Здравствуйте! Возникла проблема подмены страницы www.sudmed.ru/index.php ( При обращении по вышеуказанному URL переход осуществлялся на другую страницу стороннего сайта, при этом в адресной строке отображался URL главной страницы ФСМ. В сведениях страницы стояли скрипты стороннего сайта. Пытался исправить проблему - чистил кэш, куки, перегружал браузер, сканировал антивирусом,но все это не помогало. И вот следующим днем проблема ушла сама. Хотелось бы знать, что это было? Как не допустить в последующем? Как с этим бороться?
Admin
6.11.2010 - 10:19
Первое, что приходит в голову - некоторые трояны прописывают в файле c:\WINDOWS\system32\drivers\etc\hosts явную переадресацию на нужный сайт. У меня знакомый для своего чада даже вывел редактирование этого файла на рабочий стол, так как ему надоело его править. Проверьте, это простой текстовый файл. В "норме" он такой:
Здравствуйте Admin! Спасибо за подсказку! Все в норме. Лишь одно смущает, а именно
Цитата
# This HOSTS file created by Dr.Web Scanner for Windows
127.0.0.1 localhost
Так как Dr.Web снес уже как месяцев 6 назад.
Admin
6.11.2010 - 10:53
Это на ходовые качества не влияет , используется веб-базами (MySQL например) или доктором вебом при установке локального сервера баз данных. Оставьте как есть.
Любезный
6.11.2010 - 21:39
Цитата
У меня знакомый для своего чада даже вывел редактирование этого файла на рабочий стол, так как ему надоело его править.
Советую Вам порекомендовать ему вести основную работу под ограниченным пользователем - как известно, программы, запущенные из-под него, в т.ч. вредоносные, не могут менять этот файл, как и остальные системные файлы.
Дмитрий
6.11.2010 - 22:00
Цитата
При обращении по вышеуказанному URL переход осуществлялся на другую страницу стороннего сайта, при этом в адресной строке отображался URL главной страницы ФСМ.
Что за сайт грузился вместо ФСМ?
Цитата
Хотелось бы знать, что это было? Как не допустить в последующем? Как с этим бороться?
Проблема была на вашей стороне, подменой урлов занимаются трояны. Защищайте свою систему платным антивирусом.
Ex-SDS
7.11.2010 - 07:41
Доброго времени суток!
Цитата
Что за сайт грузился вместо ФСМ?
Грузилась главная страничка сайта местного провайдера интернета.
Admin
7.11.2010 - 17:18
Наверное кончились деньги за интернет?
nikolaj-vl
8.11.2010 - 00:17
Цитата(Ex-SDS @ 6.11.2010 - 11:49)
Здравствуйте Admin! Спасибо за подсказку! Все в норме. Лишь одно смущает, а именно
Так как Dr.Web снес уже как месяцев 6 назад.
- у Вебера и у Касперского можно через 6 месяцев установить демо-версию бесплатную на 1 мес. Ею всё проверить. Кроме того на этих сайтах есть программы восстановления работы и поиска вирусов в онлайн режиме, т. е. сразу же. Я так пользовался в теч. 3 мес.
Цитата(Admin @ 6.11.2010 - 11:19)
Первое, что приходит в голову - некоторые трояны прописывают в файле c:\WINDOWS\system32\drivers\etc\hosts явную переадресацию на нужный сайт. У меня знакомый для своего чада даже вывел редактирование этого файла на рабочий стол, так как ему надоело его править. Проверьте, это простой текстовый файл. В "норме" он такой:
- здравствуйте Админ, я не настолько силен в программах, если не сложно на уровне крестьянина объясните, что за копию Вы опубликовали. (У меня, слава богу , таких проблем не было, но интересно.) Хорошо бы что бы не пригодилось, но знать хочется.
Любезный
8.11.2010 - 10:40
Попробую я.
Предположим, есть несколько компьютеров, соединённых в сеть. Как известно, компьютеры соединяют в сеть для того, чтобы можно было передать информацию с одного компьютера на другой. Чтобы обеспечить такой обмен, каждый компьютер в сети должен иметь идентификатор. В его качестве выступает так называемый IP-адрес, представляющий собой четыре числа в диапазоне от 0 до 255 (4 байта). Благодаря адресам один компьютер может обратиться к другому конкретному необходимому компьютеру.
Однако запоминать адреса компьютеров в виде чисел неудобно. Поэтому был придуман механизм опознавания компьютеров по именам. Каждый компьютер с Windows, помимо IP-адреса, имеет имя, которое можно в настройках компьютера поменять на более читабельное. В небольших сетях компьютер может сразу опросить всех соседей, чтобы узнать адрес компьютера, имеющего такое-то имя, и уже по полученному адресу обратиться к нужному компьютеру за нужной информацией.
Несколько иначе обстоит дело в Интернете. По заранее известному IP-адресу (его выдаёт оргазизация, предоставляющая доступ в Интернет) в сети присутствует так называемый сервер доменных имён (DNS). Обычно когда вы набираете www. ...... .ru в программе для просмотра интернет-страниц (по-другому она называется "браузер"), компьютер обращается к DNS и пытается узнать у него IP-адрес сервера, на котором находится страница. После получения этого IP-адреса компьютер обращается по нему к серверу, на котором находится страница, и принимает эту страницу.
Однако принято считать, что в некоторых случаях опрос всех компьютеров в сети (для малых сетей), а также обращение к DNS, может занимать слишком много времени, поэтому создатели Windows придумали обходной путь и пересмотрели механизм. В системе Windows есть так называемый файл hosts, в который системные администраторы записывают сетевые имена и IP-адреса компьютеров и серверов, к которым нужно обращаться наиболее часто. Когда вы пытаетесь обратиться к компьютеру по его имени, либо набираете www. ... . com, компьютер в первую очередь смотрит этот файл. Если имя компьютера или интернет-адрес присутствуют в этом файле, компьютер обращается по сети по IP-адресу для этого имени/интернет-адреса, указанному в этом файле. Если такого имени или интернет-адреса нет, компьютер обращается в сеть по принципам, описанным мной в предыдущих абзацах.
Главной проблемой этого пересмотренного механизма является то, что некоторые вредоносные программы (троянцы, вирусы) меняют этот файл, в результате чего при обращении к часто используемым интернет-сайтам компьютер загружает подставную страницу с вредоносным кодом. Что этот код делает, известно только его создателям.
Одной из мер защиты от правки этого файла вредоносными программами является переход на работу под ограниченным пользователем. К сожалению, большинство пользователей компьютеров работают в системе как пользователи с правами администраторов системы, поэтому все программы, запускаемые ими, могут делать в системе всё что хотят - записываться в системные и программные каталоги, править системные файлы и.т.п. Если же программа запускается пользователем с ограниченными правами, шансов навредить системе у неё практически нет, ибо такой пользователь может записывать файлы только в несколько "своих" папок, а системные - только читать. Разумеется, создавать ограниченного пользователя следует только после полной очистки компьютера от заразы. Настоятельно рекомендую эту меру в качестве дополнения к любому (даже бесплатному) антивирусу - благодаря такому тандему шансы зацепить троянца при серфинге в Инете и при работе с флэшками резко уменьшаются.
Ex-SDS
8.11.2010 - 14:13
Доброго времени суток!
Цитата
Наверное кончились деньги за интернет?
Нет, у меня безлимит. С оплатой все нормально. Антивирусная программа кaspersky crystal 9.0 (дэмка). Просканировал всю систему, угроз не выявил. Склонен думать, что, скорее всего, была ошибка у провайдера.
Николай 99
9.11.2010 - 09:43
Я только кaspersky crystal 9.0 всем такие проблемы и решаю.
Ex-SDS
18.11.2010 - 17:36
Цитата(Ex-SDS @ 8.11.2010 - 17:13)
Доброго времени суток! Склонен думать, что, скорее всего, была ошибка у провайдера.
Да..., зря я так думал Касперский обнаружил сторонее ПО, предложил удалить, в карантин, пропустить. Выбрал удалить, система зависла и выдала - невозможно, попытался в карантин, зависла и позже выдала пропустить все. Поставил на полное сканирование, итог - ни каспера, ни винды. Вот так <_
nikolaj-vl
18.11.2010 - 19:04
Цитата(Ex-SDS @ 18.11.2010 - 18:36)
Да..., зря я так думал Касперский обнаружил сторонее ПО, предложил удалить, в карантин, пропустить. Выбрал удалить, система зависла и выдала - невозможно, попытался в карантин, зависла и позже выдала пропустить все. Поставил на полное сканирование, итог - ни каспера, ни винды. Вот так <_
Не расстраивайтесь, к ночи попробую дать ссылки на программы восстановления, которыми я пользовался.
nikolaj-vl
19.11.2010 - 10:30
Так как нет адреса, отправляю в личку ссылки полученные для меня от представительства "Касперского-Дк. Веб" в СПб. Раньше они работали со свеми, теперь только с юр. лицами. Программы одноразовые, только для восстановления. Будет некс. сообщений, в одно "не влезает". Программа AVZ-4 только для восстановления утраченного. Как я понял. Надо использовать все программа, так как одна не помогает. У меня была проблема - не открывался раб. стол. Отправляю всё сразу, разбирайтесь.
Ex-SDS
1.03.2011 - 15:28
Здравствуйте Admin! Периодически появляется ошибка: "overlib 4.10 or later is required for the hideform plugin" и страницу перебрасывает на главную провайдера. Вирусов нет на пк, кэш и cookies чищу. Захожу через какой-нибудь анонимайзер или опера турбо все нормально. Что это может быть?
Narkolog
1.03.2011 - 22:57
у себя в hosts нашел 216.139.228.141 forum.xtcs.eu 216.139.228.141 xtcs.eu 216.139.228.141 files.xtcs.eu 216.139.228.141 cs.xtcs.eu 216.139.228.141 www.xtcs.eu
в whois-service.ru
Обратного просмотра: основное имя домена для адреса 216.139.228.141 - 216-139-228-141.aus.us.siteprotect.com Для просмотра информации о принадлежности IP-адреса 216.139.228.141 воспользуйтесь разделом IP Lookup . siteprotect.com занят.
Информация о домене SITEPROTECT.COM
=-=-=-=
Регистрационной службы предоставляется: Домен Люди Контакты: [email protected]
Доменное имя: siteprotect.com
Регистрант Контакт: DomainPeople, Inc Дом Reg ()
Факс: 200-550 Беррард-стрит Ванкувер, Британская Колумбия V6C2B5 CA
Административный контакт: DomainPeople, Inc Дом Прав ([email protected]) +1.6046391680 Факс: 200-550 Беррард-стрит Ванкувер, Британская Колумбия V6C 2B5 CA
Технический контакт: DomainPeople, Inc Дом Прав ([email protected]) +1.6046391680 Факс: 200-550 Беррард-стрит Ванкувер, Британская Колумбия V6C 2B5 CA