Как проверить файл hosts на вирусы



автор: AvtiVirus | 4-04-, 18:39 | Просмотров: 8786


После вирусных атак или как результатов действия вирусов часто страдает системный файл HOSTS (без расширения).
С помощью файла hosts можно легко подменить адреса посещаемых пользователем веб-ресурсов. Этот файл дает команду браузерам перенаправлять хозяина компьютера на желаемый злоумышленником ресурс или запрещать посещение какого-либо сайта. Например, он может блокировать обновления баз для антивируса, что непременно будет использовано для внедрения в вашу систему новоиспеченного варианта вируса. Одновременно, при открытии часто используемых ресурсов типа mail.ru или поисковых систем Яндекс, Google, Вы можете перенаправляться на вредоносный или рекламируемый сайт.
Умея запрещать и направлять файл hosts не зря пользуется любовью хакеров.

Для того чтобы противостоять подобным действиям давайте ближе познакомимся с этим файлом.
Файл hosts можно найти по следующим адресам :
Для всех Windows 7, 8, Vista, XP, NT, 2000 файл лежит по одному адресу: C:\Windows\System32\drivers\etc\hosts
Для Windows 95\98\ME находится в папке C:\WINDOWS\hosts
- Используется для сопоставления IP адреса и имени хоста посещаемого сервера, узла, домена.
- По умолчанию в файле hosts значится всего один IP-адрес 127.0.0.1, который всегда и на всех компьютерах ведет на локальный хост(localhost), т.е. на ваш же компьютер. Этот IP-127.0.0.1 зарезервирован для внутреннего адреса компьютера по всему миру.
- Файл hosts не имеет расширения и редактируется в обычном текстовом редакторе.

Взаимодействие hosts-файла с работой браузера.
- Прежде чем браузер откроет указанный ему адрес, он считывает информацию из файла hosts;
- Если адрес соответствует localhost, то открываются файлы и папки компьютера;
- Если отличается, то браузер идет по дальнейшему длинному этапу: местный кэш распознания DNS, кэш IP-адреса, стороннего хост сервера и т.д. до перевода URL адреса в IP запрашиваемого ресурса и открытия окна сайта.
- Если в hosts указан адрес сайта и через пробел его реальный IP адрес, то открытие этого сайта произойдет быстрее;
- Если после адреса сайта стоит адрес 127.0.0.1, то запрос не выйдет за пределы компьютера, т.е. доступ к этому сайту будет закрыт.

Из этого можно сделать полезные выводы:
Если вы хотите ускорить подключение какого-либо сайта и сэкономить при этом трафик, то укажите в hosts файле его адрес и IP.
Например, если после записи по умолчанию вы включите строки:
94.100.191.206 mail.ru
74.125.232.20 google.com
то знакомые вам адреса будут открываться без обращению к кешу и серверу DNS. Попробуйте ввести указанные цифры в адресное окно браузера и убедитесь, что эти цифры соответствуют адресу сайта. Серверам DNS нет необходимости переводить цифры в буквы (название сайта). Узнать IP адрес любого сайта можно набрав запрос в поисковике: Узнать IP

Таким же образом можно запретить доступ к этим сайтам. если пропишите:
127.0.0.1 mail.ru
127.0.0.1 google.com

Это часто используют пользователи установившие на своем компьютере взломанные программы. Этот способ не дает возможность выходить установленным программам на свой ресурс для обновления и распознания взлома: фиктивного пароля или замены файла.
Ну и как понятно, что этим же способом пользуются хакеры, чтобы не дать установленному на компьютере антивирусу выполнять обновления.

Вредное программное обеспечение может маскироваться в hosts-файле :
- перед исправлениями или после них могут стоять допустим тысяча пробелов и переносов строки. Переносы вычисляются размером ползунка справа, пробелы размером ползунка внизу текстового редактора;
- при сохранении файла вирус присвоит ему атрибут, как скрытому файлу, не видимому в настройках просмотра файлов по умолчанию;

Лечим последствия вирусной атаки на файл hosts.
Этот файл имеет атрибут скрытый, поэтому для начала установите галочку Показывать скрытые файлы и папки в свойствах папки:
Windows 7: Панель управления / Оформление и персонализация / Параметры папок

Windows XP: Пуск / Настройка / Панель управления / Свойства папки или Сервис / Свойства папки / вид
Windows Vista: Пуск / Панель управления / Оформление и личная настройка / Свойства папки

Для Windows 7, 8 возможно потребуются права администратора.

1. Перейдите по адресу размещения файла hosts: C:\Windows\System32\drivers\etc\hosts
2. При открытии hosts, из-за отсутствия расширения этого файла, система предложит с помощью чего открыть:

3. Выберите любой установленный текстовый редактор (можно блокнот).
4. Просмотрите параметры, удалите те, которые считаете нужными (теперь вы специалист - см. выше), но оставьте 127.0.0.1 localhost.
Посмотрите на ползунки окна редактора (при их наличии), если они маленькие, то возможно где-то в глубине файла спрятана информация хакера.
5. Сохраните файл после редактирования.

Правила формирования hosts файла
1. Каждая командная запись должна быть размещена в отдельной строке.
2. Вначале прописывается IP адрес, после него имя сайта (хоста, домена).
3. Между атрибутами строки должен быть как минимум один пробел.
4. Комментарии размещайте в строке после символа #

Ниже приведены чистые записи файлов hosts без комментариев, выводимых в начале и начинающимися со знака #.
Этот знак аннулирует прописанную команду, все что написано после него в данной строке является лишь информацией и примеров для пользователя.

Оригинальные hosts файлы по умолчанию должны содержать следующую информацию :


Системы Windows XP и Server 2003 :
127.0.0.1 localhost

Системы Windows Vista и Server 2008 :
127.0.0.1 localhost
::1 localhost

Система Windows 7 :
# 127.0.0.1 localhost
#. 1 localhost
- знак # означает комментарий, то есть в Windows 7 файл должен быть чистым по умолчанию.

Мы рассмотрели ручную проверку файла HOSTS на наличие вредоносных записей после вирусных атак или действия установленного вируса.
Все антивирусы автоматически проверяют этот файл, но нет ничего лучше собственного опыта.
Вы можете столкнуться с тем, что после перезагрузки компьютера файл hosts опять будет заражен. В этом случае ищите причину в скрытом вирусе, файл hosts является всего лишь следствием работы зараженной системы.

Другие новости по теме:

Очистка файла hosts

Описание файла hosts подробно рассмотрено в статье Файл hosts. В этой статье мы рассмотрим способ очистки данного файла средствами самой операционной системы Windows, не скачивая специальных программ.

Настоящая статья написана исключительно на основании личного опыта автора и соавторов. Все приведенные советы Вы выполняете на свой страх и риск. За последствия Ваших действий автор и Администрация сайта ответственности не несут.

Прежде чем приступать к очистке файла необходимо проделать следующие операции (обязательно !):

  • если не установлена антивирусная программа, найти и установить любую антивирусную программу, на выбор;
  • необходимо обновить антивирусные базы по состоянию на текущий день;
  • провести полную проверку системы на вредоносное содержимое (в некоторых случаях может потребоваться проверка в безопасном режиме или с Live CD/DVD);
  • после проверки антивирусной программой отключить защиту антивируса на время очистки файла hosts (некоторые антивирусы блокируют внесение изменений).

Внимание! Настоящая Инструкция по очистке файла hosts неэффективна в зараженном компьютере. Предварительно Вам следует вылечить систему от вирусов и затем приступать к исправлению файла hosts.

Если Вы самостоятельно не меняли местонахождение папки с файлом hosts, то рекомендую для начала значение ключа реестра вернуть на значение по умолчанию. Для этого откройте пустой Блокнот, вставьте туда приведенный ниже текст и сохраните файл с именем hostsdir.reg на рабочий стол.

Текст должен начинаться без пробелов и пустых строк, после строки Windows Registry Editor Version 5.00 должна быть одна пустая строка, после всего текста тоже необходимо проставить пустую строку. В файле двухбайтовым шестнадцатиричным кодом (hex(2):) закодирована строка %SystemRoot%\system32\drivers\etc .

После сохранения файла закройте блокнот, найдите на рабочем столе файл hostsdir.reg и дважды кликните на нем. Система оповестить Вас о том, что делается попытка внести изменения в реестр и запросит Ваше согласие. Отвечайте Да , после чего изменение в реестр будет внесено.

Если система сообщит, что запрещен доступ или изменение реестра заблокировано, значит у Вас нет административных прав в системе или Вашей системе требуется более тщательное внимание, применение специальных программ для лечения.

Жмем Пуск - Выполнить (или тоже самое: жмем сочетание клавиш Win+R )


В поле Открыть вводим строку:

(просто скопируйте приведенный выше текст команды в поле Открыть окна Запуск программ ). Жмём ОК

Видим на экране блокнот с примерно похожим содержимым:

Встречается также, что некоторые хитрые вредители свои зловредные адреса прописывают за пределами окна Блокнота. Всегда проверяйте, есть ли у Вас сбоку полоса прокрутки и всегда прокручивайте окно до конца файла.

Очистите полностью окно редактора (нажимаем Ctrl+A и Delete) и скопируйте один из ниже приведенных текстов в зависимости от версии Вашей операционной системы.

Обратите внимание, большинство строк начинаются со знака #. Этот знак означает начало комментария и весь текст до конца строки системой не воспринимается. В связи с этим обстоятельством, в текстах для Windows XP и Windows Vista важна только последняя строка, а для Windows 7, 8 и 10 текст может быть полностью пустым.

Затем сохраняем сделанные изменения, закрываем блокнот и пробуем открыть ранее заблокированные сайты.

Внимание! Администрация сайта в качестве альтернативы не рекомендует удалять папку etc, где содержится файл hosts. Это может привести к краху системы.

После успешного сохранения файла могут быть следующие варианты:

  • все пришло в норму и ранее блокированные сайты нормально открываются;
  • сайты продолжают блокироваться или открывают сторонние ресурсы. Это значит, что в системе действует активный троян, который с определенной периодичностью проверяет содержимое файла hosts и меняет его.

Если после перезагрузки системы все вернулось в то же состояние блокировки любимых сайтов, значит вам необходимо вернуться на начало статьи и выбрать другой антивирус для проверки системы.

Также бывают случаи, когда после внесения изменений, не удается сохранить файл. Открываем командную строку системы (Пуск - Стандартные - Командная строка или Win+R - cmd - ОК) и по очереди вводим команды ниже:

Далее редактируем файл, как описано выше.

Если не удается сохранить файл в системах Windows (в том числе Windows XP, если входили в систему с ограниченной учетной записью), Вам необходимо войти в систему учетной записью Администратора или запустить блокнот от имени Администратора и редактировать файл. Более подробно данная операция указана в статье на нашем сайте Не удается сохранить файл hosts .

Если ничего не помогло.

Скачайте прикрепленный ниже файл и запустите. Файл скачан с сайта Microsoft и не содержит вредоносного содержимого.

Внимание! Прикрепленный файл не является антивирусной программой! Он только автоматически сбрасывает содержимое файла hosts до содержания по умолчанию, как описано для ручного редактирования в статье.

Идея faktor, Nobody

Из-за большого числа комментариев, архив комментариев вынес отдельно. Вы можете посмотреть их по ссылке http://kp-room.ru/page/hosts-clear-comments

При цитировании, копировании, клонировании материалов с сайта целиком или частично, ссылка на страницу, откуда был скопирован материал, обязательна! При нарушении данных условий прошу незамедлительно удалить со своих ресурсов скопированный материал. Администрация сайта.

Еще записи по теме

у меня windows 7 максимальная и в файле host у меня вот такой текст

# Copyright (c) 1993-2009 Microsoft Corp.

# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.

# This file contains the mappings of IP addresses to host names. Each

# entry should be kept on an individual line. The IP address should

# be placed in the first column followed by the corresponding host name.

# The IP address and the host name should be separated by at least one

# Additionally, comments (such as these) may be inserted on individual

# lines or following the machine name denoted by a '#' symbol.

# 102.54.94.97 rhino.acme.com # source server

# 38.25.63.10 x.acme.com # x client host

# localhost name resolution is handled within DNS itself.

возможно у вас в статье неправильно

Как проверить файл hosts, находящийся в C:\WINDOWS\system32\drivers\etc. Для удаления вредоносных ссылок?

ВНИМАНИЕ ЕСЛИ ВЫ НЕ МОЖЕТЕ ЗАЙТИ НА СТРАНИЦЫ И У ВАС ЭТО НЕ БАННЕР А ПРОСТО НЕ ПУСКАЮТ В СОСЕТИ ЭТО ИСПРАВЛЯЕТСЯ ЗА ПЯТЬ МИНУТ)) НЕ ОТПРАВЛЯЙТЕ СМС НЕ КОМУ) СОЦСЕТИ НЕ ПРОСЯТ СМС НЕ КОГДА ))

Исправить такую ошибку вполне возможно собственными силами. Нужно открыть папку C:\WINDOWS\system32\drivers\etc. Найти в ней файл hosts (он не имеет расширения). Нажать правой кнопкой мыши на нем. В появившемся меню выбрать пункт Свойства .
В открывшемся окне снять галочку Только чтение и нажать кнопку OK . Этой галочки может и не быть. Не пугайтесь - такое случается

Снова щелкаем правой кнопкой мышки на файле hosts. На этот раз нужно выбрать Открыть с помощью - Блокнот . Можно использовать и встроенный редактор Wordpad. В этом открытом файле нужно удалить все, кроме записи: 127.0.0.1 localhost .
Это, конечно, наиболее радикальный вариант. Часто в этом файле есть записи, которые оставлены вполне благонадежными программами. Так что, теоретически, можно удалить не все записи. Найдите среди записей этого файла те, которые содержат адреса сайтов на которые невозможно попасть, и сотрите именно эти строки.
Не забудьте нажать после этого кнопку Сохранить . После этого желательно активировать атрибут Только для чтения в Свойствах файла hosts. После этого, как правило, сайты антивирусов, поисковики,
соцсети и тому подобные сайты начинают открываться. Внимание если вы не обнаружили в файле hosts вот такую запись 127.0.0.1 localhost ,Значит у вас вирус прописал еще такой же файл hosts и скрыл его) )
Мы делаем следующие действия 1)Заходим в панель управления 2)Выбераем раздел Параметр папок, Далее в открывшиемся окне щелкаем вкладку Вид и ставим Помечаем в Самом низу ПОКАЗЫВАТЬ СКРЫТЫЕ ФАЙЛЫ, ПАПКИ И ДИСКИ. ЖМЕМ ПРИМИНИТЬ )))ДАЛЕЕ ОПЯТЬ ЗАХОДИМ C:\WINDOWS\system32\drivers\etc И ВОТ ЧУДО ВИДИМ ДВА hosts ФАЙЛА) )
А ТЕПЕРЬ ЕСЛИ МЫ ВИДИМ ДВА hosts ФАЙЛА НАМ НУЖЕН hosts В КОТОРОМ ЕСТЬ ЗАПИСЬ 127.0.0.1 localhost )))ДРУГОЙ ЖЕ ГДЕ НЕТ НАШЕЙ ЗАПИСИ СМЕЛО УДАЛЯЕМ)) А В НАШЕМ hosts В КОТОРОМ ЕСТЬ ЗАПИСЬ 127.0.0.1 localhost УДАЛЯЕМ ВСЕ ЗАПИСИ САЙТОВ И АДРЕСА КРОМЕ 127.0.0.1 localhost И НЕ ЗАБЫВАЕМ НАЖАТЬ СОХРАНИТЬ)) )
ВНИМАНИЕ ПОСЛЕ ЭТИХ ДЕЙСТВИЙ ПЕРЕЗАГРУЗИТЕ КОПЬЮТЕР И БУДЕТ ВАМ СЧАСТЬЕ И ДОСТУП КО ВСЕМ РЕСУРСАМ КОТОРЫЕ БЫЛИ БЛОКИРОВАНЫ)) ПРИ ВХОДЕ НА СТРАНИЦУ ПОСЛЕ ПЕРЕЗАГРУЗКИ МЕНЯЕМ СРАЗУ ВСЕ ПОРОЛИ СОЦСЕТЕЙ ОБЯЗАТЕЛЬНО)) ТАК КАК ОНИ УГНАННЫ )))
ЖЕЛАЮ УДАЧИ. вот видео пример http://youtu.be/qgNy-jTii_4

Владимир Оракул (56393) 4 года назад

Там должна быть только одна активная строка 127.0.0.1 localhost

Sality Профи (739) 4 года назад

открыть его блокнотом и посмотреть, что в нём.

Shurovik Искусственный Интеллект (485313) 4 года назад

Там (в системах до 7) должна быть только одна строчка, НЕ начинающаяся со значка решетки - 127.0.0.1 localhost . В 7 же рабочих строчек в этом файле нет.

Просто DOCENT Просветленный (24639) 4 года назад

Александр Просветленный (42590) 4 года назад

скачай AVZ он поправит

Источники: http://viruson.ru/remove/13-hosts-file.html, http://kp-room.ru/content16.html, http://otvet.mail.ru/question/81000925




Комментариев пока нет!

Поделитесь своим мнением



Категории:

Новое на сайте:

Создание установочного диска windows 8.1

Раньше создавать установочные носители для операционных далее...

Как настроить виртуальную машину virtualbox

VirtualBox #8212; настройка виртуальной машины В предыдущей далее...

Как запустить безопасный режим windows 10

Как запустить операционную систему Windows 10 в далее...

Популярное:

Еще по теме:

Как установить биос на компьютере

Правильная установка БИОС на компьютер: как избежать далее...

Как узнать какой директ х установлен

Как узнать какой directx установлен? Приветствую друзья! далее...

Ноутбук не видит диска в дисководе

Что делать, если ноутбук не видит диск Неисправность привода О далее...