Активация аккаунта, блокировка Windows - требуют отправить СМС (вирус+фишинг)

Подмена сайта

Если вы зашли на один из сайтов Яндекса (Почту, Поиск, ...) или, нажав на один из результатов поиска, оказались не там, где ожидали, возможно, ваш компьютер заражен вирусом."

Комментарий от сайта Разводка: то же самое может быть и со многими другими распространнеными сайтами - ВКонтакте, Одноклассники, Майл.ру и др. включая вход в Windows. Принцип один и тот же - запрос оплаты за активацию аккаунта - это РАЗВОДКА. Более того вместе с активацией Вы еще и предоставите мошенникам логин и пароль от сайта.

Как это выглядит?

При попытке зайти на главную страницу http://www.yandex.ru/, http://mail.yandex.ru/ или http://passport.yandex.ru/ предлагается ввести логин, пароль и отправить SMS на короткий номер. Страница похожа на ту, что используется для входа на почту.

Распространяется этот вирус в основном через социальные сети.

Действие вируса может выглядеть так:

Или так:

Что с этим делать?

Проверьте свой компьютер антивирусной утилитой CureIt от «Dr.Web» или Virus Removal Tool Лаборатории Касперского.

Если антивирусная программа не обнаружила вредоносный код, вы можете выполнить необходимые действия по исправлению проблемы вручную.

Прочтите инструкцию внимательно. Помните, что вы выполняете эти действия на свой страх и риск.

Когда вы набираете адрес, например, http://www.yandex.ru/, ваш компьютер определяет, к какому серверу нужно обратиться. В первую очередь он «просматривает» файл hosts (обычно этот файл находится в папке C:\WINDOWS\system32\drivers\etc), и, если в нем есть адрес сервера (IP-адрес) для указанного вами имени, то используется именно он. Если же подходящей записи нет, то нужный адрес сервера запрашивается у вашего провайдера.

SMS-вирус меняет содержимое файла hosts, дописывая туда адреса своих серверов так, чтобы они заменили адрес сервера Яндекс и других популярных интернет-сервисов. В результате вам кажется, что вы видите страницу и работаете с Яндексом, но на самом деле это сервер злоумышленников.
Для уничтожения последствий его работы, необходимо перейти в папку C:\WINDOWS\system32\drivers\etc (возможно, что у вас система Windows установлена в папку, отличную от C:\WINDOWS - учитывайте это) и найти там файл с названием hosts.
ВАЖНО: Сохраните копию этого файла на всякий случай! - скопировав его с другим названием, например: hosts.virus

Откройте файл hosts с помощью блокнота (Notepad) и поищите в файле строки следующего вида (IP-адреса, т.е. 4 числа через точку, могут быть другими, например, 83.133.122...):


127.0.0.1 yandex.ru
127.0.0.1 http://www.yandex.ru

или


91.189.113.143 mail.ru
91.189.113.143 www.mail.ru 
91.189.113.143 www.yandex.ru
91.189.113.143 yandex.ru 
91.189.113.143 www.vkontakte.ru 
91.189.113.143 vkontakte.ru 
91.189.113.143 www.odnoklasniki.ru 
91.189.113.143 odnoklasniki.ru

Вместо приведенных цифр могут быть любые другие, но это не имеет значения. Если такие строки в файле есть, то их следует удалить.

ВАЖНО: строку «127.0.0.1 localhost» ОСТАВИТЬ!!!
После этого нужно просто сохранить файл, перезапустить браузер и оригинальная страница http://www.yandex.ru/ станет загружаться.
Данный вирус вносит изменения в настройки компьютера, но не находится постоянно активным в памяти. Если вы знаете или предполагаете, в какой программе находится вирус (она может называться, например, vkontakte.exe или reiting.exe), то вы можете ее удалить или больше не запускать.

Если у вас не получилось удалить вирус, или вы заметили странности в результах поиска, которые могут быть последствием работы вируса, напишите в службу поддержки по адресу safesearch@yandex-team.ru. Составьте подробное описание и приложите скриншот экрана с проблемой. Вам обязательно ответят.

Дополнительная информация (май 2010 года):

Разблокировка Windows - если вирус просит отправить смс (удаление trojan winlock вируса);

Бесплатный разблокировщик компании Dr.Web от вируса Trojan. Winlock;

Сервис деактивации вымогателей-блокеров от Лаборатории Касперского;

ESET Online Scanner - удобный и мощный инструмент, который можно использовать для удаления вредоносных программ с любого компьютера.

Такие вот ещё рекомендации попались:

#1733: Кто на что учился
20 декабря 2009, 09:00

Закрою-ка я тему с вирусами, требующими отправить SMS. Cкладывается впечатление, что многие из разработчиков этих вирусов учатся в наших институтах, да и то на троечку. Самые запомнившиеся экземпляры из тех, что видел:

1. Отличный вирус, но имел одну маленькую особенность — закрывался по Alt+F4.
2. Милая игрушка, которая принимала вообще любой код для «активации».
3. Показывал порнуху (потоковое видео с какого-то сайта), а когда отрубался инет, тупо вылетал с ошибкой.
4. Расплодился по всем компам в фирме, кроме машины генерального. Оказалось, пугался двух мониторов, при включении выдавал ошибку и закрывался.

Самое интересное, что 95% этих вирусов дают доступ к рабочему столу. Большинство из них блокирует все возможные способы обхода и все известные науке антивирусы, но ведётся на старую-старую фишку. Открываем ворд, печатаем любую букву, нажимаем кнопку выключения. Винда закрывает всё, что может закрыть, в том числе и наш вирус, а ворд спрашивает, сохранить ли документ. Нажав на «отмену», мы останавливаем выключение компьютера и имеем отлично работающую винду.

История с сайта IThappens - http://ithappens.ru/story/1733;

И забавная история с сайта IThappens - http://ithappens.ru/story/1684:

#1684: Любопытной Варваре SMS оторвали
15 декабря 2009, 09:00
Работаю админом, по совместительству помогаю знакомым их компы регулировать. Приносит мне сегодня паренёк системный блок и ноутбук с одинаковым диагнозом: оба просят SMS прислать, чтобы винду разблокировать.
Принёс он, как показал допрос с пристрастием, эту заразу к себе домой на флешке, а когда стационарный компьютер перестал работать, он решил её еще и в ноут засунуть, «чтобы посмотреть, что же на ней за вирус такой». Посмотрел, блин!

#3209: "Экономия" налицо - http://ithappens.ru/story/3209:

26 мая 2010, 12:45
История произошла со знакомой девушкой. Сломался у нее «Контакт» — просит SMS отправить. Она нагуглила решение проблемы — чистку файла hosts. Открыла его и вот что там обнаружила:
127.0.0.1 localhost
#Отправьте смс и не мучайтесь... Реальная стоимость смски 100 рублей, а вызов программиста рублей 500 минимум.

Источник: http://help.yandex.ru/search/?id=1061423

Всего комментариев: 36

1 2 »

36 Роман (02.05.2011 21:30)

а у меня нету папки hosts и что делать я вконтакт немогу залесть что делать я в бешенстве

35 Серг (17.04.2011 11:17)

8-800-100-7337 это разводилово ! снимают деньги с мобилки !

34 Вадим Иваненко (01.03.2011 00:59)

мужики! помогите заблокирован win требуют 500р на 8 909 -161-65-68 не знаю что делать

33 Монтер (18.02.2011 20:42)

Значит так…появилась у меня такая проблема, по признакам dr.web это trojan.winlock.2741 (хотя я думаю это что-то посерьезней), хотя там просилось 500руб на номер через терминал….дешевое разводилово)) значит я залез на диск через livecd на диск, прочесал его реестры AVZ и прогнал через dr.web и каспера…ничего эти «умные» штучки не нашли….все байки про безопасный и прочий режим нет эфекта, машина заблокировна…явление интересное…ну конечно я почитал много и всякое….многое попробовал…все это ТУФТА..может эти приемчики и хороши для писателей, но не для реальностей…а особено интересно пишут товарищи технари с dr.web, как будто у нас граждане по «умолчанию» программисты…бред…но и это не помогло…стал разбиратся и выяснил..вирусняк меняет текстовое содержание boot состовляющей группы, так как через livecd эти bootы не активны, ни один из антивирусников не может это выяснить, а тело вирусника прячется под разные ехе-ники разных программ. Очередной мой эксперемент был связан с глубокой очисткой AVZ, который нашел с десяток подозрительных файлов, я их удалил…результат плачевный…винда ругается при загрузке, убита загрузка…я востановил это посредством реаниматором…винда запустилась и опять наплодила опять файлов, которые я ранее удалял…после провел ту же работу, правда отключил все драйверы…винда заработала…пустил антивирусники, те кроме моих пиратских программулин ничего больше не нашли)))без них плохо и сними не хорошо)))винда после всех мучений явно визуально криво стала работать)))и еще….после старта появилась какая та крайне мутная учетная запись, закрытая….вообщем времени занило это порядком 9часов, результат неахти….переустановил винду посредством F11..за 10мин..я сделал банальные выводы, посредством livecd вытаскивайте все нужные файлы из вашей пораженой винды на флешку….и убивайте эту винду…тогда будет гарантия работы…всегда говорил и говорю….файлы храните на одном диске и винду на другом диске…так не жалко будет винду менять)))

32 Павел (24.01.2011 08:39)

Всем пользователям которые с компами "на Вы":чем бороться с последствиями "болезней" и разбираться с каждой пакостью по отдельности, не лучше ли "предохраняться" заранее?Совет особо любопытным экспериментаторам софта,любителям порнушки, и неуемным пользователям соц.сетей (90% вирей да глистов оттуда)-установите на свой комп прогу,которая делает "откат" к не зараженному состоянию (например Acronis True Image Home 2010,скачать можно почти на любом "варезнике" нахаляву), и перед тем как сделать что-нить эксперементально-нехорошее со своим ноутом или системником (или просто на душе хреново станет от предчуствия), запустите ее в режиме Try&Decide и живите безмятежно!Какую бы софтовую хрень вы теперь не словили-не важно и нестрашно:) - выключаем комп и при включении отменяем все изменения в системе.Ну а тем,кому сложно жить не запретишь-напоследок немножко черного юмору:"лучшее лекарство от бестолковой головы-топор",преломляя мысль - "нет ничего лучше для компа,чем чистая,свежая Винда",совместите приятное с полезным-и комп реанимируете и попрактикуетесь заодно в установке программного обеспечения (а это особенно приятно,когда его штук 100-150:)))))

31 aleksei (10.12.2010 01:50)

У меня заблокировались 2браузера Opera и Google , Maxthon работал криво,кое как скачал Dr Web Curelt,зараза нашлась в C:\Windows\system32\ .Зовут-Trojan.Siggen2.10439

30 mrbelyash (19.11.2010 23:51)

в консоли
route -f

29 ирина (10.11.2010 18:08)

хост чистила,доктор веб даже не помог. помогите кто знает

28 ирина (10.11.2010 18:06)

у меня такая же хрень ниче не помогает!!!

27 Денис (07.11.2010 04:45)

Стас, послушай: а там рамка не Kaspersky Internet Security 2010? Если да, то тогда просто чистка "hosts" поможет... А если нет, то... Лучше скачай антивирус на "флэшку" и скинь на твой "ПК".

26 стас (03.11.2010 10:47)

ребят а у мя вот какая проблемка: приходит приглашение на встречу ну я посмотрел а там типа прога для чтения чужой переписки... знал что не правда а хрень какая нить.. ну думаю если взломают то опять хостс почищу и всё норм будет.. а тут беда другая.. лазил то я через оперу а теперь она у меня заблокирова типо интернет секюрити.. нельзя перейти на страницу.. короче посреди страницы вылазиет рамка красная с такой хренью... и чистка хостс не помогла.. кто нить знает чё за хрень?

25 Виктория (31.10.2010 22:51)

Поскольку Ваш аккаунт был взломан и с него происходит рассылка спам-сообщений, мы ограничили Вам доступ. Чтобы возобновить полноценный доступ к сайту необходимо подтвердить, что Вы являетесь настоящим владельцем данной страницы.
Инструкция по активации
Для активации страницы Вам необходимо воспользоваться платной услугой посредством терминала оплаты.
Внимание! Сумма, зачисленная Вами за активацию аккаунта, попадает на
баланс Вашей страницы в виде рублей.
Далее Вы можете распоряжаться ими на Ваше усмотрение, покупка голосов, раздача подарков.
ничего не помагает, что делать???????

24 lemon (29.10.2010 02:24)

Вообще всем советую сайт SMSWM.RU там хоть можно узнать реальную стоимость смс перед отправкой .
мне так же как то пришла смс мол отправь всего 5 рублей а там глянул и оказалось 300 рублей сайт можно сказать сэкономил мне 300 руб !! всем советую

23 Александр (27.09.2010 23:12)

У меня во время пользования интернетом, открылось окно с материалами эротического характера:мне предлогалось отправить СМС "182995508" на номер "6681" ,пришлось сделать следующее: Позвонив своему сотовому оператору, я узнал кому принадлежит номер (точнее как связаться с тем кто это номер обслуживает) мне дали бесплатный номер "8-800-100-73-37", после чего я позвонил на этот номер объяснил свою ситуацию, мне оператор сам продиктовал код, который я ввел и всё благополучно закрыл! ЛЮДИ НЕ ТРАТЬТЕ ДЕНЬГИ ПОЗВОНИТЕ СВОЕМУ СОТОВОМУ ОПЕРАТОРУ!!! КСТАТИ ЦЕНА СМС СОСТОВЛЯЛА 304 РУБ с копейками...

22 Сергей (13.09.2010 11:15)

У супруги заблокировался аккаунт в "Одноклассниках". Мне помогла Лечащая утилита Dr.Web CureIt!. Просканировав систему, она нашла изменения в файле HOSTS (хотя сам я просматривал его, как тут рекомендовали, и ничего подозрительного не увидел). Она же все и исправила. Правда, вирус (или программу?), который модифицировал Hosts, утилита не нашла. Спасибо Dr.Web.

21 Александр (03.09.2010 14:54)

Я нашел причину: по аське пришел спам со URL:: http://files.friends.ru.fotogerklin.com/1009/s46.radikal/982rw6d6e3d/IMG_6479.scr Сохранён в:: C:\Users\Admin\AppData\Local\Opera\Opera\temporary_downloads\IMG_6479.scr. После запуска этого файла появилась блокировка окна вконтакте

20 Александр (03.09.2010 14:45)

Еще, был скачан файл img_6479.scr и скорее всего, запущен, авира наконец-то на него матюкнулась, можете его поискать у себя или похожие

19 Александр (03.09.2010 13:39)

ребят, танцуйте тарантеллу, я поборол так: в поиске ввел vko и удалил все найденные папки и файлы. ВСЕ. P.S. Вирусня висит в папке macromediaflashplayer в application settings

18 Александр (03.09.2010 13:08)

Та же проблема, что и у Анатолия, я дал ноут сестре моей девушки на вечер, а на следующий день на страничке контакта меня встретило уведомление об отправке SMS с текстом 1500042262 на номер 6681, и что эта коза сделала - не признается. У меня стоит avira premium security suite, которая ничего не находит, хосты в порядке, никаких vkontakte.exe или reiting.exe, в диспетчере задач ничего подозрительного, в общем скоро понесется волна новой контактной вирусни. Напишите если кто-то сталкивался с данной проблемой и нашел решение

17 Анатолий (01.09.2010 20:37)

Помогите пожалуйста,вконтакте куда то не туда зашёл и страницу заблоктровали.При попытке зайти выдает"Вы можете разблокировать свой компьютер, для этого перейдите на сайт (vkontakte.ru), после чего, активируйте свою анкету и IP адрес.
Затем, Вы сможете пользоватся всей сетью."когда прохожу по ссылке просит отправить SMS с текстом 1500042262 на номер 6681.отправляю смс код не приходит.че делать?как разблокировать страницу если антивирус не видит зараженных файлов?

16 Вероника (21.07.2010 16:14)

Помогите пожалуйста,вконтакте куда то не туда зашла и страницу заблоктровали.При попытке зайти выдает"Вы можете разблокировать свой компьютер, для этого перейдите на сайт (vkontakte.ru), после чего, активируйте свою анкету и IP адрес.
Затем, Вы сможете пользоватся всей сетью."когда прохожу по ссылке просит отправить SMS с текстом 1500042262 на номер 6681.отправляю смс код не приходит.че делать?как разблокировать страницу если антивирус не видит зараженных файлов?

15 Дрён (11.07.2010 16:44)

Кристина, у меня такая же проблема!!! помогите нам пожалуйста!!! коды которые даются на сайте касперского не действуют!!!

14 Admin (08.07.2010 22:10)

Не встречались с таким. Но, скорее всего, это лишь вирус на компьютере. Попробуйте зайти в свой аккаунт с "чистого" компьютера. Если нормально получится, то на Вашем компьютере вирус. Если нет, то пишите администраторам одноклассников.

13 КРИСТИНА (08.07.2010 20:22)

помогите пожалуйста как удалить

12 КРИСТИНА (08.07.2010 20:21)

Уважаемый пользователь! Ваш аккаунт был заблокирован за рассылку спам сообщений по контакт-листу. Для разблокировки аккаунта Вам необходимо отправить SMS с текстом 1500042262 на номер 6681. Напоминаем Вам, что заблокированные аккаунты удаляются в течении 2-х недель с дня блокировки.

1-25 26-36