Фальшивый файл Hosts

Автор — один из наших постоянных читателей по имени Александр.  Мне показалось неправильным полностью переделывать и как-либо радикально улучшать текст, и тем самым вроде бы как присваивать авторство (даже частично) себе.

Однажды мне позвонил друг и говорит, что при попытке зайти на сайты однокласники, фейсбук и вконтакте почему-то открываются порно-сайты. Другие интернет-страницы открываюся нормально.

Ну, естественно, сразу появилась мысль, что изменён файл hosts, находящийся в C:\Windows\System32\drivers\etc

Я говорю, проверь его содержимое. Он отвечает, что уже посмотрел и в нём ничего подозрительного нет — приезжай.

 

Мы проверили всё, что могли. Антивирус (KIS 2012) тоже ничего не выявил.

А вот после проверки компьютера Malwarebytes’ Anti-Malware-ом выяснилось вот что:

Обнаружение фальшивого файла Hosts
Обнаружение фальшивого файла Hosts

 

Этот антируткит обнаружил ещё один файл hosts !

Я даже не предполагал, что такое возможно.

Этот файл удалили, а реестре  HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ services\ Tcpip\ Parameters обнаружилась запись %windir%\System32 :

Неправильная запись в ключе реестра DataBasePath
Неправильная запись в ключе реестра DataBasePath

 

А ведь по-умолчанию значение DataBasePath должно быть %SystemRoot%\System32\drivers\etc !

То есть, оказывается можно создать ссылку на фальшивый файл hosts, и при этом пользователь будет у верен, что с этим файлом у него всё в порядке !

Когда восстановили значение ключа реестра (нужна перезагрузка) сайты стали открываться нормально.


У него установлена Windows XP (x32), браузер IE.

Да, кстати, потом спросил друга — с чего всё началось ? Он сказал, что заходил на какой-то сайт, там на пол-экрана была реклама, он её закрыл, а компьютер при этом перезагрузился.

Александра
2013-04-29 19:53:26
<b>@ <a href="#comment-1644" title="Go to comment of this author" rel="nofollow">Nanotraktor</a></b>: На удивление файл хостс у меня отсутствовал вовсе, а в реестре никаких проблем. Помог мне dr. Web/
neforich
2013-02-09 11:15:47
Информация оказалась полезной, спасибо Вам, будем иметь ввиду
Глеб
2013-03-12 18:22:44
Чуваки огромнейшее спасибо вам! Вы мне очень сильно помогли, где только не искал решение проблемы только вы помогли. Ещё раз спасибо вам огромное!
роман
2013-05-02 09:05:10
<b>@ <a href="#comment-1654" title="Go to comment of this author" rel="nofollow">Nanotraktor</a></b>: я тут удалил вчера хостс олд и текстовый файлик как мне друг сказал , ничего не изменилось можно в принципе что бы вы полазили через удаленный помошник
vfhbz
2013-06-09 19:42:18
у меня этих hosts вообще 12 я в шоке
Nanotraktor
2013-06-10 01:46:05
<b>@ <a href="#comment-1748" title="Go to comment of this author" rel="nofollow">vfhbz</a></b>: Тут нужно смотреть их содержимое - или какая-то программа "тупит", или вирусни как блох на собаке.
Олег
2013-06-10 13:27:23
спасибо! проблема была из за ловивконтакте снес ее и все хост чистенький и после перезагрузки не перезаписывается! а да до кучи удалял DataBasePath так хост с адресами контакта появлялся на диске С.
Александр
2013-06-11 23:08:41
*с сайта корпорации майкрософт
Александр
2013-06-11 23:07:32
не помогло удаление ссылок из файла хост,скачивание версии хоста по умолчанию с корпорации майкрософт тоже не помогло( что делать?
Роман
2013-05-01 19:52:23
Ребят беда , та же фигня с вк и яндексом , по сидел на форумах , дошел до костсов , их у меня несколько : hosts hosts.old imhosts.sam еще эти суки прикрепили текстовый файлик с таким текстом ,-127.0.0.1 localhost #Отправьте смс и не мучайтесь... Реальная стоимость смски 100 рублей, а вызов программиста рублей 500 минимум:)- вот так , что мне делать и по каким папкам ползать , винда семерка
Роман
2013-05-01 20:00:14
З.Ы : в реестре значение DataBasePath стоит правильное
Nanotraktor
2013-05-01 22:45:36
<b>@ <a href="#comment-1653" title="Go to comment of this author" rel="nofollow">Роман</a></b>: Есл бы была возможность - с удовольствием поковырялся бы с Вашим ПК и забесплатно! Проверка при помощи Kaspersky Resque Disk или его аналога от DrWeb что-либо показывают?
Роман
2013-05-02 10:01:21
<b>@ <a href="#comment-1654" title="Go to comment of this author" rel="nofollow">Nanotraktor</a></b>: ВСЕ )) курейт помог )
Nanotraktor
2013-05-02 11:25:42
<b>@ <a href="#comment-1656" title="Go to comment of this author" rel="nofollow">Роман</a></b>: Ну и отлично! А чудо-"хакеры" свои писульки могут плашмя засунуть в известное место. Кстати, отчета работы cureIt'a не осталось? Он обычно сохраняется в папке % USERPROFILE%\Doctor Web
Nanotraktor
2013-06-13 17:59:39
<b>@ <a href="#comment-1759" title="Go to comment of this author" rel="nofollow">Александр</a></b>: Пробовали рекомендации отсюда? http://forum.remnabor.net/index.php?/topic/1041-%D0%BF%D1%80%D0%BE%D0%B1%D0%BB%D0%B5%D0%BC%D0%B0-%D1%81-%D1%84%D0%B0%D0%B8%D0%BB%D0%BE%D0%BC-%D1%85%D0%BE%D1%81%D1%82%D0%BE%D0%BC/
Nanotraktor
2013-06-09 12:58:48
<b>@ <a href="#comment-1745" title="Go to comment of this author" rel="nofollow">Олег</a></b>: Выполните пожалуйста рекомендации вот по этой ссылке: http://forum.remnabor.net/index.php?/topic/1041-%D0%BF%D1%80%D0%BE%D0%B1%D0%BB%D0%B5%D0%BC%D0%B0-%D1%81-%D1%84%D0%B0%D0%B8%D0%BB%D0%BE%D0%BC-%D1%85%D0%BE%D1%81%D1%82%D0%BE%D0%BC/
Ольга
2013-06-19 16:58:08
Ребята. Не могу почистить хостс. Нет прав доступа на сохранение. Что делать? Администратор компьютера требуется, а я и есть админ. Просит сохранить копию в диске С и все равно не помогает. Подскажите решение!
nica flamel
2013-11-18 13:18:06
я тоже в италии живу, с 16.11.13 не могу зайти вконтакт, хотя с телефона приложение работает...
Nanotraktor
2013-11-18 17:34:15
<b>@ <a href="#comment-2119" title="Go to comment of this author" rel="nofollow">Владимир</a></b>: <b>@ <a href="#comment-2127" title="Go to comment of this author" rel="nofollow">nica flamel</a></b>: А какой результат даёт команда ping vk.com c того компьютера, на котором возникла проблема? (команда выполняется в командной строке http://www.remnabor.net/kak-vyzvat-komandnuyu-stroku-v-windows-xp-i-windows-7 )
Nanotraktor
2013-04-29 14:05:33
<b>@ <a href="#comment-1641" title="Go to comment of this author" rel="nofollow">Александра</a></b>: imhosts - там тоже может быть. В таком случае нужно смотреть, где находится настоящий hosts (смотреть ключ реестра HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ services\ Tcpip\ Parameters)
Nanotraktor
2013-11-20 19:14:21
<b>@ <a href="#comment-2143" title="Go to comment of this author" rel="nofollow">nica flamel</a></b>: Спасибо за интересную информацию. В ближайшее время постараюсь развить вопрос блокировки соцсетей и на ремнаборе!
Владимир
2013-11-20 19:51:12
<b>@ <a href="#comment-2143" title="Go to comment of this author" rel="nofollow">nica flamel</a></b>: Благодарю, Nica! Есть и свои плюсы в этом, я спустя несколько лет наконец переустановил ОС и навёл порядок в архивах. Паузы от контакта иногда идут только на пользу :) Конечно ситуация очень странная в этом случае, компания могла просто связаться с администрацией VK по нарушению авторских прав, и на этом всё бы закончилось (с предварительным удалением контента с серверов). Ещё раз спасибо всем за оказанную помощь. Салют:)
Владимир
2013-11-18 20:21:51
<b>@ <a href="#comment-2128" title="Go to comment of this author" rel="nofollow">Nanotraktor</a></b>: Обмен пакетами с vk.com [127.0.0.1] с 32 байтами данных: Ответ от 127.0.0.1: число байт=32 время&lt;1мс TTL=128 Ответ от 127.0.0.1: число байт=32 время&lt;1мс TTL=128 Ответ от 127.0.0.1: число байт=32 время&lt;1мс TTL=128 Ответ от 127.0.0.1: число байт=32 время&lt;1мс TTL=128 Статистика Ping для 127.0.0.1: Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь) Приблизительное время приема-передачи в мс: Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек Подключился по Wi-Fi с другого компьютера, и проблема осталась. Учитывая и пост Nica, судя по всему нужно вновь связываться с провайдером.
Леонид
2013-06-20 19:42:09
Спасибо огромное!!!
Nanotraktor
2013-11-18 21:33:04
<b>@ <a href="#comment-2130" title="Go to comment of this author" rel="nofollow">Владимир</a></b>: Боюсь, в данном случае, провайдер может и не помочь, так как исходя из результатов пинга доменное имя vk.com разрешается в IP-адрес 127.0.0.1 . то есть, компьютер при попытке открыть сайт обращается не к серверам сайта, а к самому себе. Это вполне может быть последствием работы удалённого ранее вируса. Как вариант можно попробовать открыть "Блокнотом" файл C:\Windows\System32\drivers\etc\hosts , и проверить - нет ли в нём записей приблизительно такого вида: vk.com 127.0.0.1 Однако же, параллельно с этим попытать поддержку провайдера стоит - мало ли как у них DNS-сервер настроен....
nica flamel
2013-11-18 21:58:59
пишет сколько пакетов передано и получено - 4, сколко ушло на ето времени... и всё вроде, а что должно быть написано?
nica flamel
2013-11-18 22:19:39
данные теста у меня такие же, не знала как их скопировать... если проблема в ай пи, тогда и приложение с телефона не должно работать, а работает...
Nanotraktor
2013-11-18 22:49:09
<b>@ <a href="#comment-2133" title="Go to comment of this author" rel="nofollow">nica flamel</a></b>: Спасибо за уточнение. Исходя из предоставленных Вами и Владимиром данных могу посоветовать первым делом идти в техподдержку провайдера, так как, подозреваю, тут его вина. Из чего сделан этот вывод: И Владимир, и Вы пользуетесь (исходя из доступных мне данных) услугами одного и того же интернет-провайдера (http://www.fastweb.it/ или его партнёты), да и ошибка у вас абсолютно идентичная. При том, при использовании стороннего интернет-провайдера - всё в порядке. Однако на всякий случай, всё же, проверьте компьютер антивирусом (для полной уверенности, так сказать :) )
nica flamel
2013-11-18 23:22:34
<b>@ <a href="#comment-2134" title="Go to comment of this author" rel="nofollow">Nanotraktor</a></b>:спасибо вам большое за помощь, уже заполнила модуль техподдержки, мне показалось, что у них такие проблемы часто бывают, хотя я столкнулас впервые, будем надеятся на их быстый ответ. <b>@ <a href="#comment-2130" title="Go to comment of this author" rel="nofollow">Владимир</a></b>:делитесь новостями, я тоже отпишусь как новости будут. удачи.
nica flamel
2013-11-20 15:03:04
<b>@ <a href="#comment-2130" title="Go to comment of this author" rel="nofollow">Владимир</a></b>: "Прокуратура Рима сделала запрос по блокировке IP адреса вконтакте а также других сайтов нарушающих авторские права. В Италии вконтакте считается пиратским Фейсбуком, нелегальная музыка, фильмы не дают алчным продюссерам заработать на хлеб. Итальянский фильм "Sole a Catinelle" побил рекорд по сумме дохода. А когда залили в сеть нелегальную копию фильма, компания Medusa подала жалобу в суд, и моментально были заморожены 9 сайтов один из которых Вконтакте. Теперь остается ждать решение суда. " "тут вы найдете легкий способ обойти блокировку вконтакте из Италии." http://vivitalia.ru/articles/italian-news/kak-razblokirovat-vkontakte/
Юлия
2013-03-24 19:36:39
Ребята, вы сейчас таааак мне помогли! СПАСИБОЧКИ вам огромное!
SYSADMIN
2013-07-18 04:07:30
ВОТ НА MAIL.RU ЗАЙТИ НЕ МОГУ, SVCHOST &amp; HOSTS ФАЙЛЫ ПОДМЕНЕНЫ ! ! ! - ЩАС СПАС МЕНЯ DR-CUREIT
Александра
2013-04-26 23:52:21
Что делать? у меня вместо hosts в папке etc - imhosts??
иладимир
2013-03-26 18:41:56
СПАСИБО ОФИГЕТЬ
marsel
2013-05-21 13:50:38
trojan agent удалил и что дальше делать не знаю,помогите плиз
Nanotraktor
2013-05-21 13:56:02
<b>@ <a href="#comment-1702" title="Go to comment of this author" rel="nofollow">marsel</a></b>: Вот тут опишите поподробнее вопрос (что случилось, как выглядит, что уже предпринимали): http://forum.remnabor.net/ (регистрация желательна, но можно и без неё) Постараемся помочь.
Иван
2013-05-20 14:55:35
АБСОЛЮТНО все перепробовал, ничего не выходит, проблема такая же, еще надо пробовать через каспер, но и то скорее всего не факт, если есть у кого желания и возможность добавьте в скайп csm_strayker
Nanotraktor
2013-05-20 19:03:41
<b>@ <a href="#comment-1697" title="Go to comment of this author" rel="nofollow">Иван</a></b>: Вот тут опишите поподробнее вопрос (что случилось, как выглядит, что уже предпринимали): http://forum.remnabor.net/ (регистрация желательна, но можно и без неё) Постараемся помочь.
Олег
2013-06-08 15:48:39
Malwarebytes Anti-Malware не чего не обнаружил! с файла хотс убираешь все лишнее, а после перезагрузки появляяется такая шняга 127.0.0.1 vkontakte.ru 127.0.0.1 www.vkontakte.ru 127.0.0.1 vk.com 127.0.0.1 www.vk.com нод сразу ее блокирует как троян! значение реестра стоит нормальное т.е %SystemRoot%\System32\drivers\etc
Владимир
2013-11-16 05:59:06
Тоже самое. Host в порядке. Значение DataBasePath - правильное. Просканировал систему через: HitmanPro, Malwarebytes (последний нашёл троян "FVkontakt", который был сразу же удалён) - а в остальном, без изменений (правда поисковые системы в порядке, только ВК не работает, сообщение "К сожалению, Google Chrome не может открыть страницу vk.com.") Я правда из Венеции, поэтому может быть какие-либо проблемы с допуском из-за рубежа (проблема обнаружена всего несколько часов назад), но, судя по всему, проблема глобальная.
Сергей (http://vk.com/bashkin_sergey)
2013-09-25 19:46:02
Спасибо, вам я проверил на антивируснике avast и увидел что критический уровень вируса теперь могу пользоваться. СПАСИБО!!!
Елисей
2013-10-15 01:06:55
У меня примерно такая же проблема, уже весь вечер мучаюсь... Хост заменил, да и подозрения не вызывал. Др-вебом прошелся, 2 трояна было, удалил. Через майкрасофт (Fix it) прошелся, не помогло. Не могу найти еще 1ин хост, который мешает работе. А проблема такая - Большенство сайтов открывает нормально, без проблем, а такие как гугл, яндекс, вконтакте, пишет что стр. заморожена либо подозрительна и просят ввести нр. тлф. что бы разморозить. Я в водил но ничего не происходило и не происходит. Даже и не знаю что делать( Стоит винда 7ая
Женя
2014-05-31 22:51:37
Здравствуйте , у меня такая проблема , не могу зайти в vk , когда пытаюсь зайти мне пишет что введён неверный пароль , а когда пытаюсь зайти в vk.com/support Ошибка БД Error Number: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' at line 1 SELECT `country` AS `field_info` FROM `AccountsVK` WHERE `id` = Filename: /home/www-data/domains/vk.com/public_html/libraries/ user_data_lib.php Line Number: 451 Что делать , подскажите!!
Женя
2014-05-31 22:55:26
а , да , забыл , с реестром всё впорядке
Nanotraktor
2014-05-31 23:58:50
<b>@ <a href="#comment-2555" title="Go to comment of this author" rel="nofollow">Женя</a></b>: 100% компьютер чем-то заражен и обращения направляются на ложную страницу. Ну и плюс к этому владелец вируса - дебил, так как ложный сайт даже не отлажено до конца. Я порекомендовал бы полностью проверить компьютер http://www.remnabor.net/kak-udalit-virus-blokiruyushhij-windows-sms-bloker-pornobanner-sposob-vtoroj
Женя
2014-06-01 16:05:51
<b>@ <a href="#comment-2556" title="Go to comment of this author" rel="nofollow">Nanotraktor</a></b>: Спасибо , буду проверять.а Dr.Web CureIT подойдёт для этого?
Nanotraktor
2014-06-01 17:24:12
<b>@ <a href="#comment-2557" title="Go to comment of this author" rel="nofollow">Женя</a></b>: Да, по идее - должно.
Женя
2014-06-01 21:34:17
<b>@ <a href="#comment-2558" title="Go to comment of this author" rel="nofollow">Nanotraktor</a></b>: Всё , спасибо вам большое , очень помогли , спасибо что следите за сайтом)))
Nanotraktor
2014-06-01 22:12:17
<b>@ <a href="#comment-2559" title="Go to comment of this author" rel="nofollow">Женя</a></b>: Был рад помочь. :)
Victoria
2014-10-11 17:22:26
Почему я не могу зайти www. example.com/ru/login с компьютера, а с телефона могу? У меня на компьютере пароль сохранен для входа, и на телефоне тоже, с компьютера я не могу зайти, но с телефона получается!
Nanotraktor
2014-10-12 10:09:42
<b>@ <a href="#comment-2726" title="Go to comment of this author" rel="nofollow">Victoria</a></b>: Какую именно ошибку получаете?
Victoria
2014-10-13 16:26:29
<b>@ <a href="#comment-2726" title="Go to comment of this author" rel="nofollow">Victoria</a></b>: Когда пытаюсь зайти, мне пишут что неверный пароль или е-мейл. но всё правильно введено.
наталья
2014-11-27 09:30:03
ПЛОХО ОТКРЫВАЮТСЯ СТРАНИЦА ОДНОКЛАССНИКИ ЗАГРУЖАЕТ МЕДЛЕННО КИНО ИЛИ ВООБЩЕ НЕ ОТКРЫВАЕТ НЕ МОГУ ОТПРАВИТЬ ПОДАРКИ БЕСПЛАТНО НА СЧЕТУ15ОК.
Михаил
2015-03-03 13:49:36
Когда пытаюсь зайти, мне пишут что неверный логин или пароль, но всё правильно ведено, может подскажите что это может быть?
Михаил
2015-03-03 13:50:49
Когда пытаюсь зайти, мне пишут что неверный логин или пароль. но всё правильно, может подскажите в чем может быть проблема
emiasDiem
2015-12-23 20:10:19
Жителям Москвы предлагается больше уделять внимания своему самочувствию с помощью мед ресурса — Emias Info, запись к доктору поликлиника производит при помощи Интернет. Задача портала заключается в повышении качества и доступности медуслуг госучреждений здравоохранения. Перечень возможностей системы • Самостоятельная запись пациентов к врачу по полису ОМС. Получение справки ГИБДД. • Отображение графика врачей в столице. • Включение в систему врачей, имеющих доступ к истории болезни пациентов и выписке электронных рецептов. • Создание многопланового учета предоставленной медпомощи для эффективности управления медучреждениями. http://ni-gg.com/home.php?mod=space&amp;uid=97674
Олег
2015-10-02 08:28:07
Здравствуйте, вирус заморозки вк, перепробовал все вышеперечисленное, Др.Веб нашел пару вирусов, Курейт тоже только парочку, Malwarebytes’ Anti-Malware вообще ничего не выявил, хост чист, в реестре тоже все в порядке HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ services\ Tcpip\ Parameters, заменить хост не дает, прав не хвататет. Может есть еще что-нибудь новенькое?:)
Nanotraktor
2015-10-04 01:58:35
Пока не встречал. Хотя в последние полгода по роду службы пересел с Windows на Kubuntu (14.04 Trusty Tahr) http://kubuntu.ru/download С тех пор о вирусах, угонщиках браузера и тому подобном rкошмаре пользователя - только в новостях слышу :)
Олег
2015-10-14 12:10:27
если честно даже не надеялся что вы мне ответите :) ладно, буду искать выход
Nanotraktor
2015-10-14 12:52:54
:) Если таковой найдется, напишите. Думаю, это будет полезно всем посетителям сайта в целом и этой заметки в частности. Так как она почти наверняка уже отстала от жизни.
Дмитрий
2015-11-04 20:27:03
Приветствую. Не открывает сайт ВКонтакте. Пишет "страница не доступна", смена браузера не помогает. Фаил хост в норме, вирусов нет, тестировал 4 антивирусами. В реестре все пути в норме. Что делать не знаю уже.
Фальшивый файл Hosts