Nu deschideți site-uri
O scrisoare de la cititor. De la început nu am vrut să vă scriu, m-am gândit că mă voi ocupa singură de problema mea. Nu mă consider o persoană neexperimentată, dimpotrivă, m-am obișnuit întotdeauna să rezolv toate problemele în mod independent și, uneori, să ajut pe alții. Toți prietenii mei știu despre acest lucru și de multe ori ei mă roagă să ajut în rezolvarea acestei sau acelei probleme legate de computer, dar recent nu pot rezolva o singură sarcină. Prietenii mei au o problemă - nu deschideți site-ul. iar ultimul caz de foarte interesant, atunci când încercați să deschideți orice resurse de browser, cum ar fi Odnoklassniki, VKontakte, www.youtube.com, ru.opera.com, mail.ru și chiar microsoft.com/ru, vine o pagină cu design-ul exterior arata ca pe site-urile de mai sus, dar cu următorul mesaj:
Pe Internet, această problemă a fost discutată pentru o lungă perioadă de timp, dar răspunsul la această întrebare este în general standard pentru astfel de situații: Corectați fișierul hosts. verificați-vă calculatorul pentru programe malware. Am verificat computerul pentru viruși cu discuri antivirus de la doi producători, din păcate nu a adus nici un efect, dar cu fișierul gazdă este o situație destul de interesantă. În dosarul în care ar trebui să fie localizat
C: \ Windows \ system32 \ drivers \ etc \ nu este acolo, cum poate fi nu înțeleg, afișează fișierele și folderele ascunse în sistemul este pornit, doar bifate Ascundere fișiere protejate ale sistemului de operare. Am creat din nou fișierul hosts, dar site-urile nu se deschid. Apropo, odată ce am două fișiere gazdă, imaginați-vă, apoi am reinstalat sistemul de operare.
Ei bine, acum am o întrebare pentru tine, ce să fac atunci când nu există site-uri deschise și unde să caute un virus, ce ar trebui să fac dacă fișierul gazdă sau două dintre ele au dispărut? Dacă poți scrie totul pas cu pas, mulți vor fi recunoscători pentru tine, sunt sigur. Andrew.
Recent, un prieten ma sunat și mi-a spus: - "Ascultă bătrânul, crezi de ce nu deschid site-uri. Colegii de clasă, VKontakte, mail.ru și așa mai departe, am vrut să reinstalez opera, dar nu am putut descărca noua versiune a browserului, nu pot ajunge la site-ul oficial, îți poți imagina. Scriere - Se detectează o amenințare și trebuie să instalați imediat cea mai recentă actualizare de securitate, pentru trimiterea mesajelor SMS. Dar mi-ai spus să nu trimiți nici un SMS în astfel de cazuri, așa că am decis să te sun.
Site-ul oficial ru.opera.com a fost, de asemenea, indisponibil
www.youtube.com Aici este o bileiberda
Și chiar pagina microsoft.com/ru a fost înlocuită de un virus pentru un astfel de produs: copia dvs. de Internet Explorer a înregistrat încercări de a face modificări în activitatea sa ...
Când încercați să introduceți colegii, vedeți o fereastră ca aceasta: - IP-ul dvs. a înregistrat activitate anormală.
De ce nu deschideți site-uri
Acum, prietenii sunt cei mai interesanți, să luăm de exemplu toate cele de mai sus - site-ul www.odnoklassniki.ru, atunci vă sfătuiesc să introduceți comanda la linia de comandă:
Ping www.odnoklassniki.ru
ping este un program de calculator de service conceput pentru a testa conexiunile în rețelele TCP / IP. Programul ping este unul dintre cele mai simple și mai fiabile instrumente de diagnosticare din rețelele TCP / IP și este inclus în livrarea tuturor sistemelor moderne de operare de rețea și vreau să spun că o folosesc foarte des.
Puteți verifica disponibilitatea site-ului www.odnoklassniki.ru pe calculatorul dvs. pe Internet cu comanda ping. Cuvintele simple, programul ping trimite o cerere site-ului colegilor și remediază imediat răspunsul primit, puteți compara programul cu un ecou.
Un fapt binecunoscut este că în timpul celui de-al doilea război mondial cuvântul "ping" denota semnalul acustic direcționat al sonarului anti-sonar.
Și ceea ce vedem este: Intervalul de așteptare pentru solicitare a fost depășit (pierdere 100%). Acesta este site-ul real www.odnoklassniki.ru se dovedește a fi NU disponibile.
Cititorii cei mai atenți pot observa o ciudățenie interesantă, site-ul nu este accesibil colegilor noștri, dar ajungem acolo și un avertisment apare în fața noastră - IP-ul dvs. are o activitate anormală înregistrată. Deci, cine ne cere să ne trimitem banii prin SMS, să fim cinstiți cu colegii de clasă, nu este deloc și vom continua investigația noastră în continuare.
Toate acestea ne spune că colegii site-ul încă disponibile, dar sistemul se execută un proces rău intenționat, care ne interzice să meargă la un nume de domeniu colegii de clasă - www.odnoklassniki.ru și să ne redirecționeze în loc de ceilalți colegi la phishing (un înlocuitor) site-ul, cu designul extern al colegilor de clasă și un avertisment - IP-ul dvs. are o activitate anormală și așa mai departe.
Mai multe informații pentru tine, aceste site-uri de phishing sunt, de obicei lungi acolo și, mai devreme sau mai târziu, acestea sunt închise, ci ca virusul pentru o lungă perioadă de timp este pe rețea, în schimb colegii de clasă se poate obține un ecran alb gol sau o „pagină Web nu este disponibil“ sau „Server nu a fost găsit. "
Și mai mult pentru tine pe o notă, dacă aveți probleme cu accesul la anumite site-uri, asigurați-vă că verificați cheia de registry unde se află tabelele de rutare
[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters \ PersistentRoutes \] nu ar trebui să fie deloc.
Cum să redirecționați către un site de phishing
După un timp, va trebui să verificați încă o dată fișierul gazdă, dacă din nou se introduc intrări rău intenționate, atunci aveți pe computer
virusul funcționează. Cum se găsește este scris mai departe în articol.
Cum se găsește și se rezolvă fișierul gazdă
Fișierul gazde poate fi ascuns, pentru a vedea acest lucru, trebuie să activați afișarea folderelor și fișierelor ascunse în Windows, asigurați-vă că este necesar.
Computer-> Arrange-> Folder și Opțiuni căutare-> Vizualizare. debifați fila Ascunde fișierele de sistem protejate ascunse. debifați opțiunea Ascundere extensii pentru tipurile de fișiere înregistrate. apoi marcați articolul Afișați fișierele și folderele și discurile ascunse. Aplicați și OK.
Vor fi afișate fișierele și folderele ascunse, inclusiv fișierul hosts.
De mai multe ori am dat peste două gazde fișier în folderul etc, toate cum era de așteptat, fără o extensie, cu exact la fel, sunt de acord că este imposibil, dar răspunsul a fost simplu, un virus înlocuit în acest fișier găzduiește litera «o» litera «a» chirilice și a devenit inutilizabil, în viitor, un virus creat un fișier gazde fișier malware, care este utilizat de către sistem și, în cele din urmă au dovedit ca doi. Despre ce să facem în acest caz, este scris în detaliu mai jos.
Dacă după toate acțiunile de mai sus nu găsiți și fișierul hosts, atunci se modifică cheia corespunzătoare din registru, care este responsabilă pentru locația fișierului gazdă în sistemul de operare, mergeți la registru și căutați cheia:
HKEY_LOCAL_MACHINE \ SISTEM \ CurrentControlSet \ services \ Tcpip \ Parameters \ DataBasePath,
ar trebui să aibă o astfel de valoare, după cum vedeți într-un script,% SystemRoot% \ System32 \ drivers \ etc \. adică, C: \ windows \ system32 \ drivers \ etc \. dacă cheia este schimbată și există un alt dosar în ea, nu etc, atunci sistemul va folosi fișierul hosts situat în acest alt folder. Reveniți la parametrii necesari.
Vreau să vă spun prieteni, este foarte rar și fără o nevoie gravă de a edita registrul nu este necesar, dar dacă aveți de gând să o faceți, atunci asigurați-vă că pentru a crea o copie de rezervă a registry sau a sistemului de operare.
# resolution localhost name.
# 127.0.0.1 localhost
#. 1 localhost
Nu se poate edita fișierul hosts
Prieteni, dacă nu puteți edita fișierul hosts, atunci trebuie să acordați atenție următoarelor ...
Notele de program (notepad) sunt difuzate în numele administratorului.
De asemenea, eliminați atributul din fișierul gazdă - numai pentru citire
Programul antivirus vă poate împiedica să editați fișierul hosts chiar automat, să îl dezactivați pentru o perioadă sau să îl încărcați în modul sigur.
Notă importantă: La urma urmei, puteți înlocui pur și simplu folderul "etc" pe un computer de la care nu aveți acces la unele site-uri. Un director normal "etc" poți să iei de la prieteni dacă au aceleași versiuni ale sistemului de operare pe care le ai și nu există probleme cu accesul la site-uri. Copiați folderul "etc" pe ele pe unitatea flash USB și înlocuiți-l cu propriul dvs.
Dosarul, etc, cântărește 36 kilobytes, prietenii dvs. vă pot trimite cu ușurință prin Skype.
Cum să găsiți virusul
După ajustarea fișierului hosts, va trebui să găsim un program rău intenționat pe computerul nostru. Pentru a accelera procesul de neutralizare a virusului, puteți descărca utilul util Dr.Web CureIt, care mi-a fost descărcat de mai multe ori.
După cum am observat la începutul articolului, vom șterge virusul real care se află pe computerul prietenului meu și nu îi permite să intre pe o duzină de site-uri.
Când instalați programul, NU selectați instalarea completă și selectați Setări de setări și debifați tot ce nu aveți nevoie, lăsați numai pe Start AnVir Task Manager (recomandat)
și adăugați o pictogramă pe desktop. Este utilă o pictogramă a procesorului. Și, desigur, bifați Start AnVir Task Manager atunci când porniți Windows.
Lansăm programul AnVir Task Manager și studiază autorun
După ce ați deschis programul AnVir Task Manager, nu vă așteptați ca în fereastra sa să vedeți o aplicație sau un proces numit "Sunt un virus". Aici trebuie să ne întoarcem capul. Mai întâi de toate, ar trebui să fiți atenți la faptul că programul AnVir Task Manager oferă informații destul de cuprinzătoare despre toate fișierele și procesele, există chiar un astfel de element ca - Nivel de risc. programul ca și când ne spune ce fișiere să căutăm.
În primul rând, ne uităm la fișiere și procese complet nefamiliare care se află în autoloading, de exemplu cu nume ciudate.
- Dar, uneori, prietenii, virusul se va masca ca un program complet util și necesar. ca în cazul nostru. Pentru o mai bună stăpânire a materialului, hai să găsim virusul împreună pe computerul prietenului meu.
Urmărim autostart și vedem că prima aplicație în autoload este adobe_flash_player.exe. cu alte cuvinte, dacă gândiți logic, atunci acest fișier pretinde că aparține dezvoltatorului de companii Adobe Systems. cunoscut producător de produse precum: Adobe Acrobat. Adobe Photoshop. Adobe Flash Player și așa mai departe. Faceți clic pe acesta cu butonul din dreapta al mouse-ului și bifați informațiile detaliate și deschideți imediat informații detaliate despre fișierul nostru. Conform previziunilor preliminare ale AnVir Task Manager, dosarul nostru este periculos.
În cazul nostru, ar trebui să credeți că fișierul adobe_flash_player.exe aparține produsului Adobe Flash Player și ar trebui să fie localizat în folderul propriu Adobe Flash Player
C: \ Windows \ System32 \ Macromed \ Flash pentru sistemul de operare Windows 7-32bit.
sau
C: \ Windows \ SysWOW64 \ Macromed \ Flash \ pentru sistemul de operare Windows 7-64bit.
Dar este fișierul nostru ciudat adobe_flash_player.exe, destul de ciudat într-un alt dosar. Faceți clic dreapta pe numele fișierului și selectați din meniu - Go -> Afișare fișier în explorator. numit dosarul Startup.
Desigur, acest fapt ar trebui să trezească suspiciunea.
În plus, dacă selectați Toate înregistrările din AnVir Task Manager. atunci vom vedea fișierul planificatorului real al programului Adobe Flash Player și se numește Adobe Flash Player Updater și are propriul fișier executabil. Faceți clic pe Go -> Afișați fișierul în Explorer
- FlashPlayerUpdateService.exe. care se află în dosar
C: \ Windows \ System32 \ Macromed \ Flash - pentru sisteme de operare pe 32 de biți
sau
C: \ Windows \ SysWOW64 \ Macromed \ Flash \ - pentru sistemele de operare pe 64 de biți
Asta este, fără a vorbi cu adobe_flash_player.exe. este un virus și trebuie șters.
Utilizând programul AnVir Task Manager, puteți scana orice fișier pentru viruși. Am selectat serviciul, faceți clic dreapta pe el în fișierul nostru adobe_flash_player.exe și faceți clic pe elementul din meniu Verificați pe site-ul www.virustotal.com
Răspunsul este mai mult decât elocvent, desigur că este un virus.
Interesant, am reușit să eliminăm fișierul de virus numai în modul sigur.
După ce virusul a fost eliminat, computerul nostru părea să vină la viață, încetinirile observabile care au fost înainte, s-au oprit, dar, din nefericire, nu am reușit să intrăm pe site-urile necesare. Căutăm problema în continuare.
Ne uităm la autoloading mai târziu, nu este nimic neobișnuit, restul programelor sunt întâlnite în mod constant și cu cât sunt mai mult oprite de la pornire: agent WinAMP. Praetorian - Defender Yandex, Skype. Descărcați Maestrul.
Cu toate acestea, în autoload există alte trei procese aparținând aparatului Panasonic, cel mai probabil este o imprimantă.
Panasonic Device Manager și Panasonic Device Monitor. precum și Panasonic MFS PC FAX.
și du-te la fereastra programului AnVir Task Manager numit Procese. În această fereastră, vedem două procese aparținând imprimantei Panasonic.
Există un site foarte bun, filecheck.ru. cu informațiile de fișier pentru Windows, de pe acest site puteți găsi informații detaliate despre aproape orice fișier, și anume care aparine care dosarul ar trebui să fie cum să dețină dimensiunea și așa mai departe.
Deci, informațiile din acest dosar au fost de așa natură
Trapmnnt.exe este situat într-un subfolder al "C: \ Program Files". Dimensiunea fișierului pentru Windows 7 / Vista / XP este de 69.632 octeți.
În primul rând, mărimea fișierului nu se potrivea, în cazul meu era 72856 octeți comparativ cu versiunea originală 69.632.
De asemenea, sumele de control (sumele-hash) ale fișierului original Trapmnnt.exe nu au coincis cu fișierul meu.
Pe scurt, nu a primit fișierul meu Trapmnnt.exe în lista fișierelor normale, ștergeți-l în timp ce nu am făcut-o și a decis să verifice pentru interesul sistemului întregul disc (C :) antivirus de utilitate, cu baze de date antivirus proaspete - Dr.Web CureIt. În doar două sau trei minute, spiderul Dr.Web CureIt a găsit fișierul nostru Trapmnnt.exe infectat și a șters-o. Nu mai erau detectați viruși pe computer.
Din moment ce fișierul nostru Trapmnnt.exe cu virusul a fost eliminat, am decis să dezinstalez complet software-ul și driverele de imprimantă Panasonic prin ștergerea sau modificarea utilitarului de program. apoi a șters complet dosarul
Panasonic de la C: \ Program Files \ și apoi reinstalați driverele la imprimanta Panasonic, după instalare a apărut un nou folder:
C: \ Program Files \ Panasonic și imprimanta noastră Panasonic au început să imprime în mod normal.
Mulți pot spune - Ei bine, de ce toate aceste dansuri au o tamburină, când de la bun început a fost posibil să se aplice programul anti-virus Dr.Web CureIt și ar rezolva toate problemele. Sunt de acord cu dvs. în parte, deoarece uneori se întâmplă ca Dr.Web CureIt să refuze să ajute.
Unde altundeva pot exista virusi pe computer cu astfel de probleme
Dacă aveți probleme la accesarea anumitor site-uri, asigurați-vă că vă conectați la conexiunea Local Area - Properties
Start - Panou de control - Rețea și Internet - Centru de rețea și partajare - Modificări la setările adaptorului. apoi accesați Proprietăți conexiune locală
Protocol de Internet Versiunea 4 (TCP / IPv4) și Proprietăți
Dar, uneori, un virus presteaza serverul preferat de DNS aici si se pare ca acesta, de exemplu,
Ultima dată în practică a fost cazul când virusul sa schimbat de la prietenul meu
Serverul DNS preferat și pentru câteva zile nu a putut intra în site-urile VKontakte și Odnoklassniki
Cum se utilizează un serviciu Internet care oferă servere DNS publice sau OpenDNS
Cum pot elimina conținutul cache-ului pentru rezoluția numelui DNS al clientului și de ce?
Serviciul client DNS are propriul cache, în care se pot acumula înregistrări inutile, din când în când trebuie să fie șterse. Acest lucru ar trebui să contribuie, de asemenea, la anumite dificultăți legate de accesul la anumite site-uri.
Pentru a șterge cache-ul DNS, trebuie să executați un prompt de comandă în numele administratorului și să introduceți ipconfig / flushdns. Toate, cache-ul DNS a fost șters cu succes.
Dacă toate cele de mai sus nu vă ajută și nu ați putea găsi virusul, atunci pentru dvs. există mai multe informații
În programul AnVir Task Manager există un parametru Toate înregistrările, dacă îl deschideți, atunci o mulțime de lucruri interesante se vor deschide, de exemplu, să acorde o atenție la această înregistrare - Mario Forever Toolbar.
Cred că aceste bare de instrumente sunt absolut inutile, mai ales la pornire.
Mai întâi, dezactivați Bara de instrumente Mario Forever din add-on-urile Internet Explorer.
De asemenea, puteți spune că trebuie să verificați dosarul de fișiere temporare. În Windows 7, dosarul
C: \ USERS \ numele de utilizator \ AppData \ Local \ Temp. există foarte des fișiere de virus, de exemplu, să acorde atenție la scânteie făcut pe un alt calculator infectat, acest dosar conține fișierul TUlug.exe și este înregistrată la pornire. Verificarea pe site-ul www.virustotal.com nu a avut loc și, fără îndoială, trebuie eliminată.
De asemenea, este necesar să ștergeți fișierele create simultan cu fișierul fxqxtph.dll cu extensia .tmp din directoarele
C: \ windows \ system32 și C: \ windows \ SYSWOW64 (pe sisteme de 64 biți).
Pentru utilizatorii de sisteme x64:
Virusul va fi localizat în folderul C: \ windows \ SYSWOW64 \ fxqxtph.dll "
Vreau să vă avertizez înainte de a șterge orice valoare din parametrul AppInit_DLLs. Căutați în motoarele de căutare informații, aceste valori pot fi făcute de programele de care aveți nevoie.
Virusul a schimbat proprietățile comenzii rapide a browserului
Acordați atenție scurtăturii browserului dvs., ori de câte ori virusul îi atașează informațiile, ceea ce resetează pagina de pornire a browserului, ca urmare a faptului că browserul deschide un site rău intenționat la pornire.
Pentru a verifica acest lucru, trebuie să faceți clic dreapta pe scurtătura browserului și să selectați "Properties".
"C: \ Program Files (x86) \ Opera \ launcher.exe"
"C: \ Program Files (x86) \ Opera"
După infecție, virusul va fi aproximativ ca acesta
Articole similare
Trimiteți-le prietenilor: