забанили в гугле

[olegpaschenko]

у сына на компе (winxp sp3) внезапно стали недоступны через браузер (firefox, ie, chrome) сайты: ya.ru, yandex.ru, google.com, gmail.com, rambler.ru, yahoo.com, youtube.com. При этом "пингуются" они так, полюбуйтесь (болд мой):

C:\Documents and Settings\Marc>ping ya.ru

Обмен пакетами с ya.ru [127.0.0.1] по 32 байт:

Ответ от 127.0.0.1: число байт=32 время<1мс TTL=128
Ответ от 127.0.0.1: число байт=32 время<1мс TTL=128
Ответ от 127.0.0.1: число байт=32 время<1мс TTL=128
Ответ от 127.0.0.1: число байт=32 время<1мс TTL=128

Статистика Ping для 127.0.0.1:
Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек


При этом например Яндекс.Блоги и Яндекс.Картинки, как и множество других сайтов — открываются.

В hosts — только одна строка: 127.0.0.1 localhost

В настройках браузеров ничего такого нет. Фаерволл отключал, не помогло. Аваст всю ночь сканировал в полном режиме - ноль инфицированных. На остальных машинах в домашней сети все нормально.

что это, а?

UPDATE починилось после того, как я с яндексовского саппорта скачал чинилку файла hosts
http://help.yandex.ru/search/hrepair.bat

она создала новый чистый hosts — и
в папке C:\WINDOWS\system32\drivers\etc оказалось два файла hosts: один мой старый, второй новый generated by yandex. Как такое может быть? (отображение расширений у меня, естественно, включено)
старый я удалил, и все починилось

UPDATE 2 DrWeb CureIt нашел Trojan.Hosts.435 (сыну друг прислал прикольную прогу photo-747.exe)

Всем огромное спасибо за помощь.

Comments

[orleanz.livejournal.com]

Вот теперь я понял, что означает интернет-шутка "тебя забанили в Гугле,да?"

:)

ничего личного

[mux22.livejournal.com]

попробуй зайти на сайт напрямую через IP, если работает - смотри файл hosts, возможно, там какая-то зараза поковырялась. Хотя странно, конечно.

фаерволл - отдельный или встроенный в винды? Надо оба проверить.

[mux22.livejournal.com]

и, кстати, как обстоят дела в IE?

[tne-zavtrak.livejournal.com]

Вирус ?

[njuno.livejournal.com]

Надо попробовать другие браузеры если нет, то зайти в файлик hosts —
C:\Windows\System32\drivers\etc, и все там почистить, если и это не поможет, делать откат.

[rost-is-love.livejournal.com]

Это темные силы электричества.

[korvine.livejournal.com]

Да, про хостс верно, но если вирус остался — он его снова попортит.

Универсальный способ — качаем drWeb cureit с гарантированно неинфицированной машины (мака не найдется под это дело?) записываем на флешку. Предположительно инфицированную запускаем в безопасном режиме и только потом туда эту флешку вставляем, антивирь переписываем и запускаем на быструю проверку. Если что-то найдет — можно еще раз поставить на полную, но с большой вероятностью оно и с первого раза справится.

Современные вири себя умело маскируют в "небезопасном" режиме, сейчас это скорее исключение, когда его постфактум можно найти простой проверкой.

[old-skeletron.livejournal.com]

Олег, скачай AdAware (lavasoft.com) там есть бесплатная версия для домашнего пользования
обнови базы и прочисти машину

[khaoos.livejournal.com]

Выполнить - cmd - route PRINT
небось туда затесалось

[mdsystemz.livejournal.com]

nslookup поможет разобраться

[manwatermelon.livejournal.com]

руткит
http://www.dslreports.com/forum/r21685912-
возможное решение здесь.

[pilgrimminstrel.livejournal.com]

выполнить %SYSTEMROOT%\system32\drivers\etc\hosts

[igor-safonov.livejournal.com]

Выше правильно говорят, DNS полетел, похоже. Что делать — не знаю, я тоже макюзер. 8-)

Реестр

[trushkinv.livejournal.com]

The "hosts" file is determined by the following registry key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DataBasePath and the default value is %SystemRoot%\system32\drivers\etc\ Some malware may hijack this path. However if the "hosts" file is correct, and antivirus sites still resolve to 127.0.0.1 you most probably have contacted a rootkit. Try sysinternal's rootkitrevealer »technet.microsoft.com/en-us/sysi···445.aspx and see if anything comes up.

http://www.dslreports.com/forum/r21668664-Info-Some-sites-on-Windows-XP-home-resolving-to-127001 (http://www.dslreports.com/forum/r21668664-Info-Some-sites-on-Windows-XP-home-resolving-to-127001)

[ex-un1x.livejournal.com]

Возьми да пропиши в хостс правильные айпи.

[ex-un1x.livejournal.com]

Откат системы сделай на то время, когда работало

[lonelyelk.livejournal.com]

Похоже на разновидность DNSChanger. Сам не сталкивался. Скорее всего, если открыть Сетевые соединения->Текущее соединение (Свойства)-> Протокол TCP/IP->Свойства, то там будет прописан DNS, который нельзя будет убрать.

Что касается, как убрать, не могу ничего порекомендовать, в поиске много различных инструкций, каждый рекомендует свой способ, но так как не пробовал сам, не могу ручаться. http://www.google.ru/search?hl=ru&q=remove+DNSChanger

[kashtanov.livejournal.com]

Олег я завтра утром буду в Москве - если еще будет актуально - наберите меня - помогу чем смогу.

[nikarhyme.livejournal.com]

Олег, скорей всего таки вирус. Посмотрите еще раз внимательнее на файл host, на всякий. Какого он размера ?
Последний "писк моды" это прятать нужные строчки там далеко снизу или справа за кучей пробелов.

[oxxxel.livejournal.com]

"снеси" сетевое окружение и драйвера сетевухи и заново поставь.

ЗЫ. 99% за то, что вирус, загружайся с чистой системы и лечи.

[mux22.livejournal.com]

ну и друзья у твоего сына )

оффтопик

[mux22.livejournal.com]

Насчет смерти:
Погугли академика Скулачева и его эксперименты. В сети была пара очень хороших интервью.

[braindancer.livejournal.com]

(Я насчет более позднего поста, извините)

> То есть подобие комы. Или всё же некие грёзы проецируются на маленький нематериальный экран пред несуществующими очами умершего человека? Тогда изменённое смертью сознание — это, если можно так выразиться, терминал, «тонкий клиент», а вся работа всё равно осуществляется на, прошу прощения за неловкий эвфемизм, Серверной Стороне.

http://xkcd.com/686/ - вы же вот это видели, да? В некотором смысле релевантно. :)