Wpisy rozpoczynające się ciągiem O1 odnoszą się do pliku hosts, o którym było już nieco wcześniej. W skrócie, jest to plik, który kojarzy z sobą wpisane w nim w jednej linii IP i adres strony internetowej. Ma to za zadanie przyspieszyć proces ładowania wymienionych tam stron, ale w przypadku infekcji zdarza się, że strony zostają skojarzone z niewłaściwymi IP, co prowadzi do tego, że sie one nie ładują wcale, albo użytkownik jest przenoszony na niewłaściwe strony zamiast tych prawidłowych.
Warto też powtórzyć domyślne lokalizacje tego pliku w różnych systemach:
Windows 3.1 - C:\WINDOWS\HOSTS
Windows 95 - C:\WINDOWS\HOSTS
Windows 98 - C:\WINDOWS\HOSTS
Windows ME - C:\WINDOWS\HOSTS
Windows XP - C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
Windows NT - C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS
Windows 2000 - C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS
Windows 2003 - C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
Zmiany jego lokalizacji można dokonać wprowadzając zmiany w Rejestrze, a dokładnie: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\: DatabasePath
UWAGA: Jeśli zauważysz, że ściezka do tego pliku wygląda w ten sposób: Windows\Help\hosts (na przykładzie poniżej), oznacza to najprawdopodobniej infekcję CoolWebSearch (do usuwania jej nadaje się CWShredder). Także (o ile nikt tego nie zmieniał) jeżeli
hosts jest w innej lokalizacji niż domyślna, to istnieje duże prawdopodobieństwo, że w systemie coś jest namieszane.
Nieznane sobie wpisy sekcji O1 można w zasadzie usuwać bez strachu, pamiętając, że w razie czego, można domyślny wygląd pliku hosts przywrócić używając narzędzia o nazwie HostsXpert. W razie problemu wystarczy odpalić program, kliknąć przycisk Restore Original Hosts i sprawa załatwiona.
Przykładowe wpisy z O1:
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
O1 - Hosts file is located at C:\Windows\Help\hosts
Ostatni z w/w przykładów wskazuje na zmianę położenia hosts w systemie, a więc najprawdopodobniej na infekcję CoolWebSearch (o tym nieco wyżej).
Istnieją również sytuacje, w których w HijackThis nie widać tych wpisów (albo widać je, ale po ich usunięciu przez program nic się nie zmienia) - wtedy należy odszukać plik hosts w systemie i edytować go ręcznie (usunąć nieprawidłowe wpisy i ewentualnie zaznaczyć we właściwościach pliku opcję Tylko do odczytu).
Subskrybuj:
Komentarze do posta (Atom)
Brak komentarzy:
Prześlij komentarz