В данной статье хочется затронуть очень важную тему,
посвященную хакерству и вероломному интернет мошенничеству, процветающему в наше
время. Если честно я достаточно опытный пользователь компьютера и интернета и
поэтому считал что данное явление меня никогда не коснется, но я ошибался. Безусловно я
всегда подозрительно относился к различного рода смс сообщениям и всяческим
плагинам которые могли время от времени меня беспокоить, но те знания и навыки
которыми я обладал, оказались не столь достаточными и прогрессивными по сравнению с теми
умениями которые, постоянно развивающиеся мошенники, с каждым часом приобретают,
оказались не совсем достаточными. Поэтому я посчитал своим долгом разобраться в этой теме и написать данную статью (как результат своей работы). Для того чтобы сократить колличество обманутых людей таким способом я прошу всех кто прочитал даннй материал распространить всем своим друзьям знакомым и вообще просто перепостить как можно блльше ссылок на данную информацию. Теперь хочется подойти к сути проблемы. С чем столкнулся я и можете столкнуться и вы
или уже может даже сталкивались.
Суть обмана построена на следующем, обычно при входе на сайты самых
распространенных сетей таких как "Одноклассники”, "ВКонтакте”, "Мой Мир”, "ЖЖ” и
многих других вы можете наблюдать окошко со следующим текстом: «Валидация
аккаунта. Номер Вашего телефона нужен для того, чтобы мы смогли прислать Вам код
подтверждения и убедиться в том, что Вы — реальная личность!» Одноклассники»
(или «ВКонтакте») гарантируют, что информация о Вашем номере ни при каких
обстоятельствах не будет разглашена или передана третьим лицам. Данная мера
принята для того, чтобы оградить пользователей от автоматических спам-ботов.
Имея доступ к указанному номеру, Вы всегда сможете восстановить пароль к Вашей
странице. Услуга недоступна абонентам некоторым регионам Мегафона.» скажу прямо
это означает, что ваш компьютер подвергся атаке вируса. Ни в коем случае не
смейте вводить данные своей учетной записи (логин и пароль) и самое главное — не
отправляйте никаких sms-сообщений со своего мобильного телефона! Примерно вот
как выглядит данное сообщение:
Примеры подмены: ВКонтакте:
Одноклассники:
(внешний вид и текст подобного сообщения могут отличаться от приведенных
примеров)
Однако, имейте в виду, что при работе с такой социальной сетью как ВКонтакте
действительно может потребоваться периодически подтвердить, что вы - это вы, для чего
необходимо ввести номер мобильного телефона, который вы указывали при
регистрации или позже. В ответ на ваш телефон будет отправлено sms-сообщение с
кодом подтверждения, который также вводится на сайте, чем и подтверждается ваша
личность. При этом в процессе настоящей валидации никаких смс-ок вам отправлять
не нужно. Запомните это раз и на всегда! Если вам предлагается отправить смс -
это значит, что в вашем компьютере поселился такой вирус. Чтобы проверить, вирус
или нет, достаточно зайти на сайт с другого компьютера (или кого-нибудь
попросить). Если с другого компьютера авторизация обычная (не требуется
дополнительных действий), значит в вашей системе завелась эта зараза. Как я смог избавится от вируса.
Чтобы избавиться от данного вируса, необходимо удалить вредоносное приложение и
восстановить настройки измененные вирусом: подмененный файл hosts или
dns-сервер. В файл hosts вирусы прописывают перенаправление на свой сайт-клон. Таким
образом, обратите внимание на самое главное, что когда в адресной строке
браузера вы вводите адрес нужного вам сайта и даже его проверяете, но в
действительности же открывается что это совершенно другой ресурс, абсолютно
похожий на оригинал, но созданный только для того что бы выманивать деньги из
своих жертв. То же касается и случая с dns-сервером - вы просто
перенаправляетесь на другой сайт, хотя адрес нужного вам ресурса в адресной
строке введен верно (обратите внимание на вышерасположенные скрины-рисунки).
Прежде чем начать устранять последствия, желательно убедиться с помощью
специальных программ, что вирус обезврежен. Впрочем, ради экономии времени (в
зависимости от количества информации и мощности компьютера, время проверки может
достигать нескольких часов), можете сразу приступить ко второму этапу. Но если
указанные действия не приведут к положительному результату, тогда придется
выполнить всю инструкцию с самого начала.
Шаг 1. Автоматическая проверка системы на вирусы. Воспользуйтесь одной из
бесплатных антивирусных утилит: CureIt! Обычно, этой программе не составит большого труда не только обезвредить саму заразу, но и
даже исправить причиненные ей последствия. А именно, с некоторых пор CureIt! - это программа которая способна
обнаруживать изменения в файле hosts. Пользуясь данной программой обязательно выполните
«полную проверку» своей системы, т.к. быстрой проверки для обезвреживания такого вида вируса не
всегда бывает достаточно.
AVZ4 — лечит систему и имеет функцию очистки файла hosts. Инструкция:
1. Качаем программу, распаковываем и запускаем avz.exe;
2. В окне программы выберите «Локальный диск (С:)», »Выполнять лечение» и
нажмите кнопку «Пуск» для начала сканирования.
3. По завершении сканирования зайдите в меню «Файл — Восстановление системы».
4. Отметьте 13-ый пункт (Очистка файла Hosts) и нажмите кнопку «Выполнить
отмеченные операции».
5. Подтвердите выполнение операции и закройте программу.
Шаг 2. Выполним действия, которые не производятся антивирусами. Для начала
скачайте Process Explorer и запустите его.
В списке процессов посчитайте количество lsass.exe. Один есть всегда — он
системный. Если процесса два, значит второй — часть вируса. Наведите на него
курсор мыши, появится путь к этому файлу. Если файл lsass.exe находится НЕ в
папке Windows\System32\ (обратите внимание: не в данной папке), запомните путь,
выделите процесс левой кнопкой мыши и нажмите красный крестик сверху (еще можно
выделить процесс правой кнопкой мыши и выбрать из выпадающего меню пункт «Kill
process»). Тем самым вы удалите процесс из памяти. Далее необходимо зайти в
папку, путь к которой вы запомнили, и удалить файл с жесткого диска.
Если в списке процессов только один lsass.exe, закройте Process Explorer,
пройдите в «Пуск — Программы — Автозагрузка». Из автозагрузки удалите всё
лишнее. В частности, если найдете AdobeUpdate и AdLoader - однозначно удаляйте.
В случае, когда система не позволяет удалить файл по причине блокировки,
воспользуйтесь программой Unlocker.
Затем запустите оснастку настройки системы: Пуск — Выполнить — msconfig — «OK».
Перейдите во вкладку «Автозагрузка». Снимите галочки со всех строчек, где в
столбце «Команда» упоминаются файлы с расширением: .bat, .cmd или в пути файлов
указаны папки: «Documents and settings», «Application Data», «Temp». Нажмите
«Применить» и «Ok». Тем самым вы запретите загрузку файлов, которые могут
изменять файл hosts при загрузке системы. Желательно еще перейти в
соответствующие папки и удалить эти файлы вручную. Скорее всего они будут скрыты
и, чтобы их увидеть, понадобится включить отображение скрытых данных, как
указано здесь.
Если вы пропустили первый этап из данной инструкции, тогда проверьте файл hosts,
который находится в папке C:\Windows\System32\Drivers\Etc\ (в 64-разрядной
системе файл здесь — C:\Windows\SysWOW64\Drivers\Etc\), и в случае необходимости
замените его оригиналом. Просто нажмите на ссылку, откроется диалог загрузки
файла, укажите папку для сохранения (в зависимости от разрядности системы) и
подтвердите замену. Более подробно о восстановлении файла hosts можно прочитать
здесь.
Папка etc. В случае с измененным файлом хостс некоторые особо не заморачиваются
и просто удаляют всю папку Etc. Как правило, это помогает и серьезных проблем не
возникает. И все же, я не рекомендую этого делать. Другие файлы в папке
находятся не просто так, и в какой момент их станет не хватать системе — сложно
предвидеть.
Дело в том, что некоторые разновидности вируса создают копию файла hosts, а
настоящий рабочий файл делают скрытым. Таким образом, войдя в папку с файлом,
пользователи видят только копию и, соответственно, редактирование оного не
приводит к положительным результатам. Зато удаляя всю папку (с нужным файлом),
восстанавливается доступ к сайтам. Но я еще раз предлагаю обратить внимание на
ссылку, по которой можно скачать стандартный файл hosts. Достаточно по ней
нажать, указать папку для сохранения (какую — см. выше) и подтвердить замену.
Независимо от того, скрытый файл hosts или нет, он заменится правильным.
Возможно, для этого понадобятся права администратора.
Теперь проверяем, не прописал ли вирус свой dns-сервер.
Для Windows XP: идем в «Пуск — Настройка — Сетевые подключения», открываем
свойства используемого подключения (беспроводное или подключение по локальной
сети), открываем «Протокол Интернета TCP/IP».
Для Windows 7: «Пуск — Панель управления — Центр управления сетями и общим
доступом — Изменение параметров адаптера», открываем свойства используемого
подключения (беспроводное или подключение по локальной сети), выбираем «Протокол
Интернета версии 4 (TCP/IPv4)» и жмем «Свойства».
Смотрим, не указан ли вражеский dns-сервер. При необходимости исправляем на
нужный или выбираем автоматическое получение (зависит от настроек вашего
провайдера/роутера/модема) и жмем «ОК».
После этого запускаем командную строку: «Пуск — Выполнить», вводим: cmd и жмем «OK».
В открывшемся черном окошке вводим поочередно две команды: route -f
ipconfig /flushdns
(каждую команду подтверждаем клавишей «Enter»)
Перезагружаем компьютер. Если валидация не исчезла, вероятнее всего вы
пропустили первый этап, ошиблись во втором или ваш случай более экзотический.
Другие угрозы Validations.exe Если вам предлагают перейти
по ссылке, которая заканчивается на validations.exe, ни в коем случае не делайте
этого, т.к. эта ссылка для скачивания вируса на ваш компьютер. Правда, на
сегодняшний день, антивирусы с легкостью его распознают, но на всякий случай
имейте это в виду. Примеры вредоносных ссылок: vk.com/validations.exe
vkontakte.ru/validations.exe
odnoklassniki.ru/validations.exe
Ваш аккаунт временно заблокирован системой антиспама, в связи с рассылкой спама,
или по подозрению в взломе вашего аккаунта третьими лицами. Для авторизации на
сайте требуется подтверждение личности. Примеры:
Ваша страница была заблокирована по подозрению на взлом!
Наша система безопасности выявила массовую рассылку спам-сообщений с Вашего
аккаунта, и мы были вынуждены временно заблокировать его. Для восстановления
доступа к аккаунту Вам необходимо пройти валидацию через мобильный телефон.
Ваша страница была взломана, и с нее рассылался спам. Чтобы это прекратилось,
Вам необходимо сменить пароль от страницы.
Подобная процедура действительно возможна в некоторых социальных сетях
(например, Мой Мир и ВКонтакте). Выяснить, заблокировали ли вас на настоящем
сайте или вы стали жертвой маскирующегося вируса, не трудно. Проще всего —
попробовать зайти в аккаунт с другого компьютера (или кого-нибудь попросить).
Если все нормально, значит проблема на вашем компьютере. Для начала убедитесь,
что вы находитесь на том сайте, который открывали. Каждая буква должна
соответствовать правильному адресу. Если хотя бы одна из них изменена или
пропущена, значит вы находитесь на другом ресурсе. Далее, настоящая
идентификация при проверке не вынуждает вас отправлять смс-сообщения. В
противном случае, проверяйте файл hosts и сканируйте систему антивирусом, так
как с 99% вероятностью можно утверждать, что это вирус. Подробная инструкция
выше актуальна и для такого случая тоже.
В общем, это минимальный список действий, которые следует выполнить при наличии
таковой угрозы. Запомните никто вам ни в чем не поможет, если вы сподобились
отправить смс сообщение на данный кроткий номер, просто никогда этого не
делайте, точнее можно делать если вы установите услугу с черный список – запрет
отправки сообщений на короткие номера, для этого узнайте у своего оператора
данные комбинации кодов. Ответы операторов короткие: "мы ответственности за
отправку смс на короткие номера не несем и вернуть деньги не можем, и вообще это
мошенничество обращайтесь в полицию!”, оно и понятно что терять прибыль никому
не хочется, поэтому сами же операторы являются способствующим инструментом для
осуществления такой мошеннической деятельности. Что касаемо полиции то там с
неохотой берутся за данные дела, так как правило данный сервисы регистрируются
на серверах расположенных за пределами РФ и соответственно это создает массу
усложняющих факторов связанных с поимкой преступников. Поэтому еще раз внимательно изучите статью, я еще раз призываю рассказать о ней и о её содержимом
своим друзьям и знакомым, хоть и печально, но нужно смириться и понять что никто не хочет помогать обманутым мошенниками гражданам, ни полиция, ни государство, короче, никто, так давайте с этим дружно
бороться самим ведь спасение утопающих дело рук самих утопающих и это именно тот случай.
Большое Вам спасибо ребята, меня один раз на 300 рублей уже развели, я не знал о данном способе и тогда мне пришлось переустанавливать всю систему, чтобы избавиться от вируса.