Чи не відкриваються сайти
Лист від Новомосковсктеля. З початку не хотів писати Вам, думав розберуся зі своєю проблемою сам. Недосвідченим користувачем себе не вважаю, навпаки звик завжди у всіх проблемах розбиратися самостійно і іноді допомагати іншим. Всі мої друзі про це знають і часто мене просять допомогти у вирішенні тієї чи іншої проблеми пов'язаної з комп'ютером, але останнім часом не можу вирішити одну задачу. У моїх знайомих з'явилася проблема - не відкриваються сайти. а останній випадок зовсім цікавий, при спробі відкрити будь-яким браузером такі ресурси як: Однокласники, ВКонтакте, www.youtube.com, ru.opera.com, mail.ru і навіть microsoft.com/ru, виходить сторінка із зовнішнім оформленням зовні схожим на перераховані вище сайти, але з таким повідомленням:
В інтернеті цю проблему обговорюють вже давно, але відповідь на це питання в основному стандартний для таких ситуацій: Виправити файл hosts. перевірити комп'ютер на наявність шкідливих програм. Комп'ютер на віруси я перевірив антивірусними дисками двох виробників, на жаль ефекту це не принесло, а от з файлом hosts досить цікава ситуація виходить. В папці де він повинен знаходиться
З: \ windows \ system32 \ drivers \ etc \ його просто немає, як таке може бути не зрозумію, відображення прихованих файлів і папок в системі включено, так само прибрав галочку з параметра Приховувати захищені системні файли. Створив файл hosts заново, але все одно сайти не відкриваються. До речі один раз мені попалося два файли hosts, уявляєте, я тоді просто перевстановив операційну систему.
Ну а тепер у мене питання до вас, що робити, коли не відчиняються сайти і де шукати вірус, як вчинити, якщо пропав файл hosts або їх два? Якщо можна напишіть все покроково, дуже багато хто буде вам вдячні, я впевнений. Андрій.
Нещодавно зателефонував мій давній знайомий і запитав: - «Слухай старий, як ти думаєш, чому у мене не відкриваються сайти. Однокласники, ВКонтакте, mail.ru і так далі, хотів перевстановити оперу, але завантажити нову версію браузера не вийшло, я до них на офіційний сайт потрапити не можу, уявляєш. Пишуть - Виявлена загроза і потрібно негайно встановити останнє оновлення безпеки, для цього послати смс. Але ти мені говорив, ніяких СМС в таких випадках не посилати, тому вирішив зателефонувати тобі ».
Офіційний сайт ru.opera.com так само був недоступний
www.youtube.com ось така біліберда
І навіть сторінка microsoft.com/ru була підмінена вірусом на такий твір: Ваша копія Internet Explorer зафіксувала спроби внесення змін до його роботу ...
При спробі увійти в Однокласники, з'являлося ось таке вікно - З вашого IP зареєстрована аномальна активність.
Чому не відкриваються сайти
Тепер друзі найцікавіше, візьмемо до прикладу з усіх наведених вище - сайт www.odnoklassniki.ru, далі я раджу вам ввести в командному рядку команду:
Ping www.odnoklassniki.ru
ping - службова комп'ютерна програма, розроблена для перевірки з'єднань в мережах TCP / IP. Програма ping одна з найпростіших і надійних діагностичних засобів в мережах TCP / IP і входить в поставку всіх сучасних мережевих операційних систем і хочу сказати я їй дуже часто користуюся.
Командою ping можна перевірити доступність сайту www.odnoklassniki.ru вашого комп'ютера в мережі інтернет. Простими словами, програма ping відправляє на сайт однокласники запит і тут же фіксує що надходить відповідь, порівняти дану програму можна з луною.
Відомий такий факт друзі, що під час Другої світової війни слово «ping» позначало спрямований акустичний сигнал протичовнових гідролокатором.
І що ми бачимо - Перевищено інтервал очікування для запиту (100% втрат). Тобто справжній сайт www.odnoklassniki.ru нам виявляється НЕ доступний.
Найбільш уважні Новомосковсктелі можуть помітити цікаву дивина, сайт однокласники нам виявляється не доступний, але ми ж туди потрапляємо і перед нами виникає попередження - З вашого IP зареєстрована аномальна активність. Так хто ж все-таки просить послати нас грошики через смс, чесно кажучи на однокласників це зовсім не схоже і ми продовжуємо наше розслідування далі.
Все це говорить нам про те, що сайт однокласники нам все-таки доступний, але в системі запущений шкідливий процес, який забороняє нам перехід на доменне ім'я однокласників - www.odnoklassniki.ru і перенаправляє нас замість однокласників на інший фішингових (підмінний) сайт, із зовнішнім оформленням однокласників і попередженням - з вашого IP зареєстрована аномальна активність і так далі.
Ще інформація для вас, такі фішингові сайти як правило довго не існують і рано чи пізно їх закривають, але так як вірус ще довгий час знаходиться в мережі, ви замість однокласників можете отримати пусте біле вікно або «Веб-сторінка недоступна», або «Сервер НЕ знайдений".
І ще вам на замітку, якщо у вас проблеми з доступом на певні сайти, обов'язково перевірте розділ реєстру, де знаходяться таблиці маршрутизації
[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters \ PersistentRoutes \] в ній взагалі нічого не повинно бути.
Як відбувається перенаправлення на фішингових сайтів
Через деякий час, вам потрібно буде перевірити файл hosts заново, якщо шкідливі записи будуть внесені знову, значить у вас на комп'ютері
працює вірус. Як його знайти написано далі в статті.
Як знайти і виправити файл hosts
Файл hosts може бути прихований, щоб побачити запропонований його, потрібно включити в Windows відображення прихованих папок і файлів, зробіть це обов'язково.
Комп'ютер> Упорядочіть-> Параметри папок і поіска-> Вид. знімаємо галочку з пункту Приховувати захищені системні файли. знімаємо галочку з пункту Приховувати розширення для зареєстрованих типів файлів. потім відзначаємо пункт Показувати приховані файли і папки і диски. Застосувати і ОК.
Тепер приховані файли і папки будуть відображені, в тому числі і файл hosts.
Кілька разів мені траплялося два файли hosts в папці etc, все як годиться, без розширення, причому абсолютно однакових, згоден, що це неможливо, але відповідь виявилася простим, вірус підміняв в цьому файлі hоsts букву «o» на букву «o» в кирилиці і він ставав непрацездатним, в подальшому вірус створював свій шкідливий файл hosts, який і використовувався системою, в результаті їх виходило як би два. Про те що робити в такому випадку, написано докладно трохи нижче.
Якщо після всіх вищенаведених дій ви так само не виявите файлу hosts, значить змінений відповідний ключ в реєстрі, який відповідає за розташування файлу hosts в операційній системі, йдемо до реєстру і дивимося ключ:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ Tcpip \ Parameters \ DataBasePath,
повинен мати таке значення, як ви бачите на скрішноте,% SystemRoot% \ System32 \ drivers \ etc \. тобто З: \ windows \ system32 \ drivers \ etc \. якщо ключ змінений і в ньому вказана інша папка, що не etc, значить системою буде використовуватися файл hosts знаходиться в цій іншій папці. Повертаємо потрібні параметри.
Хочу сказати вам друзі, буває це дуже рідко і без серйозної необхідності редагувати реєстр не потрібно, але якщо ви зберетеся це зробити, то обов'язково створіть резервну копію реєстру або операційної системи.
# Localhost name resolution is handle within DNS itself.
# 127.0.0.1 localhost
#. 1 localhost
Не можу відредагувати файл hosts
Друзі, якщо у вас не виходить відредагувати файл hosts, значить вам потрібно звернути увагу на наступне ...
Програму notepad (блокнот) запустити від імені адміністратора.
Так само зняти з файлу hosts атрибут - Тільки для читання
Ваша антивірусна програма, цілком може забороняти вам редагувати файл hosts навіть автоматично, вимкніть її на час або завантажитеся в безпечному режимі.
Важливе зауваження: Врешті-решт, можна просто замінити папку "etc" на комп'ютері, з якого немає доступу на деякі сайти. Нормальну папку "etc" ви можете взяти у друзів, якщо у них встановлена така ж версія операційної системи як і у вас і немає проблем з доступом на сайти. Скопіюйте у них на флешку папку "etc" і замініть їй свою.
Папка etc важить 36 кілобайт, ваші друзі запросто зможуть вам послати її по скайпу.
Як знайти вірус
Після приведення в норму файлу hosts, нам потрібно буде знайти шкідливу програму на своєму комп'ютері. Що б прискорити процес нейтралізації вірусу, ви можете скачати дуже корисну і не один раз виручав мене безкоштовну утиліту Dr.Web CureIt.
Як я помітив на початку статті, видаляти ми будемо реальний вірус, що знаходиться на комп'ютері мого друга і не дає йому заходити на добрий десяток сайтів.
При установці програми НЕ вибирайте повну установку, а виберіть Налаштування параметрів і зніміть галочки з усього, що вам не знадобиться, залиште тільки на пункті Запустити AnVir Task Manager (рекомендується)
і Додати іконку на робочий стіл. Дуже може стати в нагоді іконка завантаження процесора. І звичайно поставте галочку на Стартувати AnVir Task Manager при завантаженні Windows.
Запускаємо програму AnVir Task Manager і вивчаємо автозагрузку
Відкривши програму AnVir Task Manager, не чекайте того, що в її вікні ви побачите додаток або процес з назвою «Я вірус». Тут нам потрібно включити нашу голову. В першу чергу потрібно звернути увагу на те, що програма AnVir Task Manager надає досить вичерпну інформацію по всіх файлів і процесів, присутній навіть такий пункт як - Рівень ризику. програма як би підказує нам, на які файли потрібно звернути увагу.
В першу чергу дивимося на зовсім незнайомі нам файли і процеси, що знаходяться в автозавантаженні, наприклад з дивними назвами.
- Але іноді друзі, вірус буде маскуватися під цілком корисну і потрібну програму. як в нашому випадку. Для кращого засвоєння матеріалу, давайте знайдемо вірус разом на комп'ютері мого друга.
Дивимося автозагрузку і бачимо - найпершим в автозавантаженні знаходиться додаток adobe_flash_player.exe. тобто іншими словами, якщо міркувати логічно, то даний файл претендує на приналежність компанії-розробнику Adobe Systems. відомому виробнику таких продуктів як: Adobe Acrobat. Adobe Photoshop. Adobe Flash Player і так далі. Клацаємо на ній правою кнопкою миші і ставимо галочку на Детальна інформація та тут же відкривається детальна інформація про наше файлі. За попереднім прогнозом AnVir Task Manager, наш файл є небезпечним.
У нашому випадку потрібно думати, що файл adobe_flash_player.exe належить продукту Adobe Flash Player і повинен знаходитися в належить програмі Adobe Flash Player папці
C: \ Windows \ System32 \ Macromed \ Flash для операційної системи Windows 7-32bit.
або
C: \ Windows \ SysWOW64 \ Macromed \ Flash \ для операційної системи Windows 7-64bit.
Але знаходиться наш дивний файл adobe_flash_player.exe, як не дивно зовсім в іншій папці. Клацаємо правою мишею на назві файлу і вибираємо в меню - Перейти -> Показати файл в провіднику. називається папка Автозавантаження.
Звичайно даний факт повинен викликати у вас підозру.
Крім того, якщо у вікні програми AnVir Task Manager вибрати пункт Всі записи. то ми побачимо файл справжнього планувальника програми Adobe Flash Player і називається він Adobe Flash Player Updater і має як і належить свій виконуваний файл. Тиснемо Перейти -> Показати файл в провіднику
- FlashPlayerUpdateService.exe. який знаходиться в папці
C: \ Windows \ System32 \ Macromed \ Flash - для 32-бітових операційних систем
або
C: \ Windows \ SysWOW64 \ Macromed \ Flash \ - для 64 - бітових операційних систем
Тобто без розмови файл adobe_flash_player.exe. є вірусом і його потрібно видалити.
За допомогою програми AnVir Task Manager можна перевірити будь-який файл на віруси. Вибираємо службу, клацаємо на ній правою мишею на нашому файлі adobe_flash_player.exe і натискаємо в меню пункт - Перевірити на сайті www.virustotal.com
Відповідь більш ніж красномовний, звичайно це вірус.
Що цікаво, вірусний файл нам вдалося видалити тільки в безпечному режимі.
Після видалення вірусу, наш комп'ютер немов ожив, припинилися помітні пригальмовування, які були до цього, але на жаль увійти на потрібні сайти нам так і не вдалося. Шукаємо проблему далі.
Дивимося автозагрузку далі, нічого незвичайного немає, інші програми зустрічаються постійно і тим більше вони вимкнені з автозавантаження: WinAMP agent. Praetorian - Захисник Яндекс, Skype. Download Master.
Втім в автозавантаженні присутній ще три процесу, що належать пристрою Panasonic, швидше за все це принтер.
Panasonic Device Manager і Panasonic Device Monitor. а так же Panasonic MFS PC FAX.
і переходимо у вікно програми AnVir Task Manager під назвою Процеси. В даному вікні ми бачимо два процеси належать принтеру Panasonic.
Є такий дуже хороший сайт filecheck.ru. з інформацією по файлах Windows, на цьому сайті можна дізнатися вичерпну інформацію практично про будь-якому файлі, тобто до якої програмі належить, в якій папці повинен знаходитися, який займати розмір і так далі.
Так ось, інформація з даного файлу була така
Trapmnnt.exe знаходиться в підпапках "C: \ Program Files". Розмір файлу для Windows 7 / Vista / XP становить 69,632 байт.
У перших не збігався розмір файлу, в моєму випадку він становив 72 856 байт в порівнянні з оригіналом 69,632.
Так само не збігалися контрольні суми (хеш-суми) оригінального файлу Trapmnnt.exe, з моїм файлом.
Коротше не попадав мій файл Trapmnnt.exe в список нормальних файлів, видаляти я його поки не став і вирішив перевірити заради інтересу весь системний диск (C :) антивірусної утилітою зі свіжими антивірусними базами - Dr.Web CureIt. Буквально через дві-три хвилини, павучок Dr.Web CureIt знайшов наш інфіковані файл Trapmnnt.exe і видалив його. Більш на комп'ютері вірусів знайдено не було.
Так як наш файл Trapmnnt.exe з вірусом був видалений, я вирішив повністю видалити програмне забезпечення і драйвера принтера Panasonic через утиліту Видалити або змінити програму. після чого повністю видалив папку
Panasonic з C: \ Program Files \ і потім заново встановив драйвера на наш принтер Panasonic, після установки з'явилася нова папка:
C: \ Program Files \ Panasonic і наш принтер Panasonic став друкувати нормально.
Багато хто може сказати - Ну ось, навіщо ж були всі ці танці з бубном, коли з самого початку можна було застосувати антивірусну утиліту Dr.Web CureIt і вона вирішила б усі проблеми. Згоден з Вами частково, так як іноді буває, що і Dr.Web CureIt відмовляється допомогти.
Де ще можуть бути віруси на комп'ютері при подібних проблемах
Якщо ви відчуваєте проблеми з доступом на певні сайти, то обов'язково увійдіть в Підключення по локальній мережі - Властивості
Пуск - Панель управління - Мережа та інтернет - Центр управління мережами і загальним доступом - Зміни параметрів адаптера. далі заходимо в Властивості Підключення по локальній мережі
Протокол інтернету версії 4 (TCP / IPv4) і Властивості
Але буває вірус прописує тут свій DNS-сервер і виглядає це наприклад так,
Останній раз в моїй практиці був випадок, коли вірус змінив у мого знайомого
DNS-сервер і він кілька днів, не міг увійти на сайти В Контакте і Однокласники
Як скористатися інтернет-сервісом, що надає загальнодоступні DNS-сервери або що таке OpenDNS
Як очистити вміст кешу зіставлення імен DNS клієнта і навіщо це робити?
Служба клієнта DNS має свій окремий кеш, в якому можуть накопичуватися непотрібні записи, час від часу його потрібно очищати. Це також повинно допомогти при певних труднощах з доступом на деякі сайти.
Для очищення кешу DNS, потрібно запустити командний рядок від імені адміністратора і ввести ipconfig / flushdns. Все, кеш DNS успішно очищений.
Якщо все вищесказане Вам не допоможе і вірус вам знайти не вдалося, то для вас є ще інформація
У програмі AnVir Task Manager є параметр Усі записи, якщо відкрити його, то відкриється ще дуже багато цікавого, наприклад звернемо увагу на ось цей запис - Mario Forever Toolbar.
Я вважаю подібні Toolbarи абсолютно не потрібними, тим більше в автозавантаженні.
В першу чергу вимкніть Mario Forever Toolbar в надбудовах Internet Explorer.
Ще можна сказати, що потрібно обов'язково перевірити папки тимчасових файлів. У Windows 7 папку
C: \ USERS \ ім'я користувача \ AppData \ Local \ Temp. там дуже часто знаходяться вірусні файли, наприклад зверніть увагу на скрішнот, зроблений на ще одному зараженому комп'ютері, в цій папці знаходиться файл TUlug.exe і він прописаний в автозавантаженні. Перевірку на www.virustotal.com не пройшов і без сумніву його потрібно видалити.
Так само потрібно видалити створені одночасно з fxqxtph.dll файли з розширенням .tmp з каталогів
C: \ windows \ system32 і C: \ windows \ SYSWOW64 (на 64 бітних системах).
Для користувачів x64 розрядних систем:
Вірус буде знаходитися в папці C: \ windows \ SYSWOW64 \ fxqxtph.dll "
Хочу вас застерегти, перш ніж все-таки видаляти будь-які значення з параметра AppInit_DLLs. пошукайте в пошукових системах інформацію, може ці значення внесли потрібні вам програми.
Вірус змінив властивості ярлика браузера
Зверніть увагу на ярлик Вашого браузера, так як часто вірус дописує в нього свою інформацію, яка скидає домашню сторінку браузера, в результаті браузер при запуску відкриває шкідливий сайт.
Щоб перевірити це, потрібно клацнути на ярлику браузера правою мишею і вибрати «Властивості».
"C: \ Program Files (x86) \ Opera \ launcher.exe"
"C: \ Program Files (x86) \ Opera"
Після зараження вірусом буде приблизно так