HijackThis

**Saule** · 1 марта, 2006

Saule: привет! хотелось бы научиться , так же хорошо разбираться в логах от HijackThis , может поделишься секретом? Разное в жизни бывает, своими ручками уметь делать - просто замечательно. Заранее , спасибо

Эта просьба меня слегка озадачила

Потому что с одной стороны, разобраться в логе совсем не сложно (всё, что твоё (принадлежит системе) - значит твоё; всё, что не твоё - значит чужое); гораздо сложнее понимать, что именно с каждым таким "чужим" делать, чтобы как можно корректнее он него избавиться; а с другой стороны, там столько всяких нюансов, которые начинаешь чувствовать только со временем (опыт :D)... и, наверное, проще будет для таких обьяснений открыть новый топик, посвященный HijackThis...

К тому же количество вредоносных программ неуклонно растет... поэтому, если есть желание заниматься этой сферой серьезно, необходимо быть в курсе подобных разнообразных "новинок"... Если же желание не серьезное, просто лишь для себя, то можно поступить примерно следующим образом. Самостоятельно делаешь или находишь логи HijackThis и те строчки, которые тебе там не понятны, копируй и спрашивай конкретно о них. А я постараюсь обьяснить, что они означают, как можно подробнее.

**1-0** · 1 марта, 2006

Эта просьба меня слегка озадачила

Потому что с одной стороны, разобраться в логе совсем не сложно (всё, что твоё (принадлежит системе) - значит твоё; всё, что не твоё - значит чужое); гораздо сложнее понимать, что именно с каждым таким "чужим" делать, чтобы как можно корректнее он него избавиться; а с другой стороны, там столько всяких нюансов, которые начинаешь чувствовать только со временем (опыт :D)... и, наверное, проще будет для таких обьяснений открыть новый топик, посвященный HijackThis...

К тому же количество вредоносных программ неуклонно растет... поэтому, если есть желание заниматься этой сферой серьезно, необходимо быть в курсе подобных разнообразных "новинок"... Если же желание не серьезное, просто лишь для себя, то можно поступить примерно следующим образом. Самостоятельно делаешь или находишь логи HijackThis и те строчки, которые тебе там не понятны, копируй и спрашивай конкретно о них. А я постараюсь обьяснить, что они означают, как можно подробнее.

Привет! Еще раз хотелось бы сказать большое человеческое Спасибо Saule за отзывчивость и профессиональную помощь :(

И тоже хотела бы присоединиться к просьбе snejinka :) Я понимаю, что обо всем на форуме рассказать невозможно и физически, и в силу ограниченности времени, но хотелось бы немножко пополнить свой запас знаний в области защиты и безопасности :)

Читая топик, на интуитивном уровне кое-что понятно и мне лично еще очень помогает в чтении логов Справочник процессов Windows, но коль скоро Saule разрешила спрашивать о непонятных строчках лога HijackThis, то, если можно я хотела бы кое-что спросить :)

Saule, скажите пожалуйста, что означают в логе строковые обозначения (например, R0, O17) ? Я лишь могу предположить, что это имеет отношение к определенным ветвям реестра, но мне кажется, что тут что-то еще... Или это может быть такая специфическая нумерация именно HijackThis.

Еще вот такой вопрос. Здесь кусочек моего лога HijackThis. Вы не могли бы пояснить, что это означает? Вроде бы безобидное, но мне не совсем ясно, о чем говорят эти строчки:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = NOT USED (OK)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = NOT USED (OK)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = NOT USED (OK)

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = NOT USED (OK)

Вот это мне показалось невесть откуда взявшимся, хотя у меня установлен Excel, но я им совсем не пользуюсь ... что это?

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll - за что отвечает эта библиотека? Это как-то связано с сетевыми настройками или сетевой картой или я ошибаюсь? К сожалению, я не смогла найти информацию об этом

И еще один вопрос: я где-то читала, что есть такие вирусы, которые встраивают себя в какой-либо процесс Windows и, как я предполагаю, их обнаружить и обезвредить иногда бывает сложно. Но, наверно, есть какие-то признаки в логе, если такой встроенный в процесс Windows вирус вдруг появился в системе? Я понимаю, что невозможно рассказать всю эту тему, но, может быть, на каком-нибудь примере пояснить... хотя бы в двух словах, чтобы иметь представление.

Много всего получилось, я заранее извиняюсь за "чайниковые" вопросы :) и что пишу всё это в данном топике, т.к. не знаю будет ли создан отдельный топик для таких вопросов. Вопросы эти, конечно же, не "горящие", ничего кроме личного интереса :)

Заранее спасибо! :)

Изменено 1 марта, 2006 пользователем 1-0

**Saule** · 2 марта, 2006

Saule, скажите пожалуйста, что означают в логе строковые обозначения (например, R0, O17) ? Я лишь могу предположить, что это имеет отношение к определенным ветвям реестра, но мне кажется, что тут что-то еще... Или это может быть такая специфическая нумерация именно HijackThis.

Верно, это именно специфическая нумерация программы HijackThis.

То есть каждая строчка в логе HijackThis начинается со своего определенного обозначения (названия секции).

Вот они кратко (заранее извиняюсь, что не могу некоторые секции перевести на русский, но на английском они должны быть более менее понятны; если нет, то спрашивайте, постраюсь обьяснить, что это и где находиться):

R0, R1, R2, R3 - Изменения в реестре, касающиеся начальной и поисковых страниц Internet Explorer

N1, N2, N3, N4 - Изменения в реестре, касающиеся начальной и поисковых страниц Netscape/Mozilla

F0, F1, F2, F3 - Автозагрузка программ и приложений из ini-файлов

O1 - Изменения в файле Hosts

O2 - (BHO) Browser Helper Objects

O3 - Internet Explorer Тoolbars

O4 - Автозагрузка программ из реестра или Startup

O5 - Опции Internet Explorer невидимые на Панели Управления

O6 - Опции Internet Explorer, ограниченные Администратором (Policies)

O7 - Доступ к Regedit, ограниченный Администратором (Policies)

O8 - Дополнительные пункты Internet Explorer в "right-click" меню

O9 - Дополнительные кнопки на главной панели инструментов IE

O10 - Winsock

O11 - Дополнительные опции в расширенном меню загрузки IE

O12 - Плагины Internet Explorer

O13 - IE Default Prefixes

O14 - Изменения в файле IERESET.INF

O15 - Сайты, добавленные в Trusted Zone

O16 - Файлы, загруженные с помощью ActiveX

O17 - Домен (Domain)

O18 - Перечисление существующих протоколов и фильтров

O19 - Style Sheet пользователя

O20 - AppInit_DLLs

O21 - (SSODL) Shell Service Object Delay Load

O22 - Shared Task Scheduler (Планировщик задач)

O23 - Сервисы Windows NT

Еще вот такой вопрос. Здесь кусочек моего лога HijackThis. Вы не могли бы пояснить, что это означает? Вроде бы безобидное, но мне не совсем ясно, о чем говорят эти строчки:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = NOT USED (OK)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = NOT USED (OK)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = NOT USED (OK)

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = NOT USED (OK)

Написано, что поисковые страницы IE не используются. Но чем это вызвано, я не знаю.

Есть два варианта, либо это сделала какая-нибудь программа, отвечающая за безопасность компьютера,

либо кто-то чужой

Чтобы это выяснить, нужно видеть весь лог.

Вот это мне показалось невесть откуда взявшимся, хотя у меня установлен Excel, но я им совсем не пользуюсь ... что это?
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 (Extra context menu item) - дополнительные пункты Internet Explorer в "right-click" меню.

Обьясню на конкретном примере, чтобы стало понятнее, где это находиться.

Например, в моём логе HijackThis в секции O8 есть такая строчка:

O8 - Extra context menu item: Проверить ссылку Dr.Web - http://www.drweb.com/online/drweb-online-ru.html

Это означает, что, если я по какой-либо ссылке кликну правой кнопкой мыши, то в появившемся меню у меня будет пункт "Проверить ссылку Dr.Web"

скрин:

Теперь стало понятно что это такое?

Соответственно у тебя в этом меню будет пункт - Экспорт в Microsoft Excel, и это нормально.

Но если тебе это совершенно не нужно, то пофикси.

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll - за что отвечает эта библиотека? Это как-то связано с сетевыми настройками или сетевой картой или я ошибаюсь?

Название файла: igfxsrvc.dll

Процесс: Intel Graphics Accelerator Helper Module

Автор: Intel Corp

Часть от: Intel Multimedia

Связь с вирусами: На данный момент вирусов, использующих этот файл, не существует (тьфу, тьфу, тьфу )

Краткое описание: библиотека, поддерживающая Intel Graphics Accelerators Helper.

Это существенный процесс, который не должен быть остановлен.

На последний вопрос чуть позже...

**1-0** · 3 марта, 2006

Saule

Всё очень доходчиво и вполне понятно. Большое спасибо за разъяснение

Еще вот такой вопрос. Здесь кусочек моего лога HijackThis. Вы не могли бы пояснить, что это означает? Вроде бы безобидное, но мне не совсем ясно, о чем говорят эти строчки:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = NOT USED (OK)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = NOT USED (OK)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = NOT USED (OK)

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = NOT USED (OK)

Написано, что поисковые страницы IE не используются. Но чем это вызвано, я не знаю.

Есть два варианта, либо это сделала какая-нибудь программа, отвечающая за безопасность компьютера,

либо кто-то чужой smile.gif

Чтобы это выяснить, нужно видеть весь лог.

Мне кажется, что поисковые страницы блокирует Avast! "Кажется", потому что я хоть и начала потихонечку разбираться в логах HijackThis, но, конечно же, многого еще не знаю

Вот мой лог. Я его сама тоже просмотрела. Вроде бы всё моё, чужого не увидела :shock_1:

Буду благодарна, если Вы в свободное время глянете на него :)

Logfile of HijackThis v1.99.1

Scan saved at 21:39:53, on 02.03.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Google\Gmail Notifier\gnotify.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\Unlocker\UnlockerAssistant.exe

C:\Program Files\AnVir Task Manager\AnVir.exe

C:\Program Files\Punto Switcher\ps.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\QIP\qip.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\нина\Рабочий стол\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = NOT USED (OK)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = NOT USED (OK)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = NOT USED (OK)

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = NOT USED (OK)

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Program Files\Common Files\ReGet Shared\Catcher.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll

O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program Files\ReGetDx\iebar.dll

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [unlockerAssistant] C:\Program Files\Unlocker\UnlockerAssistant.exe

O4 - HKCU\..\Run: [AnVir Task Manager] "C:\Program Files\AnVir Task Manager\AnVir.exe" Minimized

O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe

O4 - Startup: Rainlendar.lnk = C:\Program Files\Rainlendar\Rainlendar.exe

O4 - Startup: Total Commander.lnk = C:\Program Files\Total Commander\Totalcmd.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Download All by FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm

O8 - Extra context menu item: Закачать &все при помощи ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_All.htm

O8 - Extra context menu item: Закачать при помощи Re&Get Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_Link.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1138545811600

O17 - HKLM\System\CCS\Services\Tcpip\..\{8679D1EF-468F-4A22-BB07-8A5A88F98A48}: NameServer = 87.240.1.1,87.240.1.2

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

**snejinka** · 3 марта, 2006

На самом деле , я уже давно при малейших подозрениях пользуюсь следующим сайтом : http://www.hijackthis.de/en делаешь лог и копируешь его в окошечко , жмешь на кнопку analyze . И быстро и приятно тебе объясняют про все строчки из лога. Единственная проблема заключается в том, что надо уметь читать по-английски или на одном из языков, предложенных на этом сайте .

Поэтому мне и было интересно , знает ли Saule про этот весьма популярный сайт,часто упоминающийся на англоязычных компьютерных форумах.

Подробнейшие инструкции к расшифровке логов ( даже со скриншотами ), опять же на английском, но очень просто и доходчиво:

http://www.spywareinfo.com/~merijn/htlogtutorial.html

http://www.bleepingcomputer.com/tutorials/tutorial42.html

http://www.pchell.com/support/hijackthistutorial.shtml - по этой ссылке, помимо детального объяснения стандартных значений лога ,объясняется как удаляются всевозможные проблемы , найденные Hijackthis.

Но это так сказать, для тех ,кто хочет самостоятельно научиться лечиться :shock_1:

**Saule** · 3 марта, 2006

Мне кажется, что поисковые страницы блокирует Avast! "Кажется", потому что я хоть и начала потихонечку разбираться в логах HijackThis, но, конечно же, многого еще не знаю
Вот мой лог. Я его сама тоже просмотрела. Вроде бы всё моё, чужого не увидела

Буду благодарна, если Вы в свободное время глянете на него

Эти ключики связаны, скорее всего, вот с этим:

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

И у вас всё в порядке

**Saule** · 4 марта, 2006

Поэтому мне и было интересно , знает ли Saule про этот весьма популярный сайт,часто упоминающийся на англоязычных компьютерных форумах. :D

Знаю, конечно :)

Изначально идея у сайта была очень хорошая, но её вытеснил тот факт, что голова в любом случае всегда будет лучше машины. Плюс там были небольшие конфликты по поводу обслуживания сайта и его датабаз, и как последствие этого, датабазы были немного запущены и до сих пор они так, как надо, не чистились.

Дело в том, что на данный момент "рейтинг" любого пункта HijackThis (т.е. степень его безопасности) может повышать/понижать кто угодно - обыкновенные поситители.

Понимаете, что это значит? :)

Если нет, то я могу обьяснить... Например, если вы написали троян и начали его распостранение, что вам мешает зайти на этот сайт и поднять рейтинг своей вредосной программы до полностью безопасной? Для этого вам нужен всего лишь только компьютер, интернет и немного свободного времени.

Но это еще полбеды. Так как, такими вещами (подниманием рейтинга безопасности именно в нехороших целях), как ни странно, занимаются очень немногие. Чаще ошибки на этом сайте появляются по вине тех, кто, наоборот, хочет помочь. Но люди, которые действительно могут обьективно и, главное, верно оценить насколько безопасен тот или иной файл/процесс уже слишком редко посещают этот сайт и еще реже оставляют там свои комментарии ;)

Сайт посещается и обслуживается (большая его часть) обычными юзерами, которые достаточно часто допускают ошибки.

Могу поспорить по этому поводу и доказать на конкретных примерах.

Поэтому полагатся на этот сайт целиком и полностью, к сожалению нельзя. Его можно использовать только лишь, как своего рода помошника.

Подробнейшие инструкции к расшифровке логов ( даже со скриншотами ), опять же на английском, но очень просто и доходчиво:
http://www.spywareinfo.com/~merijn/htlogtutorial.html

http://www.bleepingcomputer.com/tutorials/tutorial42.html

http://www.pchell.com/support/hijackthistutorial.shtml - по этой ссылке, помимо детального объяснения стандартных значений лога ,объясняется как удаляются всевозможные проблемы , найденные Hijackthis.

Что касается обьяснений по удалению потенциальных проблем, то лучше из этих ссылок использовать не последнюю, а первую. Там всё то же самое, только это первоисточник и информация своевременно обновляется (если вдруг появляются какие-либо изменения), чего нельзя сказать о http://www.pchell.com (очень много рекомендаций этого сайта уже устаревшие, а следовательно не совсем корректные, поэтому для повышения знаний в сфере компьютерной безопасности в целом этот сайт не советуется).

А о http://www.bleepingcomputer.com могу сказать очень много всего только хорошего. Если есть желание учиться на английских источниках, то это действительно подходит. И кстати, раз уж разговор об этом зашел, я там тоже регулярно пишу, в первую очередь в разделе "HijackThis Logs and Analysis" :) Поэтому не только знаю, но и активно учавствую. Просто, насколько я успела заметить, в России даже для программ с двумя кнопками люди почему-то часто просят руссификаторы... поэтому мне кажется, посылать на английские форумы, говоря: "ищите там, там всё есть", несколько некорректно (но как вариант можно, я не спорю). Хотелось сделать приятно именно русскоязычным людям :)

**1-0** · 4 марта, 2006

Изначально идея у сайта была очень хорошая, но её вытеснил тот факт, что голова в любом случае всегда будет лучше машины.

Я полностью это поддерживаю.

Об этой ссылке я раньше не знала, и, действительно, этот сервис может служить своего рода подспорьем.

Хотя, когда я проверяла свой лог HijackThis, в отчете было очень много unknown параметров, что, конечно же неудивительно, потому что любой лог специфичен - у каждого пользователя так или иначе бывает установлено специфическое ПО, которое ни один автоанализатор не определит однозначно.

И человека, который очень далек от таких вещей, может даже сбить с толку автоотчет.

А вот примеры пользования HijackThis я почитала с большим интересом :D

Saule

Спасибо :)

У меня еще есть один небольшой вопрос.

В логах HijackThis иногда встречаются строки, в конце которых указывается (file missing).

Читая тему "Помощь в лечении систем от нечисти" я видела, что такие строки Вы рекомендуете к удалению.

Т.е. строки, в конце которых есть "file missing" обозначают, что файла в системе нет, на который ссылается такой ключ реестра или параметр?

Абсолютно ли все такие ключи можно безоговорочно фиксить? Или все-таки есть какие-то исключения?

Изменено 4 марта, 2006 пользователем 1-0

**Saule** · 5 марта, 2006

У меня еще есть один небольшой вопрос.В логах HijackThis иногда встречаются строки, в конце которых указывается (file missing).
Читая тему "Помощь в лечении систем от нечисти" я видела, что такие строки Вы рекомендуете к удалению.

Т.е. строки, в конце которых есть "file missing" обозначают, что файла в системе нет, на который ссылается такой ключ реестра или параметр?

Абсолютно ли все такие ключи можно безоговорочно фиксить? Или все-таки есть какие-то исключения?

Верно, любой ключ, заканчивающийся "file missing", можно смело пытаться пофиксить (другое дело, что HijackThis не всегда может удалить такие ключи), так как файла, на который ссылается такой ключ действительно уже нет в системе, и запись о нем в реестре уже не нужна.

Но такие ключи могут очень о многом рассказать, поэтому на них обязательно нужно обращать своё внимание.

Иногда они появляются, когда вирус был удален, но удален не совсем корректно (а возможно и не до конца).

Например, если в логе будет примерно следующее:

O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)

То компьютер обязательно нужно проверить на наличие вируса Hidrag/Jeefo/HiddenDragon (так как либо с вирусом боролись совсем недавно и эта запись просто еще не успела стать зачищенной; либо вирус был побежден не до конца).

Плюс некоторые вирусы могут выводить из строя главный антивирусный модуль (при этом далеко не все пользователи, как ни странно, это вообще замечают), и по логу HijackThis, благодаря "file missing", это сразу же становится видным (к вашему логу это не относится).

И еще одна причина появления в логе подобных ключей - не совсем корректная деинсталяция какой-либо программы.

Изменено 17 февраля, 2007 пользователем Saule

**1-0** · 24 марта, 2006

Saule, привет!

У меня возник еще один вопрос по поводу значения такой строчки в логе. На всякий случай привожу лог полностью. А интересующую меня строчку я выделила жирным:

Logfile of HijackThis v1.99.1

Scan saved at 19:49:46, on 24.03.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Unlocker\UnlockerAssistant.exe

C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe

C:\Program Files\AnVir Task Manager\AnVir.exe

C:\Program Files\Punto Switcher\ps.exe

C:\Program Files\Rainlendar\Rainlendar.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\msagent\AgentSvr.exe

C:\PROGRA~1\FlashGet\flashget.exe

C:\Program Files\Microsoft Office\Office10\EXCEL.EXE

C:\Program Files\eMule\eMule.exe

C:\Program Files\QIP\qip.exe

C:\Documents and Settings\нина\Рабочий стол\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = NOT USED (OK)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = NOT USED (OK)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = NOT USED (OK)

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = NOT USED (OK)

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll

O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll

O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [unlockerAssistant] C:\Program Files\Unlocker\UnlockerAssistant.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k