Не возможно изменить файл HOSTS

Часто вирусы, которые изменяют файл hosts и не пускают на определенные сайты или наоборот перенаправляют на мошеннические сайты, делают уловку, которая не позволяет изменить файл host. Вариантов может быть два, но чаще всего они используются оба одновременно. Итак, к делу! Рассмотрим их.

Файл hosts скрыт

Вирус создает в системе второй файл hosts, который делает скрытым. Таким образом ОС считывает данные из обоих файлов и выполняет прописанные вирусом инструкции из скрытого файла hosts. Таким образом при проверке «видимого» файла выявить ничего подозрительного невозможно.

Если есть подозрение на модификацию файла hosts, обязательно нужно включить доступ к скрытым папкам и файлам, а затем проверить нет ли дублирующего файла с вирусными записями. Часто ситуация усугубляется тем, что вирус блокирует отображение скрытых файлов и настройки в свойствах папки просто не сохраняются. В этом случае нужно сначала разблокировать возможность отображения скрытых файлов, а затем удалить дублирующий скрытый файл hosts. Напомню, что файл hosts редактируется стандартным приложением Блокнот или любым текстовым редактором и располагается в папке C:\WINDOWS\system32\drivers\etc

Скрипт в автозагрузке

Вирусописатели — очень изобретательные люди и все время ищут новые пути маскировки. Совместно со скрытым вторым файлом hosts часто применяется такой трюк, как скрипт в автозапуске. Что же это за скрипт и как с ним боротться?

Скрипт представляет из себя набор стандартных команд Windows записанных в текстовый файл и редактируемый любым текстовым редактором, например, Блокнотом. В нашем случае чаще всего применяется скрипт, который копирует из временной папки Windows инфицированный файл hosts и делает его скрытым. Скрипт этот в основном сидит в меню Пуск — Все программы — Автозагрузка. Таким образом при каждой перезагрузке компьютера инфицированный скрытый файл hosts снова появляется в системе и создается впечатление, что файл hosts не возможно изменить.

Скрипт, копирующий инфицированный файл, часто маскируется под такие распространенные названия, как adobe updater, igfxtray, system, svchost, lsass, services, winlogon, csrss, smss, explorer, userinit,  или что-то невнятное типа kG4tdew16gY. Чтобы удалить скрипт необходимо загрузиться в безопасный режим, зайти в меню Пуск — Все программы — Автозагрузка нажать правой кнопкой на ярлык скрипта и удалить его. Если вы удалите все ярлыки из меню Автозагрузка, ничего страшного не произойдет. Возможно перестанет загружаться при старте системы какая-то программа, но зато вы избавитесь от вируса. Программу всегда можно переустановить.

В некоторых случаях вирусы маскируют и папку Автозагрузка. В таком случае в ней ничего не будет отображаться, даже если там сидит вирус. Необходимо включить отображение скрытых файлов и проверить папки:

Для Windows XP: C:\Documents and Settings\%username%\Главное меню\Программы\Автозагрузка

Для Windows 7: C:\Users\%username%\AppData\Roaming\Microsoft\ Windows\Start Menu\Programs\Startup

После всех манипуляций желательно почистить диск от мусора и проверить компьютер антивирусной утилитой, например AVZ 4

Измененный ключ реестра

Последний и самый редкий трюк вирусов — изменение ключа реестра, отвечающего за расположение файла hosts. Необходимо запустить редактор реестра. В windows xp Пуск — Выполнить — ввести команду regedit и нажать Enter, в Windows 7 Пуск —  ввести команду regedit и нажать Enter.

Теперь нужно проверить параметр DataBasePath в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ Tcpip\Parameters. Он должен иметь занчение %SystemRoot%\System32\drivers\etc.

Если значение другое, щелкните два раза мышкой на параметр и введите верное значение. Теперь закройте редактор реестра.