Секреты Windows. Вытаскиваем вирусы голыми руками. Секреты hosts и не только

В статье я расскажу о том, как вручную бороться с тем, что по правильным адресам открываются поддельные сайты, рекламой в браузере.

Примечание: В данной статье windows установлена на диск C: рассматривается Windows 7, так же применимо к Windows XP.

Итак, вы столкнулись с проблемой: открываются поддельные сайты/не те сайты/вы предполагаете что сайты на которые вы заходите поддельные.

Первым делом внимательно проверьте правильность адреса, после, все же стоит установить антивирус. Если он у вас установлен, проведите полную проверку, попробуйте скачать Dr.Web CureIt и проверить компьютер им. Не помогло? Идем дальше.

Наверное, вы уже знаете про файл hosts (C:Windowssystem32driversetc).Если нет, коротко о нем: с помощью этого файла, вы можете указать для любого домена произвольный IP адрес. Windows в первую очередь будет смотреть этот файл, а потом уже информацию из DNS.

Да, проверку мы начнем с него. Заходим по указанному адресу, открываем файл hosts (обратите внимание на имя файла). Файл не имеет расширения, поэтому Windows не знает какой программой его открыть. Открываем блокнотом. Все строчки в данном файле начинающиеся с символа «#»- это комментарии. Их вы можете просто удалить. Остальные строки нам нужно рассмотреть. Стандартно файл hosts без комментариев выглядит как:

127.0.0.1 localhost

Если в нем есть еще какие либо строки, возможно, это и есть ваша проблема, а возможно эти строки добавила какая либо программа, которую вы сами установили. Обычно свои записи сюда добавляют некоторые «кряки» к софту. Если вы вдруг увидели нечто подобное:

123.123.123.321 vk.com
255.255.123.321 mail.ru

Можете смело удалять эти строки. Они означают, например, что если вы введете в браузере адрес vk.com, то вас перебросит не на настоящий сайт, а на сервер с IP 123.123.123.321. А этот сервер конечно же скорее всего никакого отношения к настоящему vk.com не имеет.

Примечание: Когда просматриваете файл hosts, не забывайте посмотреть на полосу прокрутки в блокноте, возможно, самое интересное написано ниже.

Сохраняем изменения в файле, перезапускаем браузер, проверяем. Если ничего не изменилось, то читаем дальше, если помогло, то все равно можете прочитать на будущее.

Ну что, проверили мы файл hosts и все? – нет, не все. Теперь начнутся хитрости. Во первых на самом деле в имени файла hosts нет ничего особенного, Windows рассматривает и воспринимает все файлы по адресу C:Windowssystem32driversetc, т.е. файл hosts может быть не тронутым, а рядом будет лежать файл hosts123, в котором как раз и будут прописаны «плохие» строки. Для того что бы посмотреть все содержимое папки, придется на время включить отображение скрытых системных файлов.
Для этого:

В проводнике Windows 7 нажмите Упорядочить->Параметры папок и поиска (В Win XP Мой компьютер ->Сервис –> Свойства папки). Далее переходим на вкладку «Вид», Поставьте переключатель «Показывать скрытые файлы, папки и диски», снимите галочку «скрывать защищенные системные файлы». Нажимаем «применить» (Что бы посмотреть скрытые файлы вы также можете использовать Total Commander и другие подобные программы).

Теперь по новому смотрим на нашу папку C:Windowssystem32driversetc, если вы заметили лишние файлы, смело открывайте их блокнотом и смотрите строки подобные:

123.123.123.321 vk.com

ВНИМАНИЕ! В данной папке кроме файла hosts присутствуют другие файлы отвечающие за настройку сети, будьте осторожны, например в Windows 7 это (networks, protocol, services,hosts, lmhosots.sam). На всякий случай сделайте резервную копию папки etc.

Нашли заветные строки? Удаляйте, удаляйте лишние файлы типа “hosts321” и другие, содержащие эти строки (не удаляйте файлы, описанные в разделе «внимание», но удалять из них строки описанные выше можно). Сохраните изменения, перезапустите браузер. Не помогло? Ничего, есть еще один секрет файла hosts.

На самом деле, папка C:Windowssystem32driversetc не является, какой то особенной, она прописывается в реестре. Что бы посмотреть в какой папке сейчас ваша система ищет файл hosts, откройте редактор реестра и посмотрите ключ HKEY_LOCAL_MACHINESYSTEM
CurrentControlSetServicesTcpipParameters. Для этого открываем пуск->выполнить , вписываем «regedit», нажимаем ОК. Откроется окно, в котором вы сможете открыть путь указанный выше. По умолчанию ключ DataBasePath указывает на «%SystemRoot%System32driversetc», однако вредоносная программа могла его изменить.

Посмотрите что прописано у вас. Посмотрите, что находится по прописанному пути, измените ключ реестра на стандартный. Перезагрузите вашу систему. Попробуйте зайти на сайт заново.

Опять не помогло? Ну и досталось же вам) ну что же, не будем унывать. Посмотрим настройки прокси-сервера в браузере. Если вы не используете прокси-сервер, то данные настройки должны быть пустыми. Что бы открыть настройки прокси-сервера, в браузере Firefox нажмите:

Настройки->дополнительно->вкладка Сеть.

Теперь напротив «Настройка параметров соединения Firefox с Интернетом» нажмите настроить. По умолчанию там стоит галочка «использовать системные настройки прокси», переключите на “Без прокси”, попробуйте сохранить настройки и перезапустить браузер. Если стоит ручная настройка и прописан адрес прокси сервера, при этом вы его не устанавливали: сохраните адрес, удалите его, переведите в режим «без прокси». (Для других браузеров процедура будет аналогичная). Теперь, для чего мы сохранили адрес? Нет, не для того что бы писать заявление в полицию) Открываем наш редактор реестра, нажимаем CTRL+F, и найти, вписываем наш адрем, затем найти, найти далее… Все ключи с данным адресом нужно будет изменить, а именно удалить присвоенное им значение нашего адреса.
Перезагружаем систему. Проверяем. Если опять не помогло, можно попробовать отключить все плагины в вашем браузере. Например, в Firefox это делается в пункте меню «Дополнения», в других браузерах см. справку.

Это все стандартные действия, которые тут может провести пользователь. Если проблема осталась, возможно, ваша вредоносная программа засела еще глубже в системе. В этом случае советуем поставить полную версию антивируса с обновленными базами, например DrWeb (в основном у любого антивируса можно получить бесплатный демо-ключ на 1 месяц). Перезагрузите компьютер с установленным обновленным антивирусом. Выполните полную проверку.

Если к данному моменту ваша проблема сохранилась, возможно, я что то упустил в этой статье, а так же что то упустили и создатели антивируса, который вы установили. Попробуйте написать в службу поддержки антивируса, описав вашу проблему.