Saule Опубликовано 1 марта, 2006 Жалоба Поделиться Опубликовано 1 марта, 2006 Saule: привет! хотелось бы научиться , так же хорошо разбираться в логах от HijackThis , может поделишься секретом? Разное в жизни бывает, своими ручками уметь делать - просто замечательно. Заранее , спасибо Эта просьба меня слегка озадачила Потому что с одной стороны, разобраться в логе совсем не сложно (всё, что твоё (принадлежит системе) - значит твоё; всё, что не твоё - значит чужое); гораздо сложнее понимать, что именно с каждым таким "чужим" делать, чтобы как можно корректнее он него избавиться; а с другой стороны, там столько всяких нюансов, которые начинаешь чувствовать только со временем (опыт :D)... и, наверное, проще будет для таких обьяснений открыть новый топик, посвященный HijackThis... К тому же количество вредоносных программ неуклонно растет... поэтому, если есть желание заниматься этой сферой серьезно, необходимо быть в курсе подобных разнообразных "новинок"... Если же желание не серьезное, просто лишь для себя, то можно поступить примерно следующим образом. Самостоятельно делаешь или находишь логи HijackThis и те строчки, которые тебе там не понятны, копируй и спрашивай конкретно о них. А я постараюсь обьяснить, что они означают, как можно подробнее. Ссылка на комментарий Поделиться на другие сайты Поделиться
1-0 Опубликовано 1 марта, 2006 Жалоба Поделиться Опубликовано 1 марта, 2006 (изменено) Эта просьба меня слегка озадачила Потому что с одной стороны, разобраться в логе совсем не сложно (всё, что твоё (принадлежит системе) - значит твоё; всё, что не твоё - значит чужое); гораздо сложнее понимать, что именно с каждым таким "чужим" делать, чтобы как можно корректнее он него избавиться; а с другой стороны, там столько всяких нюансов, которые начинаешь чувствовать только со временем (опыт :D)... и, наверное, проще будет для таких обьяснений открыть новый топик, посвященный HijackThis... К тому же количество вредоносных программ неуклонно растет... поэтому, если есть желание заниматься этой сферой серьезно, необходимо быть в курсе подобных разнообразных "новинок"... Если же желание не серьезное, просто лишь для себя, то можно поступить примерно следующим образом. Самостоятельно делаешь или находишь логи HijackThis и те строчки, которые тебе там не понятны, копируй и спрашивай конкретно о них. А я постараюсь обьяснить, что они означают, как можно подробнее. Привет! Еще раз хотелось бы сказать большое человеческое Спасибо Saule за отзывчивость и профессиональную помощь :( И тоже хотела бы присоединиться к просьбе snejinka :) Я понимаю, что обо всем на форуме рассказать невозможно и физически, и в силу ограниченности времени, но хотелось бы немножко пополнить свой запас знаний в области защиты и безопасности :) Читая топик, на интуитивном уровне кое-что понятно и мне лично еще очень помогает в чтении логов Справочник процессов Windows, но коль скоро Saule разрешила спрашивать о непонятных строчках лога HijackThis, то, если можно я хотела бы кое-что спросить :) Saule, скажите пожалуйста, что означают в логе строковые обозначения (например, R0, O17) ? Я лишь могу предположить, что это имеет отношение к определенным ветвям реестра, но мне кажется, что тут что-то еще... Или это может быть такая специфическая нумерация именно HijackThis. Еще вот такой вопрос. Здесь кусочек моего лога HijackThis. Вы не могли бы пояснить, что это означает? Вроде бы безобидное, но мне не совсем ясно, о чем говорят эти строчки: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = NOT USED (OK) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = NOT USED (OK) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = NOT USED (OK) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = NOT USED (OK) Вот это мне показалось невесть откуда взявшимся, хотя у меня установлен Excel, но я им совсем не пользуюсь ... что это? O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll - за что отвечает эта библиотека? Это как-то связано с сетевыми настройками или сетевой картой или я ошибаюсь? К сожалению, я не смогла найти информацию об этом И еще один вопрос: я где-то читала, что есть такие вирусы, которые встраивают себя в какой-либо процесс Windows и, как я предполагаю, их обнаружить и обезвредить иногда бывает сложно. Но, наверно, есть какие-то признаки в логе, если такой встроенный в процесс Windows вирус вдруг появился в системе? Я понимаю, что невозможно рассказать всю эту тему, но, может быть, на каком-нибудь примере пояснить... хотя бы в двух словах, чтобы иметь представление. Много всего получилось, я заранее извиняюсь за "чайниковые" вопросы :) и что пишу всё это в данном топике, т.к. не знаю будет ли создан отдельный топик для таких вопросов. Вопросы эти, конечно же, не "горящие", ничего кроме личного интереса :) Заранее спасибо! :) Изменено 1 марта, 2006 пользователем 1-0 Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 2 марта, 2006 Автор Жалоба Поделиться Опубликовано 2 марта, 2006 Saule, скажите пожалуйста, что означают в логе строковые обозначения (например, R0, O17) ? Я лишь могу предположить, что это имеет отношение к определенным ветвям реестра, но мне кажется, что тут что-то еще... Или это может быть такая специфическая нумерация именно HijackThis. Верно, это именно специфическая нумерация программы HijackThis. То есть каждая строчка в логе HijackThis начинается со своего определенного обозначения (названия секции). Вот они кратко (заранее извиняюсь, что не могу некоторые секции перевести на русский, но на английском они должны быть более менее понятны; если нет, то спрашивайте, постраюсь обьяснить, что это и где находиться): R0, R1, R2, R3 - Изменения в реестре, касающиеся начальной и поисковых страниц Internet Explorer N1, N2, N3, N4 - Изменения в реестре, касающиеся начальной и поисковых страниц Netscape/Mozilla F0, F1, F2, F3 - Автозагрузка программ и приложений из ini-файлов O1 - Изменения в файле Hosts O2 - (BHO) Browser Helper Objects O3 - Internet Explorer Тoolbars O4 - Автозагрузка программ из реестра или Startup O5 - Опции Internet Explorer невидимые на Панели Управления O6 - Опции Internet Explorer, ограниченные Администратором (Policies) O7 - Доступ к Regedit, ограниченный Администратором (Policies) O8 - Дополнительные пункты Internet Explorer в "right-click" меню O9 - Дополнительные кнопки на главной панели инструментов IE O10 - Winsock O11 - Дополнительные опции в расширенном меню загрузки IE O12 - Плагины Internet Explorer O13 - IE Default Prefixes O14 - Изменения в файле IERESET.INF O15 - Сайты, добавленные в Trusted Zone O16 - Файлы, загруженные с помощью ActiveX O17 - Домен (Domain) O18 - Перечисление существующих протоколов и фильтров O19 - Style Sheet пользователя O20 - AppInit_DLLs O21 - (SSODL) Shell Service Object Delay Load O22 - Shared Task Scheduler (Планировщик задач) O23 - Сервисы Windows NT Еще вот такой вопрос. Здесь кусочек моего лога HijackThis. Вы не могли бы пояснить, что это означает? Вроде бы безобидное, но мне не совсем ясно, о чем говорят эти строчки:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = NOT USED (OK) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = NOT USED (OK) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = NOT USED (OK) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = NOT USED (OK) Написано, что поисковые страницы IE не используются. Но чем это вызвано, я не знаю. Есть два варианта, либо это сделала какая-нибудь программа, отвечающая за безопасность компьютера, либо кто-то чужой Чтобы это выяснить, нужно видеть весь лог. Вот это мне показалось невесть откуда взявшимся, хотя у меня установлен Excel, но я им совсем не пользуюсь ... что это?O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 (Extra context menu item) - дополнительные пункты Internet Explorer в "right-click" меню. Обьясню на конкретном примере, чтобы стало понятнее, где это находиться. Например, в моём логе HijackThis в секции O8 есть такая строчка: O8 - Extra context menu item: Проверить ссылку Dr.Web - http://www.drweb.com/online/drweb-online-ru.html Это означает, что, если я по какой-либо ссылке кликну правой кнопкой мыши, то в появившемся меню у меня будет пункт "Проверить ссылку Dr.Web" скрин: Теперь стало понятно что это такое? Соответственно у тебя в этом меню будет пункт - Экспорт в Microsoft Excel, и это нормально. Но если тебе это совершенно не нужно, то пофикси. O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll - за что отвечает эта библиотека? Это как-то связано с сетевыми настройками или сетевой картой или я ошибаюсь? Название файла: igfxsrvc.dll Процесс: Intel Graphics Accelerator Helper Module Автор: Intel Corp Часть от: Intel Multimedia Связь с вирусами: На данный момент вирусов, использующих этот файл, не существует (тьфу, тьфу, тьфу ) Краткое описание: библиотека, поддерживающая Intel Graphics Accelerators Helper. Это существенный процесс, который не должен быть остановлен. На последний вопрос чуть позже... 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
1-0 Опубликовано 3 марта, 2006 Жалоба Поделиться Опубликовано 3 марта, 2006 Saule Всё очень доходчиво и вполне понятно. Большое спасибо за разъяснение Еще вот такой вопрос. Здесь кусочек моего лога HijackThis. Вы не могли бы пояснить, что это означает? Вроде бы безобидное, но мне не совсем ясно, о чем говорят эти строчки:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = NOT USED (OK) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = NOT USED (OK) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = NOT USED (OK) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = NOT USED (OK) Написано, что поисковые страницы IE не используются. Но чем это вызвано, я не знаю. Есть два варианта, либо это сделала какая-нибудь программа, отвечающая за безопасность компьютера, либо кто-то чужой smile.gif Чтобы это выяснить, нужно видеть весь лог. Мне кажется, что поисковые страницы блокирует Avast! "Кажется", потому что я хоть и начала потихонечку разбираться в логах HijackThis, но, конечно же, многого еще не знаю Вот мой лог. Я его сама тоже просмотрела. Вроде бы всё моё, чужого не увидела :shock_1: Буду благодарна, если Вы в свободное время глянете на него :) Logfile of HijackThis v1.99.1 Scan saved at 21:39:53, on 02.03.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\hkcmd.exe C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Google\Gmail Notifier\gnotify.exe C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\Program Files\Unlocker\UnlockerAssistant.exe C:\Program Files\AnVir Task Manager\AnVir.exe C:\Program Files\Punto Switcher\ps.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\QIP\qip.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Documents and Settings\нина\Рабочий стол\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = NOT USED (OK) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = NOT USED (OK) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = NOT USED (OK) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = NOT USED (OK) R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Program Files\Common Files\ReGet Shared\Catcher.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program Files\ReGetDx\iebar.dll O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [unlockerAssistant] C:\Program Files\Unlocker\UnlockerAssistant.exe O4 - HKCU\..\Run: [AnVir Task Manager] "C:\Program Files\AnVir Task Manager\AnVir.exe" Minimized O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe O4 - Startup: Rainlendar.lnk = C:\Program Files\Rainlendar\Rainlendar.exe O4 - Startup: Total Commander.lnk = C:\Program Files\Total Commander\Totalcmd.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Download All by FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm O8 - Extra context menu item: Download using FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm O8 - Extra context menu item: Закачать &все при помощи ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_All.htm O8 - Extra context menu item: Закачать при помощи Re&Get Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_Link.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1138545811600 O17 - HKLM\System\CCS\Services\Tcpip\..\{8679D1EF-468F-4A22-BB07-8A5A88F98A48}: NameServer = 87.240.1.1,87.240.1.2 O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe Ссылка на комментарий Поделиться на другие сайты Поделиться
snejinka Опубликовано 3 марта, 2006 Жалоба Поделиться Опубликовано 3 марта, 2006 На самом деле , я уже давно при малейших подозрениях пользуюсь следующим сайтом : http://www.hijackthis.de/en делаешь лог и копируешь его в окошечко , жмешь на кнопку analyze . И быстро и приятно тебе объясняют про все строчки из лога. Единственная проблема заключается в том, что надо уметь читать по-английски или на одном из языков, предложенных на этом сайте . Поэтому мне и было интересно , знает ли Saule про этот весьма популярный сайт,часто упоминающийся на англоязычных компьютерных форумах. Подробнейшие инструкции к расшифровке логов ( даже со скриншотами ), опять же на английском, но очень просто и доходчиво: http://www.spywareinfo.com/~merijn/htlogtutorial.html http://www.bleepingcomputer.com/tutorials/tutorial42.html http://www.pchell.com/support/hijackthistutorial.shtml - по этой ссылке, помимо детального объяснения стандартных значений лога ,объясняется как удаляются всевозможные проблемы , найденные Hijackthis. Но это так сказать, для тех ,кто хочет самостоятельно научиться лечиться :shock_1: Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 3 марта, 2006 Автор Жалоба Поделиться Опубликовано 3 марта, 2006 Мне кажется, что поисковые страницы блокирует Avast! "Кажется", потому что я хоть и начала потихонечку разбираться в логах HijackThis, но, конечно же, многого еще не знаю Вот мой лог. Я его сама тоже просмотрела. Вроде бы всё моё, чужого не увидела Буду благодарна, если Вы в свободное время глянете на него Эти ключики связаны, скорее всего, вот с этим: O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present И у вас всё в порядке Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 4 марта, 2006 Автор Жалоба Поделиться Опубликовано 4 марта, 2006 Поэтому мне и было интересно , знает ли Saule про этот весьма популярный сайт,часто упоминающийся на англоязычных компьютерных форумах. :D Знаю, конечно :) Изначально идея у сайта была очень хорошая, но её вытеснил тот факт, что голова в любом случае всегда будет лучше машины. Плюс там были небольшие конфликты по поводу обслуживания сайта и его датабаз, и как последствие этого, датабазы были немного запущены и до сих пор они так, как надо, не чистились. Дело в том, что на данный момент "рейтинг" любого пункта HijackThis (т.е. степень его безопасности) может повышать/понижать кто угодно - обыкновенные поситители. Понимаете, что это значит? :) Если нет, то я могу обьяснить... Например, если вы написали троян и начали его распостранение, что вам мешает зайти на этот сайт и поднять рейтинг своей вредосной программы до полностью безопасной? Для этого вам нужен всего лишь только компьютер, интернет и немного свободного времени. Но это еще полбеды. Так как, такими вещами (подниманием рейтинга безопасности именно в нехороших целях), как ни странно, занимаются очень немногие. Чаще ошибки на этом сайте появляются по вине тех, кто, наоборот, хочет помочь. Но люди, которые действительно могут обьективно и, главное, верно оценить насколько безопасен тот или иной файл/процесс уже слишком редко посещают этот сайт и еще реже оставляют там свои комментарии ;) Сайт посещается и обслуживается (большая его часть) обычными юзерами, которые достаточно часто допускают ошибки. Могу поспорить по этому поводу и доказать на конкретных примерах. Поэтому полагатся на этот сайт целиком и полностью, к сожалению нельзя. Его можно использовать только лишь, как своего рода помошника. Подробнейшие инструкции к расшифровке логов ( даже со скриншотами ), опять же на английском, но очень просто и доходчиво:http://www.spywareinfo.com/~merijn/htlogtutorial.html http://www.bleepingcomputer.com/tutorials/tutorial42.html http://www.pchell.com/support/hijackthistutorial.shtml - по этой ссылке, помимо детального объяснения стандартных значений лога ,объясняется как удаляются всевозможные проблемы , найденные Hijackthis. Что касается обьяснений по удалению потенциальных проблем, то лучше из этих ссылок использовать не последнюю, а первую. Там всё то же самое, только это первоисточник и информация своевременно обновляется (если вдруг появляются какие-либо изменения), чего нельзя сказать о http://www.pchell.com (очень много рекомендаций этого сайта уже устаревшие, а следовательно не совсем корректные, поэтому для повышения знаний в сфере компьютерной безопасности в целом этот сайт не советуется).А о http://www.bleepingcomputer.com могу сказать очень много всего только хорошего. Если есть желание учиться на английских источниках, то это действительно подходит. И кстати, раз уж разговор об этом зашел, я там тоже регулярно пишу, в первую очередь в разделе "HijackThis Logs and Analysis" :) Поэтому не только знаю, но и активно учавствую. Просто, насколько я успела заметить, в России даже для программ с двумя кнопками люди почему-то часто просят руссификаторы... поэтому мне кажется, посылать на английские форумы, говоря: "ищите там, там всё есть", несколько некорректно (но как вариант можно, я не спорю). Хотелось сделать приятно именно русскоязычным людям :) Ссылка на комментарий Поделиться на другие сайты Поделиться
1-0 Опубликовано 4 марта, 2006 Жалоба Поделиться Опубликовано 4 марта, 2006 (изменено) Изначально идея у сайта была очень хорошая, но её вытеснил тот факт, что голова в любом случае всегда будет лучше машины. Я полностью это поддерживаю. Об этой ссылке я раньше не знала, и, действительно, этот сервис может служить своего рода подспорьем. Хотя, когда я проверяла свой лог HijackThis, в отчете было очень много unknown параметров, что, конечно же неудивительно, потому что любой лог специфичен - у каждого пользователя так или иначе бывает установлено специфическое ПО, которое ни один автоанализатор не определит однозначно. И человека, который очень далек от таких вещей, может даже сбить с толку автоотчет. А вот примеры пользования HijackThis я почитала с большим интересом :D Saule Спасибо :) У меня еще есть один небольшой вопрос. В логах HijackThis иногда встречаются строки, в конце которых указывается (file missing). Читая тему "Помощь в лечении систем от нечисти" я видела, что такие строки Вы рекомендуете к удалению. Т.е. строки, в конце которых есть "file missing" обозначают, что файла в системе нет, на который ссылается такой ключ реестра или параметр? Абсолютно ли все такие ключи можно безоговорочно фиксить? Или все-таки есть какие-то исключения? Изменено 4 марта, 2006 пользователем 1-0 Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 5 марта, 2006 Автор Жалоба Поделиться Опубликовано 5 марта, 2006 (изменено) У меня еще есть один небольшой вопрос.В логах HijackThis иногда встречаются строки, в конце которых указывается (file missing).Читая тему "Помощь в лечении систем от нечисти" я видела, что такие строки Вы рекомендуете к удалению. Т.е. строки, в конце которых есть "file missing" обозначают, что файла в системе нет, на который ссылается такой ключ реестра или параметр? Абсолютно ли все такие ключи можно безоговорочно фиксить? Или все-таки есть какие-то исключения? Верно, любой ключ, заканчивающийся "file missing", можно смело пытаться пофиксить (другое дело, что HijackThis не всегда может удалить такие ключи), так как файла, на который ссылается такой ключ действительно уже нет в системе, и запись о нем в реестре уже не нужна. Но такие ключи могут очень о многом рассказать, поэтому на них обязательно нужно обращать своё внимание. Иногда они появляются, когда вирус был удален, но удален не совсем корректно (а возможно и не до конца). Например, если в логе будет примерно следующее: O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing) То компьютер обязательно нужно проверить на наличие вируса Hidrag/Jeefo/HiddenDragon (так как либо с вирусом боролись совсем недавно и эта запись просто еще не успела стать зачищенной; либо вирус был побежден не до конца). Плюс некоторые вирусы могут выводить из строя главный антивирусный модуль (при этом далеко не все пользователи, как ни странно, это вообще замечают), и по логу HijackThis, благодаря "file missing", это сразу же становится видным (к вашему логу это не относится). И еще одна причина появления в логе подобных ключей - не совсем корректная деинсталяция какой-либо программы. Изменено 17 февраля, 2007 пользователем Saule Ссылка на комментарий Поделиться на другие сайты Поделиться
1-0 Опубликовано 24 марта, 2006 Жалоба Поделиться Опубликовано 24 марта, 2006 Saule, привет! У меня возник еще один вопрос по поводу значения такой строчки в логе. На всякий случай привожу лог полностью. А интересующую меня строчку я выделила жирным: Logfile of HijackThis v1.99.1 Scan saved at 19:49:46, on 24.03.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Unlocker\UnlockerAssistant.exe C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe C:\Program Files\AnVir Task Manager\AnVir.exe C:\Program Files\Punto Switcher\ps.exe C:\Program Files\Rainlendar\Rainlendar.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\msagent\AgentSvr.exe C:\PROGRA~1\FlashGet\flashget.exe C:\Program Files\Microsoft Office\Office10\EXCEL.EXE C:\Program Files\eMule\eMule.exe C:\Program Files\QIP\qip.exe C:\Documents and Settings\нина\Рабочий стол\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = NOT USED (OK) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = NOT USED (OK) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = NOT USED (OK) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = NOT USED (OK) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [unlockerAssistant] C:\Program Files\Unlocker\UnlockerAssistant.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [AnVir Task Manager] "C:\Program Files\AnVir Task Manager\AnVir.exe" Minimized O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe O4 - Startup: Rainlendar.lnk = C:\Program Files\Rainlendar\Rainlendar.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Download All by FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm O8 - Extra context menu item: Download using FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1138545811600 O17 - HKLM\System\CCS\Services\Tcpip\..\{8679D1EF-468F-4A22-BB07-8A5A88F98A48}: NameServer = 87.240.1.1,87.240.1.2 O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe И еще такое дело. Периодически я пользуюсь программой HideIP для скрытия своего IP с помощью прокси. Так вот, даже после отключения HideIP и даже после выключения/включения компьютера у меня остается такая строка в логе HijackThis: R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 216.228.253.4:80 Естественно, адрес прокси-сервера меняется, в зависимости, наверное, от того, к какому я подключалась последний раз. Меня просто смущает тот факт, что, как мне кажется, эта строка в логе должна иметь место только тогда, когда HideIP у меня активен. Но не тогда, когда он даже не фигурирует в активных процессах системы. Мне это немножко странно... или я ошибаюсь и это нормальная ситуация? По возможности, поясни, пожалуйста :D Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 25 марта, 2006 Автор Жалоба Поделиться Опубликовано 25 марта, 2006 Saule, привет!У меня возник еще один вопрос по поводу значения такой строчки в логе. На всякий случай привожу лог полностью. А интересующую меня строчку я выделила жирным: O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k Этот процесс нужен для записи отладочной информации при критических сбоях системы и экстренной перезагрузке, после которых он обычно и появляется в автозагрузке. Дословный перевод: Проверка Ошибки Ядра. Чтобы убрать: My Computer > Properties > Advanced > Startup and Recovery > Settings > Write debugging information И изменяем опцию с помощью стрелочки на (none) или Small memory dump. На русском: Свойства системы > Дополнительно > Загрузка и восстановление > Параметры > Запись отладочной информации Изменяем на (отсутствует) или Малый дамп памяти. И еще такое дело. Периодически я пользуюсь программой HideIP для скрытия своего IP с помощью прокси. Так вот, даже после отключения HideIP и даже после выключения/включения компьютера у меня остается такая строка в логе HijackThis:R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 216.228.253.4:80 Естественно, адрес прокси-сервера меняется, в зависимости, наверное, от того, к какому я подключалась последний раз. Меня просто смущает тот факт, что, как мне кажется, эта строка в логе должна иметь место только тогда, когда HideIP у меня активен. Но не тогда, когда он даже не фигурирует в активных процессах системы. Мне это немножко странно... или я ошибаюсь и это нормальная ситуация? Эта строка отображает ключ из реестра таким, какой он там на тот момент есть, не зависимо от того активна сейчас эта опция в настройках или нет. Можешь залезть в реестр и проверить: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings, ProxyServer Связано это с тем, что HijackThis обращает внимание в первую очередь на любые изменения в некоторых разделах реестра (это основной принцип работы программы). Если бы никаких изменений там не было, то он бы эти ключи не показывал (т.е. в этих секциях идет автоматическое отображение любых ключиков, которые вообще были изменены и отличаются от стандартных). Ссылка на комментарий Поделиться на другие сайты Поделиться
1-0 Опубликовано 25 марта, 2006 Жалоба Поделиться Опубликовано 25 марта, 2006 Saule: Всё понятно :sm(100): Большое спасибо! Ссылка на комментарий Поделиться на другие сайты Поделиться
Tuve Опубликовано 10 апреля, 2006 Жалоба Поделиться Опубликовано 10 апреля, 2006 A pocemu nigde net rasskaza voobce o vozmoznostjah etoj programmi. Cto ona umeet delatj? A to ja tak tolkom i ne ponjal dlja cego ona nuzna vsjo-taki. Mozet estj ssilka kakaju-nibudj, gde ob etom pocitatj mozno? Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 11 апреля, 2006 Автор Жалоба Поделиться Опубликовано 11 апреля, 2006 A pocemu nigde net rasskaza voobce o vozmoznostjah etoj programmi. Cto ona umeet delatj? A to ja tak tolkom i ne ponjal dlja cego ona nuzna vsjo-taki.Mozet estj ssilka kakaju-nibudj, gde ob etom pocitatj mozno? Программа показывает все потенциально критические места операционной системы, которые чаще всего используються вирусами и вредоносными программами. Сразу нужно предупредить, что прежде чем удалять что-либо из того, на что укажет HijackThis, нужно удостовериться в том, что вы понимаете что вы делаете. Потому как, если вы удалите что-нибудь нужное, проблем с вашим компьютером после этого может стать только больше. -------------------- Итак, вы скачали программу (поместить нужно в такое место, где вы потом легко сможите её найти, так как инсталляция там не требуется), распаковали и запустили. Начальный интерфейс представляет из себя несколько простых кнопок: Do a systemscan and save a logfile - Сделать сканирование и сохранить лог-файл (отчёт) По умолчанию лог сохраняется в папке программы с названием hijackthis.log Do a system scan only - Сделать только сканирование View the list of backups - Посмотреть список бэкапов (т.е. всё, что было вами удалено с помощью HijackThis автоматически в нём сохраняеться и всё это при необходимости еще можно вернуть, при условии что HijackThis был запущен вами не из .zip файла(!), а из желательно своей папки, которую можно назвать так, как вам нравиться). Папка с бэкапами появляеться сразу же после первого удаленного вами элемента; и она так и называется - backups. Open the Misc Tools selection - Открыть выбор других инструментов программы (об этом нужно по-подробнее, поэтому чуть позже) Open online HijackThis Quick Start - автоматически открывает страницу: HijackThis Quick Start (краткое ознакомление с этой программой) Non of the above, just start the program - Ничего из вышеперечисленного, простой запуск программы И последний пункт: Don't show this frame again when I start HijackThis - Больше не показывать этот фрейм при запуске HijackThis Отмечаеться галочкой в том случае, когда вы можете уже свободно использовать возможности этой программы и без этого начального фрейма. ------------ P.S. Сорри, убегаю :) Поэтому продолжим завтра. Ссылка на комментарий Поделиться на другие сайты Поделиться
Tuve Опубликовано 12 апреля, 2006 Жалоба Поделиться Опубликовано 12 апреля, 2006 A po chastjam budet daze lucshe, spasibo a to ssilki na russkoje rukovodstvo dlja etoj programmi vsjo nikak najti ne mogu :) I ece prostite cto ja vas tut vezde uze naprjagaju :) prosto reshil nabratj 20 postov, ctobi zakonnij plusik vam sdelatj a fluditj prosto tak ne delo, vot ja i povishaju svoi skudnii poznanija v etom dele :) Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 21 апреля, 2006 Автор Жалоба Поделиться Опубликовано 21 апреля, 2006 Итак, кнопка Open the Misc Tools selection После нажатия на неё перед вами появится модуль, состоящий из пяти разделов: StartupList - Автозагрузка System Tools - Системные Инструменты Advanced settings (these will not be saved) - Дополнительные настройки Update check - Проверка обновлений Uninstall HijackThis - Деинсталляция HijackThis Рассмотрим некоторые из них по-подробнее... --------------- Первый раздел - StartupList - представлен в программе всего лишь одной, но очень мощной кнопкой: Generate StartupList log (Генерировать отчет об Автозагрузке), напротив которой есть 2 пункта: List also minor selections (full) - Добавить в список все несущественные записи List empty selections (complete) - Добавить в список все пустые записи И если вам необходимо просмотреть всё то, что каждый раз загружается автоматически вместе с вашей операционной системой, то лучше, перед нажатием на эту кнопку, оба этих пункта всё-таки отметить галочкой, так как в таком случае отчет будет расширенным и наиболее полным. При нажатии выскочит предупреждение: This will create a list of all startup entries in the Registry and various Windows files and display them in Notepad. The process may take up to a few seconds on slow systems. It will in no way alter anything on your system. Do you want to continue? примерный перевод: Это создаст список всех записей автозапуска через Реестр и через различные файлы Windows; и покажет их в Блокноте. Из-за этого процесса вы можете на несколько секунд почувствовать замедление системы. Но это ни в коем случае ничего изменять в вашей системе не будет. Хотите ли вы продолжить? http://img159.imageshack.us/img159/126/untitled26xb1.jpg Через несколько секунд после нажатия на кнопку Yes, программа выдаст вам лог с анализом практически всех способов автозапуска, которые применяются различными вредоносными программами. Лог по умолчанию сохраняется в папке HijackThis с названием startuplist.txt И его структура уже несколько отличается от обычного лога программы. Немного о том, что в нём будет: Running processes - Процессы, запущенные в данный момент Listing of startup folders - Список папок автозапуска Windows NT UserInit Autorun entries from Registry - Все ключи Реестра, отвечающие за автозагрузку File association entry for .EXE, .COM, .BAT, .PIF, .SCR, .HTA, .TXT - Ассоциации этих расширенний Active Setup stub paths ICQ Agent Autostart apps Load/Run keys from C:\WINDOWS\WIN.INI - Ключи автозапуска из файла C:\WINDOWS\WIN.INI Shell & screensaver key from C:\WINDOWS\SYSTEM.INI - Ключи shell и скринсейвер из файла C:\WINDOWS\SYSTEM.INI Superhidden extensions - Показывает скрыты ли эти расширения в вашей операционной системе: .lnk, .pif, .exe, .com, .bat, .hta, .scr, .shs, .shb, .vbs, .vbe, .wsh, .scf, .url, .js, .jse EXPLORER.EXE instances - Проверяет наличие файла Explorer.exe в некоторых папках REGEDIT.EXE integrity - Проверяет являеться ли файл REGEDIT.ехе оригинальным Browser Helper Objects - BHO, модули расширения IE Task Scheduler - Назначенные задания Download Program Files - Папка Download Program Files Winsock LSP files Windows NT/2000/XP services - Список Служб Windows NT/2000/XP Windows NT logon/logoff scripts - Скрипты Windows NT logon/logoff ShellServiceObjectDelayLoad items - Пункты ShellServiceObjectDelayLoad --------------- Второй раздел - System Tools - и шесть очень полезных кнопок: Open process manager - Открыть менеджер процессов Open hosts file manager - Открыть менеджер файла hosts Delete a file on reboot - Удалить файл во время перезагрузки Delete an NT service - Удалить NT сервисс/службу Open ADS Spy - Открыть ADS Spy Open Uninstall Manager - Открыть менеджер деинсталляций 1) Open process manager - откроется нечто подобное, что можно видить в Task Manager (Диспетчер Задач) Windows в закладке Processes - просмотр списка запущенных процессов, но возможности HijackThis в этом плане гораздо превосходят возможности Диспетчерa Задач. Во-первых, с помощью HijackThis можно видеть не только само название файла, который отвечает за какой-либо процесс, но и сразу же его точное местоположение, что очень удобно. Во-вторых, если мы поставим галочку в верхнем правом углу, рядом с надписью Show DLLs (на скрине подчеркнуто красной линией), то у нас появится возможность видеть список всех DLL-файлы, которые используются любым из процессов. Более того, если мы нажмем на кнопку, обведенную на скрине красным цветом (Save list to file), то список всех запущенных процессов, вместе со списком DLL-файлов, интересующего нас процесса, можно сохранить в текстовый файл (по умолчанию сохраняется в папке HijackThis с названием processlist.txt). Или же кнопка рядом - Copy list to clipboard - автоматически скопирует эту информацию в память компьютера (дальше делаем просто "paste" в любом месте). Кликнув по любому файлу двойным кликом, мы автоматически откроем его Параметры (Properties). А с помощью кнопок Kill process, Refresh, Run соответственно возможно завершать, обновлять (весь список) и снова запускать любой из процессов. 2) Open hosts file manager - анализ и редактирование файла hosts. Файл hosts участвует в процессе определения IP адреса сервера по его имени. Модификация этого файла может привести к нарушению данного процесса и подмене адреса любого сервера. Поэтому обнаружение там посторонних записей, особенно связанных с популярными поисковыми системами или антивирусными продуктами, однозначно свидетельствует о деятельности какой-либо троянской программы. По умолчанию там должна быть только одна строчка: 127.0.0.1 localhost Все остальное можно стирать. Delete line(s) - Удалить строку/линию (строки/линии) Toggle line(s) - Добавит или уберёт в начале строки (строк) знак # Open in Notepad - Открыть в Блокноте Back - Вернуться назад 3) Delete a file on reboot - тут всё просто. При нажатии на эту кнопку выбираете любой файл, который необходимо удалить после перезагрузки, после чего вас спросят, желаете ли вы перезагрузить компьютер сейчас или нет. 4) Delete an NT service - редко где встречающаяся функция - удаление какого-либо NT сервисса/службы. При нажатии откроется окошко, в которое нужно скопировать из лога HijackThis ( название службы, которую вы желаете удалить и затем нажать на кнопку ОК. Единственное, перед этим службу обязательно необходимо остановить. Start > Run; вписать services.msc; нажать ОК. Найтив списке сервисов нужное, кликнуть по нему двойным кликом и в открывшемся приложении изменить StartUp Type на положение Disabled и, если возможно, нажать кнопку Stop. Сохранить изменения (Apply и ОК). И еще системные критические службы таким образом не удаляются, но это, наверное, только лишь плюс 5) Open ADS Spy - встроенная в HijackThis утилита ADS Spy. ADS (Alternate Data Streams) - дословный перевод: Дополнительные Потоки Данных. Другими словами это файлы/информация, скрытая от Windows, т.е. невидимая для Explorer.exe, а в некторых других проводниках, типа Total Commander, их размер всё равно будет равен 0. Некоторые вирусы используют ADS для того, чтобы прятать свои файлы и очень не многие программы могут найти их. Также нужно заметить, что не все файлы, невидиммые для Windows, обязательно являються вредоносными, поэтому пока вы не будите уверенными в обратном, удалять найденные ADS нельзя. Scan - Начать сканирование Save log - Сохранить лог (по умолчанию сохраняется в папке HijackThis с названием adsspy.txt). Remove selected - Удалить выбранные Back - Вернуться назад 6) Open Uninstall Manager - список программ, который находится: Control Panel > Add or Remove Programs Здесь возможно деинсталлировать какую-либо программу, добавив соответствующую команду и удалив её "entry" из вашей системы (Внимание: удаленную таким образом программу восстановить или вернуть без новой её инсталляции невозможно). При желании есть возможность сохранить список этих программ в текстовый файл (по умолчанию сохраняется в папке HijackThis с названием uninstall_list.txt). 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
Tuve Опубликовано 10 июня, 2006 Жалоба Поделиться Опубликовано 10 июня, 2006 Спасибо за полную консультацию и потраченное на это время. Хотел еще о такой вещи узнать тут. Если я что-нибудь неправильно удалю, я могу это вернуть или нет? Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 14 июня, 2006 Автор Жалоба Поделиться Опубликовано 14 июня, 2006 Спасибо за полную консультацию и потраченное на это время. :DХотел еще о такой вещи узнать тут. Если я что-нибудь неправильно удалю, я могу это вернуть или нет? Кнопка "View the list of backups" в начальном фрейме. Либо после сканирования: Config... > Backups Всё, что вами было удалено автоматически там сохраняеться и при необходимости всё возможно вернуть, при условии что HijackThis был запущен вами не из архивного файла(!), например .zip. Папка с бэкапами появляеться сразу же после первого удаленного вами элемента; и она так и называется - backups. Работать с ними очень просто. Отмечаем галочкой необходимое и нажимаем на нужную кнопку: "Restore" - Восстановить "Delete" - Удалить Либо же "Delete all" - Удалить все записи. скрин: Ссылка на комментарий Поделиться на другие сайты Поделиться
Reanimator Опубликовано 12 июля, 2006 Жалоба Поделиться Опубликовано 12 июля, 2006 Эта просьба меня слегка озадачила Потому что с одной стороны, разобраться в логе совсем не сложно (всё, что твоё (принадлежит системе) - значит твоё; всё, что не твоё - значит чужое); гораздо сложнее понимать, что именно с каждым таким "чужим" делать, чтобы как можно корректнее он него избавиться; а с другой стороны, там столько всяких нюансов, которые начинаешь чувствовать только со временем (опыт :D)... и, наверное, проще будет для таких обьяснений открыть новый топик, посвященный HijackThis... К тому же количество вредоносных программ неуклонно растет... поэтому, если есть желание заниматься этой сферой серьезно, необходимо быть в курсе подобных разнообразных "новинок"... Если же желание не серьезное, просто лишь для себя, то можно поступить примерно следующим образом. Самостоятельно делаешь или находишь логи HijackThis и те строчки, которые тебе там не понятны, копируй и спрашивай конкретно о них. А я постараюсь обьяснить, что они означают, как можно подробнее. Привет объясни чем отличается: C:\Program Files\ATI Technologies\ATI.ACE\cli.exe от C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe у меня их два запушенно. и ещё просмотри пжлста эти процессы: O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll - ТАКИХ 5 ШТ. и ещё меня смушают папки CINTLGNT, PINTLGNT, TINTLGNT в C:\WINDOWS\system32\IME и папка C:\WINDOWS\ime в ней лежат какие-то китайские программы. Помогите разобратся с этим. Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 12 июля, 2006 Автор Жалоба Поделиться Опубликовано 12 июля, 2006 Привет объясни чем отличается:C:\Program Files\ATI Technologies\ATI.ACE\cli.exe от C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe у меня их два запушенно. O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll - ТАКИХ 5 ШТ. cli.exe ATI Catalyst Control Centre (ССС), принадлежащий АTI Multimedia (часть драйверов от видио карты). Один из этих процессов (cli.exe) - runtime, другой (CLI.exe) - System Tray (иконка и возможная панелька с настройками внизу). Это нормально. AcroIEHelper.dll - библиотека, принадлежащая Adobe Acrobat Reader и позволяющая просмотр PDF файлов прямо в браузере. TGT_BHO.dll - программа StyleXP (для изменения интерфейса Windows), и её встроенный в браузер файл, необходимый для изменения его (браузера) внешнего вида. ctfmon.exe (Alternative User Input Services; Microsoft Corp.) - индикатор раскладки клавиатуры. Устанавливается вместе с MS Office. В Windows XP присутствует и без установки Office. Неизвестный файл LSP (idmmbc.dll) принадлежит программе Internet Download Manager и находится в Winsock тоже совершенно легально. ----------- imjpmig.exe - часть MS Input Method Editor (Microsoft Corp.). MS Input Method Editor (IME) - редактор способов ввода - это средство для фонетического ввода символов, которое преобразует транскрипцию, набранную латинскими буквами, в иероглиф. Конкретно imjpmig.exe используется MS IME для упрощения работы с символами японского языка. TINTSETP.EXE и папки CINTLGNT, PINTLGNT, TINTLGNT - из той же серии - Input Message Editor (Microsoft Corp.) и средства для работы с восточноазиатскими языками. Тут об этом можно почитать по-подробнее: http://office.microsoft.com/ru-ru/assistan...2731791049.aspx Ссылка на комментарий Поделиться на другие сайты Поделиться
Reanimator Опубликовано 23 июля, 2006 Жалоба Поделиться Опубликовано 23 июля, 2006 Спасибо значит бояться нечего Ссылка на комментарий Поделиться на другие сайты Поделиться
Grey DeMonstr Опубликовано 7 августа, 2006 Жалоба Поделиться Опубликовано 7 августа, 2006 Ммм.. Я думаю, желающим научиться самостоятельно анализировать логи Hijack'а пригодится весьма интересный сайт http://www.castlecops.com/HijackThis.html (информация от разработчика Merijn'а) Там же есть ссылочки вида http://www.castlecops.com/O20.html - где O20 - это соответствующий код Hijack'а, а содержимое странички - база знаний на тему того, что под этим кодом может скрываться. Например, увидев у себя в логе строчку Winlogon Notify: dimsntfy.dll лезем на сайт и видим Winlogon Notifydimsntfy L dimsntfy.dll System file in Windows 2003 SP1 где жирная буква L в соответствующем столбце таблицы означает полную легальность нахождения этой библиотечки на Вашем компьютере.2Saule: Очень хотелось бы услышать твое мнение об этом сайте в плане контента. Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 9 августа, 2006 Автор Жалоба Поделиться Опубликовано 9 августа, 2006 2Saule: Очень хотелось бы услышать твое мнение об этом сайте в плане контента. В плане контента всё хорошо. Плюс обновляется регулярно и в базу ничего без достаточных оснований никогда не заносится. Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 18 сентября, 2006 Автор Жалоба Поделиться Опубликовано 18 сентября, 2006 По просьбе посетителей форума выкладываю в топике свою статью о программе HijackThis, опубликованную в http://; ftp:// и т.д.) в тех случаях, когда вы указывайте адрес веб-сайта без него. Некоторые используемые ключи реестра: HKLM\SOFTWARE\Microsoft\Internet Explorer\Main: Start Page HKCU\SOFTWARE\Microsoft\Internet Explorer\Main: Start Page HKLM\SOFTWARE\Microsoft\Internet Explorer\Main: Search Page HKCU\SOFTWARE\Microsoft\Internet Explorer\Main: Search Page HKLM\SOFTWARE\Microsoft\Internet Explorer\Main: Default_Page_URL HKCU\SOFTWARE\Microsoft\Internet Explorer\Main: Default_Page_URL HKLM\SOFTWARE\Microsoft\Internet Explorer\Search: SearchAssistant HKLM\SOFTWARE\Microsoft\Internet Explorer\Search: CustomizeSearch HKCU\SOFTWARE\Microsoft\Internet Explorer\Search: CustomizeSearch HKCU\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchURL: Default HKCU\SOFTWARE\Microsoft\Internet Explorer\Main: Window Title HKCU\SOFTWARE\Microsoft\Internet Explorer\Main: Search Bar HKCU\SOFTWARE\Microsoft\Internet Connection Wizard: ShellNext HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings Как это выглядит в логе: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - C:\PROGRA~1\Toolbar\toolbar.dll R3 - Default URLSearchHook is missing Действие HijackThis при удалении строчки из этой секции: удаление соответствующей информации из реестра (далее по тексту этот пункт будет обозначатся сокращенно: Действие HijackThis). Секции F0, F1, F2, F3 Автозапуск программ из ini-файлов. Речь идет о следующих системных файлах: C:\WINDOWS\system.ini C:\WINDOWS\win.ini А также эквивалентных мест в реестре (для Windows NT/2000/2003/XP): HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping F0 - автозапуск через параметр Shell= из файла system.ini F1 - автозапуск через параметы Run= и Load= из файла win.ini F2 и F3 - то же самое, только для Windows NT/2000/2003/XP (запуск программ через реестр). Как это выглядит в логе: F0 - system.ini: Shell=explorer.exe winuser32.exe F1 - win.ini: run=hpfsched F2 - REG:system.ini: Shell=explorer.exe "С:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe" F3 - REG:win.ini: run=С:\WINDOWS\inet20001\services.exe Действие HijackThis: удаление соответствующей записи из ini-файла/реестра (для предотвращения последующего автоматического запуска данного приложения). Секции N1, N2, N3, N4 Изменения начальной и поисковой страниц Netscape/Mozilla. N1 - стартовая и поисковая страницы для Netscape 4. N2 - стартовая и поисковая страницы для Netscape 6. N3 - стартовая и поисковая страницы для Netscape 7. N4 - стартовая и поисковая страницы для Mozilla. Информация об этих настройках во всех 4-ех случаях хранится в файле с названием prefs.js. Как это выглядит в логе: N1 - Netscape 4: user_pref "browser.startup.homepage", "www.coolwwwsearch.com"); (C:\Program Files\Netscape\Users\default\prefs.js) Действие HijackThis: удаление соответствующей информации из файла prefs.js. Секция O1 Изменения в файле Hosts. Файл Hosts участвует в процессе определения IP адреса сервера по его имени, и модификация этого файла может привести к нарушению данного процесса и подмене адреса любого хоста. Поэтому обнаружение в нем посторонних записей, особенно связанных с популярными поисковыми системами или антивирусными продуктами, однозначно свидетельствует о деятельности вредоносной программы. По умолчанию в нем должна быть только одна строчка: 127.0.0.1 localhost (плюс комментарии, начинающиеся со знака #). Все остальное можно стирать. Открыть и отредактировать файл Hosts можно любым текстовым редактором (например, Блокнот/Notepad), и по умолчанию он находится здесь: Для Windows 95/98/ME: C:\WINDOWS\Hosts Для Windows 2000/NT: C:\WINNT\system32\drivers\etc\Hosts Для Windows 2003/XP: C:\WINDOWS\system32\drivers\etc\Hosts Также имейте в виду, что в Windows NT/2000/XP его местоположение может быть изменено вредоносной программой с помощью следующего ключа реестра (HijackThis об этом сообщает): HKLM\System\CurrentControlSet\Services\Tcpip\Parameters: DatabasePath Как это выглядит в логе: O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: <TITLE>404 Not Found</TITLE> O1 - Hosts file is located at C:\Windows\Help\hosts Действие HijackThis: удаление соответствующей записи в файле Hosts. Секция O2 Плагины и расширения браузера (BHO/Browser Helper Objects). BHO представляют собой dll-библиотеки, которые каждый раз загружаются вместе с браузером, из-за чего их присутствие в системе долгое время может быть незаметным (большинство файрволов в этом случае тоже бессильны, так как с их точки зрения обмен с интернетом ведет процесс браузера). Просмотреть полный список этих библиотек в Windows можно следующим образом (при условии, что версия IE не ниже шестой): Свойства Обозревателя > закладка Программы и кнопка Надстройки (Internet Options > закладка Programs и кнопка Manage Add-ons). Используемый ключ реестра: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects Как это выглядит в логе: O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\cbxyvtq.dll O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet7_22.dll Действие HijackThis: удаление как информации из реестра (включая раздел CLSID), так и вредоносного файла. Секция O3 Дополнительные панели инструментов браузера (Internet Explorer Тoolbars). По своим функциям и поведению очень похожи на BHO, но помимо скрытой работы, как правило, добавляют в браузер еще и дополнительную панель инструментов, примерно следующего типа (google берем, как пример, чтобы было понятнее, о чем идет речь): Видимость этих панелей регулируется в верхнем меню IE: Вид > Панели инструментов (View > Тoolbars) Используемый ключ реестра: HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar Как это выглядит в логе: O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Program Files\ISTbar\istbar.dll O3 - Toolbar: Alexa - {3CEFF6CD-6F08-4e4d-BCCD-FF7415288C3B} - C:\WINDOWS\system32\SHDOCVW.DLL Действие HijackThis: удаление информации из реестра (вредоносные файлы необходимо удалить после, в ручную). Секция O4 Автозапуск программ из реестра и папки Startup. Просмотреть список программ, запускающихся подобным образом, используя средства Windows, можно с помощью утилиты msconfig: Пуск > Применить; вписать msconfig; нажать ОК; и в открывшемся приложении последняя закладка - Автозагрузка (Start > Run; вписать msconfig; нажать ОК; и в открывшемся приложении последняя закладка - StartUp) Используемые ключи реестра: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx И папки (для Windows XP): Startup: C:\Documents and Settings\имя пользователя\Start Menu\Programs\Startup Global: C:\Documents and Settings\All Users\Start Menu\Programs\Startup Как это выглядит в логе: O4 - HKCU\..\Run: [Windows Security Protocol] win32sprot.exe O4 - HKLM\..\Run: [spooler SubSystem App] C:\WINDOWS\System32\spooIsv.exe O4 - HKLM\..\RunServices: [Fire Well service] sdtersx.exe O4 - Startup: mIRC IRC.BY.lnk = C:\Program Files\mIRC\mirc.exe O4 - Global Startup: MSupdate.exe Действие HijackThis: удаление записи в реестре/ярлыка из соответствующей папки (для предотвращения последующего автоматического запуска данного приложения). Некоторые строчки этой секции HijackThis не удаляет, если соответствующая программа на данный момент активна. В этом случае необходимо предварительно завершить её процесс через Диспетчер Задач/Task Manader. Секция O5 Блокирование доступа к Свойствам Обозревателя (Internet Options) через Панель Управления (Control Panel). В Windows это возможно сделать, добавив соответствующую запись в системный файл: C:\WINDOWS\control.ini Эта функция иногда используется администраторами. Как это выглядит в логе: O5 - control.ini: inetcpl.cpl=no Действие HijackThis: удаление соответствующей записи в файле control.ini. Секция O6 Запрет на изменение некоторых Свойств Обозревателя (Internet Options). Используемый ключ реестра: HKCU\SOFTWARE\Policies\Microsoft\Internet Explorer\Restrictions Как это выглядит в логе: O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present Имейте в виду, что подобные ограничения также могут устанавливаться некоторыми антивирусами/антитроянами (например, Spybot S&D). Действие HijackThis: удаление информации из реестра для отменены соответствующего запрета. Секция O7 Отключение доступа к Regedit. Другими словами, это запрет на запуск утилиты Windows - regedit.exe, которая используется для редактирования реестра. С одинаковой вероятностью может быть установлен как администратором, так и вредоносной программой. Используемый ключ реестра: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System Может быть установлен как Администратором, так и вредоносной программой. Как это выглядит в логе: O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 Действие HijackThis: удаление информации из реестра для отменены соответствующего запрета. Секция O8 Дополнительные пункты контекстного меню Internet Explorer. Это меню появляется, когда вы кликаете по какой-либо ссылке правой кнопкой мыши: Используемый ключ реестра: HKCU\SOFTWARE\Microsoft\Internet Explorer\MenuExt Как это выглядит в логе: O8 - Extra context menu item: Проверить ссылку Dr.Web - http://; ftp:// и т.д.) в адресе какого-либо веб-сайта. То есть, если вы ввели google.com, а префикс, установленный по умолчанию в вашей системе перед этим был изменен, например, на http://ehttp.cc/?, браузер откроет страницу http://ehttp.cc/?google.com. Используемые ключи реестра: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefix HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix Как это выглядит в логе: O13 - DefaultPrefix: http://ehttp.cc/? O13 - WWW Prefix: http://www.nkvd.us/1507/ Действие HijackThis: сбрасывание значений префиксов на стандартные. Секция O14 Изменения в файле iereset.inf. Когда вы используете кнопку сбрасывания настроек браузера, IE использует следующий системный файл (для Windows XP): С:\WINDOWS\inf\iereset.inf Если информация в нем будет изменена, то операция восстановления начальных настроек IE обычным способом будет невозможна. Как это выглядит в логе: O14 - IERESET.INF: START_PAGE_URL=http://portal/ O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com Действие HijackThis: удаление соответствующей информации из файла iereset.inf. Секция O15 Веб-сайты и протоколы, добавленные в зону Надежные узлы (Trusted Zone). Используемый ключи в реестре: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults Как это выглядит в логе: O15 - Trusted Zone: *.masspass.com O15 - Trusted Zone: http://update.randhi.com (HKLM) O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM) Действие HijackThis: удаление сайта/протокола из зоны Надежные узлы Trusted Zone. Секция O16 Программы, загруженные с помощью ActiveX. ActiveX - это компонент (.dll или .ocx), благодаря которому достигается лучшее взаимодействие с определенным веб-сайтом (к примеру, очень многие антивирусные он-лайн сканирования работают именно через ActiveX; обновления Microsoft; система webmoney и т.д.). Вредоносные же ActiveX-компоненты обычно устанавливаются для последующей загрузки дополнительного программного обеспечения без вашего ведома. Используемый ключ реестра: HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units Или папка: C:\WINDOWS\Downloaded Program Files Как это выглядит в логе: O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} (loader Class) - http://217.73.66.1/del/loader.cab O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab Действие HijackThis: удаление вредоносного компонента и информации о нем в системном реестре. Секция O17 Изменения домена или DNS сервера. Как это выглядит в логе: O17 - HKLM\SYSTEM\CCS\Services\VxD\MSTCP: Domain = aoldsl.net O17 - HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com Действие HijackThis: удаление соответствующего ключа из реестра. Секция O18 Изменения существующих протоколов и фильтров. Используемые ключи реестра: HKLM\SOFTWARE\Classes\PROTOCOLS HKLM\SOFTWARE\Classes\CLSID HKLM\SOFTWARE\Classes\PROTOCOLS\Handler HKLM\SOFTWARE\Classes\PROTOCOLS\Filter Как это выглядит в логе: O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96} O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINDOWS\httpfilter.dll O18 - Protocol: about - {53B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\System32\msxmlpp.dll Действие HijackThis: удаление соответствующего ключа из реестра. Секция O19 Шаблон Стиля (Style Sheet) пользователя. Это ваш шаблон, в котором записана информация о цветах, шрифтах, расположении и некоторых других параметрах рассматриваемых в браузере страниц. Используемый ключ реестра: HKCU\SOFTWARE\Microsoft\Internet Explorer\Styles: User Stylesheets Как это выглядит в логе: O19 - User stylesheet: C:\WINDOWS\Web\win.def O19 - User stylesheet: C:\WINDOWS\default.css Действие HijackThis: удаление соответствующей информации из реестра. Секция O20 Уведомления Winlogon (Winlogon Notify) и модули инициализации (App Init DLLs) для Windows XP/2000/2003. Модули инициализации (App Init DLLs) загружаются в каждое Windows-приложение, использующее библиотеку user32.dll (а её используют практически все): HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs А также ключи Winlogon Notify (dll-библиотека в таком случае загружается вместе с процессом winlogon.exe): HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify Как это выглядит в логе: O20 - AppInit_DLLs: C:\WINDOWS\System32\dbgwin.dll O20 - Winlogon Notify: Group Policy - C:\WINDOWS\system32\h0n0la5m1d.dll Действие HijackThis: удаление соответствующей информации из реестра. Секция O21 Объекты загрузки оболочки (SSODL/Shell Service Object Delay Load). Библиотеки, которые при каждом старте системы автоматически загружаются, как расширения проводника (вместе с процессом еxplorer.exe), используя ключ ShellServiceObjectDelayLoad: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad Как это выглядит в логе: O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll Действие HijackThis: удаление соответствующей записи из реестра. Секция O22 Задания Планировщика Задач (Shared Task Scheduler). Планировщик Задач Windows отвечает за автоматический запуск определённых программ в установленное вами время. Используемый ключ в реестре: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler Как это выглядит в логе: O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - C:\Windows\system32\mtwirl32.dll Действие HijackThis: удаление соответствующего задания. Секция O23 Службы Windows NT/Microsoft Windows. Службы/Сервисы - это приложения, исполняемые в своей собственной сессии (сеансе) Windows и, как правило, не имеющие графического интерфейса, поэтому их работа в большинстве своем незаметна для пользователя. Любая служба может быть запущена автоматически при загрузке операционной системы и начать работу еще до того, как пользователь произведет вход в Windows. Просмотреть список всех служб, установленных на компьютере, можно следующим образом: Пуск > Выполнить; вписать services.msc; нажать ОК (Start > Run; вписать services.msc; нажать ОК) Как это выглядит в логе: O23 - Service: Power Manager - Unknown - C:\WINDOWS\svchost.exe O23 - Service: K4NV - Unknown owner - C:\WINDOWS\k4nv.exe Действие HijackThis: остановка службы и изменение Типа её Запуска (StartUp Type) на Отключено (Disabled). Если же есть желание удалить службу, то это осуществляется несколькими способами: С помощью командной строки: Пуск > Выполнить; вписать sc delete имя службы ; нажать ОК (Start > Run; вписать sc delete имя службы; нажать ОК) Через реестр: HKLM\SYSTEM\CurrentControlSet\Services HKLM\SYSTEM\ControlSet001\Services HKLM\SYSTEM\ControlSet002\Services HKLM\SYSTEM\ControlSet003\Services HKLM\SYSTEM\ControlSet004\Services HKLM\SYSTEM\ControlSet005\Services Либо используя HijackThis и его раздел инструментов - Misc Tools... 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 18 сентября, 2006 Автор Жалоба Поделиться Опубликовано 18 сентября, 2006 Раздел Misc Tools Останавливаемся на нем более подробно. Generate StartupList log - генерировать отчет об Автозагрузке. После нажатия на эту кнопку HijackThis автоматически выдаст текстовый файл (startuplist.txt) с анализом практически всех способов автозапуска каких-либо приложений вашей операционной системы: папки Startup и All Users Startup; стандартные ключи реестра, отвечающие за автозагрузку; параметр Userinit (HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit); ассоциации расширений .EXE, .COM, .BAT, .PIF, .SCR, .HTA, .TXT; перечисление Active Setup stub paths (HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components); перечисление автозагружающихся приложений ICQ (HKCU\SOFTWARE\Mirabilis\ICQ\Agent\Apps); автозапуск из ini-файлов или эквивалентных им мест реестра; проверка на видимость следующих расширений: .lnk, .pif, .exe, .com, .bat, .hta, .scr, .shs, .shb, .vbs, .vbe, .wsh, .scf, .url, .js, .jse; проверка на наналичие файла еxplorer.exe в нескольких папках; проверка на оригинальность файла regedit.exe; BHO; назначенные задания Планировщика Задач; папка Download Program Files; перечесление файлов Winsock LSP; список служб Microsoft Windows; перечесление скриптов Windows NT logon/logoff; расширения еxplorer.exe (ShellServiceObjectDelayLoad) ---------------------- Open Process Manager - открыть Менеджер Процессов. Менеджер Процессов позволяет: Просмотреть список всех запущенных процессов системы.В отличие от Диспетчера Задач (Task Manager) Windows, HijackThis сразу показывает точное местоположение каждого файла: Просмотреть список используемых библиотек для каждого из процессов. Для этого ставим галочку напротив надписи "Show DLLs". Сохранить список как всех процессов, так и dll-библиотек какого-либо из них в текстовый файл (processlist.txt). Для этого нажимаем на кнопку в виде желтой дискеты - . Скопировать эту же информацию в буфер временной памяти, кнопка рядом - (Copy list to clipboard). Открыть Свойства (Properties) любого из файлов, кликнув по нужному двойным кликом. Завершить какой-либо из процессов с помощью кнопки "Kill process". Чтобы выйти из менеджера процессов - нажмите на кнопку "Back" (с помощью этой кнопки можно выйти из любого приложения HijackThis). ---------------------- Open Hosts file Manager - открыть Менеджер файла Hosts. Менеджер файла Hosts позволяет просмотреть содержимое этого файла с возможностью удаления любой из его строк: Delete line(s) - удалить строку(строки). Toggle line(s) - добавить или убрать в начале строки(строк) знак # (строки, начинающие с этого знака считаются комментарием и не читаются операционной системой). Open in Notepad - открыть файл Hosts в Блокноте. ---------------------- Delete a file on Reboot - удалить файл во время перезагрузки системы. С помощью этой функции вы можете выбрать любой файл Windows, который необходимо удалить во время следующей перезагрузки системы. После чего сразу же будет запрос, желаете ли вы перезагрузить компьютер сейчас или нет. ---------------------- Delete an NT service - удалить службу Microsoft Windows. При нажатии на эту кнопку откроется окошко, в которое нужно скопировать или ввести точное название удаляемой службы. Службу предварительно естественно необходимо остановить и изменить тип её запуска на "Отключено" ("Disabled"). ---------------------- Open ADS Spy - открыть, встроенную в HijackThis, утилиту ADS Spy. ADS (Alternate Data Streams) - "альтернативные потоки данных" - появились в Windows с введением файловой системы NTFS, и в сущности, были созданы для обеспечения совместимости с HFS (Hierarchical File System - устаревшая файловая система Macintosh). Суть организации HFS состоит в раздвоении файла на файл данных и файл ресурсов. В файле данных находится содержимое документа, а в файле ресурсов - идентификатор типа файла и другие свойства. Нечто подобное стало возможным и в Windows (говоря простым языком, присоединение к видимым файлам - абсолютно невидимых), и спустя какое-то время некоторые вирусописатели взяли себе это на вооружение. ADS нельзя просмотреть, используя стандартные методы (через командную строку или с помощью Windows Explorer), и очень немногие антивирусы способны их обнаруживать (а для тех, кто способен - в любом случае необходима дополнительная настройка). Поэтому в целях собственной безопасности рекомендуется время от времени использовать специальные утилиты, созданные именно для обнаружения и удаления файлов, использующих альтернативные потоки данных. ADS Spy - как раз одна из таких утилит: Назначение основных кнопок: Scan - сканирование на наличие в системе ADS. Save log - сохранить отчет (adsspy.txt). Remove selected - удалить выбранные. ---------------------- Open Uninstall Manager - открыть Менеджер Деинсталляций. Менеджер Деинсталляций позволяет: Просмотреть список программ, находящийся также в "Установка и удаление программ" ("Add or Remove Programs") Windows. Видеть команду деинсталляции каждой программы. Деинсталлировать любую программу с помощью кнопки "Delete this entry". Добавить новую команду деинсталляции любой из программ с помощью кнопки "Edit uninstall command". Открыть приложение "Установка и удаление программ" ("Add or Remove Programs") Windows нажатием кнопки "Open Add/Remove Software list" Сохранить весь список программ в текстовый файл (uninstall_list.txt). Для этого нажимаем на кнопку "Save list..." ---------------------- Advanced settings Дополнительные настройки сканирования HijackThis: Calculate MD5 of files if possible - вычислять при сканировании контрольные суммы MD5 у тех файлов, у которых это возможно. Как это выглядит в логе: O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\saIE.dll (filesize 514264 bytes, MD5 A572BB8B39C5C06381CB2A27340855A1) O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp (filesize 33280 bytes, MD5 DA285490BBD8A1D0CE6623577D5BA1FF) Include enviroment variables in logfile - включить в лог переменные окружающей среды ОС. Как это выглядит в логе: Windows folder: C:\WINDOWS System folder: C:\WINDOWS\SYSTEM32 Hosts file: C:\WINDOWS\System32\drivers\etc\hosts ---------------------- К слову: отчет HijackThis всегда начинается с общей информации следующего характера: Logfile of HijackThis v1.99.1 - версия HijackThis. Scan saved at 19:37:03, on 08.07.2006 - дата и время сканирования. Platform: Windows XP SP2 (WinNT 5.01.2600) - операционная система. MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) - версия Internet Explorer. Плюс обязательно указываются все активные процессы системы на момент создания лога (Running processes). ---------------------- И последнии кнопки раздела Misc Tools: Update check - проверка обновлений программы. Uninstall HijackThis - деинсталляция HijackThis. ---------------------- Заключение Надеюсь, что это краткое руководство поможет вам разобраться в возможностях HijackThis и даст хоть какие-то ориентиры для анализа и контроля общего состояния вашей операционной системы... Если же у вас до сих пор остались какие-либо вопросы, касающиеся этой программы, то, повторюсь, не стесняйтесь их задавать (прямо в этом же топике). 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения