Софт-Архив

Hijackthis Что Это За Программа img-1

Hijackthis Что Это За Программа

Рейтинг: 4.4/5.0 (1848 проголосовавших)

Категория: Windows: Антишпионы

Описание

HijackThis скачать бесплатно на русском языке

HijackThis

HijackThis — легковесный сервис для поиска и очистки системы от вредоносных объектов, а также обеспечения надежной защиты. Утилита создает подробные отчеты по параметрам реестра и файлов компьютера. Она выявляет список нежелательных вторжений, а пользователь самостоятельно принимаете решение по удалению или сохранению.

Предлагаем вам скачать HijackThis бесплатно на русском языке и познакомиться с его функциональными возможностями.

Программа позволяет обнаружить и отредактировать определенные изменения в настройках ОС. Основная ее задача сводится к тому, чтобы исследовать конкретные области системы и сформировать список (лог), куда и войдут вредоносные программы, подозрительные файлы и пр.

Однако, сразу отметим, что базы данных этих объектов не существует, соответственно и анализа на безопасность как такового не проводится. Поэтому, собственно, принятие решения по удалению или сохранению объекта и возлагается на пользователя.

Особенности программы
  • Удобный интерфейс.
  • Русская версия.
  • Программа HijackThis нетребовательная к ресурсам компьютера.
  • Очень скоростное сканирование.
  • Подробная информация об обнаруженных элементах.
  • Анализ каждого подозрительного объекта.
  • Составление списка исключений.
  • В отчете нет разделения на безопасные и небезопасные параметры.
  • Небольшой вес утилиты — около 200 Кб.
  • Не имеет больших системных требований.
  • Наличие Portable версии.
HijackThis: предостережение

Загрузить и пользоваться программой рекомендуется, в первую очередь, опытным пользователям, поскольку она способна вносить серьезные изменения в различные части операционной системы — в принятии подобных решений важно иметь определенные навыки.

Но, если вы новичок и не уверены в удалении какого-либо объекта, во избежание нежелательных последствий, лучше найти информацию в интернете, например, и убедиться в целесообразности запланированных манипуляций.

Последняя версия для Windows 7, Windows 8, 98, 2000, XP, Vista уже размещена на нашем сайте. Вы можете скачать ее и через любой торрент, установить и быть уверенным в защите своего компьютера.

Другие статьи, обзоры программ, новости

HijackThis скачать бесплатно на русском языке

HijackThis HijackThis - что это за программа?

HijackThis – компактная, но полезная утилита для выявления и удаления вредоносного программного обеспечения с компьютера.

Можно HijackThis скачать  всем пользователям, вне зависимости от их опыта работы за компьютером и навыков в работе в сети, поскольку она проста в работе, занимает мало места и не нагружает систему, поэтому запустится даже на слабых компьютерах. Вместе с этим программа в многочисленных тестах продемонстрирова ла отличную эффективность борьбы с всевозможными hihack-ами, эффективно выявляет вредоносные программы и уничтожает выявленные угрозы, обеспечивая тем самым надежную защиту для компьютера пользователя, установленных на нем программ и хранимой информации.

Наиболее частыми выявленными угрозами программой являются вредоносные программы типов adware и malware. Подобные угрозы могут нанести существенный вред компьютеру и всей системе, поэтому доставляют немало хлопот многим пользователям. Поэтому нужно просто HijackThis скачать бесплатно  и обеспечить себе защиту от подобных неприятностей. Программа исследует и сканирует системный реестр, выявляя критические области и возможные проблемные моменты. Далее программа предоставляет пользователю отчет о проделанной работе, указывая список ключей реестра, которые могут иметь отношение к вирусам и прочим вредоносным программам.

Скачать HijackThis

√ HijackThis скачать бесплатно

Обновите свой браузер! - возможно, ваша версия устарела (не обязательно).

HijackThis - краткое руководство

Вступление.

HijackThis изначально создавался Мерийном Беллекомом (Merijn Bellekom) как инструмент для обнаружения и удаления различного рода троянских программ, перенастраивающих параметры браузера и других приложений системы без ведома пользователя; и впоследствии программа получила очень широкое распространение.

На сегодняшний день логи HijackThis уже давно принято считать своеобразным информационным стандартом в рамках многочисленных конференций, посвященных компьютерной безопасности.

Предупреждение.

HijackThis рассчитан на более-менее опытных пользователей, имеющих представление о том, как работает ОС Windows, так как программа в первую очередь позволяет вносить изменения во многие участки операционной системы. И неумелое их редактирование может повлечь за собой серьезные последствия для ОС.

Поэтому, пожалуйста, будьте предельно осторожны при использовании HijackThis. и в случае, если вы чувствуете себя недостаточно опытным, прежде чем удалять что-либо, попробуйте поискать информацию об удаляемом элементе в интернете или же проконсультируйтесь со знающим человеком.

Назначение.

Основное назначение программы: обнаружение и исправление изменений в настройках наиболее уязвимых областей операционной системы. А главная её функция заключается в автоматическом исследовании этих областей и вывода собранной информации в виде удобного лога (отчёта).

Важно понимать, что в программе нет какой-либо базы данных по вредоносным программам, поэтому последующий анализ содержимого своего лога HijackThis не предполагает. И решение об удалении какого-либо компонента может принять только сам пользователь.

Особенности:

• HijackThis совершенно бесплатен.

• Вес программы: чуть более 200 Кб.

• Не выдвигает каких-либо особых системных требований.

• Для работы нуждается в минимальном количестве ресурсов компьютера.

• Любое сканирование программы занимает всего несколько секунд.

• Не обменивается информацией с сетью и интернетом, поэтому для использования не требуются какие-либо дополнительные настройки файрвола.

____________________________

Начало работы.

Скачать HijackThis можно по следующим адресам:

Далее программу обязательно нужно распаковать, так как при запуске из архивного файла HijackThis не сможет создавать резервные копии удаляемых элементов.

Инсталляция для начала работы не требуется, поэтому, для своего же удобства, поместите папку HijackThis в такое место, которое вы в последствии без труда сможете снова найти.

Стартовое окошко программы:

И назначения кнопок, на нем расположенных:

Do a systemscan and save a logfile - сканирование и автоматическое сохранение лога (по умолчанию лог сохраняется в папке программы с названием hijackthis.log).

Do a system scan only - только сканирование.

View the list of backups - открытие списка бэкапов (перед тем, как что-либо удалить, HijackThis по умолчанию автоматически создает резервную копию удаляемого элемента).

Open the Misc Tools selection - другие инструменты программы (на этом мы подробно остановимся немного позже).

Open online HijackThis Quick Start - автоматически открывает страницу HijackThis Quick Start (краткое ознакомление с программой на английском языке).

Non of the above, just start the program - ничего из вышеперечисленного, простой запуск программы.

И как только вы немного освоитесь, советую поставить галочку напротив "Don't show this frame again when I start HijackThis". чтобы начинать работу с программой без этого начального фрейма.

Плюс немного забегая вперед, сразу дам параметры для запуска "Джека" из командной строки:

hijackthis - обычный запуск.

hijackthis /autolog - сканирование, с автоматическим сохранением и открытием лога.

hijackthis /ihatewhitelists - запуск программы именно таким образом увеличит размеры вашего лога, возможно, даже в несколько раз; так как некоторые компоненты, занесенные в так называемый внутренний "белый список", в обычном логе никогда не отображаются.

hijackthis /uninstall - деинсталляция HijackThis.

Анализ лога.

С элементами лога возможны следующие манипуляции:

- Удаление. отмечаем нужную строчку галочкой и нажимаем на кнопку "Fix сhecked" .

Если удаляемый элемент каким-либо образом касается браузера, то его (браузер) обязательно предварительно нужно закрыть.

- Занесение в игнор-лист (касается элементов в надежности которых вы уверены): отмечаем нужную строчку галочкой и нажимаем на кнопку "Add checked to ignorelist" .

Элементы, занесенные в игнор-лист, в дальнейших отчетах отображаться не будут.

Основной принцип при анализе лога. удаление элементов, о существовании которых вы до недавнего времени и не предполагали (при условии, что вы достаточно хорошо знакомы со своей операционной системой). И занесение в игнор-лист "проверенных" приложений, установленных исключительно вами

Каждая строчка в логе HijackThis начинается со своего определенного обозначения (названия секции).

Начнем с их краткой характеристики и затем рассмотрим каждую из секций детально:

R0, R1, R2, R3 - изменения основных настроек Internet Explorer.

F0, F1, F2, F3 - автозапуск программ из ini-файлов и эквивалентных мест реестра.

N1, N2, N3, N4 - изменения начальной и поисковой страниц Netscape/Mozilla.

O1 - изменения в файле Hosts.

O2 - плагины и расширения браузера (BHO/Browser Helper Objects).

O3 - дополнительные панели инструментов браузера (Internet Explorer Тoolbars).

O4 - автозапуск программ из реестра и папки Startup.

O5 - блокирование доступа к Свойствам Обозревателя (Internet Options) через Панель Управления.

O6 - запрет на изменение некоторых Свойств Обозревателя (Internet Options).

O7 - отключение доступа к Regedit.

O8 - дополнительные пункты контекстного меню Internet Explorer.

O9 - дополнительные кнопки и сервисы на главной панели Internet Explorer.

O10 - Winsock LSP (Layered Service Provider/поставщик многоуровневых услуг).

O11 - новая группа настроек в Свойствах Обозревателя (Internet Options).

O12 - плагины Internet Explorer.

O13 - префиксы IE.

O14 - изменения в файле iereset.inf.

O15 - веб-сайты и протоколы, добавленные в зону Надежные узлы (Trusted Zone).

O16 - программы, загруженные с помощью ActiveX (подкаталог WINDOWS\Downloaded Program Files).

O17 - изменения домена или DNS сервера.

O18 - изменения существующих протоколов и фильтров.

O19 - шаблон стиля (Style Sheet) пользователя.

O20 - уведомления Winlogon (Winlogon Notify) и модули инициализации (App Init DLLs) для Windows XP/2000/2003.

O21 - объекты загрузки оболочки (SSODL/Shell Service Object Delay Load).

O22 - задачи Планировщика Windows (Shared Task Scheduler).

O23 - службы Windows NT/Microsoft Windows.

Секции R0, R1, R2, R3.

Изменения основных настроек Internet Explorer.

R0 - ваша домашняя страница (загружающаяся при старте IE) и поисковый ассистент браузера (Search Assistant).

R1 - настройки, связанные с интернет-поиском, плюс некоторые другие характеристики (IE Window Title; ProxyServer, ProxyOverride в настройках IE, Internet Connection Wizard: ShellNext и др.).

R2 - эта секция на данный момент не используется.

R3 - URL Search Hook - перехватчик поиска, который используется браузером для автоматического определения протокола (http://; ftp:// и т.д.) в тех случаях, когда вы указывайте адрес веб-сайта без него.

Некоторые используемые ключи реестра:

HKLM\SOFTWARE\Microsoft\Internet Explorer\Main: Start Page

HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Start Page

HKLM\SOFTWARE\Microsoft\Internet Explorer\Main, Search Page

HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Search Page

HKLM\SOFTWARE\Microsoft\Internet Explorer\Main, Default_Page_URL

HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Default_Page_URL

HKLM\SOFTWARE\Microsoft\Internet Explorer\Search, SearchAssistant

HKLM\SOFTWARE\Microsoft\Internet Explorer\Search, CustomizeSearch

HKCU\SOFTWARE\Microsoft\Internet Explorer\Search, CustomizeSearch

HKCU\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks

HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchURL, Default

HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Window Title

HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Search Bar

HKCU\SOFTWARE\Microsoft\Internet Connection Wizard, ShellNext

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings, ProxyServer

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

Как это выглядит в логе:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

1\Toolbar\toolbar.dll

R3 - Default URLSearchHook is missing

Действие HijackThis при удалении строчки из этой секции: удаление соответствующей информации из реестра (далее по тексту этот пункт будет обозначатся сокращенно: Действие HijackThis).

Секции F0, F1, F2, F3.

Автозапуск программ из ini-файлов.

Речь идет о следующих системных файлах:

C:\WINDOWS\system.ini

C:\WINDOWS\win.ini

А также эквивалентных мест в реестре (для Windows NT/2000/2003/XP):

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping

F0 - автозапуск через параметр Shell= из файла system.ini F1 - автозапуск через параметы Run= и Load= из файла win.ini

F2 и F3 - то же самое, только для Windows NT/2000/2003/XP (запуск программ через реестр).

Как это выглядит в логе:

F0 - system.ini: Shell=explorer.exe winuser32.exe

F1 - win.ini: run=hpfsched

F2 - REG:system.ini: Shell=explorer.exe "С:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"

F3 - REG:win.ini: run=С:\WINDOWS\inet20001\services.exe

Действие HijackThis: удаление соответствующей записи из ini-файла/реестра (для предотвращения последующего автоматического запуска данного приложения).

Секции N1, N2, N3, N4.

Изменения начальной и поисковой страниц Netscape/Mozilla.

N1 - стартовая и поисковая страницы для Netscape 4.

N2 - стартовая и поисковая страницы для Netscape 6.

N3 - стартовая и поисковая страницы для Netscape 7.

N4 - стартовая и поисковая страницы для Mozilla.

Информация об этих настройках во всех 4-ех случаях хранится в файле с названием prefs.js.

Как это выглядит в логе:

N1 - Netscape 4: user_pref "browser.startup.homepage", "www.coolwwwsearch.com"); (C:\Program Files\Netscape\Users\default\prefs.js)

Действие HijackThis: удаление соответствующей информации из файла prefs.js.

Секция O1.

Изменения в файле Hosts .

Файл Hosts участвует в процессе определения IP адреса сервера по его имени, и модификация этого файла может привести к нарушению данного процесса и подмене адреса любого хоста. Поэтому обнаружение в нем посторонних записей, особенно связанных с популярными поисковыми системами или антивирусными продуктами, однозначно свидетельствует о деятельности вредоносной программы.

По умолчанию в нем должна быть только одна строчка: 127.0.0.1 localhost (плюс комментарии, начинающиеся со знака # ). Все остальное можно стирать.

Открыть и отредактировать файл Hosts можно любым текстовым редактором (например, Блокнот/Notepad), и по умолчанию он находится здесь:

Для Windows 95/98/ME: C:\WINDOWS\Hosts

Для Windows 2000/NT: C:\WINNT\system32\drivers\etc\Hosts

Для Windows 2003/XP: C:\WINDOWS\system32\drivers\etc\Hosts

Также имейте в виду, что в Windows NT/2000/XP его местоположение может быть изменено вредоносной программой с помощью следующего ключа реестра (HijackThis об этом сообщает):

HKLM\System\CurrentControlSet\Services\Tcpip\Parameters, DatabasePath

Как это выглядит в логе:

O1 - Hosts: 69.20.16.183 auto.search.msn.com

O1 - Hosts: <TITLE>404 Not Found</TITLE>

O1 - Hosts file is located at C:\Windows\Help\hosts

Действие HijackThis: удаление соответствующей записи в файле Hosts.

Секция O2.

Плагины и расширения браузера (BHO/Browser Helper Objects).

BHO представляют собой dll-библиотеки, которые каждый раз загружаются вместе с браузером, из-за чего их присутствие в системе долгое время может быть незаметным (большинство файрволов в этом случае тоже бессильны, так как с их точки зрения обмен с интернетом ведет процесс браузера).

Просмотреть полный список этих библиотек в Windows можно следующим образом (при условии, что версия IE не ниже шестой):

Свойства Обозревателя > закладка Программы и кнопка Надстройки (Internet Options > закладка Programs и кнопка Manage Add-ons).

Используемый ключ реестра:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Как это выглядит в логе:

O2 - BHO: (no name) - <6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C> - C:\WINDOWS\system32\cbxyvtq.dll

O2 - BHO: URLLink - <4A2AACF3-ADF6-11D5-98A9-00E018981B9E> - C:\Program Files\NewDotNet\newdotnet7_22.dll

Действие HijackThis: удаление как информации из реестра (включая раздел CLSID), так и вредоносного файла.

Секция O3.

Дополнительные панели инструментов браузера (Internet Explorer Тoolbars).

По своим функциям и поведению очень похожи на BHO, но помимо скрытой работы, как правило, добавляют в браузер еще и дополнительную панель инструментов примерно следующего типа (google берем как пример, чтобы было понятнее, о чем идет речь):

Видимость этих панелей регулируется в верхнем меню IE:

Вид > Панели инструментов (View > Тoolbars)

Используемый ключ реестра:

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar

Как это выглядит в логе.

O3 - Toolbar: ISTbar - <5F1ABCDB-A875-46c1-8345-B72A4567E486> - C:\Program Files\ISTbar\istbar.dll

O3 - Toolbar: Alexa - <3CEFF6CD-6F08-4e4d-BCCD-FF7415288C3B> - C:\WINDOWS\system32\SHDOCVW.DLL

Действие HijackThis: удаление информации из реестра (вредоносные файлы необходимо удалить после, вручную).

Секция O4.

Автозапуск программ из реестра и папки Startup.

Просмотреть список программ, запускающихся подобным образом, используя средства Windows, можно с помощью утилиты msconfig :

Пуск > Применить; вписать msconfig ; нажать ОК; и в открывшемся приложении последняя закладка - Автозагрузка

(Start > Run; вписать msconfig; нажать ОК; и в открывшемся приложении последняя закладка - StartUp)

Используемые ключи реестра:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

И папки (для Windows XP):

Startup: C:\Documents and Settings\имя пользователя\Start Menu\Programs\Startup

Global: C:\Documents and Settings\All Users\Start Menu\Programs\Startup

Как это выглядит в логе:

O4 - HKCU\..\Run: [Windows Security Protocol] win32sprot.exe

O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spooIsv.exe

O4 - HKLM\..\RunServices: [Fire Well service] sdtersx.exe

O4 - Startup: mIRC IRC.BY.lnk = C:\Program Files\mIRC\mirc.exe

O4 - Global Startup: MSupdate.exe

Действие HijackThis: удаление записи в реестре/ярлыка из соответствующей папки (для предотвращения последующего автоматического запуска данного приложения).

Некоторые строчки этой секции HijackThis не удаляет, если соответствующая программа на данный момент активна. В этом случае необходимо предварительно завершить её процесс через Диспетчер Задач/Task Manader.

Секция O5.

Блокирование доступа к Свойствам Обозревателя (Internet Options) через Панель Управления (Control Panel).

В Windows это возможно сделать, добавив соответствующую запись в системный файл:

C:\WINDOWS\control.ini

Эта функция иногда используется администраторами.

Как это выглядит в логе:

O5 - control.ini: inetcpl.cpl=no

Действие HijackThis: удаление соответствующей записи в файле control.ini.

Секция O7.

Отключение доступа к Regedit.

Другими словами, это запрет на запуск утилиты Windows - regedit.exe, которая используется для редактирования реестра.

С одинаковой вероятностью может быть установлен как администратором, так и вредоносной программой.

Используемый ключ реестра:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

Может быть установлен как администратором, так и вредоносной программой.

Как это выглядит в логе:

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Действие HijackThis: удаление информации из реестра для отменены соответствующего запрета.

Секция O8.

Дополнительные пункты контекстного меню Internet Explorer.

Это меню появляется, когда вы кликаете по какой-либо ссылке правой кнопкой мыши:

Скачать бесплатно HijackThis

HijackThis

Небольшая антивирусная программа HijackThis принадлежит компании Trend Micro и была создана Мерийном Беллекомом для сканирования, определения и удаления вирусов типа спай варе, троянов и hihack — кодов.

Программа выявляет и удаляет вредоносные элементы, которые могли быть загружены в вашу операционную систему одновременно с другими программами и в данный момент замедляют работу ПК.

Кроме того, у вас есть возможность HijackThis скачать бесплатно. всего за несколько секунд про сканировать весь реестр и получить полный отчет со списком найденных hihack — кодов. К каждому из существующих в операционной системе ключей дается определение и оценивается вероятность его принадлежности к вредоносным элементам.

Как использовать программу

Для начала работы скачайте инсталлятор программы, автоматическая ее установка осуществляется с помощью всего двух кликов по файлу.

После запустите HijackThis и откройте главное меню программы.

Кликните кнопку для начала сканирования (в англ. версии «Do a system scan only») и ожидайте его результатов.

Все обнаруженные в списке вредоносные элементы легко удаляются с помощью Менеджера Деинсталляций. В заключение можно сохранить реестр найденных программ и приложений в специальный текстовый файл, который пригодится вам и в дальнейшей работе с антивирусной программой.

HijackThis позволяет редактировать и вносить изменения в целые участки ОС, поэтому перед удалением незнакомых элементов стоит поискать информацию о них в интернете или проконсультироваться с экспертом. Дело в том, что в данной утилите отсутствует конкретная база данных по вирусам и вредоносным программам, а решение об удалении того или иного элемента принимает сам пользователь.

Похожие программы

В настоящее время существует множество программ, которые чистят систему компьютера от всевозможных ненужных файлов, программ…

Например, приложения и элементы, которые были установлены лично вами и в которых вы уверенны, стоит занести в специальный игнор — лист, дабы избежать случайного их удаления.

Особенности и некоторые характеристики HijackThis

1. Небольшой размер (около 200 Кб) и низкие требования к системным ресурсам компьютера

2. Оперативное сканирование

3. Анализ обнаруженных элементов и полная о них информация

4. Формирование списка программ-исключений

5. Простота и высокая степень надежности

Очевидным плюсом и еще одной причиной HijackThis скачать является также полная автономность программы и ее независимость от обмена с интернетом и сетью.

Для более комфортного пользования и во избежание случайного удаления важных программ и приложений в вашем ПК, рекомендуем HijackThis скачать бесплатно на русском .

HijackThis скачать бесплатно:

Размер: 1.34 MB | Скачан: 447 | Тип файла: msi

HijackThis English скачать бесплатно:

Решено HijackThis

Установил HijackThis. Как пользоваться этой утилитой?

Будьте аккуратны! Если вы не продвинутый пользователь и особо не разбираетесь в том, какие системные файлы должны быть в реестре и автозагрузке, а каких там быть не должно – мы не рекомендуем вам пользоваться программой Trend Micro HijackThis, потому что вы только навредите своей операционной системе.

Эта программа сложная и предназначена для продвинутых пользователей.

Если вы считаете себя более-менее хорошим специалистом, тогда:

1. Запустите программу. Нажмите на кнопку Scan.

2. Программа просканирует ваш реестр и автозагрузку и выдаст все программы и приложения, которые активно загружаются и работают вместе с вашим ПК.

3. Если вы из всего списка обнаружите что-то подозрительное, и вы будете уверенны, что это вирусная программа – выделите нужную строчку и нажмите кнопку Fix Checked.

Это удалит программу из реестра и автозагрузки при следующем запуске .

4. Если файл выглядит подозрительно, но вы не уверенны в том, что это вирусная или иная вредоносная программа – тогда нажмите кнопку AnalizeThis и сохраните лог.

Затем покажите его компетентным специалистам, которые скажут, что делать дальше с данной программой.

Hijackthis что это за программа

HijackThis

Оценка: 0,00 ( голосов: 0 )

Просмотров: 747. Дата публикации: 22.05.2013

HijackThis – это небольшое приложение, которое предназначено для нахождения и уничтожения вредоносного программного обеспечения. Ее логии считаются своеобразным стандартом на многочисленных конференциях, посвященных безопасности компьютеров. Создателем этого программного продукта является Мерийн Беллоком. Он создал его как инструмент для удаления вирусов, которые перенастраивают параметры браузера без ведома пользователя. В последствие это приложение получило большую популярность среди людей во всем мире. Давайте ознакомимся с этим популярным продуктом более подробно.

Пользователям на заметку

Программа Hijack This предназначается для опытных пользователей ПК, которые знакомы с работой операционной системы Виндовс. Дело в том, что программа позволяет изменять некоторые параметры операционной системы. Если редактировать их неправильно, то это может привести к серьезным нарушениям в работе системы. Рекомендуем вам быть боле бдительными и аккуратно работать с этим приложением. Если вы чувствуете, что не справляетесь с задачами, то проконсультируйтесь со специалистами. Прежде, чем что-то удалять или менять. Основным назначением программы, как уже говорилось выше, является нахождение и уничтожение вирусов и изменений в настройках компьютера. Кроме этого, программа автоматически исследует компьютер и анализирует собранную информацию. В ней нет собственной базы по опасным данным, следовательно, последующие анализы своего лога она не проводит. Удалить какой-либо компонент или оставить его, решать только самому пользователю.

Особенности программы

Этот программный продукт имеет особенности, которые отличают его от других аналогичных программ. Например, скачать программу Hijack This можно абсолютно бесплатно. Сделать это можно, как на официальном сайте, так и на сторонних ресурсах. Она займет на вашем ПК не более 200 Кб места. Компактность – еще одно ее преимущество. При работе с ней не предусмотрены какие-либо системные требования. Чтобы работать с этим приложением нужно совсем немного ресурсов на компьютере. Всего пару секунд требуется для того, чтобы просканировать программу. Вам не придется использовать дополнительные настройки файворда, так как это приложение не обменивается информацией с Интернетом. Это далеко не все особенности программы, более детально с ними ознакомиться вы сможете непосредственно во время работы.

Анализирование лога

С логом вы можете осуществлять следующие манипуляции. Чтобы его удалить, нужно отметить строчку галочкой, а затем нажать на кнопку Fix сhecked. Если вы удаляете элемент, связанный с браузером, то браузер обязательно перед этим закройте. Если вам нужно занести что-то в игнор – лист, то нужно отметить нужную строчку галочкой, а затем найти кнопку Add checked to ignorelist и нажать ее. В игнор нужно заносить элементы, в надежности которых вы не совсем уверены. Все, что вы занесли в игнор – лит не будет видно в ваших дальнейших отчетах. Основным принципом анализирования лога является то, что нужно удалять элементы, которые вы раньше не видели на своем компьютере. Делать это можно только тогда, когда вы хорошо знакомы с тонкостями операционной системы.

Как вылечить систему с программой Hijack This

Данная система поможет вам удалить с компьютера всякий мусор, который может накапливаться без вашего ведома после посещения Интернета. Этот программный продукт может найти и распознать различные троянские программы и черви. Он просматривает участки системного реестра и жесткий диск, именно там селится большое количество системны паразитов. Еще совсем недавно с этой программой могли работать только пользователи с большим опытом. Не все начинающие люди могут разобраться в ключах реестра, а также отличить нужные элементы от ненужных. Итак, давайте разберемся, как работать с данной программой. Во-первых, нужно скачать архив и распаковать ее. Затем нужно следовать всем требованиям системы и нажимать на всплывающие окна. В результате приложение запустит сканирование. В результате сканирования вы получите текстовый документ, в котором будут результаты этого процесса.

И напоследок

Приложение Hijack This не нужно закрывать. Зайдите после ее установки на официальную страницу программы и ознакомьтесь с правилами пользования приложением. Если вы не знаете, нужно ли удалять некоторые файлы, то вы можете написать специалистам, и они ответят вам на все вопросы. Также вы можете написать ваши вопросы на форуме, но для этого нужно зарегистрироваться. Мы уверены, что вы оцените эту программу по достоинству и обязательно скачаете ее на свой компьютер. Желаем вам скорей в ней разобраться и удалить с помощью нее все вредоносные и шпионские программы на вашем компьютере.

HijackThis - Сетевая безопасность

HijackThis
Saule 01 мар 2006

Saule. привет! хотелось бы научиться. так же хорошо разбираться в логах от HijackThis. может поделишься секретом? Разное в жизни бывает, своими ручками уметь делать - просто замечательно. Заранее. спасибо

Эта просьба меня слегка озадачила

Потому что с одной стороны, разобраться в логе совсем не сложно (всё, что твоё (принадлежит системе) - значит твоё; всё, что не твоё - значит чужое); гораздо сложнее понимать, что именно с каждым таким "чужим" делать, чтобы как можно корректнее он него избавиться; а с другой стороны, там столько всяких нюансов, которые начинаешь чувствовать только со временем (опыт ). и, наверное, проще будет для таких обьяснений открыть новый топик, посвященный HijackThis.

К тому же количество вредоносных программ неуклонно растет. поэтому, если есть желание заниматься этой сферой серьезно, необходимо быть в курсе подобных разнообразных "новинок". Если же желание не серьезное, просто лишь для себя, то можно поступить примерно следующим образом. Самостоятельно делаешь или находишь логи HijackThis и те строчки, которые тебе там не понятны, копируй и спрашивай конкретно о них. А я постараюсь обьяснить, что они означают, как можно подробнее.

1-0 01 мар 2006

Эта просьба меня слегка озадачила

Потому что с одной стороны, разобраться в логе совсем не сложно (всё, что твоё (принадлежит системе) - значит твоё; всё, что не твоё - значит чужое); гораздо сложнее понимать, что именно с каждым таким "чужим" делать, чтобы как можно корректнее он него избавиться; а с другой стороны, там столько всяких нюансов, которые начинаешь чувствовать только со временем (опыт ). и, наверное, проще будет для таких обьяснений открыть новый топик, посвященный HijackThis.

К тому же количество вредоносных программ неуклонно растет. поэтому, если есть желание заниматься этой сферой серьезно, необходимо быть в курсе подобных разнообразных "новинок". Если же желание не серьезное, просто лишь для себя, то можно поступить примерно следующим образом. Самостоятельно делаешь или находишь логи HijackThis и те строчки, которые тебе там не понятны, копируй и спрашивай конкретно о них. А я постараюсь обьяснить, что они означают, как можно подробнее.

Привет! Еще раз хотелось бы сказать большое человеческое Спасибо Saule за отзывчивость и профессиональную помощь

И тоже хотела бы присоединиться к просьбе snejinka Я понимаю, что обо всем на форуме рассказать невозможно и физически, и в силу ограниченности времени, но хотелось бы немножко пополнить свой запас знаний в области защиты и безопасности

Читая топик, на интуитивном уровне кое-что понятно и мне лично еще очень помогает в чтении логов Справочник процессов Windows, но коль скоро Saule разрешила спрашивать о непонятных строчках лога HijackThis, то, если можно я хотела бы кое-что спросить

Saule. скажите пожалуйста, что означают в логе строковые обозначения (например, R0, O17). Я лишь могу предположить, что это имеет отношение к определенным ветвям реестра, но мне кажется, что тут что-то еще. Или это может быть такая специфическая нумерация именно HijackThis.

Еще вот такой вопрос. Здесь кусочек моего лога HijackThis. Вы не могли бы пояснить, что это означает? Вроде бы безобидное, но мне не совсем ясно, о чем говорят эти строчки:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = NOT USED (OK)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = NOT USED (OK)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = NOT USED (OK)

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = NOT USED (OK)

Вот это мне показалось невесть откуда взявшимся, хотя у меня установлен Excel, но я им совсем не пользуюсь. что это?

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA

1\MICROS

2\Office10\EXCEL.EXE/3000

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll - за что отвечает эта библиотека? Это как-то связано с сетевыми настройками или сетевой картой или я ошибаюсь? К сожалению, я не смогла найти информацию об этом

И еще один вопрос: я где-то читала, что есть такие вирусы, которые встраивают себя в какой-либо процесс Windows и, как я предполагаю, их обнаружить и обезвредить иногда бывает сложно. Но, наверно, есть какие-то признаки в логе, если такой встроенный в процесс Windows вирус вдруг появился в системе? Я понимаю, что невозможно рассказать всю эту тему, но, может быть, на каком-нибудь примере пояснить. хотя бы в двух словах, чтобы иметь представление.

Много всего получилось, я заранее извиняюсь за "чайниковые" вопросы и что пишу всё это в данном топике, т.к. не знаю будет ли создан отдельный топик для таких вопросов. Вопросы эти, конечно же, не "горящие", ничего кроме личного интереса

Заранее спасибо!

Сообщение отредактировал 1-0: 01 Март 2006 - 11:19

Saule 02 мар 2006

Saule. скажите пожалуйста, что означают в логе строковые обозначения (например, R0, O17). Я лишь могу предположить, что это имеет отношение к определенным ветвям реестра, но мне кажется, что тут что-то еще. Или это может быть такая специфическая нумерация именно HijackThis.

Верно, это именно специфическая нумерация программы HijackThis.

То есть каждая строчка в логе HijackThis начинается со своего определенного обозначения (названия секции).

Вот они кратко (заранее извиняюсь, что не могу некоторые секции перевести на русский, но на английском они должны быть более менее понятны; если нет, то спрашивайте, постраюсь обьяснить, что это и где находиться):

R0, R1, R2, R3 - Изменения в реестре, касающиеся начальной и поисковых страниц Internet Explorer

N1, N2, N3, N4 - Изменения в реестре, касающиеся начальной и поисковых страниц Netscape/Mozilla

F0, F1, F2, F3 - Автозагрузка программ и приложений из ini-файлов

O1 - Изменения в файле Hosts

O2 - (BHO) Browser Helper Objects

O3 - Internet Explorer Тoolbars

O4 - Автозагрузка программ из реестра или Startup

O5 - Опции Internet Explorer невидимые на Панели Управления

O6 - Опции Internet Explorer, ограниченные Администратором (Policies)

O7 - Доступ к Regedit, ограниченный Администратором (Policies)

O16 - Файлы, загруженные с помощью ActiveX

O17 - Домен (Domain)

O18 - Перечисление существующих протоколов и фильтров

O19 - Style Sheet пользователя

O20 - AppInit_DLLs

O21 - (SSODL) Shell Service Object Delay Load

O22 - Shared Task Scheduler (Планировщик задач)

O23 - Сервисы Windows NT

Еще вот такой вопрос. Здесь кусочек моего лога HijackThis. Вы не могли бы пояснить, что это означает? Вроде бы безобидное, но мне не совсем ясно, о чем говорят эти строчки:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = NOT USED (OK)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = NOT USED (OK)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = NOT USED (OK)

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = NOT USED (OK)

Написано, что поисковые страницы IE не используются. Но чем это вызвано, я не знаю.

Есть два варианта, либо это сделала какая-нибудь программа, отвечающая за безопасность компьютера,

либо кто-то чужой

Чтобы это выяснить, нужно видеть весь лог.

Вот это мне показалось невесть откуда взявшимся, хотя у меня установлен Excel, но я им совсем не пользуюсь. что это?

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA

1\MICROS

2\Office10\EXCEL.EXE/3000

O8 (Extra context menu item) - дополнительные пункты Internet Explorer в "right-click" меню.

Обьясню на конкретном примере, чтобы стало понятнее, где это находиться.

Например, в моём логе HijackThis в секции O8 есть такая строчка:

O8 - Extra context menu item: Проверить ссылку Dr.Web - http://www.drweb.com. -online-ru.html

Это означает, что, если я по какой-либо ссылке кликну правой кнопкой мыши, то в появившемся меню у меня будет пункт "Проверить ссылку Dr.Web"

Теперь стало понятно что это такое?

Соответственно у тебя в этом меню будет пункт - Экспорт в Microsoft Excel, и это нормально.

Но если тебе это совершенно не нужно, то пофикси.

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll - за что отвечает эта библиотека? Это как-то связано с сетевыми настройками или сетевой картой или я ошибаюсь?

Название файла: igfxsrvc.dll

Процесс: Intel Graphics Accelerator Helper Module

Автор: Intel Corp

Часть от: Intel Multimedia

Связь с вирусами: На данный момент вирусов, использующих этот файл, не существует (тьфу, тьфу, тьфу )

Краткое описание: библиотека, поддерживающая Intel Graphics Accelerators Helper.

Это существенный процесс, который не должен быть остановлен.

На последний вопрос чуть позже.

1-0 03 мар 2006

Всё очень доходчиво и вполне понятно. Большое спасибо за разъяснение

Еще вот такой вопрос. Здесь кусочек моего лога HijackThis. Вы не могли бы пояснить, что это означает? Вроде бы безобидное, но мне не совсем ясно, о чем говорят эти строчки:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = NOT USED (OK)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = NOT USED (OK)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = NOT USED (OK)

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = NOT USED (OK)

Написано, что поисковые страницы IE не используются. Но чем это вызвано, я не знаю.

Есть два варианта, либо это сделала какая-нибудь программа, отвечающая за безопасность компьютера,

либо кто-то чужой smile.gif

Чтобы это выяснить, нужно видеть весь лог.

Мне кажется, что поисковые страницы блокирует Avast! "Кажется", потому что я хоть и начала потихонечку разбираться в логах HijackThis, но, конечно же, многого еще не знаю

Вот мой лог. Я его сама тоже просмотрела. Вроде бы всё моё, чужого не увидела

Буду благодарна, если Вы в свободное время глянете на него

Logfile of HijackThis v1.99.1

Scan saved at 21:39:53, on 02.03.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

1\ALWILS

1\Avast4\ashDisp.exe

C:\Program Files\Google\Gmail Notifier\gnotify.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\Unlocker\UnlockerAssistant.exe

C:\Program Files\AnVir Task Manager\AnVir.exe

C:\Program Files\Punto Switcher\ps.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\QIP\qip.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\нина\Рабочий стол\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = NOT USED (OK)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = NOT USED (OK)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = NOT USED (OK)

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = NOT USED (OK)

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: ClickCatcher MSIE handler - <16664845-0E00-11D2-8059-000000000000> - C:\Program Files\Common Files\ReGet Shared\Catcher.dll

O2 - BHO: SSVHelper Class - <761497BB-D6F0-462C-B6EB-D4DAF1D92D43> - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

1\FlashGet\jccatch.dll

O3 - Toolbar: ReGet Bar - <17939A30-18E2-471E-9D3A-56DD725F1215> - C:\Program Files\ReGetDx\iebar.dll

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA

1\ALWILS

1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [<0228e555-4f9c-4e35-a3ec-b109a192b4c2>] C:\Program Files\Google\Gmail Notifier\gnotify.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [UnlockerAssistant] C:\Program Files\Unlocker\UnlockerAssistant.exe

O4 - HKCU\..\Run: [AnVir Task Manager] "C:\Program Files\AnVir Task Manager\AnVir.exe" Minimized

O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe

O4 - Startup: Rainlendar.lnk = C:\Program Files\Rainlendar\Rainlendar.exe

O4 - Startup: Total Commander.lnk = C:\Program Files\Total Commander\Totalcmd.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA

1\MICROS

2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Download All by FlashGet - C:\PROGRA

1\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\PROGRA

1\FlashGet\jc_link.htm

O8 - Extra context menu item: Закачать &все при помощи ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_All.htm

O8 - Extra context menu item: Закачать при помощи Re&Get Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_Link.htm

O9 - Extra button: (no name) - <08B0E5C0-4FCB-11CF-AAA5-00401C608501> - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - <08B0E5C0-4FCB-11CF-AAA5-00401C608501> - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - - C:\PROGRA

1\FlashGet\flashget.exe

O9 - Extra button: Messenger - - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\<8679D1EF-468F-4A22-BB07-8A5A88F98A48>: NameServer = 87.240.1.1,87.240.1.2

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

snejinka 03 мар 2006

На самом деле. я уже давно при малейших подозрениях пользуюсь следующим сайтом. http://www.hijackthis.de/en делаешь лог и копируешь его в окошечко. жмешь на кнопку analyze. И быстро и приятно тебе объясняют про все строчки из лога. Единственная проблема заключается в том, что надо уметь читать по-английски или на одном из языков, предложенных на этом сайте .

Поэтому мне и было интересно. знает ли Saule про этот весьма популярный сайт,часто упоминающийся на англоязычных компьютерных форумах.

Подробнейшие инструкции к расшифровке логов ( даже со скриншотами ), опять же на английском, но очень просто и доходчиво:

http://www.pchell.co. stutorial.shtml - по этой ссылке, помимо детального объяснения стандартных значений лога ,объясняется как удаляются всевозможные проблемы. найденные Hijackthis.

Но это так сказать, для тех ,кто хочет самостоятельно научиться лечиться

Saule 04 мар 2006

Мне кажется, что поисковые страницы блокирует Avast! "Кажется", потому что я хоть и начала потихонечку разбираться в логах HijackThis, но, конечно же, многого еще не знаю

Вот мой лог. Я его сама тоже просмотрела. Вроде бы всё моё, чужого не увидела

Буду благодарна, если Вы в свободное время глянете на него

Эти ключики связаны, скорее всего, вот с этим:

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

И у вас всё в порядке

Saule 04 мар 2006

Поэтому мне и было интересно. знает ли Saule про этот весьма популярный сайт,часто упоминающийся на англоязычных компьютерных форумах.

Знаю, конечно

Изначально идея у сайта была очень хорошая, но её вытеснил тот факт, что голова в любом случае всегда будет лучше машины. Плюс там были небольшие конфликты по поводу обслуживания сайта и его датабаз, и как последствие этого, датабазы были немного запущены и до сих пор они так, как надо, не чистились.

Дело в том, что на данный момент "рейтинг" любого пункта HijackThis (т.е. степень его безопасности) может повышать/понижать кто угодно - обыкновенные поситители.

Понимаете, что это значит?

Если нет, то я могу обьяснить. Например, если вы написали троян и начали его распостранение, что вам мешает зайти на этот сайт и поднять рейтинг своей вредосной программы до полностью безопасной? Для этого вам нужен всего лишь только компьютер, интернет и немного свободного времени.

Но это еще полбеды. Так как, такими вещами (подниманием рейтинга безопасности именно в нехороших целях), как ни странно, занимаются очень немногие. Чаще ошибки на этом сайте появляются по вине тех, кто, наоборот, хочет помочь. Но люди, которые действительно могут обьективно и, главное, верно оценить насколько безопасен тот или иной файл/процесс уже слишком редко посещают этот сайт и еще реже оставляют там свои комментарии

Сайт посещается и обслуживается (большая его часть) обычными юзерами, которые достаточно часто допускают ошибки.

Могу поспорить по этому поводу и доказать на конкретных примерах.

Поэтому полагатся на этот сайт целиком и полностью, к сожалению нельзя. Его можно использовать только лишь, как своего рода помошника.

Подробнейшие инструкции к расшифровке логов ( даже со скриншотами ), опять же на английском, но очень просто и доходчиво:

http://www.pchell.co. stutorial.shtml - по этой ссылке, помимо детального объяснения стандартных значений лога ,объясняется как удаляются всевозможные проблемы. найденные Hijackthis.

Что касается обьяснений по удалению потенциальных проблем, то лучше из этих ссылок использовать не последнюю, а первую. Там всё то же самое, только это первоисточник и информация своевременно обновляется (если вдруг появляются какие-либо изменения), чего нельзя сказать о http://www.pchell.com (очень много рекомендаций этого сайта уже устаревшие, а следовательно не совсем корректные, поэтому для повышения знаний в сфере компьютерной безопасности в целом этот сайт не советуется).

А о http://www.bleepingcomputer.com могу сказать очень много всего только хорошего. Если есть желание учиться на английских источниках, то это действительно подходит. И кстати, раз уж разговор об этом зашел, я там тоже регулярно пишу, в первую очередь в разделе "HijackThis Logs and Analysis" Поэтому не только знаю, но и активно учавствую. Просто, насколько я успела заметить, в России даже для программ с двумя кнопками люди почему-то часто просят руссификаторы. поэтому мне кажется, посылать на английские форумы, говоря: "ищите там, там всё есть", несколько некорректно (но как вариант можно, я не спорю). Хотелось сделать приятно именно русскоязычным людям

1-0 04 мар 2006

Изначально идея у сайта была очень хорошая, но её вытеснил тот факт, что голова в любом случае всегда будет лучше машины.

Я полностью это поддерживаю.

Об этой ссылке я раньше не знала, и, действительно, этот сервис может служить своего рода подспорьем.

Хотя, когда я проверяла свой лог HijackThis, в отчете было очень много unknown параметров, что, конечно же неудивительно, потому что любой лог специфичен - у каждого пользователя так или иначе бывает установлено специфическое ПО, которое ни один автоанализатор не определит однозначно.

И человека, который очень далек от таких вещей, может даже сбить с толку автоотчет.

А вот примеры пользования HijackThis я почитала с большим интересом

У меня еще есть один небольшой вопрос.

В логах HijackThis иногда встречаются строки, в конце которых указывается (file missing).

Читая тему "Помощь в лечении систем от нечисти" я видела, что такие строки Вы рекомендуете к удалению.

Т.е. строки, в конце которых есть "file missing" обозначают, что файла в системе нет, на который ссылается такой ключ реестра или параметр?

Абсолютно ли все такие ключи можно безоговорочно фиксить? Или все-таки есть какие-то исключения?

Сообщение отредактировал 1-0: 04 Март 2006 - 15:54

Saule 05 мар 2006

У меня еще есть один небольшой вопрос.В логах HijackThis иногда встречаются строки, в конце которых указывается (file missing).

Читая тему "Помощь в лечении систем от нечисти" я видела, что такие строки Вы рекомендуете к удалению.

Т.е. строки, в конце которых есть "file missing" обозначают, что файла в системе нет, на который ссылается такой ключ реестра или параметр?

Абсолютно ли все такие ключи можно безоговорочно фиксить? Или все-таки есть какие-то исключения?

Верно, любой ключ, заканчивающийся "file missing", можно смело пытаться пофиксить (другое дело, что HijackThis не всегда может удалить такие ключи), так как файла, на который ссылается такой ключ действительно уже нет в системе, и запись о нем в реестре уже не нужна.

Но такие ключи могут очень о многом рассказать, поэтому на них обязательно нужно обращать своё внимание.

Иногда они появляются, когда вирус был удален, но удален не совсем корректно (а возможно и не до конца).

Например, если в логе будет примерно следующее:

O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)

То компьютер обязательно нужно проверить на наличие вируса Hidrag/Jeefo/HiddenDragon (так как либо с вирусом боролись совсем недавно и эта запись просто еще не успела стать зачищенной; либо вирус был побежден не до конца).

Плюс некоторые вирусы могут выводить из строя главный антивирусный модуль (при этом далеко не все пользователи, как ни странно, это вообще замечают), и по логу HijackThis, благодаря "file missing", это сразу же становится видным (к вашему логу это не относится).

И еще одна причина появления в логе подобных ключей - не совсем корректная деинсталяция какой-либо программы.

Сообщение отредактировал Saule: 18 Февраль 2007 - 00:26

1-0 24 мар 2006

Saule, привет!

У меня возник еще один вопрос по поводу значения такой строчки в логе. На всякий случай привожу лог полностью. А интересующую меня строчку я выделила жирным:

Logfile of HijackThis v1.99.1

Scan saved at 19:49:46, on 24.03.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\lsass.exe

1\ALWILS

1\Avast4\ashDisp.exe

C:\Program Files\Unlocker\UnlockerAssistant.exe

C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe

C:\Program Files\AnVir Task Manager\AnVir.exe

C:\Program Files\Punto Switcher\ps.exe

C:\Program Files\Rainlendar\Rainlendar.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\msagent\AgentSvr.exe

C:\PROGRA

1\FlashGet\flashget.exe

C:\Program Files\Microsoft Office\Office10\EXCEL.EXE

C:\Program Files\eMule\eMule.exe

C:\Program Files\QIP\qip.exe

C:\Documents and Settings\нина\Рабочий стол\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = NOT USED (OK)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = NOT USED (OK)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = NOT USED (OK)

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = NOT USED (OK)

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: SSVHelper Class - <761497BB-D6F0-462C-B6EB-D4DAF1D92D43> - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

1\FlashGet\jccatch.dll

O3 - Toolbar: SnagIt - <8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3> - C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll

O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA

1\ALWILS

1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [UnlockerAssistant] C:\Program Files\Unlocker\UnlockerAssistant.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [AnVir Task Manager] "C:\Program Files\AnVir Task Manager\AnVir.exe" Minimized

O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe

O4 - Startup: Rainlendar.lnk = C:\Program Files\Rainlendar\Rainlendar.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Download All by FlashGet - C:\PROGRA

1\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\PROGRA

1\FlashGet\jc_link.htm

O9 - Extra button: (no name) - <08B0E5C0-4FCB-11CF-AAA5-00401C608501> - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - <08B0E5C0-4FCB-11CF-AAA5-00401C608501> - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

1\ICQ\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ - <6224f700-cba3-4071-b251-47cb894244cd> - C:\PROGRA

1\ICQ\ICQ.exe

1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - - C:\PROGRA

1\FlashGet\flashget.exe

O9 - Extra button: Messenger - - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\<8679D1EF-468F-4A22-BB07-8A5A88F98A48>: NameServer = 87.240.1.1,87.240.1.2

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

И еще такое дело. Периодически я пользуюсь программой HideIP для скрытия своего IP с помощью прокси. Так вот, даже после отключения HideIP и даже после выключения/включения компьютера у меня остается такая строка в логе HijackThis:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 216.228.253.4:80

Естественно, адрес прокси-сервера меняется, в зависимости, наверное, от того, к какому я подключалась последний раз.

Меня просто смущает тот факт, что, как мне кажется, эта строка в логе должна иметь место только тогда, когда HideIP у меня активен. Но не тогда, когда он даже не фигурирует в активных процессах системы. Мне это немножко странно. или я ошибаюсь и это нормальная ситуация?

По возможности, поясни, пожалуйста

Saule 25 мар 2006

Saule, привет!

У меня возник еще один вопрос по поводу значения такой строчки в логе. На всякий случай привожу лог полностью. А интересующую меня строчку я выделила жирным:

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

Этот процесс нужен для записи отладочной информации при критических сбоях системы и экстренной перезагрузке, после которых он обычно и появляется в автозагрузке. Дословный перевод: Проверка Ошибки Ядра.

Чтобы убрать:

My Computer > Properties > Advanced > Startup and Recovery > Settings > Write debugging information

И изменяем опцию с помощью стрелочки на (none) или Small memory dump.

На русском:

Свойства системы > Дополнительно > Загрузка и восстановление > Параметры > Запись отладочной информации

Изменяем на (отсутствует) или Малый дамп памяти.

И еще такое дело. Периодически я пользуюсь программой HideIP для скрытия своего IP с помощью прокси. Так вот, даже после отключения HideIP и даже после выключения/включения компьютера у меня остается такая строка в логе HijackThis:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 216.228.253.4:80

Естественно, адрес прокси-сервера меняется, в зависимости, наверное, от того, к какому я подключалась последний раз.

Меня просто смущает тот факт, что, как мне кажется, эта строка в логе должна иметь место только тогда, когда HideIP у меня активен. Но не тогда, когда он даже не фигурирует в активных процессах системы. Мне это немножко странно. или я ошибаюсь и это нормальная ситуация?

Эта строка отображает ключ из реестра таким, какой он там на тот момент есть, не зависимо от того активна сейчас эта опция в настройках или нет.

Можешь залезть в реестр и проверить:

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings, ProxyServer

Связано это с тем, что HijackThis обращает внимание в первую очередь на любые изменения в некоторых разделах реестра (это основной принцип работы программы). Если бы никаких изменений там не было, то он бы эти ключи не показывал (т.е. в этих секциях идет автоматическое отображение любых ключиков, которые вообще были изменены и отличаются от стандартных).

1-0 25 мар 2006