Что это было?

Полная версия: Что это было?


Форум судебных медиков России > О жизни... и смерти > Скорая компьютерная помощь
Ex-SDS
Здравствуйте! Возникла проблема подмены страницы www.sudmed.ru/index.php ( При обращении по вышеуказанному URL переход осуществлялся на другую страницу стороннего сайта, при этом в адресной строке отображался URL главной страницы ФСМ. В сведениях страницы стояли скрипты стороннего сайта. Пытался исправить проблему - чистил кэш, куки, перегружал браузер, сканировал антивирусом,но все это не помогало. И вот следующим днем проблема ушла сама. Хотелось бы знать, что это было? Как не допустить в последующем? Как с этим бороться?


Admin
Первое, что приходит в голову - некоторые трояны прописывают в файле
c:\WINDOWS\system32\drivers\etc\hosts
явную переадресацию на нужный сайт. У меня знакомый для своего чада даже вывел редактирование этого файла на рабочий стол, так как ему надоело его править.
Проверьте, это простой текстовый файл. В "норме" он такой:
Цитата
# © Корпорация Майкрософт (Microsoft Corp.), 1993-1999
#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом '#'.
#
# Например:
#
# 102.54.94.97 rhino.acme.com # исходный сервер
# 38.25.63.10 x.acme.com # узел клиента x


Ex-SDS
Здравствуйте Admin! Спасибо за подсказку! Все в норме. Лишь одно смущает, а именно
Цитата
# This HOSTS file created by Dr.Web Scanner for Windows

127.0.0.1 localhost

Так как Dr.Web снес уже как месяцев 6 назад. huh.gif


Admin
Это на ходовые качества не влияет smile.gif , используется веб-базами (MySQL например) или доктором вебом при установке локального сервера баз данных. Оставьте как есть.


Любезный
Цитата
У меня знакомый для своего чада даже вывел редактирование этого файла на рабочий стол, так как ему надоело его править.


Советую Вам порекомендовать ему вести основную работу под ограниченным пользователем - как известно, программы, запущенные из-под него, в т.ч. вредоносные, не могут менять этот файл, как и остальные системные файлы.


Дмитрий
Цитата
При обращении по вышеуказанному URL переход осуществлялся на другую страницу стороннего сайта, при этом в адресной строке отображался URL главной страницы ФСМ.
Что за сайт грузился вместо ФСМ?

Цитата
Хотелось бы знать, что это было? Как не допустить в последующем? Как с этим бороться?
Проблема была на вашей стороне, подменой урлов занимаются трояны. Защищайте свою систему платным антивирусом.


Ex-SDS
Доброго времени суток!
Цитата
Что за сайт грузился вместо ФСМ?

Грузилась главная страничка сайта местного провайдера интернета.



Admin
Наверное кончились деньги за интернет?


nikolaj-vl
Цитата(Ex-SDS @ 6.11.2010 - 11:49)
Здравствуйте Admin! Спасибо за подсказку! Все в норме. Лишь одно смущает, а именно

Так как Dr.Web снес уже как месяцев 6 назад. huh.gif


- у Вебера и у Касперского можно через 6 месяцев установить демо-версию бесплатную на 1 мес. Ею всё проверить. Кроме того на этих сайтах есть программы восстановления работы и поиска вирусов в онлайн режиме, т. е. сразу же. Я так пользовался в теч. 3 мес.

Цитата(Admin @ 6.11.2010 - 11:19)
Первое, что приходит в голову - некоторые трояны прописывают в файле
c:\WINDOWS\system32\drivers\etc\hosts
явную переадресацию на нужный сайт. У меня знакомый для своего чада даже вывел редактирование этого файла на рабочий стол, так как ему надоело его править.
Проверьте, это простой текстовый файл. В "норме" он такой:


- здравствуйте Админ, я не настолько силен в программах, если не сложно на уровне крестьянина объясните, что за копию Вы опубликовали. (У меня, слава богу , таких проблем не было, но интересно.)
Хорошо бы что бы не пригодилось, но знать хочется.


Любезный
Попробую я.

Предположим, есть несколько компьютеров, соединённых в сеть. Как известно, компьютеры соединяют в сеть для того, чтобы можно было передать информацию с одного компьютера на другой. Чтобы обеспечить такой обмен, каждый компьютер в сети должен иметь идентификатор. В его качестве выступает так называемый IP-адрес, представляющий собой четыре числа в диапазоне от 0 до 255 (4 байта). Благодаря адресам один компьютер может обратиться к другому конкретному необходимому компьютеру.

Однако запоминать адреса компьютеров в виде чисел неудобно. Поэтому был придуман механизм опознавания компьютеров по именам. Каждый компьютер с Windows, помимо IP-адреса, имеет имя, которое можно в настройках компьютера поменять на более читабельное. В небольших сетях компьютер может сразу опросить всех соседей, чтобы узнать адрес компьютера, имеющего такое-то имя, и уже по полученному адресу обратиться к нужному компьютеру за нужной информацией.

Несколько иначе обстоит дело в Интернете. По заранее известному IP-адресу (его выдаёт оргазизация, предоставляющая доступ в Интернет) в сети присутствует так называемый сервер доменных имён (DNS). Обычно когда вы набираете www. ...... .ru в программе для просмотра интернет-страниц (по-другому она называется "браузер"), компьютер обращается к DNS и пытается узнать у него IP-адрес сервера, на котором находится страница. После получения этого IP-адреса компьютер обращается по нему к серверу, на котором находится страница, и принимает эту страницу.

Однако принято считать, что в некоторых случаях опрос всех компьютеров в сети (для малых сетей), а также обращение к DNS, может занимать слишком много времени, поэтому создатели Windows придумали обходной путь и пересмотрели механизм. В системе Windows есть так называемый файл hosts, в который системные администраторы записывают сетевые имена и IP-адреса компьютеров и серверов, к которым нужно обращаться наиболее часто. Когда вы пытаетесь обратиться к компьютеру по его имени, либо набираете www. ... . com, компьютер в первую очередь смотрит этот файл. Если имя компьютера или интернет-адрес присутствуют в этом файле, компьютер обращается по сети по IP-адресу для этого имени/интернет-адреса, указанному в этом файле. Если такого имени или интернет-адреса нет, компьютер обращается в сеть по принципам, описанным мной в предыдущих абзацах.

Главной проблемой этого пересмотренного механизма является то, что некоторые вредоносные программы (троянцы, вирусы) меняют этот файл, в результате чего при обращении к часто используемым интернет-сайтам компьютер загружает подставную страницу с вредоносным кодом. Что этот код делает, известно только его создателям.

Одной из мер защиты от правки этого файла вредоносными программами является переход на работу под ограниченным пользователем. К сожалению, большинство пользователей компьютеров работают в системе как пользователи с правами администраторов системы, поэтому все программы, запускаемые ими, могут делать в системе всё что хотят - записываться в системные и программные каталоги, править системные файлы и.т.п. Если же программа запускается пользователем с ограниченными правами, шансов навредить системе у неё практически нет, ибо такой пользователь может записывать файлы только в несколько "своих" папок, а системные - только читать. Разумеется, создавать ограниченного пользователя следует только после полной очистки компьютера от заразы. Настоятельно рекомендую эту меру в качестве дополнения к любому (даже бесплатному) антивирусу - благодаря такому тандему шансы зацепить троянца при серфинге в Инете и при работе с флэшками резко уменьшаются.


Ex-SDS
Доброго времени суток!
Цитата
Наверное кончились деньги за интернет?

Нет, у меня безлимит. С оплатой все нормально.
Антивирусная программа кaspersky crystal 9.0 (дэмка). Просканировал всю систему, угроз не выявил. Склонен думать, что, скорее всего, была ошибка у провайдера.


Николай 99
Я только кaspersky crystal 9.0 всем такие проблемы и решаю.


Ex-SDS
Цитата(Ex-SDS @ 8.11.2010 - 17:13)
Доброго времени суток!
Склонен думать, что, скорее всего, была ошибка у провайдера.

Да..., зря я так думал sad.gif Касперский обнаружил сторонее ПО, предложил удалить, в карантин, пропустить. Выбрал удалить, система зависла и выдала - невозможно, попытался в карантин, зависла и позже выдала пропустить все. Поставил на полное сканирование, итог - ни каспера, ни винды. Вот так <_


nikolaj-vl
Цитата(Ex-SDS @ 18.11.2010 - 18:36)
Да..., зря я так думал sad.gif Касперский обнаружил сторонее ПО, предложил удалить, в карантин, пропустить. Выбрал удалить, система зависла и выдала - невозможно, попытался в карантин, зависла и позже выдала пропустить все. Поставил на полное сканирование, итог - ни каспера, ни винды. Вот так <_

Не расстраивайтесь, к ночи попробую дать ссылки на программы восстановления, которыми я пользовался.


nikolaj-vl
Так как нет адреса, отправляю в личку ссылки полученные для меня от представительства "Касперского-Дк. Веб" в СПб. Раньше они работали со свеми, теперь только с юр. лицами. Программы одноразовые, только для восстановления. Будет некс. сообщений, в одно "не влезает". Программа AVZ-4 только для восстановления утраченного. Как я понял. Надо использовать все программа, так как одна не помогает. У меня была проблема - не открывался раб. стол.
Отправляю всё сразу, разбирайтесь.


Ex-SDS
Здравствуйте Admin! Периодически появляется ошибка: "overlib 4.10 or later is required for the hideform plugin" и страницу перебрасывает на главную провайдера. Вирусов нет на пк, кэш и cookies чищу. Захожу через какой-нибудь анонимайзер или опера турбо все нормально. Что это может быть?


Narkolog
у себя в hosts нашел
216.139.228.141 forum.xtcs.eu
216.139.228.141 xtcs.eu
216.139.228.141 files.xtcs.eu
216.139.228.141 cs.xtcs.eu
216.139.228.141 www.xtcs.eu

в whois-service.ru

Обратного просмотра: основное имя домена для адреса 216.139.228.141 - 216-139-228-141.aus.us.siteprotect.com
Для просмотра информации о принадлежности IP-адреса 216.139.228.141 воспользуйтесь разделом IP Lookup .
siteprotect.com занят.



Информация о домене SITEPROTECT.COM

=-=-=-=

Регистрационной службы предоставляется: Домен Люди
Контакты: support@domainpeople.com

Доменное имя: siteprotect.com

Регистрант Контакт:
DomainPeople, Inc
Дом Reg ()

Факс:
200-550 Беррард-стрит
Ванкувер, Британская Колумбия V6C2B5
CA

Административный контакт:
DomainPeople, Inc
Дом Прав (domainpeople-cdm@domainpeople.com)
+1.6046391680
Факс:
200-550 Беррард-стрит
Ванкувер, Британская Колумбия V6C 2B5
CA

Технический контакт:
DomainPeople, Inc
Дом Прав (domainpeople-cdm@domainpeople.com)
+1.6046391680
Факс:
200-550 Беррард-стрит
Ванкувер, Британская Колумбия V6C 2B5
CA


Это что такое?


Русская версия Invision Power Board © 2001-2017 Invision Power Services, Inc.

© 2002-2015 Форум судебных медиков
При копировании материалов сайта размещение активной ссылки на источник обязательно!