ВКонтакте, Одноклассники и другие сайты требуют отправки СМС - Страница 2 - Форум RusProgram.3dn.Ru

Обсуждение бесплатного софта и безопасности вашего компьютера


У нас можно получить подробную информацию:
Как избавиться от вируса в компьютере
Главная страница сайта · Новые сообщения на форуме · RSS·
Страница 2 из 2«12
Форум RusProgram.3dn.Ru » Безопасность в сети » Как избавиться от вируса в компьютере » ВКонтакте, Одноклассники и другие сайты требуют отправки СМС
ВКонтакте, Одноклассники и другие сайты требуют отправки СМС
укук Дата: Вторник, 15.12.2009, 18:23 | Сообщение # 1
Сержант
Группа: Проверенные
Сообщений: 4
Статус: Offline







Утилиты для восстановления файла HOSTS:
Reset_Hosts
StaticDelete
On Line Contact
Как восстановить файл HOST
VKontakte Unlock
Madly vkontakte unlock
Hosts Virus Detector
Пошаговая инструкция

Бесплатные антивирусные утилиты:
Dr.Web CureIt!
Kaspersky Virus Removal Tool
Malwarebytes' Anti-Malware
AVZ

Сервисы подбора кода:
Kaspersky
DrWeb
Eset

Файл HOSTS не имеет видимого расширения, но по сути его можно редактировать в любом текстовом редакторе (например, Notepad или Блокнот), как обычный файл текстового формата.
Его местоположение может отличаться в зависимости от вашей операционной системы, но по умолчанию файл HOSTS находится:
Windows 95/98/ME: WINDOWS\hosts
Windows NT/2000: WINNT\system32\drivers\etc\hosts
Windows XP/2003/Vista/Seven: WINDOWS\system32\drivers\etc\hosts




Если на экране вашего монитора появилось сообщение о том, что требуется отправить СМС, дабы получить код доступа к сайту «Вконтакте», имейте ввиду – на компьютере поселился троян, который внимательно собирает информацию о том, какие сайты вы посещаете, какие пароли вводите. Причем, значительная часть такой информации уже собрана.

Первоочередная задача – отключить работу трояна . Первоначальный этап работы, я бы вывел в два простых пункта:

1.Отключение подозрительных процессов в памяти компьютера
2.Удаление подозрительных программ из автозагрузки

После того, как проведены все вышеописанные мероприятия, необходимо приступить к самому главному – редактированию файла hosts. Подробнее об этом файле можно почитать здесь
Наша первоочередная задача найти этот файл на компьютере.

Если ваша операционная система установлена на диске «С», то путь к файлу будет следующим:

C:\WINDOWS\system32\drivers\etc

В данной папке должен находиться файл hosts. У файла нет расширения. Чтобы отредактировать его, щелкаем правой кнопкой мышки по файлу, выбираем пункт «Открыть» и далее в новом окне будет предложен список программ.



Здесь ищем программу «Блокнот». Выбираем ее мышкой и нажимаем кнопку «ОК».

Прежде чем, показать, как должен выглядеть неправильный файл hosts, я хочу чтобы вы знали содержимое оригинального файла:

Для Windows XP:

# Copyright © 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost


Для Windows Vista/Seven:

# Copyright © 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

# localhost name resolution is handled within DNS itself.

# 127.0.0.1 localhost
# ::1 localhost


Именно таким текстом файл наполнен после установки операционной системы Windows.

Теперь смотрим наш текущий файл с помощью программы «Блокнот». На зараженном компьютере он вполне может выглядеть так:



Обратите внимание, что напротив 127.0.0.1 стоят доменные имена сайтов. Фактически, каждая строчка вроде: «127.0.0.1 vkontakte.ru» блокирует доступ к определенному сайту. В данном случае это социальная сеть «Вконтакте.ru».
Теперь наша задача выделить все содержимое файла hosts и удалить весь текст, что открылся нашему взору. Далее копируем оригинальное содержимое hosts с нашего сайта. Его я вашему вниманию предложил для ознакомления выше. И вставляем его на место только что удаленных данных. Вот, что у нас должно получиться:



Закрываем «Блокнот». При запросе на сохранение файла отвечаем «Да».



Перезагружаем компьютер. И пробуем войти на нужный сайт. По моим наблюдениям в 20-30 процентах случаев, вышеуказанные действия приводят к положительному результату.
Однако попадается и более сложный вариант. Итак, предположим, что вы зашли в папку C:\WINDOWS\system32\drivers\etc и наблюдаете там следующую картину:



Как мы видим, файла hosts здесь не существует! Мы видим, что в папке расположен некий файл lmhosts , который так и порывается рука переименовать в hosts. Не советую этого делать, так как данная операция не приведет вас к положительному результату.
В таком случае нужно произвести следующий набор действий: в главном меню проводника Windows заходим в главное меню Сервис и там выбираем пункт «Свойства папки».



Переходим на вкладку «Вид» и снимаем флажок напротив следующих пунктов:

- Скрывать защищенные системные файлы
- Скрывать расширения для зарегистрированных типов файлов
Теперь нажимаем на переключатель напротив надписи «Показывать скрытые файлы и папки».



Нажимаем кнопку «Применить» и далее кнопку «ОК». Окно закроется, а мы увидим содержимое уже полюбившейся нам папки C:\WINDOWS\system32\drivers\etc
Мы видим, что настоящий файл hosts был скрыт от нашего взора. Теперь мы его видим.



Однако при попытке отредактировать и сохранить, нашему взору открывается вот такое окно:



Поэтому мы поступим проще. Удалим файл hosts совсем. Выделяем его мышкой и нажимаем на клавиатуре «Shift+Delete». Таким образом наш файл удален навечно, минуя корзину.
Теперь создадим файл hosts заново. Для этого в папке C:\WINDOWS\system32\drivers\etc щелкаем по пустому месту правой кнопкой мышки и вызываем контекстное меню.
Выбираем : Создать – Текстовый документ



Появится файл с названием Teкстовый документ.txt Удаляем полностью имя и расширение файла и вписываем просто hosts. За запрос о смене расширения, отвечаем «Да».



Теперь вставляем содержимое оригинального файла hosts:



Файл же lmhosts.sam просто удаляем. Перезагружаем компьютер. Наш сайт Вконтакте должен открыться.

Справедливости ради надо отметить, что вышеописанный рецепт будет работать не только для социальной сети "В контакте", но также для социальной сети "Одноклассники" и прочих часто посещаемых ресурсов сети Интернет.


Сообщение отредактировал укук - Вторник, 15.12.2009, 18:25
 
Gil.McLoud Дата: Суббота, 08.01.2011, 11:45 | Сообщение # 16
Группа: Гости





Ваша идея великолепна.
 
administrator Дата: Пятница, 18.03.2011, 23:24 | Сообщение # 17
администратор форума
Группа: Администраторы
Сообщений: 103
Статус: Offline
Как удалить Trojan.Win32.Inject.aohy

Trojan.Win32.Inject.aohy закрывает доступ к некоторым сайтам социальных сетей типа Одноклассники, ВКонтакте, а также ресурсам разработчиков антивирусов и так далее.

Что нужно сделать:
- скачиваем утилиту AVZ
- перезагружаем компьютер в безопасном режиме
- отключаем интернет и антивирусные программы
- запускаем AVZ
- =>Файл =>Выполнить скрипт

- копируем в окошко следующий скрипт

Function DelAppInit_DLLsByFileName(Name : string; AName : boolean = false) : boolean;
const
RegKey = 'Software\Microsoft\Windows NT\CurrentVersion\Windows';
var
AppInit_DLLs,Temp_AppInit_DLLs,Temp : string;
n,p : integer;
begin
Result := false;
Name := LowerCase(Name); AppInit_DLLs := ''; n := 0; p := 0;
Temp_AppInit_DLLs := StringReplace(LowerCase(RegKeyStrParamRead('HKLM', RegKey, 'AppInit_DLLs')), ',', ' ') + ' ';
if (Temp_AppInit_DLLs = ' ') or (pos(Name, Temp_AppInit_DLLs) = 0) then exit;
Temp := Temp_AppInit_DLLs;
while pos(Name, Temp) > 0 do
begin
Inc(p);
Delete(Temp, pos(Name, Temp), Length(Name));
end;
Temp := '';
while pos(' ', Temp_AppInit_DLLs) > 0 do
begin
If Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1) <> '' then
begin
If n > 1 then Temp := Temp + ',';
If pos(':\', Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1)) > 0 then Temp := Temp + ',';
If pos('.', Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1)) > 0 then
Temp := Temp + Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1) + ',' else Temp := Temp + Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs));
n := 0;
end;
Delete(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs)); Inc(n);
end;
while (pos(',,', Temp) > 0) or (pos(' ,', Temp) > 0) do Temp := StringReplace(StringReplace(Temp, ',,', ','), ' ,', ',');
while (pos(Copy(Temp, 1, 1), ' ,') > 0) do Delete(Temp, 1, 1);
while (pos(Copy(Temp, Length(Temp), 1), ' ,') > 0) do Delete(Temp, Length(Temp), 1);
Temp_AppInit_DLLs := Temp + ',';
Temp := '';
If AName then while pos(',', Temp_AppInit_DLLs) > 0 do
begin
If Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1) <> '' then
If pos(' ', ExtractFileName(Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1))) > 0 then
Temp := Temp + ExtractFilePath(Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs))) + StringReplace(ExtractFileName(Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs))), ' ', ',') else
Temp := Temp + Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs));
Delete(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs));
end else Temp := Temp_AppInit_DLLs;
Temp_AppInit_DLLs := Temp + ',';
while pos(',', Temp_AppInit_DLLs) > 0 do
begin
If Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1) <> '' then
If (Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1) = Name) or ((p <= 1) and (ExtractFileName(Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1)) = Name)) then
AppInit_DLLs := AppInit_DLLs else AppInit_DLLs := AppInit_DLLs + Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs));
Delete(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs));
end;
If Copy(AppInit_DLLs, Length(AppInit_DLLs), 1) = ',' then Delete(AppInit_DLLs, Length(AppInit_DLLs), 1);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', RegKey, 'AppInit_DLLs', AppInit_DLLs);
If RegKeyStrParamRead('HKLM', RegKey, 'AppInit_DLLs') = AppInit_DLLs then Result := true;
end;

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\WINDOWS\system32\vicdfsb.dll','');
DeleteFile('C:\WINDOWS\system32\vicdfsb.dll');
DelAppInit_DLLsByFileName('C:\WINDOWS\system32\vicdfsb.dll');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(6);
BC_Activate;
RebootWindows(true);
end.

- => Запустить

- компьютер начинает автоматически перезагружаться

После выполнения вышеописанных манипуляций перезагружаем операционную систему в обычном режиме.

 
administrator Дата: Четверг, 05.05.2011, 20:59 | Сообщение # 18
администратор форума
Группа: Администраторы
Сообщений: 103
Статус: Offline
Ещё один способ получить доступ в Вконтакте.

Если файл hosts чист, замена папки etc не помогает и вы всё равно видите сообщение такого плана:

Ваша страница была взломана, и с нее рассылался спам!
С Вашего аккаунта была замечена массовая рассылка спам-сообщений. Во избежание дальнейших спам-рассылок Мы были вынуждены временно заблокировать Ваш аккаунт.

Для восстановления доступа к странице Вам необходимо ввести код активации, который будет отправлен на Ваш мобильный телефон в виде SMS-сообщения после подтверждения Вашего совершеннолетия.

Также мы советуем Вам сменить пароль от почтового ящика и проверить Ваш компьютер на вирусы. Никогда не указывайте Ваш пароль от страницы нигде, кроме сайта http://vkontakte.ru.

Как меня могли взломать? Внимательно изучите этот раздел, прежде чем возобновлять пользование сайтом, чтобы избежать блокировок за спам в дальнейшем. Код активации: потом приходит смс с номере 8353 подтвердите совершенолетие

то можно попробовать следующий способ:

- загружаемся в безопасном режиме
- Пуск=>Выполнить=>regedit
- в реестре ищем ветку hkey_local_machine\software\microsoft\Windows NT\CurrentVersion\Windows
- находим строку AppInit_DLLs, в которой будет примерно следующая запись C:\WINDOWS\system32\ххххххх.dll, где ххххххdll - это и есть ваш пойманный вирус, его имя у всех похожее , так как оно генерируется случайным образом, всегда 7-ми значное, в нашем случае kloehky.dll

- удаляем значение C:\WINDOWS\system32\kloehky.dll

- изменяем значение AppInit_DLLs на 0, именно на 0, так как в другом случае значение будет автоматически восстанавливаться

- также рекомендуется изменить значение поля LoadAppInit_DLLs в той же ветке на 0

- удаляем файл по адресу, в нашем случае C:\WINDOWS\system32\kloehky.dll
- перезагружаем компьютер

 
nididyk Дата: Вторник, 08.03.2016, 04:58 | Сообщение # 19
участник форума
Группа: Пользователи
Сообщений: 4
Статус: Offline
отлично!конечно я знаю как решить мои вопросы biggrin
 
Форум RusProgram.3dn.Ru » Безопасность в сети » Как избавиться от вируса в компьютере » ВКонтакте, Одноклассники и другие сайты требуют отправки СМС
Страница 2 из 2«12
Поиск:






Это интересно. Рекомендуем посмотреть, быть может даже и купить










Горячая лента рекламы в Интернете
прокрутить вправо
прокрутить влево







 
Правила сайта - Обратная связь - Форум
© RusProgram.3dn.Ru -бесплатные программы для компьютера на русском языке скачать бесплатно и без регистрации 2009-2014.