Hosts Suspicious URL — что это за вирус?
Приветствую. Как взламывают аккаунты социальных сетей? Например один из способов — вы открываете соц сеть, вводите логин и пароль и общаетесь дальше. На самом деле вы ввели логин и пароль на фейковом сайте, который не отличить от оригинального. После ввода вы уже на настоящем. Однако фейковый мог спокойно записать ваш логин и пароль и отправить хакеру. Подобная схема называется фишинг.
Hosts Suspicious URL — что это такое?
Hosts Suspicious URL — тип угрозы, может блокировать некоторые сайты (например антивирусные) а также перенаправлять на фальшивые.
Вся суть — Hosts, это специальный файл, где можно вручную указать какой сайт на каком сервере находится. Например вирус может прописать название легального сайта, например vk.com, а вот сервер указать уже левый. В итоге при заходе на vk.com вам будет показываться не настоящая версия vk.com, а с левого сервера.
Еще раз как все работает:
Теперь надеюсь понимаете с чем работает вирус Hosts Suspicious URL и в чем главный смысл.
Разберем пример. Чтобы заблокировать сайт, то достаточно прописать сервер, на котором ничего нет, вообще, часто для этого прописывают адрес 127.0.0.1:
В итоге при наборе сайта — он будет не работать. Также выше на картинке видим второй пример — напротив vkontakte.ru прописан сервер. Это левый сервер. При открытии vkontakte.ru сайт будет загружаться именно из указанного сервера, то есть не настоящий.
Что делать? Нужно вручную очистить файл Hosts от левых записей, которые были внесены вирусом Hosts Suspicious URL. Здесь тоже проблема — просмотреть файл можно в любом режиме, а вот редактировать — только если файл открыт от имени администратора. Но я уже написал подробную (возможно даже слишком) инструкцию как очистить файл hosts, поэтому прошу почитать здесь:
Инструкция для десятки, но в семерке все примерно также.
Дополнительные меры
Не лишним будет проверить ПК на опасные вирусы и рекламный/шпионский хлам. Всего я выделил три лучшие утилиты для этого дела. А также помните, что вручную файл можно проверить на VirusTotal и Kaspersky VirusDesk.
Именно проверка всеми тремя даст максимальную эффект.
Если у вас нет нормального антивируса — советую поставить бесплатную версию Kaspersky Free — вирусы находит отлично, базы обновляет, работает быстро (если конечно не запущено сканирование).
Как удалить вирусные настройки из системного файла hosts
Host — системный текстовый файл, предназначенный для трансляции доменных имён в указанные сетевые адреса, или IP. Он является своего рода специальной сетевой надстройкой, но может применяться как в благих, так и в злонамеренных целях. Существует определённая категория вирусов, модифицирующая файл hosts для того, чтобы заблокировать доступ к определённым веб-ресурсам (например, к офсайтам антивирусных компаний) или перенаправить пользователя на вредоносные либо рекламные страницы.
Поведение и симптомы вирусов «hosts»
Проникают вирусы, как и другие их «сородичи», через заражённые инсталляторы программ, специальные загрузочные скрипты на веб-страницах и прочие хакерские уловки. Довольно часто установка «инфекции» маскируется под системные ошибки. На экране появляется окно с сообщением, что якобы выявилась ошибка при выполнении какого-либо скрипта или команды. Озадаченный пользователь, растерявшись, жмёт «OK» (других кнопок нет!) и собственноручно открывает «двери» зловреду в операционную систему. Файл под названием hosts мгновенно видоизменяется, и начинается для пользователя череда неприятностей…
С виду система работает стабильно — не тормозит, не зависает. Но только стоит пользователю открыть веб-браузер, все «хвори» выползают наружу. А проявляют они себя следующим образом:
Многие пользователи, завидев на экране одну из этих картин, совершенно не придают ей значения. Успокаивают себя мыслями «это что-то там у них на сервере случилось», «сегодня интернет плохой» и всё в таком духе…
Хорошо, если так. А если файл инфицирован? Тогда проблема не исчезнет сама собой и через час, и через десять. Нужно действовать: удалить из hosts вирусные модификации, проще говоря, придать ему прежний вид.
Лечение файла hosts
Как найти и какой программой открыть?
Перед тем, как удалить вирус hosts, нужно сначала до него добраться. Откройте последовательно директории в указанном порядке (для Windows 7 и XP):
Диск С (или другой диск, на котором находится ОС) → Windows → System32 → drivers → etc
Именно в директории «etc» и находится host. Но не спешите его убирать с компьютера! Он не удаляется, а лечится, и легко. И потом, возможно, вам ещё не раз и не два сослужит хорошую службу (см. последнюю главу этой статьи).
Host не имеет расширения, но содержит текстовую информацию. Поэтому его можно без проблем открыть системным приложением «Блокнот» и, соответственно, восстановить подобающим образом.
Давайте сделаем это.
1. Находясь в папке «etc», кликните по файлу hosts правой кнопкой.
2. В контекстном меню выберите «Открыть» или «Открыть с помощью».
3. В списке программ, которыми можно открыть файл, кликните «Блокнот» и нажмите «OK».
В «Блокноте» отобразится содержимое hosts. Его необходимо просмотреть, проанализировать и удалить все вирусные надстройки.
Как проверить?
В чистом, то есть в «здоровом», hosts, кроме строчек, начинающихся с символа «#», больше ничего нет. За редким лишь исключением, когда некоторые доверенные программы оставляют в нём свои настройки.
Но, когда произошла вирусная атака, необходимо быть особо бдительным.
Если таковые обнаружатся, однозначно их нужно удалять.
Как очистить?
1. Удерживая левую кнопку мыши, выделите курсором все записи, внесённые вирусом.
2. Кликните правой кнопкой по записям. Нажмите в меню «Удалить».
3. Сохраните файл, чтобы изменённые настройки вступили в силу. Вверху окна «Блокнота» нажмите: Файл → Сохранить.
4. Закройте «Блокнот». Перезагрузите ОС. Откройте браузер и проверьте доступ к сайтам.
Дополнительные меры и профилактика
К сожалению, может случиться и так, что вирус все ваши старания по очистке hosts может свести на «нет» (сайты по-прежнему отрываться не будут). Но, тем не менее, руки опускать не стоит.
Дополнительно выполните следующую процедуру:
1. Проверьте разделы диска (системный обязательно!) лечащей утилитой Dr.Web CureIt!, Free Anti-Malware или Virus Removal Tool (Kaspersky).
Предварительно установите в настройках сканирования антивирусной программы проверку загрузочных секторов (MBR), памяти, выявление руткитов и включите высокий уровень детектирования (обнаружения) вирусов.
2. Обновите сигнатурные базы основного антивируса, защищающего ПК от вторжений зловредов постоянно. Также проверьте его основные настройки.
Например, в антивирусе Avira защите hosts уделяется особое внимание. В его настроечной панели имеется специальная настройка «защитить хост-файл».
Чем полезен hosts?
Hosts входит в группу пользовательских настроек и незаменим при решении следующих задач:
Многие программы периодически обращаются к своим «родным» ресурсам для обновления, отправки данных. Для пользователя такой режим работы не всегда удобен: тратится траффик, затормаживается загрузка страниц, нет контроля загрузки данных.
Минуя все программные настройки и правила фаервола, ограничить доступ им можно непосредственно в hosts, добавив следующую строчку:
127.0.0.1 (например, 127.0.0.1 adobe.com)
Осуществления контроля над посещением веб-ресурсов
Аналогичным образом блокируется и доступ к определённым сайтам: порнографическим, сомнительным, соцсетям и др. Всё зависит от цели ограничения — родительский контроль, офисные или учебные ПК.
У host есть приоритет над DNS-серверами (сервисами, присваивающими доменным именам IP-адреса), поэтому ПК изначально будет следовать его указаниям при создании сетевого подключения.
Следите за файлом host, правильно настраивайте его, и с вашим ПК будет всё «OK». Приятного пользования интернетом!
Как удалить вирус hosts
Итак здесь мы узнаем как удалить вирус hosts и восстановить доступ к популярным сайтам, которые не открываются в браузере.
Обычно когда вы пытаетесь зайти на сайт, он просто выдает ошибку, либо вообще просит отправить деньги для активации вашего аккаунта. Не в коем случае этого делать не нужно! Сообщение может быть примерно такого формата :
Проверить ограничили ли вам доступ на определенные сайты очень легко: Зайдите на них с помощью вашего телефона, соответственно, если там все открывается без проблем, то ваш компьютер заражен вирусом, а с вашими аккаунтами все в порядке.
Как удалить вирус?
Hosts-файлик в Windows и других операционных системах, используется для связи имен хостов с их ip адресами. В нем по умолчанию прописан всего 1 ip-адрес 127.0.0.1 localhost тоесть для локального ПК.
А так выглядит зараженный файлик:
Все сайты, и коды перед ними, которые написаны после 127.0.0.1 localhost должны быть удалены! Их дописал вирус. Однако люди создавшие этот вирус, тоже не хотят, что бы его просто так удалили, и именно поэтому создают после 127.0.0.1 localhost множество пустых строк, а в самом конце пишут сайты, которые хотят заблокировать. Пользователь видит что после строчки 127.0.0.1 localhost ничего нету и недоумевает как так получается. На самом деле достаточно спустится вниз и вы увидите эти сайты… а если нет значит они раскиданы по строкам. В любом случае следует удалить все эти пустые строки и сохраниться.
Удаление hosts- обычно к этому прибегают те, кто не может отредактировать его вышеуказанными способами — иногда такое действительно случается, например, при создании вирусом нескольких файлов. При этом на компьютере могут одновременно блокироваться такие сайты как «Одноклассники», «Вконтакте» Для того, чтобы удалить такой вирус, сначала нужно найти этот файлик. Как это сделать описано выше. Но его там может не оказаться! Почему? А теперь внимание! Для того что бы мы могли увидеть файл, нам нужно включить показ скрытых файлов и папок. Для этого открываем какую-нибудь папку и выбираем в верхнем меню папки пункт «Сервис», далее «Параметры папок» и «Вид», а затем «Дополнительные параметры». После этого поставьте галочку в пункте «Показывать скрытые файлы и папки». Это нужно для того, чтобы обнаружить скрытые системные файлы, среди которых, вполне возможно, будут лишние — те, которые создала троянская программа. У некоторых обнаруживается даже не один, а два скрытых файлика hosts – они подлежат немедленному удалению. Теперь открываем «настоящий» и редактируем его, как указано в предыдущей главе, с помощью текстового редактора.
После того, как вы удалили записи, которые сделал вирус, поставьте компьютер на проверку антивирусом, иначе после перезагрузки ситуация может повториться!
Ниже вы можете посмотреть видео о том, как правильно удалять вирус в файле hosts.
Вирус hosts
Прочитал в интернете про вирус. В самом hosts нет подозрительных строчек.
Что с ним делать? Кстати говоря, в карантине ничего нет.
Прикрепленные файлы:
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
— попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
— детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
— дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.
Что НЕ нужно делать:
— лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
— переустанавливать операционную систему;
— менять расширение у зашифрованных файлов;
— очищать папки с временными файлами, а также историю браузера;
— использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из «Аптечки сисадмина» Dr. Web;
— использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Для этого проделайте следующее:
Microsoft Defender начал помечать файл hosts как зловредный, если там блокируется сбор телеметрии Windows 10
Пользователи Windows 10 заметили, что программа Microsoft Defender с недавнего времени начала предупреждать об изменении файла hosts, если там прописаны блокировки для серверов телеметрии ОС.
Антивирусная программа Microsoft Defender и ранее классифицировала подобный инцидент как угрозу безопасности пользователя под названием «SettingsModifier:Win32/HostsFileHijack» (аналогично Trojan.Win32.Qhost в антивирусе Касперского или Qhosts.apd в McAfee), но если на то были действительно веские причины, например, там появлялись строки в процессе работы зловредов. Теперь же даже простые действия пользователей, которые хотят заблокировать доступ ОС к серверам телеметрии, расценивается Microsoft как потенциальная угроза безопасности системы.
В настоящий момент Microsoft Defender только предупреждает о наличии новой нежелательной угрозы в случае модификации файла hosts. Если пользователь попробует с помощью антивируса устранить угрозу, то файл hosts будет переписан до начального вида и будет содержать текст, который там присутствует по умолчанию после установки ОС.
Пользователи рассказали, что если сейчас после получения последних обновлений ОС Windows 10, со включенным и также обновленным Microsoft Defender, они пытаются под аккаунтом администратора изменить файл hosts, добавив в него блокировку любых из ниже перечисленных адресов, то система просто не даст его сохранить и выдаст ошибку:
После некоторого перебора различных вариантов, пользователи определили их полный список, блокировка которых в hosts признается Microsoft Defender, как угроза ОС в связи с «потенциально нежелательным поведением»:
