Новости
- Неможливо змінити файл HOSTS Часто віруси, які змінюють файл hosts і не пускають на певні сайти або...
- Скрипт в автозавантаженні
- Змінений ключ реєстру
Неможливо змінити файл HOSTS
Часто віруси, які змінюють файл hosts і не пускають на певні сайти або навпаки перенаправляють на шахрайські сайти, роблять хитрість, яка не дозволяє змінити файл host. Варіантів може бути два, але частіше за все вони використовуються обидва одночасно. Отже, до справи! Розглянемо їх.
Файл hosts прихований
Вірус створює в системі другої файл hosts, який робить прихованим. Таким чином ОС зчитує дані з обох файлів і виконує прописані вірусом інструкції з прихованого файлу hosts. Таким чином при перевірці "видимого" файлу виявити нічого підозрілого неможливо.
Якщо є підозра на модифікацію файлу hosts, обов'язково потрібно включити доступ до прихованих папок і файлів , А потім перевірити чи немає дублюючого файлу з вірусними записами. Часто ситуація ускладнюється тим, що вірус блокує відображення прихованих файлів і настройки у властивостях папки просто не зберігаються. В цьому випадку потрібно спочатку розблокувати можливість відображення прихованих файлів , А потім видалити дублюючий прихований файл hosts. Нагадаю, що файл hosts редагується стандартним додатком Блокнот або будь-яким текстовим редактором і розташовується в папці C: \ WINDOWS \ system32 \ drivers \ etc
Скрипт в автозавантаженні
Вірусописьменники - дуже винахідливі люди і весь час шукають нові шляхи маскування. Спільно з прихованим другим файлом hosts часто застосовується такий трюк, як скрипт в автозапуску. Що ж це за скрипт і як з ним боротться?
Скрипт являє собою набір стандартних команд Windows записаних в текстовий файл і редагований будь-яким текстовим редактором, наприклад, Блокнотом. У нашому випадку найчастіше застосовується скрипт, який копіює з тимчасової папки Windows інфікований файл hosts і робить його прихованим. Скрипт цей в основному сидить в меню Пуск - Всі програми - Автозавантаження. Таким чином при кожному перезавантаженні комп'ютера інфікований прихований файл hosts знову з'являється в системі і створюється враження, що файл hosts неможливо змінити.
Скрипт, що копіює інфікований файл, часто маскується подтакіе поширені назви, як adobe updater, igfxtray, system, svchost, lsass, services, winlogon, csrss, smss, explorer, userinit, або щось невиразне типу kG4tdew16gY. Щоб видалити скрипт необхідно завантажитися в безпечний режим, зайти в меню Пуск - Всі програми - Автозавантаження натиснути правою кнопкою на ярлик скрипта і видалити його. Якщо ви видалите всі ярлики з меню Автозавантаження, нічого страшного не станеться. Можливо перестане завантажуватися при старті системи якась програма, але зате ви позбудетеся від вірусу. Програму завжди можна перевстановити.
У деяких випадках віруси маскують і папку Автозавантаження. В такому випадку в ній нічого не буде доступний широкому, навіть якщо там сидить вірус. Необхідно включити відображення прихованих файлів і перевірити папки:
Для Windows XP: C: \ Documents and Settings \% username% \ Головне меню \ Програми \ Автозавантаження
Для Windows 7: C: \ Users \% username% \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup
Після всіх маніпуляцій бажано почистити диск від сміття і перевірити комп'ютер антивірусної утилітою, наприклад AVZ 4
Змінений ключ реєстру
Останній і самий рідкісний трюк вірусів - зміна ключа реєстру, що відповідає за розташування файлу hosts. Необхідно запустити редактор реєстру. У windows xp Пуск - Виконати - ввести команду regedit і натиснути Enter, в Windows 7 Пуск - ввести команду regedit і натиснути Enter.
Тепер потрібно перевірити параметр DataBasePath в гілці HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters. Він повинен мати занчение% SystemRoot% \ System32 \ drivers \ etc.
Якщо значення інше, клацніть два рази мишкою на параметр і введіть вірне значення. Тепер закрийте редактор реєстру.
Що ж це за скрипт і як з ним боротться?