Автор 000 uyuy задал вопрос в разделе Прочее компьютерное
Верус. Знающие-помогите и получил лучший ответ
Ответ от Мефистофель - Орлеанский[гуру]
Читать!
Ответ от Semrid[гуру]
Ответ от Ўрий Кузьмин[гуру]
То, что у пользователя появилось это окно, вместо привычного входа в систему, означает, что он, скорее всего, перешёл по какой-нибудь левой ссылке, не исключено, что ссылку эту прислал другподруга из того-же контакта. И вот она - вторая по тяжести и глупости распространённая ошибка пользователя - он отправляет то самое SMS-сообщение. Так, как и указывалось в предлоге. Как водится, никакой активации не происходит, а со счёта жертвы "чудеснейшим образом" сдирается от 200 и более рублей. Всё очень просто. "Контакт", как таковой, не виноват, сайт работает в своём нормальном режиме. А вот у пользователя на компьютере появился вирус. Его действия: Замена IP-адреса оригинальной страницы vkontakte.ru на её "маску", на которой и расположена лжеактивация. Делает он это следующим образом: в системной директории C:WINDOWSsystem32driversetc лежит файл hosts, в котором хранятся адреса и соответствующие им IP. Если злоумышленники каким-то образом присвоили имени vkontakte.ru свой IP адрес, то пользователь будет заходить не на оригинальный сайт, а на подставную страницу. Вот примерное содержание файла hosts: # (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999 # # Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows. # # Этот файл содержит сопоставления IP-адресов именам узлов. # Каждый элемент должен располагаться в отдельной строке. IP-адрес должен # находиться в первом столбце, за ним должно следовать соответствующее имя. # IP-адрес и имя узла должны разделяться хотя бы одним пробелом. # # Кроме того, в некоторых строках могут быть вставлены комментарии # (такие, как эта строка) , они должны следовать за именем узла и отделяться # от него символом '#'. # # Например: # # 102.54.94.97 rhino.acme.com # исходный сервер # 38.25.63.10 x.acme.com # узел клиента x 127.0.0.1 localhost Открывается файл блокнотом (щёлкните на файле левой кнопкой мыши для открытия. В предложенном списке выберите программу Блокнот и файл откроется.) . Просмотрите его. Там не должно быть какой-либо информации, касающейся vkontakte.ru, Mail.ru, Yandex.ru и прочего. Если нашли - смело удаляйте и закрывайте файл, согласившись на сохранение изменений. Далее. Открываем поиск: Пуск==>Поиск или сочетание клавиш Win+F* и ищем файлы browser_def.js или browser.js и, если нашли, удаляем их. Конкретно этих двух файлов может и не быть, т. к. модификаций этого вируса в настоящее время по сети гуляет очень много, и не факт что вы подхватили версию с этими файлами. * сочетание клавиш Windows+F. Клавиша Windows на клавиатуре обычно встречается в двух экземплярах, в нижнем ряду клавиатурного ряда, и на ней нарисована характерная для семейства Windows четырёхцветная лента. Файл hosts может и совсем отсутствовать, возможно, его уже удалил антивирус. Если проблема не устранена, то Вас перенаправляет что-то другое. Попробуйте так-же поискать на компьютере файлы vkontakte.exe или нажмименя. bat. Они так-же могут быть, но не обязательны. После выполнения вышеописанных опираций попробуйте пропинговать контакт: 1. Пуск ==> Выполнить ==> cmd (или сочетание клавиш Win+R ==> cmd) 2. В открывшемся окошке набрать текст: nslookup vkontakte.ru На экране появится куча IP адресов 3. Далее набрать текст: ping vkontakte.ru Появится что-то вроде “Обмен пакетами с vkontakte.ru” и адрес в квадратных скобках. Его надо сравнить с тем, что выдала предыдущая команда и если его там нет, то а) что-то из вышеописанного вы выполнили неверно б) проверьте систему бесплатным антивирусным сканером CureIt от компании Dr.WEB, или чем-либо ещё
То, что у пользователя появилось это окно, вместо привычного входа в систему, означает, что он, скорее всего, перешёл по какой-нибудь левой ссылке, не исключено, что ссылку эту прислал другподруга из того-же контакта. И вот она - вторая по тяжести и глупости распространённая ошибка пользователя - он отправляет то самое SMS-сообщение. Так, как и указывалось в предлоге. Как водится, никакой активации не происходит, а со счёта жертвы "чудеснейшим образом" сдирается от 200 и более рублей. Всё очень просто. "Контакт", как таковой, не виноват, сайт работает в своём нормальном режиме. А вот у пользователя на компьютере появился вирус. Его действия: Замена IP-адреса оригинальной страницы vkontakte.ru на её "маску", на которой и расположена лжеактивация. Делает он это следующим образом: в системной директории C:WINDOWSsystem32driversetc лежит файл hosts, в котором хранятся адреса и соответствующие им IP. Если злоумышленники каким-то образом присвоили имени vkontakte.ru свой IP адрес, то пользователь будет заходить не на оригинальный сайт, а на подставную страницу. Вот примерное содержание файла hosts: # (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999 # # Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows. # # Этот файл содержит сопоставления IP-адресов именам узлов. # Каждый элемент должен располагаться в отдельной строке. IP-адрес должен # находиться в первом столбце, за ним должно следовать соответствующее имя. # IP-адрес и имя узла должны разделяться хотя бы одним пробелом. # # Кроме того, в некоторых строках могут быть вставлены комментарии # (такие, как эта строка) , они должны следовать за именем узла и отделяться # от него символом '#'. # # Например: # # 102.54.94.97 rhino.acme.com # исходный сервер # 38.25.63.10 x.acme.com # узел клиента x 127.0.0.1 localhost Открывается файл блокнотом (щёлкните на файле левой кнопкой мыши для открытия. В предложенном списке выберите программу Блокнот и файл откроется.) . Просмотрите его. Там не должно быть какой-либо информации, касающейся vkontakte.ru, Mail.ru, Yandex.ru и прочего. Если нашли - смело удаляйте и закрывайте файл, согласившись на сохранение изменений. Далее. Открываем поиск: Пуск==>Поиск или сочетание клавиш Win+F* и ищем файлы browser_def.js или browser.js и, если нашли, удаляем их. Конкретно этих двух файлов может и не быть, т. к. модификаций этого вируса в настоящее время по сети гуляет очень много, и не факт что вы подхватили версию с этими файлами. * сочетание клавиш Windows+F. Клавиша Windows на клавиатуре обычно встречается в двух экземплярах, в нижнем ряду клавиатурного ряда, и на ней нарисована характерная для семейства Windows четырёхцветная лента. Файл hosts может и совсем отсутствовать, возможно, его уже удалил антивирус. Если проблема не устранена, то Вас перенаправляет что-то другое. Попробуйте так-же поискать на компьютере файлы vkontakte.exe или нажмименя. bat. Они так-же могут быть, но не обязательны. После выполнения вышеописанных опираций попробуйте пропинговать контакт: 1. Пуск ==> Выполнить ==> cmd (или сочетание клавиш Win+R ==> cmd) 2. В открывшемся окошке набрать текст: nslookup vkontakte.ru На экране появится куча IP адресов 3. Далее набрать текст: ping vkontakte.ru Появится что-то вроде “Обмен пакетами с vkontakte.ru” и адрес в квадратных скобках. Его надо сравнить с тем, что выдала предыдущая команда и если его там нет, то а) что-то из вышеописанного вы выполнили неверно б) проверьте систему бесплатным антивирусным сканером CureIt от компании Dr.WEB, или чем-либо ещё
Ответ от Милана[гуру]
тут пошарься может найдешь что полезное.
тут пошарься может найдешь что полезное.
Ответ от Дмитрий Митин[гуру]
Ответ от Kamaysar[гуру]
На вирусы гоняй, лучше записать на диск dr.web curreit и прогнать им комп в безопасном режиме. Если безопасный режим не работает, пиши.
На вирусы гоняй, лучше записать на диск dr.web curreit и прогнать им комп в безопасном режиме. Если безопасный режим не работает, пиши.
Ответ от Аяз Курбанов[гуру]
Privet.
Ti mojesh snimat Vind i podkluchit druqomu kompu i tam proverit na VIRUS.
ili mojesh ispolzovatsa Kasperski antivirusom v rejime SAFE MODE.
A tak prosto nicheqo nelzya skazat. Potomu chto nado qlazami vse videt i dumat tama....
Privet.
Ti mojesh snimat Vind i podkluchit druqomu kompu i tam proverit na VIRUS.
ili mojesh ispolzovatsa Kasperski antivirusom v rejime SAFE MODE.
A tak prosto nicheqo nelzya skazat. Potomu chto nado qlazami vse videt i dumat tama....
Ответ от ValtoBar[гуру]
Первый способ :
Для этого нужно запустить Редактор реестра: Пуск – Выполнить… – Запуск программы – regedit – OK. Запустится Редактор реестра, в котором нужно найти и удалить раздел HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyWgaLogon
Если не хочешь копаться в реестре вручную скачай и запусти файл : wga.zip
Затем перезагрузи комп и удали файлы:
– WINDOWSsystem32DllCacheWgaLogon.dll
– WINDOWSsystem32DllCacheWgaTray.exe
Всё с WGA покончено!
После его удаления Microsoft будет предлагать установить обновление KB905474, поэтому я просто советую отключить " Автоматическое обновление. "
Если лень, то все действия по стиранию можно делать не только вручную, а вот так например:
cmd /c "del %windir%system32wgatray.exe"
cmd /c "del %windir%system32WGAlogon.dll"
cmd /c "rmdir /s /q
Второй способ :
Никаких СМС отправлять не надо
Trojan.Winlock обладает особенностью, позволяющей ему удалять себя через 2-3 часа после запуска (комп не выключайте) . Для тех, кто не хочет ждать, специалисты компании «Доктор Веб» подготовили специальную форму, в которую можно ввести текст предполагаемого sms-сообщения и получить код разблокировки.
Если подходящего кода нет, тогда можно перевести время в БИОС на сутки вперед, троян должен ликвидироваться и не появится, даже если время затем выставить обратно.
Также попробуйте отключить все незнакомые файлы в автозагрузке через безопасный режим.
Если через три часа вы наблюдаете все ту же картину, тогда идем сюда
...
Здесь подробная инструкция по удалению этого трояна
ПОПРОБУЙ КОД 4273598845
Первый способ :
Для этого нужно запустить Редактор реестра: Пуск – Выполнить… – Запуск программы – regedit – OK. Запустится Редактор реестра, в котором нужно найти и удалить раздел HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyWgaLogon
Если не хочешь копаться в реестре вручную скачай и запусти файл : wga.zip
Затем перезагрузи комп и удали файлы:
– WINDOWSsystem32DllCacheWgaLogon.dll
– WINDOWSsystem32DllCacheWgaTray.exe
Всё с WGA покончено!
После его удаления Microsoft будет предлагать установить обновление KB905474, поэтому я просто советую отключить " Автоматическое обновление. "
Если лень, то все действия по стиранию можно делать не только вручную, а вот так например:
cmd /c "del %windir%system32wgatray.exe"
cmd /c "del %windir%system32WGAlogon.dll"
cmd /c "rmdir /s /q
Второй способ :
Никаких СМС отправлять не надо
Trojan.Winlock обладает особенностью, позволяющей ему удалять себя через 2-3 часа после запуска (комп не выключайте) . Для тех, кто не хочет ждать, специалисты компании «Доктор Веб» подготовили специальную форму, в которую можно ввести текст предполагаемого sms-сообщения и получить код разблокировки.
Если подходящего кода нет, тогда можно перевести время в БИОС на сутки вперед, троян должен ликвидироваться и не появится, даже если время затем выставить обратно.
Также попробуйте отключить все незнакомые файлы в автозагрузке через безопасный режим.
Если через три часа вы наблюдаете все ту же картину, тогда идем сюда
...
Здесь подробная инструкция по удалению этого трояна
ПОПРОБУЙ КОД 4273598845
Ответ от 22 ответа[гуру]
Привет! Вот подборка тем с похожими вопросами и ответами на Ваш вопрос: Верус. Знающие-помогите