Windows XP - файл Hosts подделан

Question

Мой файл хоста Windows XP был подделан, и я не могу это исправить. Это особенно плохо, потому что все, что вмешалось в файл hosts, оставляло эти:

...
188.124.7.190 www.google.com 
188.124.7.190 google.com 
188.124.7.190 google.com.au 
188.124.7.190 www.google.com.au
188.124.7.190 google.be 
188.124.7.190 www.google.be
...

Если я правильно понимаю, файл hosts отвечает за сопоставление IP-адресов с именами, правильно? Похоже, что кто-то попытался сопоставить google (все языки), bing и yahoo с одним ip-адресом, но на любой сервер, на который перенаправлялись мои поиски в Google, был отключен, таким образом отрезав меня от любой формы поисковой системы. , Я должен был войти в Super User с моей учетной записью Wordpress, чтобы я мог опубликовать это.

Я попытался вручную удалить эти строки из файла hosts, но по какой-то причине я не могу его сохранить. Сейчас я работаю администратором, и я тоже пробовал это в безопасном режиме, ничего из того, что я пробовал, не работает. Стоит отметить, что теперь я отключил восстановление системы. Может ли кто-нибудь помочь?

редактировать: я уже пробовал запуск AV и защиты от вредоносных программ, Spybot S & D также не смог коснуться файла hosts.

Answer 1

У вас есть вирус или другой злоумышленник. Мой совет - сделать резервную копию, отключиться от Интернета, переформатировать и переустановить операционную систему. Считайте, что ваш пароль Wordpress (и действительно, все другие ваши пароли, которые вы, возможно, недавно ввели на этом компьютере) скомпрометированы; В любом программном обеспечении вашего хост-файла может содержаться регистратор ключей.

Вы могли бы рассмотреть возможность отключения этой машины от Интернета, чтобы исследовать симптомы и посмотреть, сможете ли вы окончательно определить источник вторжения, но я бы настоятельно рекомендовал не использовать компьютер для чего-либо еще в это время. Пока он не отключен, считайте все ваши действия и содержимое этого компьютера видимыми для какой-либо враждебной третьей стороны.

Быстрая проверка показывает, что рассматриваемый адрес фактически обслуживает контент Google более или менее бесперебойно, за исключением того, что он использует самозаверяющий сертификат SSL. Я бы изменил все ваши пароли, особенно для google.com и gmail.

Answer 2

Я рекомендую использовать некоторые дистрибутивы Linux для запуска вашего компьютера - эти дистрибутивы запускаются прямо с компакт-диска. Они могут читать раздел Windows и часто записывать в него.

Имейте в виду, однако, что вы действительно можете испортить свой компьютер, если вы не знаете, что делаете, или не знаете, как использовать Linux. Я могу порекомендовать Puppy Linux bas довольно удобный для пользователя дистрибутив с собственным браузером и другими необходимыми инструментами. Это следует рассматривать как временное решение, но может быть спасителем!

Хорошей особенностью является то, что вы можете перемещать файлы и создавать резервные копии со своего жесткого диска на жесткий диск USB без использования Windows.

Answer 3

Это типично для многих вредоносных приложений. У вас есть хороший AV установлен и в курсе? Для сканирования используйте другие инструменты, такие как Spybot Search и Destroy, Adaware и Malwarebytes. Я бы использовал все три. Дважды проверьте, что восстановление системы выключено и остается выключенным. Имейте в виду, что некоторые вредоносные программы будут блокировать вас с этих сайтов и AV-сайтов, поэтому вам, возможно, придется загружать и устанавливать их с другого компьютера.

Malwarebytes

Spybot

Adaware

Answer 4

Примечание. Этот ответ не поможет вам решить проблему. Это только временная задержка.

Пока это не исправлено, если вам нужно Google, введите любой из IP-адресов Google в адресной строке.

C:\>nslookup www.google.com
*** Can't find server name for address 10.2.1.3: Non-existent domain
*** Default servers are not available
Server:  UnKnown
Address:  10.2.1.3

DNS request timed out.
    timeout was 2 seconds.
Non-authoritative answer:
Name:    www.l.google.com
Addresses:  74.125.45.103, 74.125.45.104, 74.125.45.105, 74.125.45.106
          74.125.45.147, 74.125.45.99
Aliases:  www.google.com

Редактировать: Для поиска вам нужно будет вручную создать свой запрос.

Например:

http://74.125.45.103/search?q=dns+hijack+problem

Answer 5

Я использовал winternals, нашел файл Hosts в C:\windows\system32\drivers\etc. приступил к удалению файла, а затем создал новый. Затем перезагрузился, запустил все антивирусные и шпионские программы для удаления.

Answer 6

Некоторые вредоносные программы создают новый мошеннический файл hosts с атрибутами, делающими его скрытым защищенным системным файлом. Чтобы увидеть его и удалить, снимите флажок Скрыть защищенные файлы операционной системы в разделе «Параметры папки» на панели управления.

Переименуйте файл в hosts.old и перезагрузите компьютер.

Удалите файл, используя Malwarebytes > Дополнительные инструменты> File Assassin. Затем создайте новый файл hosts.

(См .: Как я могу восстановить файл Hosts обратно по умолчанию?)

Answer 7

У Microsoft есть этот учебник для вас:

Как мне вернуть файл hosts обратно к стандартному?

При необходимости сделайте это в безопасном режиме.

Answer 8

Вы можете попробовать запустить ComboFix на вашем компьютере. Это может решить проблему, какое-то вредоносное ПО.

Answer 9

Если вы уже выполнили все инструменты для защиты от вредоносных программ (и я советую вам выполнить эти шаги), то о вирусе, скорее всего, позаботятся.

После этого, если это строго вопрос разрешения; Возможно, вредоносная программа изменила права доступа к файлам.

Просто щелкните правой кнопкой мыши по файлу и перейдите в Properties . Перейдите на вкладку « Security и добавьте проверку того, что установлено как запрещенное, и снимите их, а также убедитесь, что у вас есть полные разрешения.

Значения по умолчанию для файла hosts должны выглядеть следующим образом:

Если это не проблема с разрешениями, и / или если после этого у вас все еще возникают проблемы, загрузите Microsoft / Sysinternals Process Explorer, перейдите к поиску / поиску и введите hosts. Он должен быть в состоянии сказать вам, какой процесс блокирует файл. Это может быть что-то невинное, такое как AV или подобное, или это может быть более вредоносным и быть результатом того, что вредоносное ПО все еще присутствует.

Answer 10

Доберитесь до другого компьютера и загрузите программы Combofix и SmitFraudFix. Загрузитесь в безопасном режиме и запустите оба. Это должно решить проблему.