Printable Version of Topic
Click here to view this topic in its original format
Forums > Глюкодром > Заблокирован файл hosts, странная проблема


Posted by: VxWorks on 20-04-2006, 13:34
В двух словах так - файл hosts заблокирован системой - его нельзя модифицировать. В FileMon (http://www.sysinternals.com/Utilities/Filemon.html видно, что никакой процесс этот файл не держит.
Также, я проверил, что он не Read-Only и у меня есть все права на его модификацию и удаление (я администратор на этой машине).

ProcessExplorer (http://www.sysinternals.com/Utilities/ProcessExplorer.html утверждает, что на этот файл открыт Handle, который принадлежит процессу System :fear2: c PID 4. Если этот handle убить, то файл становится доступен.

Так вот, вопрос заключается в том, как мне найти, почему вообще этот файл блокируется системой? Это что, новый мелкософтный прикол на тему защиты от кулхацкеров?

Система - XP SP2 корпоративная, легальная со всеми последними обновлениями.

Posted by: Lord KiRon on 20-04-2006, 17:09
Попробуй ещё этим: http://ccollomb.free.fr/unlocker/ (http://ccollomb.free.fr/unlocker/ , он кроме разблокировки показывает полный путь на экзешник "захвативший" файл.

Posted by: VxWorks on 20-04-2006, 17:22
Попробую, спасибо.

Posted by: inzerus on 20-04-2006, 18:23
Я посмотрел на своей машине - XP Professional SP2 - и hosts редактируется и сохраняется без проблем.

Posted by: VxWorks on 20-04-2006, 18:50
Я думаю, что возможно, проблема в том, что я на эту винду поставил утащенный с работы SP2 (лень качать было). А там, как оказалось, туева хуча вещей были изменены.

Posted by: VxWorks on 20-04-2006, 21:34
QUOTE (Lord KiRon @ 20-04-2006, 15:09):
Попробуй ещё этим: http://ccollomb.free.fr/unlocker/ (http://ccollomb.free.fr/unlocker/ , он кроме разблокировки показывает полный путь на экзешник "захвативший" файл.
Попробовал. Unlocker пишет то же самое, что и ProcessExplorer - файл держит процесс System.

Posted by: FiL on 20-04-2006, 22:22
у меня интересное кино было.. где-то через час после нашего с тобой разговора, я пошел и попытался открыть hosts - фар ругнулся, что файл занят. Я офигел не по детски и... попробовал еще раз. Открылся, отредактировался, сохранился.

Темны и неисповедимы...

Posted by: VxWorks on 20-04-2006, 22:31
То есть, ты считаешь, что это мой комп на тебя так повлиял? :fear2:

Posted by: FiL on 20-04-2006, 23:40
QUOTE (VxWorks @ 20-04-2006, 14:31):
То есть, ты считаешь, что это мой комп на тебя так повлиял? :fear2:
не, не мог. Просто прикольно.

Posted by: 64fp on 21-04-2006, 13:35
Неспроста это всё. Может быть есть какая-нибудь политика запрещающая редактировать hosts?

C этим hosts вобще интересные вещи творит MS:
QUOTE:
Windows игнорирует некоторые записи в hosts
dl // 16.04.06 21:38

Как известно, с давних времен практически любая система, использующая стек
tcp/ip, содержит локальный файл hosts, в котором пользователь может
замостоятельно задать соответствие между именами хостов и их ip-адресами.
Кроме того, этот файл в последнее время часто используется для блокировки
доступа к нежелательным хостам. Выяснилось, что встроенный в Windows
DNS-клиент игнорирует записи из hosts для некоторых адресов, принадлежащих
Microsoft (полный список можно найти во внутренностях файла
%WINDIR%\system32\dnsapi.dll). Предположительно, это поведение направлено
на противостояние попыткам вредоносного софта блокировать Windows Update и
другие аналогичные функции.
Источник: BugTraq
[ http://www.securityfocus.com/archive/1/431027/30/0/threaded (http://www.securityfocus.com/archive/1/431027/30/0/threaded ]

Вот какие адреса на данный момент прописаны в %WINDIR%\system32\dnsapi.dll (XP SP2):
CODE
www.msdn.com
msdn.com
www.msn.com
msn.com
go.microsoft.com
msdn.microsoft.com
office.microsoft.com
microsoftupdate.microsoft.com
wustats.microsoft.com
support.microsoft.com
www.microsoft.com
microsoft.com
update.microsoft.com
download.microsoft.com
microsoftupdate.com
windowsupdate.com
windowsupdate.microsoft.com

Posted by: VxWorks on 21-04-2006, 13:42
64fp

И как мне проверить наличие такой политики?

Posted by: admik on 21-04-2006, 13:55
VxWorks в Event Viewer ничего не пишется, при попытке открытия файла?

Posted by: VxWorks on 21-04-2006, 14:04
Не проверял, если честно :( Приду домой, посмотрю.

Posted by: VxWorks on 21-04-2006, 20:23
Проверил - в Event-ах ничего нет

Posted by: ego on 22-04-2006, 01:57
ВинПатрол не стоит?

Posted by: VxWorks on 22-04-2006, 12:28
Нет. А что он даст?

Posted by: ego on 22-04-2006, 22:22
QUOTE (VxWorks @ 22-04-2006, 11:28):
Нет. А что он даст?
да ничего,он просто мониторит этот файл.Я подумал что если стоит тогда в нем может быть проблема.

Posted by: Set on 22-04-2006, 23:53
Filemon взять, поставить фильтр только на hosts и посмотреть что с ним делают. ;)

Posted by: VxWorks on 23-04-2006, 00:22
FileMon вообще не видит ни одного процесса, который что-либо делал бы с hosts

Posted by: Set on 23-04-2006, 21:47
Ну тогда... святой водой может окропить... :D

Posted by: Lexus on 23-04-2006, 22:16
Может всё-таки винду тыриную поставить?

Posted by: VxWorks on 23-04-2006, 22:54
Дык обидно - легальная Винда все-таки :)

Posted by: Lexus on 23-04-2006, 23:03
а support от мягких чего говорит?

Posted by: VxWorks on 23-04-2006, 23:25
А саппорт меня мягко посылает, ибо говорят, что нефиг было устанавливать хрен знает откуда взятые SP2.

Posted by: admik on 24-04-2006, 03:25
VxWorks ну поставь нормальный сверху

Posted by: astra on 24-04-2006, 11:11
или даже откати предыдущий, и потом поставь нормальный заного.

Posted by: VxWorks on 24-04-2006, 22:46
У меня поверх него еще туева хуча всего установлено, в том числе и Виндовые апдейты. Не придется ли Винду полностью переустанавливать?

Posted by: astra on 24-04-2006, 22:49
Ум. Не знаю...мне кажется или он даст откатиться назад или не даст. То есть мне кажется, если он даст, значит всё ОК...но это только предположение.

Posted by: Lord KiRon on 24-04-2006, 23:40
Ставищь административный сервис пак поверх и никаких проблем - проверено. Тех апдейтов что будет не хватать он сам натаскает, на днях так знакомому делал, у него с usp10.dll проблема была - "кто то и как то" поставил старую версию и врезультате при попытке открыть любой ивритский текст летело, а файл был "занят" даже в SafeMode - не заменить, только это и помогло.

А вообще не думаю что сервис пак виноват, скорее всего какую то гадость подцепил что держит файл открытым.

Posted by: VxWorks on 24-04-2006, 23:53
Дык как увидеть, кто его держит открытым?

Posted by: Stranger on 25-04-2006, 09:26
msconfig
что у нас там не микросфтоское бежит из сервисов ?
и что в стартапе

Posted by: VxWorks on 25-04-2006, 10:20
Сервисы (не Microsoft, как заказывали):

Acronis Sheduler2 Service
AVG7 Alert Manager Service
AVG7 Update Service
AVG7 E-mail Scanner
NVIDIA Display driver service
TrueVector Internet Monitor (ZoneAlarm)

Startup (все, которые активные)

SOUNDMAN.EXE - менеджер 7.1 аудио (драйвер карты)
avgcc (AVG7)
zlclient (ZoneAlarm)
TrueImageMonitor (backup)
schedhelp (backup)
ctfmon
wcescomm (ActiveSync)

Все, больше ничего нет.

Posted by: Stranger on 25-04-2006, 11:07


а не зоналрм ли это у нас
ему по должности положено защищать :)

авг у меня стоял вроде не выпендривлася :)
но заборосил и перешел на антивир


да возми отключи и антивир и стенку глянь освободит ли...

Posted by: VxWorks on 25-04-2006, 12:05
Пробовал отключать и то и другое - нифига не помогает.

Posted by: Stranger on 25-04-2006, 12:39
что говорит система о последней модификации файла ?
что просиходи в саве мод ?
может просто сам файл битый
глупая мысль но все же реад онли снято ? :)

пс. очень на вирус похоже

Posted by: VxWorks on 25-04-2006, 13:10
Последняя модификация была три дня назад (я его редактировал).
В Safe mode я не пробовал его открывать.

Файл нормальный, открывается и читается notepad-ом хорошо. Винда его тоже понимает, если сделать в нем изменения (после шаманства с убиванием handle), то изменения принимаются.
Read Only, разумеется, снято.

Насчет вируса - ты когда-нибудь слышал о вирусе, который оберегает hosts и lmhost от измененений, ничего туда не записывая? Это уже больше на какую-то защиту похоже.

Posted by: Stranger on 25-04-2006, 13:14
очень интересно
попробуй на сайте oszone.net поискать или задать вопрос
может там из местных гуру кто сталкивался


пс. проверил ради интереса на 7 машинах хп сп2 везде все ок
подергал всех не кто некогда такого не видел

Posted by: ego on 25-04-2006, 14:20
sfc /scannow

Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)