Как подружить файл hosts с Dr.Web
12 июля 2017
А когда включаешь защиту файла hosts в Dr.Web, то вот он все внесенные изменения-то и исправляет, возвращая начальные условия.
@a13x, https://www.drweb.ru/pravda/issue/?number=321&lng=ru
Файл hosts – один из важнейших в системе. Внесенные в него данные позволяют блокировать доступ к сайтам – или перенаправлять пользователей на сайты, заданные злоумышленниками.
Как выглядит файл hosts после заражения компьютера вирусом. Кстати, иногда и обычные программы вписывают необходимые им параметры в файлик. Если после открытия файла Вы видите примерно следующее, то стоит задуматься.
Вирусы пошли хитрые, поэтому прячут добавленные строки ниже:
Адреса вашего файла, конечно, могут отличаться. Если сомневаетесь или браузер не заходит на какой-либо сайт, удаляйте все лишние строки, оставив только localhost. Напоследок дадим один маленький совет. Файл hosts можно исправить с помощью бесплатной антивирусной программы от Dr.Web — CureIT. При запуске она автоматически проверяет его на наличие лишних записей.
http://smartronix.ru/fajl-hosts-skachat-fail-hosts-windows-gde-naxoditsya
Проблема в том, что антивирус не может определить, кто и с какой целью изменил файл hosts. Сделал ли это вручную сам пользователь или хакер, получивший доступ на компьютер, либо же виновата вредоносная программа.
Ниже пример работы вируса Trojan.Hosts.75, который стал проблемой многих юзеров в свое время. Trojan.Hosts.75 перенаправляет пользователя на фишинговую страницу, оформленную в фирменном стиле этой социальной сети. Здесь, будто бы от лица администрации сайта, пользователю предлагается зарегистрироваться в системе при помощи SMS-активации. Объясняется это «нововведение» увеличением количества спам-рассылок.
После запуска Trojan.Hosts.75 вирус распаковывает на диск bat-файл, который, в свою очередь, модифицирует файл hosts. После изменения он выглядит следующим образом:
При посещении одного из ресурсов, приведенных выше, с зараженного компьютера, пользователь перенаправляется на фальшивую страницу на сервере http://211.xx.xx.xx/index.html. Прописав в файл hosts множество популярных интеренет-ресурсов, киберпреступники попытались тем самым увеличить вероятность попадания зараженного пользователя на сайт вымогателей, которые требуют отослать им платный SMS.
В связи с этим при обнаружении внесения изменений в hosts либо антивирусный сканер, либо файловый монитор SpIDer Guard восстанавливают состояние этого файла по умолчанию.
Что же делать, если вы хотите настроить файл hosts самостоятельно?
Первым делом необходимо внести файл в исключения антивирусного сканера или SpIDer Guard. Заходим в настройки Dr.Web Security Space и переходим в раздел Исключения → Файлы и папки. По умолчанию этот раздел пуст.
Нажимаем на «плюс», далее на кнопку Обзор и находим файл hosts (в Windows 10 он по умолчанию находится в папке %SystemRoot%\System32\drivers\etc).
Отмечаем оба пункта Исключить из проверки и нажимаем ОК.
Полдела сделано.
Но за изменениями файла в режиме реального времени следит Превентивная защита Dr.Web (Настройки → Компоненты защиты ⇆ Превентивная защита → Изменить параметры блокировки подозрительных действий). Откроем файл hosts, внесем в него вредную строку и попробуем сохранить. Чтобы открыть файл hosts в блокноте, выберите Файл → Открыть, перейдите к папке с этим файлом, в поле с типом файла поставьте Все файлы и выберите тот файл hosts, который не имеет никакого расширения.
Не получилось. Почему? Для изменения файла hosts необходимо открыть его в текстовом редакторе, запущенном от имени Администратора (обязательно). Для примера отредактируем файл с помощью стандартного редактора «Блокнот». В поиске Windows 10 начните набирать «Блокнот», а после того как программа появится в результатах поиска, кликните по ней правой кнопкой мыши и выберите действие Запустить от имени администратора.
Вот теперь редактор готов сохранять изменения. Переходим в настройки Превентивной защиты:
Разрешаем доступ к файлу hosts, вносим нужные изменения и снова включаем запрет в Превентивной защите – она будет сохранять файл в неизменном виде.
А теперь – самое важное.
#настройки_Dr.Web #Hosts #WindowsАнтивирусная правДА! рекомендует
Добавив файл hosts в исключения антивируса, вы тем самым позволяете изменять его кому угодно. Поэтому обязательно наличие Превентивной защиты Dr.Web, контролирующей попытки изменения системного файла на лету и (при соответствующих настройках) блокирующего их или предупреждающего пользователя. Этот модуль присутствует в Dr.Web Security Space и Dr.Web KATANA.
Внесение таких исключений при защите Антивирусом Dr.Web – небезопасно и категорически не рекомендуется.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
SKOPIN 1597
17:48:47 2024-01-30
А помогает самое простое действие: Панель управления\Все элементы панели управления\Программы и компоненты находим Dr.Web AV-Desk Agent и удаляем его. Так 200% помогает.
Welleman
15:26:22 2023-07-29
hakkerboy
19:26:08 2021-08-10
Анатрев
10:53:20 2020-07-15
Может можно конкретную строку в файле host внести в исключения?
stolik
18:13:45 2020-04-25
Мыкола
01:21:32 2020-03-30
У вас же сейчас, судя по статье, доступны два варианта:
- hosts не меняется, при попытке изменить возвращается к содержимому файла по умолчанию.
- отключаются все защиты, пользователь может файл изменить, но также может изменить и злоумышленник.
И ЧТО ДЕЛАТЬ, ЕСЛИ ПОЛЬЗОВАТЕЛЮ НАДО ФАЙЛ ОТРЕДАКТИРОВАТЬ??? ОТКЛЮЧАТЬ ЗАЩИТУ? ГЕНИАЛЬНО!!!
Сам работаю в it-компании, где наши программисты таким же образом решают проблемы пользователей.
БЕСИТ НЕИМОВЕРНО!!!!1111
Саня
18:31:25 2019-09-16
Petya
00:40:49 2019-09-12
Toma
17:28:27 2018-11-15
Денисенко Павел Андреевич
22:50:14 2018-08-05
Неуёмный Обыватель
23:59:48 2018-06-30
vasvet
00:44:19 2018-04-08
chara
00:03:06 2018-02-19
Не смогла у Вас "прорваться" задать вопрос в ПОДДЕРЖКЕ, задаю здесь и надеюсь на ВАШ ОТВЕТ:
Операционная система на компьютере Windows XP Professional версия 2002 SP 3 и браузер Yandex. Все в рабочем состоянии, провела проверку ОС перед установкой Вашей программы.
18.02.2018 г я установила на свой ПК программу DR.Web SecuritySpace на 1 Пк на 1 год.. При установке : серийный номер я сообщила , ключ получила по почте; лицензию зарегистрировала за № 138595791. Получила ключевой файл :
; сохранила его копию на втором диске D. Кажется мне ( я не очень продвинутый пользователь), что все прошло в норме.
НО: пропало соединение с Интернет и не происходит ОБНОВЛЕНИЕ самой программы с 12 .20 часов дня, т.е с самого первого обновления..
Я провела полную проверку всего ПК сканером DR.Web – угроз не обнаружено. Не могу понять – почему пропал Интернет? Отчет я собрала, но отправляю все с другого ПК. Заранее благодарю Вас. С уважением,Людмила Александровна.
Сведения о системе:
Имя ОС Microsoft Windows XP Professional
Версия 5.1.2600 Service Pack 3 Сборка 2600
Изготовитель ОС Microsoft Corporation
Имя системы USER-3BD6A40EFF
Изготовитель System manufacturer
Модель System Product Name
Тип Компьютер на базе X86
Процессор x86 Family 6 Model 15 Stepping 6 GenuineIntel ~1867 МГц
Версия BIOS American Megatrends Inc. 0402, 16.05.2011
Версия SMBIOS 2.5
Папка Windows C:\WINDOWS
Системная папка C:\WINDOWS\system32
Устройство загрузки \Device\HarddiskVolume1
Язык Россия
Аппаратно-зависимый уровень (HAL) Версия = "5.1.2600.5512 (xpsp.080413-2111)"
Имя пользователя USER-3BD6A40EFF\USER 5
Часовой пояс Московское время (зима)
Полный объем физической памяти 2 048,00 МБ
Доступно физической памяти 1,18 ГБ
Всего виртуальной памяти 2,00 ГБ
Доступно виртуальной памяти 1,91 ГБ
Файл подкачки 3,85 ГБ
Файл подкачки C:\pagefile.sys
Отчет отправлю по Вашему запросу, т.к. не вижу как его приобщить.
Igor
01:26:43 2017-11-07
leon76311
12:50:23 2017-08-16
madhualoe
00:39:58 2017-07-30
sapfira
14:05:13 2017-07-28
sapfira
10:33:58 2017-07-21
Вячeслaв
10:39:01 2017-07-18
yurap
15:55:38 2017-07-17
Вячeслaв
11:24:02 2017-07-17
1. Пользователи в массе склонны нажимать Yes. Соответственно хост будет изменяться с их соглашения. Пример - тот же Wanna Cry запрашивал права на удаление резервных копий, так как по другому не умел. И этого было достаточно
- за изменением файла нужно следить. Оставить без контроля на минуты - вполне какому банкеру/фишеру хватит для подмены сайта. Еще и обратно откатят. А значит нужен проактивный/поведенческий анализатор. А если он есть + то смысл?
А за идею - спасибо!
yurap
10:13:24 2017-07-17
AntonIT
16:49:18 2017-07-13
А всем остальным эта информация не только бесполезна но и вредна.
Deggyd
23:47:50 2017-07-12
mazev
23:34:03 2017-07-12
tatmax
23:06:37 2017-07-12
Любитель пляжного футбола
22:45:44 2017-07-12
Про файл host мне ранее было известно только, что его любят заражать вирусы. Для чего туда самому вносить изменения, я совершенно не в курсе. Да и не думаю, что мне это вообще когда-то понадобится. Не настолько я дружу с компьютером. :)
vla_va
22:25:49 2017-07-12
В...а
22:18:26 2017-07-12
amethystium
22:14:12 2017-07-12
ek
21:47:46 2017-07-12
orw_mikle
21:20:10 2017-07-12
НинаК
21:11:42 2017-07-12
kva-kva
20:51:32 2017-07-12
ada
20:38:19 2017-07-12
mk.insta
20:28:19 2017-07-12
razgen
20:26:10 2017-07-12
Геральт
19:18:26 2017-07-12
Пaвeл
17:58:23 2017-07-12
Littlefish
17:44:03 2017-07-12
Я не говору, что экономить не нужно. Но имея деньги на компьютер, техобслуживание этого компьютера, оплату интернета, электричество жалеть 17 рублей в месяц на антивирус это как-то знаете не рационально. Можно экономить на покупке сигарет, алкоголя, бижутерии, нарядов, парфюмерии, ресторанах, клубах, кинотеатрах, отдыхе в экзотических странах да и много на чём другом. А вот на здоровье и безопасности экономить не стоит.
B0RIS
17:43:00 2017-07-12
a13x
17:22:25 2017-07-12
Littlefish
17:20:58 2017-07-12
Доплачивать, вот тут уже по смыслу ближе, за дополнительные функции нужно доплатить, добавить оплату чтобы эти функции были. А "переплачивать" звучит так, как будто компания Dr.Web пытается втюхать один и тот же продукт (абсолютно идентичный) с другим красивым названием "Секьюрити спейс" за бОльшую цену, что абсолютно не соответствует действительности.
Littlefish
17:13:49 2017-07-12
Ха-ха-ха, это Вы серьёзно или это у Вас тонкий юмор? Переплачивать? Вы так говорите как будто можно озолотиться если не "переплачивать".
Смотрите, Dr.Web Security Space - Защита ПК/Mac/Linux 1290.00 руб. 1 ПК / 1 год (это плюс SpIDer Gate, плюс бесплатное восстановление зашифрованных файлов, плюс антиспам, плюс родительский контроль, плюс защита от потери данных (резервное копирование), плюс блокировка съемных устройств, плюс антивирусная сеть и соответственно возможность защиты одного устройства Mac и одного устройства с ОС Linux)
Антивирус Dr.Web - 1090.00 руб. 1 ПК / 1 год (БЕЗ всего вышеперечисленного)
Разница - 200 рублей в ГОД, это чуть меньше 17 рублей в МЕСЯЦ. Так это если покупать за полную стоимость. А если по программе продления или со скидками от 25 до 50 процентов и того меньше.
Расскажите пожалуйста, что ж это такого полезного Вы купите за 17 (или даже меньше) рублей в месяц? Ну или за 200 (или меньше) рублей в год?
Я не знаю цен в Вашем городе, но в моём городе в пересчёте на 200 российских рублей можно купить 1 пачку сливочного масла, 1 упаковку сметаны, 1 батон, 1 хлеб и на другое денег не хватит.
kyha4
16:39:58 2017-07-12
nat57
15:58:01 2017-07-12
ivan.ivanov1904
15:01:47 2017-07-12
Вячeслaв
13:44:29 2017-07-12
А исправить проблемы прошивок роутеров типичный пользователь неспособен
"Ну и зачем, называется, переплачивать". Вопрос квалификации. Если вы можете купить и настроить кучу ПО - наше честное вам уважение. Но типичный пользователь не то что даже это не может - не хочет, желая получить все сразу в рамках одного продукта - пусть и с переплатой. А в рамках компаний - куда проще общаться с одним поставщиком/техподдержкой, чем с кучей
a13x
13:23:25 2017-07-12
Вот и остается, что с вас нужен только Spider Guard да превентивка.
a13x
13:16:35 2017-07-12