Валидация аккаунта социальных сетей

[Max]

Валидация аккаунта социальных сетей

Добрый день, уважаемые участники форума.
Не так давно столкнулся с подобной проблемой, когда на домашнем ПК при попытке посещения соц.сетей (вКонтакте, одноклассники) вываливались подобные сообщения.
Самое примечательное то, что ни DrWeb, ни AVZ толкм не могли ничего исправить: DrWeb при каждой проверке (несколько проверок подряд) ругался на зараженность файла "hosts". При помощи AVZ в пункте "Восстановление системы" я пытался восстановить этот ФАЙЛ, но проблема не исчезла. После долгих танцев с бубном проблема была устранена, и вот ее решение.
Качаем и запускаем программу Ccleaner. Заходим в "Сервис/Автозагрузка".
Там былда замечена строчка, типа: <<<HKLM:Run — 14753937 — Корпорация Майкрософт - Все пользователи - cmd.exe /c copy C:\DOCUME~1\User\LOCALS~1\Temp\14749921FdOh C:\WINDOWS\system32\drivers\etc\hosts /Y && attrib +H C:\WINDOWS\system32\drivers\etc\hosts /f>>>.
Прежде, чем удалить саму строчку, сперва я проследывал по ее пути, к исполняемому файлу вируса: C:\Documents and Settings\User\Local Settings\Temp\14749921FdOh и грохнул его вручную, а уже потом удалил ветку из автозагрузки. Вот и все.

 

[usmfed]

А у меня 2 дня назад был компьютер, на котором для валидации требовалось ввести номер телефона. Ни один антивирус не нашел ничего подозрительного. Файл hosts был в норме, автозагрузка и реестр не говорили ни о чем подозрительном. Танцы с бубном ни к чему не привели. После двух дней мороки, "грохнул" систему, установил все за ново, восстановил все программы, подгрузил старую базу к программам и все работает. В чем был "полтергейст" так и не понял.
Может кто то с таким встречался. Расскажите для общего образования.

 

[safety]

Самое примечательное то, что ни DrWeb, ни AVZ толкм не могли ничего исправить

в логах AVZ должна была быть эта строчка обязательно

cmd.exe /c copy C:\DOCUME~1\User\LOCALS~1\Temp\14749921FdOh C:\WINDOWS\system32\drivers\etc\hosts /Y && attrib +H C:\WINDOWS\system32\drivers\etc\hosts /f

в секции автозапуска.

лучше все таки использовать для решения подобных проблем специализированные утилиты, какими являются AVZ, uVS, а не ccleaner, который предназначен для исправления ошибок в реестре.
---------
в uVS, AVZ можно обнаружить левые записи в hosts, левые DNS, статические маршруты, которые блокируют определенные адреса (чаще всего адреса антивирусных компаний и серверов обновления) и многое другое.




вот как выглядит инфо из образа автозапуска системы, снятого с помощью uVS

Полное имя COPY
Имя файла COPY
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
_COPY* (ПОЛНОЕ ИМЯ ~ COPY)(1) AND ( ~ CMD.EXE /C COPY)(1)
_COPY** ( ~ CMD.EXE /C COPY)(1)

Сохраненная информация на момент создания образа
Статус в автозапуске

Ссылки на объект
Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\1565046
1565046 cmd.exe /c copy C:\DOCUME~1\F942~1\LOCALS~1\Temp\1564531FdOh C:\WINDOWS\system32\drivers\etc\hosts /Y && attrib +H C:\WINDOWS\system32\drivers\etc\hosts /f

Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\16313062
16313062 cmd.exe /c copy C:\DOCUME~1\F942~1\LOCALS~1\Temp\16312906FdOh C:\WINDOWS\system32\drivers\etc\hosts /Y && attrib +H C:\WINDOWS\system32\drivers\etc\hosts /f

 

[Max]

Может кто то с таким встречался. Расскажите для общего образования.

Прочитай еще раз первый пост.

лучше все таки использовать для решения подобных проблем специализированные утилиты, какими являются AVZ, uVS, а не ccleaner, который предназначен для исправления ошибок в реестре.

В данной статье рассматривается вариант ручного удаления вируса.
Если просто зайти в "Автозагрузку" (через команду "msconfig"), то там этой строчки небудет, и в логах AVZ тоже, проверил лично, потому как постоянно использую подобные утилиты для реанимации систем из глубокой комы.
Как вариант, посмотрел автозагрузку через программу "Ccleaner" и о чудо: вот она вирусня где засела.
Почему об этом "молчали" логи AVZ и стандартная автозагрузка системы?

 

[safety]

Max,
как частный случай этот метод (исправления) и сработает, но в общем случае, помимо данного способа перезаписи hosts в автозапуске могут быть и трояны, например majachok и spy.voltar. Почему промолчал AVZ не могу сказать без возможности увидеть лог AVZ.

 

[Max]

как частный случай этот метод (исправления) и сработает, но в общем случае, помимо данного способа перезаписи hosts в автозапуске могут быть и трояны, например majachok и spy.voltar. Почему промолчал AVZ не могу сказать без возможности увидеть лог AVZ.

При появлении подобного сообщения (валидация аккаунта) в первую очередь следует проверить систему на наличие вирусов и желательно сторонними утилитами (DrWeb & AVZ). НО, если подобные утилиты не увидят зловредный вирус, для этого и написана данная статья. Когда эта проблема возникла у меня, я залез на один форум, где также многие участники писали, что антивирусы им не помогают и большинство из них решили проблему переинсталляцией ОСи. Но разве это выход? Лог AVZ у меня, к сожалению не сохранился, но я с полной ответственностью заявляю, что подобной строчки (ссылающейся на директорию вируса) там небыло.

 

[safety]

это частая проблема на форумах по безопасности, как правило решается просмотром логов AVZ или uVS. (и написанием соответствующих скриптов).

сам я чаще всего контролирую ход лечения по образу uVS, но и в некоторых случаях замечал подобные строки и в автозапуске AVZ. У меня нет оснований недоверять вам, но без логов и обсуждать нечего.

Сканировать систему в этом случае с помощью DrWeb слишком долгое будет решение - все равно что из пушки палить по воробьям, тем более переустанавливать систему из за того что вредоносный hosts презаписывается ни в какие ворота.

Кстати и очистка темпов в этом случае бы помогла, так как шаблон hosts в темповой папке находится.

 

[usmfed]

Прочитай еще раз первый пост. ...

Уважаемый, Мах. Написанное мной

...Ни один антивирус не нашел ничего подозрительного. Файл hosts был в норме, автозагрузка и реестр не говорили ни о чем подозрительном...

наверное полно говорит о том, что и реестр, и файлы были проверены полностью. И записей подобно Вашей

<<<HKLM:Run — 14753937 — Корпорация Майкрософт - Все пользователи - cmd.exe /c copy C:\DOCUME~1\User\LOCALS~1...C:\Documents and Settings\User\Local Settings\Temp\14749921FdOh..

в них не встречалось(не скажу что дока, но немного реестр читать и править умею).

В том то вся проблема и была, что ни в одном из логов (AVZ, HijackThis и даже хваленый uVS) ни показало ни чего плохого, все обычное как везде. А с CCleaner(как бы плохо к нему не относились некоторые наши форумчане) я всегда начинаю.
Сохранив весь диск на другой носитель и переустановив систему я восстановил все браузеры и программы в "ноль". Даже пробовал над системными файлами "поизголяться"(простым копированием с заменой).
Нету ни где этой заразы.
Поэтому и сказал "полтергейст". Был и пропал.

 

[safety]

usmfed,
если вы уже умеете пользоваться uVS, предлагаю проанализировать проблему с hosts по данному образу автозапуска.

 

[Weles]

Сегодня с такой фигнёй столкнулся, у мужика в одноклассниках телефон просило и всё. Вэбом проверил, ничего не нашёл, подумал что грёбаная соцсеть наконец накрылась и ушёл довольный

 

[GlaZZZ]

Еще хочу отметить такой факт, что файл hosts часто бывает заражен(или их вообще два, один пустой, второй с вирусом)
Следствие это вируса в том, что яндекс видит подозрительную активность, гугл видет ту же хрень, а ВКонтакте вообще с любой страницы выбивает на специальный вирусный файлик .php, под доменом vk.vom, в этом файлике просьба написать свой телефон с началом (+7), мол у вас подозрительная активность и ваша страница заморожена. Все это не дела ВК, а мошенники, а ведь как похоже на дело рук Дурова, даже картинка с "супергероем ВК" Прилагаю скриншот

Если у вас подобная фигня, лечите её полным удалением файла hosts(а может и двух одинаковых файлов) и затем с приложенного архива закиньте туда же чистый hosts. Ну а потом начисто антивирусом пройтись по всему компу(для спокойствия)


Причем интересный факт, не один антивирус не видит вирус в hosts, но при открытии файла в блокноте, антивирус начинает шевелиться