В последнее время все чаще от пользователей можно услышать жалобы, "почему не открывается сайт" популярных социальных сетей: «Одноклассники», «Вконтакте»,  а также некоторые другие. Основная причина проблем — вирус, который находится в системе, причем не в одном месте. Его действия предугадать достаточно сложно. Сервисные центры предлагают переустановить операционную систему, но такое решение почти никого не устроит. Поэтому вас заинтересует эта статья.  В ней мы расскажем реальный случай удаления опасной утилиты. Даже начинающий пользователь сможет разобраться, что к чему.

Не все пользователи имеют возможность обратиться к программисту для решения тех или иных проблем. Многие предпочитают разобраться во всем самостоятельно, и в большинстве случаев им это удается. Проблемы могут быть самыми разными. В последнее время все чаще встречается следующая: при попытке открыть известные соц.ресурсы появляется страница с сообщением следующего характера:

Обнаружена угроза, зафиксированы попытки внести изменения в работу браузера. Чтобы не допустить кражу конфиденциальной информации, паролей, денежных средств в электронных системах, рекомендуется установить последнее обновление безопасности браузера.

Чтобы начать обновление, подтвердите согласие, введите номер телефона, на который будет отправлена смс с кодом. После этого появляется поле для ввода номера телефона. Если его ввести, придет сообщение с кодом и предложение выслать подтверждение. Понятно, что если это сделать, то с телефона снимут немаленькую сумму.

В интернете проблема обсуждается уже давно. И почти всегда предлагается исправить файл hosts, проверить компьютер на предмет «заразы». Вот, что пишет один из пользователей: «Проверил компьютер антивирусом от двух производителей, результат нулевой. С hosts сложилась интересная ситуация. В папке, где он должен быть С:\windows\system32\drivers\etc\, его нет. Пробовал включить отображение скрытых файлов и папок, убрал галочку с параметра Скрывать защищённые системные файлы, создал его заново. Ничего не помогает».

Не открывается сайты

Для начала полезная информация: если проблемы появились недавно, выполните откат системы на пару дней назад. Это должно помочь. Также в большинстве случаев помогает полное ее сканирование собственным антивирусом или утилитой  Dr.Web CureIt. Перед любыми действия рекомендуется создать точку восстановления системы, чтобы в любой момент можно было вернуться к исходному состоянию.

Важно, чтобы на компьютере всегда был хороший антивирь, который должен постоянно обновляться. Дополнительно установите менеджер автозагрузки.

Выбирая операционку, отдайте предпочтение Windows 7 64-bit или Windows 8 64-bit. Они более безопасны.

Почему не открываются Одноклассники

Введите в командной строке:

А дальше ввести Ping www.odnoklassniki.ru.

Ping — это служебная компьютерная программа, которая проверяет соединения в сетях  TCP/IP. Это одно из самых простых и надежных диагностических средств, оно часто входит в современные ОС.

Она позволяет проверить доступность ресурса вашему компьютеру. Утилита отправляет запрос, фиксирует поступающий ответ. «Превышен интервал ожидания для запроса (100% потерь)» — портал недоступен.  Но ведь он открывается и возникает предупреждение — С вашего  IP зарегистрирована аномальная активность. То есть, кто-то все-таки просит нас послать деньги через смс. Навряд ли это реальные Одноклассники.

Введите другую команду: Ping 217.20.147.94. В ответ приходит сообщение, что происходит обмен пакетами (0% потерь). Это свидетельствует о том, что соц.сеть доступна, но запущен вредоносный процесс, который и запрещает переход на их доменное имя.

Если вы не можете войти, попробуйте ввести в адресной строке IP-адрес, в большинстве случаев у вас получится открыть ресурс. Но много зависит от сложности написания вредоносной утилиты. В самых тяжелых случаях не помогает даже IP-адрес.

Фишинговые или подменные порталы, как правило, долго не существуют. Но даже после их закрытия вирус достаточно долго остается в сети. Поэтому вместо Одноклассников вы можете увидеть пустое белое окно или сообщение Сервер не найден.

Если у вас возникли проблемы с доступом, проверьте раздел реестра, где находятся таблицы маршрутизации.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes\] в ней вообще ничего не должно быть.

Как происходит перенаправление на фишинговый сайт

В большинстве случаев, перенаправление осуществляет модифицированный hosts. Где его искать, что делать, если содержание не соответствует оригиналу или у вас их два, или вовсе нет?!

Его можно найти по адресу  C:\Windows\System32\drivers\etc и имеет атрибут «скрытый». Он обеспечивает ускорение работы в интернете, сопоставляя их  IP-адреса доменным именам и обходя обращение к DNS сервису.

Что такое  DNS сервер? Все ресурсы расположены на определенных серверах,  и имеют  обозначения в цифрах. Привычные нам буквенные наименования придуманы для удобства. К примеру, Одноклассники имеет IP-адрес 217.20.147.94. Если набрать эту комбинацию цифр, откроется сайт одноклассники.

Когда мы вводим в адресной строке www.odnoklassniki.ru, сервер DNS  переводит буквенное значение в цифры, после чего мы попадаем на сайт. В  hosts перед названием  www.odnoklassniki.ru можно ввести  217.20.147.94, то есть  IP-адрес. В этом случае мы попадаем туда чуть быстрее, минуя службу  DNS. Дело в том, что  любой браузер до выхода в интернет сначала смотрит информацию в  hosts. Если там есть нужная информация, он открывается без участия службы  DNS.

Hosts — настоящая находка для вирусосписателя. Если в нем прописать, например, 94.100.191.203 www.odnoklassniki.ru, то при наборе адреса вы попадете не туда, куда хотели, а конкретно на почтовый сервер  mail.ru.  И  94.100.191.203 — это его  IP-адрес.

В последнее время вирусописатели придумали одну хитрость. Например, если  hosts открыть в блокноте, ничего подозрительного сначала вы не увидите, содержание стандартное, но если посмотреть в самый конец, может обнаружить вредоносные записи, которые, конечно же нужно удалить. Через некоторое время снова проверьте его, если вредоносные записи на месте, значит на вашем компьютере работает вирус.

Как найти файл hosts

Он всегда находится по адресу С:\Windows\system32\drivers\etc\. Но он может и отсутствовать. Причин несколько.  Может быть скрыт, чтобы его увидеть, надо включить отображение скрытых файлов и папок. Компьютер — Упорядочить — Параметры папок и поиска — Вид, снимаем галочку с пункта Скрывать защищённые системные файлы, Скрывать расширения для зарегистрированных типов, отмечаем пункт Показывать скрытые файлы, папки и диски. Применить и ОК. Теперь  его можно будет увидеть.

Возможно после заражения вирусом у вас окажется их два. Если открыть видимый с расширением  .txt, его содержание будет совпадать с оригинальным, но это не настоящий документ. У него не может быть никакого расширения, реальный и модифицируемый вирусом он имеет атрибут скрытый. Вы не сможете его увидеть, пока не включите нужную опцию.

Может быть и другое: два файла hosts, оба без расширения и абсолютно одинаковые. Причина в следующем: вирус подменяет в настоящем  hosts букву «o» на букву «o» в кириллице, и он становится неработоспособным. В последующем вирус создает свой вредоносный  hosts, который и используется системой. В итоге их получается два. Что делать в этом случае, расскажем чуть ниже.

Если после  всех этих действия вы так и не можете найти hosts, значит изменен ключ в реестре, который отвечает за расположение  hosts в операционной системе. Заходим в реестр и смотрим ключ: HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\services\Tcpip\Parameters\DataBasePath.  Он должен иметь значение ие %SystemRoot%\System32\drivers\etc\, то есть С:\windows\system32\drivers\etc\, если ключ изменен и в нем указана другая папка, система будет использовать  hosts, который находится в этой другой папке. Возвращаем необходимые параметры.

Случается такое крайне редко, редактировать реестр без особой необходимости не нужно, если вы планируете это сделать, обязательно создайте резервную копию реестра. Файл может удалить антивирусная программа при попытке вируса изменить его содержание. Такое бывает очень часто. Вне зависимости от причин, вы всегда можете вернуть  hosts оригинальное содержание вручную или автоматически. Если вы выбрали исправление автоматически, нужно перейти по ссылке  на официальный сайт Microsoft, выбрать утилиту  Microsoft Fix it 50267 и нажать устранить проблему.  После перезагрузки операционной системы будет использоваться уже  исправленный  hosts.

Чтобы исправить  hosts вручную полностью скопируйте содержание оригинального файла и замените им содержание вашего  hosts:

# Copyright © 1993—2006 Microsoft Corp.

#

# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.

#

# This file contains the mappings of IP addresses to host names. Each

# entry should be kept on an individual line. The IP address should

# be placed in the first column followed by the corresponding host name.

# The IP address and the host name should be separated by at least one

# space.

#

# Additionally, comments (such as these) may be inserted on individual

# lines or following the machine name denoted by a '#' symbol.

#

# For example:

#

# 102.54.94.97 rhino.acme.com # source server

# 38.25.63.10 x.acme.com # x client host

# localhost name resolution is handle within DNS itself.

# 127.0.0.1 localhost

# ::1 localhost

Если у вас  отредактировать  hosts не удается, следует обратить внимание на следующее:

Программу notepad (блокнот) запустить от лица администратора.

Снять с  hosts атрибут  — Только для чтения

Антивирусная программа может запретить редактирование  hosts, отключите ее на время или загрузитесь в безопасном режиме.

Папку «etc» можно заменить, взяв ее у друзей, если у них та же версия операционной системы и нет проблем с доступом на сайты.

Как найти вирус

После того как  hosts проверен, нужно найти вредоносную утилиту на компьютере. Чтобы ускорить процесс, можно скачать полезную и бесплатную утилиту  Dr.Web CureIt.

Чтобы обнаружить «врага», в первую очередь, нужно изучить софты, которые загружаются вместе с операционной системой, то есть проанализировать автозагрузку. Для этого понадобится хороший инструмент. Выбираем простую и эффективную программу  AnVir Task Manager. Но владеть ей нужно профессионально. Скачиваем ее на официальном сайте  и устанавливаем. При установке не выбирайте полную установку, откройте настройку параметров, максимально полно снимите все галочки, оставьте только на пункте Запустить  AnVir Task Manager. Добавьте иконку на рабочий стол, пригодится иконка загрузки процессора. И поставьте галочку на Стартовать  AnVir Task Manager при загрузке Windows.

Запускаем софт и изучаем автозагрузку. В первую очередь, нужно обратить внимание на то, что AnVir Task Manager  предоставляется исчерпывающую информацию по файлам и процессам, есть пункт Уровень риска, то есть утилита подсказывает, на что нужно обратить внимание. Смотрим на все незнакомые файлы и процессы, которые находятся в автозагрузке.

Стоит учесть, что иногда вирус маскируется под вполне  нужную и полезную программу. В качестве примера рассмотрим следующую ситуацию. Открываем автозагрузку, видим приложение  adobe_flash_player.exe. По идее данный файл должен принадлежать компании-разработчику  Adobe Systems. Щелкаем правой кнопкой мыши по ней и ставим галочку на Детальная информация, открываем. По предварительному прогнозу  AnVir Task Manager, файл является опасным.

Если бы файл принадлежал  Adobe Flash Player, он бы находился в папке

C:\Windows\System32\Macromed\Flash для операционной системы Windows 7-32bit.

Или

C:\Windows\SysWOW64\Macromed\Flash\для операционной системы Windows 7-64bit.

Но он размещен совершенно в другой папке. Щелкаем по нему, выбираем в меню — Перейти — Показать файл в проводнике, называется папка Автозагрузка. В ней находятся ярлыки программ, которые нужно запустить пользователю вместе с операционной системой. Каждая опасная утилита пытается попасть в эту папку и запустить вредоносный процесс при следующей загрузке системы. Сами мы туда файл не помещали, непонятно, зачем он вообще нужен.

В Windows XP папка Автозагрузка находится по адресу

C:\Documents and Settings\Имя пользователя\Главное меню\Программы\Автозагрузка

В Windows 7 папка Автозагрузка находится по адресу

C:\Users\Имя вашей папки\AppData\Roaming\Microsoft\Windows\Start Menu\Programs

Данный факт должен вызвать подозрение. Более того, если в окне программы  AnVir Task Manager выбрать пункт Все записи, можно увидеть файл настоящего планировщика программы Adobe Flash Player и называется он Adobe Flash Player Updater и имеет как и положено свой исполняемый файл. Жмём Перейти -> Показать файл в проводнике.

— FlashPlayerUpdateService.exe, который находится в папке

C:\Windows\System32\Macromed\Flash – для 32-битных операционных систем

Или

C:\Windows\SysWOW64\Macromed\Flash\ — для 64 – битных операционных систем

Таким образом, понятно что данный adobe_flash_player.exe опасен и его нужно удалить. С помощью программы AnVir Task Manager  можно проверить любой файл. Выбираем службу, щелкаем правой мышью на нашем adobe_flash_player.exe и нажимаем в меню пункт – Проверить на сайте www.virustotal.com.

Ответ очевидный — это он.  В результате опасный файл удалось удалить только в безопасном режиме.

После удаления компьютер ожил, прекратились подтормаживания, но зайти на нужные сайты не удалось. Ищем проблему дальше. Смотрим автозагрузку, ничего необычного, программы встречаются постоянно, некоторые из них выключены из автозагрузки WinAMP agent, Praetorian — Защитник Яндекс, Skype, Download Master. Кроме этого, видно еще три процесса, которые принадлежат устройству  Panasonic. Скорее всего, это принтер.

Если он действительно подключен, отключите на время связанные с ним процессы в автозагрузке. Далее следует посмотреть подробно пункт Автозагрузки — Все записи. Если здесь тоже есть процессы, принадлежащие принтеру. Попробуем перейти к этим процессам.

Служба Panasonic Local Printer Service — исполняемый файл LMSRVNT.EXE, находится по адресу

C:\Program Files\Panasonic\LocalCom

и вторая

Служба Panasonic Trap Monitor – исполняемый файл Trapmnnt.exe, находится по адресу

C:\Program Files\Panasonic\TrapMonitor

Проверяем оба процесса на сайте www.virustotal.com и второй процесс оказывается вредоносным, а Trapmnnt.exe оказывается заражен. Завершаем оба процесса. После чего спокойно заходим на сайты, с которыми ранее были проблемы. Получилось.

Если верить сайту www.virustotal.com, то Trapmnnt.exe заражён Win32.Sality по версии Avast. Он инфицирует файлы с расширением EXE, меняя их содержание и   размер.

Если вы не доверяете сайту www.virustotal.com, можно попробовать еще один способ. Поможет сайт  filecheck.ru. На нем можно узнать полную информацию практически о любом файле, то есть к какой утилите принадлежит, где должен находиться и т. д.

По нашему файлу информация следующая:

Trapmnnt.exe находится в подпапках «C:\Program Files». Размер для Windows 7/Vista/XP составляет 69,632 байт.

На самом деле размер составлял 72 856 байт по сравнению с оригиналом 69,632. Не совпадали контрольные суммы (хеш-суммы) оригинального Trapmnnt.exe с проверяемым файлом.

Контрольная сумма — это определенное значение, которое применяется для проверки целостности данных, может использоваться для детектирования компьютерных вирусов. Определить контрольную сумму можно с помощью бесплатной утилиты  HashTab. Скачайте ее на официальном сайте, после установки она добавляет в меню Свойства файла дополнительную вкладку Хэш-суммы файлов. Программа автоматически измеряет контрольную сумму за такими алгоритмами, как *CRC32, *MD5, *SHA-1.

Проблемный файл не числился в списке нормальных оных, после проверки был обнаружен антивирусной программой и успешно удален. Больше на компьютере опасных утилит не было. После этого удалите программное обеспечение и драйвер принтера и установите его заново.

Часто после удаления вируса, проблемы с доступом на сайты все равно возникают, так как вирус меняет в свойствах сетевого протокола настройки DNS, а именно DNS-адреса. Как исправить, расскажем чуть ниже.

Где ещё могут быть вирусы?

Если у вас проблемы с доступом на сайты, обязательно войдите в Подключение по локальной сети — Свойства. Нажмите Пуск — Панель управления — Сеть и интернет — Центр управления сетями и общим доступов — Изменения параметров адаптера, заходим в Свойства подключения по локальной сети.

Протокол интернета версии 4 (TCP/IPv4) и Свойства

Если ваш провайдер присваивает всем компьютерам  IP-адреса автоматически, должно быть выставлено следующее значение:

Получить IP-адрес автоматически и Получить адрес DNS-сервера автоматически.

Однако может быть и такое, что вирус прописывает здесь свой DNS-сервер.  В этом случае нужно удалить все изменения, внесенные вирусом и отметить пункт Получить адрес  DNS-сервера автоматически и нажать ОК.

Иногда провайдеры присваивают компьютерам в сети определенные  IP адреса, Маску подсети и Основной шлюз, Предпочитаемый DNS-сервер, Альтернативный DNS-сервер. При проблемах с доступом на сайты,  все адреса надо проверить. Обычно они указаны в договоре с провайдером.

Если и это не помогает и вирус не удалось найти, попробуйте следующее: в AnVir Task Manager есть параметр Все записи. При его открытии можно увидеть много интересного, например, запись Mario Forever Toolbar. Они совершенно вам не нужны. Для начала отключите Mario Forever Toolbar в надстройках  Internet Explorer. Затем отключите в самой программе  AnVir Task Manager и удалите все записи в реестре. Через встроенную в  Windows утилиту можно полностью удалить Toolbar.

Обязательно проверьте папки временных файлов. Зайдите C:\USERS\имя пользователя\AppData\Local\Temp, там  часто находятся вирусные варианты.

Trojan.Mayachok.1

В сети активно обсуждается вирус Trojan.Mayachok.1, который является не чем иным как .dll — динамически подключаемой библиотекой. Он непосредственно связан с нашей проблемой, так как это вредоносная утилита, ворующая деньги со счетов клиентов мобильных операторов, предлагая пользователям ответить на входящее СМС-сообщение.

Уже есть новая модификация этого вируса Trojan.MayachokMEM.4. Она отличается тем, что производит свои разрушительные действия в системе немного по другому, но хочу можно заранее сказать, что с ним прекрасно справляется антивирусная утилита Dr.Web CureIt.

В случае заражения вирусом Trojan.Mayachok.1, в ветку реестра

Для пользователей x32 разрядных систем:

HKLM\SOFTWARE\Microsoft\Windows NT\Current Version\Windows\Appinit_Dlls

В параметр \Appinit_Dlls, добавляется значение, примерно такого содержания (название вируса генерируется случайным образом), например

«C:\windows\system32\fxqxtph.dll»

Всё это нужно удалить, затем удалить сам вирусный экземпляр по адресу соответственно записи в реестре

C:\windows\system32\fxqxtph.dll

Так же нужно удалить созданные одновременно с fxqxtph.dll файлы с расширением .tmp из каталогов

C:\windows\system32 и C:\windows\SYSWOW64 (на 64 битных системах).

Для пользователей x64 разрядных систем вирус будет находиться в папке C:\windows\SYSWOW64\fxqxtph.dll"