Printable Version of Topic
Click here to view this topic in its original format |
Forums > Глюкодром > Заблокирован файл hosts, странная проблема |
Posted by: VxWorks on 20-04-2006, 13:34 |
В двух словах так - файл hosts заблокирован системой - его нельзя модифицировать. В FileMon (http://www.sysinternals.com/Utilities/Filemon.html видно, что никакой процесс этот файл не держит. Также, я проверил, что он не Read-Only и у меня есть все права на его модификацию и удаление (я администратор на этой машине). ProcessExplorer (http://www.sysinternals.com/Utilities/ProcessExplorer.html утверждает, что на этот файл открыт Handle, который принадлежит процессу System c PID 4. Если этот handle убить, то файл становится доступен. Так вот, вопрос заключается в том, как мне найти, почему вообще этот файл блокируется системой? Это что, новый мелкософтный прикол на тему защиты от кулхацкеров? Система - XP SP2 корпоративная, легальная со всеми последними обновлениями. |
Posted by: Lord KiRon on 20-04-2006, 17:09 |
Попробуй ещё этим: http://ccollomb.free.fr/unlocker/ (http://ccollomb.free.fr/unlocker/ , он кроме разблокировки показывает полный путь на экзешник "захвативший" файл. |
Posted by: VxWorks on 20-04-2006, 17:22 |
Попробую, спасибо. |
Posted by: inzerus on 20-04-2006, 18:23 |
Я посмотрел на своей машине - XP Professional SP2 - и hosts редактируется и сохраняется без проблем. |
Posted by: VxWorks on 20-04-2006, 18:50 |
Я думаю, что возможно, проблема в том, что я на эту винду поставил утащенный с работы SP2 (лень качать было). А там, как оказалось, туева хуча вещей были изменены. |
Posted by: VxWorks on 20-04-2006, 21:34 | ||
|
Posted by: FiL on 20-04-2006, 22:22 |
у меня интересное кино было.. где-то через час после нашего с тобой разговора, я пошел и попытался открыть hosts - фар ругнулся, что файл занят. Я офигел не по детски и... попробовал еще раз. Открылся, отредактировался, сохранился. Темны и неисповедимы... |
Posted by: VxWorks on 20-04-2006, 22:31 |
То есть, ты считаешь, что это мой комп на тебя так повлиял? |
Posted by: FiL on 20-04-2006, 23:40 | ||
|
Posted by: 64fp on 21-04-2006, 13:35 | ||||
Неспроста это всё. Может быть есть какая-нибудь политика запрещающая редактировать hosts? C этим hosts вобще интересные вещи творит MS:
Вот какие адреса на данный момент прописаны в %WINDIR%\system32\dnsapi.dll (XP SP2):
|
Posted by: VxWorks on 21-04-2006, 13:42 |
64fp И как мне проверить наличие такой политики? |
Posted by: admik on 21-04-2006, 13:55 |
VxWorks в Event Viewer ничего не пишется, при попытке открытия файла? |
Posted by: VxWorks on 21-04-2006, 14:04 |
Не проверял, если честно Приду домой, посмотрю. |
Posted by: VxWorks on 21-04-2006, 20:23 |
Проверил - в Event-ах ничего нет |
Posted by: ego on 22-04-2006, 01:57 |
ВинПатрол не стоит? |
Posted by: VxWorks on 22-04-2006, 12:28 |
Нет. А что он даст? |
Posted by: ego on 22-04-2006, 22:22 | ||
|
Posted by: Set on 22-04-2006, 23:53 |
Filemon взять, поставить фильтр только на hosts и посмотреть что с ним делают. |
Posted by: VxWorks on 23-04-2006, 00:22 |
FileMon вообще не видит ни одного процесса, который что-либо делал бы с hosts |
Posted by: Set on 23-04-2006, 21:47 |
Ну тогда... святой водой может окропить... |
Posted by: Lexus on 23-04-2006, 22:16 |
Может всё-таки винду тыриную поставить? |
Posted by: VxWorks on 23-04-2006, 22:54 |
Дык обидно - легальная Винда все-таки |
Posted by: Lexus on 23-04-2006, 23:03 |
а support от мягких чего говорит? |
Posted by: VxWorks on 23-04-2006, 23:25 |
А саппорт меня мягко посылает, ибо говорят, что нефиг было устанавливать хрен знает откуда взятые SP2. |
Posted by: admik on 24-04-2006, 03:25 |
VxWorks ну поставь нормальный сверху |
Posted by: astra on 24-04-2006, 11:11 |
или даже откати предыдущий, и потом поставь нормальный заного. |
Posted by: VxWorks on 24-04-2006, 22:46 |
У меня поверх него еще туева хуча всего установлено, в том числе и Виндовые апдейты. Не придется ли Винду полностью переустанавливать? |
Posted by: astra on 24-04-2006, 22:49 |
Ум. Не знаю...мне кажется или он даст откатиться назад или не даст. То есть мне кажется, если он даст, значит всё ОК...но это только предположение. |
Posted by: Lord KiRon on 24-04-2006, 23:40 |
Ставищь административный сервис пак поверх и никаких проблем - проверено. Тех апдейтов что будет не хватать он сам натаскает, на днях так знакомому делал, у него с usp10.dll проблема была - "кто то и как то" поставил старую версию и врезультате при попытке открыть любой ивритский текст летело, а файл был "занят" даже в SafeMode - не заменить, только это и помогло. А вообще не думаю что сервис пак виноват, скорее всего какую то гадость подцепил что держит файл открытым. |
Posted by: VxWorks on 24-04-2006, 23:53 |
Дык как увидеть, кто его держит открытым? |
Posted by: Stranger on 25-04-2006, 09:26 |
msconfig что у нас там не микросфтоское бежит из сервисов ? и что в стартапе |
Posted by: VxWorks on 25-04-2006, 10:20 |
Сервисы (не Microsoft, как заказывали): Acronis Sheduler2 Service AVG7 Alert Manager Service AVG7 Update Service AVG7 E-mail Scanner NVIDIA Display driver service TrueVector Internet Monitor (ZoneAlarm) Startup (все, которые активные) SOUNDMAN.EXE - менеджер 7.1 аудио (драйвер карты) avgcc (AVG7) zlclient (ZoneAlarm) TrueImageMonitor (backup) schedhelp (backup) ctfmon wcescomm (ActiveSync) Все, больше ничего нет. |
Posted by: Stranger on 25-04-2006, 11:07 |
а не зоналрм ли это у нас ему по должности положено защищать авг у меня стоял вроде не выпендривлася но заборосил и перешел на антивир да возми отключи и антивир и стенку глянь освободит ли... |
Posted by: VxWorks on 25-04-2006, 12:05 |
Пробовал отключать и то и другое - нифига не помогает. |
Posted by: Stranger on 25-04-2006, 12:39 |
что говорит система о последней модификации файла ? что просиходи в саве мод ? может просто сам файл битый глупая мысль но все же реад онли снято ? пс. очень на вирус похоже |
Posted by: VxWorks on 25-04-2006, 13:10 |
Последняя модификация была три дня назад (я его редактировал). В Safe mode я не пробовал его открывать. Файл нормальный, открывается и читается notepad-ом хорошо. Винда его тоже понимает, если сделать в нем изменения (после шаманства с убиванием handle), то изменения принимаются. Read Only, разумеется, снято. Насчет вируса - ты когда-нибудь слышал о вирусе, который оберегает hosts и lmhost от измененений, ничего туда не записывая? Это уже больше на какую-то защиту похоже. |
Posted by: Stranger on 25-04-2006, 13:14 |
очень интересно попробуй на сайте oszone.net поискать или задать вопрос может там из местных гуру кто сталкивался пс. проверил ради интереса на 7 машинах хп сп2 везде все ок подергал всех не кто некогда такого не видел |
Posted by: ego on 25-04-2006, 14:20 |
sfc /scannow |