Удаление вируса Редактируем файл HOSTS


Удаление вируса Редактируем файл HOSTS

После вирусных атак или как результатов действия вирусов часто страдает системный файл HOSTS (без расширения).
С помощью файла hosts можно легко подменить адреса посещаемых пользователем веб-ресурсов. Этот файл дает команду браузерам перенаправлять хозяина компьютера на желаемый злоумышленником ресурс или запрещать посещение какого-либо сайта. Например, он может блокировать обновления баз для антивируса, что непременно будет использовано для внедрения в вашу систему новоиспеченного варианта вируса. Одновременно, при открытии часто используемых ресурсов типа mail.ru или поисковых систем Яндекс, Google, Вы можете перенаправляться на вредоносный или рекламируемый сайт.
Умея запрещать и направлять файл hosts не зря пользуется любовью хакеров.

Для того чтобы противостоять подобным действиям давайте ближе познакомимся с этим файлом.
Файл hosts можно найти по следующим адресам:
Для всех Windows 7, 8, Vista, XP, NT, 2000 файл лежит по одному адресу: C:\Windows\System32\drivers\etc\hosts
Для Windows 95\98\ME находится в папке C:\WINDOWS\hosts
- Используется для сопоставления IP адреса и имени хоста посещаемого сервера, узла, домена.
- По умолчанию в файле hosts значится всего один IP-адрес 127.0.0.1, который всегда и на всех компьютерах ведет на локальный хост(localhost), т.е. на ваш же компьютер. Этот IP-127.0.0.1 зарезервирован для внутреннего адреса компьютера по всему миру.
- Файл hosts не имеет расширения и редактируется в обычном текстовом редакторе.

Взаимодействие hosts-файла с работой браузера.
- Прежде чем браузер откроет указанный ему адрес, он считывает информацию из файла hosts;
- Если адрес соответствует localhost, то открываются файлы и папки компьютера;
- Если отличается, то браузер идет по дальнейшему длинному этапу: местный кэш распознания DNS, кэш IP-адреса, стороннего хост сервера и т.д. до перевода URL адреса в IP запрашиваемого ресурса и открытия окна сайта.
- Если в hosts указан адрес сайта и через пробел его реальный IP адрес, то открытие этого сайта произойдет быстрее;
- Если после адреса сайта стоит адрес 127.0.0.1, то запрос не выйдет за пределы компьютера, т.е. доступ к этому сайту будет закрыт.

Из этого можно сделать полезные выводы:
Если вы хотите ускорить подключение какого-либо сайта и сэкономить при этом трафик, то укажите в hosts файле его адрес и IP.
Например, если после записи по умолчанию вы включите строки:
94.100.191.206 mail.ru
74.125.232.20 google.com
то знакомые вам адреса будут открываться без обращению к кешу и серверу DNS. Попробуйте ввести указанные цифры в адресное окно браузера и убедитесь, что эти цифры соответствуют адресу сайта. Серверам DNS нет необходимости переводить цифры в буквы (название сайта). Узнать IP адрес любого сайта можно набрав запрос в поисковике: "Узнать IP"

Таким же образом можно запретить доступ к этим сайтам, если пропишите:
127.0.0.1 mail.ru
127.0.0.1 google.com

Это часто используют пользователи установившие на своем компьютере взломанные программы. Этот способ не дает возможность выходить установленным программам на свой ресурс для обновления и распознания взлома: фиктивного пароля или замены файла.
Ну и как понятно, что этим же способом пользуются хакеры, чтобы не дать установленному на компьютере антивирусу выполнять обновления.

Вредное программное обеспечение может маскироваться в hosts-файле:
- перед исправлениями или после них могут стоять допустим тысяча пробелов и переносов строки. Переносы вычисляются размером ползунка справа, пробелы размером ползунка внизу текстового редактора;
- при сохранении файла вирус присвоит ему атрибут, как скрытому файлу, не видимому в настройках просмотра файлов по умолчанию;

Лечим последствия вирусной атаки на файл hosts.
Этот файл имеет атрибут скрытый, поэтому для начала установите галочку "Показывать скрытые файлы и папки" в свойствах папки:
Windows 7: Панель управления / Оформление и персонализация / Параметры папок
Удаление вируса Редактируем файл HOSTS


Windows XP: Пуск / Настройка / Панель управления / Свойства папки или Сервис / Свойства папки / вид
Windows Vista: Пуск / Панель управления / Оформление и личная настройка / Свойства папки

Для Windows 7, 8 возможно потребуются права администратора.

1. Перейдите по адресу размещения файла hosts: C:\Windows\System32\drivers\etc\hosts
2. При открытии hosts, из-за отсутствия расширения этого файла, система предложит с помощью чего открыть:
Удаление вируса Редактируем файл HOSTS


3. Выберите любой установленный текстовый редактор (можно блокнот).
4. Просмотрите параметры, удалите те, которые считаете нужными (теперь вы специалист - см. выше), но оставьте 127.0.0.1 localhost.
Посмотрите на ползунки окна редактора (при их наличии), если они маленькие, то возможно где-то в глубине файла спрятана информация хакера.
5. Сохраните файл после редактирования.

Правила формирования hosts файла
1. Каждая командная запись должна быть размещена в отдельной строке.
2. Вначале прописывается IP адрес, после него имя сайта (хоста, домена).
3. Между атрибутами строки должен быть как минимум один пробел.
4. Комментарии размещайте в строке после символа #

Ниже приведены чистые записи файлов hosts без комментариев, выводимых в начале и начинающимися со знака #.
Этот знак аннулирует прописанную команду, все что написано после него в данной строке является лишь информацией и примеров для пользователя.

Оригинальные hosts файлы по умолчанию должны содержать следующую информацию:

Системы Windows XP и Server 2003:
127.0.0.1 localhost

Системы Windows Vista и Server 2008:
127.0.0.1 localhost
::1 localhost

Система Windows 7:
# 127.0.0.1 localhost
# ::1 localhost
- знак # означает комментарий, то есть в Windows 7 файл должен быть чистым по умолчанию.


Мы рассмотрели ручную проверку файла HOSTS на наличие вредоносных записей после вирусных атак или действия установленного вируса.
Все антивирусы автоматически проверяют этот файл, но нет ничего лучше собственного опыта.
Вы можете столкнуться с тем, что после перезагрузки компьютера файл hosts опять будет заражен. В этом случае ищите причину в скрытом вирусе, файл hosts является всего лишь следствием работы зараженной системы.


Рекомендую регулярно бесплатно проверять свой компьютер на наличие вирусов при помощи утилиты Dr.Web CureIt!® - не зависимо от того, какой антивирус установлен на вашем устройстве.


Сохраните для себя


Опубликовал AvtiVirus, 4-04-2013, 18:39
Просмотров: 11471
Вы в разделе: Защита компьютера
Вернуться

Дополнительная информация про вирусы и их лечение:


Способы взлома программ Способы взлома программ
Часто мы сталкивается с тем, что скачанная программа имеет ограничения на срок использования или количество запусков, по окончанию которых она...
Блокирование доступа, взлом компьютера. Защита BIOS от физического взлома Блокирование доступа, взлом компьютера. Защита BIOS от физического взлома
В этой статье рассмотрим принципы и возможности взлома компьютера, а также методы защиты доступа. Подходить к проблеме защиты информации необходимо...
Фишинг вирус. Разновитности смишинг, фарминг Фишинг вирус. Разновитности смишинг, фарминг
ФИШИНГ (от английского fishing - ловить рыбу, в нашем случае - поймать, ловить, выловить) - это способ получения мошенниками конфиденциальных данных...
Виды вирусного мошенничества. Способы атаки компьютера Виды вирусного мошенничества. Способы атаки компьютера
Выделим несколько видов криминальной деятельности хакеров: - Рекламный спам бизнес - Рассредоточенные DDoS сетевые атаки и создание компьютеров...
Уважаемый посетитель, в данный момент Вы зашли на этот сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.


Полезные разделы

Вход Регистрация

Популярные публикации

Каким антивирусом Вы пользуетесь

Антивирус Касперского
Антивирус Dr.Web
Norton AntiVirus
Антивирус avast!
Антивирус ESET NOD32
Emsisoft Anti-Malware
Panda Antivirus
McAfee AntiVirus Plus

Программа шпион