Очередной вирус вконтакте (194.28.113.41)

16 Дек

Сегодня у знакомых был обнаружен новый вирус вконтакте.
При попытке входа на сайт vkontakte.ru, пишет:

Ваша страница заблокирована!

Поскольку Ваш аккаунт был взломан и с него происходит рассылка спам-сообщений, мы ограничили Вам доступ. Чтобы возобновить полноценный доступ к сайту необходимо подтвердить, что Вы являетесь настоящим владельцем данной страницы.

Инструкция по активации
Для активации страницы Вам необходимо воспользоваться платной услугой посредством терминала оплаты.

Внимание! Сумма, зачисленная Вами за активацию аккаунта, попадает на
баланс Вашей страницы в виде рублей.

Далее Вы можете распоряжаться ими на Ваше усмотрение, покупка голосов, раздача подарков и т.д.

Вирус-вымогатель просит пополнить счет вконтакте через терминалы оплаты.

А если попробовать зайти на такие сайты как mail.ru, ya.ru, google и прочие распространенные веб сайты, то выплывает другое сообщение:

Помощник
интернет-безопасности
==================================
ДОСТУП ЗАБЛОКИРОВАН!
Запрашиваемый URL-адрес не может быть предоставлен, так как ваш компьютер подозревается в рассылке спама.
Для разблокировки пройдите на сайт
www.vkontakte.ru
Заблокирован Веб-Антивирусом
Причина: рассылка спам сообщений.
Сообщение создано:
помощник Интернет-безопасности

Вирус добавляет в файл c:\windows\system32\drivers\etc\hosts

следующие данные:

* В приведенном примере ниже, IP адрес 194.28.113.41 изменен на 194_28_113_41, из-за того, что антивирус NOD32 "распознает" данную страницу, как зараженную.
194_28_113_41 www.m.vkontakte.ru
194_28_113_41 m.vkontakte.ru
194_28_113_41 www.google.com
194_28_113_41 google.com
194_28_113_41 www.vkontakte.com
194_28_113_41 vkontakte.com
194_28_113_41 www.wap.odnoklassniki.ru
194_28_113_41 wap.odnoklassniki.ru
194_28_113_41 www.odnoklasniki.ru
194_28_113_41 odnoklasniki.ru
194_28_113_41 www.google.ru
194_28_113_41 google.ru
194_28_113_41 www.odnoklassniki.ru
194_28_113_41 odnoklassniki.ru
194_28_113_41 www.yandex.ru
194_28_113_41 yandex.ru
194_28_113_41 www.vkontakte.ru
194_28_113_41 vkontakte.ru
194_28_113_41 www.webmoney.ru
194_28_113_41 webmoney.ru
194_28_113_41 www.durov.ru
194_28_113_41 durov.ru
194_28_113_41 www.odnoklassniki.ua
194_28_113_41 odnoklassniki.ua
194_28_113_41 www.odnoklasniki.ua
194_28_113_41 odnoklasniki.ua
194_28_113_41 www.loveplanet.ru
194_28_113_41 loveplanet.ru
194_28_113_41 www.mamba.ru
194_28_113_41 mamba.ru
194_28_113_41 www.google.ua
194_28_113_41 google.ua
194_28_113_41 www.google.kz
194_28_113_41 google.kz
194_28_113_41 www.bing.com
194_28_113_41 bing.com
194_28_113_41 www.yandex.com
194_28_113_41 yandex.com
194_28_113_41 www.ya.ru
194_28_113_41 ya.ru
194_28_113_41 www.mail.ru
194_28_113_41 mail.ru
194_28_113_41 www.my.mail.ru
194_28_113_41 my.mail.ru
194_28_113_41 www.qiwi.ru
194_28_113_41 qiwi.ru
194_28_113_41 www.vk.com
194_28_113_41 vk.com
194_28_113_41 rambler.ru
194_28_113_41 www.gmail.ru
194_28_113_41 gmail.ru
194_28_113_41 www.aport.ru
194_28_113_41 aport.ru
194_28_113_41 www.msn.com
194_28_113_41 msn.com

Этим самым перенаправляя весь список сайтов выше на ip адрес злоумышленника 194.28.113.41

Что необходимо сделать для того чтобы распрощаться с этим вирусом:
1. Очистить в файле

c:\windows\system32\drivers\etc\hosts

все строки, после

127.0.0.1 localhost

(На всякий случай, небольшая инструкция по очистке файла hosts ЗДЕСЬ)
2. Установить/обновить антивирус Eset NOD32 (желательно его) и сделать полную проверку системы.
3. Очистить из автозагрузки подозрительные файлы, проверить их пути и удалить с диска.
4. Скачать программу GMER, проверить ею диск C:\
5. Скачать и проверить программой CureIT систему
6. Скачать программу HijackThis проверить ею систему.

В принципе, система может считаться очищенной и после выполнения первых трех пунктов.

One thought on “Очередной вирус вконтакте (194.28.113.41)

  1. Как делал я:
    1. Прошелся drweb cureit быстрой проверкой, в конце которой он спросил: «Файл hosts был изменен. Восстановить файл hosts в изначальное состояние?» (это не дословно — я пишу по памяти). Я нажал «Восстановить». Все равно не пускало на другие сайты.
    2. Тогда я в панели управления в параметрах папки указал «Показывать скрытые файлы и папки» и зашел в c:\windows\system32\drivers\etc\ где увидел что кроме восстановленного обычного файла hosts (весит 1 kb) есть еще один точно такой же только скрытый как раз с адресами 194_28_113_41 и названиями сайтов напротив них. Тогда я просто удалил скрытый файл hosts, который весит 2 kb и все!
    Надеюсь кому-нибудь мой опыт поможет! Удачи!

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.