VxWorks
@ 20-04-2006, 13:34
В двух словах так - файл hosts заблокирован системой - его нельзя модифицировать. В
FileMon видно, что никакой процесс этот файл не держит.
Также, я проверил, что он не Read-Only и у меня есть все права на его модификацию и удаление (я администратор на этой машине).
ProcessExplorer утверждает, что на этот файл открыт Handle, который принадлежит процессу System :fear2: c PID 4. Если этот handle убить, то файл становится доступен.
Так вот, вопрос заключается в том, как мне найти, почему вообще этот файл блокируется системой? Это что, новый мелкософтный прикол на тему защиты от кулхацкеров?
Система - XP SP2 корпоративная, легальная со всеми последними обновлениями.
Lord KiRon
@ 20-04-2006, 17:09
Попробуй ещё этим:
http://ccollomb.free.fr/unlocker/ , он кроме разблокировки показывает полный путь на экзешник "захвативший" файл.
VxWorks
@ 20-04-2006, 17:22
Попробую, спасибо.
inzerus
@ 20-04-2006, 18:23
Я посмотрел на своей машине - XP Professional SP2 - и hosts редактируется и сохраняется без проблем.
VxWorks
@ 20-04-2006, 18:50
Я думаю, что возможно, проблема в том, что я на эту винду поставил утащенный с работы SP2 (лень качать было). А там, как оказалось, туева хуча вещей были изменены.
VxWorks
@ 20-04-2006, 21:34
| QUOTE (Lord KiRon @ 20-04-2006, 15:09) |
| Попробуй ещё этим: http://ccollomb.free.fr/unlocker/ , он кроме разблокировки показывает полный путь на экзешник "захвативший" файл. |
Попробовал. Unlocker пишет то же самое, что и ProcessExplorer - файл держит процесс System.
у меня интересное кино было.. где-то через час после нашего с тобой разговора, я пошел и попытался открыть hosts - фар ругнулся, что файл занят. Я офигел не по детски и... попробовал еще раз. Открылся, отредактировался, сохранился.
Темны и неисповедимы...
VxWorks
@ 20-04-2006, 22:31
То есть, ты считаешь, что это мой комп на тебя так повлиял? :fear2:
| QUOTE (VxWorks @ 20-04-2006, 14:31) |
| То есть, ты считаешь, что это мой комп на тебя так повлиял? :fear2: |
не, не мог. Просто прикольно.
Неспроста это всё. Может быть есть какая-нибудь политика запрещающая редактировать hosts?
C этим hosts вобще интересные вещи творит MS:
| QUOTE |
Windows игнорирует некоторые записи в hosts
dl // 16.04.06 21:38
Как известно, с давних времен практически любая система, использующая стек
tcp/ip, содержит локальный файл hosts, в котором пользователь может
замостоятельно задать соответствие между именами хостов и их ip-адресами.
Кроме того, этот файл в последнее время часто используется для блокировки
доступа к нежелательным хостам. Выяснилось, что встроенный в Windows
DNS-клиент игнорирует записи из hosts для некоторых адресов, принадлежащих
Microsoft (полный список можно найти во внутренностях файла
%WINDIR%\system32\dnsapi.dll). Предположительно, это поведение направлено
на противостояние попыткам вредоносного софта блокировать Windows Update и
другие аналогичные функции.
Источник: BugTraq
[ http://www.securityfocus.com/archive/1/431027/30/0/threaded ] |
Вот какие адреса на данный момент прописаны в %WINDIR%\system32\dnsapi.dll (XP SP2):
| CODE |
www.msdn.com
msdn.com
www.msn.com
msn.com
go.microsoft.com
msdn.microsoft.com
office.microsoft.com
microsoftupdate.microsoft.com
wustats.microsoft.com
support.microsoft.com
www.microsoft.com
microsoft.com
update.microsoft.com
download.microsoft.com
microsoftupdate.com
windowsupdate.com
windowsupdate.microsoft.com |
VxWorks
@ 21-04-2006, 13:42
64fp
И как мне проверить наличие такой политики?
admik
@ 21-04-2006, 13:55
VxWorks в Event Viewer ничего не пишется, при попытке открытия файла?
VxWorks
@ 21-04-2006, 14:04
Не проверял, если честно :( Приду домой, посмотрю.
VxWorks
@ 21-04-2006, 20:23
Проверил - в Event-ах ничего нет
VxWorks
@ 22-04-2006, 12:28
Нет. А что он даст?
| QUOTE (VxWorks @ 22-04-2006, 11:28) |
| Нет. А что он даст? |
да ничего,он просто мониторит этот файл.Я подумал что если стоит тогда в нем может быть проблема.
Filemon взять, поставить фильтр только на hosts и посмотреть что с ним делают. ;)
VxWorks
@ 23-04-2006, 00:22
FileMon вообще не видит ни одного процесса, который что-либо делал бы с hosts
Ну тогда... святой водой может окропить... :D
Lexus
@ 23-04-2006, 22:16
Может всё-таки винду тыриную поставить?
VxWorks
@ 23-04-2006, 22:54
Дык обидно - легальная Винда все-таки :)
Lexus
@ 23-04-2006, 23:03
а support от мягких чего говорит?
VxWorks
@ 23-04-2006, 23:25
А саппорт меня мягко посылает, ибо говорят, что нефиг было устанавливать хрен знает откуда взятые SP2.
admik
@ 24-04-2006, 03:25
VxWorks ну поставь нормальный сверху
astra
@ 24-04-2006, 11:11
или даже откати предыдущий, и потом поставь нормальный заного.
VxWorks
@ 24-04-2006, 22:46
У меня поверх него еще туева хуча всего установлено, в том числе и Виндовые апдейты. Не придется ли Винду полностью переустанавливать?
astra
@ 24-04-2006, 22:49
Ум. Не знаю...мне кажется или он даст откатиться назад или не даст. То есть мне кажется, если он даст, значит всё ОК...но это только предположение.
Lord KiRon
@ 24-04-2006, 23:40
Ставищь административный сервис пак поверх и никаких проблем - проверено. Тех апдейтов что будет не хватать он сам натаскает, на днях так знакомому делал, у него с usp10.dll проблема была - "кто то и как то" поставил старую версию и врезультате при попытке открыть любой ивритский текст летело, а файл был "занят" даже в SafeMode - не заменить, только это и помогло.
А вообще не думаю что сервис пак виноват, скорее всего какую то гадость подцепил что держит файл открытым.
VxWorks
@ 24-04-2006, 23:53
Дык как увидеть, кто его держит открытым?
Stranger
@ 25-04-2006, 09:26
msconfig
что у нас там не микросфтоское бежит из сервисов ?
и что в стартапе
VxWorks
@ 25-04-2006, 10:20
Сервисы (не Microsoft, как заказывали):
Acronis Sheduler2 Service
AVG7 Alert Manager Service
AVG7 Update Service
AVG7 E-mail Scanner
NVIDIA Display driver service
TrueVector Internet Monitor (ZoneAlarm)
Startup (все, которые активные)
SOUNDMAN.EXE - менеджер 7.1 аудио (драйвер карты)
avgcc (AVG7)
zlclient (ZoneAlarm)
TrueImageMonitor (backup)
schedhelp (backup)
ctfmon
wcescomm (ActiveSync)
Все, больше ничего нет.
Stranger
@ 25-04-2006, 11:07
а не зоналрм ли это у нас
ему по должности положено защищать :)
авг у меня стоял вроде не выпендривлася :)
но заборосил и перешел на антивир
да возми отключи и антивир и стенку глянь освободит ли...
VxWorks
@ 25-04-2006, 12:05
Пробовал отключать и то и другое - нифига не помогает.
Stranger
@ 25-04-2006, 12:39
что говорит система о последней модификации файла ?
что просиходи в саве мод ?
может просто сам файл битый
глупая мысль но все же реад онли снято ? :)
пс. очень на вирус похоже
VxWorks
@ 25-04-2006, 13:10
Последняя модификация была три дня назад (я его редактировал).
В Safe mode я не пробовал его открывать.
Файл нормальный, открывается и читается notepad-ом хорошо. Винда его тоже понимает, если сделать в нем изменения (после шаманства с убиванием handle), то изменения принимаются.
Read Only, разумеется, снято.
Насчет вируса - ты когда-нибудь слышал о вирусе, который оберегает hosts и lmhost от измененений, ничего туда не записывая? Это уже больше на какую-то защиту похоже.
Stranger
@ 25-04-2006, 13:14
очень интересно
попробуй на сайте oszone.net поискать или задать вопрос
может там из местных гуру кто сталкивался
пс. проверил ради интереса на 7 машинах хп сп2 везде все ок
подергал всех не кто некогда такого не видел