Описание.
HijackThis — небольшая программа для обнаружения и удаления вредоносного ПО. Логи этой программы принято считать своеобразным информационным стандартом в рамках многочисленных конференций, посвящённых компьютерной безопасности. HijackThis изначально создавался Мерийном Беллекомом (Merijn Bellekom) как инструмент для обнаружения и удаления различного рода троянских программ, перенастраивающих параметры браузера и других приложений системы без ведома пользователя, впоследствии программа получила очень широкое распространение. В 2007 году HijackThis был куплен антивирусной компанией Trend Micro.
Назначение.
Основное назначение программы: обнаружение и исправление изменений в настройках наиболее уязвимых областей операционной системы. А главная её функция заключается в автоматическом исследовании этих областей и вывода собранной информации в виде удобного лога (отчёта). Важно понимать, что в программе нет какой-либо базы данных по вредоносным программам, поэтому последующий анализ содержимого своего лога HijackThis не предполагает. И решение об удалении какого-либо компонента может принять только сам пользователь.
Особенности.
• HijackThis совершенно бесплатен.
• Вес программы: чуть менее 400 Кб.
• Не требует установки.
• Не выдвигает каких-либо особых системных требований.
• Для работы нуждается в минимальном количестве ресурсов компьютера.
• Любое сканирование программы занимает всего десяток секунд.
• Не обменивается информацией с сетью и интернетом, поэтому для использования не требуются какие-либо дополнительные настройки файрвола.
Скачать HijackThis
Предупреждение.
HijackThis рассчитан на более-менее опытных пользователей, имеющих представление о том, как работает ОС Windows, так как программа в первую очередь позволяет вносить изменения во многие участки операционной системы. И неумелое их редактирование может повлечь за собой серьезные последствия для ОС.
Поэтому, пожалуйста, будьте предельно осторожны при использовании HijackThis, и в случае, если вы чувствуете себя недостаточно опытным, прежде чем удалять что-либо, попробуйте поискать информацию об удаляемом элементе в интернете или же проконсультируйтесь со знающим человеком.
___________________________________________________________
Начало работы.
Запустите скаченный файл HijackThis.exe, после запуска вы увидите вот такое окно.
Назначения кнопок, на нем расположенных:
Do a systemscan and save a logfile - сканирование и автоматическое сохранение лога (по умолчанию лог сохраняется в папке программы с названием hijackthis.log). Обычно работу с программой начинают с нажатия этой кнопки.
Do a system scan only - только сканирование.
View the list of backups - открытие списка бэкапов (перед тем, как что-либо удалить, HijackThis по умолчанию автоматически создает резервную копию удаляемого элемента).
Open the Misc Tools selection - другие инструменты программы (на этом мы подробно остановимся немного позже).
Open online HijackThis Quick Start - автоматически открывает страницу HijackThis Quick Start (краткое ознакомление с программой на английском языке).
Non of the above, just start the program - ничего из вышеперечисленного, простой запуск программы.
______________________________________________________
Анализ лога.
С элементами лога возможны следующие манипуляции:
- Удаление: отмечаем нужную строчку галочкой и нажимаем на кнопку "Fix сhecked".
Если удаляемый элемент каким-либо образом касается браузера, то его (браузер) обязательно предварительно нужно закрыть.
- Занесение в игнор-лист (касается элементов в надежности которых вы уверены): отмечаем нужную строчку галочкой и нажимаем на кнопку "Add checked to ignorelist".
Элементы, занесенные в игнор-лист, в дальнейших отчетах отображаться не будут.
Основной принцип при анализе лога: удаление элементов, о существовании которых вы до недавнего времени и не предполагали (при условии, что вы достаточно хорошо знакомы со своей операционной системой). И занесение в игнор-лист "проверенных" приложений, установленных исключительно вами.
Если вы чувствуете себя недостаточно опытным, просто выложите лог программы с просьбой помочь.
Каждая строчка в логе HijackThis начинается со своего определенного обозначения (названия секции).
Краткие характеристики секций:
R0, R1, R2, R3 - изменения основных настроек Internet Explorer.
F0, F1, F2, F3 - автозапуск программ из ini-файлов и эквивалентных мест реестра.
N1, N2, N3, N4 - изменения начальной и поисковой страниц Netscape/Mozilla.
O1 - изменения в файле Hosts.
O2 - плагины и расширения браузера (BHO/Browser Helper Objects).
O3 - дополнительные панели инструментов браузера (Internet Explorer Тoolbars).
O4 - автозапуск программ из реестра и папки Startup.
O5 - блокирование доступа к Свойствам Обозревателя (Internet Options) через Панель Управления.
O6 - запрет на изменение некоторых Свойств Обозревателя (Internet Options).
O7 - отключение доступа к Regedit.
O8 - дополнительные пункты контекстного меню Internet Explorer.
O9 - дополнительные кнопки и сервисы на главной панели Internet Explorer.
O10 - Winsock LSP (Layered Service Provider/поставщик многоуровневых услуг).
O11 - новая группа настроек в Свойствах Обозревателя (Internet Options).
O12 - плагины Internet Explorer.
O13 - префиксы IE.
O14 - изменения в файле iereset.inf.
O15 - веб-сайты и протоколы, добавленные в зону Надежные узлы (Trusted Zone).
O16 - программы, загруженные с помощью ActiveX (подкаталог WINDOWS\Downloaded Program Files).
O17 - изменения домена или DNS сервера.
O18 - изменения существующих протоколов и фильтров.
O19 - шаблон стиля (Style Sheet) пользователя.
O20 - уведомления Winlogon (Winlogon Notify) и модули инициализации (App Init DLLs) для Windows XP/2000/2003.
O21 - объекты загрузки оболочки (SSODL/Shell Service Object Delay Load).
O22 - задачи Планировщика Windows (Shared Task Scheduler).
O23 - службы Windows NT/Microsoft Windows.
_____________________________________________
Секции R0, R1, R2, R3. Изменения основных настроек Internet Explorer.
R0 - ваша домашняя страница (загружающаяся при старте IE) и поисковый ассистент браузера (Search Assistant).
R1 - настройки, связанные с интернет-поиском, плюс некоторые другие характеристики (IE Window Title; ProxyServer, ProxyOverride в настройках IE, Internet Connection Wizard: ShellNext и др.).
R2 - эта секция на данный момент не используется.
R3 - URL Search Hook - перехватчик поиска, который используется браузером для автоматического определения протокола (httр://; ftp:// и т.д.) в тех случаях, когда вы указывайте адрес веб-сайта без него.
Некоторые используемые ключи реестра:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main: Start Page
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Start Page
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main, Search Page
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Search Page
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main, Default_Page_URL
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Default_Page_URL
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search, SearchAssistant
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search, CustomizeSearch
HKCU\SOFTWARE\Microsoft\Internet Explorer\Search, CustomizeSearch
HKCU\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchURL, Default
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Window Title
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Search Bar
HKCU\SOFTWARE\Microsoft\Internet Connection Wizard, ShellNext
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings, ProxyServer
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
Как это выглядит в логе:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - C:\PROGRA~1\Toolbar\toolbar.dll
R3 - Default URLSearchHook is missing
Действие HijackThis при удалении строчки из этой секции: удаление соответствующей информации из реестра.
___________________________________________________
Секции N1, N2, N3, N4. Изменения начальной и поисковой страниц Netscape/Mozilla.
N1 - стартовая и поисковая страницы для Netscape 4.
N2 - стартовая и поисковая страницы для Netscape 6.
N3 - стартовая и поисковая страницы для Netscape 7.
N4 - стартовая и поисковая страницы для Mozilla.
Информация об этих настройках во всех 4-ех случаях хранится в файле с названием prefs.js.
Как это выглядит в логе:
N1 - Netscape 4: user_pref "browser.startup.homepage", "www.coolwwwsearch.com"); (C:\Program Files\Netscape\Users\default\prefs.js)
Действие HijackThis: удаление соответствующей информации из файла prefs.js.
_______________________________________________________________
Секция O1. Изменения в файле Hosts.
Файл Hosts участвует в процессе определения IP адреса сервера по его имени, и модификация этого файла может привести к нарушению данного процесса и подмене адреса любого хоста. Поэтому обнаружение в нем посторонних записей, особенно связанных с популярными поисковыми системами или антивирусными продуктами, однозначно свидетельствует о деятельности вредоносной программы.
По умолчанию в нем должна быть только одна строчка: 127.0.0.1 localhost (плюс комментарии, начинающиеся со знака #). Все остальное можно стирать.
Открыть и отредактировать файл Hosts можно любым текстовым редактором (например, Блокнот/Notepad), и по умолчанию он находится здесь:
Для Windows 95/98/ME: C:\WINDOWS\Hosts
Для Windows 2000/NT: C:\WINNT\system32\drivers\etc\Hosts
Для Windows 2003/XP/Vista/7: C:\WINDOWS\system32\drivers\etc\Hosts
Также имейте в виду, что его местоположение может быть изменено вредоносной программой с помощью следующего ключа реестра (HijackThis об этом сообщает):
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters, DatabasePath
Как это выглядит в логе:
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: <TITLE>404 Not Found</TITLE>
O1 - Hosts file is located at C:\Windows\Help\hosts
Действие HijackThis: удаление соответствующей записи в файле Hosts.
______________________________________________________________
Секция O2. Плагины и расширения браузера (BHO/Browser Helper Objects).
BHO представляют собой dll-библиотеки, которые каждый раз загружаются вместе с браузером, из-за чего их присутствие в системе долгое время может быть незаметным (большинство файрволов в этом случае тоже бессильны, так как с их точки зрения обмен с интернетом ведет процесс браузера).
Просмотреть полный список этих библиотек в Windows можно следующим образом (при условии, что версия IE не ниже шестой):
Свойства Обозревателя > закладка Программы и кнопка Надстройки (Internet Options > закладка Programs и кнопка Manage Add-ons).
Используемый ключ реестра:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
Как это выглядит в логе:
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\cbxyvtq.dll
O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet7_22.dll
Действие HijackThis: удаление как информации из реестра (включая раздел CLSID), так и вредоносного файла.
________________________________________________________________
Секция O3. Дополнительные панели инструментов браузера (Internet Explorer Тoolbars).
По своим функциям и поведению очень похожи на BHO, но помимо скрытой работы, как правило, добавляют в браузер еще и дополнительную панель инструментов (Google, Яндекс и так далее).
Видимость этих панелей регулируется в верхнем меню IE:
Вид > Панели инструментов (View > Тoolbars)
Используемый ключ реестра:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar
Как это выглядит в логе:
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Program Files\ISTbar\istbar.dll
O3 - Toolbar: Alexa - {3CEFF6CD-6F08-4e4d-BCCD-FF7415288C3B} - C:\WINDOWS\system32\SHDOCVW.DLL
Действие HijackThis: удаление информации из реестра (файлы тулбаров необходимо удалить после вручную).
______________________________________________________________________
Секция O4. Автозапуск программ из реестра и папки Startup.
Просмотреть список программ, запускающихся подобным образом, используя средства Windows, можно с помощью утилиты msconfig:
Пуск > Выполнить; вписать msconfig; нажать ОК; и в открывшемся приложении последняя закладка - Автозагрузка
(Start > Run; вписать msconfig; нажать ОК; и в открывшемся приложении последняя закладка - StartUp)
Используемые ключи реестра:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
Startup: C:\Documents and Settings\имя пользователя\Start Menu\Programs\Startup
Global: C:\Documents and Settings\All Users\Start Menu\Programs\Startup
Как это выглядит в логе:
O4 - HKCU\..\Run: [Windows Security Protocol] win32sprot.exe
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spooIsv.exe
O4 - HKLM\..\RunServices: [Fire Well service] sdtersx.exe
O4 - Startup: mIRC IRC.BY.lnk = C:\Program Files\mIRC\mirc.exe
O4 - Global Startup: MSupdate.exe
Действие HijackThis: удаление записи в реестре/ярлыка из соответствующей папки (для предотвращения последующего автоматического запуска данного приложения).
Некоторые строчки этой секции HijackThis не удаляет, если соответствующая программа на данный момент активна. В этом случае необходимо предварительно завершить её процесс через Диспетчер Задач/Task Manader.
__________________________________________________________
Секция O5. Блокирование доступа к Свойствам Обозревателя (Internet Options) через Панель Управления (Control Panel).
В Windows это возможно сделать, добавив соответствующую запись в системный файл:
C:\WINDOWS\control.ini
Как это выглядит в логе:
O5 - control.ini: inetcpl.cpl=no
Действие HijackThis: удаление соответствующей записи в файле control.ini.
__________________________________________________________
Секция O6. Запрет на изменение некоторых Свойств Обозревателя (Internet Options).
Используемый ключ реестра:
HKCU\SOFTWARE\Policies\Microsoft\Internet Explorer\Restrictions
Как это выглядит в логе:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
Имейте в виду, что подобные ограничения также могут устанавливаться некоторыми антивирусами/антитроянами (например, Spybot S&D).
Действие HijackThis: удаление информации из реестра для отменены соответствующего запрета.
_____________________________________________________________
Секция O7. Отключение доступа к Regedit.
Другими словами, это запрет на запуск утилиты Windows - regedit.exe, которая используется для редактирования реестра. С одинаковой вероятностью может быть установлен как администратором, так и вредоносной программой.
Используемый ключ реестра:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Может быть установлен как администратором, так и вредоносной программой.
Как это выглядит в логе:
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Действие HijackThis: удаление информации из реестра для отменены соответствующего запрета.
____________________________________________________
Секция O8. Дополнительные пункты контекстного меню Internet Explorer.
Это меню появляется, когда вы кликаете по какой-либо ссылке правой кнопкой мыши.
Используемый ключ реестра:
HKCU\SOFTWARE\Microsoft\Internet Explorer\MenuExt
Как это выглядит в логе:
O8 - Extra context menu item: Проверить ссылку Dr.Web - httр://www.drweb.com/online/drweb-online-ru.html
O8 - Extra context menu item: Mail to a Friend... - httр://client.alexa.com/holiday/scri...ons/mailto.htm
Действие HijackThis: удаление соответствующей информации из реестра.
________________________________________________________
Секция O9. Дополнительные кнопки и сервисы на главной панели IE.
Как правило, это всего лишь ссылки, которые не представляют особой опасности, пока вы на них не нажмете. И обычно при появлении новой кнопки появляется и новый сервис.
Все кнопки браузера более детальным образом можно посмотреть в верхнем меню IE:
Вид > Панели инструментов > Настройка (View > Тoolbars > Customize)
Инструменты же находятся здесь: Tools/Сервис
Используемые ключи реестра:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions
HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions
Как это выглядит в логе:
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - С:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - С:\Program Files\ICQLite\ICQLite.exe
Действие HijackThis: удаление соответствующей информации из реестра.
________________________________________________________
Секция O10. Winsock LSP (Layered Service Provider - поставщик многоуровневых услуг).
Winsock LSP обрабатывает данные, передаваемые по протоколу TCP/IP, который используется для связи с сетью и интернетом. И в процессе передачи/приема данных по этому протоколу информация последовательно проходит все установленные на компьютере LSP (представляют собой dll-библиотеки). Если один из этих файлов будет некорректно удален, то цепочка обработки нарушается, и работа по протоколу TCP/IP становится невозможной. Также в Winsock может быть добавлен посторонний файл, с помощью которого у кого-то появится возможность перехватывать ваши исходящие данные. И сразу нужно заметить, что многие антивирусы и файрволы могут вполне "законно" находится в этой секции (например, Dr.Web, Sygate Firewall, Mcafee Personal Firewall).
Как это выглядит в логе:
O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'mswsock.dll' missing
O10 - Unknown file in Winsock LSP: c:\windows\system32\msspi.dll
Действие HijackThis: для восстановления цепи обработки TCP/IP рекомендуется использовать программу LSP-Fix, а не HijackThis.
________________________________________________________
Секция O11. Новая группа настроек в Свойствах Обозревателя (Internet Options), в закладке Дополнительно (Advanced).
С помощью следующего ключа реестра в закладку Дополнительно (Advanced) действительно возможно добавить совершенно новую группу настроек.:
HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions
Как это выглядит в логе:
O11 - Options group: [CommonName] CommonName
O11 - Options group: [TB] Toolbar
Действие HijackThis: удаление соответствующей информации из реестра.
____________________________________________________
Секция O12. Плагины Internet Explorer.
Это программы, которые загружаются вместе с IE, чтобы добавить браузеру некоторые функциональные возможности (например, просмотрщик PDF).
Используемый ключ реестра:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Plugins
Как это выглядит в логе:
O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
Действие HijackThis: удаление как информации из рееста, так и вредоносного файла.
____________________________________________
Секция O13. Префиксы IE.
Префикс здесь - это то, что ваш браузер автоматически добавляет в тех случаях, когда вы не указываете протокол (httр://; ftр:// и т.д.) в адресе какого-либо веб-сайта. То есть, если вы ввели google.com, а префикс, установленный по умолчанию в вашей системе перед этим был изменен, например, на httр://ehttp.cc/?, браузер откроет страницу httр://ehttp.cc/?google.com.
Используемые ключи реестра:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefix
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix
Как это выглядит в логе:
O13 - DefaultPrefix: httр://ehttp.cc/?
O13 - WWW Prefix: httр://www.nkvd.us/1507/
Действие HijackThis: сбрасывание значений префиксов на стандартные.
_____________________________________________
Секция O14. Изменения в файле iereset.inf.
Когда вы используете кнопку сбрасывания настроек браузера, IE использует следующий системный файл (для Windows XP):
С:\WINDOWS\inf\iereset.inf
Если информация в нем будет изменена, то операция восстановления начальных настроек IE обычным способом будет невозможна.
Как это выглядит в логе:
O14 - IERESET.INF: START_PAGE_URL=httр://portal/
O14 - IERESET.INF: START_PAGE_URL=httр://www.searchalot.com
Действие HijackThis: удаление соответствующей информации из файла iereset.inf.
___________________________________________________
Секция O15. Веб-сайты и протоколы, добавленные в зону Надежные узлы (Trusted Zone).
Используемый ключи в реестре:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults
Как это выглядит в логе:
O15 - Trusted Zone: *.masspass.com
O15 - Trusted Zone: httр://update.randhi.com (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)
Действие HijackThis: удаление сайта/протокола из зоны Надежные узлы Trusted Zone.
_______________________________________________
Секция O16. Программы, загруженные с помощью ActiveX.
ActiveX - это компонент (.dll или .ocx), благодаря которому достигается лучшее взаимодействие с определенным веб-сайтом (к примеру, очень многие антивирусные он-лайн сканирования работают именно через ActiveX; обновления Microsoft; система webmoney и т.д.). Вредоносные же ActiveX-компоненты обычно устанавливаются для последующей загрузки дополнительного программного обеспечения без вашего ведома.
Используемый ключ реестра:
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units
Или папка:
C:\WINDOWS\Downloaded Program Files
Как это выглядит в логе:
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} (loader Class) - httр://217.73.66.1/del/loader.cab
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - httр://www.180searchassistant.com/180saax.cab
Действие HijackThis: удаление вредоносного компонента и информации о нем в системном реестре.
_______________________________________________________________
Секция O17. Изменения домена или DNS сервера.
Как это выглядит в логе:
O17 - HKLM\SYSTEM\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O17 - HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
Действие HijackThis: удаление соответствующего ключа из реестра.
________________________________________________
Секция O18. Изменения существующих протоколов и фильтров.
Используемые ключи реестра:
HKLM\SOFTWARE\Classes\PROTOCOLS
HKLM\SOFTWARE\Classes\CLSID
HKLM\SOFTWARE\Classes\PROTOCOLS\Handler
HKLM\SOFTWARE\Classes\PROTOCOLS\Filter
Как это выглядит в логе:
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}
O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINDOWS\httpfilter.dll
O18 - Protocol: about - {53B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\System32\msxmlpp.dll
Действие HijackThis: удаление соответствующего ключа из реестра.
___________________________________________________________
Секция O19. Шаблон Стиля (Style Sheet) пользователя.
Это ваш шаблон, в котором записана информация о цветах, шрифтах, расположении и некоторых других параметрах рассматриваемых в браузере страниц.
Используемый ключ реестра:
HKCU\SOFTWARE\Microsoft\Internet Explorer\Styles: User Stylesheets
Как это выглядит в логе:
O19 - User stylesheet: C:\WINDOWS\Web\win.def
O19 - User stylesheet: C:\WINDOWS\default.css
Действие HijackThis: удаление соответствующей информации из реестра.
_____________________________________________________
Секция O20. Уведомления Winlogon (Winlogon Notify) и модули инициализации (App Init DLLs)
Модули инициализации (App Init DLLs) загружаются в каждое Windows-приложение, использующее библиотеку user32.dll (а её используют практически все):
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs
А также ключи Winlogon Notify (dll-библиотека в таком случае загружается вместе с процессом winlogon.exe):
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
Как это выглядит в логе:
O20 - AppInit_DLLs: C:\WINDOWS\System32\dbgwin.dll
O20 - Winlogon Notify: Group Policy - C:\WINDOWS\system32\h0n0la5m1d.dll
Действие HijackThis: удаление соответствующей информации из реестра.
____________________________________________
Секция O21. Объекты загрузки оболочки (SSODL/Shell Service Object Delay Load).
Библиотеки, которые при каждом старте системы автоматически загружаются как расширения проводника (вместе с процессом еxplorer.exe), используя ключ ShellServiceObjectDelayLoad:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
Как это выглядит в логе:
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
Действие HijackThis: удаление соответствующей записи из реестра.
________________________________________________________
Секция O22. Задачи Планировщика Windows (Shared Task Scheduler).
Планировщик Задач Windows отвечает за автоматический запуск определённых программ в установленное вами время.
Используемый ключ в реестре:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
Как это выглядит в логе:
O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - C:\Windows\system32\mtwirl32.dll
Действие HijackThis: удаление соответствующего задания.
_________________________________________________
Секция O23. Службы Windows NT/Microsoft Windows.
Службы/Сервисы - это приложения, запускаемые в фоновом режиме во время загрузки системы или при возникновении определенных событий и обеспечивающие основные функциональные возможности ОС. Как правило, службы не имеют графического интерфейса, поэтому их работа в большинстве своем не заметна для пользователя. Любая служба может быть запущена автоматически при загрузке операционной системы и начать работу еще до того, как пользователь произведет вход в Windows.
Просмотреть список всех служб, установленных на компьютере, можно следующим образом:
Пуск > Выполнить; вписать services.msc; нажать ОК
(Start > Run; вписать services.msc; нажать ОК)
Как это выглядит в логе:
O23 - Service: Power Manager - Unknown - C:\WINDOWS\svchost.exe
O23 - Service: K4NV - Unknown owner - C:\WINDOWS\k4nv.exe
Действие HijackThis: остановка службы и изменение Типа её Запуска (StartUp Type) на Отключено (Disabled).
Если же есть желание удалить службу, то это осуществляется несколькими способами:
С помощью командной строки:
Пуск > Выполнить; вписать sc delete имя службы; нажать ОК
(Start > Run; вписать sc delete имя службы; нажать ОК)
Через реестр:
HKLM\SYSTEM\CurrentControlSet\Services
HKLM\SYSTEM\ControlSet001\Services
HKLM\SYSTEM\ControlSet002\Services
HKLM\SYSTEM\ControlSet003\Services
HKLM\SYSTEM\ControlSet004\Services
HKLM\SYSTEM\ControlSet005\Services
_________________________________
Раздел Misc Tools.
Generate StartupList log - генерировать отчет об Автозагрузке.
После нажатия на эту кнопку HijackThis автоматически выдаст текстовый файл (startuplist.txt) с анализом практически всех способов автозапуска каких-либо приложений вашей операционной системы:
- папки Startup и All Users Startup;
- стандартные ключи реестра, отвечающие за автозагрузку;
- параметр Userinit (HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit);
- ассоциации расширений .EXE, .COM, .BAT, .PIF, .SCR, .HTA, .TXT;
- перечисление Active Setup stub paths (HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components);
- перечисление автозагружающихся приложений ICQ (HKCU\SOFTWARE\Mirabilis\ICQ\Agent\Apps);
- автозапуск из ini-файлов или эквивалентных им мест реестра;
- проверка на видимость следующих расширений: .lnk, .pif, .exe, .com, .bat, .hta, .scr, .shs, .shb, .vbs, .vbe, .wsh, .scf, .url, .js, .jse;
- проверка на наналичие файла еxplorer.exe в нескольких папках;
- проверка на оригинальность файла regedit.exe;
- BHO;
- назначенные задания Планировщика Задач;
- папка Download Program Files;
- перечесление файлов Winsock LSP;
- список служб Microsoft Windows;
- перечесление скриптов Windows NT logon/logoff;
- расширения еxplorer.exe (ShellServiceObjectDelayLoad)
_________________________________________________
Open Process Manager - открыть Менеджер Процессов.
______________________
Open Hosts file Manager - открыть Менеджер файла Hosts.
Менеджер файла Hosts позволяет просмотреть содержимое этого файла с возможностью удаления любой из его строк:
Delete line(s) - удалить строку(строки).
Toggle line(s) - добавить или убрать в начале строки(строк) знак # (строки, начинающиеся с этого знака, считаются комментарием и не читаются операционной системой).
Open in Notepad - открыть файл Hosts в Блокноте.
_____________________
Delete a file on Reboot - удалить файл во время перезагрузки системы.
С помощью этой функции вы можете выбрать любой файл Windows, который необходимо удалить во время следующей перезагрузки системы. После этого сразу же будет запрос, желаете ли вы перезагрузить компьютер сейчас или нет.
____________________
Delete an NT service - удалить службу Microsoft Windows.
При нажатии на эту кнопку откроется окошко, в которое нужно скопировать или ввести точное название удаляемой службы. Службу предварительно, естественно, необходимо остановить и изменить тип её запуска на "Отключено" ("Disabled").
____________________
Open ADS Spy - открыть встроенную в HijackThis утилиту ADS Spy.
ADS (Alternate Data Streams) - "альтернативные потоки данных" - появились в Windows с введением файловой системы NTFS и, в сущности, были созданы для обеспечения совместимости с HFS (Hierarchical File System - устаревшая файловая система Macintosh). Суть организации HFS состоит в раздвоении файла на файл данных и файл ресурсов. В файле данных находится содержимое документа, а в файле ресурсов - идентификатор типа файла и другие свойства. Нечто подобное стало возможным и в Windows (говоря простым языком, присоединение к видимым файлам абсолютно невидимых), и спустя какое-то время некоторые вирусописатели взяли себе это на вооружение.
ADS нельзя просмотреть, используя стандартные методы (через командную строку или с помощью Windows Explorer), и очень немногие антивирусы способны их обнаруживать (а для тех, кто способен, в любом случае необходима дополнительная настройка). Поэтому в целях собственной безопасности рекомендуется время от времени использовать специальные утилиты, созданные именно для обнаружения и удаления файлов, использующих альтернативные потоки данных. ADS Spy - как раз одна из таких утилит:
Назначение основных кнопок:
Scan - сканирование на наличие в системе ADS.
Save log - сохранить отчет (adsspy.txt).
Remove selected - удалить выбранные.
__________________________________
Open Uninstall Manager - открыть Менеджер Деинсталляций.
Менеджер Деинсталляций позволяет:
- Просмотреть список программ, находящийся также в "Установка и удаление программ" ("Add or Remove Programs") Windows.
- Видеть команду деинсталляции каждой программы.
- Деинсталлировать любую программу с помощью кнопки "Delete this entry".
- Добавить новую команду деинсталляции любой из программ с помощью кнопки "Edit uninstall command".
- Открыть приложение "Установка и удаление программ" ("Add or Remove Programs") Windows нажатием кнопки "Open Add/Remove Software list"
- Сохранить весь список программ в текстовый файл (uninstall_list.txt). Для этого нажимаем на кнопку "Save list..."
__________________________________________________
Advanced settings.
Дополнительные настройки сканирования HijackThis:
Calculate MD5 of files if possible - вычислять при сканировании контрольные суммы MD5 у тех файлов, у которых это возможно.
Как это выглядит в логе:
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\saIE.dll (filesize 514264 bytes, MD5 A572BB8B39C5C06381CB2A27340855A1)
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp (filesize 33280 bytes, MD5 DA285490BBD8A1D0CE6623577D5BA1FF)
_______________________________________________
Include enviroment variables in logfile - включить в лог переменные окружающей среды ОС.
Как это выглядит в логе:
Windows folder: C:\WINDOWS
System folder: C:\WINDOWS\SYSTEM32
Hosts file: C:\WINDOWS\System32\drivers\etc\hosts
_______________________________________________
Update check - проверка обновлений программы.
Uninstall HijackThis - деинсталляция HijackThis.
_______________________________________________
Анализ лог-файлов, программы онлайн.
HijackThis Logfile Analyzer
HijackThis Log Auto Analyzer V2
Help2Go Detective
Prevx HijackThis Log Analyzer
Spy And Seek HijackThis Log Analyzer
ExeLibrary HijackThis Log Analyzer
__________________
Источник
HijackThis — небольшая программа для обнаружения и удаления вредоносного ПО. Логи этой программы принято считать своеобразным информационным стандартом в рамках многочисленных конференций, посвящённых компьютерной безопасности. HijackThis изначально создавался Мерийном Беллекомом (Merijn Bellekom) как инструмент для обнаружения и удаления различного рода троянских программ, перенастраивающих параметры браузера и других приложений системы без ведома пользователя, впоследствии программа получила очень широкое распространение. В 2007 году HijackThis был куплен антивирусной компанией Trend Micro.
Назначение.
Основное назначение программы: обнаружение и исправление изменений в настройках наиболее уязвимых областей операционной системы. А главная её функция заключается в автоматическом исследовании этих областей и вывода собранной информации в виде удобного лога (отчёта). Важно понимать, что в программе нет какой-либо базы данных по вредоносным программам, поэтому последующий анализ содержимого своего лога HijackThis не предполагает. И решение об удалении какого-либо компонента может принять только сам пользователь.
Особенности.
• HijackThis совершенно бесплатен.
• Вес программы: чуть менее 400 Кб.
• Не требует установки.
• Не выдвигает каких-либо особых системных требований.
• Для работы нуждается в минимальном количестве ресурсов компьютера.
• Любое сканирование программы занимает всего десяток секунд.
• Не обменивается информацией с сетью и интернетом, поэтому для использования не требуются какие-либо дополнительные настройки файрвола.
Скачать HijackThis
Предупреждение.
HijackThis рассчитан на более-менее опытных пользователей, имеющих представление о том, как работает ОС Windows, так как программа в первую очередь позволяет вносить изменения во многие участки операционной системы. И неумелое их редактирование может повлечь за собой серьезные последствия для ОС.
Поэтому, пожалуйста, будьте предельно осторожны при использовании HijackThis, и в случае, если вы чувствуете себя недостаточно опытным, прежде чем удалять что-либо, попробуйте поискать информацию об удаляемом элементе в интернете или же проконсультируйтесь со знающим человеком.
___________________________________________________________
Начало работы.
Запустите скаченный файл HijackThis.exe, после запуска вы увидите вот такое окно.
Назначения кнопок, на нем расположенных:
Do a systemscan and save a logfile - сканирование и автоматическое сохранение лога (по умолчанию лог сохраняется в папке программы с названием hijackthis.log). Обычно работу с программой начинают с нажатия этой кнопки.
Do a system scan only - только сканирование.
View the list of backups - открытие списка бэкапов (перед тем, как что-либо удалить, HijackThis по умолчанию автоматически создает резервную копию удаляемого элемента).
Open the Misc Tools selection - другие инструменты программы (на этом мы подробно остановимся немного позже).
Open online HijackThis Quick Start - автоматически открывает страницу HijackThis Quick Start (краткое ознакомление с программой на английском языке).
Non of the above, just start the program - ничего из вышеперечисленного, простой запуск программы.
hijackthis - обычный запуск.
hijackthis /autolog - сканирование, с автоматическим сохранением и открытием лога.
hijackthis /uninstall - деинсталляция HijackThis.
hijackthis /autolog - сканирование, с автоматическим сохранением и открытием лога.
hijackthis /uninstall - деинсталляция HijackThis.
Анализ лога.
С элементами лога возможны следующие манипуляции:
- Удаление: отмечаем нужную строчку галочкой и нажимаем на кнопку "Fix сhecked".
Если удаляемый элемент каким-либо образом касается браузера, то его (браузер) обязательно предварительно нужно закрыть.
- Занесение в игнор-лист (касается элементов в надежности которых вы уверены): отмечаем нужную строчку галочкой и нажимаем на кнопку "Add checked to ignorelist".
Элементы, занесенные в игнор-лист, в дальнейших отчетах отображаться не будут.
Основной принцип при анализе лога: удаление элементов, о существовании которых вы до недавнего времени и не предполагали (при условии, что вы достаточно хорошо знакомы со своей операционной системой). И занесение в игнор-лист "проверенных" приложений, установленных исключительно вами.
Если вы чувствуете себя недостаточно опытным, просто выложите лог программы с просьбой помочь.
Каждая строчка в логе HijackThis начинается со своего определенного обозначения (названия секции).
Краткие характеристики секций:
R0, R1, R2, R3 - изменения основных настроек Internet Explorer.
F0, F1, F2, F3 - автозапуск программ из ini-файлов и эквивалентных мест реестра.
N1, N2, N3, N4 - изменения начальной и поисковой страниц Netscape/Mozilla.
O1 - изменения в файле Hosts.
O2 - плагины и расширения браузера (BHO/Browser Helper Objects).
O3 - дополнительные панели инструментов браузера (Internet Explorer Тoolbars).
O4 - автозапуск программ из реестра и папки Startup.
O5 - блокирование доступа к Свойствам Обозревателя (Internet Options) через Панель Управления.
O6 - запрет на изменение некоторых Свойств Обозревателя (Internet Options).
O7 - отключение доступа к Regedit.
O8 - дополнительные пункты контекстного меню Internet Explorer.
O9 - дополнительные кнопки и сервисы на главной панели Internet Explorer.
O10 - Winsock LSP (Layered Service Provider/поставщик многоуровневых услуг).
O11 - новая группа настроек в Свойствах Обозревателя (Internet Options).
O12 - плагины Internet Explorer.
O13 - префиксы IE.
O14 - изменения в файле iereset.inf.
O15 - веб-сайты и протоколы, добавленные в зону Надежные узлы (Trusted Zone).
O16 - программы, загруженные с помощью ActiveX (подкаталог WINDOWS\Downloaded Program Files).
O17 - изменения домена или DNS сервера.
O18 - изменения существующих протоколов и фильтров.
O19 - шаблон стиля (Style Sheet) пользователя.
O20 - уведомления Winlogon (Winlogon Notify) и модули инициализации (App Init DLLs) для Windows XP/2000/2003.
O21 - объекты загрузки оболочки (SSODL/Shell Service Object Delay Load).
O22 - задачи Планировщика Windows (Shared Task Scheduler).
O23 - службы Windows NT/Microsoft Windows.
_____________________________________________
Секции R0, R1, R2, R3. Изменения основных настроек Internet Explorer.
R0 - ваша домашняя страница (загружающаяся при старте IE) и поисковый ассистент браузера (Search Assistant).
R1 - настройки, связанные с интернет-поиском, плюс некоторые другие характеристики (IE Window Title; ProxyServer, ProxyOverride в настройках IE, Internet Connection Wizard: ShellNext и др.).
R2 - эта секция на данный момент не используется.
R3 - URL Search Hook - перехватчик поиска, который используется браузером для автоматического определения протокола (httр://; ftp:// и т.д.) в тех случаях, когда вы указывайте адрес веб-сайта без него.
Некоторые используемые ключи реестра:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main: Start Page
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Start Page
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main, Search Page
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Search Page
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main, Default_Page_URL
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Default_Page_URL
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search, SearchAssistant
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search, CustomizeSearch
HKCU\SOFTWARE\Microsoft\Internet Explorer\Search, CustomizeSearch
HKCU\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchURL, Default
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Window Title
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Search Bar
HKCU\SOFTWARE\Microsoft\Internet Connection Wizard, ShellNext
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings, ProxyServer
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
Как это выглядит в логе:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - C:\PROGRA~1\Toolbar\toolbar.dll
R3 - Default URLSearchHook is missing
Действие HijackThis при удалении строчки из этой секции: удаление соответствующей информации из реестра.
___________________________________________________
Секции N1, N2, N3, N4. Изменения начальной и поисковой страниц Netscape/Mozilla.
N1 - стартовая и поисковая страницы для Netscape 4.
N2 - стартовая и поисковая страницы для Netscape 6.
N3 - стартовая и поисковая страницы для Netscape 7.
N4 - стартовая и поисковая страницы для Mozilla.
Информация об этих настройках во всех 4-ех случаях хранится в файле с названием prefs.js.
Как это выглядит в логе:
N1 - Netscape 4: user_pref "browser.startup.homepage", "www.coolwwwsearch.com"); (C:\Program Files\Netscape\Users\default\prefs.js)
Действие HijackThis: удаление соответствующей информации из файла prefs.js.
_______________________________________________________________
Секция O1. Изменения в файле Hosts.
Файл Hosts участвует в процессе определения IP адреса сервера по его имени, и модификация этого файла может привести к нарушению данного процесса и подмене адреса любого хоста. Поэтому обнаружение в нем посторонних записей, особенно связанных с популярными поисковыми системами или антивирусными продуктами, однозначно свидетельствует о деятельности вредоносной программы.
По умолчанию в нем должна быть только одна строчка: 127.0.0.1 localhost (плюс комментарии, начинающиеся со знака #). Все остальное можно стирать.
Открыть и отредактировать файл Hosts можно любым текстовым редактором (например, Блокнот/Notepad), и по умолчанию он находится здесь:
Для Windows 95/98/ME: C:\WINDOWS\Hosts
Для Windows 2000/NT: C:\WINNT\system32\drivers\etc\Hosts
Для Windows 2003/XP/Vista/7: C:\WINDOWS\system32\drivers\etc\Hosts
Также имейте в виду, что его местоположение может быть изменено вредоносной программой с помощью следующего ключа реестра (HijackThis об этом сообщает):
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters, DatabasePath
Как это выглядит в логе:
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: <TITLE>404 Not Found</TITLE>
O1 - Hosts file is located at C:\Windows\Help\hosts
Действие HijackThis: удаление соответствующей записи в файле Hosts.
______________________________________________________________
Секция O2. Плагины и расширения браузера (BHO/Browser Helper Objects).
BHO представляют собой dll-библиотеки, которые каждый раз загружаются вместе с браузером, из-за чего их присутствие в системе долгое время может быть незаметным (большинство файрволов в этом случае тоже бессильны, так как с их точки зрения обмен с интернетом ведет процесс браузера).
Просмотреть полный список этих библиотек в Windows можно следующим образом (при условии, что версия IE не ниже шестой):
Свойства Обозревателя > закладка Программы и кнопка Надстройки (Internet Options > закладка Programs и кнопка Manage Add-ons).
Используемый ключ реестра:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
Как это выглядит в логе:
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\cbxyvtq.dll
O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet7_22.dll
Действие HijackThis: удаление как информации из реестра (включая раздел CLSID), так и вредоносного файла.
________________________________________________________________
Секция O3. Дополнительные панели инструментов браузера (Internet Explorer Тoolbars).
По своим функциям и поведению очень похожи на BHO, но помимо скрытой работы, как правило, добавляют в браузер еще и дополнительную панель инструментов (Google, Яндекс и так далее).
Видимость этих панелей регулируется в верхнем меню IE:
Вид > Панели инструментов (View > Тoolbars)
Используемый ключ реестра:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar
Как это выглядит в логе:
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Program Files\ISTbar\istbar.dll
O3 - Toolbar: Alexa - {3CEFF6CD-6F08-4e4d-BCCD-FF7415288C3B} - C:\WINDOWS\system32\SHDOCVW.DLL
Действие HijackThis: удаление информации из реестра (файлы тулбаров необходимо удалить после вручную).
______________________________________________________________________
Секция O4. Автозапуск программ из реестра и папки Startup.
Просмотреть список программ, запускающихся подобным образом, используя средства Windows, можно с помощью утилиты msconfig:
Пуск > Выполнить; вписать msconfig; нажать ОК; и в открывшемся приложении последняя закладка - Автозагрузка
(Start > Run; вписать msconfig; нажать ОК; и в открывшемся приложении последняя закладка - StartUp)
Используемые ключи реестра:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
Startup: C:\Documents and Settings\имя пользователя\Start Menu\Programs\Startup
Global: C:\Documents and Settings\All Users\Start Menu\Programs\Startup
Как это выглядит в логе:
O4 - HKCU\..\Run: [Windows Security Protocol] win32sprot.exe
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spooIsv.exe
O4 - HKLM\..\RunServices: [Fire Well service] sdtersx.exe
O4 - Startup: mIRC IRC.BY.lnk = C:\Program Files\mIRC\mirc.exe
O4 - Global Startup: MSupdate.exe
Действие HijackThis: удаление записи в реестре/ярлыка из соответствующей папки (для предотвращения последующего автоматического запуска данного приложения).
Некоторые строчки этой секции HijackThis не удаляет, если соответствующая программа на данный момент активна. В этом случае необходимо предварительно завершить её процесс через Диспетчер Задач/Task Manader.
__________________________________________________________
Секция O5. Блокирование доступа к Свойствам Обозревателя (Internet Options) через Панель Управления (Control Panel).
В Windows это возможно сделать, добавив соответствующую запись в системный файл:
C:\WINDOWS\control.ini
Как это выглядит в логе:
O5 - control.ini: inetcpl.cpl=no
Действие HijackThis: удаление соответствующей записи в файле control.ini.
__________________________________________________________
Секция O6. Запрет на изменение некоторых Свойств Обозревателя (Internet Options).
Используемый ключ реестра:
HKCU\SOFTWARE\Policies\Microsoft\Internet Explorer\Restrictions
Как это выглядит в логе:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
Имейте в виду, что подобные ограничения также могут устанавливаться некоторыми антивирусами/антитроянами (например, Spybot S&D).
Действие HijackThis: удаление информации из реестра для отменены соответствующего запрета.
_____________________________________________________________
Секция O7. Отключение доступа к Regedit.
Другими словами, это запрет на запуск утилиты Windows - regedit.exe, которая используется для редактирования реестра. С одинаковой вероятностью может быть установлен как администратором, так и вредоносной программой.
Используемый ключ реестра:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Может быть установлен как администратором, так и вредоносной программой.
Как это выглядит в логе:
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Действие HijackThis: удаление информации из реестра для отменены соответствующего запрета.
____________________________________________________
Секция O8. Дополнительные пункты контекстного меню Internet Explorer.
Это меню появляется, когда вы кликаете по какой-либо ссылке правой кнопкой мыши.
Используемый ключ реестра:
HKCU\SOFTWARE\Microsoft\Internet Explorer\MenuExt
Как это выглядит в логе:
O8 - Extra context menu item: Проверить ссылку Dr.Web - httр://www.drweb.com/online/drweb-online-ru.html
O8 - Extra context menu item: Mail to a Friend... - httр://client.alexa.com/holiday/scri...ons/mailto.htm
Действие HijackThis: удаление соответствующей информации из реестра.
________________________________________________________
Секция O9. Дополнительные кнопки и сервисы на главной панели IE.
Как правило, это всего лишь ссылки, которые не представляют особой опасности, пока вы на них не нажмете. И обычно при появлении новой кнопки появляется и новый сервис.
Все кнопки браузера более детальным образом можно посмотреть в верхнем меню IE:
Вид > Панели инструментов > Настройка (View > Тoolbars > Customize)
Инструменты же находятся здесь: Tools/Сервис
Используемые ключи реестра:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions
HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions
Как это выглядит в логе:
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - С:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - С:\Program Files\ICQLite\ICQLite.exe
Действие HijackThis: удаление соответствующей информации из реестра.
________________________________________________________
Секция O10. Winsock LSP (Layered Service Provider - поставщик многоуровневых услуг).
Winsock LSP обрабатывает данные, передаваемые по протоколу TCP/IP, который используется для связи с сетью и интернетом. И в процессе передачи/приема данных по этому протоколу информация последовательно проходит все установленные на компьютере LSP (представляют собой dll-библиотеки). Если один из этих файлов будет некорректно удален, то цепочка обработки нарушается, и работа по протоколу TCP/IP становится невозможной. Также в Winsock может быть добавлен посторонний файл, с помощью которого у кого-то появится возможность перехватывать ваши исходящие данные. И сразу нужно заметить, что многие антивирусы и файрволы могут вполне "законно" находится в этой секции (например, Dr.Web, Sygate Firewall, Mcafee Personal Firewall).
Как это выглядит в логе:
O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'mswsock.dll' missing
O10 - Unknown file in Winsock LSP: c:\windows\system32\msspi.dll
Действие HijackThis: для восстановления цепи обработки TCP/IP рекомендуется использовать программу LSP-Fix, а не HijackThis.
________________________________________________________
Секция O11. Новая группа настроек в Свойствах Обозревателя (Internet Options), в закладке Дополнительно (Advanced).
С помощью следующего ключа реестра в закладку Дополнительно (Advanced) действительно возможно добавить совершенно новую группу настроек.:
HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions
Как это выглядит в логе:
O11 - Options group: [CommonName] CommonName
O11 - Options group: [TB] Toolbar
Действие HijackThis: удаление соответствующей информации из реестра.
____________________________________________________
Секция O12. Плагины Internet Explorer.
Это программы, которые загружаются вместе с IE, чтобы добавить браузеру некоторые функциональные возможности (например, просмотрщик PDF).
Используемый ключ реестра:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Plugins
Как это выглядит в логе:
O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
Действие HijackThis: удаление как информации из рееста, так и вредоносного файла.
____________________________________________
Секция O13. Префиксы IE.
Префикс здесь - это то, что ваш браузер автоматически добавляет в тех случаях, когда вы не указываете протокол (httр://; ftр:// и т.д.) в адресе какого-либо веб-сайта. То есть, если вы ввели google.com, а префикс, установленный по умолчанию в вашей системе перед этим был изменен, например, на httр://ehttp.cc/?, браузер откроет страницу httр://ehttp.cc/?google.com.
Используемые ключи реестра:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefix
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix
Как это выглядит в логе:
O13 - DefaultPrefix: httр://ehttp.cc/?
O13 - WWW Prefix: httр://www.nkvd.us/1507/
Действие HijackThis: сбрасывание значений префиксов на стандартные.
_____________________________________________
Секция O14. Изменения в файле iereset.inf.
Когда вы используете кнопку сбрасывания настроек браузера, IE использует следующий системный файл (для Windows XP):
С:\WINDOWS\inf\iereset.inf
Если информация в нем будет изменена, то операция восстановления начальных настроек IE обычным способом будет невозможна.
Как это выглядит в логе:
O14 - IERESET.INF: START_PAGE_URL=httр://portal/
O14 - IERESET.INF: START_PAGE_URL=httр://www.searchalot.com
Действие HijackThis: удаление соответствующей информации из файла iereset.inf.
___________________________________________________
Секция O15. Веб-сайты и протоколы, добавленные в зону Надежные узлы (Trusted Zone).
Используемый ключи в реестре:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults
Как это выглядит в логе:
O15 - Trusted Zone: *.masspass.com
O15 - Trusted Zone: httр://update.randhi.com (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)
Действие HijackThis: удаление сайта/протокола из зоны Надежные узлы Trusted Zone.
_______________________________________________
Секция O16. Программы, загруженные с помощью ActiveX.
ActiveX - это компонент (.dll или .ocx), благодаря которому достигается лучшее взаимодействие с определенным веб-сайтом (к примеру, очень многие антивирусные он-лайн сканирования работают именно через ActiveX; обновления Microsoft; система webmoney и т.д.). Вредоносные же ActiveX-компоненты обычно устанавливаются для последующей загрузки дополнительного программного обеспечения без вашего ведома.
Используемый ключ реестра:
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units
Или папка:
C:\WINDOWS\Downloaded Program Files
Как это выглядит в логе:
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} (loader Class) - httр://217.73.66.1/del/loader.cab
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - httр://www.180searchassistant.com/180saax.cab
Действие HijackThis: удаление вредоносного компонента и информации о нем в системном реестре.
_______________________________________________________________
Секция O17. Изменения домена или DNS сервера.
Как это выглядит в логе:
O17 - HKLM\SYSTEM\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O17 - HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
Действие HijackThis: удаление соответствующего ключа из реестра.
________________________________________________
Секция O18. Изменения существующих протоколов и фильтров.
Используемые ключи реестра:
HKLM\SOFTWARE\Classes\PROTOCOLS
HKLM\SOFTWARE\Classes\CLSID
HKLM\SOFTWARE\Classes\PROTOCOLS\Handler
HKLM\SOFTWARE\Classes\PROTOCOLS\Filter
Как это выглядит в логе:
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}
O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINDOWS\httpfilter.dll
O18 - Protocol: about - {53B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\System32\msxmlpp.dll
Действие HijackThis: удаление соответствующего ключа из реестра.
___________________________________________________________
Секция O19. Шаблон Стиля (Style Sheet) пользователя.
Это ваш шаблон, в котором записана информация о цветах, шрифтах, расположении и некоторых других параметрах рассматриваемых в браузере страниц.
Используемый ключ реестра:
HKCU\SOFTWARE\Microsoft\Internet Explorer\Styles: User Stylesheets
Как это выглядит в логе:
O19 - User stylesheet: C:\WINDOWS\Web\win.def
O19 - User stylesheet: C:\WINDOWS\default.css
Действие HijackThis: удаление соответствующей информации из реестра.
_____________________________________________________
Секция O20. Уведомления Winlogon (Winlogon Notify) и модули инициализации (App Init DLLs)
Модули инициализации (App Init DLLs) загружаются в каждое Windows-приложение, использующее библиотеку user32.dll (а её используют практически все):
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs
А также ключи Winlogon Notify (dll-библиотека в таком случае загружается вместе с процессом winlogon.exe):
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
Как это выглядит в логе:
O20 - AppInit_DLLs: C:\WINDOWS\System32\dbgwin.dll
O20 - Winlogon Notify: Group Policy - C:\WINDOWS\system32\h0n0la5m1d.dll
Действие HijackThis: удаление соответствующей информации из реестра.
____________________________________________
Секция O21. Объекты загрузки оболочки (SSODL/Shell Service Object Delay Load).
Библиотеки, которые при каждом старте системы автоматически загружаются как расширения проводника (вместе с процессом еxplorer.exe), используя ключ ShellServiceObjectDelayLoad:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
Как это выглядит в логе:
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
Действие HijackThis: удаление соответствующей записи из реестра.
________________________________________________________
Секция O22. Задачи Планировщика Windows (Shared Task Scheduler).
Планировщик Задач Windows отвечает за автоматический запуск определённых программ в установленное вами время.
Используемый ключ в реестре:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
Как это выглядит в логе:
O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - C:\Windows\system32\mtwirl32.dll
Действие HijackThis: удаление соответствующего задания.
_________________________________________________
Секция O23. Службы Windows NT/Microsoft Windows.
Службы/Сервисы - это приложения, запускаемые в фоновом режиме во время загрузки системы или при возникновении определенных событий и обеспечивающие основные функциональные возможности ОС. Как правило, службы не имеют графического интерфейса, поэтому их работа в большинстве своем не заметна для пользователя. Любая служба может быть запущена автоматически при загрузке операционной системы и начать работу еще до того, как пользователь произведет вход в Windows.
Просмотреть список всех служб, установленных на компьютере, можно следующим образом:
Пуск > Выполнить; вписать services.msc; нажать ОК
(Start > Run; вписать services.msc; нажать ОК)
Как это выглядит в логе:
O23 - Service: Power Manager - Unknown - C:\WINDOWS\svchost.exe
O23 - Service: K4NV - Unknown owner - C:\WINDOWS\k4nv.exe
Действие HijackThis: остановка службы и изменение Типа её Запуска (StartUp Type) на Отключено (Disabled).
Если же есть желание удалить службу, то это осуществляется несколькими способами:
С помощью командной строки:
Пуск > Выполнить; вписать sc delete имя службы; нажать ОК
(Start > Run; вписать sc delete имя службы; нажать ОК)
Через реестр:
HKLM\SYSTEM\CurrentControlSet\Services
HKLM\SYSTEM\ControlSet001\Services
HKLM\SYSTEM\ControlSet002\Services
HKLM\SYSTEM\ControlSet003\Services
HKLM\SYSTEM\ControlSet004\Services
HKLM\SYSTEM\ControlSet005\Services
_________________________________
Раздел Misc Tools.
Generate StartupList log - генерировать отчет об Автозагрузке.
После нажатия на эту кнопку HijackThis автоматически выдаст текстовый файл (startuplist.txt) с анализом практически всех способов автозапуска каких-либо приложений вашей операционной системы:
- папки Startup и All Users Startup;
- стандартные ключи реестра, отвечающие за автозагрузку;
- параметр Userinit (HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit);
- ассоциации расширений .EXE, .COM, .BAT, .PIF, .SCR, .HTA, .TXT;
- перечисление Active Setup stub paths (HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components);
- перечисление автозагружающихся приложений ICQ (HKCU\SOFTWARE\Mirabilis\ICQ\Agent\Apps);
- автозапуск из ini-файлов или эквивалентных им мест реестра;
- проверка на видимость следующих расширений: .lnk, .pif, .exe, .com, .bat, .hta, .scr, .shs, .shb, .vbs, .vbe, .wsh, .scf, .url, .js, .jse;
- проверка на наналичие файла еxplorer.exe в нескольких папках;
- проверка на оригинальность файла regedit.exe;
- BHO;
- назначенные задания Планировщика Задач;
- папка Download Program Files;
- перечесление файлов Winsock LSP;
- список служб Microsoft Windows;
- перечесление скриптов Windows NT logon/logoff;
- расширения еxplorer.exe (ShellServiceObjectDelayLoad)
_________________________________________________
Open Process Manager - открыть Менеджер Процессов.
______________________
Open Hosts file Manager - открыть Менеджер файла Hosts.
Менеджер файла Hosts позволяет просмотреть содержимое этого файла с возможностью удаления любой из его строк:
Delete line(s) - удалить строку(строки).
Toggle line(s) - добавить или убрать в начале строки(строк) знак # (строки, начинающиеся с этого знака, считаются комментарием и не читаются операционной системой).
Open in Notepad - открыть файл Hosts в Блокноте.
_____________________
Delete a file on Reboot - удалить файл во время перезагрузки системы.
С помощью этой функции вы можете выбрать любой файл Windows, который необходимо удалить во время следующей перезагрузки системы. После этого сразу же будет запрос, желаете ли вы перезагрузить компьютер сейчас или нет.
____________________
Delete an NT service - удалить службу Microsoft Windows.
При нажатии на эту кнопку откроется окошко, в которое нужно скопировать или ввести точное название удаляемой службы. Службу предварительно, естественно, необходимо остановить и изменить тип её запуска на "Отключено" ("Disabled").
____________________
Open ADS Spy - открыть встроенную в HijackThis утилиту ADS Spy.
ADS (Alternate Data Streams) - "альтернативные потоки данных" - появились в Windows с введением файловой системы NTFS и, в сущности, были созданы для обеспечения совместимости с HFS (Hierarchical File System - устаревшая файловая система Macintosh). Суть организации HFS состоит в раздвоении файла на файл данных и файл ресурсов. В файле данных находится содержимое документа, а в файле ресурсов - идентификатор типа файла и другие свойства. Нечто подобное стало возможным и в Windows (говоря простым языком, присоединение к видимым файлам абсолютно невидимых), и спустя какое-то время некоторые вирусописатели взяли себе это на вооружение.
ADS нельзя просмотреть, используя стандартные методы (через командную строку или с помощью Windows Explorer), и очень немногие антивирусы способны их обнаруживать (а для тех, кто способен, в любом случае необходима дополнительная настройка). Поэтому в целях собственной безопасности рекомендуется время от времени использовать специальные утилиты, созданные именно для обнаружения и удаления файлов, использующих альтернативные потоки данных. ADS Spy - как раз одна из таких утилит:
Назначение основных кнопок:
Scan - сканирование на наличие в системе ADS.
Save log - сохранить отчет (adsspy.txt).
Remove selected - удалить выбранные.
__________________________________
Open Uninstall Manager - открыть Менеджер Деинсталляций.
Менеджер Деинсталляций позволяет:
- Просмотреть список программ, находящийся также в "Установка и удаление программ" ("Add or Remove Programs") Windows.
- Видеть команду деинсталляции каждой программы.
- Деинсталлировать любую программу с помощью кнопки "Delete this entry".
- Добавить новую команду деинсталляции любой из программ с помощью кнопки "Edit uninstall command".
- Открыть приложение "Установка и удаление программ" ("Add or Remove Programs") Windows нажатием кнопки "Open Add/Remove Software list"
- Сохранить весь список программ в текстовый файл (uninstall_list.txt). Для этого нажимаем на кнопку "Save list..."
__________________________________________________
Advanced settings.
Дополнительные настройки сканирования HijackThis:
Calculate MD5 of files if possible - вычислять при сканировании контрольные суммы MD5 у тех файлов, у которых это возможно.
Как это выглядит в логе:
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\saIE.dll (filesize 514264 bytes, MD5 A572BB8B39C5C06381CB2A27340855A1)
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp (filesize 33280 bytes, MD5 DA285490BBD8A1D0CE6623577D5BA1FF)
_______________________________________________
Include enviroment variables in logfile - включить в лог переменные окружающей среды ОС.
Как это выглядит в логе:
Windows folder: C:\WINDOWS
System folder: C:\WINDOWS\SYSTEM32
Hosts file: C:\WINDOWS\System32\drivers\etc\hosts
_______________________________________________
Update check - проверка обновлений программы.
Uninstall HijackThis - деинсталляция HijackThis.
_______________________________________________
Анализ лог-файлов, программы онлайн.
HijackThis Logfile Analyzer
HijackThis Log Auto Analyzer V2
Help2Go Detective
Prevx HijackThis Log Analyzer
Spy And Seek HijackThis Log Analyzer
ExeLibrary HijackThis Log Analyzer
__________________
Источник