Коротко — сама по себе запись в hosts не может «приучить» Windows открывать браузер при выходе из спящего режима. Скорее всего где‑то остался авто‑запуск / задача / служба, которая при пробуждении запускает команду вроде «открыть URL» (через chrome.exe / msedge.exe / mshta / powershell и т. п.), либо система выполняет проверку сети (NCSI / captive‑portal) и попадает на адрес dns.mafioznik.xyz, из‑за чего браузер открывается. Ниже — что проверить и как найти источник.
1) Быстрое обследование (делать от имени администратора)
- Посмотрите планировщик задач на триггеры «On resume», «On unlock», «On idle», «On an event»:
- Откройте Task Scheduler (Планировщик задач) и в библиотеке задач просмотрите недавно созданные задачи и те, которые запускаются при пробуждении/разблокировке.
- Быстро из командной строки:
schtasks /query /v /fo LIST > "%USERPROFILE%\Desktop\tasks_verbose.txt"
Затем откройте tasks_verbose.txt и найдите в нём упоминания о mafioznik или о запуске браузера/mshta/powershell.
- Поиск строки «mafioznik» (или самого URL) в заданиях:
- PowerShell (запуск от администратора):
Select-String -Path "C:\Windows\System32\Tasks\*" -Pattern "mafioznik","dns.mafioznik" -SimpleMatch -List
2) Проверьте автозапуск (Run, Startup folder, Autoruns)
- Run‑ключи реестра:
- reg query "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /s
- reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /s
- Папки автозагрузки:
- %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup
- %PROGRAMDATA%\Microsoft\Windows\Start Menu\Programs\Startup
- Самый удобный способ — скачать и запустить Autoruns (Sysinternals) от Microsoft, запустить от имени администратора и поискать «mafioznik» или URL. Вкладки Logon / Scheduled Tasks / Services / Drivers покажут все автозапуски.
3) Проверка служб и сетевых настроек
- Службы: services.msc — посмотреть на странные службы, связанные с DNS или именами похожими на mafioznik.
- Прокси/WinHTTP/IE:
- reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings"
- netsh winhttp show proxy
- Hosts: убедитесь, что в C:\Windows\System32\drivers\etc\hosts нет записей, перенаправляющих что‑то на dns.mafioznik.xyz.
4) NCSI / captive portal (частая причина «внезапного» открытия браузера)
Windows при смене состояния сети выполняет проверку доступности интернета (NCSI). Если кто‑то изменил адреса проверки (или DNS резолвится в сайт, дающий редирект на dns.mafioznik.xyz), это может вызвать открытие окна с captive portal. Проверьте реестр:
- reg query "HKLM\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet" /s
Обычные значения:
- ActiveWebProbeHost = www.msftconnecttest.com
- ActiveWebProbePath = /connecttest.txt
- EnableActiveProbing = 1
Если там стоит dns.mafioznik.xyz или другой подозрительный хост — можно вернуть стандартные значения.
5) Ловим процесс, который открывает браузер (если нужно точнее)
- Запустите Procmon (Sysinternals) и фильтруйте по событию Process Create; поймайте момент пробуждения (включить лог, перевести ПК в сон и разбудить). В логах увидите, какой процесс запускает браузер (или какой процесс сам открывает URL).
- Или на момент пробуждения быстро откройте диспетчер задач и в столбце «Команда запуска» посмотрите, какая команда была выполнена (если задача создана через планировщик — в нём видно Action → Program/script + Arguments).
6) Что можно сделать прямо сейчас
- Откройте Autoruns → отключите подозрительные задачи/пункты, затем перезагрузите или погасите/включите спящий режим и проверьте.
- В планировщике задач отключите новые/непонятные задачи (особенно с триггером «On workstation unlock» или «On resume»).
- Верните NCSI к стандартным значениям, если они изменены.
- Сброс сетевых настроек: ipconfig /flushdns ; netsh winsock reset ; netsh int ip reset ; перезагрузка.
- Если не хотите разбираться сейчас — временно смените браузер по умолчанию на любой и посмотрите, какой процесс появляется в Диспетчере при пробуждении (чтобы понять «кто» запускает).
7) Если хотите, я помогу дальше
Скиньте (фрагменты, не весь dump, только подозрительные строки):
- Вывод Select-String по C:\Windows\System32\Tasks (строки, содержащие mafioznik/dns.mafioznik)
- Вывод reg query "HKLM\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet" /s
- Список задач: schtasks /query /fo LIST /v (фрагмент с задачами, у которых Trigger содержит «wake», «unlock», «on idle»)
Я подскажу, какие записи безопасно удалить или отключить.
Итог: наиболее вероятно — либо планировщик задач/автозапуск, который запускает URL при пробуждении, либо сетевой captive‑portal (NCSI) перенаправляет на dns.mafioznik.xyz. Проверьте Task Scheduler, Autoruns и NlaSvc‑параметры — это почти всегда выясняет источник.