Jump to content
СофтФорум - всё о компьютерах и не только
Sign in to follow this  
Saule

HijackThis

Recommended Posts

Saule: привет! хотелось бы научиться , так же хорошо разбираться в логах от HijackThis , может поделишься секретом? Разное в жизни бывает, своими ручками уметь делать - просто замечательно. Заранее , спасибо :blush2:

Эта просьба меня слегка озадачила :mad:

Потому что с одной стороны, разобраться в логе совсем не сложно (всё, что твоё (принадлежит системе) - значит твоё; всё, что не твоё - значит чужое); гораздо сложнее понимать, что именно с каждым таким "чужим" делать, чтобы как можно корректнее он него избавиться; а с другой стороны, там столько всяких нюансов, которые начинаешь чувствовать только со временем (опыт :D)... и, наверное, проще будет для таких обьяснений открыть новый топик, посвященный HijackThis...

К тому же количество вредоносных программ неуклонно растет... поэтому, если есть желание заниматься этой сферой серьезно, необходимо быть в курсе подобных разнообразных "новинок"... Если же желание не серьезное, просто лишь для себя, то можно поступить примерно следующим образом. Самостоятельно делаешь или находишь логи HijackThis и те строчки, которые тебе там не понятны, копируй и спрашивай конкретно о них. А я постараюсь обьяснить, что они означают, как можно подробнее.

Share this post


Link to post
Share on other sites

Эта просьба меня слегка озадачила :mad:

Потому что с одной стороны, разобраться в логе совсем не сложно (всё, что твоё (принадлежит системе) - значит твоё; всё, что не твоё - значит чужое); гораздо сложнее понимать, что именно с каждым таким "чужим" делать, чтобы как можно корректнее он него избавиться; а с другой стороны, там столько всяких нюансов, которые начинаешь чувствовать только со временем (опыт :D)... и, наверное, проще будет для таких обьяснений открыть новый топик, посвященный HijackThis...

К тому же количество вредоносных программ неуклонно растет... поэтому, если есть желание заниматься этой сферой серьезно, необходимо быть в курсе подобных разнообразных "новинок"... Если же желание не серьезное, просто лишь для себя, то можно поступить примерно следующим образом. Самостоятельно делаешь или находишь логи HijackThis и те строчки, которые тебе там не понятны, копируй и спрашивай конкретно о них. А я постараюсь обьяснить, что они означают, как можно подробнее.

Привет! Еще раз хотелось бы сказать большое человеческое Спасибо Saule за отзывчивость и профессиональную помощь :(

И тоже хотела бы присоединиться к просьбе snejinka :) Я понимаю, что обо всем на форуме рассказать невозможно и физически, и в силу ограниченности времени, но хотелось бы немножко пополнить свой запас знаний в области защиты и безопасности :)

Читая топик, на интуитивном уровне кое-что понятно и мне лично еще очень помогает в чтении логов Справочник процессов Windows, но коль скоро Saule разрешила спрашивать о непонятных строчках лога HijackThis, то, если можно я хотела бы кое-что спросить :)

Saule, скажите пожалуйста, что означают в логе строковые обозначения (например, R0, O17) ? Я лишь могу предположить, что это имеет отношение к определенным ветвям реестра, но мне кажется, что тут что-то еще... Или это может быть такая специфическая нумерация именно HijackThis.

Еще вот такой вопрос. Здесь кусочек моего лога HijackThis. Вы не могли бы пояснить, что это означает? Вроде бы безобидное, но мне не совсем ясно, о чем говорят эти строчки:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = NOT USED (OK)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = NOT USED (OK)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = NOT USED (OK)

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = NOT USED (OK)

Вот это мне показалось невесть откуда взявшимся, хотя у меня установлен Excel, но я им совсем не пользуюсь ... что это?

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll - за что отвечает эта библиотека? Это как-то связано с сетевыми настройками или сетевой картой или я ошибаюсь? К сожалению, я не смогла найти информацию об этом :blush2:

И еще один вопрос: я где-то читала, что есть такие вирусы, которые встраивают себя в какой-либо процесс Windows и, как я предполагаю, их обнаружить и обезвредить иногда бывает сложно. Но, наверно, есть какие-то признаки в логе, если такой встроенный в процесс Windows вирус вдруг появился в системе? Я понимаю, что невозможно рассказать всю эту тему, но, может быть, на каком-нибудь примере пояснить... хотя бы в двух словах, чтобы иметь представление.

Много всего получилось, я заранее извиняюсь за "чайниковые" вопросы :) и что пишу всё это в данном топике, т.к. не знаю будет ли создан отдельный топик для таких вопросов. Вопросы эти, конечно же, не "горящие", ничего кроме личного интереса :)

Заранее спасибо! :)

Edited by 1-0

Share this post


Link to post
Share on other sites
Saule, скажите пожалуйста, что означают в логе строковые обозначения (например, R0, O17) ? Я лишь могу предположить, что это имеет отношение к определенным ветвям реестра, но мне кажется, что тут что-то еще... Или это может быть такая специфическая нумерация именно HijackThis.

Верно, это именно специфическая нумерация программы HijackThis.

То есть каждая строчка в логе HijackThis начинается со своего определенного обозначения (названия секции).

Вот они кратко (заранее извиняюсь, что не могу некоторые секции перевести на русский, но на английском они должны быть более менее понятны; если нет, то спрашивайте, постраюсь обьяснить, что это и где находиться):

R0, R1, R2, R3 - Изменения в реестре, касающиеся начальной и поисковых страниц Internet Explorer

N1, N2, N3, N4 - Изменения в реестре, касающиеся начальной и поисковых страниц Netscape/Mozilla

F0, F1, F2, F3 - Автозагрузка программ и приложений из ini-файлов

O1 - Изменения в файле Hosts

O2 - (BHO) Browser Helper Objects

O3 - Internet Explorer Тoolbars

O4 - Автозагрузка программ из реестра или Startup

O5 - Опции Internet Explorer невидимые на Панели Управления

O6 - Опции Internet Explorer, ограниченные Администратором (Policies)

O7 - Доступ к Regedit, ограниченный Администратором (Policies)

O8 - Дополнительные пункты Internet Explorer в "right-click" меню

O9 - Дополнительные кнопки на главной панели инструментов IE

O10 - Winsock

O11 - Дополнительные опции в расширенном меню загрузки IE

O12 - Плагины Internet Explorer

O13 - IE Default Prefixes

O14 - Изменения в файле IERESET.INF

O15 - Сайты, добавленные в Trusted Zone

O16 - Файлы, загруженные с помощью ActiveX

O17 - Домен (Domain)

O18 - Перечисление существующих протоколов и фильтров

O19 - Style Sheet пользователя

O20 - AppInit_DLLs

O21 - (SSODL) Shell Service Object Delay Load

O22 - Shared Task Scheduler (Планировщик задач)

O23 - Сервисы Windows NT

Еще вот такой вопрос. Здесь кусочек моего лога HijackThis. Вы не могли бы пояснить, что это означает? Вроде бы безобидное, но мне не совсем ясно, о чем говорят эти строчки:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = NOT USED (OK)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = NOT USED (OK)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = NOT USED (OK)

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = NOT USED (OK)

Написано, что поисковые страницы IE не используются. Но чем это вызвано, я не знаю.

Есть два варианта, либо это сделала какая-нибудь программа, отвечающая за безопасность компьютера,

либо кто-то чужой :blink:

Чтобы это выяснить, нужно видеть весь лог.

Вот это мне показалось невесть откуда взявшимся, хотя у меня установлен Excel, но я им совсем не пользуюсь ... что это?

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 (Extra context menu item) - дополнительные пункты Internet Explorer в "right-click" меню.

Обьясню на конкретном примере, чтобы стало понятнее, где это находиться.

Например, в моём логе HijackThis в секции O8 есть такая строчка:

O8 - Extra context menu item: Проверить ссылку Dr.Web - http://www.drweb.com/online/drweb-online-ru.html

Это означает, что, если я по какой-либо ссылке кликну правой кнопкой мыши, то в появившемся меню у меня будет пункт "Проверить ссылку Dr.Web"

скрин:

oum5xt.jpg

Теперь стало понятно что это такое? :doh:

Соответственно у тебя в этом меню будет пункт - Экспорт в Microsoft Excel, и это нормально.

Но если тебе это совершенно не нужно, то пофикси.

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll - за что отвечает эта библиотека? Это как-то связано с сетевыми настройками или сетевой картой или я ошибаюсь?

Название файла: igfxsrvc.dll

Процесс: Intel Graphics Accelerator Helper Module

Автор: Intel Corp

Часть от: Intel Multimedia

Связь с вирусами: На данный момент вирусов, использующих этот файл, не существует (тьфу, тьфу, тьфу cool.gif)

Краткое описание: библиотека, поддерживающая Intel Graphics Accelerators Helper.

Это существенный процесс, который не должен быть остановлен.

На последний вопрос чуть позже...

  • Upvote 1

Share this post


Link to post
Share on other sites

Saule

Всё очень доходчиво и вполне понятно. Большое спасибо за разъяснение :sly:

Еще вот такой вопрос. Здесь кусочек моего лога HijackThis. Вы не могли бы пояснить, что это означает? Вроде бы безобидное, но мне не совсем ясно, о чем говорят эти строчки:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = NOT USED (OK)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = NOT USED (OK)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = NOT USED (OK)

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = NOT USED (OK)

Написано, что поисковые страницы IE не используются. Но чем это вызвано, я не знаю.

Есть два варианта, либо это сделала какая-нибудь программа, отвечающая за безопасность компьютера,

либо кто-то чужой smile.gif

Чтобы это выяснить, нужно видеть весь лог.

Мне кажется, что поисковые страницы блокирует Avast! "Кажется", потому что я хоть и начала потихонечку разбираться в логах HijackThis, но, конечно же, многого еще не знаю :sly:

Вот мой лог. Я его сама тоже просмотрела. Вроде бы всё моё, чужого не увидела :shock_1:

Буду благодарна, если Вы в свободное время глянете на него :)

Logfile of HijackThis v1.99.1

Scan saved at 21:39:53, on 02.03.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Google\Gmail Notifier\gnotify.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\Unlocker\UnlockerAssistant.exe

C:\Program Files\AnVir Task Manager\AnVir.exe

C:\Program Files\Punto Switcher\ps.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\QIP\qip.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\нина\Рабочий стол\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = NOT USED (OK)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = NOT USED (OK)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = NOT USED (OK)

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = NOT USED (OK)

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Program Files\Common Files\ReGet Shared\Catcher.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll

O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program Files\ReGetDx\iebar.dll

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [unlockerAssistant] C:\Program Files\Unlocker\UnlockerAssistant.exe

O4 - HKCU\..\Run: [AnVir Task Manager] "C:\Program Files\AnVir Task Manager\AnVir.exe" Minimized

O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe

O4 - Startup: Rainlendar.lnk = C:\Program Files\Rainlendar\Rainlendar.exe

O4 - Startup: Total Commander.lnk = C:\Program Files\Total Commander\Totalcmd.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Download All by FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm

O8 - Extra context menu item: Закачать &все при помощи ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_All.htm

O8 - Extra context menu item: Закачать при помощи Re&Get Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_Link.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1138545811600

O17 - HKLM\System\CCS\Services\Tcpip\..\{8679D1EF-468F-4A22-BB07-8A5A88F98A48}: NameServer = 87.240.1.1,87.240.1.2

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

Share this post


Link to post
Share on other sites

На самом деле , я уже давно при малейших подозрениях пользуюсь следующим сайтом : http://www.hijackthis.de/en делаешь лог и копируешь его в окошечко , жмешь на кнопку analyze . И быстро и приятно тебе объясняют про все строчки из лога. Единственная проблема заключается в том, что надо уметь читать по-английски или на одном из языков, предложенных на этом сайте .

Поэтому мне и было интересно , знает ли Saule про этот весьма популярный сайт,часто упоминающийся на англоязычных компьютерных форумах. :sly:

Подробнейшие инструкции к расшифровке логов ( даже со скриншотами ), опять же на английском, но очень просто и доходчиво:

http://www.spywareinfo.com/~merijn/htlogtutorial.html

http://www.bleepingcomputer.com/tutorials/tutorial42.html

http://www.pchell.com/support/hijackthistutorial.shtml - по этой ссылке, помимо детального объяснения стандартных значений лога ,объясняется как удаляются всевозможные проблемы , найденные Hijackthis.

Но это так сказать, для тех ,кто хочет самостоятельно научиться лечиться :shock_1:

Share this post


Link to post
Share on other sites
Мне кажется, что поисковые страницы блокирует Avast! "Кажется", потому что я хоть и начала потихонечку разбираться в логах HijackThis, но, конечно же, многого еще не знаю :blush2:

Вот мой лог. Я его сама тоже просмотрела. Вроде бы всё моё, чужого не увидела :blush2:

Буду благодарна, если Вы в свободное время глянете на него :blink:

Эти ключики связаны, скорее всего, вот с этим:

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

И у вас всё в порядке :blink:

Share this post


Link to post
Share on other sites
Поэтому мне и было интересно , знает ли Saule про этот весьма популярный сайт,часто упоминающийся на англоязычных компьютерных форумах. :D

Знаю, конечно :)

Изначально идея у сайта была очень хорошая, но её вытеснил тот факт, что голова в любом случае всегда будет лучше машины. Плюс там были небольшие конфликты по поводу обслуживания сайта и его датабаз, и как последствие этого, датабазы были немного запущены и до сих пор они так, как надо, не чистились.

Дело в том, что на данный момент "рейтинг" любого пункта HijackThis (т.е. степень его безопасности) может повышать/понижать кто угодно - обыкновенные поситители.

Понимаете, что это значит? :)

Если нет, то я могу обьяснить... Например, если вы написали троян и начали его распостранение, что вам мешает зайти на этот сайт и поднять рейтинг своей вредосной программы до полностью безопасной? Для этого вам нужен всего лишь только компьютер, интернет и немного свободного времени.

Но это еще полбеды. Так как, такими вещами (подниманием рейтинга безопасности именно в нехороших целях), как ни странно, занимаются очень немногие. Чаще ошибки на этом сайте появляются по вине тех, кто, наоборот, хочет помочь. Но люди, которые действительно могут обьективно и, главное, верно оценить насколько безопасен тот или иной файл/процесс уже слишком редко посещают этот сайт и еще реже оставляют там свои комментарии ;)

Сайт посещается и обслуживается (большая его часть) обычными юзерами, которые достаточно часто допускают ошибки.

Могу поспорить по этому поводу и доказать на конкретных примерах.

Поэтому полагатся на этот сайт целиком и полностью, к сожалению нельзя. Его можно использовать только лишь, как своего рода помошника.

Подробнейшие инструкции к расшифровке логов ( даже со скриншотами ), опять же на английском, но очень просто и доходчиво:

http://www.spywareinfo.com/~merijn/htlogtutorial.html

http://www.bleepingcomputer.com/tutorials/tutorial42.html

http://www.pchell.com/support/hijackthistutorial.shtml - по этой ссылке, помимо детального объяснения стандартных значений лога ,объясняется как удаляются всевозможные проблемы , найденные Hijackthis.

Что касается обьяснений по удалению потенциальных проблем, то лучше из этих ссылок использовать не последнюю, а первую. Там всё то же самое, только это первоисточник и информация своевременно обновляется (если вдруг появляются какие-либо изменения), чего нельзя сказать о http://www.pchell.com (очень много рекомендаций этого сайта уже устаревшие, а следовательно не совсем корректные, поэтому для повышения знаний в сфере компьютерной безопасности в целом этот сайт не советуется).

А о http://www.bleepingcomputer.com могу сказать очень много всего только хорошего. Если есть желание учиться на английских источниках, то это действительно подходит. И кстати, раз уж разговор об этом зашел, я там тоже регулярно пишу, в первую очередь в разделе "HijackThis Logs and Analysis" :) Поэтому не только знаю, но и активно учавствую. Просто, насколько я успела заметить, в России даже для программ с двумя кнопками люди почему-то часто просят руссификаторы... поэтому мне кажется, посылать на английские форумы, говоря: "ищите там, там всё есть", несколько некорректно (но как вариант можно, я не спорю). Хотелось сделать приятно именно русскоязычным людям :)

Share this post


Link to post
Share on other sites
Изначально идея у сайта была очень хорошая, но её вытеснил тот факт, что голова в любом случае всегда будет лучше машины.

Я полностью это поддерживаю.

Об этой ссылке я раньше не знала, и, действительно, этот сервис может служить своего рода подспорьем.

Хотя, когда я проверяла свой лог HijackThis, в отчете было очень много unknown параметров, что, конечно же неудивительно, потому что любой лог специфичен - у каждого пользователя так или иначе бывает установлено специфическое ПО, которое ни один автоанализатор не определит однозначно.

И человека, который очень далек от таких вещей, может даже сбить с толку автоотчет.

А вот примеры пользования HijackThis я почитала с большим интересом :D

Saule

Спасибо :)

У меня еще есть один небольшой вопрос.

В логах HijackThis иногда встречаются строки, в конце которых указывается (file missing).

Читая тему "Помощь в лечении систем от нечисти" я видела, что такие строки Вы рекомендуете к удалению.

Т.е. строки, в конце которых есть "file missing" обозначают, что файла в системе нет, на который ссылается такой ключ реестра или параметр?

Абсолютно ли все такие ключи можно безоговорочно фиксить? Или все-таки есть какие-то исключения?

Edited by 1-0

Share this post


Link to post
Share on other sites
У меня еще есть один небольшой вопрос.В логах HijackThis иногда встречаются строки, в конце которых указывается (file missing).

Читая тему "Помощь в лечении систем от нечисти" я видела, что такие строки Вы рекомендуете к удалению.

Т.е. строки, в конце которых есть "file missing" обозначают, что файла в системе нет, на который ссылается такой ключ реестра или параметр?

Абсолютно ли все такие ключи можно безоговорочно фиксить? Или все-таки есть какие-то исключения?

Верно, любой ключ, заканчивающийся "file missing", можно смело пытаться пофиксить (другое дело, что HijackThis не всегда может удалить такие ключи), так как файла, на который ссылается такой ключ действительно уже нет в системе, и запись о нем в реестре уже не нужна.

Но такие ключи могут очень о многом рассказать, поэтому на них обязательно нужно обращать своё внимание.

Иногда они появляются, когда вирус был удален, но удален не совсем корректно (а возможно и не до конца).

Например, если в логе будет примерно следующее:
O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
То компьютер обязательно нужно проверить на наличие вируса Hidrag/Jeefo/HiddenDragon (так как либо с вирусом боролись совсем недавно и эта запись просто еще не успела стать зачищенной; либо вирус был побежден не до конца).

Плюс некоторые вирусы могут выводить из строя главный антивирусный модуль (при этом далеко не все пользователи, как ни странно, это вообще замечают), и по логу HijackThis, благодаря "file missing", это сразу же становится видным (к вашему логу это не относится).

И еще одна причина появления в логе подобных ключей - не совсем корректная деинсталяция какой-либо программы.

Edited by Saule

Share this post


Link to post
Share on other sites

Saule, привет!

У меня возник еще один вопрос по поводу значения такой строчки в логе. На всякий случай привожу лог полностью. А интересующую меня строчку я выделила жирным:

Logfile of HijackThis v1.99.1

Scan saved at 19:49:46, on 24.03.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Unlocker\UnlockerAssistant.exe

C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe

C:\Program Files\AnVir Task Manager\AnVir.exe

C:\Program Files\Punto Switcher\ps.exe

C:\Program Files\Rainlendar\Rainlendar.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\msagent\AgentSvr.exe

C:\PROGRA~1\FlashGet\flashget.exe

C:\Program Files\Microsoft Office\Office10\EXCEL.EXE

C:\Program Files\eMule\eMule.exe

C:\Program Files\QIP\qip.exe

C:\Documents and Settings\нина\Рабочий стол\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = NOT USED (OK)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = NOT USED (OK)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = NOT USED (OK)

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = NOT USED (OK)

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll

O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll

O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [unlockerAssistant] C:\Program Files\Unlocker\UnlockerAssistant.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [AnVir Task Manager] "C:\Program Files\AnVir Task Manager\AnVir.exe" Minimized

O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe

O4 - Startup: Rainlendar.lnk = C:\Program Files\Rainlendar\Rainlendar.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Download All by FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1138545811600

O17 - HKLM\System\CCS\Services\Tcpip\..\{8679D1EF-468F-4A22-BB07-8A5A88F98A48}: NameServer = 87.240.1.1,87.240.1.2

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

И еще такое дело. Периодически я пользуюсь программой HideIP для скрытия своего IP с помощью прокси. Так вот, даже после отключения HideIP и даже после выключения/включения компьютера у меня остается такая строка в логе HijackThis:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 216.228.253.4:80

Естественно, адрес прокси-сервера меняется, в зависимости, наверное, от того, к какому я подключалась последний раз.

Меня просто смущает тот факт, что, как мне кажется, эта строка в логе должна иметь место только тогда, когда HideIP у меня активен. Но не тогда, когда он даже не фигурирует в активных процессах системы. Мне это немножко странно... или я ошибаюсь и это нормальная ситуация?

По возможности, поясни, пожалуйста :D

Share this post


Link to post
Share on other sites
Saule, привет!

У меня возник еще один вопрос по поводу значения такой строчки в логе. На всякий случай привожу лог полностью. А интересующую меня строчку я выделила жирным:

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

Этот процесс нужен для записи отладочной информации при критических сбоях системы и экстренной перезагрузке, после которых он обычно и появляется в автозагрузке. Дословный перевод: Проверка Ошибки Ядра.

Чтобы убрать:

My Computer > Properties > Advanced > Startup and Recovery > Settings > Write debugging information

И изменяем опцию с помощью стрелочки на (none) или Small memory dump.

На русском:

Свойства системы > Дополнительно > Загрузка и восстановление > Параметры > Запись отладочной информации

Изменяем на (отсутствует) или Малый дамп памяти.

И еще такое дело. Периодически я пользуюсь программой HideIP для скрытия своего IP с помощью прокси. Так вот, даже после отключения HideIP и даже после выключения/включения компьютера у меня остается такая строка в логе HijackThis:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 216.228.253.4:80

Естественно, адрес прокси-сервера меняется, в зависимости, наверное, от того, к какому я подключалась последний раз.

Меня просто смущает тот факт, что, как мне кажется, эта строка в логе должна иметь место только тогда, когда HideIP у меня активен. Но не тогда, когда он даже не фигурирует в активных процессах системы. Мне это немножко странно... или я ошибаюсь и это нормальная ситуация?

Эта строка отображает ключ из реестра таким, какой он там на тот момент есть, не зависимо от того активна сейчас эта опция в настройках или нет.

Можешь залезть в реестр и проверить:

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings, ProxyServer

Связано это с тем, что HijackThis обращает внимание в первую очередь на любые изменения в некоторых разделах реестра (это основной принцип работы программы). Если бы никаких изменений там не было, то он бы эти ключи не показывал (т.е. в этих секциях идет автоматическое отображение любых ключиков, которые вообще были изменены и отличаются от стандартных).

Share this post


Link to post
Share on other sites

Saule:

Всё понятно :sm(100):

Большое спасибо!

Share this post


Link to post
Share on other sites

A pocemu nigde net rasskaza voobce o vozmoznostjah etoj programmi. Cto ona umeet delatj? A to ja tak tolkom i ne ponjal dlja cego ona nuzna vsjo-taki.

Mozet estj ssilka kakaju-nibudj, gde ob etom pocitatj mozno?

Share this post


Link to post
Share on other sites
A pocemu nigde net rasskaza voobce o vozmoznostjah etoj programmi. Cto ona umeet delatj? A to ja tak tolkom i ne ponjal dlja cego ona nuzna vsjo-taki.

Mozet estj ssilka kakaju-nibudj, gde ob etom pocitatj mozno?

Программа показывает все потенциально критические места операционной системы, которые чаще всего используються вирусами и вредоносными программами.

Сразу нужно предупредить, что прежде чем удалять что-либо из того, на что укажет HijackThis, нужно удостовериться в том, что вы понимаете что вы делаете. Потому как, если вы удалите что-нибудь нужное, проблем с вашим компьютером после этого может стать только больше.

--------------------

Итак, вы скачали программу (поместить нужно в такое место, где вы потом легко сможите её найти, так как инсталляция там не требуется), распаковали и запустили.

Начальный интерфейс представляет из себя несколько простых кнопок:

Do a systemscan and save a logfile - Сделать сканирование и сохранить лог-файл (отчёт)

По умолчанию лог сохраняется в папке программы с названием hijackthis.log

Do a system scan only - Сделать только сканирование

View the list of backups - Посмотреть список бэкапов (т.е. всё, что было вами удалено с помощью HijackThis автоматически в нём сохраняеться и всё это при необходимости еще можно вернуть, при условии что HijackThis был запущен вами не из .zip файла(!), а из желательно своей папки, которую можно назвать так, как вам нравиться).

Папка с бэкапами появляеться сразу же после первого удаленного вами элемента; и она так и называется - backups.

Open the Misc Tools selection - Открыть выбор других инструментов программы

(об этом нужно по-подробнее, поэтому чуть позже)

Open online HijackThis Quick Start - автоматически открывает страницу: HijackThis Quick Start (краткое ознакомление с этой программой)

Non of the above, just start the program - Ничего из вышеперечисленного, простой запуск программы

И последний пункт:

Don't show this frame again when I start HijackThis - Больше не показывать этот фрейм при запуске HijackThis

Отмечаеться галочкой в том случае, когда вы можете уже свободно использовать возможности этой программы и без этого начального фрейма.

------------

P.S. Сорри, убегаю :) Поэтому продолжим завтра.

Share this post


Link to post
Share on other sites

A po chastjam budet daze lucshe, spasibo :doh:

a to ssilki na russkoje rukovodstvo dlja etoj programmi vsjo nikak najti ne mogu :)

I ece prostite cto ja vas tut vezde uze naprjagaju :) prosto reshil nabratj 20 postov, ctobi zakonnij plusik vam sdelatj :doh: a fluditj prosto tak ne delo, vot ja i povishaju svoi skudnii poznanija v etom dele :)

Share this post


Link to post
Share on other sites

Итак, кнопка Open the Misc Tools selection :g:

После нажатия на неё перед вами появится модуль, состоящий из пяти разделов:

StartupList - Автозагрузка

System Tools - Системные Инструменты

Advanced settings (these will not be saved) - Дополнительные настройки

Update check - Проверка обновлений

Uninstall HijackThis - Деинсталляция HijackThis

Рассмотрим некоторые из них по-подробнее...

---------------

Первый раздел - StartupList - представлен в программе всего лишь одной, но очень мощной кнопкой: Generate StartupList log (Генерировать отчет об Автозагрузке), напротив которой есть 2 пункта:

List also minor selections (full) - Добавить в список все несущественные записи

List empty selections (complete) - Добавить в список все пустые записи

И если вам необходимо просмотреть всё то, что каждый раз загружается автоматически вместе с вашей операционной системой, то лучше, перед нажатием на эту кнопку, оба этих пункта всё-таки отметить галочкой, так как в таком случае отчет будет расширенным и наиболее полным.

При нажатии выскочит предупреждение:
This will create a list of all startup entries in the Registry and various Windows files and display them in Notepad. The process may take up to a few seconds on slow systems. It will in no way alter anything on your system.
Do you want to continue?
примерный перевод:
Это создаст список всех записей автозапуска через Реестр и через различные файлы Windows; и покажет их в Блокноте. Из-за этого процесса вы можете на несколько секунд почувствовать замедление системы. Но это ни в коем случае ничего изменять в вашей системе не будет.
Хотите ли вы продолжить?

Через несколько секунд после нажатия на кнопку Yes, программа выдаст вам лог с анализом практически всех способов автозапуска, которые применяются различными вредоносными программами.

Лог по умолчанию сохраняется в папке HijackThis с названием startuplist.txt

И его структура уже несколько отличается от обычного лога программы.

Немного о том, что в нём будет:

Running processes - Процессы, запущенные в данный момент

Listing of startup folders - Список папок автозапуска

Windows NT UserInit

Autorun entries from Registry - Все ключи Реестра, отвечающие за автозагрузку

File association entry for .EXE, .COM, .BAT, .PIF, .SCR, .HTA, .TXT - Ассоциации этих расширенний

Active Setup stub paths

ICQ Agent Autostart apps

Load/Run keys from C:\WINDOWS\WIN.INI - Ключи автозапуска из файла C:\WINDOWS\WIN.INI

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI - Ключи shell и скринсейвер из файла C:\WINDOWS\SYSTEM.INI

Superhidden extensions - Показывает скрыты ли эти расширения в вашей операционной системе: .lnk, .pif, .exe, .com, .bat, .hta, .scr, .shs, .shb, .vbs, .vbe, .wsh, .scf, .url, .js, .jse

EXPLORER.EXE instances - Проверяет наличие файла Explorer.exe в некоторых папках

REGEDIT.EXE integrity - Проверяет являеться ли файл REGEDIT.ехе оригинальным

Browser Helper Objects - BHO, модули расширения IE

Task Scheduler - Назначенные задания

Download Program Files - Папка Download Program Files

Winsock LSP files

Windows NT/2000/XP services - Список Служб Windows NT/2000/XP

Windows NT logon/logoff scripts - Скрипты Windows NT logon/logoff

ShellServiceObjectDelayLoad items - Пункты ShellServiceObjectDelayLoad

---------------

Второй раздел - System Tools - и шесть очень полезных кнопок:

Open process manager - Открыть менеджер процессов

Open hosts file manager - Открыть менеджер файла hosts

Delete a file on reboot - Удалить файл во время перезагрузки

Delete an NT service - Удалить NT сервисс/службу

Open ADS Spy - Открыть ADS Spy

Open Uninstall Manager - Открыть менеджер деинсталляций

1) Open process manager - откроется нечто подобное, что можно видить в Task Manager (Диспетчер Задач) Windows в закладке Processes - просмотр списка запущенных процессов, но возможности HijackThis в этом плане гораздо превосходят возможности Диспетчерa Задач.

Во-первых, с помощью HijackThis можно видеть не только само название файла, который отвечает за какой-либо процесс, но и сразу же его точное местоположение, что очень удобно.

Во-вторых, если мы поставим галочку в верхнем правом углу, рядом с надписью Show DLLs (на скрине подчеркнуто красной линией), то у нас появится возможность видеть список всех DLL-файлы, которые используются любым из процессов.

Более того, если мы нажмем на кнопку, обведенную на скрине красным цветом (Save list to file), то список всех запущенных процессов, вместе со списком DLL-файлов, интересующего нас процесса, можно сохранить в текстовый файл (по умолчанию сохраняется в папке HijackThis с названием processlist.txt).

Или же кнопка рядом - Copy list to clipboard - автоматически скопирует эту информацию в память компьютера (дальше делаем просто "paste" в любом месте).

Кликнув по любому файлу двойным кликом, мы автоматически откроем его Параметры (Properties).

А с помощью кнопок Kill process, Refresh, Run соответственно возможно завершать, обновлять (весь список) и снова запускать любой из процессов.

2) Open hosts file manager - анализ и редактирование файла hosts.

Файл hosts участвует в процессе определения IP адреса сервера по его имени. Модификация этого файла может привести к нарушению данного процесса и подмене адреса любого сервера. Поэтому обнаружение там посторонних записей, особенно связанных с популярными поисковыми системами или антивирусными продуктами, однозначно свидетельствует о деятельности какой-либо троянской программы.

По умолчанию там должна быть только одна строчка:

127.0.0.1 localhost

Все остальное можно стирать.

Delete line(s) - Удалить строку/линию (строки/линии)

Toggle line(s) - Добавит или уберёт в начале строки (строк) знак #

Open in Notepad - Открыть в Блокноте

Back - Вернуться назад

3) Delete a file on reboot - тут всё просто. При нажатии на эту кнопку выбираете любой файл, который необходимо удалить после перезагрузки, после чего вас спросят, желаете ли вы перезагрузить компьютер сейчас или нет.

4) Delete an NT service - редко где встречающаяся функция - удаление какого-либо NT сервисса/службы.

При нажатии откроется окошко, в которое нужно скопировать из лога HijackThis ( название службы, которую вы желаете удалить и затем нажать на кнопку ОК. Единственное, перед этим службу обязательно необходимо остановить.

Start > Run; вписать services.msc; нажать ОК.
Найтив списке сервисов нужное, кликнуть по нему двойным кликом и в открывшемся приложении изменить StartUp Type на положение Disabled и, если возможно, нажать кнопку Stop. Сохранить изменения (Apply и ОК).

И еще системные критические службы таким образом не удаляются, но это, наверное, только лишь плюс :g:

5) Open ADS Spy - встроенная в HijackThis утилита ADS Spy.

ADS (Alternate Data Streams) - дословный перевод: Дополнительные Потоки Данных. Другими словами это файлы/информация, скрытая от Windows, т.е. невидимая для Explorer.exe, а в некторых других проводниках, типа Total Commander, их размер всё равно будет равен 0. Некоторые вирусы используют ADS для того, чтобы прятать свои файлы и очень не многие программы могут найти их.
Также нужно заметить, что не все файлы, невидиммые для Windows, обязательно являються вредоносными, поэтому пока вы не будите уверенными в обратном, удалять найденные ADS нельзя.

Scan - Начать сканирование

Save log - Сохранить лог (по умолчанию сохраняется в папке HijackThis с названием adsspy.txt).

Remove selected - Удалить выбранные

Back - Вернуться назад

6) Open Uninstall Manager - список программ, который находится: Control Panel > Add or Remove Programs

Здесь возможно деинсталлировать какую-либо программу, добавив соответствующую команду и удалив её "entry" из вашей системы (Внимание: удаленную таким образом программу восстановить или вернуть без новой её инсталляции невозможно).

При желании есть возможность сохранить список этих программ в текстовый файл (по умолчанию сохраняется в папке HijackThis с названием uninstall_list.txt).

  • Upvote 1

Share this post


Link to post
Share on other sites

Спасибо за полную консультацию и потраченное на это время. :bye1:

Хотел еще о такой вещи узнать тут. Если я что-нибудь неправильно удалю, я могу это вернуть или нет?

Share this post


Link to post
Share on other sites
Спасибо за полную консультацию и потраченное на это время. :D

Хотел еще о такой вещи узнать тут. Если я что-нибудь неправильно удалю, я могу это вернуть или нет?

Кнопка "View the list of backups" в начальном фрейме.

Либо после сканирования:

Config... > Backups

Всё, что вами было удалено автоматически там сохраняеться и при необходимости всё возможно вернуть, при условии что HijackThis был запущен вами не из архивного файла(!), например .zip.

Папка с бэкапами появляеться сразу же после первого удаленного вами элемента; и она так и называется - backups.

Работать с ними очень просто. Отмечаем галочкой необходимое и нажимаем на нужную кнопку:

"Restore" - Восстановить

"Delete" - Удалить

Либо же "Delete all" - Удалить все записи.

скрин:

untitled20rh.gif

Share this post


Link to post
Share on other sites

Эта просьба меня слегка озадачила :g:

Потому что с одной стороны, разобраться в логе совсем не сложно (всё, что твоё (принадлежит системе) - значит твоё; всё, что не твоё - значит чужое); гораздо сложнее понимать, что именно с каждым таким "чужим" делать, чтобы как можно корректнее он него избавиться; а с другой стороны, там столько всяких нюансов, которые начинаешь чувствовать только со временем (опыт :D)... и, наверное, проще будет для таких обьяснений открыть новый топик, посвященный HijackThis...

К тому же количество вредоносных программ неуклонно растет... поэтому, если есть желание заниматься этой сферой серьезно, необходимо быть в курсе подобных разнообразных "новинок"... Если же желание не серьезное, просто лишь для себя, то можно поступить примерно следующим образом. Самостоятельно делаешь или находишь логи HijackThis и те строчки, которые тебе там не понятны, копируй и спрашивай конкретно о них. А я постараюсь обьяснить, что они означают, как можно подробнее.

Привет объясни чем отличается:

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe от C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

у меня их два запушенно.

и ещё просмотри пжлста эти процессы:

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll - ТАКИХ 5 ШТ.

и ещё меня смушают папки CINTLGNT, PINTLGNT, TINTLGNT в C:\WINDOWS\system32\IME и папка C:\WINDOWS\ime в ней лежат какие-то китайские программы.

Помогите разобратся с этим.

Share this post


Link to post
Share on other sites
Привет объясни чем отличается:

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe от C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

у меня их два запушенно.

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll - ТАКИХ 5 ШТ.

cli.exe

ATI Catalyst Control Centre (ССС), принадлежащий АTI Multimedia (часть драйверов от видио карты).

Один из этих процессов (cli.exe) - runtime, другой (CLI.exe) - System Tray (иконка и возможная панелька с настройками внизу).

Это нормально.

AcroIEHelper.dll - библиотека, принадлежащая Adobe Acrobat Reader и позволяющая просмотр PDF файлов прямо в браузере.

TGT_BHO.dll - программа StyleXP (для изменения интерфейса Windows), и её встроенный в браузер файл, необходимый для изменения его (браузера) внешнего вида.

ctfmon.exe (Alternative User Input Services; Microsoft Corp.) - индикатор раскладки клавиатуры. Устанавливается вместе с MS Office. В Windows XP присутствует и без установки Office.

Неизвестный файл LSP (idmmbc.dll) принадлежит программе Internet Download Manager и находится в Winsock тоже совершенно легально.

-----------

imjpmig.exe - часть MS Input Method Editor (Microsoft Corp.).

MS Input Method Editor (IME) - редактор способов ввода - это средство для фонетического ввода символов, которое преобразует транскрипцию, набранную латинскими буквами, в иероглиф.

Конкретно imjpmig.exe используется MS IME для упрощения работы с символами японского языка.

TINTSETP.EXE и папки CINTLGNT, PINTLGNT, TINTLGNT - из той же серии - Input Message Editor (Microsoft Corp.) и средства для работы с восточноазиатскими языками.

Тут об этом можно почитать по-подробнее:

http://office.microsoft.com/ru-ru/assistan...2731791049.aspx

Share this post


Link to post
Share on other sites

Ммм.. Я думаю, желающим научиться самостоятельно анализировать логи Hijack'а пригодится весьма интересный сайт http://www.castlecops.com/HijackThis.html (информация от разработчика Merijn'а)

Там же есть ссылочки вида http://www.castlecops.com/O20.html - где O20 - это соответствующий код Hijack'а, а содержимое странички - база знаний на тему того, что под этим кодом может скрываться. Например, увидев у себя в логе строчку

Winlogon Notify: dimsntfy.dll
лезем на сайт и видим
Winlogon Notify

dimsntfy

L

dimsntfy.dll

System file in Windows 2003 SP1

где жирная буква L в соответствующем столбце таблицы означает полную легальность нахождения этой библиотечки на Вашем компьютере.

2Saule: Очень хотелось бы услышать твое мнение об этом сайте в плане контента.

Share this post


Link to post
Share on other sites
2Saule: Очень хотелось бы услышать твое мнение об этом сайте в плане контента.

В плане контента всё хорошо.

Плюс обновляется регулярно и в базу ничего без достаточных оснований никогда не заносится.

Share this post


Link to post
Share on other sites

По просьбе посетителей форума выкладываю в топике свою статью о программе HijackThis, опубликованную в http://; ftp:// и т.д.) в тех случаях, когда вы указывайте адрес веб-сайта без него.

Некоторые используемые ключи реестра:

HKLM\SOFTWARE\Microsoft\Internet Explorer\Main: Start Page

HKCU\SOFTWARE\Microsoft\Internet Explorer\Main: Start Page

HKLM\SOFTWARE\Microsoft\Internet Explorer\Main: Search Page

HKCU\SOFTWARE\Microsoft\Internet Explorer\Main: Search Page

HKLM\SOFTWARE\Microsoft\Internet Explorer\Main: Default_Page_URL

HKCU\SOFTWARE\Microsoft\Internet Explorer\Main: Default_Page_URL

HKLM\SOFTWARE\Microsoft\Internet Explorer\Search: SearchAssistant

HKLM\SOFTWARE\Microsoft\Internet Explorer\Search: CustomizeSearch

HKCU\SOFTWARE\Microsoft\Internet Explorer\Search: CustomizeSearch

HKCU\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks

HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchURL: Default

HKCU\SOFTWARE\Microsoft\Internet Explorer\Main: Window Title

HKCU\SOFTWARE\Microsoft\Internet Explorer\Main: Search Bar

HKCU\SOFTWARE\Microsoft\Internet Connection Wizard: ShellNext

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

Как это выглядит в логе:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - C:\PROGRA~1\Toolbar\toolbar.dll

R3 - Default URLSearchHook is missing

Действие HijackThis при удалении строчки из этой секции: удаление соответствующей информации из реестра (далее по тексту этот пункт будет обозначатся сокращенно: Действие HijackThis).

Секции F0, F1, F2, F3

Автозапуск программ из ini-файлов.

Речь идет о следующих системных файлах:

C:\WINDOWS\system.ini

C:\WINDOWS\win.ini

А также эквивалентных мест в реестре (для Windows NT/2000/2003/XP):

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping

F0 - автозапуск через параметр Shell= из файла system.ini

F1 - автозапуск через параметы Run= и Load= из файла win.ini

F2 и F3 - то же самое, только для Windows NT/2000/2003/XP (запуск программ через реестр).

Как это выглядит в логе:

F0 - system.ini: Shell=explorer.exe winuser32.exe

F1 - win.ini: run=hpfsched

F2 - REG:system.ini: Shell=explorer.exe "С:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"

F3 - REG:win.ini: run=С:\WINDOWS\inet20001\services.exe

Действие HijackThis: удаление соответствующей записи из ini-файла/реестра (для предотвращения последующего автоматического запуска данного приложения).

Секции N1, N2, N3, N4

Изменения начальной и поисковой страниц Netscape/Mozilla.

N1 - стартовая и поисковая страницы для Netscape 4.

N2 - стартовая и поисковая страницы для Netscape 6.

N3 - стартовая и поисковая страницы для Netscape 7.

N4 - стартовая и поисковая страницы для Mozilla.

Информация об этих настройках во всех 4-ех случаях хранится в файле с названием prefs.js.

Как это выглядит в логе:

N1 - Netscape 4: user_pref "browser.startup.homepage", "www.coolwwwsearch.com"); (C:\Program Files\Netscape\Users\default\prefs.js)

Действие HijackThis: удаление соответствующей информации из файла prefs.js.

Секция O1

Изменения в файле Hosts.

Файл Hosts участвует в процессе определения IP адреса сервера по его имени, и модификация этого файла может привести к нарушению данного процесса и подмене адреса любого хоста. Поэтому обнаружение в нем посторонних записей, особенно связанных с популярными поисковыми системами или антивирусными продуктами, однозначно свидетельствует о деятельности вредоносной программы.

По умолчанию в нем должна быть только одна строчка: 127.0.0.1 localhost (плюс комментарии, начинающиеся со знака #). Все остальное можно стирать.

Открыть и отредактировать файл Hosts можно любым текстовым редактором (например, Блокнот/Notepad), и по умолчанию он находится здесь:

Для Windows 95/98/ME: C:\WINDOWS\Hosts

Для Windows 2000/NT: C:\WINNT\system32\drivers\etc\Hosts

Для Windows 2003/XP: C:\WINDOWS\system32\drivers\etc\Hosts

Также имейте в виду, что в Windows NT/2000/XP его местоположение может быть изменено вредоносной программой с помощью следующего ключа реестра (HijackThis об этом сообщает):

HKLM\System\CurrentControlSet\Services\Tcpip\Parameters: DatabasePath

Как это выглядит в логе:

O1 - Hosts: 69.20.16.183 auto.search.msn.com

O1 - Hosts: <TITLE>404 Not Found</TITLE>

O1 - Hosts file is located at C:\Windows\Help\hosts

Действие HijackThis: удаление соответствующей записи в файле Hosts.

Секция O2

Плагины и расширения браузера (BHO/Browser Helper Objects).

BHO представляют собой dll-библиотеки, которые каждый раз загружаются вместе с браузером, из-за чего их присутствие в системе долгое время может быть незаметным (большинство файрволов в этом случае тоже бессильны, так как с их точки зрения обмен с интернетом ведет процесс браузера).

Просмотреть полный список этих библиотек в Windows можно следующим образом (при условии, что версия IE не ниже шестой):
Свойства Обозревателя > закладка Программы и кнопка Надстройки (Internet Options > закладка Programs и кнопка Manage Add-ons).

Используемый ключ реестра:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Как это выглядит в логе:

O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\cbxyvtq.dll

O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet7_22.dll

Действие HijackThis: удаление как информации из реестра (включая раздел CLSID), так и вредоносного файла.

Секция O3

Дополнительные панели инструментов браузера (Internet Explorer Тoolbars).

По своим функциям и поведению очень похожи на BHO, но помимо скрытой работы, как правило, добавляют в браузер еще и дополнительную панель инструментов, примерно следующего типа (google берем, как пример, чтобы было понятнее, о чем идет речь):

googlenm6.gif
Видимость этих панелей регулируется в верхнем меню IE:
Вид > Панели инструментов (View > Тoolbars)

Используемый ключ реестра:

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar

Как это выглядит в логе:

O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Program Files\ISTbar\istbar.dll

O3 - Toolbar: Alexa - {3CEFF6CD-6F08-4e4d-BCCD-FF7415288C3B} - C:\WINDOWS\system32\SHDOCVW.DLL

Действие HijackThis: удаление информации из реестра (вредоносные файлы необходимо удалить после, в ручную).

Секция O4

Автозапуск программ из реестра и папки Startup.

Просмотреть список программ, запускающихся подобным образом, используя средства Windows, можно с помощью утилиты msconfig:

Пуск > Применить; вписать msconfig; нажать ОК; и в открывшемся приложении последняя закладка - Автозагрузка

(Start > Run; вписать msconfig; нажать ОК; и в открывшемся приложении последняя закладка - StartUp)

Используемые ключи реестра:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

И папки (для Windows XP):

Startup: C:\Documents and Settings\имя пользователя\Start Menu\Programs\Startup

Global: C:\Documents and Settings\All Users\Start Menu\Programs\Startup

Как это выглядит в логе:

O4 - HKCU\..\Run: [Windows Security Protocol] win32sprot.exe

O4 - HKLM\..\Run: [spooler SubSystem App] C:\WINDOWS\System32\spooIsv.exe

O4 - HKLM\..\RunServices: [Fire Well service] sdtersx.exe

O4 - Startup: mIRC IRC.BY.lnk = C:\Program Files\mIRC\mirc.exe

O4 - Global Startup: MSupdate.exe

Действие HijackThis: удаление записи в реестре/ярлыка из соответствующей папки (для предотвращения последующего автоматического запуска данного приложения).

Некоторые строчки этой секции HijackThis не удаляет, если соответствующая программа на данный момент активна. В этом случае необходимо предварительно завершить её процесс через Диспетчер Задач/Task Manader.

Секция O5

Блокирование доступа к Свойствам Обозревателя (Internet Options) через Панель Управления (Control Panel).

В Windows это возможно сделать, добавив соответствующую запись в системный файл:

C:\WINDOWS\control.ini

Эта функция иногда используется администраторами.

Как это выглядит в логе:

O5 - control.ini: inetcpl.cpl=no

Действие HijackThis: удаление соответствующей записи в файле control.ini.

Секция O6

Запрет на изменение некоторых Свойств Обозревателя (Internet Options).

Используемый ключ реестра:

HKCU\SOFTWARE\Policies\Microsoft\Internet Explorer\Restrictions

Как это выглядит в логе:

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

Имейте в виду, что подобные ограничения также могут устанавливаться некоторыми антивирусами/антитроянами (например, Spybot S&D).

Действие HijackThis: удаление информации из реестра для отменены соответствующего запрета.

Секция O7

Отключение доступа к Regedit.

Другими словами, это запрет на запуск утилиты Windows - regedit.exe, которая используется для редактирования реестра.

С одинаковой вероятностью может быть установлен как администратором, так и вредоносной программой.

Используемый ключ реестра:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

Может быть установлен как Администратором, так и вредоносной программой.

Как это выглядит в логе:

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Действие HijackThis: удаление информации из реестра для отменены соответствующего запрета.

Секция O8

Дополнительные пункты контекстного меню Internet Explorer.

Это меню появляется, когда вы кликаете по какой-либо ссылке правой кнопкой мыши:

weboz6.gif

Используемый ключ реестра:

HKCU\SOFTWARE\Microsoft\Internet Explorer\MenuExt

Как это выглядит в логе:

O8 - Extra context menu item: Проверить ссылку Dr.Web - http://; ftp:// и т.д.) в адресе какого-либо веб-сайта.

То есть, если вы ввели google.com, а префикс, установленный по умолчанию в вашей системе перед этим был изменен, например, на http://ehttp.cc/?, браузер откроет страницу http://ehttp.cc/?google.com.

Используемые ключи реестра:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefix

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix

Как это выглядит в логе:

O13 - DefaultPrefix: http://ehttp.cc/?

O13 - WWW Prefix: http://www.nkvd.us/1507/

Действие HijackThis: сбрасывание значений префиксов на стандартные.

Секция O14

Изменения в файле iereset.inf.

Когда вы используете кнопку сбрасывания настроек браузера, IE использует следующий системный файл (для Windows XP):

С:\WINDOWS\inf\iereset.inf

Если информация в нем будет изменена, то операция восстановления начальных настроек IE обычным способом будет невозможна.

Как это выглядит в логе:

O14 - IERESET.INF: START_PAGE_URL=http://portal/

O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com

Действие HijackThis: удаление соответствующей информации из файла iereset.inf.

Секция O15

Веб-сайты и протоколы, добавленные в зону Надежные узлы (Trusted Zone).

Используемый ключи в реестре:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults

Как это выглядит в логе:

O15 - Trusted Zone: *.masspass.com

O15 - Trusted Zone: http://update.randhi.com (HKLM)

O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)

Действие HijackThis: удаление сайта/протокола из зоны Надежные узлы Trusted Zone.

Секция O16

Программы, загруженные с помощью ActiveX.

ActiveX - это компонент (.dll или .ocx), благодаря которому достигается лучшее взаимодействие с определенным веб-сайтом (к примеру, очень многие антивирусные он-лайн сканирования работают именно через ActiveX; обновления Microsoft; система webmoney и т.д.).

Вредоносные же ActiveX-компоненты обычно устанавливаются для последующей загрузки дополнительного программного обеспечения без вашего ведома.

Используемый ключ реестра:

HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units

Или папка:

C:\WINDOWS\Downloaded Program Files

Как это выглядит в логе:

O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} (loader Class) - http://217.73.66.1/del/loader.cab

O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab

Действие HijackThis: удаление вредоносного компонента и информации о нем в системном реестре.

Секция O17

Изменения домена или DNS сервера.

Как это выглядит в логе:

O17 - HKLM\SYSTEM\CCS\Services\VxD\MSTCP: Domain = aoldsl.net

O17 - HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com

Действие HijackThis: удаление соответствующего ключа из реестра.

Секция O18

Изменения существующих протоколов и фильтров.

Используемые ключи реестра:

HKLM\SOFTWARE\Classes\PROTOCOLS

HKLM\SOFTWARE\Classes\CLSID

HKLM\SOFTWARE\Classes\PROTOCOLS\Handler

HKLM\SOFTWARE\Classes\PROTOCOLS\Filter

Как это выглядит в логе:

O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}

O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINDOWS\httpfilter.dll

O18 - Protocol: about - {53B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\System32\msxmlpp.dll

Действие HijackThis: удаление соответствующего ключа из реестра.

Секция O19

Шаблон Стиля (Style Sheet) пользователя.

Это ваш шаблон, в котором записана информация о цветах, шрифтах, расположении и некоторых других параметрах рассматриваемых в браузере страниц.

Используемый ключ реестра:

HKCU\SOFTWARE\Microsoft\Internet Explorer\Styles: User Stylesheets

Как это выглядит в логе:

O19 - User stylesheet: C:\WINDOWS\Web\win.def

O19 - User stylesheet: C:\WINDOWS\default.css

Действие HijackThis: удаление соответствующей информации из реестра.

Секция O20

Уведомления Winlogon (Winlogon Notify) и модули инициализации (App Init DLLs) для Windows XP/2000/2003.

Модули инициализации (App Init DLLs) загружаются в каждое Windows-приложение, использующее библиотеку user32.dll (а её используют практически все):

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs

А также ключи Winlogon Notify (dll-библиотека в таком случае загружается вместе с процессом winlogon.exe):

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

Как это выглядит в логе:

O20 - AppInit_DLLs: C:\WINDOWS\System32\dbgwin.dll

O20 - Winlogon Notify: Group Policy - C:\WINDOWS\system32\h0n0la5m1d.dll

Действие HijackThis: удаление соответствующей информации из реестра.

Секция O21

Объекты загрузки оболочки (SSODL/Shell Service Object Delay Load).

Библиотеки, которые при каждом старте системы автоматически загружаются, как расширения проводника (вместе с процессом еxplorer.exe), используя ключ ShellServiceObjectDelayLoad:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

Как это выглядит в логе:

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll

Действие HijackThis: удаление соответствующей записи из реестра.

Секция O22

Задания Планировщика Задач (Shared Task Scheduler).

Планировщик Задач Windows отвечает за автоматический запуск определённых программ в установленное вами время.

Используемый ключ в реестре:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

Как это выглядит в логе:

O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - C:\Windows\system32\mtwirl32.dll

Действие HijackThis: удаление соответствующего задания.

Секция O23

Службы Windows NT/Microsoft Windows.

Службы/Сервисы - это приложения, исполняемые в своей собственной сессии (сеансе) Windows и, как правило, не имеющие графического интерфейса, поэтому их работа в большинстве своем незаметна для пользователя.

Любая служба может быть запущена автоматически при загрузке операционной системы и начать работу еще до того, как пользователь произведет вход в Windows.

Просмотреть список всех служб, установленных на компьютере, можно следующим образом:
Пуск > Выполнить; вписать services.msc; нажать ОК
(Start > Run; вписать services.msc; нажать ОК)

Как это выглядит в логе:

O23 - Service: Power Manager - Unknown - C:\WINDOWS\svchost.exe

O23 - Service: K4NV - Unknown owner - C:\WINDOWS\k4nv.exe

Действие HijackThis: остановка службы и изменение Типа её Запуска (StartUp Type) на Отключено (Disabled).

Если же есть желание удалить службу, то это осуществляется несколькими способами:

С помощью командной строки:
Пуск > Выполнить; вписать
sc delete имя службы
; нажать ОК
(Start > Run; вписать sc delete имя службы; нажать ОК)
Через реестр:
HKLM\SYSTEM\CurrentControlSet\Services
HKLM\SYSTEM\ControlSet001\Services
HKLM\SYSTEM\ControlSet002\Services
HKLM\SYSTEM\ControlSet003\Services
HKLM\SYSTEM\ControlSet004\Services
HKLM\SYSTEM\ControlSet005\Services
Либо используя HijackThis и его раздел инструментов - Misc Tools...
  • Upvote 1

Share this post


Link to post
Share on other sites

Раздел Misc Tools

Останавливаемся на нем более подробно.

misckg0.gif

Generate StartupList log - генерировать отчет об Автозагрузке.

После нажатия на эту кнопку HijackThis автоматически выдаст текстовый файл (startuplist.txt) с анализом практически всех способов автозапуска каких-либо приложений вашей операционной системы:

  • папки Startup и All Users Startup;
  • стандартные ключи реестра, отвечающие за автозагрузку;
  • параметр Userinit (HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit);
  • ассоциации расширений .EXE, .COM, .BAT, .PIF, .SCR, .HTA, .TXT;
  • перечисление Active Setup stub paths (HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components);
  • перечисление автозагружающихся приложений ICQ (HKCU\SOFTWARE\Mirabilis\ICQ\Agent\Apps);
  • автозапуск из ini-файлов или эквивалентных им мест реестра;
  • проверка на видимость следующих расширений: .lnk, .pif, .exe, .com, .bat, .hta, .scr, .shs, .shb, .vbs, .vbe, .wsh, .scf, .url, .js, .jse;
  • проверка на наналичие файла еxplorer.exe в нескольких папках;
  • проверка на оригинальность файла regedit.exe;
  • BHO;
  • назначенные задания Планировщика Задач;
  • папка Download Program Files;
  • перечесление файлов Winsock LSP;
  • список служб Microsoft Windows;
  • перечесление скриптов Windows NT logon/logoff;
  • расширения еxplorer.exe (ShellServiceObjectDelayLoad)

----------------------

Open Process Manager - открыть Менеджер Процессов.

Менеджер Процессов позволяет:

  • Просмотреть список всех запущенных процессов системы.
    В отличие от Диспетчера Задач (Task Manager) Windows, HijackThis сразу показывает точное местоположение каждого файла:
    prockn7.gif


  • Просмотреть список используемых библиотек для каждого из процессов. Для этого ставим галочку напротив надписи "Show DLLs".
  • Сохранить список как всех процессов, так и dll-библиотек какого-либо из них в текстовый файл (processlist.txt). Для этого нажимаем на кнопку в виде желтой дискеты - saveoz8.gif.
  • Скопировать эту же информацию в буфер временной памяти, кнопка рядом - clipqx7.gif (Copy list to clipboard).
  • Открыть Свойства (Properties) любого из файлов, кликнув по нужному двойным кликом.
  • Завершить какой-либо из процессов с помощью кнопки "Kill process".

Чтобы выйти из менеджера процессов - нажмите на кнопку "Back" (с помощью этой кнопки можно выйти из любого приложения HijackThis).

----------------------

Open Hosts file Manager - открыть Менеджер файла Hosts.

Менеджер файла Hosts позволяет просмотреть содержимое этого файла с возможностью удаления любой из его строк:

  • Delete line(s) - удалить строку(строки).
  • Toggle line(s) - добавить или убрать в начале строки(строк) знак # (строки, начинающие с этого знака считаются комментарием и не читаются операционной системой).
  • Open in Notepad - открыть файл Hosts в Блокноте.
hosteo6.gif

----------------------

Delete a file on Reboot - удалить файл во время перезагрузки системы.

С помощью этой функции вы можете выбрать любой файл Windows, который необходимо удалить во время следующей перезагрузки системы.

После чего сразу же будет запрос, желаете ли вы перезагрузить компьютер сейчас или нет.

----------------------

Delete an NT service - удалить службу Microsoft Windows.

При нажатии на эту кнопку откроется окошко, в которое нужно скопировать или ввести точное название удаляемой службы.

Службу предварительно естественно необходимо остановить и изменить тип её запуска на "Отключено" ("Disabled").

----------------------

Open ADS Spy - открыть, встроенную в HijackThis, утилиту ADS Spy.

ADS (Alternate Data Streams)
- "альтернативные потоки данных" - появились в Windows с введением файловой системы NTFS, и в сущности, были созданы для обеспечения совместимости с HFS (Hierarchical File System - устаревшая файловая система Macintosh). Суть организации HFS состоит в раздвоении файла на файл данных и файл ресурсов. В файле данных находится содержимое документа, а в файле ресурсов - идентификатор типа файла и другие свойства. Нечто подобное стало возможным и в Windows (говоря простым языком, присоединение к видимым файлам - абсолютно невидимых), и спустя какое-то время некоторые вирусописатели взяли себе это на вооружение.
ADS нельзя просмотреть, используя стандартные методы (через командную строку или с помощью Windows Explorer), и очень немногие антивирусы способны их обнаруживать (а для тех, кто способен - в любом случае необходима дополнительная настройка). Поэтому в целях собственной безопасности рекомендуется время от времени использовать специальные утилиты, созданные именно для обнаружения и удаления файлов, использующих альтернативные потоки данных. ADS Spy - как раз одна из таких утилит:
adsme2.gif

Назначение основных кнопок:

  • Scan - сканирование на наличие в системе ADS.
  • Save log - сохранить отчет (adsspy.txt).
  • Remove selected - удалить выбранные.

----------------------

Open Uninstall Manager - открыть Менеджер Деинсталляций.

uninstalxa6.gif

Менеджер Деинсталляций позволяет:

  • Просмотреть список программ, находящийся также в "Установка и удаление программ" ("Add or Remove Programs") Windows.
  • Видеть команду деинсталляции каждой программы.
  • Деинсталлировать любую программу с помощью кнопки "Delete this entry".
  • Добавить новую команду деинсталляции любой из программ с помощью кнопки "Edit uninstall command".
  • Открыть приложение "Установка и удаление программ" ("Add or Remove Programs") Windows нажатием кнопки "Open Add/Remove Software list"
  • Сохранить весь список программ в текстовый файл (uninstall_list.txt). Для этого нажимаем на кнопку "Save list..."

----------------------

Advanced settings

Дополнительные настройки сканирования HijackThis:

Calculate MD5 of files if possible
- вычислять при сканировании контрольные суммы MD5 у тех файлов, у которых это возможно.
Как это выглядит в логе:
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\saIE.dll (filesize 514264 bytes, MD5 A572BB8B39C5C06381CB2A27340855A1)
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp (filesize 33280 bytes, MD5 DA285490BBD8A1D0CE6623577D5BA1FF)
Include enviroment variables in logfile
- включить в лог переменные окружающей среды ОС.
Как это выглядит в логе:
Windows folder: C:\WINDOWS
System folder: C:\WINDOWS\SYSTEM32
Hosts file: C:\WINDOWS\System32\drivers\etc\hosts

----------------------

К слову: отчет HijackThis всегда начинается с общей информации следующего характера:

Logfile of HijackThis v1.99.1 - версия HijackThis.
Scan saved at 19:37:03, on 08.07.2006 - дата и время сканирования.
Platform: Windows XP SP2 (WinNT 5.01.2600) - операционная система.
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) - версия Internet Explorer.

Плюс обязательно указываются все активные процессы системы на момент создания лога (Running processes).

----------------------

И последнии кнопки раздела Misc Tools:

Update check - проверка обновлений программы.

Uninstall HijackThis - деинсталляция HijackThis.

----------------------

Заключение

Надеюсь, что это краткое руководство поможет вам разобраться в возможностях HijackThis и даст хоть какие-то ориентиры для анализа и контроля общего состояния вашей операционной системы...

Если же у вас до сих пор остались какие-либо вопросы, касающиеся этой программы, то, повторюсь, не стесняйтесь их задавать (прямо в этом же топике).

  • Upvote 1

Share this post


Link to post
Share on other sites
Guest
This topic is now closed to further replies.
Sign in to follow this  

×
×
  • Create New...