Автор – один из наших постоянных читателей по имени Александр. Мне показалось неправильным полностью переделывать и как-либо радикально улучшать текст, и тем самым вроде бы как присваивать авторство (даже частично) себе.
Однажды мне позвонил друг и говорит, что при попытке зайти на сайты однокласники, фейсбук и вконтакте почему-то открываются порно-сайты. Другие интернет-страницы открываюся нормально.
Ну, естественно, сразу появилась мысль, что изменён файл hosts, находящийся в C:\Windows\System32\drivers\etc
Я говорю, проверь его содержимое. Он отвечает, что уже посмотрел и в нём ничего подозрительного нет – приезжай.
Мы проверили всё, что могли. Антивирус (KIS 2012) тоже ничего не выявил.
А вот после проверки компьютера Malwarebytes’ Anti-Malware-ом выяснилось вот что:
Обнаружение фальшивого файла Hosts
Этот антируткит обнаружил ещё один файл hosts !
Я даже не предполагал, что такое возможно.
Этот файл удалили, а реестре HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ services\ Tcpip\ Parameters обнаружилась запись %windir%\System32 :
Неправильная запись в ключе реестра DataBasePath
А ведь по-умолчанию значение DataBasePath должно быть %SystemRoot%\System32\drivers\etc !
То есть, оказывается можно создать ссылку на фальшивый файл hosts, и при этом пользователь будет у верен, что с этим файлом у него всё в порядке !
Когда восстановили значение ключа реестра (нужна перезагрузка) сайты стали открываться нормально.
У него установлена Windows XP (x32), браузер IE.
Да, кстати, потом спросил друга – с чего всё началось ? Он сказал, что заходил на какой-то сайт, там на пол-экрана была реклама, он её закрыл, а компьютер при этом перезагрузился.