Шаг 1. Автоматическая проверка системы на вирусы. Воспользуйтесь одной из бесплатных антивирусных утилит:
CureIt! Обычно, ей не составит труда не только обезвредить сам вирус, но и исправить причиненные им последствия. А именно, с некоторых пор CureIt! способна обнаруживать изменения в файле hosts. Пользуясь программой обязательно выполните “полную проверку” системы, т.к. быстрой проверки для обезвреживания вируса не всегда бывает достаточно. Инструкция здесь.
AVZ4 – лечит систему и имеет функцию очистки файла hosts. Инструкция:
1. Качаем архив, распаковываем и запускаем avz.exe;
2. В окне программы выберите “Локальный диск (С
”, ”Выполнять лечение” и нажмите кнопку “Пуск” для начала сканирования.
3. По завершении сканирования зайдите в меню “Файл – Восстановление системы”.
4. Отметьте 13-ый пункт (Очистка файла Hosts) и нажмите кнопку “Выполнить отмеченные операции”.
5. Подтвердите выполнение операции и закройте программу.
Шаг 2. Выполним действия, которые не производятся антивирусами. Для начала скачайте Process Explorer и запустите его.
В списке процессов посчитайте количество lsass.exe. Один есть всегда – он системный. Если процесса два, значит второй – часть вируса. Наведите на него курсор мыши, появится путь к этому файлу. Если файл lsass.exe находится НЕ в папке Windows\System32\ (обратите внимание: не в данной папке), запомните путь, выделите процесс левой кнопкой мыши и нажмите красный крестик сверху (еще можно выделить процесс правой кнопкой мыши и выбрать из выпадающего меню пункт “Kill process”). Тем самым вы удалите процесс из памяти. Далее необходимо зайти в папку, путь к которой вы запомнили, и удалить файл с жесткого диска.
Если в списке процессов только один lsass.exe, закройте Process Explorer, пройдите в “Пуск – Программы – Автозагрузка”. Из автозагрузки удалите всё лишнее. В частности, если найдете AdobeUpdate и AdLoader - однозначно удаляйте. В случае, когда система не позволяет удалить файл по причине блокировки, воспользуйтесь программой Unlocker.
Если вы пропустили первый этап из данной инструкции, тогда проверьте файл hosts, который находится в папке C:\Windows\System32\Drivers\Etc\ (в 64-разрядной системе файл здесь – C:\Windows\SysWOW64\Drivers\Etc\), и в случае необходимости замените его оригиналом. Просто нажмите на ссылку, откроется диалог загрузки файла, укажите папку для сохранения (в зависимости от разрядности системы) и подтвердите замену. Более подробно о восстановлении файла hosts можно прочитать здесь.
Теперь проверяем, не прописал ли вирус свой dns-сервер.
Для Windows XP: идем в “Пуск – Настройка – Сетевые подключения”, открываем свойства используемого подключения (беспроводное или подключение по локальной сети), открываем “Протокол Интернета TCP/IP”.
Смотрим, не указан ли вражеский dns-сервер. При необходимости исправляем на нужный или выбираем автоматическое получение (зависит от настроек вашего провайдера/роутера/модема) и жмем “ОК”.
После этого запускаем командную строку: “Пуск – Выполнить”, вводим: cmd и жмем “OK”. В открывшемся черном окошке вводим поочередно две команды:
route -f
ipconfig /flushdns
(каждую команду подтверждаем клавишей “Enter”)
Перезагружаем компьютер. Если валидация не исчезла, вероятнее всего вы пропустили первый этап, ошиблись во втором или ваш случай более экзотический.
Скрыть