[Ex-SDS]

Здравствуйте! Возникла проблема подмены страницы www.sudmed.ru/index.php ( При обращении по вышеуказанному URL переход осуществлялся на другую страницу стороннего сайта, при этом в адресной строке отображался URL главной страницы ФСМ. В сведениях страницы стояли скрипты стороннего сайта. Пытался исправить проблему - чистил кэш, куки, перегружал браузер, сканировал антивирусом,но все это не помогало. И вот следующим днем проблема ушла сама. Хотелось бы знать, что это было? Как не допустить в последующем? Как с этим бороться?

[Admin]

Первое, что приходит в голову - некоторые трояны прописывают в файле
c:\WINDOWS\system32\drivers\etc\hosts
явную переадресацию на нужный сайт. У меня знакомый для своего чада даже вывел редактирование этого файла на рабочий стол, так как ему надоело его править.
Проверьте, это простой текстовый файл. В "норме" он такой:

# © Корпорация Майкрософт (Microsoft Corp.), 1993-1999
#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом '#'.
#
# Например:
#
# 102.54.94.97 rhino.acme.com # исходный сервер
# 38.25.63.10 x.acme.com # узел клиента x

[Ex-SDS]

Здравствуйте Admin! Спасибо за подсказку! Все в норме. Лишь одно смущает, а именно

# This HOSTS file created by Dr.Web Scanner for Windows

127.0.0.1 localhost

Так как Dr.Web снес уже как месяцев 6 назад.

[Admin]

Это на ходовые качества не влияет , используется веб-базами (MySQL например) или доктором вебом при установке локального сервера баз данных. Оставьте как есть.

[Любезный]

У меня знакомый для своего чада даже вывел редактирование этого файла на рабочий стол, так как ему надоело его править.

Советую Вам порекомендовать ему вести основную работу под ограниченным пользователем - как известно, программы, запущенные из-под него, в т.ч. вредоносные, не могут менять этот файл, как и остальные системные файлы.

[Дмитрий]

При обращении по вышеуказанному URL переход осуществлялся на другую страницу стороннего сайта, при этом в адресной строке отображался URL главной страницы ФСМ.

Что за сайт грузился вместо ФСМ?

Хотелось бы знать, что это было? Как не допустить в последующем? Как с этим бороться?

Проблема была на вашей стороне, подменой урлов занимаются трояны. Защищайте свою систему платным антивирусом.

[Ex-SDS]

Доброго времени суток!

Что за сайт грузился вместо ФСМ?

Грузилась главная страничка сайта местного провайдера интернета.

[Admin]

Наверное кончились деньги за интернет?

[nikolaj-vl]

Здравствуйте Admin! Спасибо за подсказку! Все в норме. Лишь одно смущает, а именно

Так как Dr.Web снес уже как месяцев 6 назад.

- у Вебера и у Касперского можно через 6 месяцев установить демо-версию бесплатную на 1 мес. Ею всё проверить. Кроме того на этих сайтах есть программы восстановления работы и поиска вирусов в онлайн режиме, т. е. сразу же. Я так пользовался в теч. 3 мес.

Первое, что приходит в голову - некоторые трояны прописывают в файле
c:\WINDOWS\system32\drivers\etc\hosts
явную переадресацию на нужный сайт. У меня знакомый для своего чада даже вывел редактирование этого файла на рабочий стол, так как ему надоело его править.
Проверьте, это простой текстовый файл. В "норме" он такой:

- здравствуйте Админ, я не настолько силен в программах, если не сложно на уровне крестьянина объясните, что за копию Вы опубликовали. (У меня, слава богу , таких проблем не было, но интересно.)
Хорошо бы что бы не пригодилось, но знать хочется.

[Любезный]

Попробую я.

Предположим, есть несколько компьютеров, соединённых в сеть. Как известно, компьютеры соединяют в сеть для того, чтобы можно было передать информацию с одного компьютера на другой. Чтобы обеспечить такой обмен, каждый компьютер в сети должен иметь идентификатор. В его качестве выступает так называемый IP-адрес, представляющий собой четыре числа в диапазоне от 0 до 255 (4 байта). Благодаря адресам один компьютер может обратиться к другому конкретному необходимому компьютеру.

Однако запоминать адреса компьютеров в виде чисел неудобно. Поэтому был придуман механизм опознавания компьютеров по именам. Каждый компьютер с Windows, помимо IP-адреса, имеет имя, которое можно в настройках компьютера поменять на более читабельное. В небольших сетях компьютер может сразу опросить всех соседей, чтобы узнать адрес компьютера, имеющего такое-то имя, и уже по полученному адресу обратиться к нужному компьютеру за нужной информацией.

Несколько иначе обстоит дело в Интернете. По заранее известному IP-адресу (его выдаёт оргазизация, предоставляющая доступ в Интернет) в сети присутствует так называемый сервер доменных имён (DNS). Обычно когда вы набираете www. ...... .ru в программе для просмотра интернет-страниц (по-другому она называется "браузер"), компьютер обращается к DNS и пытается узнать у него IP-адрес сервера, на котором находится страница. После получения этого IP-адреса компьютер обращается по нему к серверу, на котором находится страница, и принимает эту страницу.

Однако принято считать, что в некоторых случаях опрос всех компьютеров в сети (для малых сетей), а также обращение к DNS, может занимать слишком много времени, поэтому создатели Windows придумали обходной путь и пересмотрели механизм. В системе Windows есть так называемый файл hosts, в который системные администраторы записывают сетевые имена и IP-адреса компьютеров и серверов, к которым нужно обращаться наиболее часто. Когда вы пытаетесь обратиться к компьютеру по его имени, либо набираете www. ... . com, компьютер в первую очередь смотрит этот файл. Если имя компьютера или интернет-адрес присутствуют в этом файле, компьютер обращается по сети по IP-адресу для этого имени/интернет-адреса, указанному в этом файле. Если такого имени или интернет-адреса нет, компьютер обращается в сеть по принципам, описанным мной в предыдущих абзацах.

Главной проблемой этого пересмотренного механизма является то, что некоторые вредоносные программы (троянцы, вирусы) меняют этот файл, в результате чего при обращении к часто используемым интернет-сайтам компьютер загружает подставную страницу с вредоносным кодом. Что этот код делает, известно только его создателям.

Одной из мер защиты от правки этого файла вредоносными программами является переход на работу под ограниченным пользователем. К сожалению, большинство пользователей компьютеров работают в системе как пользователи с правами администраторов системы, поэтому все программы, запускаемые ими, могут делать в системе всё что хотят - записываться в системные и программные каталоги, править системные файлы и.т.п. Если же программа запускается пользователем с ограниченными правами, шансов навредить системе у неё практически нет, ибо такой пользователь может записывать файлы только в несколько "своих" папок, а системные - только читать. Разумеется, создавать ограниченного пользователя следует только после полной очистки компьютера от заразы. Настоятельно рекомендую эту меру в качестве дополнения к любому (даже бесплатному) антивирусу - благодаря такому тандему шансы зацепить троянца при серфинге в Инете и при работе с флэшками резко уменьшаются.

[Ex-SDS]

Доброго времени суток!

Наверное кончились деньги за интернет?

Нет, у меня безлимит. С оплатой все нормально.
Антивирусная программа кaspersky crystal 9.0 (дэмка). Просканировал всю систему, угроз не выявил. Склонен думать, что, скорее всего, была ошибка у провайдера.

[Николай 99]

Я только кaspersky crystal 9.0 всем такие проблемы и решаю.

[Ex-SDS]

Доброго времени суток!
Склонен думать, что, скорее всего, была ошибка у провайдера.

Да..., зря я так думал Касперский обнаружил сторонее ПО, предложил удалить, в карантин, пропустить. Выбрал удалить, система зависла и выдала - невозможно, попытался в карантин, зависла и позже выдала пропустить все. Поставил на полное сканирование, итог - ни каспера, ни винды. Вот так <_

[nikolaj-vl]

Да..., зря я так думал Касперский обнаружил сторонее ПО, предложил удалить, в карантин, пропустить. Выбрал удалить, система зависла и выдала - невозможно, попытался в карантин, зависла и позже выдала пропустить все. Поставил на полное сканирование, итог - ни каспера, ни винды. Вот так <_

Не расстраивайтесь, к ночи попробую дать ссылки на программы восстановления, которыми я пользовался.

[nikolaj-vl]

Так как нет адреса, отправляю в личку ссылки полученные для меня от представительства "Касперского-Дк. Веб" в СПб. Раньше они работали со свеми, теперь только с юр. лицами. Программы одноразовые, только для восстановления. Будет некс. сообщений, в одно "не влезает". Программа AVZ-4 только для восстановления утраченного. Как я понял. Надо использовать все программа, так как одна не помогает. У меня была проблема - не открывался раб. стол.
Отправляю всё сразу, разбирайтесь.