Вирус Trojan.Mayachok

Здравствуйте! У меня появилась проблема с браузером Google Chrome.Во время скачивания файла компьютер перезагрузился и браузер гоглехром перестал работать.Хотя остальные...опера и рамблер хром работают нормально.Посмотрев на форумах я нашел объяснение,что это вирус.Просканировал комп и нашел вирус и он был обезврежен.Но браузер так и не заработал.Скачал утилиту Curelt и она тоже обезвредила тот же вирус.Но самое интересное,что при сканировании заново ДокторомВеб опять нашелся один и тот же вирус и был обезврежен.Так можно продолжать бесконечно.Вирус неудаляется и браузер не работает......и так было три дня .СТРАННО НО СЕЙЧАС БРАУЗЕР ЗАРАБОТАЛ...Я общался с техподдержкой ДОКВЕБ и мне сказали что надо обновить SP2 до версии SP3.Но сейчас все нормально работает.Но больше всего меня интересует вопрос о файле C:\WINDOWS\system32\uhnpjwn.dll .Антивирус постоянно его обезвреживает но он находится на старом месте...Могу ли я удалить его вручную без вреда для системы и что это такое?Как от него избавиться?вот что пишет техподдержка ДОКВЕБ- файл uhnpjwn.dll, находящийся в Вашей системе в активном состоянии, детектируется нашим антивирусом с актуальными базами, как одна из модификаций Trojan.Mayachok.

Уважаемый(ая) [B]an-toha[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"] правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\uhnpjwn.dll','');
DeleteFile('C:\WINDOWS\system32\uhnpjwn.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

После выполнения скрипта компьютер завис...Перезагрузил...Доктор веб сразу удалил карантин.Какие файлы надо выслать не пойму

Пофиксите в HiJack
[CODE]R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxl.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxl.net
O4 - HKLM\..\Run: [GEST] m‘|\ь[/CODE]
[color="#FF0000"][b]Внимание![/b][/color] Официальная поддержка (и выпуск обновлений) для Windows XP SP2 [b]прекращена[/b]

Установите [url="http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/url] (может потребоваться активация) + все [url="http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru"]новые обновления[/url] для Windows
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)

Что с проблемой?

+ Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=57441]- Антивирус и Файрвол[/url]

выполните такой скрипт

[CODE]
begin
QuarantineFileF('C:\Windows\system32','*.tmp', true,'',0 ,0);
DeleteFileMask('C:\Windows\system32', '*.tmp', true);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]

Если что-нибудь попадёт в карантин пришлите файл [b][color=Red]quarantine.zip[/color][/b] из папки AVZ загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы

Профиксил.Фаил в C:\WINDOWS\system32\uhnpjwn.dll исчез.Сейчас делаю быструю проверку ДокВеб и может этот Trojan.Mayachok не будет найден.Пришло новое сообщение со скриптом.Его делать???

[quote="an-toha;857270"]Пришло новое сообщение со скриптом.Его делать???[/quote]Сделайте :)

Сделал новый скрипт...ВСЕ.ПОЛНЫЙ КИРДЫК...осталась одна картинка на мониторе.И что теперь делать?????????????

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

Как теперь оживить компьютер?...В безопасном режиме могу войти

[quote="an-toha;857299"]осталась одна картинка на мониторе.
...
В безопасном режиме могу войти[/quote]
Т.е. в обычном режиме доходит до картинки рабочего стола и дальше не грузится, а в безопасном нормально?
Сделайте в безопасном режиме логи virusinfo_syscheck и HijackThis (п.2 и 3 Диагностики).

Что делать? Через диспетчер открыл браузер

[quote="an-toha;857312"]Что делать? Через диспетчер открыл браузер[/quote]
в обычном режиме?
В карантин AVZ что-нибудь попало после выполнения скрипта ?

Сделайте
[quote="Bratez;857303"]логи virusinfo_syscheck и HijackThis (п.2 и 3 Диагностики).[/quote]

Значит так...В карантине ничего не было.Сейчас я в безопасном режиме.Высылаю файлы

До последнего скрипта все было нормально и, ради интереса ,зачем нужно было удалять какой то фаил...Есть еще файлы...может пригодиться

Сделайте так как было раньше.И на этом можно остановиться

[quote="Bratez;857303"]Т.е. в обычном режиме доходит до картинки рабочего стола и дальше не грузится[/quote]Ответьте на вопрос, пожалуйста

В обычном режиме открывается пустой рабочий стол с картинкой.Панели задач тоже нет

[size="1"][color="#666686"][B][I]Добавлено через 1 час 19 минут[/I][/B][/color][/size]

Почему то нет ответа от вас

[quote="an-toha;857356"]В обычном режиме открывается пустой рабочий стол с картинкой.Панели задач тоже нет[/quote]Диспетчер задач вызвать можно в обычном режиме?

Да,в обычном режиме можно вызвать диспетчер задач

Вызовите диспетчер задач, с его помощью запустите AVZ и HiJack и сделайте логи из нормального режима

Логи сделал.Вот только при сканировании HiJack выскакивала рамка и что это я не знаю.Вроде как ошибка

Дополнительный вопрос.Реально ли вернуть былые файлы и материалы,которые были на рабочем столе??? Просто их было очень много и искать по всему компу будет утомительно

[size="1"][color="#666686"][B][I]Добавлено через 34 минуты[/I][/B][/color][/size]

Пора отдыхать.Головная боль,новая,осталась.Уезжаю на два дня...Жду ваших советов и по приезду будем экспериментировать дальше.Жаль,что сын остался без компьютера

C:\Program Files\Cool Desktop\CoolDesktop.exe - это что?

Cool Desktop - бесплатная программа, предназначенная для автоматической смены обоев рабочего стола

explorer.exe есть в папке Windows?

explorer.exe есть в диспетчере задач а в папке Windows я нашел только это...небольшой снимок приложил.

[b]thyrex[/b],//////////////какие действия?

Выполните из командной строки
[CODE]dir c:\Windows > c:\dir.txt [/CODE]Файл dir.txt с диска С прикрепите к сообщению

Сделал в обычном режиме

Запустите редактор реестра и сделайте экспорт ветки [B]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options[/B] в отдельный файл

Заархивируйте полученный файл и прикрепите к сообщению

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

Диск с дистрибутивом есть?

Диск могу найти....Ещё есть резервная копия системы в Acronis.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Если нужно достать файл с диска то напиши как это делать подробней.

Как вариант, нужно накатить систему в режиме восстановления. Ибо понять, что ценное вдруг было удалено внешне безобидным скриптом, никак не удается

Т.Е. восстановить с загрузочного диска?...

Именно так

[b]thyrex[/b], Восстановление сделал с копии акроникса.Копия диска С была сделана в ноябре.Файла uhnpjwn.dll там нет.ДокВеб вирусов не нашел...Высылаю логи процесса диагностики...Посмотри их

[b]thyrex[/b],...После сканирования были подозрительные файлы.Загрузить в запрошенный карантин не могу--файл уже загружен--Менял имя но ничего не выходит.Могу выложить на форум

Пофиксите в HiJack
[CODE]R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxl.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxl.net
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: AlterGeo Magic Scanner - {9BFBA68E-E21B-458E-AE12-FE85E903D2C1} - (no file)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - (no file)
O2 - BHO: (no name) - {EBCDDA60-2A68-11D3-8A43-0060083CFB9C} - (no file)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O4 - HKLM\..\Run: [GEST] m‘|\ь[/CODE]Больше плохого не видно

[size="1"][color="#666686"][B][I]Добавлено через 37 секунд[/I][/B][/color][/size]

[color="#FF0000"][b]Внимание![/b][/color] Официальная поддержка (и выпуск обновлений) для Windows XP SP2 [b]прекращена[/b]

Установите [url="http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=ru"]SP3[/url] (может потребоваться активация) + все [url="http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru"]новые обновления[/url] для Windows
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)
Установите [url="http://get.adobe.com/reader/otherversions/"]Acrobat Reader 10[/url] или удалите старый

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]8[/B][*]Обработано файлов: [B]15[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\uhnpjwn.dll - [B]Trojan-Ransom.Win32.Cidox.dtc[/B] ( DrWEB: Trojan.Mayachok.1, BitDefender: Gen:Variant.Graftor.12824, NOD32: Win32/Agent.SFM trojan, AVAST4: Win32:MalOb-IL [Cryp] )[/LIST][/LIST]