Как сделать лог hijackthis
regist
гоняюсь за туманом
Вступление.
HiJackThis изначально создавался Мерийном Беллекомом (Merijn Bellekom) как инструмент для обнаружения и удаления различного рода троянских программ, перенастраивающих параметры браузера и других приложений системы без ведома пользователя и впоследствии программа получила очень широкое распространение. В 2007 году HiJackThis был куплен антивирусной компанией Trend Micro и в 2012 Trend Micro выпустила HiJackThis в свободное плавание, опубликовав его как open source. Код, написанный на Visual Basic, теперь официально доступен на SourceForge. На сегодняшний день логи HiJackThis уже давно принято считать своеобразным информационным стандартом в рамках многочисленных конференций, посвященных компьютерной безопасности.
Предупреждение.
HiJackThis рассчитан на более-менее опытных пользователей, имеющих представление о том, как работает ОС Windows, так как программа в первую очередь позволяет вносить изменения во многие участки операционной системы. И неумелое их редактирование может повлечь за собой серьезные последствия для ОС.
Поэтому, пожалуйста, будьте предельно осторожны при использовании HiJackThis, и в случае, если вы чувствуете себя недостаточно опытным, прежде чем удалять что-либо, попробуйте поискать информацию об удаляемом элементе в интернете или же проконсультируйтесь со знающим человеком. Если вы подозреваете, что заражены вирусом, то можете обратиться за помощью в раздел Лечение компьютерных вирусов, мы поможем вам справиться с вирусом.
Назначение.
Основное назначение программы: обнаружение и исправление изменений в настройках наиболее уязвимых областей операционной системы. А главная её функция заключается в автоматическом исследовании этих областей и выводе собранной информации в виде удобного лога (отчёта).
Важно понимать, что в программе нет какой-либо базы данных по вредоносным программам, поэтому последующий анализ содержимого своего лога HiJackThis не предполагает. И решение об удалении какого-либо компонента может принять только сам пользователь.
Особенности:
HiJackThis совершенно бесплатен.
Размер программы: немного более 300 Кб.
Не выдвигает каких-либо особых системных требований.
Нуждается в минимальном количестве ресурсов компьютера.
Любое сканирование программы занимает всего несколько секунд.
Не обменивается информацией с сетью и интернетом, поэтому для использования не требуются какие-либо дополнительные настройки файрвола.
Как использовать HiJackThis?
HijackThis может быть скачан как в виде автономной версии состоящей из одного единственного исполняемого файла, так и в виде MSI инсталлятора. Автономная версия позволяет сохранить и запустить HiJackThis.exe почти из любой папки, в то время как программа установки устанавливает HijackThis в определенном месте и создаёт ярлыки на рабочем столе и меню пуск для запуска этого файла. При использовании автономной версии нельзя запускать её из временной папки (Temp), так как файлы резервных копий не будут сохранены. Для того, чтобы избежать удаления ваших резервных копий, пожалуйста, перед запуском сохраните исполняемый файл в отдельную удобную для вас папку (чтобы вы потом могли без труда её найти). Файлы резервных копий будут сохранены в папке backups рядом с исполняемым файлом программы.
__________________________________________________________________
Скачать HiJackThis [v2.0.5] можно по следующим адресам:
HiJackThis
Утилита HiJackThis(HJT)
HijackThis
Add. последнюю тестовую версию HiJackThis fork (SZ team) можете найти в составе AutoLogger-а.
Если вы скачали программу в архиве, её нужно обязательно распаковать, так как при запуске HiJackThis из архива резервные копии удаляемых элементов не будут сохранены (происходит запуск из Temp). На системах Windows Vista, Windows 7 и выше администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите «Да». Если этого не сделать HiJackThis не сможет получить доступ к некоторым элементам и предупредит Вас об этом при запуске сканирования
после нажатия кнопки Ок продолжится сканирование. В логе могут отсутствовать некоторые пункты.
Стартовое окошко программы:
И назначения кнопок, на нем расположенных:
Как сделать лог hijackthis
Внимание! Исправленная и дополненная версия справки находится тут: https://safezone.cc/threads/hijackth. vodstvo.25184/
Информация в этой теме оставлена лишь для общего ознакомления.
Обновление Hijackthis от стороннего разработчика Dragokas
Вступление
HijackThis изначально создавался Мерийном Беллекомом (Merijn Bellekom) как инструмент для обнаружения и удаления различного рода троянских программ, перенастраивающих параметры браузера и других приложений системы без ведома пользователя; и впоследствии программа получила очень широкое распространение.
На сегодняшний день логи HijackThis уже давно принято считать своеобразным информационным стандартом в рамках многочисленных конференций, посвященных компьютерной безопасности.
Предупреждение.
HijackThis рассчитан на более-менее опытных пользователей, имеющих представление о том, как работает ОС Windows, так как программа в первую очередь позволяет вносить изменения во многие участки операционной системы. И неумелое их редактирование может повлечь за собой серьезные последствия для ОС.
Поэтому, пожалуйста, будьте предельно осторожны при использовании HijackThis, и в случае, если вы чувствуете себя недостаточно опытным, прежде чем удалять что-либо, попробуйте поискать информацию об удаляемом элементе в интернете или же проконсультируйтесь со знающим человеком.
Назначение.
Основное назначение программы: обнаружение и исправление изменений в настройках наиболее уязвимых областей операционной системы. А главная её функция заключается в автоматическом исследовании этих областей и вывода собранной информации в виде удобного лога (отчёта).
Важно понимать, что в программе нет какой-либо базы данных по вредоносным программам, поэтому последующий анализ содержимого своего лога HijackThis не предполагает. И решение об удалении какого-либо компонента может принять только сам пользователь.
Особенности:
• HijackThis совершенно бесплатен.
• Вес программы: чуть более 200 Кб.
• Не выдвигает каких-либо особых системных требований.
• Для работы нуждается в минимальном количестве ресурсов компьютера.
• Любое сканирование программы занимает всего несколько секунд.
• Не обменивается информацией с сетью и интернетом, поэтому для использования не требуются какие-либо дополнительные настройки файрвола.
Скачать HijackThis можно по следующим адресам:
HijackThis.msi
Загрузить HijackThis с Sourceforge.net
HijackThis 1.99.1
Далее программу обязательно нужно распаковать, так как при запуске из архивного файла HijackThis не сможет создавать резервные копии удаляемых элементов.
Инсталляция для начала работы не требуется, поэтому, для своего же удобства, поместите папку HijackThis в такое место, которое вы в последствии без труда сможете снова найти.
Стартовое окошко программы:
Анализ лога.
С элементами лога возможны следующие манипуляции:
— Удаление: отмечаем нужную строчку галочкой и нажимаем на кнопку «Fix сhecked».
Если удаляемый элемент каким-либо образом касается браузера, то его (браузер) обязательно предварительно нужно закрыть.
— Занесение в игнор-лист (касается элементов в надежности которых вы уверены): отмечаем нужную строчку галочкой и нажимаем на кнопку «Add checked to ignorelist».
Элементы, занесенные в игнор-лист, в дальнейших отчетах отображаться не будут.
Основной принцип при анализе лога: удаление элементов, о существовании которых вы до недавнего времени и не предполагали (при условии, что вы достаточно хорошо знакомы со своей операционной системой). И занесение в игнор-лист «проверенных» приложений, установленных исключительно вами
Секции R0, R1, R2, R3.
Изменения основных настроек Internet Explorer.
Некоторые используемые ключи реестра:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main: Start Page
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Start Page
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main, Search Page
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Search Page
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main, Default_Page_URL
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Default_Page_URL
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search, SearchAssistant
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search, CustomizeSearch
HKCU\SOFTWARE\Microsoft\Internet Explorer\Search, CustomizeSearch
HKCU\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchURL, Default
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Window Title
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Search Bar
HKCU\SOFTWARE\Microsoft\Internet Connection Wizard, ShellNext
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings, ProxyServer
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
Действие HijackThis при удалении строчки из этой секции: удаление соответствующей информации из реестра (далее по тексту этот пункт будет обозначатся сокращенно: Действие HijackThis).
Секции F0, F1, F2, F3.
Автозапуск программ из ini-файлов.
Действие HijackThis: удаление соответствующей записи из ini-файла/реестра (для предотвращения последующего автоматического запуска данного приложения).
Действие HijackThis: удаление соответствующей информации из файла prefs.js.
Изменения в файле Hosts.
Файл Hosts участвует в процессе определения IP адреса сервера по его имени, и модификация этого файла может привести к нарушению данного процесса и подмене адреса любого хоста. Поэтому обнаружение в нем посторонних записей, особенно связанных с популярными поисковыми системами или антивирусными продуктами, однозначно свидетельствует о деятельности вредоносной программы.
По умолчанию в нем должна быть только одна строчка: 127.0.0.1 localhost (плюс комментарии, начинающиеся со знака #). Все остальное можно стирать.
Открыть и отредактировать файл Hosts можно любым текстовым редактором (например, Блокнот/Notepad), и по умолчанию он находится здесь:
Для Windows 95/98/ME: C:\WINDOWS\Hosts
Для Windows 2000/NT: C:\WINNT\system32\drivers\etc\Hosts
Для Windows 2003/XP: C:\WINDOWS\system32\drivers\etc\Hosts
Также имейте в виду, что в Windows NT/2000/XP его местоположение может быть изменено вредоносной программой с помощью следующего ключа реестра (HijackThis об этом сообщает):
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters, DatabasePath
Действие HijackThis: удаление соответствующей записи в файле Hosts.
Плагины и расширения браузера (BHO/Browser Helper Objects).
BHO представляют собой dll-библиотеки, которые каждый раз загружаются вместе с браузером, из-за чего их присутствие в системе долгое время может быть незаметным (большинство файрволов в этом случае тоже бессильны, так как с их точки зрения обмен с интернетом ведет процесс браузера).
Просмотреть полный список этих библиотек в Windows можно следующим образом (при условии, что версия IE не ниже шестой):
Свойства Обозревателя > закладка Программы и кнопка Надстройки (Internet Options > закладка Programs и кнопка Manage Add-ons).
Используемый ключ реестра:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
Действие HijackThis: удаление как информации из реестра (включая раздел CLSID), так и вредоносного файла.
Дополнительные панели инструментов браузера (Internet Explorer Тoolbars).
По своим функциям и поведению очень похожи на BHO, но помимо скрытой работы, как правило, добавляют в браузер еще и дополнительную панель инструментов примерно следующего типа (google берем как пример, чтобы было понятнее, о чем идет речь):
Видимость этих панелей регулируется в верхнем меню IE:
Вид > Панели инструментов (View > Тoolbars)
Используемый ключ реестра:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar
Действие HijackThis: удаление информации из реестра (вредоносные файлы необходимо удалить после, вручную).
Используемые ключи реестра:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
И папки (для Windows XP):
Startup: C:\Documents and Settings\имя пользователя\Start Menu\Programs\Startup
Global: C:\Documents and Settings\All Users\Start Menu\Programs\Startup
Действие HijackThis: удаление записи в реестре/ярлыка из соответствующей папки (для предотвращения последующего автоматического запуска данного приложения).
Некоторые строчки этой секции HijackThis не удаляет, если соответствующая программа на данный момент активна. В этом случае необходимо предварительно завершить её процесс через Диспетчер Задач/Task Manader.
Блокирование доступа к Свойствам Обозревателя (Internet Options) через Панель Управления (Control Panel).
В Windows это возможно сделать, добавив соответствующую запись в системный файл:
C:\WINDOWS\control.ini
Эта функция иногда используется администраторами.
Действие HijackThis: удаление соответствующей записи в файле control.ini.
Отключение доступа к Regedit.
Используемый ключ реестра:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Может быть установлен как администратором, так и вредоносной программой.
Действие HijackThis: удаление информации из реестра для отменены соответствующего запрета.
Дополнительные пункты контекстного меню Internet Explorer.
Это меню появляется, когда вы кликаете по какой-либо ссылке правой кнопкой мыши:
Используемый ключ реестра:
HKCU\SOFTWARE\Microsoft\Internet Explorer\MenuExt
Действие HijackThis: удаление соответствующей информации из реестра.
HijackThis
Материал из WikiTorrents
Содержание
Базовая информация
HijackThis — небольшая программа для обнаружения и удаления вредоносного ПО. Логи этой программы принято считать своеобразным информационным стандартом в рамках многочисленных конференций, посвящённых компьютерной безопасности. HijackThis изначально создавался Мерийном Беллекомом (Merijn Bellekom) как инструмент для обнаружения и удаления различного рода троянских программ, перенастраивающих параметры браузера и других приложений системы без ведома пользователя; и впоследствии программа получила очень широкое распространение.
HijackThis рассчитан на более-менее опытных пользователей, имеющих представление о том, как работает ОС Windows, так как программа в первую очередь позволяет вносить изменения во многие участки операционной системы. И неумелое их редактирование может повлечь за собой серьезные последствия для ОС.
Поэтому, пожалуйста, будьте предельно осторожны при использовании HijackThis, и в случае, если вы чувствуете себя недостаточно опытным, прежде чем удалять что-либо, попробуйте поискать информацию об удаляемом элементе в интернете или же проконсультируйтесь со знающим человеком.
Основное назначение программы: обнаружение и исправление изменений в настройках наиболее уязвимых областей операционной системы. А главная её функция заключается в автоматическом исследовании этих областей и вывода собранной информации в виде удобного лога (отчёта). Важно понимать, что в программе нет какой-либо базы данных по вредоносным программам, поэтому последующий анализ содержимого своего лога HijackThis не предполагает. И решение об удалении какого-либо компонента может принять только сам пользователь.
• HijackThis совершенно бесплатен. • Вес программы: чуть более 200 Кб. • Не выдвигает каких-либо особых системных требований. • Для работы нуждается в минимальном количестве ресурсов компьютера. • Любое сканирование программы занимает всего несколько секунд. • Не обменивается информацией с сетью и интернетом, поэтому для использования не требуются какие-либо дополнительные настройки файрвола.
Начало работы
Назначения кнопок, на нем расположенных:
Плюс немного забегая вперед, сразу дам параметры для запуска «Джека» из командной строки:
Анализ лога
С элементами лога возможны следующие манипуляции:
— Удаление: отмечаем нужную строчку галочкой и нажимаем на кнопку «Fix сhecked».
Если удаляемый элемент каким-либо образом касается браузера, то его (браузер) обязательно предварительно нужно закрыть.
— Занесение в игнор-лист (касается элементов в надежности которых вы уверены): отмечаем нужную строчку галочкой и нажимаем на кнопку «Add checked to ignorelist».
Элементы, занесенные в игнор-лист, в дальнейших отчетах отображаться не будут.
Основной принцип при анализе лога: удаление элементов, о существовании которых вы до недавнего времени и не предполагали (при условии, что вы достаточно хорошо знакомы со своей операционной системой). И занесение в игнор-лист «проверенных» приложений, установленных исключительно вами.
Каждая строчка в логе HijackThis начинается со своего определенного обозначения (названия секции). Начнем с их краткой характеристики и затем рассмотрим каждую из секций детально:
Секции R0, R1, R2, R3. Изменения основных настроек Internet Explorer
Некоторые используемые ключи реестра:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main: Start Page
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Start Page
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main, Search Page
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Search Page
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main, Default_Page_URL
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Default_Page_URL
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search, SearchAssistant
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search, CustomizeSearch
HKCU\SOFTWARE\Microsoft\Internet Explorer\Search, CustomizeSearch
HKCU\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchURL, Default
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Window Title
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Search Bar
HKCU\SOFTWARE\Microsoft\Internet Connection Wizard, ShellNext
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings, ProxyServer
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
Как это выглядит в логе:
Действие HijackThis при удалении строчки из этой секции: удаление соответствующей информации из реестра.
Секции F0, F1, F2, F3. Автозапуск программ из ini-файлов
Речь идет о следующих системных файлах и записях:
C:\WINDOWS\system.ini
C:\WINDOWS\win.ini
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping
Действие HijackThis: удаление соответствующей записи из ini-файла/реестра (для предотвращения последующего автоматического запуска данного приложения).
Секции N1, N2, N3, N4. Изменения начальной и поисковой страниц Netscape/Mozilla
Информация об этих настройках во всех 4-ех случаях хранится в файле с названием prefs.js.
Действие HijackThis: удаление соответствующей информации из файла prefs.js.
Секция O1. Изменения в файле Hosts
Файл Hosts участвует в процессе определения IP адреса сервера по его имени, и модификация этого файла может привести к нарушению данного процесса и подмене адреса любого хоста. Поэтому обнаружение в нем посторонних записей, особенно связанных с популярными поисковыми системами или антивирусными продуктами, однозначно свидетельствует о деятельности вредоносной программы.
По умолчанию в нем должна быть только одна строчка: 127.0.0.1 localhost (плюс комментарии, начинающиеся со знака #). Все остальное можно стирать.
Открыть и отредактировать файл Hosts можно любым текстовым редактором (например, Блокнот/Notepad), и по умолчанию он находится здесь:
Для Windows 95/98/ME: C:\WINDOWS\Hosts
Для Windows 2000/NT: C:\WINNT\system32\drivers\etc\Hosts
Для Windows 2003/XP/Vista/7: C:\WINDOWS\system32\drivers\etc\Hosts
Также имейте в виду, что его местоположение может быть изменено вредоносной программой с помощью следующего ключа реестра (HijackThis об этом сообщает):
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters, DatabasePath
Действие HijackThis: удаление соответствующей записи в файле Hosts.
Секция O2. Плагины и расширения браузера (BHO/Browser Helper Objects)
BHO представляют собой dll-библиотеки, которые каждый раз загружаются вместе с браузером, из-за чего их присутствие в системе долгое время может быть незаметным (большинство файрволов в этом случае тоже бессильны, так как с их точки зрения обмен с интернетом ведет процесс браузера).
Просмотреть полный список этих библиотек в Windows можно следующим образом (при условии, что версия IE не ниже шестой):
Свойства Обозревателя > закладка Программы и кнопка Надстройки (Internet Options > закладка Programs и кнопка Manage Add-ons).
Используемый ключ реестра:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
Действие HijackThis: удаление как информации из реестра (включая раздел CLSID), так и вредоносного файла.
Секция O3. Дополнительные панели инструментов браузера (Internet Explorer Тoolbars)
По своим функциям и поведению очень похожи на BHO, но помимо скрытой работы, как правило, добавляют в браузер еще и дополнительную панель инструментов примерно следующего типа (google берем как пример, чтобы было понятнее, о чем идет речь):
Видимость этих панелей регулируется в верхнем меню IE:
Вид > Панели инструментов (View > Тoolbars) Используемый ключ реестра: HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar
Действие HijackThis: удаление информации из реестра (вредоносные файлы необходимо удалить после, вручную).
Секция O4. Автозапуск программ из реестра и папки Startup
Используемые ключи реестра:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
Startup: C:\Documents and Settings\имя пользователя\Start Menu\Programs\Startup
Global: C:\Documents and Settings\All Users\Start Menu\Programs\Startup
Действие HijackThis: удаление записи в реестре/ярлыка из соответствующей папки (для предотвращения последующего автоматического запуска данного приложения).
Некоторые строчки этой секции HijackThis не удаляет, если соответствующая программа на данный момент активна. В этом случае необходимо предварительно завершить её процесс через Диспетчер Задач/Task Manader.
Секция O5. Блокирование доступа к Свойствам Обозревателя (Internet Options) через Панель Управления (Control Panel)
В Windows это возможно сделать, добавив соответствующую запись в системный файл:
C:\WINDOWS\control.ini
Действие HijackThis: удаление соответствующей записи в файле control.ini.
Секция O6. Запрет на изменение некоторых Свойств Обозревателя (Internet Options)
Используемый ключ реестра:
HKCU\SOFTWARE\Policies\Microsoft\Internet Explorer\Restrictions
Имейте в виду, что подобные ограничения также могут устанавливаться некоторыми антивирусами/антитроянами (например, Spybot S&D).
Действие HijackThis: удаление информации из реестра для отменены соответствующего запрета.
Секция O7. Отключение доступа к Regedit
Используемый ключ реестра:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Может быть установлен как администратором, так и вредоносной программой.
Действие HijackThis: удаление информации из реестра для отменены соответствующего запрета.
Секция O8. Дополнительные пункты контекстного меню Internet Explorer
Это меню появляется, когда вы кликаете по какой-либо ссылке правой кнопкой мыши.
Используемый ключ реестра:
HKCU\SOFTWARE\Microsoft\Internet Explorer\MenuExt
Действие HijackThis: удаление соответствующей информации из реестра.
Секция O9. Дополнительные кнопки и сервисы на главной панели IE
Как правило, это всего лишь ссылки, которые не представляют особой опасности, пока вы на них не нажмете. И обычно при появлении новой кнопки появляется и новый сервис.
Все кнопки браузера более детальным образом можно посмотреть в верхнем меню IE:
Вид > Панели инструментов > Настройка (View > Тoolbars > Customize)
Инструменты же находятся здесь: Tools/Сервис
Используемые ключи реестра:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions
HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions
Действие HijackThis: удаление соответствующей информации из реестра.
Winsock LSP обрабатывает данные, передаваемые по протоколу TCP/IP, который используется для связи с сетью и интернетом. И в процессе передачи/приема данных по этому протоколу информация последовательно проходит все установленные на компьютере LSP (представляют собой dll-библиотеки). Если один из этих файлов будет некорректно удален, то цепочка обработки нарушается, и работа по протоколу TCP/IP становится невозможной. Также в Winsock может быть добавлен посторонний файл, с помощью которого у кого-то появится возможность перехватывать ваши исходящие данные. И сразу нужно заметить, что многие антивирусы и файрволы могут вполне «законно» находится в этой секции (например, Dr.Web, Sygate Firewall, Mcafee Personal Firewall).
Действие HijackThis: для восстановления цепи обработки TCP/IP рекомендуется использовать программу LSP-Fix, а не HijackThis.
Секция O11. Новая группа настроек в Свойствах Обозревателя (Internet Options), в закладке Дополнительно (Advanced)
С помощью следующего ключа реестра в закладку Дополнительно (Advanced) действительно возможно добавить совершенно новую группу настроек.:
HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions
Действие HijackThis: удаление соответствующей информации из реестра.
Секция O12. Плагины Internet Explorer
Это программы, которые загружаются вместе с IE, чтобы добавить браузеру некоторые функциональные возможности (например, просмотрщик PDF).
Используемый ключ реестра:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Plugins
Действие HijackThis: удаление как информации из рееста, так и вредоносного файла.
Секция O13. Префиксы IE
Используемые ключи реестра:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefix
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix
Действие HijackThis: сбрасывание значений префиксов на стандартные.
Секция O14. Изменения в файле iereset.inf
Когда вы используете кнопку сбрасывания настроек браузера, IE использует следующий системный файл (для Windows XP):
С:\WINDOWS\inf\iereset.inf
Если информация в нем будет изменена, то операция восстановления начальных настроек IE обычным способом будет невозможна.
Действие HijackThis: удаление соответствующей информации из файла iereset.inf.
Секция O15. Веб-сайты и протоколы, добавленные в зону Надежные узлы (Trusted Zone)
Используемый ключи в реестре:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults
Действие HijackThis: удаление сайта/протокола из зоны Надежные узлы Trusted Zone.
Секция O16. Программы, загруженные с помощью ActiveX
Используемый ключ реестра:
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units
Или папка:
C:\WINDOWS\Downloaded Program Files
Действие HijackThis: удаление вредоносного компонента и информации о нем в системном реестре.
Секция O17. Изменения домена или DNS сервера
Действие HijackThis: удаление соответствующего ключа из реестра.
Секция O18. Изменения существующих протоколов и фильтров
Используемые ключи реестра:
HKLM\SOFTWARE\Classes\PROTOCOLS
HKLM\SOFTWARE\Classes\CLSID
HKLM\SOFTWARE\Classes\PROTOCOLS\Handler
HKLM\SOFTWARE\Classes\PROTOCOLS\Filter
Действие HijackThis: удаление соответствующего ключа из реестра.
Секция O19. Шаблон Стиля (Style Sheet) пользователя
Это ваш шаблон, в котором записана информация о цветах, шрифтах, расположении и некоторых других параметрах рассматриваемых в браузере страниц.
Используемый ключ реестра:
HKCU\SOFTWARE\Microsoft\Internet Explorer\Styles: User Stylesheets
Действие HijackThis: удаление соответствующей информации из реестра.
Секция O20. Уведомления Winlogon (Winlogon Notify) и модули инициализации (App Init DLLs)
Модули инициализации (App Init DLLs) загружаются в каждое Windows-приложение, использующее библиотеку user32.dll (а её используют практически все):
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs
А также ключи Winlogon Notify (dll-библиотека в таком случае загружается вместе с процессом winlogon.exe):
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
Действие HijackThis: удаление соответствующей информации из реестра.
Секция O21. Объекты загрузки оболочки (SSODL/Shell Service Object Delay Load)
Библиотеки, которые при каждом старте системы автоматически загружаются как расширения проводника (вместе с процессом еxplorer.exe), используя ключ ShellServiceObjectDelayLoad:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
Действие HijackThis: удаление соответствующей записи из реестра.
Секция O22. Задачи Планировщика Windows (Shared Task Scheduler)
Планировщик Задач Windows отвечает за автоматический запуск определённых программ в установленное вами время.
Используемый ключ в реестре:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
Действие HijackThis: удаление соответствующего задания.
Секция O23. Службы Windows NT/Microsoft Windows
Просмотреть список всех служб, установленных на компьютере, можно следующим образом:
Пуск > Выполнить; вписать services.msc; нажать ОК
(Start > Run; вписать services.msc; нажать ОК)
Действие HijackThis: остановка службы и изменение Типа её Запуска (StartUp Type) на Отключено (Disabled).
Если же есть желание удалить службу, то это осуществляется несколькими способами:
С помощью командной строки:
Пуск > Выполнить; вписать sc delete имя службы; нажать ОК
(Start > Run; вписать sc delete имя службы; нажать ОК)
Через реестр:
HKLM\SYSTEM\CurrentControlSet\Services
HKLM\SYSTEM\ControlSet001\Services
HKLM\SYSTEM\ControlSet002\Services
HKLM\SYSTEM\ControlSet003\Services
HKLM\SYSTEM\ControlSet004\Services
HKLM\SYSTEM\ControlSet005\Services
Раздел Misc Tools
Менеджер Процессов позволяет просмотреть список всех запущенных процессов системы. В отличие от Диспетчера Задач (Task Manager) Windows, HijackThis сразу показывает точное местоположение каждого файла:
С помощью этой функции вы можете выбрать любой файл Windows, который необходимо удалить во время следующей перезагрузки системы. После этого сразу же будет запрос, желаете ли вы перезагрузить компьютер сейчас или нет.
При нажатии на эту кнопку откроется окошко, в которое нужно скопировать или ввести точное название удаляемой службы. Службу предварительно, естественно, необходимо остановить и изменить тип её запуска на «Отключено» («Disabled»).
Менеджер Деинсталляций позволяет:
— Просмотреть список программ, находящийся также в «Установка и удаление программ» («Add or Remove Programs») Windows.
— Видеть команду деинсталляции каждой программы.
— Деинсталлировать любую программу с помощью кнопки «Delete this entry».
— Добавить новую команду деинсталляции любой из программ с помощью кнопки «Edit uninstall command».
— Открыть приложение «Установка и удаление программ» («Add or Remove Programs») Windows нажатием кнопки «Open Add/Remove Software list»
— Сохранить весь список программ в текстовый файл (uninstall_list.txt). Для этого нажимаем на кнопку «Save list. «
Advanced settings
Как это выглядит в логе:
Windows folder: C:\WINDOWS
System folder: C:\WINDOWS\SYSTEM32
Hosts file: C:\WINDOWS\System32\drivers\etc\hosts