Автор 000 uyuy задал вопрос в разделе Прочее компьютерное
Верус. Знающие-помогите и получил лучший ответ
Ответ от Мефистофель - Орлеанский[гуру]
Читать!
Ответ от Semrid[гуру]
Ответ от Ўрий Кузьмин[гуру]
То, что у пользователя появилось это окно, вместо привычного входа в систему, означает, что он, скорее всего, перешёл по какой-нибудь левой ссылке, не исключено, что ссылку эту прислал другподруга из того-же контакта. И вот она - вторая по тяжести и глупости распространённая ошибка пользователя - он отправляет то самое SMS-сообщение. Так, как и указывалось в предлоге. Как водится, никакой активации не происходит, а со счёта жертвы "чудеснейшим образом" сдирается от 200 и более рублей. Всё очень просто. "Контакт", как таковой, не виноват, сайт работает в своём нормальном режиме. А вот у пользователя на компьютере появился вирус. Его действия: Замена IP-адреса оригинальной страницы vkontakte.ru на её "маску", на которой и расположена лжеактивация. Делает он это следующим образом: в системной директории C:WINDOWSsystem32driversetc лежит файл hosts, в котором хранятся адреса и соответствующие им IP. Если злоумышленники каким-то образом присвоили имени vkontakte.ru свой IP адрес, то пользователь будет заходить не на оригинальный сайт, а на подставную страницу. Вот примерное содержание файла hosts: # (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999 # # Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows. # # Этот файл содержит сопоставления IP-адресов именам узлов. # Каждый элемент должен располагаться в отдельной строке. IP-адрес должен # находиться в первом столбце, за ним должно следовать соответствующее имя. # IP-адрес и имя узла должны разделяться хотя бы одним пробелом. # # Кроме того, в некоторых строках могут быть вставлены комментарии # (такие, как эта строка) , они должны следовать за именем узла и отделяться # от него символом '#'. # # Например: # # 102.54.94.97 rhino.acme.com # исходный сервер # 38.25.63.10 x.acme.com # узел клиента x 127.0.0.1 localhost Открывается файл блокнотом (щёлкните на файле левой кнопкой мыши для открытия. В предложенном списке выберите программу Блокнот и файл откроется.) . Просмотрите его. Там не должно быть какой-либо информации, касающейся vkontakte.ru, Mail.ru, Yandex.ru и прочего. Если нашли - смело удаляйте и закрывайте файл, согласившись на сохранение изменений. Далее. Открываем поиск: Пуск==>Поиск или сочетание клавиш Win+F* и ищем файлы browser_def.js или browser.js и, если нашли, удаляем их. Конкретно этих двух файлов может и не быть, т. к. модификаций этого вируса в настоящее время по сети гуляет очень много, и не факт что вы подхватили версию с этими файлами. * сочетание клавиш Windows+F. Клавиша Windows на клавиатуре обычно встречается в двух экземплярах, в нижнем ряду клавиатурного ряда, и на ней нарисована характерная для семейства Windows четырёхцветная лента. Файл hosts может и совсем отсутствовать, возможно, его уже удалил антивирус. Если проблема не устранена, то Вас перенаправляет что-то другое. Попробуйте так-же поискать на компьютере файлы vkontakte.exe или нажмименя. bat. Они так-же могут быть, но не обязательны. После выполнения вышеописанных опираций попробуйте пропинговать контакт: 1. Пуск ==> Выполнить ==> cmd (или сочетание клавиш Win+R ==> cmd) 2. В открывшемся окошке набрать текст: nslookup vkontakte.ru На экране появится куча IP адресов 3. Далее набрать текст: ping vkontakte.ru Появится что-то вроде “Обмен пакетами с vkontakte.ru” и адрес в квадратных скобках. Его надо сравнить с тем, что выдала предыдущая команда и если его там нет, то а) что-то из вышеописанного вы выполнили неверно б) проверьте систему бесплатным антивирусным сканером CureIt от компании Dr.WEB, или чем-либо ещё
То, что у пользователя появилось это окно, вместо привычного входа в систему, означает, что он, скорее всего, перешёл по какой-нибудь левой ссылке, не исключено, что ссылку эту прислал другподруга из того-же контакта. И вот она - вторая по тяжести и глупости распространённая ошибка пользователя - он отправляет то самое SMS-сообщение. Так, как и указывалось в предлоге. Как водится, никакой активации не происходит, а со счёта жертвы "чудеснейшим образом" сдирается от 200 и более рублей. Всё очень просто. "Контакт", как таковой, не виноват, сайт работает в своём нормальном режиме. А вот у пользователя на компьютере появился вирус. Его действия: Замена IP-адреса оригинальной страницы vkontakte.ru на её "маску", на которой и расположена лжеактивация. Делает он это следующим образом: в системной директории C:WINDOWSsystem32driversetc лежит файл hosts, в котором хранятся адреса и соответствующие им IP. Если злоумышленники каким-то образом присвоили имени vkontakte.ru свой IP адрес, то пользователь будет заходить не на оригинальный сайт, а на подставную страницу. Вот примерное содержание файла hosts: # (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999 # # Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows. # # Этот файл содержит сопоставления IP-адресов именам узлов. # Каждый элемент должен располагаться в отдельной строке. IP-адрес должен # находиться в первом столбце, за ним должно следовать соответствующее имя. # IP-адрес и имя узла должны разделяться хотя бы одним пробелом. # # Кроме того, в некоторых строках могут быть вставлены комментарии # (такие, как эта строка) , они должны следовать за именем узла и отделяться # от него символом '#'. # # Например: # # 102.54.94.97 rhino.acme.com # исходный сервер # 38.25.63.10 x.acme.com # узел клиента x 127.0.0.1 localhost Открывается файл блокнотом (щёлкните на файле левой кнопкой мыши для открытия. В предложенном списке выберите программу Блокнот и файл откроется.) . Просмотрите его. Там не должно быть какой-либо информации, касающейся vkontakte.ru, Mail.ru, Yandex.ru и прочего. Если нашли - смело удаляйте и закрывайте файл, согласившись на сохранение изменений. Далее. Открываем поиск: Пуск==>Поиск или сочетание клавиш Win+F* и ищем файлы browser_def.js или browser.js и, если нашли, удаляем их. Конкретно этих двух файлов может и не быть, т. к. модификаций этого вируса в настоящее время по сети гуляет очень много, и не факт что вы подхватили версию с этими файлами. * сочетание клавиш Windows+F. Клавиша Windows на клавиатуре обычно встречается в двух экземплярах, в нижнем ряду клавиатурного ряда, и на ней нарисована характерная для семейства Windows четырёхцветная лента. Файл hosts может и совсем отсутствовать, возможно, его уже удалил антивирус. Если проблема не устранена, то Вас перенаправляет что-то другое. Попробуйте так-же поискать на компьютере файлы vkontakte.exe или нажмименя. bat. Они так-же могут быть, но не обязательны. После выполнения вышеописанных опираций попробуйте пропинговать контакт: 1. Пуск ==> Выполнить ==> cmd (или сочетание клавиш Win+R ==> cmd) 2. В открывшемся окошке набрать текст: nslookup vkontakte.ru На экране появится куча IP адресов 3. Далее набрать текст: ping vkontakte.ru Появится что-то вроде “Обмен пакетами с vkontakte.ru” и адрес в квадратных скобках. Его надо сравнить с тем, что выдала предыдущая команда и если его там нет, то а) что-то из вышеописанного вы выполнили неверно б) проверьте систему бесплатным антивирусным сканером CureIt от компании Dr.WEB, или чем-либо ещё
Ответ от Милана[гуру]
тут пошарься может найдешь что полезное.
тут пошарься может найдешь что полезное.
Ответ от Дмитрий Митин[гуру]
Ответ от Kamaysar[гуру]
На вирусы гоняй, лучше записать на диск dr.web curreit и прогнать им комп в безопасном режиме. Если безопасный режим не работает, пиши.
На вирусы гоняй, лучше записать на диск dr.web curreit и прогнать им комп в безопасном режиме. Если безопасный режим не работает, пиши.
Ответ от Аяз Курбанов[гуру]
Privet.
Ti mojesh snimat Vind i podkluchit druqomu kompu i tam proverit na VIRUS.
ili mojesh ispolzovatsa Kasperski antivirusom v rejime SAFE MODE.
A tak prosto nicheqo nelzya skazat. Potomu chto nado qlazami vse videt i dumat tama....
Privet.
Ti mojesh snimat Vind i podkluchit druqomu kompu i tam proverit na VIRUS.
ili mojesh ispolzovatsa Kasperski antivirusom v rejime SAFE MODE.
A tak prosto nicheqo nelzya skazat. Potomu chto nado qlazami vse videt i dumat tama....
Ответ от ValtoBar[гуру]
Первый способ :
Для этого нужно запустить Редактор реестра: Пуск – Выполнить… – Запуск программы – regedit – OK. Запустится Редактор реестра, в котором нужно найти и удалить раздел HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyWgaLogon
Если не хочешь копаться в реестре вручную скачай и запусти файл : wga.zip
Затем перезагрузи комп и удали файлы:
– WINDOWSsystem32DllCacheWgaLogon.dll
– WINDOWSsystem32DllCacheWgaTray.exe
Всё с WGA покончено!
После его удаления Microsoft будет предлагать установить обновление KB905474, поэтому я просто советую отключить " Автоматическое обновление. "
Если лень, то все действия по стиранию можно делать не только вручную, а вот так например:
cmd /c "del %windir%system32wgatray.exe"
cmd /c "del %windir%system32WGAlogon.dll"
cmd /c "rmdir /s /q
Второй способ :
Никаких СМС отправлять не надо
Trojan.Winlock обладает особенностью, позволяющей ему удалять себя через 2-3 часа после запуска (комп не выключайте) . Для тех, кто не хочет ждать, специалисты компании «Доктор Веб» подготовили специальную форму, в которую можно ввести текст предполагаемого sms-сообщения и получить код разблокировки.
Если подходящего кода нет, тогда можно перевести время в БИОС на сутки вперед, троян должен ликвидироваться и не появится, даже если время затем выставить обратно.
Также попробуйте отключить все незнакомые файлы в автозагрузке через безопасный режим.
Если через три часа вы наблюдаете все ту же картину, тогда идем сюда
...
Здесь подробная инструкция по удалению этого трояна
ПОПРОБУЙ КОД 4273598845
Первый способ :
Для этого нужно запустить Редактор реестра: Пуск – Выполнить… – Запуск программы – regedit – OK. Запустится Редактор реестра, в котором нужно найти и удалить раздел HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyWgaLogon
Если не хочешь копаться в реестре вручную скачай и запусти файл : wga.zip
Затем перезагрузи комп и удали файлы:
– WINDOWSsystem32DllCacheWgaLogon.dll
– WINDOWSsystem32DllCacheWgaTray.exe
Всё с WGA покончено!
После его удаления Microsoft будет предлагать установить обновление KB905474, поэтому я просто советую отключить " Автоматическое обновление. "
Если лень, то все действия по стиранию можно делать не только вручную, а вот так например:
cmd /c "del %windir%system32wgatray.exe"
cmd /c "del %windir%system32WGAlogon.dll"
cmd /c "rmdir /s /q
Второй способ :
Никаких СМС отправлять не надо
Trojan.Winlock обладает особенностью, позволяющей ему удалять себя через 2-3 часа после запуска (комп не выключайте) . Для тех, кто не хочет ждать, специалисты компании «Доктор Веб» подготовили специальную форму, в которую можно ввести текст предполагаемого sms-сообщения и получить код разблокировки.
Если подходящего кода нет, тогда можно перевести время в БИОС на сутки вперед, троян должен ликвидироваться и не появится, даже если время затем выставить обратно.
Также попробуйте отключить все незнакомые файлы в автозагрузке через безопасный режим.
Если через три часа вы наблюдаете все ту же картину, тогда идем сюда
...
Здесь подробная инструкция по удалению этого трояна
ПОПРОБУЙ КОД 4273598845
Ответ от 3 ответа[гуру]
Привет! Вот подборка тем с похожими вопросами и ответами на Ваш вопрос: Верус. Знающие-помогите