ) Можно поподробнее ?
А когда прописываю другое название, в system32 его нету
kosichkina: Ничего не делайте…удаление параметра не смертельно…это уже не раз обсуждалось в комментариях. «Что теперь делать, папка не удаляэтся и после перезагрузки.». Какая ещё папка у Вас не удаляется? Никакие папки не удаляйте..удалить нужно файл ИЗ папки, который был прописан в значении параметра AppInit_DLLs.
Мира: Где я говорил, что нужно что-то писать. Если у параметра AppInit_DLLs значение как на скриншоте в посте (файл — paxzvyk.dll), то его нужно сначала удалить из значения параметра, а после перезагрузки компьютера — удалить этот файл из папки System32. Чтобы его не забыть, то перед удалением значения из реестра, можете просто переписать название файла на листочек. Прописывать другое значение не нужно, пускай остается пустым 🙂
СПасибо большое )
аще ништяк помогло )
Мира: Да без проблем))) приходите ещё 😉
Подскажите,я в значение параметра ввел просто «tigran»
Как еще раз засветить троян маячок в реестре,или где найти моего «tigran»а
GaMBiT: Собственно а зачем Вы вводили в значение параметра это слово?!? Теперь, чтобы найти троян Вам нужно откатиться назад и вновь проделать описанное мною. Тогда и тигран пропадет и маячок найти сможете.
Ну что за бред?
В Windows 7 (32бит) нет такой строки
HKEY_LOCAL_MACH INE\SOFTWARE\Mi crosoft\Windows NT\CurrentVersi on\Windows
Вернее папки \Windows NT\ НЕТ!
Непонятно вообще для каких систем эти рекомендации написаны
Vit, пха….тобишь у 50 отписавшихся здесь такая «папка» есть, а вот у вас ее нет….может у кого-то глаз нет…или чего другого?!?
Спасибо огромное!!
Хотел скачать муз с контакта скачал прогу вкмюзик и тд,при установке написали или вводите номер тел или у вас будут глюки)))не обратил внимания закрыл,и на тебе .Дня 2 мучился в итоге установил сафари вроде запахал инет,но глюки жесть,переустановил новый антивирус и он писал типо вылечил и тд,все равно та же фигня.
Только что попробовал вашим способом сразу помогло!!
спасибо огромное
rusik, рад стараться 🙂
Спасибо вам огромное, я 2 часа искала выход из ситуации, зашла к вам на сайт и вот! =)
В автозапуске поставьте «Доктор Веб» — он хотя бы блокирует этот вирус, я в реестр не лазил а с помощью специалистов фирмы за неделю начисто обезвредил его. Именно автозапуск DrWeb!!!
Katarinches, рад был Вам помочь 🙂
дедушка Соколов Не совсем понял о каком Др. Вебе вы говорите? Если о антивирусе, то он и сам добавляется в автозагрузку. Однако с маячками мало кто справляется.
Спасибо!!!
Andy Y., всегда рад помочь
Дай тебе Бог здоровья и процветания, добрый человек. Ты спас меня от тааааакой жопы, в которой я не бывал. Спасибо огромное!
Илья: И Вам не хворать 🙂
Ндя, а у меня в этой ветке реестра ничего не прописано, но Дрвеб (который курит) регулярно находит и обезвреживает системные процессы с этим проклятым маячком. Браузеры на машине не запускаются никакие, все виснут. Но метевой экран при запуске ругается на разные вредоносные сайты.
Александр: Пробуйте делать поиск по реестру по имени параметра AppInit_DLLs. Если все чисто, то шерстите реестре по имени парамметра Shell и смотрите их значение. По подозрительным можно искать информацию. Если и тут ничего странного не находите, то делайте поиск по имени разделов — Run и смотрите, что запускается вместе с системой. Если не уверены в своих силах, то сделайте лог программой hijackthis и вышлете мне на почту.
Спасибо вам большое, нереально помогли)
Думала уже нафик сносить все придется, а тут вы, спаситель моего ноута и мозга.
Василиса: Рад был Вам помочь.
все удалил доктором вебом, потом проверил ручками — все чисто
Serg: Думаю Веб уже внес его в список врагов 🙂
не внес… Сейчас сидела и удаляла вручную. Др.Веб его замечательно разглядел и типа «обезвредил». Удалять, однако, пришлось самой. Др.Веб помог на некоторое время в том плане, что инет начал нормально грузиться, но потом, стоит чего-нить качнуть, все возвращается.
Ева: Хммм….какой-то поведенческий фактор появился…раньше он возникал сразу после перезагрузки.
Алекс: На не за что, приходите ещё 😉
Добрый человек!!! Дай Бог тебе здоровья!!!! Я с ним справилась!!!! Второй раз меня атаковал ((((( но благодаря тебе я его УБИЛА ))))) СПАСИБО!!!
Елена: все, только чтобы Вам помочь 😉
Скажите, сделал всё по этому совету, удалил значение AppInit_DLLs, но дурак не записал имя файла и поэтому не могу удалить его в папке C:\windows\system32\ , значение в AppInit_DLLs пустое, но рано или поздно опять перестают грузится сайты и компьютер перезагружается с синим экраном смерти. Проверяю Др. Веб. комп, находит его, удаляет, но потом, примерно через 2-3 дня всё повторяется, т.е. антивирусу он не по зубам =\
Что делать, помогите
Денис, а после 2-3 дней в значении AppInit_DLLs он появляется или нет? Это либо что то другое блокирует либо вирус прописался ещё где-то. Тут нужен лог программы HiJackThis, тогда можно искать врага. Скачайте ее, просканируйте,а лог скиньте мне на почту.
Да, кстати, в последнее время часто происходит такое явление…Допустим я поработал на компьютере, лег спать. С утра включаю компьютер и выскакивает синий экран смерти, загружаю ещё раз — опять он…бывает вместо экрана всё намертво виснет.И такое длится около полутора часа. Потом синий экран не вылетает.И опять, поработаю вечером в этот день, когда уже все нормально, — утром опять эта фигня с синим экраном. Иногда после синего экрана когда перезагружается компьютер загрузка останавливается и на черном экране белыми буквамы сказано, ( примерно ) » испорчен или удален файл C:\WINDOWS\system32\config\system » и что то ещё про то что его можно восстановить с диска… Вообщем я выключаю компьютер, жду минут 15 , загружаю и этого уже нет. Он грузится нормально.
Может быть ли это как то связано с троян маячком ?
Значение AppInit_DLLs всегда пустое.
А какой у вас адрес почты ?
Денис, значит это что-то другое. К тому же по вашему описанию, синему экрану смерти и прочему, то можно говорить что пришло время сносить систему. Ну или как минимум прогнать полностью на вирусы. Почта у меня есть на странице «контакты» — hangman@mail.ru. Присылайте лог, гляну на подозрительные личности в вашем реестре.
Лог готов, а где найти Ваш адрес?
Гость Оксана: Списались, пытаемся помочь 🙂
Спасибо !!! Интернет работает!!!
Спасибо огромное! я 3 дня перебирал всевозможные программы и никак не мог удалить этот вирус! а тут за 5 минут 2 компа возродил! это просто ОГОНЬ!!!
Благодарю за помощь
Anton, Highway, жора: Рад был помочь Вам!
ПОМОГИТЕ!!!!
КОГДА Я УДАЛЯЮ ЗНАЧЕНИЕ ПАРАМЕТРА И СОХРАНЯЮ ЕГО,ОН ПИШЕТ ОШИБКА,И ЗАНОВО СОХРАНЯЕТ ТОТ .DLL!
ЧТО ДЕЛАТЬ?
Batsy: Что за ошибка?!? Правами администратора владеете???
Выдает ошибку,типо ошибка создания нового параметра..! Я администратор компа!
Слава: зачем что-то создавать?!? Пробуйте в безопасном режиме.
Спасибо, добрый человек!!!Получилось,интернет работает
alla: а куда ему деваться)))
не могу зайти в срц сеть,мозила не грузит и все остальные браузеры тоже(((
neoSport71, пардон, в какую сеть?!? Маячок удалили и не можете войти? я правильно понял?
Все сделал по инструкции, обнаружил значение C:\ProgramData\Mozilla\yvtcewg.dll удалил его, после чего перезагрузил, Яндекс и VK заработали, после чего нашел yvtcewg.dll и еще раз перезагрузил! и-и-и-и…все тоже самое:( Опять открываю редактор реестра, значение файла появляется снова после перезагрузки…подскажите что делать
Ogonek177, значит где-то ещё зараза сидит, встречал однажды такое. Если можете, то скиньте лог HiJackThis
Та же проблема: браузеры не открываются, компьютер начал тормозить после включения, антивирусы ничего не видят. Пуск не реагирует, вообще вся панель.
Очистила значение параметра, не записав. Что делать? И можно ли тоже скинуть вам лог?
Englesy, после очистки параметра и перезагрузки все должно встать на свои места. Хоть Dll и осталась на компе, но запускаться без параметра она не может.
Сделал все по инструкции,но все равно не могу зайти в контакт одноклассники яндекс и гуггл
Kanonir, значит словили нечто иное, надо разбираться индивидуально.
Здравствуйте.Я извеняюсь за то, что отвлекаю вас ,но у меня случилась проблемма с интернетом.Сайты не открываються хотя интернет работает.К сожелению перед этим прочитал на другом где написанно что нужно в строке AppInit_DLLs удалить значение,что я и сделал после перезагрузил и попытался полазить по сайтам,но увы всё так же ничего не открывается.Я бы хотел узнать причина в том файле ,на который было указанно значение? или всё таки что то другое?если причина всё же в файле то как его можно найти или вернуть чтобы он стоял в значении,чтоб потом можно было его найти?
Артём, Добрый. Не обязательно, уже давно не встречаюсь с данным видом вирусов, которые бы прописывались в AppInit_DLLs. Если есть точки отката, то можете откатиться, это вернет вам значение в реестра. Если же нет, то особо ничего страшного не произойдет. В основном туда прописывается каспер и ВКсейвер. Если есть интернет, но сайты не открываются, то это может быть банальная смена DNS сервера вашего провайдера. Попробуйте зайти в настройки сети и в полях DNS прописать 8.8.8.8 и 8.8.4.4.
Если не поможет, то тогда уже надо копать в сторону вирусов и прочего.
У меня не получается удалить файл даже после перезагрузки, пишет что файл открыт Там-то, там-то…. закрываю процесс-не помогло!! как быть помогите?
Может быть такое уже было но у меня в 32-х разрядной сидит nvinitx.dll , а в 64-х разрядной (syswow64) nvinit.dll , я читал выше , якобы это NVIDIA и да , я недавно устанавливал дрова на нее , но это же не вирус ?? и если да , то я пробывал , он после перезагрузки не удаляется , заново восстанавливается в реестре , а папках говорит не прав на удаление файла , а админимтратор я )
JohnDead, отправьте эти файлы на вирустотал и убедитесь — вирус это или нет. Вирусы умеют маскировать под любые типы файлов. А что бы удалить его надо загрузиться или в безопасном режиме или же через любой Live cd. В обычном режиме этот файл уже запущен и не дает себя удалить.
ItSlam , проверил через вирустотал , пусто , ничего , 0/57 , получается дело не этом
JohnDead, получается, что не в этом. В этот параметр в реестре действительно может прописываться библиотека от драйверов нвидиа, а так же библиотеки касперского и прочие вещи. Статья писалась достаточно давно и я уже не встречаю, что бы вирусняк прописывался в этот параметр реестра. Надо копать вам дальше.
ItSlam , спасибо тебе за помощь ) Буду искать дальше , если не смогу найти причину , придется переустанавливать Windows , лицензия есть ))
JohnDead, если как в теме вместо папок у тебя ярлыки, то просто смотри какой файл эти ярлык открывают, помимо самой папки. Свойства ярлыка смотришь и видишь весь путь запуска.
ItSlam , ярлыков ? всмысле в папке system 32 ?
JohnDead, пардон, попутал с другой темой.
ItSlam , решил проблему , сброс WinSock и переустановка протокола TCP/IP , и сново появился доступ к браундмаузеру , антивирусу и интернету)
Сидит в моем компьютере с 11 августа сего года. Назвал себя nvinitx.dll (sysem32) в количесте 11 штук. Систему не грузит и страницы нормально открываются, денег не вымогают. Cureit не видит его в упор. Пробовал удалить в ручную. Удалял значение реестра и пытался удалить файлы самого вируса. После перезагрузки значения восстанавливаются а файлы попросту невозможно удалить т.к удаление требует разрешения системы. Что делать? Подскажите. Есть и похожая dll под названием nvinit.dll и принадлежит он граф.драйверу Nvidia. (обнаружил эту штуковину при помощи security task manager)
MagnitDlyaVirusov, вам нужно загрузиться с любого live cd и подключиться к своему реестру. Удалите и значение и файл.
Здравствуйте.Подскажите как мне сделать,а то комп грузит память 80% и цп 50%.Система 64 разрядная,винда 7 ultimate.
Руслан, я бы с удовольствием подсказал, но для начала мне нужно видеть пациента.
Добрый день.
Большое спасибо за статью, вирус обнаружен.
Но, когда я пытаюсь его удалить, мне выдается ошибка: «Не удается изменить «AppInit_DLLs». Ошибка при записи нового значения параметра».
Как быть?
Ирина, скорее всего редактор реестра запускается без прав администратора или же вирус изменил права доступа к нему. Нужно для начала попробовать запустить regedit с правами администратора, через контекстное меню (правая кнопка мыши по regedit). И лучше делайте это в безопасном режиме. Если не поможет, то придется восстанавливать доступ к редактору реестра. Сделать это можно с помощью утилиты AVZ.
Сделал все как было написано, удалил nvinitx.dll файл, about blank не исчез)
Insaf, а при чем тут пустая страница? Маячок так то уже давненько в забвении, а удалили вы скорее библиотеку драйверов Nvidia
Я через реестр работал,и нашел ddl файл и удалил в безопасном режиме.Я догнать не могу в чем проблема
Здравствует у меня проблемы с работай процессора, вернее с его загруженостью, без нагрузки процессор потребляет 50% своей мощности, сделал тест он мне показал какой процесс потребляет его, сравнил на другом компьютере этот же процесс также работает но не потребляет процессор, помогите разобраться
Использование ЦП:Процесс со значительным уровнем использования процессора.
В процессе трассировки обнаружен значительный уровень использования процессора этим процессом.
Имя процесса System
ИД процесса 4
Средний уровень использования (%) 49.92
Модуль Средний уровень использования модуля (%)
\SystemRoot\system32\xNtKrnl.exe 43.92
\SystemRoot\system32\DRIVERS\xhcdrv.sys 5.83
\SystemRoot\system32\DRIVERS\atikmdag.sys 0.04
Алексей, вопрос в том — какая у вас операционная система, какой разрядности и использовался ли активатор в ней.