Странная ситуация: одновременно два популярных сайта - Одноклассники.ру и Вконтакте.РУ стали требовать отправку СМС на короткий номер для активации аккаунта (110521469 на номер 6681). Все как и положено - с предупреждением никому, никогда и нигде не сообщать свой пароль. Однако, не “без задоринки” - у одноклассников нет иконки (в строке браузера), в контакте выдает ошибку 404 при попытке зайти на страницы вида http://vkontakte.ru/idxxxxxxx . Естественно, что с другого компьютера всё открывается - никаких отправок СМС.

Ваша страница была взломана и с нее рассылался спам. Чтобы это прекратилось нам необходимо активировать вашу страницу.
Также мы советуем Вам сменить пароль от почтового ящика и проверить Ваш компьютер на вирусы. Никогда не указывайте Ваш пароль от страницы нигде кроме сайта http://vkontakte.ru
Как меня могли взломать? Внимательно изучите этот раздел, прежде чем возобновлять пользование сайтом, чтобы избежать блокировок за спам в дальнейшем.
Для активации Вашей страницы отправьте SMS с Вашего мобильного телефона с текстом 110521469 на номер 6681

explorer.exe, c:\program files\common files\engines\lsass.exe

Попутно “взбунтовался” SKYPE - при загрузке выводит непонятное окошко для отправки СМС. И ещё - антивирус Касперского почему-то перестал обновляться - выдает сообщение об ошибке разрешения DNS-имени.

Да.. и при нажатии ALT+TAB в системном окошке переключения между задачами ярлычок (по умолчанию такой же у программ, написанных на delphi) с названием Form1. При попытке переключиться на него ничего не получается.

Нечистая! Возможно, у Вас обнаружатся и другие проявления сверхъестественного. При этом, например, mail.ru открывается вполне нормально. Хотя, это недолго исправить…

•  Смотрим, куда же мы все-таки пытаемся зайти - запускаем ping каждого из серверов:

Все разом переехали на один сервер

• Заглядываем в файл c:\windows\system32\drivers\etc\hosts - как ни странно, там пусто
• Пробуем запустить антивирусную утилиту AVZ - запустилась без проблем (многие вирусы блокируют её запуск) и включаем проверку - тут же находим “виновника” в отчёте - подозрение на скрытый запуск в ключе winlogon\shell “explorer.exe, c:\program files\common files\engines\lsass.exe” Смотрим в каталоге (каталог скрыт - включите отображение скрытых файлов) лежит mydll.dll
  
• Выгружаем всё это добро из памяти (в утилите можно использовать диспетчер процессов - он показывает путь программы) и менеджер внедренных библиотек dll. На всякий случай переносим в другой каталог /удаляем…
• Исправляем ключ запуска explorer.exe (не выходя из утилиты Восстановление системы - восстановить ключ запуска проводника)

Однако, все равно ping идёт не туда куда нужно.

Ответ прост - искать в DNS:

Принудительно установленные DNS-сервера 188.92.73.123 и 188.92.73.124 подставляют для ряда доменных имен (vkontakte.ru, odnoklassniki.ru, kaspersky.com, eset.com) вместо настоящего IP-адреса “липовый” 91.213.174.112

Как правило, DNS определяется автоматически - меняем положение “радиокнопки”, но, возможно, потребуется исправить на нужное значение для конкретной Вашей сети.

Будьте бдительны!

ps. Касперский после обновления успешно распознал вирус

pps. Не забудьте поменять пароли, если Вы уже “входили”  (точнее, пытались входить) на блокированный сайт)

Метки: вирусы, мошенничество, смс

Опубликовано Суббота, Сентябрь 18, 2010 в 15:57 в следующих категориях: Без рубрики. Вы можете подписаться на комментарии к этому сообщению через RSS 2.0. Вы можете добавить комментарий, или trackback со своего сайта.