КАК Я ЛЕЧИЛСЯ ОТ ПОРНОБАННЕРА

Как и многие пользователи всемирной паутины, я,  УВЫ, столкнулся с проблемой. Каким то образом на рабочем столе моего компьютера появился порноинформер (как их еще называют баннер) который, воздействуя на файлы системного реестра,  произвел  атаку файла hosts- текстовый файл, содержащий базу данных доменных имен и используемый при их трансляции в сетевые адреса узлов. Возможность назначения доменных имён определённым IP-адресам используется во многих компьютерных вирусах.

Например, червь Mydoom блокирует доступ пользователей к сайтам антивирусных компаний и узлу Windows Update, внося изменения в файл hosts администратор компьютера может запретить запись в этот файл в целях увеличения безопасности компьютера. Установите на файл атрибут «только для чтения» — это поможет избежать его изменения простыми вирусами. Для этого надо нажать на имени файла правой кнопкой мыши, выбрать пункт меню «Свойства», установить галочку «Только чтение» и нажать Ok.

Так чтобы понять принцип действия этого файлика, я приведу пример. Ваш чадо очень много времени просиживает за компьютером, на каком нибудь игровом сайте, например http://www.piratia.ru/ Мы запросто можем запретить доступ к данному сайту, произведя нехитрые манипуляции в файле hosts. При попытке открыть данный сетевой ресурс будет приходить сообщение об ошибке соединения. Рассмотрим подробнее….

Содержание файла hosts по умолчанию….

# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999

#

# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.

# Этот файл содержит сопоставления IP-адресов именам узлов.

# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен

# находиться в первом столбце, за ним должно следовать соответствующее имя.

# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.

#

# Кроме того, в некоторых строках могут быть вставлены комментарии

# (такие, как эта строка), они должны следовать за именем узла и отделяться

# от него символом '#'.

#

# Например:

#

#      102.54.94.97     rhino.acme.com          # исходный сервер

#       38.25.63.10     x.acme.com              # узел клиента x

127.0.0.1       localhost

Мы делаем изменения в строке  «127.0.0.1       localhost»  вписав в место  localhost  адрес игрового ресурса www.piratia.ru

То есть получаем…..

127.0.0.1              www.piratia.ru

127.0.0.1       www.piratia.ru   

87.250.251.3  www.piratia.ru

Замечу, что количество пробелов между IP-адресом сетевого ресурса значения не имеет, а сам адрес вписывается, как вы уже заметили без субдерриктории вида http://  

Вот этот то способ и используют некоторые вирусы, которые то и подменяют указанный по умолчанию IP.  

В некоторой степени это свойство или способ «вписывания» IP несет и положительную сторону.

Так для того чтобы браузер быстрее «откликался» на запрос к любимым нами сайтам мы также можем вписать значения IP и адреса интересующего нас сайта. Что мы получаем….

127.0.0.1       localhost

87.250.251.3  www.yandex.ru  

91.198.174.232   ru.wikipedia.org

_______________________________________________________________________________________________________________________________________________________

  Вот что я  нашел из источника mic-hard.narod.ru. Я думаю это необходимо закрепить.

hosts file - руль и защита вашего браузера

Обычно файл hosts находится в ХР (..\WINDOWS\system32\drivers\etc\hosts)
в 98 (...\windows\ hosts)

(Очень редко он может находиться в другом месте. В каком - определяется в этой ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters. Смотрим параметр DataBasePath, определяющий местонахождение "истиного" файла hosts.)

Этот файл определяет соответствие доменных имен IP-адресам. Для каких практических целей может быть использован файл hosts? Для ускорения работы в интернете посредством обхода обращения к DNS серверу для часто посещаемых страниц и блокирования доступа к некоторым нежелательным сайтам, а также запрета обращения к адресам баннерообменных сетей.


По умолчанию этот файл содержит всего одну запись: 127.0.0.1 localhost
В этом же файле может находится и краткая справка Microsoft с правилами добавления новых записей.


Правила следующие: Каждый элемент должен располагаться в отдельной строке. IP-адрес должен находиться в первом столбце, за ним должно следовать соответствующее имя. IP-адрес и имя узла должны разделяться хотя бы одним пробелом. Кроме того, в некоторых строках могут быть вставлены комментарии они должны следовать за именем узла и отделяться от него символом #. То есть все, что пишется после знака # рассматривается как комментарий и игнорируется при обработке файла.


Немного теории. Если вы набираете в адресной строке броузера адрес сайта, то сначала броузер связывается с DNS сервером, который преобразует этот обычный адрес в IP адрес запрашиваемого сервера. В строке состояния броузера в этот момент пишется: "Поиск узла...". Если запрашиваемый узел найден, то в строке состояния выводится текст "Узел найден, ожидается ответ...", и устанавливается TCP соединение по стандартному для данного сервиса порту.


Ускорение работы в интернет можно достичь сопоставив явно в файле hosts доменные имена часто посещаемых ресурсов соответствующим IP адресам. Это позволит не обращаться к серверу DNS, а сразу устанавливать соединение.


Узнать IP адрес нужного узла можно с помощью программы ping (..\WINDOWS\system32\ping.exe). Например, чтобы узнать IP адрес сайта www.yandex.ru, наберите в командной строке cmd.exe и нажмите OK, в открывшемся окне наберите команду ping www.yandex.ru. Вы получите статистику пингования по данному узлу и IP адрес сайта. Также для получения IP адреса можно воспользоваться специальными утилитами сторонних разработчиков.


Может возникнуть вопрос: а не проще ли добавить IP адреса в избранное заменив привычные www адреса? Нет, не проще, так как во многих случаях при такой попытке соединения вы уаидите сообщение об ошибке. Дело в том, что многие серверы используют виртуальные хосты, когда по одному IP-адресу может находиться несколько виртуальных веб-серверов. Эти виртуальные серверы, как правило, отличаются доменными именами третьего уровня.


Для блокирования нежелательных сайтов можно назначить этому сайту адрес вашего собственного компьютера: 127.0.0.1 При обращении к такому сайту броузер попытается загрузить его с вашего компьютера, в результате чего будет выдано сообщение об ошибке. Точно так же можно блокировать и баннеры, перечислив список баннерных сетей и назначив им адрес 127.0.0.1

Пример файла hosts:

127.0.0.1 localhost #адрес вашего компьютера
213.180.194.113 mic-hard.narod.ru #указываем адрес для ускорения загрузки сайта www.mic-hard.narod.ru
127.0.0.1 bs.yandex.ru #блокируем баннеры Яндекса

как делать :

1)Правой кнопкой по hosts , properties (свойства) ,убрать галку с read only (только чтение)если стоит. ок
2)Правой кнопкой по hosts ,открыть с помощью wordpad (notepad), галку не ставь .
3)ставим адреса которые хотим запретить или разрешить как указано выше.

4)После изменения сохраним (save) ,
5)вновь нажми правой кнопкой на пропертиес ,поставь read only , arhive чтоб защитить от программ шпионов

опция 5 и небольшой список на пару сотен "плохих" сайтов и/или которые ставят шпионов уже встроен в программу spybot .
Плохие подрозумеваются -не соблюдают ваше личное "Privacy" -конфидициальность .

ссылка: http://virusinfo.info/showpost.php?p=35587&postcount=1

_______________________________________________________________________________________________________________________________________________________

http://www.mvps.org/winhelp2002/ hosts .htm
http://www. hosts -file.net/downloads.html
http://remember.mine.nu/downloads/
http:// hosts .file.free.fr/index.php
http://everythingisnt.com/ hosts
http://pgl.yoyo.org/adservers/server...stformat= hosts
http://someonewhocares.org/ hosts /
http://www.ufoot.org/misc/plague/adsetc hosts .php3
http://www.accs-net.com/ hosts /Downloads/ hosts 127001.zip
http://filesharingplace.com/supertri...date/ HOSTS .zip

_______________________________________________________________________________________________________________________________________________________

Итак, вернемся к нашим «баранам».

После перезагрузки моей машины на 2 секунды вызывается так сказать файл hosts в прямом смысле этого слова промелькнув перед глазами. В командной строке выполнить с большим трудом запомнил (так как он быстро убирался) запущенный процесс: \WINDOWS\system32\ drivers\etc\hosts.txt Стандартный менеджер процессов сочетанием клавиш Ctrl+Alt+Del не вызывался. В трее висел значок запущенного процесса. Как либо убить процесс с использованием многих программ не привел ровным счетом ни к чему.

Изображение 1. Сам баннер.

Вот созданный, «паразитный» hosts…..

Изображение 2. Паразитный hosts.  

Как видите он имеет привычное расширение ну и знакомое нам содержание. Я не увидел тут не какого подвоха.

При проверке настоящего hosts его свойств я также не увидел ничего не обычного. Галочка )) «только чтение», как и положено, была «включена».

По определению вещей все должно быть хорошо, но проблема все же была глубже. По совету друга я воспользовался некоторыми сервисами антивирусных компаний, в базе которых могли быть возможные коды для разблокировки.  Вот некоторые из них…
http://support.kaspersky.ru/viruses/deblocker
http://virusinfo.info/deblocker/
http://esetnod32.ru/support/winlock.php
http://www.drweb.com/unlocker/index
http://news.drweb.com/show/?i=304&c=5
http://netler.ru/pc/trojan-winlock.htm
_______________________________________________________________________________________________________________________________________________________

У меня указанные здесь методы и базы ровным счетом не привели ни к чему.

При использовании программ ransomhide ( утилита для удаления навязчивых [порно и т.п.] окон с предупреждением о блокировании системы до тех пор, пока не будет отправлено платное СМС), SpywareRemover, avz4 от Касперского , ProcessExplorer (для того, чтобы убить процесс), Autoruns (для того же), использовал хваленую бесплатную утилиту Dr.Web CureIt (я ничего против не имею, просто она даже с Live CD не запускалась(((!!!) , SUPERAntiSpyware, Trojan_Guarder_Gld и многих многих других программм результат был нулевым..

Встал перед вопросом сносить систему, но тут решил вбить в поиске короткий телефон 5121, обслуживающий данный "сервис" ...................

Я настоятельно уважаемые пользователи не рекомендую вам заходить на сайт www.ass1st.com так как это опасно, скажу лишь,что данный короткий номер принадлежит компании Контент-провайдер Первый Альтернативный ЗАО...

У меня в "Мозилле" стоит замечательный плагин Wot-рейтинга, который быстро показал мне о том, что данный сетевой рессурс не только не надежен но и очень опасен! (крассный кружочек после описания).

На сайт самого "Первого Альтернативного" я бы тоже не торопился заходить, от того даю телефон "Бесплатной службы поддержки" 8-800-555-01-02, где без лишних слов начинаете спрашивать код разблокировки для данного "гаджета".

Много вариантов того, что умные тети и дяди будут говорить Вам там. Выход один будьте неприклонны стойте на своем несмотря ни на что и если что не торопитесь их там посылать. Если они делают вид, что не понимают "по русски", то просто внятно и без лишних слов объясняете им там, что у вас какая то картинка во весь рабочий стол, которая все блокировала и вымогает с Вас бабки, и что если они с этим не разберуться Вы будете жаловаться кому следует!

Я уверен вопрос будет исчерпан.

В моем случае девушка без лишних слов продиктовала мне 2 кода разблокировки вводить который нужно один за другим (сообщения ведь 2)

И еще.... НЕ В КОЕМ СЛУЧАЕ НЕ ВЕДИТЕСЬ НА ПОВОДУ У МОШЕННИКОВ!!!! НЕ ОТПРАВЛЯЙТЕ СМС НА УКАЗАННЫЙ НОМЕР!!!

Дополнения к указанной теме направлять на мою электропочту alex@kovresev.ru либо в гостевой