Вирус vkontakte, отправьте 150 руб и не мучайтесь

Меня в последнее время как системного администратора очень сильно бесят вирусы и иже с ними -последний пример: позвонили знакомые сказали что у них перестал работать интернет «за рассылку спама», пришел и что же вижу — вирус vkontakte, internet security типа kasersky пишет что не возможно получить доступ.

Антивирус был но ничего не нашел — отсюда вывод просто антивирус ничего не сделает. Схема работа данного вируса подробно везде описана. Итак что же мы имеем? — измененный файл hosts, причем C:\Windows\System32\drivers\etc есть 2 файла и тот который мы видим и есть hosts.txt в нем есть строчка 127.0.0.1 localhost все как и полагается и 1 строчка про «заплатите 150 руб и не мучайтесь» и все как бы в порядке, но правильный hosts так и называется у него нету расширения и в нем как раз все и плохо. Вы можете попробовать открыть его через пуск выполнить notepad «C:\Windows\System32\drivers\etc\hosts» и исправить его убрав 1000 enter’ов и плохие строчки внизу, у меня не получилось это сделать, т.к. файл был видимо защищен от записи. Но у меня был ubuntu live cd =)

Итак нужно исправить файл hosts:
Самый простой способ загрузиться с какого нитьбудь livecd
возможно в безопасном режиме это легко сделается
убрать кэшированные днс командной ipconfig /flushdns
mozilla — пришлось удалить профиль =(

P.S. Антивирус ничего не нашел, но должны быть еще файлы vkontakte.exe и svc.exe — удалите их (в моем случае их уже не было).

3 комментария к записи “Вирус vkontakte, отправьте 150 руб и не мучайтесь”

  1. kvazimodo:

    Помимо всего прочего пройдитесь по всем программам и проверьте свойства прокси-сервера. Скорее всего увидите там левый IPадрес прокси с портом 80. Удалите все это (или же выставьте согласно настройкам вашего оператора) и все станет работать.

  2. и я про тоже, второй пост как раз написал, так как вирус прописывает себе в реестре прокси

  3. Денис:

    Я встречался с другой модификацией. Искал 40 минут куда он прописался. Оказывается, вирус просто заменил адреса серверов DNS в сетевом подключении с «получить автоматически» на свои левые. Так что возьмите на заметку.

Прокомментировать

XHTML: Вы можете использовать эти тэги для форматирования текста: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>