Автор — один из наших постоянных читателей по имени Александр. Мне показалось неправильным полностью переделывать и как-либо радикально улучшать текст, и тем самым вроде бы как присваивать авторство (даже частично) себе.
Однажды мне позвонил друг и говорит, что при попытке зайти на сайты однокласники, фейсбук и вконтакте почему-то открываются порно-сайты. Другие интернет-страницы открываюся нормально.
Ну, естественно, сразу появилась мысль, что изменён файл hosts, находящийся в C:\Windows\System32\drivers\etc
Я говорю, проверь его содержимое. Он отвечает, что уже посмотрел и в нём ничего подозрительного нет — приезжай.
Мы проверили всё, что могли. Антивирус (KIS 2012) тоже ничего не выявил.
А вот после проверки компьютера Malwarebytes’ Anti-Malware-ом выяснилось вот что:
Этот антируткит обнаружил ещё один файл hosts !
Я даже не предполагал, что такое возможно.
Этот файл удалили, а реестре HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ services\ Tcpip\ Parameters обнаружилась запись %windir%\System32 :
А ведь по-умолчанию значение DataBasePath должно быть %SystemRoot%\System32\drivers\etc !
То есть, оказывается можно создать ссылку на фальшивый файл hosts, и при этом пользователь будет у верен, что с этим файлом у него всё в порядке !
Когда восстановили значение ключа реестра (нужна перезагрузка) сайты стали открываться нормально.
У него установлена Windows XP (x32), браузер IE.
Да, кстати, потом спросил друга — с чего всё началось ? Он сказал, что заходил на какой-то сайт, там на пол-экрана была реклама, он её закрыл, а компьютер при этом перезагрузился.
Информация оказалась полезной, спасибо Вам, будем иметь ввиду
Чуваки огромнейшее спасибо вам! Вы мне очень сильно помогли, где только не искал решение проблемы только вы помогли. Ещё раз спасибо вам огромное!
Ребята, вы сейчас таааак мне помогли! СПАСИБОЧКИ вам огромное!
СПАСИБО ОФИГЕТЬ
Что делать? у меня вместо hosts в папке etc — imhosts??
@ Александра:
imhosts — там тоже может быть.
В таком случае нужно смотреть, где находится настоящий hosts (смотреть ключ реестра HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ services\ Tcpip\ Parameters)
@ Nanotraktor:
На удивление файл хостс у меня отсутствовал вовсе, а в реестре никаких проблем. Помог мне dr. Web/
Ребят беда , та же фигня с вк и яндексом , по сидел на форумах , дошел до костсов , их у меня несколько : hosts
hosts.old
imhosts.sam
еще эти суки прикрепили текстовый файлик с таким текстом ,-127.0.0.1 localhost
#Отправьте смс и не мучайтесь… Реальная стоимость смски 100 рублей, а вызов программиста рублей 500 минимум:)- вот так , что мне делать и по каким папкам ползать , винда семерка
З.Ы : в реестре значение DataBasePath стоит правильное
@ Роман:
Есл бы была возможность — с удовольствием поковырялся бы с Вашим ПК и забесплатно!
Проверка при помощи Kaspersky Resque Disk или его аналога от DrWeb что-либо показывают?
@ Nanotraktor:
я тут удалил вчера хостс олд и текстовый файлик как мне друг сказал , ничего не изменилось
можно в принципе что бы вы полазили через удаленный помошник
@ Nanotraktor:
ВСЕ )) курейт помог )
@ Роман:
Ну и отлично! А чудо-«хакеры» свои писульки могут плашмя засунуть в известное место.
Кстати, отчета работы cureIt’a не осталось?
Он обычно сохраняется в папке % USERPROFILE%\Doctor Web
АБСОЛЮТНО все перепробовал, ничего не выходит, проблема такая же, еще надо пробовать через каспер, но и то скорее всего не факт, если есть у кого желания и возможность добавьте в скайп csm_strayker
@ Иван:
Вот тут опишите поподробнее вопрос (что случилось, как выглядит, что уже предпринимали): http://forum.remnabor.net/ (регистрация желательна, но можно и без неё)
Постараемся помочь.
trojan agent удалил и что дальше делать не знаю,помогите плиз
@ marsel:
Вот тут опишите поподробнее вопрос (что случилось, как выглядит, что уже предпринимали): http://forum.remnabor.net/ (регистрация желательна, но можно и без неё)
Постараемся помочь.
Malwarebytes Anti-Malware не чего не обнаружил! с файла хотс убираешь все лишнее, а после перезагрузки появляяется такая шняга
127.0.0.1 vkontakte.ru
127.0.0.1 http://www.vkontakte.ru
127.0.0.1 vk.com
127.0.0.1 http://www.vk.com нод сразу ее блокирует как троян!
значение реестра стоит нормальное т.е %SystemRoot%\System32\drivers\etc
@ Олег:
Выполните пожалуйста рекомендации вот по этой ссылке:
http://forum.remnabor.net/index.php?/topic/1041-%D0%BF%D1%80%D0%BE%D0%B1%D0%BB%D0%B5%D0%BC%D0%B0-%D1%81-%D1%84%D0%B0%D0%B8%D0%BB%D0%BE%D0%BC-%D1%85%D0%BE%D1%81%D1%82%D0%BE%D0%BC/
у меня этих hosts вообще 12
я в шоке
@ vfhbz:
Тут нужно смотреть их содержимое — или какая-то программа «тупит», или вирусни как блох на собаке.
спасибо! проблема была из за ловивконтакте снес ее и все хост чистенький и после перезагрузки не перезаписывается! а да до кучи удалял DataBasePath так хост с адресами контакта появлялся на диске С.
не помогло удаление ссылок из файла хост,скачивание версии хоста по умолчанию с корпорации майкрософт тоже не помогло( что делать?
*с сайта корпорации майкрософт
@ Александр:
Пробовали рекомендации отсюда?
http://forum.remnabor.net/index.php?/topic/1041-%D0%BF%D1%80%D0%BE%D0%B1%D0%BB%D0%B5%D0%BC%D0%B0-%D1%81-%D1%84%D0%B0%D0%B8%D0%BB%D0%BE%D0%BC-%D1%85%D0%BE%D1%81%D1%82%D0%BE%D0%BC/
Ребята. Не могу почистить хостс. Нет прав доступа на сохранение. Что делать? Администратор компьютера требуется, а я и есть админ. Просит сохранить копию в диске С и все равно не помогает. Подскажите решение!
Спасибо огромное!!!
ВОТ НА MAIL.RU ЗАЙТИ НЕ МОГУ, SVCHOST & HOSTS ФАЙЛЫ ПОДМЕНЕНЫ ! ! ! — ЩАС СПАС МЕНЯ DR-CUREIT
Спасибо, вам я проверил на антивируснике avast и увидел что критический уровень вируса теперь могу пользоваться. СПАСИБО!!!
У меня примерно такая же проблема, уже весь вечер мучаюсь… Хост заменил, да и подозрения не вызывал. Др-вебом прошелся, 2 трояна было, удалил. Через майкрасофт (Fix it) прошелся, не помогло. Не могу найти еще 1ин хост, который мешает работе. А проблема такая — Большенство сайтов открывает нормально, без проблем, а такие как гугл, яндекс, вконтакте, пишет что стр. заморожена либо подозрительна и просят ввести нр. тлф. что бы разморозить. Я в водил но ничего не происходило и не происходит. Даже и не знаю что делать( Стоит винда 7ая
Тоже самое. Host в порядке. Значение DataBasePath — правильное. Просканировал систему через: HitmanPro, Malwarebytes (последний нашёл троян «FVkontakt», который был сразу же удалён) — а в остальном, без изменений (правда поисковые системы в порядке, только ВК не работает, сообщение «К сожалению, Google Chrome не может открыть страницу vk.com.»)
Я правда из Венеции, поэтому может быть какие-либо проблемы с допуском из-за рубежа (проблема обнаружена всего несколько часов назад), но, судя по всему, проблема глобальная.
я тоже в италии живу, с 16.11.13 не могу зайти вконтакт, хотя с телефона приложение работает…
@ Владимир:
@ nica flamel:
А какой результат даёт команда
ping vk.com
c того компьютера, на котором возникла проблема? (команда выполняется в командной строке http://www.remnabor.net/kak-vyzvat-komandnuyu-stroku-v-windows-xp-i-windows-7 )
@ Nanotraktor:
Обмен пакетами с vk.com [127.0.0.1] с 32 байтами данных:
Ответ от 127.0.0.1: число байт=32 время<1мс TTL=128
Ответ от 127.0.0.1: число байт=32 время<1мс TTL=128
Ответ от 127.0.0.1: число байт=32 время<1мс TTL=128
Ответ от 127.0.0.1: число байт=32 время<1мс TTL=128
Статистика Ping для 127.0.0.1:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек
Подключился по Wi-Fi с другого компьютера, и проблема осталась. Учитывая и пост Nica, судя по всему нужно вновь связываться с провайдером.
@ Владимир:
Боюсь, в данном случае, провайдер может и не помочь, так как исходя из результатов пинга доменное имя vk.com разрешается в IP-адрес 127.0.0.1 .
то есть, компьютер при попытке открыть сайт обращается не к серверам сайта, а к самому себе.
Это вполне может быть последствием работы удалённого ранее вируса. Как вариант можно попробовать открыть «Блокнотом» файл C:\Windows\System32\drivers\etc\hosts , и проверить — нет ли в нём записей приблизительно такого вида:
vk.com 127.0.0.1
Однако же, параллельно с этим попытать поддержку провайдера стоит — мало ли как у них DNS-сервер настроен….
пишет сколько пакетов передано и получено — 4, сколко ушло на ето времени… и всё вроде, а что должно быть написано?
данные теста у меня такие же, не знала как их скопировать… если проблема в ай пи, тогда и приложение с телефона не должно работать, а работает…
@ nica flamel:
Спасибо за уточнение.
Исходя из предоставленных Вами и Владимиром данных могу посоветовать первым делом идти в техподдержку провайдера, так как, подозреваю, тут его вина.
Из чего сделан этот вывод:
И Владимир, и Вы пользуетесь (исходя из доступных мне данных) услугами одного и того же интернет-провайдера (http://www.fastweb.it/ или его партнёты), да и ошибка у вас абсолютно идентичная.
При том, при использовании стороннего интернет-провайдера — всё в порядке.
Однако на всякий случай, всё же, проверьте компьютер антивирусом (для полной уверенности, так сказать 🙂 )
@ Nanotraktor:спасибо вам большое за помощь, уже заполнила модуль техподдержки, мне показалось, что у них такие проблемы часто бывают, хотя я столкнулас впервые, будем надеятся на их быстый ответ.
@ Владимир:делитесь новостями, я тоже отпишусь как новости будут. удачи.
@ Владимир:
«Прокуратура Рима сделала запрос по блокировке IP адреса вконтакте а также других сайтов нарушающих авторские права. В Италии вконтакте считается пиратским Фейсбуком, нелегальная музыка, фильмы не дают алчным продюссерам заработать на хлеб. Итальянский фильм «Sole a Catinelle» побил рекорд по сумме дохода. А когда залили в сеть нелегальную копию фильма, компания Medusa подала жалобу в суд, и моментально были заморожены 9 сайтов один из которых Вконтакте. Теперь остается ждать решение суда. »
«тут вы найдете легкий способ обойти блокировку вконтакте из Италии.»
http://vivitalia.ru/articles/italian-news/kak-razblokirovat-vkontakte/
@ nica flamel:
Спасибо за интересную информацию. В ближайшее время постараюсь развить вопрос блокировки соцсетей и на ремнаборе!
@ nica flamel:
Благодарю, Nica!
Есть и свои плюсы в этом, я спустя несколько лет наконец переустановил ОС и навёл порядок в архивах. Паузы от контакта иногда идут только на пользу 🙂
Конечно ситуация очень странная в этом случае, компания могла просто связаться с администрацией VK по нарушению авторских прав, и на этом всё бы закончилось (с предварительным удалением контента с серверов).
Ещё раз спасибо всем за оказанную помощь.
Салют:)
Здравствуйте , у меня такая проблема , не могу зайти в vk , когда пытаюсь зайти мне пишет что введён неверный пароль , а когда пытаюсь зайти в vk.com/support Ошибка БД
Error Number: 1064
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near » at line 1
SELECT `country` AS `field_info` FROM `AccountsVK` WHERE `id` =
Filename: /home/www-data/domains/vk.com/public_html/libraries/ user_data_lib.php
Line Number: 451
Что делать , подскажите!!
а , да , забыл , с реестром всё впорядке
@ Женя:
100% компьютер чем-то заражен и обращения направляются на ложную страницу. Ну и плюс к этому владелец вируса — дебил, так как ложный сайт даже не отлажено до конца.
Я порекомендовал бы полностью проверить компьютер
http://www.remnabor.net/kak-udalit-virus-blokiruyushhij-windows-sms-bloker-pornobanner-sposob-vtoroj
@ Nanotraktor:
Спасибо , буду проверять.а Dr.Web CureIT подойдёт для этого?
@ Женя:
Да, по идее — должно.
@ Nanotraktor:
Всё , спасибо вам большое , очень помогли , спасибо что следите за сайтом)))
@ Женя:
Был рад помочь. 🙂
Почему я не могу зайти www. example.com/ru/login с компьютера, а с телефона могу? У меня на компьютере пароль сохранен для входа, и на телефоне тоже, с компьютера я не могу зайти, но с телефона получается!