olegpaschenko: (Default)
olegpaschenko ([personal profile] olegpaschenko) wrote2010-06-13 01:01 pm
  • Add Memory
  • Share This Entry

забанили в гугле

у сына на компе (winxp sp3) внезапно стали недоступны через браузер (firefox, ie, chrome) сайты: ya.ru, yandex.ru, google.com, gmail.com, rambler.ru, yahoo.com, youtube.com. При этом "пингуются" они так, полюбуйтесь (болд мой):

C:\Documents and Settings\Marc>ping ya.ru

Обмен пакетами с ya.ru [127.0.0.1] по 32 байт:

Ответ от 127.0.0.1: число байт=32 время<1мс TTL=128
Ответ от 127.0.0.1: число байт=32 время<1мс TTL=128
Ответ от 127.0.0.1: число байт=32 время<1мс TTL=128
Ответ от 127.0.0.1: число байт=32 время<1мс TTL=128

Статистика Ping для 127.0.0.1:
Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек


При этом например Яндекс.Блоги и Яндекс.Картинки, как и множество других сайтов — открываются.

В hosts — только одна строка: 127.0.0.1 localhost

В настройках браузеров ничего такого нет. Фаерволл отключал, не помогло. Аваст всю ночь сканировал в полном режиме - ноль инфицированных. На остальных машинах в домашней сети все нормально.

что это, а?

UPDATE починилось после того, как я с яндексовского саппорта скачал чинилку файла hosts
http://help.yandex.ru/search/hrepair.bat

она создала новый чистый hosts — и
в папке C:\WINDOWS\system32\drivers\etc оказалось два файла hosts: один мой старый, второй новый generated by yandex. Как такое может быть? (отображение расширений у меня, естественно, включено)
старый я удалил, и все починилось

UPDATE 2 DrWeb CureIt нашел Trojan.Hosts.435 (сыну друг прислал прикольную прогу photo-747.exe)

Всем огромное спасибо за помощь.

Flat | Top-Level Comments Only

[identity profile] mux22.livejournal.com 2010-06-13 09:05 am (UTC)(link)
попробуй зайти на сайт напрямую через IP, если работает - смотри файл hosts, возможно, там какая-то зараза поковырялась. Хотя странно, конечно.

фаерволл - отдельный или встроенный в винды? Надо оба проверить.

сейчас присмотрелся, что пишет пинг

[identity profile] olegpaschenko.livejournal.com 2010-06-13 09:20 am (UTC)(link)
Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.

C:\Documents and Settings\Marc>ping ya.ru

Обмен пакетами с ya.ru [127.0.0.1] по 32 байт:

Ответ от 127.0.0.1: число байт=32 время<1мс TTL=128
Ответ от 127.0.0.1: число байт=32 время<1мс TTL=128
Ответ от 127.0.0.1: число байт=32 время<1мс TTL=128
Ответ от 127.0.0.1: число байт=32 время<1мс TTL=128

Статистика Ping для 127.0.0.1:
Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек


ya.ru [127.0.0.1] ойойойой

в ие то же самое, да




Re: сейчас присмотрелся, что пишет пинг

[identity profile] mux22.livejournal.com 2010-06-13 09:21 am (UTC)(link)
ололо. Иди в файл hosts и выкинь оттуда все. Почти наверняка там собака порылась.
где он - не помню, ищи в гугле

Re: сейчас присмотрелся, что пишет пинг

[identity profile] namemansl.livejournal.com 2010-06-13 10:57 am (UTC)(link)
)))

[identity profile] olegpaschenko.livejournal.com 2010-06-13 09:22 am (UTC)(link)
в hosts написано только 127.0.0.1 localhost

[identity profile] mux22.livejournal.com 2010-06-13 09:23 am (UTC)(link)
интересно девки пляшут

[identity profile] mux22.livejournal.com 2010-06-13 09:24 am (UTC)(link)
попингуй 87.250.251.3, это айпишник я.ру

[identity profile] olegpaschenko.livejournal.com 2010-06-13 09:32 am (UTC)(link)
Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.

C:\Documents and Settings\Marc>ping 87.250.251.3

Обмен пакетами с 87.250.251.3 по 32 байт:

Ответ от 87.250.251.3: число байт=32 время=5мс TTL=53
Ответ от 87.250.251.3: число байт=32 время=7мс TTL=53
Ответ от 87.250.251.3: число байт=32 время=6мс TTL=53
Превышен интервал ожидания для запроса.

Статистика Ping для 87.250.251.3:
Пакетов: отправлено = 4, получено = 3, потеряно = 1 (25% потерь),
Приблизительное время приема-передачи в мс:
Минимальное = 5мсек, Максимальное = 7 мсек, Среднее = 6 мсек

C:\Documents and Settings\Marc>

[identity profile] http://users.livejournal.com/_tsukasa/ 2010-06-13 09:59 am (UTC)(link)
+1, DNS отжигает.
Раутер?

[identity profile] olegpaschenko.livejournal.com 2010-06-13 10:08 am (UTC)(link)
C:\Documents and Settings\Marc>nslookup
Default Server: RTN16
Address: 192.168.1.1

да, раутер, но на других машинах, которые он кормит, все ок

[identity profile] http://users.livejournal.com/_tsukasa/ 2010-06-13 10:39 am (UTC)(link)
Тупой вопрос — а раутер перегружали?
Еще может какая ерунда с фаерволом, стоит его вырубить и посмотреть.

[identity profile] olegpaschenko.livejournal.com 2010-06-13 10:50 am (UTC)(link)
раутер перезагружал, фаервол выключал

[identity profile] http://users.livejournal.com/_tsukasa/ 2010-06-13 10:54 am (UTC)(link)
попробуйте вручную в компе прописать http://code.google.com/intl/ru-RU/speed/public-dns/
т.е. вы обойдете свой родной DNS таким образом.
Если не спасет, то значит какой-то софт в компе мешается, или вирь, которая пытается подменить страницу поисковика:
http://help.yandex.ru/search/?id=1061423

[identity profile] qborrd.livejournal.com 2010-06-13 10:01 am (UTC)(link)
Олег, еще встречается, что в hosts первая строчка нормальная, потом много-много пустых строк, а уже там написано не то.

Еще нужен вывод команды "netstat -ano".

[identity profile] olegpaschenko.livejournal.com 2010-06-13 10:10 am (UTC)(link)
нет, хостос состоит из одной строки

нетстат:

[identity profile] olegpaschenko.livejournal.com 2010-06-13 10:12 am (UTC)(link)
Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.

C:\Documents and Settings\Marc>netstat -ano

Активные подключения

Имя Локальный адрес Внешний адрес Состояние PID
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 1276
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
TCP 127.0.0.1:1033 0.0.0.0:0 LISTENING 2384
TCP 127.0.0.1:1038 127.0.0.1:27015 ESTABLISHED 3280
TCP 127.0.0.1:1214 127.0.0.1:12080 ESTABLISHED 5248
TCP 127.0.0.1:1226 127.0.0.1:12080 ESTABLISHED 5248
TCP 127.0.0.1:1622 127.0.0.1:12080 ESTABLISHED 5248
TCP 127.0.0.1:1647 127.0.0.1:12080 ESTABLISHED 5248
TCP 127.0.0.1:1663 127.0.0.1:12080 ESTABLISHED 5248
TCP 127.0.0.1:1682 127.0.0.1:12080 ESTABLISHED 5248
TCP 127.0.0.1:1688 127.0.0.1:12080 ESTABLISHED 5248
TCP 127.0.0.1:1728 127.0.0.1:12080 ESTABLISHED 5248
TCP 127.0.0.1:1730 127.0.0.1:12080 ESTABLISHED 5248
TCP 127.0.0.1:1731 127.0.0.1:12080 ESTABLISHED 5248
TCP 127.0.0.1:1732 127.0.0.1:12080 ESTABLISHED 5248
TCP 127.0.0.1:1733 127.0.0.1:12080 ESTABLISHED 5248
TCP 127.0.0.1:1785 127.0.0.1:12080 ESTABLISHED 5248
TCP 127.0.0.1:1788 127.0.0.1:12080 ESTABLISHED 5248
TCP 127.0.0.1:1834 127.0.0.1:12080 ESTABLISHED 5248
TCP 127.0.0.1:1835 127.0.0.1:12080 ESTABLISHED 5248
TCP 127.0.0.1:1860 127.0.0.1:12080 ESTABLISHED 5248
TCP 127.0.0.1:1872 127.0.0.1:12080 ESTABLISHED 5248
(продолжение следует)
Edited 2010-06-13 10:15 (UTC)

[identity profile] olegpaschenko.livejournal.com 2010-06-13 10:16 am (UTC)(link)
TCP 127.0.0.1:5152 0.0.0.0:0 LISTENING 692
TCP 127.0.0.1:5152 127.0.0.1:1059 CLOSE_WAIT 692
TCP 127.0.0.1:5354 0.0.0.0:0 LISTENING 488
TCP 127.0.0.1:12025 0.0.0.0:0 LISTENING 3324
TCP 127.0.0.1:12080 0.0.0.0:0 LISTENING 3612
TCP 127.0.0.1:12080 127.0.0.1:1214 ESTABLISHED 3612
TCP 127.0.0.1:12080 127.0.0.1:1226 ESTABLISHED 3612
TCP 127.0.0.1:12080 127.0.0.1:1622 ESTABLISHED 3612
TCP 127.0.0.1:12080 127.0.0.1:1647 ESTABLISHED 3612
TCP 127.0.0.1:12080 127.0.0.1:1663 ESTABLISHED 3612
TCP 127.0.0.1:12080 127.0.0.1:1682 ESTABLISHED 3612
TCP 127.0.0.1:12080 127.0.0.1:1688 ESTABLISHED 3612
TCP 127.0.0.1:12080 127.0.0.1:1728 ESTABLISHED 3612
TCP 127.0.0.1:12080 127.0.0.1:1730 ESTABLISHED 3612
TCP 127.0.0.1:12080 127.0.0.1:1731 ESTABLISHED 3612
TCP 127.0.0.1:12080 127.0.0.1:1732 ESTABLISHED 3612
TCP 127.0.0.1:12080 127.0.0.1:1733 ESTABLISHED 3612
TCP 127.0.0.1:12080 127.0.0.1:1785 ESTABLISHED 3612
TCP 127.0.0.1:12080 127.0.0.1:1788 ESTABLISHED 3612
TCP 127.0.0.1:12080 127.0.0.1:1834 ESTABLISHED 3612
TCP 127.0.0.1:12080 127.0.0.1:1835 ESTABLISHED 3612
TCP 127.0.0.1:12080 127.0.0.1:1860 ESTABLISHED 3612
TCP 127.0.0.1:12080 127.0.0.1:1872 ESTABLISHED 3612
TCP 127.0.0.1:12080 127.0.0.1:1896 TIME_WAIT 0
TCP 127.0.0.1:12080 127.0.0.1:1897 TIME_WAIT 0
TCP 127.0.0.1:12080 127.0.0.1:1901 TIME_WAIT 0
TCP 127.0.0.1:12080 127.0.0.1:1903 TIME_WAIT 0
TCP 127.0.0.1:12110 0.0.0.0:0 LISTENING 3324
TCP 127.0.0.1:12119 0.0.0.0:0 LISTENING 3324
TCP 127.0.0.1:12143 0.0.0.0:0 LISTENING 3324
TCP 127.0.0.1:27015 0.0.0.0:0 LISTENING 472
TCP 127.0.0.1:27015 127.0.0.1:1038 ESTABLISHED 472
TCP 192.168.1.144:139 0.0.0.0:0 LISTENING 4

[identity profile] olegpaschenko.livejournal.com 2010-06-13 10:16 am (UTC)(link)
TCP 192.168.1.144:1227 209.85.229.155:80 ESTABLISHED 3612
TCP 192.168.1.144:1689 193.45.3.179:80 ESTABLISHED 3612
TCP 192.168.1.144:1839 87.248.203.253:80 LAST_ACK 3612
TCP 192.168.1.144:1840 87.248.203.253:80 LAST_ACK 3612
TCP 192.168.1.144:1841 87.248.203.253:80 LAST_ACK 3612
TCP 192.168.1.144:1853 204.236.130.144:80 LAST_ACK 3612
TCP 192.168.1.144:1858 209.123.109.175:80 LAST_ACK 3612
TCP 192.168.1.144:1859 208.93.0.128:80 LAST_ACK 3612
TCP 192.168.1.144:1861 188.40.121.84:80 CLOSE_WAIT 3612
TCP 192.168.1.144:1864 208.93.0.128:80 LAST_ACK 3612
TCP 192.168.1.144:1866 87.248.203.254:80 CLOSE_WAIT 3612
TCP 192.168.1.144:1867 87.248.203.253:80 CLOSE_WAIT 3612
TCP 192.168.1.144:1868 87.248.203.253:80 CLOSE_WAIT 3612
TCP 192.168.1.144:1869 87.248.203.253:80 CLOSE_WAIT 3612
TCP 192.168.1.144:1870 87.248.203.254:80 CLOSE_WAIT 3612
TCP 192.168.1.144:1871 87.248.203.254:80 LAST_ACK 3612
TCP 192.168.1.144:1873 87.248.203.254:80 CLOSE_WAIT 3612
TCP 192.168.1.144:1874 87.248.203.253:80 CLOSE_WAIT 3612
TCP 192.168.1.144:1875 87.248.203.253:80 CLOSE_WAIT 3612
TCP 192.168.1.144:1876 87.248.203.253:80 CLOSE_WAIT 3612
TCP 192.168.1.144:1877 87.248.203.253:80 CLOSE_WAIT 3612
TCP 192.168.1.144:1878 87.248.203.253:80 CLOSE_WAIT 3612
TCP 192.168.1.144:1888 204.236.130.144:80 LAST_ACK 3612
TCP 192.168.1.144:1893 209.123.109.175:80 CLOSE_WAIT 3612
TCP 192.168.1.144:1894 208.93.0.128:80 ESTABLISHED 3612
TCP 192.168.1.144:1895 87.248.203.254:80 TIME_WAIT 0
TCP 192.168.1.144:1898 217.73.200.219:80 TIME_WAIT 0
TCP 192.168.1.144:1900 85.202.240.54:80 CLOSE_WAIT 3612
TCP 192.168.1.144:1905 204.236.130.144:80 CLOSE_WAIT 3612
UDP 0.0.0.0:445 *:* 4
UDP 0.0.0.0:500 *:* 1020
UDP 0.0.0.0:1025 *:* 488
UDP 0.0.0.0:1123 *:* 3604
UDP 0.0.0.0:1215 *:* 3604
UDP 0.0.0.0:4500 *:* 1020
UDP 0.0.0.0:49283 *:* 488
UDP 127.0.0.1:123 *:* 1336
UDP 127.0.0.1:1900 *:* 1540
UDP 192.168.1.144:123 *:* 1336
UDP 192.168.1.144:137 *:* 4
UDP 192.168.1.144:138 *:* 4
UDP 192.168.1.144:1900 *:* 1540
UDP 192.168.1.144:5353 *:* 488

C:\Documents and Settings\Marc>

[identity profile] qborrd.livejournal.com 2010-06-13 10:24 am (UTC)(link)
а если сделать нового пользователя и попробовать из него?

[identity profile] olegpaschenko.livejournal.com 2010-06-13 10:51 am (UTC)(link)
симптомы те же

[identity profile] qborrd.livejournal.com 2010-06-13 11:44 am (UTC)(link)
Олег, из идей осталось только запустить "sfc.exe /scannow", если есть диск в окнами

И еще процесс с PID 3612 -- это кто? можно посмотреть в диспетчере задач.

[identity profile] olegpaschenko.livejournal.com 2010-06-13 01:57 pm (UTC)(link)
UPDATE починилось после того, как я с яндексовского саппорта скачал чинилку файла hosts
http://help.yandex.ru/search/hrepair.bat

она создала новый чистый hosts — и
в папке C:\WINDOWS\system32\drivers\etc оказалось два файла hosts: один мой старый, второй новый generated by yandex. Как такое может быть? (отображение расширений у меня, естественно, включено)
старый я удалил, и все починилось

UPDATE 2 DrWeb CureIt нашел Trojan.Hosts.435

[identity profile] olegpaschenko.livejournal.com 2010-06-13 03:22 pm (UTC)(link)
спасибо, чт опомогли)

[identity profile] olegpaschenko.livejournal.com 2010-06-13 01:55 pm (UTC)(link)
UPDATE починилось после того, как я с яндексовского саппорта скачал чинилку файла hosts
http://help.yandex.ru/search/hrepair.bat

она создала новый чистый hosts — и
в папке C:\WINDOWS\system32\drivers\etc оказалось два файла hosts: один мой старый, второй новый generated by yandex. Как такое может быть? (отображение расширений у меня, естественно, включено)
старый я удалил, и все починилось

UPDATE 2 DrWeb CureIt нашел Trojan.Hosts.435
Flat | Top-Level Comments Only