Не возможно изменить файл HOSTS

By | 09.09.2015



Не возможно изменить файл HOSTS

Часто вирусы, которые изменяют файл hosts и не пускают на определенные сайты или наоборот перенаправляют на мошеннические сайты, делают уловку, которая не позволяет изменить файл host. Вариантов может быть два, но чаще всего они используются оба одновременно. Итак, к делу! Рассмотрим их.

Файл hosts скрыт

скрытый файл hostsВирус создает в системе второй файл hosts, который делает скрытым. Таким образом ОС считывает данные из обоих файлов и выполняет прописанные вирусом инструкции из скрытого файла hosts. Таким образом при проверке «видимого» файла выявить ничего подозрительного невозможно.

Если есть подозрение на модификацию файла hosts, обязательно нужно включить доступ к скрытым папкам и файлам, а затем проверить нет ли дублирующего файла с вирусными записями. Часто ситуация усугубляется тем, что вирус блокирует отображение скрытых файлов и настройки в свойствах папки просто не сохраняются. В этом случае нужно сначала разблокировать возможность отображения скрытых файлов, а затем удалить дублирующий скрытый файл hosts. Напомню, что файл hosts редактируется стандартным приложением Блокнот или любым текстовым редактором и располагается в папке C:\WINDOWS\system32\drivers\etc

Скрипт в автозагрузке

Вирусописатели — очень изобретательные люди и все время ищут новые пути маскировки. Совместно со скрытым вторым файлом hosts часто применяется такой трюк, как скрипт в автозапуске. Что же это за скрипт и как с ним боротться?

Скрипт представляет из себя набор стандартных команд Windows записанных в текстовый файл и редактируемый любым текстовым редактором, например, Блокнотом. В нашем случае чаще всего применяется скрипт, который копирует из временной папки Windows инфицированный файл hosts и делает его скрытым. Скрипт этот в основном сидит в меню Пуск — Все программы — Автозагрузка. Таким образом при каждой перезагрузке компьютера инфицированный скрытый файл hosts снова появляется в системе и создается впечатление, что файл hosts не возможно изменить.

вирус в автозагрузке

Скрипт, копирующий инфицированный файл, часто маскируется под такие распространенные названия, как adobe updater, igfxtray, system, svchost, lsass, services, winlogon, csrss, smss, explorer, userinit,  или что-то невнятное типа kG4tdew16gY. Чтобы удалить скрипт необходимо загрузиться в безопасный режим, зайти в меню Пуск — Все программы — Автозагрузка нажать правой кнопкой на ярлык скрипта и удалить его. Если вы удалите все ярлыки из меню Автозагрузка, ничего страшного не произойдет. Возможно перестанет загружаться при старте системы какая-то программа, но зато вы избавитесь от вируса. Программу всегда можно переустановить.

В некоторых случаях вирусы маскируют и папку Автозагрузка. В таком случае в ней ничего не будет отображаться, даже если там сидит вирус. Необходимо включить отображение скрытых файлов и проверить папки:




Для Windows XP: C:\Documents and Settings\%username%\Главное меню\Программы\Автозагрузка

Для Windows 7: C:\Users\%username%\AppData\Roaming\Microsoft\ Windows\Start Menu\Programs\Startup

После всех манипуляций желательно почистить диск от мусора и проверить компьютер антивирусной утилитой, например AVZ 4

Измененный ключ реестра

Последний и самый редкий трюк вирусов — изменение ключа реестра, отвечающего за расположение файла hosts. Необходимо запустить редактор реестра. В windows xp Пуск — Выполнить — ввести команду regedit и нажать Enter, в Windows 7 Пуск —  ввести команду regedit и нажать Enter.

Теперь нужно проверить параметр DataBasePath в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ Tcpip\Parameters. Он должен иметь занчение %SystemRoot%\System32\drivers\etc.

путь к файлу hosts в реестре

Если значение другое, щелкните два раза мышкой на параметр и введите верное значение. Теперь закройте редактор реестра.




Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *