Удаленный сервер закрыл соединение

Удаленный сервер закрыл соединение

Немного обо всем и все о немногом, или практический опыт системного администратора.

Май 2010

Пн Вт Ср Чт Пт Сб Вс
« Апр Июнь »
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31

Соединение закрыто удаленным сервером

Сегодня помогал посетительнице сайта Виктории решить небольшую проблему. Проблема заключалась в том, что при попытке зайти на некоторые сайты браузер Opera выдавал следующее сообщение: Соединение закрыто удаленным сервером. Например, такое сообщение было при попытке зайти на rambler.ru и ya.ru. Скажу сразу, что это проделки вируса. Хотя сам с подобными не сталкивался, но в каком направлении двигаться примерно было понятно. Подключившись удаленно к компьютеру Виктории с помощью программы TeamViewer, выполнил команду ping на rambler.ru и ya.ru. Результат был вполне ожидаемым — IP адрес для обеих доменов был одинаковый. Вот такой: 89.104.91.15. Переходить не советую вдруг там гадость какая то может быть. Я когда заходил, там висела ложная страница vkontakte. То есть по хорошему, при заходе на сайт rambler.ru должно было перенаправлять на ложную страницу вконтакте, но либо сайт был перегружен, либо еще какая причина, но в итоге получалось сообщение Соединение закрыто удаленным сервером.

Подмена IP адресов и их DNS имен была реализована через файл hosts, который находится в каталоге C:Windowssystem32driversetchosts. Чтобы исправить проблему достаточно открыть этот файл в том же Блокноте и удалить оттуда все строки с таким IP адресом. После этого все будет работать и можно будет снова заходить на все сайты. Кстати у вас IP адрес может быть и другим.

Остался ли где на компьютере сам вирус не знаю. Антивирус, по словам Виктории, ничего не обнаружил, в реестре тоже ничего подозрительного не было. В любом случае после перезагрузки, все сайты открывались как положено. Вероятно расчет был только на то, чтобы подменить файл hosts не оставляя никаких следов. Пользователь, попав на ложный сайт вконтакте, набрал бы свой логин и пароль и таким образом передал бы их третьим лицам.

Так что будьте бдительны и не попадайтесь на такие уловки.

Доброго времени суток,сегодня я постарась вам помочь с решением проблемы *Соединение закрыто удалённым сервером.Как избавиться от этого?*Думаю вы розберетесь и больше не будете сталкиваться с подобными проблемами.Удачи!

Что представляет собой Trojan.Mayachok.1 (он же trojan.win32.ddox.ci, trojan.mayachok.1, trojan.mayachok.550, trojan.win32.cidox, trojan.win32.zapchast.feh, trojan:Win32/Vundo.OD, trojan.Win32.Mondere, trojan.Generic.KDV.169924).

По описаниям ресурса Dr.Web, это:

Троянец, который крадет средства со счетов клиентов мобильных операторов, предлагая пользователям ответить на входящее СМС-сообщение.

Trojan.Mayachok.1 это файл .dll — динамически подключаемая библиотека, которая после установки загружается в адресное пространство памяти всех запущенных процессов (процесс установки заканчивается форсированной перезагрузкой компьютера), поэтому при сканировании системы антивирусом в нормальном режиме троянец часто видится пользователю как бы "сидящим внутри" различных файлов и "перемещающимся" из одного файла в другой. Может сложиться впечатление что Trojan.Mayachok.1 заражает файлы, но на самом деле это не так.
Trojan.Mayachok.1 имеет имя, состоящее из семи строчных латинских букв, и размер 48-56 kb.

Описание повадок зловреда на сайте Dr.Web достаточно подробное поэтому не будем повторяться, от себя только добавлю:

1 .) пострадавший сталкивается с полной невозможностью выйти в интернет при помощи любого браузера,


2 .) вместо нормальной загрузки сайта открытие страниц происходит в виде, напоминающем исходный код.


3 .) подменой запрашиваемых страниц на "Ростелеком. Канал перегружен", "Подтвердите принадлежность аккаунта","internet.com" и подобных

4 .) маячок может блокировать запуск программ в нормальном режиме. в безопасном, как правило всё работает.

Итак, выяснили, у нас действительно Trojan.Mayachok.1.

Что делать? Нет смысла скачивать большое количество разнообразного антивирусного софта и тратить время на многочасовые проверки в надежде что поможет хоть что-то из этого — ни одно, так другое.
Такая вероятность есть, но в некоторых случаях троянец хоть и определяется антивирусом, но оказывается ему не по зубам — при следующих проверках мы видим его снова и снова. Не стоит отчаиваться, всё на самом деле очень просто.

1 ) Открываем редактор реестра — regedit.exe,( пуск — выполнить — regedit ) находим ветку:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows
и параметр AppInit_DLLs.

Смотрим значение этого параметра.
Если видим запись, подобную этой:

"AppInit_DLLs" = "C:windowssystem32 vhihgf.dll"
(кроме tvhihgf.dll имя файла может состоять из семи любых других латинских букв) — удаляем ее (имя файла запомните или запишите, чтобы потом легко его найти).


Сам параметр AppInit_DLLs при этом оставляем, убираем только значение.

Внимание! Перед тем как удалить любую запись в AppInit_DLLs, обязательно гуглим по ней ( имя троянской .dll не будет иметь ни одного совпадения (в редких случаях бывает 1-2 совпадения, и, как правило, они ведут на темы, где упоминается Trojan.Mayachok.1)) , поскольку в этом параметре могут быть прописаны и вполне легитимные программы. Если в AppInit_DLLs перечислено несколько файлов — находим информацию по каждому, и удаляем только троянский ключ.

2 ) Обязательное условие : Перезагружаемся

3 ) После этого разыскиваем этот файл на диске в папке C:windowssystem32 — и так же удаляем. Это и есть наш Trojan.Mayachok.1.

4 ) Потом находим и удаляем созданные одновременно с tvhihgf.dll (смотрим по дате) файлы с расширением *.tmp из каталога C:windowssystem32 и C:windowsSYSWOW64 (на 64 битных системах). Это резервные копии Trojan.Mayachok.1.

5 ) Перезагружаемся и наслаждаемся беспрепятственным доступом к любимым сайтам.

Для пользователей x64 разрядных систем : троянец может находиться в каталоге C:windowsSYSWOW64

Редактор реестра, отвечающий за 32 разрядные компоненты в x64 разрядных системах находится в каталоге C:windowsSysWOW64
Для его запуска через меню "Пуск" — "Выполнить" нужно указывать полный путь:
%SystemRoot%SysWOW64
egedit.exe

По умолчанию на x64 разрядных системах запускается редактор из каталога C:windows, т е отвечающий за 64 разрядные компоненты. В нем так же есть 32 битный раздел — HKLMSOFTWAREWow6432Node, то есть проверять нужно в том числе ветку
HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindows NTCurrentVersionWindows

Я удалил ключ из реестра, но не запомнил и не записал имя троянского файла. Как теперь его найти?

При помощи поиска windows найдите все созданные на дату заражения файлы с расширением .dll в папках %windir%system32 и %windir%SYSWOW64. Trojan.Mayachok.1 имеет имя, состоящее из семи строчных латинских букв, и размер 48-56 kb. Все подозрительные файлы проверьте на сервисе virustotal.com. Троянский файл будет определен антивирусами. Так же, при поиске в Google, имя троянской .dll не будет иметь ни одного совпадения (в редких случаях бывает 1-2 совпадения, и, как правило, они ведут на темы, где упоминается Trojan.Mayachok.1).

А временные файлы можете удалить командой (вставить в командную строку):
del "%windir%system32*.tmp" /q
нажать enter.

Для 64 битных систем:

del "%windir%syswow64*.tmp" /q

Я по ошибке удалил из реестра троянский ключ вместе с параметром AppInit_DLLs. Что теперь произойдёт?

На работоспособность системы это не повлияет. Если в этом параметре помимо троянской записи присутствовали другие, например записи легального программного обеспечения — их функциональность может быть нарушена, поэтому такие программы рекомендуется переустановить. Обычно при установке достаточно выбрать опцию repair (восстановить).

При попытке внести изменения в реестр я получаю сообщение "Отказано в доступе"

Прежде всего убедитесь, что вы работаете под учетной записью администратора (выполняете действия от имени администратора). Откройте раздел реестра, в который требуется внести изменения. Из контекстного меню или меню "Правка" выберите команду "Разрешения". Нажмите кнопку "Дополнительно", откройте вкладку "Владелец". Назначьте себя в качестве нового владельца. На вкладке "Безопасность" владельцу должны быть назначены права — "полный доступ"

Ссылка на основную публикацию
Удаленная игра на ps4
Использование приложения (Дистанционное воспроизведение PS4) для управления системой PlayStation®4 с компьютера. При установке этого приложения на ПК или Mac можно...
Телефоны на базе snapdragon
Полный список смартфонов, работающих на процессоре Qualcomm Snapdragon 855. Вы можете изучить характеристики смартфонов, узнать лучшие цены и где купить...
Телефоны поддерживающие оплату nfc
Технология NFC базируется на принципе беспроводной высокочастотной связи малого радиуса действия. Она позволяет осуществлять объем данными между устройствами с максимальным...
Удаленное подключение к virtualbox
Содержание статьи Если хоть раз попробуешь установить Linux под VirtualBox’ом, может сложиться впечатление, что это очень простой инструмент. Интерфейс виртуальной...