СМС на номер 8353 вконтакте

Автор: admin, 25 Январь 2011

Сегодня утром, когда я попытался войти в свой аккаунт Вконтакте, меня назвали спамером. Точнее, выпало мне сообщение следующего содержания:

Ваш аккаунт недоcтупен по причине распpостранения cпама или нарушения условий пользования сайтом. Для разблокиpoвки анкеты вам необходимо отправить cмс сообщение с текстом 11069294 на номеp 8353. Далее вам поступит кoд активации, котоpый необходимо ввести в нижнее поле.

Любопытно, что скопировалось оно совсем волшебным образом и после выделения и ctrl+c приняло следующий вид:

Ваш4аккаунт3недоcтупенaпоnпричине4распpостранения5cпама или2нарушенияvусловийлпользованиярсайтом.4Для9разблокиpoвки анкетыmвамfнеобходимоjотправить cмс6сообщение7сiтекстом 11069294 на8номеp 8353. Далеелвамuпоступит9кoдпактивации,rкотоpыйвнеобходимо ввести1вiнижнееfполе.

Я заподозрил, что сообщение это не имеет ни малейшего отношения к администрации социальной сети и попытался найти способы решения проблемы. Ну, не хотелось мне слать смс на номер 8353, дабы попасть в сеть Вконтакте. Способов удалось найти немало, но ничего не помогало. Расскажу подробнее, что именно пытался делать.

Пробовал найти для номера 8353 код разблокировки — ни один из предлагаемых не сработал.

Предлагали править в папке C:\WINDOWS\system32\drivers\etc файл hosts — у меня с ним все оказалось нормально.

Предлагали переместить всё содержимое из папки %SYSTEMROOT%\system32\drivers\etc на время в иную папку, а потом вернуть все назад — не подействовало.

Предлагали найти на жестких дисках дисках файлы с названиями vkontakte.exe или vkontakte.bat — таковых не оказалось.

Предлагали проверить компьютер программами combofix и DrWeb CureIt! — ничего не нашлось.

Проверка антивирусником Avast также не помогла устранить проблему.

Тогда я начал действовать сам, без рекомендаций.

Я зашел в автозагрузку. Сделать это можно несколькими способами, расскажу о двух из них:

1. Пуск -> Выполнить -> набираем команду msconfig и в появившемся окне выбираем папку Автозагрузка.

2. С помощью наборов утилит для оптимизации и восстановления работы компьютера, которых существует несколько. В частности, я пользуюсь Auslogics BoostSpeed.

В автозагрузке обнаружились 2 «левых» процесса — якобы от Blizzard Intertainment. После удаления они почти моментально появлялись вновь. Я посмотрел, откуда растут их ноги. Выяснилось, что из папок

C:\Documents and Settings
и
C:\WINDOWS\system32

В обеих папках находились недавно созданные файлы с одинаковым названием WUAUCLDT.EXE

Если из Documents and Settings файл удаляется легко, то с WINDOWS\system32 нужно быть как можно осторожнее.

Во-первых, там несколько тысяч файлов, от каждого из которых, в той или иной мере, зависит работа системы WINDOWS. Во-вторых, там есть похожие названиями файлы wuauclt, wuaucpl, wuaucpl.cpl.manifest, wuaueng.dll и wuauserv.dll. Так что нужно быть внимательнее. Нас интересует в данном случае лишь WUAUCLDT.EXE

Файл WUAUCLDT.EXE из папки C:\WINDOWS\system32 так просто не удаляется. Чтобы это сделать, нужно перезагрузить систему в безопасном режиме — Safe Mode.

Для входа в Safe Mode в начале загрузки системы следует нажимать клавишу F8. Потом из предложенных вариантов загрузки нужно с помощью клавиш курсора (вверх/вниз) выбрать безопасный режим (Safe Mode) и нажать Enter.

Когда безопасный режим запустился, идем в папку C:\WINDOWS\system32 и удаляем WUAUCLDT.EXE.

По большому счету, на этом миссию можно считать выполненной. Но лучше после этого произвести очистку и дефрагментацию реестра с помощью уже упомянутых утилит Auslogics BoostSpeed, либо их аналога.

После этого при входе в соцсеть Вконтакте никто уже не запрашивает коды на номер 8353.

Если кому интересны подробности о трояне Backdoor.Win32.HareBot.avg, создающем файлы WUAUCLDT.EXE, их можно найти здесь и здесь. Там говорится, что:

по команде злоумышленника бэкдор может рассылать спам, загружать на компьютер пользователя файлы, запускать процессы. Загруженные файлы сохраняются в каталоге хранения временных файлов пользователя как %Temp%\nvhg0.tmp.

Кстати, странно, что два использованных мной этот троян не видели. Ну да оставим это на совести их создателей.

Рубрика: Myself, Деньги, Жизнь -