Все записи с меткой ‘реестр’

Проблема по сей день животрепещущая. На сайте я уже поднимал подобные вопросы, но захотелось объединить все советы в одну инструкцию, чем собственно сейчас и попытаемся заняться. Должно получиться более-менее пошагово, но под конец расплывчато и обрывчато – такой вот у меня стиль)) Сподвиг меня на написание инструкции недавно обнаруженный хитрый способ подмены файла hosts – о нем кратко в конце мануала. А сейчас – инструкция!

Начнем с того, что в ОС Windows перенаправить пользователя на другой сайт в браузере можно тремя (известными мне) способами:

1. С помощью файла hosts.

2. Подменой DNS-серверов.

3. Созданием маршрутов в реестре (PersistentRoutes).

Поэтому в том случае, если я обнаруживаю подмену страницы авторизации сайтов популярных соц. сетей, я по порядку проверяю эти 3 пункта.

Как заподозрить неладное? Обычно, злоумышленники, подменив страницу авторизации просят отправить якобы бесплатную СМС. Уже повод задуматься. Стоимость SMS Вы сможете узнать, проверив короткий номер в соответствующих сервисах, например здесь. Если стоимость не равна нулю, тогда можно начать переживать, кусать ногти, локти и подлокотники.

Чтобы окончательно удостовериться в подмене, запускаем консоль (Пуск – Выполнить – cmd) и выполняем 2 команды:

ping vkontakte.ru

ping odnoklassniki.ru

В результате мы получим IP-адреса обоих сайтов. На скрине ниже подробно подчеркнуто.

Во-первых, оба IP должны быть разными – две конкурирующих соц. сети не могут ютиться на одном сервере. Если IP разные, сверьте их с правильными:

vkontakte.ru IP’s – 87.240.143.244, 87.240.188.249, 87.240.188.250, 93.186.224.240, 93.186.224.243, 87.240.131.97, 87.240.131.98, 87.240.131.99, 87.240.131.100, 87.240.143.241, 87.240.143.242, 87.240.143.243.

odnoklassniki.ru IP – 217.20.154.59.

Если подмена имеет место быть – делаем следующее:

1. Открываем «Пуск» – «Выполнить», вводим команду:

notepad.exe C:\WINDOWS\system32\drivers\etc\hosts

и жмем ОК. Откроется Блокнот с содержимым файла hosts. Содержимое файла hosts должно быть следующим:

Т.е. по сути всего одна запись – 127.0.0.1 localhost, все остальное со знаком # в начале – это просто комментарии разработчиков. Если имеют место записи, содержащие vkontakte, odnoklassniki или twitter – удаляем их и приводим файл hosts к нужному виду.

2. Проверяем DNS-сервера. Если компьютер подключен к Интернету через локальную сеть LAN или Wi-Fi (т.е. не через USB-модем и мобильный телефон или, не дай Бог, dial-up модем), открываем «Пуск» – «Панель управления» – «Сетевые подключения». Находим значок подключения по локальной сети или беспроводного подключения, щелкаем на нем правой кнопкой мыши и выбираем «Свойства». В открывшемся окне прокручиваем список и нажимаем на «Протокол Интернета TCP/IP», после чего жмем на кнопку «Свойства» снизу. В открывшихся свойствах обращаем внимание на нижний блок, относящийся к DNS – должна стоять галочка напротив пункта «Получить адрес DNS-сервера автоматически». Или же можно прописать публичные серверы DNS Гугла: 8.8.8.8 и 8.8.4.4.

3. Открываем редактор реестра (Пуск – Выполнить – regedit) и в левой части открываем следующий путь:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes

Щелкнув в левой части на PersistentRoutes, в правой части мы должны увидеть только пустую запись «По умолчанию» и ничего более. Если имеется что-то еще – смело удаляйте.

Обычно этих трех пунктов бывает достаточно. На самом деле, все эти пункты можно выполнить автоматически с помощью AVZ, что впоследствии я и рекомендую делать. Просто в первый раз можно сделать и ручками, дабы вникнуть в суть. С помощью AVZ разблокировать доступ к Вконтакте, Одноклассникам и Твиттеру можно следующим образом:

1. Собственно, скачиваем AVZ.

2. Запускаем.

3. Открываем «Файл» – «Восстановление системы».

4. Отмечаем пункты 13,14,15,20,21.

5. Жмем «Выполнить отмеченные операции».

Под конец добавлю несколько замечаний. Если Вы пытались вводить логин и пароль на «фэйковой» странице авторизации – настоятельно рекомендую после избавления от «каки» сменить пароли, иначе могут просто увести аккаунт. Также если после перезагрузки компьютера подмена снова возникает – проверьте комп на вирусы, однозначно существует вредоносный процесс, создающий подмену. И уже после удаления вируса исправляйте подмену.

Теперь про обещанную хитрую подмену. Недавно обнаружил такую вот проблемку со входом в соц. сети, причем все 3 пункта были в порядке, но IP Вконтакте, Одноклассников и Твиттера был одинаковым – 46.251.228.211. Позже, загрузившись с LiveCD обнаружил хитрую подмену.

В папке C:\WINDOWS\system32\drivers\etc было 2 файла hosts. В Винде по сути не может быть двух одинаковых файлов в одной папке – они бы перезаписали друг друга. Но оба файла сосуществовали потому, что один из них был фэйковым – буква О в слове hosts была написана кириллицей, таким образом имена файлов получались разными, но внешне идентичными.

Оба файла были созданы в одно время. Работающий файл hosts был скрыт и имел гораздо больший размер. При открытии, особо не отличался содержимым, но его пакостные намерения выдали полосы прокрутки в блокноте. Записи о перенаправлении были сдвинуты далеко вниз и вправо, поэтому даже при прокрутке всего документы не были видны. Помог обнаружить записи поиск по файлу слова «vkontakte». Вот уж, голь на выдумку хитра!))

Сисадминский анекдот:

Вот я проснулся и сказал тебе, что жопа болит. А у других для этого ТВИТТЕР есть, млять!

Обнаружилась но одном компьютере следующая проблема: на последнем этапе загрузки Windows XP, на экране «Приветствие» появлялось пустое окно (либо с кривым текстом) с кнопкой ОК. В результате загрузка останавливалась, и возобновлялась только после нажатия на кнопку ОК. Особых неудобств это не приносило, поэтому решение было отложено до лучших времен.

И вот сегодня, занимаясь откровенной херней, обнаружил интересную возможность в реестре XP. В ветке Winlogon, в той самой, где постоянно тусят винлоки и прочая нечисть, есть параметры, отвечающие за появление этого самого окна. Параметра два: LegalNoticeCaption – содержит заголовок окна; и LegalNoticeText – содержит основной текст окна.

Таким образом, если необходимо удалить подобное окошко, открываем редактор реестра («Пуск» – «Выполнить» – regedit) и в левой части открываем следующую ветку:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Переходим в правую часть, ищем параметры LegalNoticeCaption и LegalNoticeText, дважды щелкаем по каждому и очищаем их значения. Удалять сами параметры нет необходимости.

Если же есть желание подшутить над кем-либо, то заполняем эти параметры необходимым текстом.

Сисадминский анекдот:

Отключи NumLock! Экономь электричество!

Недавно «боролся» с машиной, в которой была выявлена подобная проблема. После загрузки системы в трее появляется значок антивируса и еще какая-то хрень, а значки локальной сети и громкости не отображаются. Если залезть в «Панель управления» и в надстройке «Звуки и аудиоустройства» поставить галочку напротив «Отображать значок на панели задач», то в трее моментально появляется значок громкости и локальной сети. Но после следующей перезагрузки их опять нет на положенных местах.

Дело в том, что какого-то хуя почему-то автоматически не загружается область трея самой системы. Значки стороннего софта появляются в трее, поскольку в реестре жестко прописано их отображение.

Для решения проблемы нужно вручную добавить автозапуск трея. Сделать это можно двумя способами (как минимум).

1. Открыть папку C:\WINDOWS\system32 и найти файл systray.exe. Перетащить этот файл в «Пуск» – «Все программы» – «Автозагрузка».

2. Запустить редактор реестра («Пуск» – «Выполнить» – regedit). В левой части редактора реестра открыть следующую ветку:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Перейти в правую часть редактора реестра, щелкнуть правой кнопкой мыши на свободном месте и выбрать «Создать» – «Строковый параметр» и задать новому параметру любое имя, к примеру SysTray. После этого дважды щелкаем по только что созданному параметру и вписываем значение C:\WINDOWS\system32\systray.exe. Точку в конце не ставим. Закрываем редактор реестра и перезагружаем компьютер.

Если все сделали правильно – трей после загрузки должен содержать все необходимые значки.

Сисадминский анекдот:

Сидит парень дома и работает под ХР. Вдруг выскакивает окно «Обнаружено новое устройство. Установить драйвер?» Он: «Ну давай поищем!» Система выдает: «Драйвера не обнаружены». Отменил и думает – «Что ж это такое было? Я же ничего не ставил…» Поворачивается и видит картину: сидит его ребенок и держит во рту кабель USB.

Сам полгода «страдал» этой проблемой. Не то чтобы мне эта функция сильно нужна была – я и до этого тупо флэшки выдергивал, просто это ведь не дело, когда в системе что-то не работает. Раньше в сети было полно «полезных» способов решения данной проблемы, но ни один из них положительного результата не давал. От совсем кардинальных решений, типа выноса значка на рабочий стол или использования стороннего софта, я отказался сразу же.

Но не так давно появился действительно рабочий способ – ссылка. Естественно, проблема была зарыта глубоко в реестре. И что удивительно, решалась она практически так же, как и в случае исчезновения CD-ROMа из системы: удалением параметров UpperFilters и LowerFilters. Итак, чтобы вернуть в трей значок «Безопасное извлечение устройства», нужно проделать следующее:

1. Скачать файл safe.reg

2. Запустить его двойным кликом.

3. Нажать «Да», затем «ОК».

4. Перезагрузить компьютер.

Сисадминский анекдот:

Работаю я монтажником.

Подключаю юзеров к Интернету по выделенке.

И вот ползу на коленках по чердаку вдоль кабеля.

Потолок низкий, темно, по уши в птичьем помете, кругом только кошки дохлые валяются.

Вдруг навстречу мне выползает ужасно грязный бомж.

Спрашивает:

- Мужик, ты че тут делаешь?

- Интернет проверяю – автоматически отвечаю я.

- А коаксил тестил?

- Да тестил…

- А линк на хабе горит?

- Горит!

- А мастдай у юзера какой?

- 95-й вроде не глючит.

- А сетевуха трикомовская?

….И тут я понял, что ждет меня в будущем….

Большинству из Вас уже знакома встроенная в ОС Windows утилита SFC – System File Checker. Но до некоторого времени мне никак не удавалось добиться от нее нормальной работы. Утилита SFC проверяет системные файлы Windows, сравнивает с оригинальными и, при обнаружении разницы, заменяет поврежденные файлы рабочими. Файлы для восстановления SFC берет с установочного диска Windows.

И вот здесь начинается свистопляска… Заботливые программисты из Microsoft сочли лишним добавление в утилиту кнопки «Обзор», в результате чего SFC ищет установочные файлы хрен знает где, но точно не там где нужно. Естественно, путь к источнику с установочными файлами прописан в реестре. Если Вы не знаете, где в Windows что-нибудь включить/выключить, ищите это в реестре – не ошибетесь («Если ты хочешь найти меня – ищи меня в реестре! У нас в реестре! Йоу!»).

Значит, лезем в редактор реестра («Пуск» – «Выполнить» – regedit) и в левой части окна открываем следующий путь:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

В правой части окна редактора реестра ищем параметр SourcePath. Если таковой имеется, дважды кликаем на нем и задаем ему значение F:\ (предполагается, что Ваш CD/DVD привод привязан к букве F – если не так, заменяем на свою букву). Далее в левой части редактора реестра открываем следующий путь:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup

Снова в правой части окна ищем параметр SourcePath и присваиваем ему значение F:\. Там же находим параметр ServicePackSourcePath – ему также присваиваем значение F:\. Теперь можно смело закрывать редактор реестра и запускать SFC – «Пуск» – «Выполнить» – sfc.exe /scannow. Предварительно, естественно, необходимо запастись установочным диском Windows и вставить его в привод.

Будьте готовы к тому, что комп войдет в конкретный тупняк до тех пор, пока не проверит все системные файлы, поэтому запускать утилиту SFC желательно в свободное от компьютерных утех время.

Сисадминский анекдот:

roVer: нам сегодня свитч трикомовский пришел. все упаковано в пакеты со знаком не надевать на голову

roVer: как думаешь, чо мы первым делом сделали?