Эта статья появилась в интернете в 2011 году, но получается, что она актуальна и сегодня. На днях наш Пашка, воспользовавшись этим материалом, убил эту хрень!
Если при входе на сайты Одноклассники и ВКонтакте вы наблюдаете окошко с таким текстом: “Валидация аккаунта. Номер Вашего телефона нужен для того, чтобы мы смогли прислать Вам код подтверждения и убедиться в том, что Вы – реальная личность! ”Одноклассники” (или “ВКонтакте”) гарантируют, что информация о Вашем номере ни при каких обстоятельствах не будет разглашена или передана третьим лицам. Данная мера принята для того, чтобы оградить пользователей от автоматических спам-ботов. Имея доступ к указанному номеру, Вы всегда сможете восстановить пароль к Вашей странице. Услуга недоступна абонентам некоторым регионам Мегафона.” – значит, ваш компьютер подвергся атаке вируса. Постарайтесь не вводить данные своей учетной записи (логин и пароль) и самое главное – не отправляйте никаких sms-сообщений со своего мобильного телефона! Вот как выглядит данное сообщение:
ВКонтакте:



Одноклассники:




(внешний вид и текст подобного сообщения могут отличаться от приведенных примеров)
Однако, имейте в виду, что при работе с социальной сетью ВКонтакте действительно может потребоваться подтвердить, что вы – это вы, для чего необходимо ввести номер мобильного телефона, который вы указывали при регистрации или позже. В ответ на ваш телефон будет отправлено sms-сообщение с кодом подтверждения, который также вводится на сайте, чем и подтверждается ваша личность. При этом в процессе настоящей валидации никаких смс-ок вам отправлять не нужно. Запомните! Если вам предлагается отправить смс – это значит, что в вашем компьютере поселился вирус. Чтобы проверить, вирус или нет, достаточно зайти на сайт с другого компьютера (или кого-нибудь попросить). Если с другого компьютера авторизация обычная (не требуется дополнительных действий), значит в вашей системе завелась зараза.

Избавляемся от вируса

Чтобы избавиться от данной пакости, необходимо удалить вредоносное приложение и восстановить настройки измененные вирусом: подмененный файл hosts или dns-сервер.
В файл hosts вирусы прописывают перенаправление на свой сайт-клон. Таким образом, когда в адресной строке браузера вы вводите адрес нужного вам сайта, в действительности открывается совершенно другой ресурс, внешне похожий на оригинал, но призванный выманивать деньги из своих жертв. То же касается и случая с dns-сервером – вы просто перенаправляетесь на иной ресурс, хотя адрес сайта в адресной строке введен правильно.
Прежде чем устранять последствия, желательно убедиться с помощью специальных программ, что вирус обезврежен. Впрочем, ради экономии времени (в зависимости от количества информации и мощности компьютера, время проверки может достигать нескольких часов), можете сразу приступить ко второму этапу. Но если указанные действия не приведут к положительному результату, тогда придется выполнить всю инструкцию с самого начала.
Шаг 1. Автоматическая проверка системы на вирусы. Воспользуйтесь одной из бесплатных антивирусных утилит:
CureIt! Обычно, ей не составит труда не только обезвредить сам вирус, но и исправить причиненные им последствия. А именно, с некоторых пор CureIt! способна обнаруживать изменения в файле hosts. Пользуясь программой обязательно выполните “полную проверку” системы, т.к. быстрой проверки для обезвреживания вируса не всегда бывает достаточно. Инструкция здесь.
AVZ4 – лечит систему и имеет функцию очистки файла hosts. Инструкция:
1. Качаем архив, распаковываем и запускаем avz.exe;
2. В окне программы выберите “Локальный диск (С”, ”Выполнять лечение” и нажмите кнопку “Пуск” для начала сканирования.



3. По завершении сканирования зайдите в меню “Файл – Восстановление системы”.



4. Отметьте 13-ый пункт (Очистка файла Hosts) и нажмите кнопку “Выполнить отмеченные операции”.



5. Подтвердите выполнение операции и закройте программу.



Шаг 2. Выполним действия, которые не производятся антивирусами. Для начала скачайте Process Explorer и запустите его.


В списке процессов посчитайте количество lsass.exe. Один есть всегда – он системный. Если процесса два, значит второй – часть вируса. Наведите на него курсор мыши, появится путь к этому файлу. Если файл lsass.exe находится НЕ в папке Windows\System32\ (обратите внимание: не в данной папке), запомните путь, выделите процесс левой кнопкой мыши и нажмите красный крестик сверху (еще можно выделить процесс правой кнопкой мыши и выбрать из выпадающего меню пункт “Kill process”). Тем самым вы удалите процесс из памяти. Далее необходимо зайти в папку, путь к которой вы запомнили, и удалить файл с жесткого диска.
Если в списке процессов только один lsass.exe, закройте Process Explorer, пройдите в “Пуск – Программы – Автозагрузка”. Из автозагрузки удалите всё лишнее. В частности, если найдете AdobeUpdate и AdLoader - однозначно удаляйте. В случае, когда система не позволяет удалить файл по причине блокировки, воспользуйтесь программой Unlocker.
Если вы пропустили первый этап из данной инструкции, тогда проверьте файл hosts, который находится в папке C:\Windows\System32\Drivers\Etc\ (в 64-разрядной системе файл здесь – C:\Windows\SysWOW64\Drivers\Etc\), и в случае необходимости замените его оригиналом. Просто нажмите на ссылку, откроется диалог загрузки файла, укажите папку для сохранения (в зависимости от разрядности системы) и подтвердите замену. Более подробно о восстановлении файла hosts можно прочитать здесь.
Папка etc. В случае с измененным файлом хостс некоторые особо не заморачиваются и просто удаляют всю папку Etc. Как правило, это помогает и серьезных проблем не возникает. И все же, я не рекомендую этого делать. Другие файлы в папке находятся не просто так, и в какой момент их станет не хватать системе – сложно предвидеть.
Дело в том, что некоторые разновидности вируса создают копию файла hosts, а настоящий рабочий файл делают скрытым. Таким образом, войдя в папку с файлом, пользователи видят только копию и, соответственно, редактирование оного не приводит к положительным результатам. Зато удаляя всю папку (с нужным файлом), восстанавливается доступ к сайтам. Но я еще раз предлагаю обратить внимание на ссылку, по которой можно скачать стандартный файл hosts. Достаточно по ней нажать, указать папку для сохранения (какую – см. выше) и подтвердить замену. Независимо от того, скрытый файл hosts или нет, он заменится правильным. Возможно, для этого понадобятся права администратора.
Теперь проверяем, не прописал ли вирус свой dns-сервер.
Для Windows XP: идем в “Пуск – Настройка – Сетевые подключения”, открываем свойства используемого подключения (беспроводное или подключение по локальной сети), открываем “Протокол Интернета TCP/IP”.
Для Windows 7: “Пуск – Панель управления – Центр управления сетями и общим доступом – Изменение параметров адаптера”, открываем свойства используемого подключения (беспроводное или подключение по локальной сети), выбираем “Протокол Интернета версии 4 (TCP/IPv4)” и жмем “Свойства”.



Смотрим, не указан ли вражеский dns-сервер. При необходимости исправляем на нужный или выбираем автоматическое получение (зависит от настроек вашего провайдера/роутера/модема) и жмем “ОК”.



После этого запускаем командную строку: “Пуск – Выполнить”, вводим: cmd и жмем “OK”. В открывшемся черном окошке вводим поочередно две команды:
route -f
ipconfig /flushdns
(каждую команду подтверждаем клавишей “Enter”)
Перезагружаем компьютер. Если валидация не исчезла, вероятнее всего вы пропустили первый этап, ошиблись во втором или ваш случай более экзотический.

Другие угрозы

Validations.exe Если вам предлагают перейти по ссылке, которая заканчивается на validations.exe, ни в коем случае не делайте этого, т.к. эта ссылка для скачивания вируса на ваш компьютер. Правда, на сегодняшний день, антивирусы с легкостью его распознают, но на всякий случай имейте это в виду. Примеры вредоносных ссылок:
vk.com/validations.exe
vkontakte.ru/validations.exe
odnoklassniki.ru/validations.exe
Ваш аккаунт временно заблокирован системой антиспама, в связи с рассылкой спама, или по подозрению в взломе вашего аккаунта третьими лицами. Для авторизации на сайте требуется подтверждение личности. Данная процедура действительно возможна в некоторых социальных сетях (например, Мой Мир и ВКонтакте). Выяснить, заблокировали ли вас на настоящем сайте или вы стали жертвой маскирующегося вируса, не трудно. Проще всего – попробовать зайти в аккаунт с другого компьютера (или кого-нибудь попросить). Если все нормально, значит проблема на вашем компьютере. Для начала убедитесь, что вы находитесь на том сайте, который открывали. Каждая буква должна соответствовать правильному адресу. Если хотя бы одна из них изменена или пропущена, значит вы находитесь на другом ресурсе. Далее, настоящая идентификация при проверке не вынуждает отправлять платные смс-сообщения. В противном случае, проверяйте файл hosts и сканируйте систему антивирусом, так как с 99% вероятностью можно утверждать, что это вирус.
Источник: интернет