Пока непонятно как проникает этот вирус на компьютер, но последствия заражения таковы, что доступ в Интернет закрыт всем программам (Браузеры, ICQ/Mail Агент клиенты), которые используют настройки DNS в свойствах сетевого адаптера.
Кстати программа Skype единственная, которая продолжает работать! Исходя из этого, можно сразу предположить, что физически устройства работают нормально и дело вероятно в настройках соединения.
И так, если выше описанная ситуация аналогична вашей, то первым делом необходимо проверить настройки сети и удостоверится в изменении их вирусом.
1. Запустите командную строку и введите команду ipconfig /all
2. В настройках протокола IP для Windows, выведенных на экран найдите адаптер, через который вы выходите в Интернет. Если в свойствах DNS-серверы стоит: 127.0.0.1 , то значить вирус или кривые руки изменили существующие настройки.
Теперь необходимо изменить настройки сетевого адаптера, через который происходит подключение. Если Вы используете несколько способов выхода в Интернет (Wi-Fi, Сеть) то эти действия необходимо повторить для каждого адаптера (сетевого устройства).
3. Нажимаете кнопку Пуск – Панель управление – Центр управления сетями и общим доступом и нажимаете “Изменение параметров адаптера ”.
4. Выбираете подключенный к Интернету адаптер и правой клавишей мышки щелкаете на нем, затем выбираете “Свойства ”.
5. В запустившемся окне на вкладке “Сеть” выбираете “Протокол Интернета версии 4 (TCP/IPv4) ” и нажимате кнопку “Свойства ”.
6. Поставьте галочку напротив “Получить адрес DNS-сервера автоматически ” и нажмите кнопку “ОК ”.
7. После изменения настроек попробуйте выйти в Интернет, (в некоторых случаях требуется перезагрузить компьютер). После получения доступа в Интернет, первым делом скачайте антивирусную программу Dr.Web CureIt! и проведите самую полную очистку.
Также посмотрите и отключите в автозагрузке подозрительные программы и утилиты утилитой Starter. Рекомендую почистить временные папки от файлов и реестр от ошибок утилитой CCleaner.
Первым делом, я самолично взглянул на этот фейк, все выглядело очень правдоподобно: было хорошо сверстано и URL был именно m.vk.com. Так что, можно было действительно подумать, что мобильная версия ВК закрылась.
Ну что это может быть? Конечно же, hosts! Открывая его, я уже был готов спасти знакомого от страшной напасти, но… в файле не оказалось ничего, кроме стандартных комментариев. Так же не было и другого, скрытого hosts, как это иногда бывает. Тщательное изучение запущенных процессов не дало ничего интересного, ровным счетом как и гуглирование предлагаемого для скачивания приложения. Я призадумался.
Мои мыслительные процессы прервал знакомый, сообщив, что та же самая история происходит и при попытке зайти в ВК с телефона. Это была зацепка. Телефон был подключен к домашней wi-fi точке, к той же, что и проблемный компьютер. Попросив знакомого зайти в ВК с мобильного интернета, отключившись от wi-fi, я отмел вариант заражения телефона - открывалась настоящая версия. Вывод был только один - заражен роутер.
Я удалил этот адрес из DNS, заменив его стандартным для нашего региона, сменил пароль на роутере и перезапустил его. После этого, все заработало как положено. Выслушав благодарности знакомого, я решил заняться фейком поплотнее.
Сейчас там расположена ненормативная лексика, но когда я его нашел, там была форма с названием «Fake admin panel» и поля для логина и пароля. Чем черт не шутит? Подумал я, и ввел admin:admin . Как вы думаете, что произошло?
Я оказался в админке, с логами всех входов в фейки мошенников! Поразительно, они попались на своем же методе заражения.
Признаю, я сначала подумал, что это ханипот, и попробовал войти в один из кошельков QIWI из лога. Данные были верными, на счету кошелька было около 1000 рублей. Значит, это не ханипот. Я вышел из кошелька, и начал изучать админку.
Оформлена админка была со вкусом
(эти игрушечки сверху шевелились, когда на них наводишь крыской, и издавали звук (и это была не флешка))
VK ~72000
OK ~45000
QIWI ~9000
BTC - 5
Отдельно нужно отметить лог QIWI, судя по всему, ради него это все и было сделано. В логе QIWI отображался не только логин, пароль и IP, но и баланс на момент входа, а так же включено ли SMS подтверждение для платежей (что поразительно, в большей части аккаунтов оно было выключено). Такой лог, говорит о том, что после авторизации через фейк, человека авторизировало на реальном QIWI, и бедняга даже не подозревал о подвохе.
В правом верхнем углу отображается количество записей, которые еще не убраны в архив (замечу, что эти записи пополнялись очень быстро).
А внизу (на картинке не видно), были кнопочки для удобного экспорта не архивных логов в txt файл и кнопочка для восстановления всех записей из архива.
Ощущая, что мое время на исходе, я восстановил все записи из архива QIWI и скачал их себе. Хотел проделать тоже самое с остальными сервисами, но не смог. Потому как при следующем запросе я увидел ошибку 403, а потом и то, что там есть сейчас.
Наблюдается проблема (на мой взгляд) с Яндекс.браузером. А именно подмена DNS. С его появлением в моей компьютерной жизни (декабрь 2012) начались напряги. Раз в месяц (стабильно) кто-то настойчиво пытается меня взломать. Сначала веселило меня это. Сам их в ответ подламывал. Но теперь надоело и разозлило. Суть вопроса такова. Всю почту завёл на Янлекс. Стоки с соцсетей тоже (удобней работать). Раньше на Мозилле сидел, ту же конфигурацию перевёл на Яндекс.браузер (побыстрей Хрома даже, на мой взгляд). При сёрфинге в НЕТе иногда приходится пробегать через Mail.ru. (понятно, что за помойка).
Так вот Я.браузер по-ходу настолько скорешился с Male, что видно просачивается личная конфиденциальная информация и на её основе проще ко мне зайти через «заднюю дверцу». Её стараюсь держать закрытой. Но сутками за компом не усидишь. Чищу Host периодически. Перепробовал все антивирусы — эту гадость блокирует только Аваст (Каспер иногда).На данный момент… Три раза в этом году переустанавливал винду из-за этой бяки. На сегодня стоит Аваст Фри + Aваст Секьюрити + Адблок Плюс + Адблок-интеграция в браузер от Аваста + защитник виндовс (родной). Всё равно придумали, как просочиться.
Пробовал AZT — никак. Cureit не всегда обнаруживает. Акронис пробовал, разок помог. Переустановка браузера-шикос, но ссылки, письма… геморрой. Сегодня атаку отбил. А началось всё сегодня с захода на Майкрософт за Wordом-письма с браузера скопировать на всякий случай. Винда у меня 7х64 максималка, лицуха (ОЕМ-сам ставил-9 мес. ходил-всё летало-производительность-6.3 с обычным Сигэйтем). Машина Icore(TM) i7-2600/4х3700 Ггц/RAM-8/ Gts 560Ti…
В общем неплохая игровая тачка, год пробег. Вот какую ещё программу поставить, чтобы победить «индусов», не прибегая к их методам (подмывают таки доссняк им фигануть, но могу других задеть, скорей всего; да мне и не 15 лет…).В Яндекс обращался-валят на провайдера. От провайдера ребята приехали, всё с ноутбуком, своими программами протестировали, комп посмотрели — всё хоккей. Думал ещё может соседи через WiFI лезут — там всё шикарно, двойной пароль…
Остаётся одна ошибка — Яндекс.браузер (сырой), который раздаёт мои аккаунты направо и налево своим «партнёрам». Возможно, я ошибаюсь. И всё равно он мне нравиться)) ,неплохой продукт-подрихтовать чуток… Вот как быть? Какую супер-программму тут можно применить? Может я чего-то не понимаю…? С уважением, Валерий.
Dns Unlocker — это вирус, который относится к подклассу adware. Эта программа без вашего подтверждения ставится на ваш ПК, а затем устанавливает в браузер различные объявления рекламного характера. Из-за нахождения вредоносного ПО в системном реестре, избавление от Dns Unlocker – процесс довольно сложный. Эта вредоносная программа поступает в компьютер в большинстве случаев при закачке с подозрительных сайтов различных торрентов, нелегальных патчей для компьютерных игр, бесплатного софта и других бесплатных файлов. Создатели данных ресурсов осуществляют монетизацию контента путем заворачивания вируса в загрузочный файл. Загрузчик – это специальный софт, который передает пользователю желаемый контент, при этом параллельно может установить рекламные вирусы, которые прописывают разнообразные редиректы, меняют стартовую страницу, добавляют объявления в браузерах и многое другое. К таким программам и относится Dns Unlocker.
Чтобы удалить Dns Unlocker с ПК, надо найти и удалить все расширения в браузерах с именем Dns Unlocker, все связанные с этим вирусом ключи реестра и все вирусные файлы с жесткого диска.
В большинстве случаев при обычном избавлении от вредоносного дополнения из браузера вирус уходит только до перезапуска браузера. Вирус сам себя восстанавливает. Можно удалить его с помощью меню “Установка и удаление программ”, поудалять дополнения в браузере, отыскать вредоносные файлы программы и удалить вирус физически. Работа окажется бесполезной. Надо очистить все ветки реестра, а именно ключи, которые связаны с вирусом, но делать эту операцию должны только хорошо подготовленные пользователи. При малейшей оплошности, которую вы допустите в реестре, надо будет переустанавливать ОС или она будет работать, но ошибки будут вылазить на постоянной основе. В этой связи мы настоятельно рекомендуем осуществлять самостоятельную очистку реестра только довольно продвинутым пользователям, причем очистку реестра вы выполняете на свой страх и риск. Поэтому мы советуем автоматическое избавление от Dns Unlocker с помощью универсальной утилиты Spyhunter 4, производства Enigma software.
Удалить Dns Unlocker автоматически
Почему именно spyhunter?
Повторим, что без нужного опыта лучше не вычищать реестр. Каждая операционная система имеет собственные различия. Не важно, что основные ключи реестра, папки, файлы в большинстве своем схожи, наличие какой-нибудь программы, имеющей имя ключа реестра Dns Unlocker (это частое явление), и, собственно, удаление приведет к уничтожению ОС.
Обязательно делаем точку восстановления. Без точки восстановления при крахе системы восстановить ее вы уже не сможете.