Вирусы в социальных сетях

Если при входе на сайты Одноклассники и ВКонтакте вы наблюдаете окошко с таким текстом:
“Валидация аккаунта. Номер Вашего телефона нужен для того, чтобы мы смогли прислать Вам код подтверждения и убедиться в том, что Вы – реальная личность! ”Одноклассники” (или “ВКонтакте”) гарантируют, что информация о Вашем номере ни при каких обстоятельствах не будет разглашена или передана третьим лицам. Данная мера принята для того, чтобы оградить пользователей от автоматических спам-ботов. Имея доступ к указанному номеру, Вы всегда сможете восстановить пароль к Вашей странице. Услуга недоступна абонентам некоторым регионам Мегафона.”
– значит, ваш компьютер подвергся атаке вируса. Постарайтесь не вводить данные своей учетной записи (логин и пароль) и самое главное – не отправляйте никаких sms-сообщений со своего мобильного телефона! Вот как выглядит данное сообщение:

 

ВКонтакте:

Одноклассники:

 

(внешний вид и текст подобного сообщения могут отличаться от приведенных примеров)

Однако, имейте в виду, что при работе с социальной сетью ВКонтакте действительно может потребоваться подтвердить, что вы – это вы, для чего необходимо ввести номер мобильного телефона, который вы указывали при регистрации или позже. В ответ на ваш телефон будет отправлено sms-сообщение с кодом подтверждения, который также вводится на сайте, чем и подтверждается ваша личность. При этом в процессе настоящей валидации никаких смс-ок вам отправлять не нужно. Запомните! Если вам предлагается отправить смс – это значит, что в вашем компьютере поселился вирус.

Избавляемся от вируса

Чтобы избавиться от данной пакости, необходимо удалить вредоносное приложение и исправить подмененный файл hosts . По-умолчанию файл имеет лишь одну незакомментированную строчку и имеет следующий вид:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a ‘#’ symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost

Вирус прописывает в него перенаправление на свой сайт-клон. Получается, что в адресной строке вы видите адрес нужного вам сайта, но в действительности открыт совершенно другой ресурс, который сделан таким образом, чтобы внешне быть в точности похожим на оригинал.

Итак, несколько способов решения данной проблемы.

Способ 1. Воспользоваться бесплатной программой CureIt! Обычно, ей не составит труда не только обезвредить сам вирус, но и исправить причиненные им последствия. А именно, с некоторых пор CureIt! способна обнаруживать изменения в файле hosts. Рекомендуем пользоваться этим способом.

Способ 2. Вручную. Сначала необходимо скачать Process Explorer и запустить.

В списке процессов найдите lsass.exe, наведите на него курсор мыши, появится путь к этому файлу. Если файл lsass.exe находится НЕ в папке WindowsSystem32, запомните путь, выделите процесс левой кнопкой мыши и нажмите красный крестик сверху (еще можно выделить процесс правой кнопкой мыши и выбрать из выпадающего меню пункт “Kill process”). Тем самым вы удалите процесс из памяти. Далее необходимо зайти в папку, путь к которой вы запомнили, и удалить файл с жесткого диска.

После этого заменяем файл hosts, который лежит в папке C:WindowsSystem32DriversEtc, этим файлом.

В 64-разрядной системе Windows файл необходимо скопировать сюда C:WindowsSysWOW64DriversEtc

После исправления файла запускаем командную строку: Пуск, Выполнить, вводим: cmd, жмем “Ok”. В черном окошке вводим поочередно две команды:

1) route -f
2) ipconfig /flushdns

(каждую команду подтверждаем клавишей “Enter”)

Для завершения перезагружаем компьютер. Все.

Способ 3. Некоторые антивирусы способны обезвреживать тело вируса, но не исправляют файлhosts, как это делает утилита CureIt! и не очищают маршруты и кэш, как это делается командами во втором способе. В этом случае достаточно только выполнить приведенные выше команды и исправить файл hosts – закачав его по ссылке выше, отредактировав вручную в Блокноте или воспользовавшись специальной программой от Microsoft. Однако, если после этого в файл снова запишутся вражеские строки, значит вирус все еще не обезврежен и вам таки придется воспользоваться одним из двух способов выше.

И еще. Некоторые люди особо не заморачиваются и удаляют всю папку C:WindowsSystem32DriversEtc Как правило, это помогает и серьезных проблем не возникает. И все же, не рекомендуем этого делать. Другие файлы в папке находятся не просто так и в какой момент их станет не хватать системе – сложно предвидеть.