На просторах интернета свирепствует новый вирус, который не пускает в соцсети и вымогает деньги
Приветствую Вас уважаемые читатели моего блога!!!
Сегодня мы имеем «удовольствие» созерцать очередной всплеск вирусной активности и не исключено, что она разрастется до масштабов очередной эпидемии.
Под очередной удар новой кибер-эпидемии попали как соцсети и почтовые клиенты, так и сервисы для удаленного осуществления банковских операций (онлайн-банкинга). В число потенциальных пострадавших входят пользователи таких онлайн-сервисов, как «Одноклассники», «Вконтакте», «Мэйл.ру», «Альфа Банк» и «Теле банк». И список, вероятно, будет расширяться.
Итак, пользователь, чья система подверглась заражению, более не сможет беспрепятственно посетить указанные сервисы. В окнах браузеров будет красоваться точная копия (клон) страницы онлайн-сервиса или социальной сети с информацией весьма неприятного характера.
А гласит эта инфа о том, что аккаунт данного пользователя временно заблокирован и для осуществления валидации учетной записи (восстановления доступа) требуется произвести несколько нехитрых шагов, заключающихся в отправке сообщения с текстовым содержанием «002211» на небезызвестный номер 5537, который в свое время уже поучаствовал в целой серии мошеннических скандалов.
Сразу хочу Вас предупредить, что если Вы тоже стали жертвой этого вирусного беспредела – не вздумайте отправлять текстовое сообщение на номер 5537, так как никакого кода валидации не получите, а вот 170 рублей потеряете. И запомните, что все схемы, в которых от Вас требуется отправка СМС, априори являются мошенническими и ничего кроме выманивания денег у неосторожных и доверчивых пользователей не преследуют.
Вирус проникает сквозь вечно дырявый плагин Sun Java, который может конкурировать по степени своей перманентной уязвимости, пожалуй, лишь с плагином Adobe Flash Player.
Интересно, что на данный момент все именитые антивирусные системы как комплексной защиты, так и специализированные, данный вирус обнаружить не смогли ни в момент его появления на горизонте, ни после непосредственного заражения системы. Иными словами обезвредить его они тоже не в состоянии.
Этот вирус относится к классу троянских программ. Действует он довольно привычно, но использует новую схему для обеспечения собственной безопасности. Троян маскирует себя под системный драйвер gigalan.sys, что делает его недосягаемым для антивирусных систем безопасности.
Далее он подменяет файл hosts, благодаря чему перенаправляет сетевой трафик на клоны страниц указанных онлайн-сервисов и соцсетей. Но не торопитесь радоваться, файл hosts подменяется, а не изменяется содержимое стандартного. То есть Вы сможете увидеть совершенно не тронутый стандартный файл hosts, а рядом одноименный файл подложенный вирусом.
Самое интересное, что с этим файлом можно производить любые манипуляции вплоть до удаления. Но это не приведёт к решению нашей проблемы, ибо вирус каждый раз создает новый файл hosts, а Вы так и будете попадать вместо официальных онлайн-сервисов и соцсетей, на всё те же клоны, с тем же тревожным сообщением о необходимости валидации.
Как уже говорилось ранее, общее сканирование системы антивирусными программами не приведет Вас к успеху, как и использование загрузочных антивирусных дисков и флешек от именитых виросуборцев. Как показывает практика, ни одна общеизвестная и популярная программа обеспечения антивирусной безопасности пока не сумела разоблачить коварный троян.
Тем не менее, и у данной проблемы есть решение, а потому сейчас я поделюсь с Вами средством, которое было разработано вирособорцами-любителями, однако прекрасно работает и спасло уже немало систем.
Ну что ж, приступим.
1. Первое, что требуется сделать, это обновить до последней версии такие программы, как:
• веб-браузер или интернет-обозреватель, который Вы используете, а лучше все веб-просмотрщики, установленные на Вашем компьютере;
• плагин Sun Java (собственно виновник сложившейся ситуации);
• pdf-читалку Adobe Reader;
• проигрыватель Apple QuickTime;
• плагин плеера Adobe Flash Player.
2. Затем необходимо по адресу www.z-oleg.com скачать актуальную версию универсального инструмента для обнаружения и обезвреживания вирусов, а также для устранения последствий заражения и общей очистки системы – бесплатной и универсальной антивирусной утилиты AVZ. Последняя версия этой утилиты, разработанной при участии Лаборатории Касперского, имеет номер версии 4.39.
3. Далее требуется остановить деятельность резидентного антивирусного монитора, файрволла, антишпиона или программы для осуществления комплексной защиты от угроз безопасности системы. Остановив указанные программы нужно их закрыть.
4. Теперь нам нужно скопировать в буфер обмена такой вот скрипт:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:Windowsgigalan.sys','');
DeleteFile('C:Windowsgigalan.sys');
DeleteService('newdriver');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
5. Вот теперь можно запустить скачанную ранее универсальную утилиту AVZ. Во избежание дальнейших трудностей, сразу хочу Вас предупредить, что запускать её следует от имени администратора, то есть, выбрав соответствующий пункт в выпадающем контекстном меню после нажатия на значке программы правой кнопкой мыши.
Рис 1.
6. В окне утилиты AVZ с помощью меню «Файл» запускаем «Выполнить скрипт». Откроется окошко запуска скриптов, в поле которого необходимо вставить скопированный ранее скрипт, а затем нажать кнопку «Запустить». В процессе выполнения этого спасительного скрипта программа отключит сетевые подключения. После завершения работы со скриптом система будет автоматически перезагружена.
Если все сделано верно, то наш незваный гость обезврежен и теперь нам необходимо провести очистку и восстановление системы.
7. Далее следует загрузить систему в безопасном режиме или, так называемом, Safe Mode. Запуск в безопасном режиме значительно расширяет права и возможности доступа к программам и системе. Чтобы запустить систему в безопасном режиме, необходимо сразу после загрузки BIOS многократно нажимать клавишу «F8» до появления соответствующего меню, в котором и нужно выбрать необходимый нам пункт.
8. Затем нам снова понадобится антивирусная утилита AVZ, но теперь для восстановления и очистки системы, с которыми она также прекрасно справляется. Запускаем утилиту от имени администратора. Заходим в меню программы «Файл» и кликаем «Восстановление системы». В открывшемся окошке отмечаем галочкой элемент списка «Очистка файла Hosts» и смело кликаем «Выполнить отмеченные операции». Благодаря этой процедуре мы приводим файл Hosts, который был замешан в перенаправлении трафика на клоны страниц, в его первоначальное состояние.
Рис 4.
Рис 5.
9. Теперь нам необходимо очистить все места, в которых могли остаться зараженные участки кода или поврежденные вирусом файлы. Итак, заходим в меню программы AVZ «Файл» и кликаем «Мастер поиска и устранения проблем».
Далее появится окно, в котором нам требуется изменить настройки поиска так, чтобы в свитке «Категория проблемы» был установлен вариант «Чистка системы», а в свитке «Степень безопасности» был выбран вариант «Все проблемы». Затем жмем «Пуск» и ожидаем появления в окне списка категорий найденных проблем.
Нас интересуют все пункты со словами «кеш», касающиеся веб-браузеров, а также плагинов Flash и Java. Отмечаем данные пункты галочками и жмём кнопочку «Выполнить отмеченные операции».
После окончания работы утилиты AVZ по очистке системы от последствий вирусного заражения можно перезагрузиться и запустить систему в стандартном режиме. Если всё было сделано правильно, с этого момента можно, наконец, начинать радоваться восстановлению полноценной работоспособности системы и беспрепятственному доступу к заблокированным ранее сервисам.
А теперь скажу пару обнадеживающих слов, адресованных тем, кто успел все же отправить СМС на злополучный номер 5537 и, соответственно, лишился 170 или даже более рублей.
Следует отметить, что данный номер уже настоящая притча во языцех. Он фигурировал в огромном количестве мошеннических схем, а интернет пестрит тысячами жалоб и душераздирающих рассказов о том, как с его помощью люди теряли кровно заработанные.
Но не будем углубляться в интересную и живописную историю этого номера, а поговорим о том, как можно с высокой долей вероятности вернуть свои деньги.
Для этого требуется, как можно оперативнее позвонить на номер 8 (800) 100-73-37 и детально пояснить свою ситуацию. Возможно, понадобится немного настойчивости. Кроме того, есть сведения, что операторы сотовой связи также помогают вернуть деньги, потерянные подобным образом.
А в будущем очень поможет Вам не стать очередной жертвой кибер-мошенников и не оказаться в аналогичной ситуации включение, с помощью звонка оператору сотовой связи, услуги «Запрет мобильного перевода» или «Запрет PtP перевода».
На этом все всем пока и до новых встреч.
Доброго времени суток господа.Наткнувшись в интернете на этот сайт,я узнал много полезной информации для себе про компьютеры,операционные системы и многое другое.А ещо интерфейс очень удобный и в то же время простой это мне тоже нравится и статьи действительно познавательные которые пригодятся пользователям ПК.Что касается данного материала хочу сказать у меня тоже была такая ситуация к несчастью ,компьютер загружался а на рабочем столе на весь экран висел баннер и просил ввести смс,я незная что делать просто переустановил виндовс.Вот если бы раньше встретил такой сайт и прочел что нужно делать было бы проще.А тут автор подробно показует как можно избавится от этого вируса и при этом сохранить нужные файлы на вашем компьютере или ноутбуке.Огромное спасибо автору за подобного рода статьи.Желаю дальнейшего процветания сайту!
СПАСИБО !!!
Буквально на днях, я читала вашу статью про этот вирус. И вот позавчера моя подруга в соц сети в контакте подхватила его. Стала паниковать, позвонила мне и попросила переустановить систему, я все переспросила и сделала вывод, что это тот самй вирус, о котором здесь шла речь. Я её успокоила и сделала всё как здесь написано, теперь все нормально. ФГлавное не паниковать.
как раз моя проблема! я почти неделю не могла войти в контакт, все другие соц. сети без проблем посещала, любые сайты открывались без проблем, а котакт умер. вчера искала помощь по просторам интернета и нашла вашу статью. решила попробовать по описанию, сделала все как советуете и "реанимация" прошла успешно, все исправилось и контакт ожил! спасибо вам огромное за конкретную и действенную помощь!! 🙂
Спасибо за интересную и познавательною статью о вирусе, который гуляет в соц. сетях. Меня он правда еще не нашел (очень не хочу с ним сталкиваться) но в многих моих друзей он уже поселился. Я совсем не понимаю этих плохих хакеров, которые создают вируса. Они очень утрудняют простым людям жизнь
Да,действительно есть такое дело.Уже некоторые мои знакомые сталкнулись с этой проблемой.Хорошо что хоть ещё не додумались отправит смс.Звонят и интересуются-что делать?Эту проблему можно решить таким образом: Зайдите на:
C:\WINDOWS\system32\drivers\etc\
Для большинства ОС именно такой путь, если у вас такого нету, значит ищите путь к файлу hosts для вашей ОС. Когда нашли его, то откройте его для редактирования. На всякий случай скопируйте копию, чтобы могли вы восстановить его, в случае неудачного вашего редактирования.
Если там были строки типа:
127.0.0.1 odnoklassniki.ru
127.0.0.1 www.odnoklassniki.ru
127.0.0.1 vk.com
127.0.0.1 www.vk.com
То удалите их. Вы должны знать, что в этом файле хранятся автоматические переадресации или другими словами перенаправление. Если там стоит IP адресс: 127.0.0.1. То, когда вы вводите сайт odnoklassniki.ru, браузер ищет его на вашей локальной машине. И следовательно не находит и следовательно вы не можете зайти на сайт. Обычно пишут IP адресс сайта, на котором собирают пароли (это называется фишинг). Сохраняете редактирование и закрываете (НЕ УДАЛЯЙТЕ ФАЙЛ hosts). После этого перегружаете вам компьютер и заходите на сайт. Если вы без проблем зашли на сайт, значит прекрасно!
Огромный респект за совет! Быстро, чётко и по делу. Не знаю, как будет работать завтра, но сегодня всё прекрасно открывается! Ещё раз спасибо!
Эти вирусы повсюду, хорошо, хоть как им противостоять вы подробно описали. Ни я, ни моя друзья с этой проблемой пока ни сталкивались, слава Богу. Я, честно признаюсь, впервые об этом прочитал на вашем сайте. До этого был только синий экран, однажды порно ни с того, ни с другого выскочило на весь экран с угрозами, если не отправишь смс, система полетит. Спасибо за предупреждение, теперь будем готовы и к таким неожиданностям.
я рад что побывал на вашем сайте,и узнал много интересного и полезного. Надеюсь благодаря тому что я прочитал на вашем сайте (насчёт этого вируса) если этот вирус попадет ко мне в компютер я, сделаю так как написано у вас на сайте.
Несколько моих знакомых столкнулись с такой проблемой.Я им посоветаю заглянуть к вам на сайт,чтобы решить эту проблему. Надеюсь что у них это получится.
Я знал что в интернете есть такие вирусы которые могут находить наши пароли,заставляют отправлять смс,но после этой статьи которую выложили администраторы этого сайта я стал ещё увереннее и буду придерживаться тем советам которые нельзя делать.Я сам тоже сталкивался примерно такими проблемами когда выходил на основной экран виндоуса большой баннер типо вы смотрели порно и надо отправить смс чтобы разблокировать.Ясно дело не отправлял.в интернете можно столкнулся разными проблемами и если нужна будет помощь обязательно зайду сюда и думаю найду ответы.А за эту статью вам большое спасибо не зря время провёл:) 🙂
Здравствуйте! Столкнулась с этой проблемой. Уже неделю бьюсь, но ничего не помогает ❓ Нашла Вашу статью и решила попробовать. У меня возникла проблема в пункте 6- нажимаю "Запустить" и комп выдает "Ошибка:"j" expected в позиции 2:13". Помогите что не так, в чем ошибка?
Здравствуйте, пытался запустить эту долгую процедуру, но AVZ постоянно выдаёт ошибку скрипта, даже, когда я всё сам перепечатал врукопашную.
Однако! Ниже в комментах был дан совет, как поправить дело внеся изменения в файл hosts, - вуа-ля! 5 секунд и проблема решена!
Вобщем, спасибо!
Вобщем пожалуйста 😉
Мне помог антивирус Панда. Очень советую!
http://www.pandasecurity.com/homeusers/solutions/activescan/
Бесплатно отсканирует и вылечит.
Кстати. У меня есть маленькая просьба. У кого этот вирус... стучите в аську 435617978, есть отличная идея, как наказать взломщиков.
скрипт эммм..немного мертвый что-ли..дайте плиз работающий скрипт
Вариант нормальный но слишком долкий ради того чтобы зайти на сайт. Зайдите в С:\windows\system32\drivers\etc\
Теперь сделайте так чтобы скрытые системные файлы были видны (см.Google) и увидите второй файл Hosts Просмотрите оба файла Hosts Ну и удалите строки где ваши соц сети и всякие др. значимые сайты (не удаляйте те строки где 127.0.0.1 - Может для вас они полезны). Кстати дублирование файлов одноименных файлов Как понял дублирование в win 7ке и 8ке.
После этого обязательно провертесь на вирусы соответствующим способом
ДА Удалите пустой Hosts - глаза мозолит. И не забудьте сменить пароль в соц сети - ведь вы его уже наверняка успели сообщить введя пароль
Выложите полиз нормальный скрипт , а то этот не работает 😥
попозже выложу
Когда ввожу ваш скрипт вылезает вот это (Ошибка скрипта: ')' expected, позиция [2:14
Помогите решить проблему .
http://pastebin.com/CqNPQD2u
скрипт здесь
пожалуйста
спасибо 😉
У меня avz не на русском языке! какие-то симолы! что делать?
а МОЙ ЗНАКОМЫЙ ПОДАЛ ЗАЯВЛЕНИЕ В ПОЛИЦИЮ ПО МОБИЛЬНОМУ МОШЕННИЧЕСТВУ НА ЭТОТ НОМЕР,5537 ЗА НИМ СТОИТ ЧЕЛОВЕК ИЛИ КОМПАНИЯ С КОТОРЫМ У СОТОВЫХ ОПЕРАТОРОВ СВЯЗИ ЗАКЛЮЧЕН ДОГОВОР И ОНИ ДВИГАЮТ ЕМУ ДЕНЬГИ.хОТЬ БЫ ЭТУ ТВАРЬ НАШЛИ И НАКАЗАЛИ СТОЛЬКО ДЕНЕГ СЛУПИЛ...БЫЛ ЯЩИК НА ОДНОКЛАССНИКАХ 5 ЛЕТ И ПРОСЬБА БЫЛА НА ИХ КАРТИНКЕ ПОСЛЕ РЕСТАВРАЦИИ САЙТА ПОСЛАТЬ БЕСПЛАТНЫЙ смс
Добрый день! Большое спасибо автору за эту статью! С ее помощью удалось избавиться от такого же вируса, но только телефон был 4124. Хочу добавить, может быть кому-нибудь пригодиться.
1. Файл загрузки утилиты после скачивания и установки на моем компе не отражался, даже в папке ее установки, хотя была включена опция "показывать скрытые папки и файлы", поэтому пришлось искать ее через ПУСК/найти/файлы и папки/AVZ.exe и уже в найденном открывать.
2. Скрипт рабочий - тот, который дан в комментариях после статьи, а именно:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\gigalan.sys','');
DeleteFile('C:\Windows\gigalan.sys');
DeleteService('newdriver');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
3. У меня была проблема входа в безопасный режим. Операционка у меня стоит одна, клавиша F8 не работала. Решила эту проблемы так:
Это для XP:
Пуск Выполнить msconfig ОК BOOT.INI Параметры загрузки галочку рядом с "/SAFEBOOT" ОК перезагрузить компьютер.
Остальное делала все , как в статье. И все получилось.
Еще раз огромное спасибо. Теперь вход в соцсети восстановлен.
спасибо Елена за еще один способ 🙂
скрипт не правильный пишет что ошибка в позиции 2:13
такая же проблема 2 13
Вроде получилось. Сенькс. Надо ещё на буке проверить...
Очень полезный сайт. Авторам спасибо. И откуда вы всё это знаете? 🙂
Спасибо за информативную статью, будем все более осторожными! Спасибо автору, за его старания для нас!
Вот это поворот!