Как удалить вирусные настройки из системного файла hosts. Файл Hosts — что это такое, где он находится в Windows, что с ним делать вебмастеру и как удалить из него записи вирусов Hosts файл как проверить и восстановить

Как удалить вирусные настройки из системного файла hosts. Файл Hosts — что это такое, где он находится в Windows, что с ним делать вебмастеру и как удалить из него записи вирусов Hosts файл как проверить и восстановить
Как удалить вирусные настройки из системного файла hosts. Файл Hosts — что это такое, где он находится в Windows, что с ним делать вебмастеру и как удалить из него записи вирусов Hosts файл как проверить и восстановить
02.02.2024

Добрый день. Как-то давно я писал статью о том, в новых операционных системах. В тот момент я как-то не думал о том, что необходимо бы еще написать статью об обратном — как его восстановить до «заводского состояния». Все дело в том, что некоторые «дружелюбные программы»(конечно же, это вирусы), могут изменить его сами и добавить какой-нибудь полезный нам сайт, скажем вконтакте, яндекс, гугл или еще что-нибудь… И после этого мы получаем сообщение о том, что данный сайт не доступен в данный момент. Конечно же, это самое элементарное, проверить файл хостс на наличии лишних записей, но далеко не каждый новичок догадается об этом. Вот для таких людей и будет написана эта небольшая инструкция.

Инструкция


  • А. Отредактировать текущий файл с помощью удалив содержимое и заполнив его следующим:

    # Copyright (c) 1993-2009 Microsoft Corp.
    #
    # This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
    #
    # This file contains the mappings of IP addresses to host names. Each
    # entry should be kept on an individual line. The IP address should
    # be placed in the first column followed by the corresponding host name.
    # The IP address and the host name should be separated by at least one
    # space.
    #
    # Additionally, comments (such as these) may be inserted on individual
    # lines or following the machine name denoted by a ‘#’ symbol.
    #
    # For example:
    #
    # 102.54.94.97 rhino.acme.com # source server
    # 38.25.63.10 x.acme.com # x client host

    # localhost name resolution is handled within DNS itself.
    # 127.0.0.1 localhost
    # ::1 localhost

После ввода в браузере необходимый сайт, предположим Google.com, браузер последовательно (согласно приоритету) ищет сопоставление этого доменного имени IP-шнику (потому что именно с IP адресами работают сетевые устройства).

а) проверяется указанный сайт в hosts-файле, если он находит сопоставление (предположим в hosts-файле прописано 1.1.1.1 Google.com) то соответственно вам откроется содержимое IP - 1.1.1.1, если указного доменного имени нет, переходит к следующему шагу;

б) проверяется кэш-dns (если вы до этого открывали Google.com, то скорее всего IP этого сайта сохранилось в кэше DNS вашего компьютера/ ноутбука), если там указан IP сайта, то вам открывается страница, если нет приступает к на последней стадии;

в) запрос идет к DNS серверу (он прописывается вручную в настройках сетевого подключения или выдается по DHCP), если в DNS сервере нет указанного сайт, он "спросит" у другого DNS сервера, пока его не найдет (если конечно он вообще существует) и сайт успешно откроется.

Файл hosts находится по пути C:\Windows\System32\Drivers\etc\hosts (если С- системный диск). Открыть его можно обычным блокнотом. Если вы не вносили изменения в файл hosts, то там будет прописано следующее:

Файл hosts в Windows XP:
# Copyright (c) 1993-1999 Microsoft Corp.
#
#


# space.
#

#
# For example:
#

127.0.0.1 localhost

Файл hosts в Windows Vista:
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a "#" symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost
::1 localhost

Файл hosts в Windows 7:
# Copyright (c) 1993-2006 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a "#" symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server

# 38.25.63.10 x.acme.com # x client host

# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost

Файл hosts в Windows 8

# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a "#" symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost

Как видите вне зависимости от версии файл host не особо отличаются, но вот если над файлом hosts "поработал" вирус туда могут быть добавленны различные сайты и IP-шники. Например:

127.0.0.1 ftp.kаspеrskylab.ru
127.0.0.1 ids.kаspеrsky-labs.com
127.0.0.1 vk.com
127.0.0.1 drweb.com

Подобные добавления в файле не дают вам зайти на указанные сайты.

1.2.3.4 ftp.kаspеrskylab.ru
1.2.3.4 ids.kаspеrsky-labs.com
1.2.3.4 vk.com
1.2.3.4 drweb.com

Подобные добавления в файле при открытии указанных сайтов перенапрявлют вас на другие сайты, возможно зараженные вирусами (IP- 1.2.3.4- являются вымышленными).

Если вы обноружили, что файл-hosts изменен, его необходимо исправить. В Windows XP файл просто открывается блокноте, вносятся необходимые изменения и сохраняется (необходимо заходить под администратором). На других же версиях (Windows Vista, 7, 8) необходимо дать права на изменение файла. Для этого открываем папку, в которой находится hosts C:\Windows\System32\Drivers\etc (если диск С системный). Нажмите правой кнопкой мыши на hosts и выберете "Свойства".

Выбираете вкладку "Безопасность" , затем выбираете пользователя под которым работаете на компьютере/ ноутбуке (в данном примере это сайт) и нажимаете кнопку "Изменить" . Откроется окно "Разрешения для группы "hosts"" , снова выбираете пользователя и назначаете полные права на файл, нажимаем "ОК", в окне "Свойства: hosts", тоже "ОК" .

После этого открываете hosts Блокнотом и возвращаете файл к исходному состоянию, по окончании сохраняете изменения.

Host - системный текстовый файл, предназначенный для трансляции доменных имён в указанные сетевые адреса, или IP. Он является своего рода специальной сетевой надстройкой, но может применяться как в благих, так и в злонамеренных целях. Существует определённая категория вирусов, модифицирующая файл hosts для того, чтобы заблокировать доступ к определённым веб-ресурсам (например, к офсайтам антивирусных компаний) или перенаправить пользователя на вредоносные либо рекламные страницы.

Поведение и симптомы вирусов «hosts»

Проникают вирусы, как и другие их «сородичи», через заражённые инсталляторы программ, специальные загрузочные скрипты на веб-страницах и прочие хакерские уловки. Довольно часто установка «инфекции» маскируется под системные ошибки. На экране появляется окно с сообщением, что якобы выявилась ошибка при выполнении какого-либо скрипта или команды. Озадаченный пользователь, растерявшись, жмёт «OK» (других кнопок нет!) и собственноручно открывает «двери» зловреду в операционную систему. Файл под названием hosts мгновенно видоизменяется, и начинается для пользователя череда неприятностей…

С виду система работает стабильно - не тормозит, не зависает. Но только стоит пользователю открыть веб-браузер, все «хвори» выползают наружу. А проявляют они себя следующим образом:

  • при попытке зайти в соцсеть или какой другой популярный интернет-ресурс появляется ошибка «Страница недоступна»;
  • домен (название) сайта не соответствует действительности: например, при наборе в адресной строке vk.com открывается страница с множеством рекламных баннеров или другой сайт, ничего общего не имеющий с соцсетью.

Многие пользователи, завидев на экране одну из этих картин, совершенно не придают ей значения. Успокаивают себя мыслями «это что-то там у них на сервере случилось», «сегодня интернет плохой» и всё в таком духе…

Хорошо, если так. А если файл инфицирован? Тогда проблема не исчезнет сама собой и через час, и через десять. Нужно действовать: удалить из hosts вирусные модификации, проще говоря, придать ему прежний вид.

Лечение файла hosts

Как найти и какой программой открыть?

Перед тем, как удалить вирус hosts, нужно сначала до него добраться. Откройте последовательно директории в указанном порядке (для Windows 7 и XP):

Диск С (или другой диск, на котором находится ОС) → Windows → System32 → drivers → etc

Именно в директории «etc» и находится host. Но не спешите его убирать с компьютера! Он не удаляется, а лечится, и легко. И потом, возможно, вам ещё не раз и не два сослужит хорошую службу (см. последнюю главу этой статьи).

Host не имеет расширения, но содержит текстовую информацию. Поэтому его можно без проблем открыть системным приложением «Блокнот» и, соответственно, восстановить подобающим образом.

Давайте сделаем это.
1. Находясь в папке «etc», кликните по файлу hosts правой кнопкой.

2. В контекстном меню выберите «Открыть» или «Открыть с помощью».

3. В списке программ, которыми можно открыть файл, кликните «Блокнот» и нажмите «OK».

В «Блокноте» отобразится содержимое hosts. Его необходимо просмотреть, проанализировать и удалить все вирусные надстройки.

Как проверить?

В чистом, то есть в «здоровом», hosts, кроме строчек, начинающихся с символа «#», больше ничего нет. За редким лишь исключением, когда некоторые доверенные программы оставляют в нём свои настройки.

Но, когда произошла вирусная атака, необходимо быть особо бдительным.

  • Строчка с IP-адресом и доменным именем сайта (VK.com, ok.ru и др.) выполняет переадресацию на другой сайт.
  • Строчка, начинающаяся с 127.0.0.1, блокирует доступ к сайту.

Если таковые обнаружатся, однозначно их нужно удалять.

Как очистить?

1. Удерживая левую кнопку мыши, выделите курсором все записи, внесённые вирусом.

2. Кликните правой кнопкой по записям. Нажмите в меню «Удалить».

3. Сохраните файл, чтобы изменённые настройки вступили в силу. Вверху окна «Блокнота» нажмите: Файл → Сохранить.

4. Закройте «Блокнот». Перезагрузите ОС. Откройте браузер и проверьте доступ к сайтам.

Дополнительные меры и профилактика

К сожалению, может случиться и так, что вирус все ваши старания по очистке hosts может свести на «нет» (сайты по-прежнему отрываться не будут). Но, тем не менее, руки опускать не стоит.

Дополнительно выполните следующую процедуру:
1. Проверьте разделы диска (системный обязательно!) лечащей утилитой Dr.Web CureIt!, Free Anti-Malware или Virus Removal Tool (Kaspersky).

Предварительно установите в настройках сканирования антивирусной программы проверку загрузочных секторов (MBR), памяти, выявление руткитов и включите высокий уровень детектирования (обнаружения) вирусов.

2. Обновите сигнатурные базы основного антивируса, защищающего ПК от вторжений зловредов постоянно. Также проверьте его основные настройки.

Например, в антивирусе Avira защите hosts уделяется особое внимание. В его настроечной панели имеется специальная настройка «защитить хост-файл».

Чем полезен hosts?

Hosts входит в группу пользовательских настроек и незаменим при решении следующих задач:

Блокировка сетевого соединения - программное приложение - сервер/сайт

Многие программы периодически обращаются к своим «родным» ресурсам для обновления, отправки данных. Для пользователя такой режим работы не всегда удобен: тратится траффик, затормаживается загрузка страниц, нет контроля загрузки данных.

Минуя все программные настройки и правила фаервола, ограничить доступ им можно непосредственно в hosts, добавив следующую строчку:

Осуществления контроля над посещением веб-ресурсов

Аналогичным образом блокируется и доступ к определённым сайтам: порнографическим, сомнительным, соцсетям и др. Всё зависит от цели ограничения - родительский контроль, офисные или учебные ПК.

У host есть приоритет над DNS-серверами (сервисами, присваивающими доменным именам IP-адреса), поэтому ПК изначально будет следовать его указаниям при создании сетевого подключения.

Следите за файлом host, правильно настраивайте его, и с вашим ПК будет всё «OK». Приятного пользования интернетом!

Немного терминологии

DNS (англ. аббревиатура от Domain Name System ) – Служба доменных имен. Устанавливает соответствие между числовыми IP -адресами и текстовыми именами.

DNS (англ. аббревиатура от Domain Name Server ) – сервер доменных имён; служебный компьютер локальной или Глобальной Сети, переводящий имена компьютеров в доменных записях в .

DNS-кэш (кэш распознавателя DNS ) – временное хранилище предыдущих DNS -запросов на локальном . Снижает время выполнения запроса, уменьшает сетевой и интернет-трафик.

host (англ.) – главная вычислительная машина; хост, любое устройство, подключенное к сети и использующее протоколы TCP /IP .

IP (англ. Internet Protocol ) – Интернет-протокол; протокол сетевого уровня из набора протоколов Интернет.

IP-адрес (англ. IP address ) – используется для идентификации узла в сети и для определения информации маршрутизации. Состоит из идентификатора сети (network ID ) и идентификатора хоста (host ID ).

Name Resolution (англ.) – разрешение доменных имен; процесс преобразования имени компьютера в соответствующий .

Name Resolution Service – сервис разрешения имен; в сетях TCP /IP преобразует имена компьютеров в и наоборот.

TCP/IP (англ. аббревиатура от Transmission Control Protocol/Internet Protocol ) – протокол управления передачей информации, основной протокол транспортного и сеансового уровней, обеспечивающий надёжные полнодуплексные потоки. Предназначен для использования в Глобальной Сети и для объединения неоднородных сетей.

URL (англ. аббревиатура от Uniform Resource Locator ) – унифицированный указатель информационного ресурса; стандартизованная строка символов, указывающая местонахождение ресурса в сети Интернет.

Что такое hosts -файл

hosts -файл в Windows и других операционных системах используется для связи (сопоставления) имен хостов (узлов, серверов, доменов) с их (name resolution ).

В hosts -файле по умолчанию прописан всего один (127.0.0.1), зарезервированный для localhost , то есть для локального .

Файл hosts представляет собой обычный текстовый файл (не имеющий расширения).

Дисковый адрес файла hosts :

Windows 95\98\ME \WINDOWS\ ;

Windows NT \2000\ \ \ – \Windows\System32\drivers\etc\ .

Когда интернет-пользователь набирает в своем веб-браузере адрес (URL ) какого-либо сайта (веб-страницы) и нажимает Enter :

– браузер пользователя проверяет в hosts -файле, не является ли введённое имя собственным именем компьютера (localhost );

– если нет, то браузер ищет запрашиваемый адрес (имя хоста) в файле hosts ;

– если имя хоста найдено, браузер обращается к соответствующему этому хосту , указанному в hosts -файле;

– если имя хоста не обнаружено в файле hosts , тогда браузер обращается к (DNS -кэш);

– если имя хоста найдено в кэше, браузер обращается к соответствующему этому хосту , сохраненному в кэше DNS ;

– если имя хоста не обнаружено в кэше распознавателя DNS , браузер обращается к DNS -серверу;

– если запрашиваемая веб-страница (сайт) существует, DNS -сервер переводит заданный пользователем URL -адрес в ;

– веб-браузер загружает запрошенный ресурс.

История возникновения hosts -файла

# Copyright (c) 1993-1999 Microsoft Corp.

#

#

# space.

#

#

# For example:

#

127.0.0.1 localhost

# Copyright (c) 1993-2006 Microsoft Corp.

#

# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.

#

# This file contains the mappings of IP addresses to host names. Each

# entry should be kept on an individual line. The IP address should

# be placed in the first column followed by the corresponding host name.

# The IP address and the host name should be separated by at least one

# space.

#

# Additionally, comments (such as these) may be inserted on individual

# lines or following the machine name denoted by a "#" symbol.

#

# For example:

#

# 102.54.94.97 rhino.acme.com # source server

# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost

::1 localhost

# Copyright (c) 1993-2009 Microsoft Corp.

#

# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.

#

# This file contains the mappings of IP addresses to host names. Each

# entry should be kept on an individual line. The IP address should

# be placed in the first column followed by the corresponding host name.

# The IP address and the host name should be separated by at least one

# space.

#

# Additionally, comments (such as these) may be inserted on individual

# lines or following the machine name denoted by a "#" symbol.

#

# For example:

#

# 102.54.94.97 rhino.acme.com # source server

# 38.25.63.10 x.acme.com # x client host

# localhost name resolution is handled within DNS itself.

# 127.0.0.1 localhost

# ::1 localhost

Использование hosts -файла

hosts -файл можно использовать для ускорения работы в Глобальной Сети и сокращения трафика – вследствие уменьшения запросов к DNS -серверу для часто посещаемых ресурсов.

Например, вы часто загружаете ресурсы google.ru и google.com . Откройте файл hosts и после строки 127.0.0.1 localhost введите строки

209.85.229.104 google.ru

74.125.232.20 google.com

Это позволит веб-браузеру не обращаться к серверу DNS , а сразу устанавливать соединение с сайтами google.ru и google.com .

Иногда hosts -файл используют для блокировки нежелательных ресурсов (например, рассылающих и вредоносное программное обеспечение). Для этого нужно после строки 127.0.0.1 localhost ввести строку

127.0.0.1 URL_блокируемого_ресурса

Суть этой манипуляции в том, что блокируемый ресурс сопоставляется с 127.0.0.1, который является адресом локального компьютера, – поэтому нежелательный ресурс не будет загружаться.

Правила редактирования hosts -файла

1. Каждый элемент должен располагаться в отдельной строке.

2. должен начинаться с первой позиции строки, за ним (в этой же строке) должно следовать соответствующее ему имя хоста.

3. и имя узла должны разделяться хотя бы одним пробелом.

4. Комментарии должны предваряться символом # .

5. Если комментарии используются в строках соответствия доменных имён, они должны следовать за именем узла и отделяться от него символом # .

Использование hosts -файла вирусописателями

Злоумышленники давно уже облюбовали hosts -файл, – с его помощью на заражённом подменяются настоящие адреса веб-ресурсов. После этого веб-браузер перенаправляет пользователя на сайты с вредоносным , или, например, блокирует доступ к сайтам производителей антивирусов.

Вредоносное маскирует модификацию hosts -файла следующим образом:

– чтобы затруднить обнаружение строк, добавленных вирусом, они записываются в конец файла – после пространной пустой области, образуемой в результате многократного перевода строк;

– после этого оригинальному hosts -файлу присваивается атрибут Скрытый (по умолчанию скрытые файлы и папки не видны);

– создается ложный hosts -файл, который в отличие от настоящего файла hosts (не имеющего расширения) имеет расширение .txt (по умолчанию для зарегистрированных типов файлов расширения не отображаются):


hosts -файл: как устранить последствия вирусной атаки

Откройте hosts -файл (если вирус установил файлу атрибут Скрытый , потребуется в Свойствах папки включить опцию Показывать скрытые файлы и папки ) ;

– появится окно Windows с сообщением «Не удалось открыть следующий файл…» ;


– установите переключатель Выбор программы из списка вручную –> OK ;

– в окне Выбор программы в прокручиваемом списке Программы выделите Блокнот –> OK ;

– файл hosts откроется в Блокноте ;

– удалите все строки, кроме 127.0.0.1 localhost ;

– сохраните hosts -файл.

Валерий Сидоров

Немногие пользователи, работающие с «семеркой» и занимающиеся серфингом в сети Интернет, догадываются об истинном значении файла HOSTS (Windows 7). Содержание его будет показано несколько позже, а пока немного остановимся на теории.

зачем он нужен?

Вообще, если кто обращал внимание, сам файл располагается в директории etc, если последовательно перейти по дереву от папки Windows, через System32 к каталогу drivers на системном диске. Не все, правда, заходят в такие дебри системы, по большому счету, это и не нужно. С другой стороны, если обратить внимание, сам объект расширения не имеет, хотя, по сути, и является обычным текстовым документом.

Но давайте поближе рассмотрим Windows 7. Содержание его таково, что именно этот объект отвечает в системе за взаимосвязь между именами хостов (сайтов, узлов и т. д.) и определение их IP-адресов для обеспечения конечному пользователю доступа к ресурсу. Грубо говоря, нам не нужно в браузере прописывать комбинации, состоящие из цифр, а можно указывать только названия ресурсов.

И еще одно небольшое уточнение насчет файла HOSTS (Windows 7). Содержание его может меняться. В зависимости от того, какие именно изменения были сделаны, это может помочь заблокировать определенные сайты, ускорить доступ к некоторым ресурсам, а может, напротив, сыграть и злую шутку, перенаправляя пользователя на сомнительные сайты. Впрочем, сначала посмотрим на оригинальный файл.

(Windows 7): содержание

Итак, для начала попробуем открыть Надо сказать, что если использовать стандартный метод двойного клика, ничего не получится, ведь, как было сказано выше, у этого объекта нет расширения. К тому же файл может быть скрыт, поэтому следует сначала в меню вида выбрать отображение скрытых объектов. Зато система предложит несколько приложений для открытия. Выбираем самое простое - стандартный "Блокнот" и смотрим на содержание файла HOSTS (Windows 7). Перед нами что-то непонятное: описательный текст, какие-то примеры и строка с указанием локального IP (# 127.0.0.1 localhost). Так и должно быть.

Внимание! Ниже строки с указанием зарезервированного локального адреса не должно быть вообще ничего, если, конечно, пользователь не хочет, чтобы какой-то ресурс был заблокирован!

Вообще, все, что находится выше localhost, относится к разрешенным ресурсам. Все что ниже - к блокируемым. Нетрудно догадаться, что многие вирусы, в частности программы, распространяющие спам или рекламу (Malware, Adware и т. д.) самостоятельно редактируют содержимое этого файла. Вот и получается, что при запросе одного ресурса пользователь получает редирект (перенаправление) совершенно на другой.

HOSTS по умолчанию в Windows 7

Оригинальный файл мы рассмотрели. Теперь разберем измененное содержание. Для исправления можно взять содержимое «чистого» файла для «семерки» с другого компьютера или из Интернета, скопировать его, потом вставить в оригинал и сохранить.

Но тут есть одна проблема. Дело в том, что иногда после удаления всего ненужного сохранить файл, как оригинал, не получается (система просто не дает этого сделать).

Как поступить в данном случае? Сначала удаляем оригинал полностью (Shift + Del), минуя "Корзину". Затем используем правый клик на пустом пространстве внутри каталога etc и создаем новый файл с аналогичным названием, но не указываем расширение. Теперь вставляем в него необходимое содержимое и сохраняем объект. После этого там же нужно найти файл lmhosts.sam и удалить его, как было указано ранее.

Все, дело сделано. Что в первом, что во втором случае в обязательном порядке требуется перезагрузка системы. Только тогда все будет работать как положено. И, естественно, редактирование должно производиться исключительно с правами админа.

Итог

В общем и целом, здесь были приведены очень краткие сведения о файле HOST. Если посмотреть на вопросы блокирования некоторых нежелательных ресурсов или напротив, разрешений на их посещение с ускорением доступа, редактирование должно производиться исключительно вручную и согласно определенным правилам. Тут нужно помнить, что ключевую роль разделителя играет именно строка с указание зарезервированного локального IP. Ну а дальше, как говорится, дело техники. Кстати, вышеописанная методика поможет и в том случае, если содержимое объекта было изменено вследствие воздействия вирусных программ.