Загальні питання

Підміна сайту

Якщо ви зайшли на один із сайтів Яндекса (Пошту, Пошук, ...) але, натиснувши на один із результатів пошуку, опинилися не там, де сподівалися, можливо, ваш комп'ютер заражений вірусом.

Дія вірусу може проявлятися і таким чином — під час реєстрації або авторизації на Яндексі пропонується підтвердити свої дані, відправивши SMS на вказаний номер.

Звертаємо вашу увагу, що Яндекс ніколи не вимагає грошей з користувачів за реєстрацію та користування своїми сервісами, а також не пропонує підтвердити реєстрацію за допомогою SMS.

Як це виглядає?

При спробі зайти на головну сторінку http://www.yandex.ua, http://mail.yandex.ua или https://passport.yandex.ru пропонується ввести логін, пароль і надіслати SMS на короткий номер. Сторінка схожа на ту, що використовується для входу на пошту.

Поширюється цей вірус в основному через соціальні мережі.

Дія вірусу може виглядати так:

Або так:

Що з цим робити?

Швидкий спосіб

  1. Збережіть файл hrepair.bat будь-де, наприклад, на робочому столі.

  2. Якщо ви користуєтеся Windows Vista або Windows 7, натисніть на файлі правою кнопкою миші та виберіть пункт Запуск від імені адміністратора. Якщо ви користуєтеся Windows 2000/XP, просто двічі натисніть на файлі.

  3. Перевірте, чи вдалося позбутися проблеми, чи відкривається Яндекс за адресою www.yandex.ua. Якщо проблему не вирішено — напишіть нам за адресою safesearch@yandex-team.ru, ми обов'язково розберемося, в чому проблема.

Самостійно виправити файл host

Перевірте свій комп'ютер антивірусною утилітою CureIt від «Dr.Web» або Virus Removal Tool Лабораторії Касперського.

Якщо антивірусна програма не виявила шкідливий код, ви можете видалити вірус вручну.

Перед цим уважно ознайомтеся з діями, які необхідно виконати. Пам'ятайте, що ви виконуєте їх на свій страх і ризик.

Коли ви набираєте адресу, наприклад, http://www.yandex.ua, ваш комп'ютер визначає, до якого сервера потрібно звернутися. Насамперед він «переглядає» файл hosts (зазвичай цей файл знаходиться в папці C:\WINDOWS\system32\drivers\etc), і, якщо в ньому є адреса сервера (IP-адреса) для вказаного вами імені, то використовується саме він. Якщо ж відповідного запису немає, то потрібна адреса сервера запитується у вашого провайдера.

SMS-вірус змінює вміст файла hosts, дописуючи туди адреси своїх серверів так, щоб вони замінили адресу сервера Яндекс та інших популярних інтернет-сервісів. У результаті вам здається, що ви бачите сторінку і працюєте з Яндексом, але насправді це сервер зловмисників.

Для знищення наслідків роботи вірусу необхідно виконати такі дії:

  1. Перейдіть у папку C:\WINDOWS\system32\drivers\etc (можливо, систему Windows встановлено в іншу папку C:\WINDOWS — враховуйте це) і знайти там файл із назвою hosts.

    Увага! Збережіть копію цього файла про всяк випадок!
  2. Відкрийте його за допомогою блокнота (Notepad) і пошукайте у файлі рядки такого вигляду:

    127.0.0.1 yandex.ua
    127.0.0.1 http://www.yandex.ua

    або

    91.189.113.143 mail.ru
    91.189.113.143 www.mail.ru
    91.189.113.143 www.yandex.ua
    91.189.113.143 yandex.ua
    91.189.113.143 www.vkontakte.ru
    91.189.113.143 vkontakte.ru
    91.189.113.143 www.odnoklasniki.ru
    91.189.113.143 odnoklasniki.ru
    Примітка. Адреси, тобто 4 числа через крапку, можуть бути іншими, наприклад, не 91.189.113.143, а 83.133.122... або якісь ще.
  3. Якщо такі рядки у файлі є, то їх слід видалити.

    Примітка. Рядок «127.0.0.1 localhost» видаляти не слід.
  4. Після цього потрібно просто зберегти файл, перезапустити браузер і оригінальна сторінка http://www.yandex.ua почне завантажуватися.

  5. Встановіть на файл атрибут «тільки для читання» — це допоможе уникнути його зміни простими вірусами. Для цього треба натиснути на імені файла правою кнопкою миші, вибрати пункт меню Властивості, встановити галочку Тільки читання та натиснути Ok.

  6. Цей вірус вносить зміни в налаштування комп'ютера, але не знаходиться постійно активним у пам'яті. Якщо ви знаєте або припускаєте, в якій програмі знаходиться вірус (вона може називатися, наприклад, vkontakte.exe або reiting.exe), то ви можете її видалити або більше не запускати.

Увага! Якщо ви надсилали SMS на вказаний шахраями короткий номер, то зверніться із запитом на повернення грошей до свого мобільного оператора або в компанію, що обслуговує цей короткий номер.

Якщо у вас не вийшло видалити вірус, або ви помітили дивне в результатах пошуку, що може бути наслідком роботи вірусу, напишіть у службу підтримки за адресою safesearch@yandex-team.ru. Складіть докладний опис і прикріпіть скриншот екрана, що ілюструє проблему. Якщо вам пропонують надіслати SMS, то вкажіть на який номер і з яким саме текстом. Вам обов'язково дадуть відповідь.