Нижегородский файловый портал
RSS - каналы
Главное меню
Категории каталога
Мои статьи [5]
Школа покера [5]
Софт [40]
Радиолюбителям и электрикам [8]
Интернет [167]
Система [89]
Комплектующие ПК [47]
Безопасность [56]
Программирование [18]
Веб-дизайнеру [5]
Игры [6]
Полезные советы [24]
Кулинария [1]
Телефония [10]
Мобильник [17]
Планшеты [14]
Медицина [5]
Работа [4]
Домашнему мастеру [0]
Строительство и ремонт [19]
Для сада и огорода [2]
Юмор и приколы [12]
Интересное [114]
Пластики [3]
Разное [238]
Мини-чат
Правила мини-чата



Мини-чат в окне
Погода в Нижнем
Яндекс.Погода
Главная » Статьи » Интернет

Если у Вас не открываются сайты...
    В последнее время все чаще от пользователей можно услышать жалобы, что не открываются сайты популярных социальных сетей: «Одноклассники», «Вконтакте»,  а также некоторые другие сайты.

    Основная причина проблем — вирус, который находится в системе, причем не в одном месте. Его действия предугадать достаточно сложно. Сервисные центры предлагают переустановить операционную систему, но такое решение почти никого не устроит.

    Поэтому Вас наверняка заинтересует информация о том, как удалить вредоносную программу.  В данной статье мы расскажем реальный случай удаления опасной программы. Даже начинающий пользователь сможет разобраться, что к чему.

    Не все пользователи имеют возможность обратиться к программисту для решения тех или иных проблем. Многие предпочитают разобраться во всем самостоятельно, и в большинстве случаев им это удается. Проблемы могут быть самыми разными.

    В последнее время все чаще встречается следующая: при попытке открыть сайты  Одноклассники, ВКонтакте, www.youtube.com, mail.ru и даже microsoft.com.ru появляется страница, внешне похожая на запрашиваемый ресурс, но с сообщением следующего характера:


    Обнаружена угроза, зафиксированы попытки внести изменения в работу браузера. Чтобы не допустить кражу конфиденциальной информации, паролей, денежных средств в электронных системах, рекомендуется установить последнее обновление безопасности браузера.


    Чтобы начать обновление, подтвердите согласие, введите номер телефона, на который будет отправлена смс с кодом. После этого появляется поле для ввода номера телефона. Если его ввести, придет сообщение  с кодом и предложение выслать подтверждение. Понятно, что если это сделать, то с телефона снимут немаленькую сумму.



    В интернете проблема обсуждается уже давно. И почти всегда предлагается исправить файл  hosts, проверить компьютер на вирусы. Вот, что пишет один из пользователей: «Проверил компьютер антивирусом от двух производителей, результат нулевой. С файлом hosts сложилась интересная ситуация. В папке, где он должен быть С:\windows\system32\drivers\etc\, его нет. Пробовал включить отображение скрытых файлов  папок, убрал галочку с параметра "Скрывать защищённые системные файлы", создал  hosts заново. Ничего не помогает, сайты так и не открываются».

    Что же делать в такой ситуации?

    Для начала полезная информация: если проблемы появились недавно, выполните откат с помощью восстановления системы на пару дней назад. Это должно помочь. Также в большинстве случаев помогает полное сканирование операционной системы собственным антивирусом или утилитой  Dr.Web CureIt.

    Перед любыми действия рекомендуется создать точку восстановления системы, чтобы в любой момент можно было вернуться к исходному  состоянию.
Важно, чтобы на компьютере всегда была хорошая антивирусная программа, которая должна постоянно обновляться. Дополнительно установите менеджер автозагрузки. Выбирая операционную систему, отдайте предпочтение  Windows 7 64-bit или Windows 8 64-bit. 64-разрядные системы более безопасны.

    Рассмотрим пример с сайтом Одноклассники. Введите в командной строке:



    А дальше ввести Ping www.odnoklassniki.ru.

    Ping — это служебная компьютерная программа, которая проверяет соединения в сетях  TCP/IP. Это одно из самых простых и надежных диагностических средств, оно часто входит в современные операционные системы.



    Команда ping  позволяет проверить доступность сайта Одноклассники вашему компьютеру. Программа отправляет запрос, фиксирует поступающий ответ. «Превышен интервал ожидания для запроса (100% потерь)» — сайт недоступен.  Но ведь сайт открывается и возникает предупреждение — С Вашего  IP зарегистрирована аномальная активность. То есть кто-то все-таки просит нас послать деньги через смс. Навряд ли это реальный сайт Одноклассники.

    Введите другую команду: Ping 217.20.147.94, где цифры — это  IP-адрес сайта. В ответ приходит сообщение, что происходит обмен пакетами (0% потерь). Это свидетельствует о том, что Одноклассники доступен, но в системе запущен вредоносный процесс, который и запрещает переход на доменное имя одноклассников.



    Если Вы не можете войти на сайт одноклассники, попробуйте ввести в адресной строке IP-адрес, в большинстве случаев у Вас получится открыть сайт. Но много зависит от сложности написания вредоносной программы. В самых тяжелых случаях не помогает даже IP-адрес.

    Фишинговые или подменные сайты, на которые нас отправляют реальные одноклассники, как правило, долго не существуют. Но даже после их закрытия вирус достаточно долго остается в сети. Поэтому вместо одноклассников Вы можете увидеть пустое белое окно или сообщение Сервер не найден.

    Если у Вас возникли проблемы с доступом на определенные сайты, проверьте раздел реестра, где находятся таблицы маршрутизации.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes\] в ней вообще ничего не должно быть.



    Как происходит перенаправление на фишинговый сайт?

    В большинстве случаев, перенаправление на вирусный сайт осуществляет модифицированный файл hosts. Где его искать, что делать, если содержание не соответствует оригиналу или у Вас два файла, или вовсе нет?!

    Файл hosts можно найти по адресу  C:\Windows\System32\drivers\etc и имеет атрибут «скрытый». Он обеспечивает ускорение работы в интернете, сопоставляя их  IP-адреса доменным именам и обходя обращение к DNS сервису.

    Что такое DNS сервер? Все сайты расположены на определенных серверах,  и имеют  обозначения в цифрах. Привычные нам буквенные наименования придуманы для удобства. К примеру, сайт одноклассники имеет IP-адрес 217.20.147.94. Если набрать эту комбинацию цифр, откроется сайт одноклассники.

    Когда мы вводим в адресной строке название сайта  www.odnoklassniki.ru, сервер DNS  переводит буквенное значение сайта в цифры, после чего мы попадаем на сайт. В файле  hosts перед названием сайта  www.odnoklassniki.ru можно ввести  217.20.147.94, то есть  IP-адрес. В этом случае мы попадаем на сайт чуть быстрее, минуя службу  DNS. Дело в том, что  любой браузер до выхода в интернет сначала смотрит информацию в  hosts. Если там есть нужная информация, сайт открывается без участия службы  DNS.



    Файл hosts — настоящая находка для вирусосписателя. Если в нем прописать, например, 94.100.191.203 www.odnoklassniki.ru, то при наборе адреса Вы попадете не туда, куда хотели, а конкретно на почтовый сервер mail.ru.  И  94.100.191.203 — это его  IP-адрес.



    В последнее время вирусописатели придумали одну хитрость. Например, если hosts открыть в блокноте, ничего подозрительного сначала Вы не увидите, содержание стандартное, но если посмотреть в самый конец файла, может обнаружить вредоносные записи, которые, конечно же нужно удалить. Через некоторое время снова проверьте файл hosts, если вредоносные записи на месте, значит на Вашем компьютере работает вирус.


    Как найти  файл hosts

    Файл hosts всегда находится по адресу С:\Windows\system32\drivers\etc\. Но он может и отсутствовать. Причин несколько.  Файл может быть скрыт, чтобы его увидеть, надо включить отображение скрытых файлов и папок. Компьютер — Упорядочить — Параметры папок и поиска — Вид, снимаем галочку с пункта Скрывать защищённые системные файлы, Скрывать расширения для зарегистрированных типов файлов, отмечаем пункт Показывать скрытые файлы, папки и диски. Применить и ОК. Теперь  файл hosts можно будет увидеть.



    Возможно после заражения вирусом у вас окажется два файла hosts. Если открыть видимый с расширением  .txt, его содержание будет совпадать с оригинальным файлом hosts, но это не настоящий файл. У  hosts не может быть никакого расширения, реальный и модифицируемый вирусом файл hosts имеет атрибут скрытый. Вы не сможете его увидеть, пока не включите отображение скрытых папок и файлов.

    Может быть и другое: два файла hosts, оба без расширения и абсолютно одинаковые. Причина в следующем: вирус подменяет в настоящем файле  hosts букву «o» на букву «o» в кириллице, и он становится неработоспособным. В последующем вирус создает свой вредоносный файл hosts, который и используется системой. В итоге их получается два. Что делать в этом случае, расскажем чуть ниже.

    Если после  всех этих действия вы так и не можете найти файл hosts, значит изменен ключ в реестре, который отвечает за расположение  hosts в операционной системе. Заходим в реестр и смотрим ключ: HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\services\Tcpip\Parameters\DataBasePath.  Он должен иметь значение %SystemRoot%\System32\drivers\etc\, то есть С:\windows\system32\drivers\etc\, если ключ изменен и в нем указана другая папка, система будет использовать файл  hosts, который находится в этой другой папке. Возвращаем необходимые параметры.



    Случается такое крайне редко, редактировать реестр без особой необходимости не нужно, если вы планируете это сделать, обязательно создайте резервную копию реестра или операционной системы.

    Файл может удалить антивирусная программа при попытке вируса изменить его содержание. Такое бывает очень часто. Вне зависимости от причин, вы всегда можете вернуть файлу  hosts оригинальное содержание вручную или автоматически. Если вы выбрали исправление автоматически, нужно перейти по ссылке на официальный сайт Microsoft, выбрать утилиту  Microsoft Fix it 50267 и нажать устранить проблему. После перезагрузки операционной системы будет использоваться уже  исправленный файл hosts.



    Чтобы исправить  hosts вручную полностью скопируйте содержание оригинального файла и замените им содержание Вашего файла  hosts:

# Copyright © 1993—2006 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

# localhost name resolution is handle within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost


    Если у Вас отредактировать файл hosts не удается, следует обратить внимание на следующее:
    Программу notepad (блокнот) запустить от лица администратора.
    Снять с файла  hosts атрибут  — Только для чтения



    Антивирусная программа может запретить редактирование файла hosts, отключите ее на время или загрузитесь в безопасном режиме.

    Папку «etc» можно заменить, взяв ее у друзей, если у них та же версия операционной системы и нет проблем с доступом на сайты.

    Как найти вирус

    После того как файл hosts проверен, нужно найти вредоносную программу на компьютере. Чтобы ускорить процесс, можно скачать полезную и бесплатную утилиту  Dr.Web CureIt.

    Чтобы обнаружить вирус, в первую очередь, нужно изучить все программы, которые загружаются вместе с операционной системой, то есть проанализировать автозагрузку. Для этого понадобится хороший инструмент. Выбираем простую и эффективную программу  AnVir Task Manager. Но владеть ей нужно профессионально.

    Скачиваем ее на официальном сайте  и устанавливаем. При установке не выбирайте полную установку, откройте настройку параметров, максимально полно снимите все галочки, оставьте только на пункте Запустить  AnVir Task Manager. Добавьте иконку на рабочий стол, пригодится иконка загрузки процессора. И поставьте галочку на Стартовать  AnVir Task Manager при загрузке Windows.





    Запускаем программу и изучаем автозагрузку. В первую очередь, нужно обратить внимание на то, что AnVir Task Manager  предоставляется исчерпывающую информацию по всем файлам и процессам, есть пункт Уровень риска, то есть программа подсказывает, на какие файлы нужно обратить внимание. Смотрим на все незнакомые файлы и процессы, которые находятся в автозагрузке.



    Стоит учесть, что иногда вирус маскируется под вполне  нужную и полезную программу. В качестве примера рассмотрим следующую ситуацию. Открываем автозагрузку, видим приложение  adobe_flash_player.exe. По идее данный файл должен принадлежать компании-разработчику  Adobe Systems. Щелкаем правой кнопкой мыши по ней и ставим галочку на Детальная информация, открываем. По предварительному прогнозу  AnVir Task Manager, файл является опасным.





    Если бы файл принадлежал  Adobe Flash Player, он бы находился в папке C:\Windows\System32\Macromed\Flash для операционной системы Windows 7-32bit.

Или C:\Windows\SysWOW64\Macromed\Flash\для операционной системы Windows 7-64bit.

    Но он размещен совершенно в другой папке. Щелкаем по нему, выбираем в меню — Перейти — Показать файл в проводнике, называется папка Автозагрузка. В ней находятся ярлыки программ, которые нужно запустить пользователю вместе с операционной системой. Каждый вирус пытается попасть в эту папку и запустить вредоносный процесс при следующей загрузке системы. Сами мы туда файл не помещали, непонятно, зачем он вообще нужен.

    В Windows XP папка Автозагрузка находится по адресу C:\Documents and Settings\Имя пользователя\Главное меню\Программы\Автозагрузка

    В Windows 7 папка Автозагрузка находится по адресу C:\Users\Имя вашей папки\AppData\Roaming\Microsoft\Windows\Start Menu\Programs





    Данный факт должен вызвать подозрение. Более того, если в окне программы  AnVir Task Manager выбрать пункт Все записи, можно увидеть файл настоящего планировщика программы Adobe Flash Player и называется он Adobe Flash Player Updater и имеет как и положено свой исполняемый файл. Жмём Перейти -> Показать файл в проводнике.



    — FlashPlayerUpdateService.exe, который находится в папке C:\Windows\System32\Macromed\Flash – для 32-битных операционных систем
    Или C:\Windows\SysWOW64\Macromed\Flash\ — для 64 – битных операционных систем



    Таким образом, понятно что данный файл adobe_flash_player.exe является вирусом и его нужно удалить. С помощью программы AnVir Task Manager  можно проверить любой файл на вирусы. Выбираем службу, щелкаем правой мышью на нашем файле adobe_flash_player.exe и нажимаем в меню пункт – Проверить на сайте www.virustotal.com.



    Ответ очевидный — это вирус.  В результате опасный файл удалось удалить только в безопасном режиме.



    После удаления вируса компьютер ожил, прекратились подтормаживания, но зайти на нужные сайты не удалось. Ищем проблему дальше. Смотрим автозагрузку, ничего необычного, все программы встречаются постоянно, некоторые из них выключены из автозагрузки WinAMP agent, Praetorian — Защитник Яндекс, Skype, Download Master. Кроме этого, видно еще три процесса, которые принадлежат устройству  Panasonic. Скорее всего, это принтер.



    Если он действительно подключен, отключите на время все связанные с ним процессы в автозагрузке. Далее следует посмотреть подробно пункт Автозагрузки — Все записи. Если здесь тоже есть процессы, принадлежащие принтеру. Попробуем перейти к этим процессам.



    Служба Panasonic Local Printer Service — исполняемый файл LMSRVNT.EXE, находится по адресу: C:\Program Files\Panasonic\LocalCom
и вторая Служба Panasonic Trap Monitor – исполняемый файл Trapmnnt.exe, находится по адресу: C:\Program Files\Panasonic\TrapMonitor

Проверяем оба процесса на сайте www.virustotal.com и второй процесс оказывается вредоносным, а файл Trapmnnt.exe оказывается заражен вирусом. Завершаем оба процесса. После чего спокойно заходим на все сайты, с которыми ранее были проблемы. Все получилось.



    Если верить сайту www.virustotal.com, то файл Trapmnnt.exe заражён вирусом Win32.Sality по версии Avast. Этот вирус инфицирует файлы с расширением EXE, меняя их содержание и   размер.



    Если Вы не доверяете сайту www.virustotal.com, можно попробовать еще один способ. Поможет сайт  filecheck.ru. На нем можно узнать полную информацию практически о любом файле, то есть к какой программе принадлежит, где должен находиться и т. д.



    По нашему файлу информация следующая: Trapmnnt.exe находится в подпапках «C:\Program Files». Размер файла для Windows 7/Vista/XP составляет 69,632 байт.

    На самом деле размер файла составлял 72 856 байт по сравнению с оригиналом 69,632. Не совпадали контрольные суммы (хеш-суммы) оригинального файла Trapmnnt.exe с проверяемым файлом.





    Контрольная сумма — это определенное значение, которое применяется для проверки целостности данных, может использоваться для детектирования компьютерных вирусов. Определить контрольную сумму можно с помощью бесплатной программы  HashTab. Скачайте ее на официальном сайте, после установки она добавляет в меню Свойства файла дополнительную вкладку Хэш-суммы файлов. Программа автоматически измеряет контрольную сумму за такими алгоритмами, как *CRC32, *MD5, *SHA-1.



    Проблемный файл не числился в списке нормальных файлов, после проверки был обнаружен антивирусной программой и успешно удален. Больше на компьютере вирусов не было. После этого удалите все программное обеспечение и драйвер принтера и установите его заново.

    Часто после удаления вируса, проблемы с доступом на сайты все равно возникают, так как вирус меняет в свойствах сетевого протокола настройки DNS, а именно DNS-адреса. Как это исправить, расскажем чуть ниже.

    Где ещё могут быть вирусы?

    Если у Вас проблемы с доступом на сайты, обязательно войдите в Подключение по локальной сети — Свойства. Нажмите Пуск — Панель управления — Сеть и интернет — Центр управления сетями и общим доступов — Изменения параметров адаптера, заходим в Свойства подключения по локальной сети.

    Протокол интернета версии 4 (TCP/IPv4) и Свойства



    Если Ваш провайдер присваивает всем компьютерам  IP-адреса автоматически, должно быть выставлено следующее значение:
Получить IP-адрес автоматически и Получить адрес DNS-сервера автоматически.



    Однако может быть и такое, что вирус прописывает здесь свой DNS-сервер.  В этом случае нужно удалить все изменения, внесенные вирусом и отметить пункт Получить адрес  DNS-сервера автоматически и нажать ОК.





    Иногда провайдеры присваивают компьютерам в сети определенные  IP адреса, Маску подсети и Основной шлюз, Предпочитаемый DNS-сервер, Альтернативный DNS-сервер. При проблемах с доступом на сайты,  все адреса надо проверить. Обычно они указаны в договоре с провайдером.



    Если и это не помогает и вирус не удалось найти, попробуйте следующее: в программе AnVir Task Manager есть параметр Все записи. При его открытии можно увидеть много интересного, например, запись Mario Forever Toolbar. Они совершенно Вам не нужны. Для начала отключите Mario Forever Toolbar в надстройках  Internet Explorer. Затем отключите в самой программе  AnVir Task Manager и удалите все записи в реестре. Через встроенную в  Windows утилиту можно полностью удалить Toolbar.

    Обязательно проверьте папки временных файлов. Зайдите C:\USERS\имя пользователя\AppData\Local\Temp, там  часто находятся вирусные файлы.

    Trojan.Mayachok.1

    В сети активно обсуждается вирус Trojan.Mayachok.1, который является не чем иным как .dll — динамически подключаемой библиотекой. Он непосредственно связан с нашей проблемой, так как это вредоносная программа, ворующая деньги со счетов клиентов мобильных операторов, предлагая пользователям ответить на входящее СМС-сообщение.

    Уже есть новая модификация этого вируса Trojan.MayachokMEM.4. Она отличается тем, что производит свои разрушительные действия в системе немного по другому, но хочу можно заранее сказать, что с ним прекрасно справляется антивирусная утилита Dr.Web CureIt.

    В случае заражения вирусом Trojan.Mayachok.1, в ветку реестра для пользователей x32 разрядных систем:
HKLM\SOFTWARE\Microsoft\Windows NT\Current Version\Windows\Appinit_Dlls

    в параметр \Appinit_Dlls, добавляется значение, примерно такого содержания (название вируса генерируется случайным образом), например: «C:\windows\system32\fxqxtph.dll»

    Всё это нужно удалить, затем удалить сам вирусный файл по адресу соответственно записи в реестре C:\windows\system32\fxqxtph.dll

    Также нужно удалить созданные одновременно с fxqxtph.dll файлы с расширением .tmp из каталогов C:\windows\system32 и C:\windows\SYSWOW64 (на 64 битных системах).

    Для пользователей x64 разрядных систем вирус будет находиться в папке C:\windows\SYSWOW64\fxqxtph.dll
Добавил: Админ-21NN | Просмотров: 3328 | Рейтинг: 5.0/1


Обратите Ваше внимание на другие статьи:

Уважаемые пользователи, пожалуйста, оставляйте комментарии! Нам очень важно Ваше мнение!
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.

    
Меню пользователя
Аватар гостя

Приветствуем Вас, Гость

Логин:
Пароль:
Поиск по сайту
Поиск по названию
Поиск по тегам
Горячие темы форума
Зарабатываем деньги
Детская игра Подарки...
Тест скорости подклю...
кое что о Windows
Кто ты, человек?
Новая валюта портала
Все о сексе
"Что мешает нам...
Культура
Афоризмы
Лучшие 13 анекдотов ...
как защитить свой ко...
поговорим о софте
восстановление данны...
Я ненавижу Дом-2
Волга-Телеком
Кулинария "Кокт...
Стол заказов
Жалобы
С Днем Победы!!!
Прикольные картинки
С праздником Пасхи !...
Статистика
Новых за месяц: 150
Новых за неделю: 45
Новых вчера: 7
Новых сегодня: 3
Всего: 5267
Из них:
Администраторов: 3
$$$-Модераторов: 1
Модераторов: 3
Прокураторов: 3
-----------------
далее:
Проверенных: 247
Пользователей: 2846
Новичков: 1874
Заблокированных: 97
-----------------
Из всех пользователей:
Мужчин и парней: 4114
Женщин и девушек: 1152
Именинники
Поздравляем с Днем рожденья:

il69ku(46), Igor29rus(40), big_1979(37), dushenka(24), warinsky(25), spol0812(48), yoinao(31)
Режим ON-LINE
Онлайн всего: 3
Гостей: 3
Пользователей: 0

Сейчас на портале:
Наша кнопочка
Нижегородский файловый портал

HTML-код кнопки:
Реклама
Размещение рекламы

Яндекс.Метрика
Регистрация сайта в каталогах, раскрутка и оптимизация сайта, контекстная реклама Ремонт холодильников в Нижнем Новгороде

Copyright © BankRemStroy © 2009-2016