HijackThis - краткое руководство

Вступление.

HijackThis изначально создавался Мерийном Беллекомом (Merijn Bellekom) как инструмент для обнаружения и удаления различного рода троянских программ, перенастраивающих параметры браузера и других приложений системы без ведома пользователя; и впоследствии программа получила очень широкое распространение.

На сегодняшний день логи HijackThis уже давно принято считать своеобразным информационным стандартом в рамках многочисленных конференций, посвященных компьютерной безопасности.

Предупреждение.

HijackThis рассчитан на более-менее опытных пользователей, имеющих представление о том, как работает ОС Windows, так как программа в первую очередь позволяет вносить изменения во многие участки операционной системы. И неумелое их редактирование может повлечь за собой серьезные последствия для ОС.

Поэтому, пожалуйста, будьте предельно осторожны при использовании HijackThis. и в случае, если вы чувствуете себя недостаточно опытным, прежде чем удалять что-либо, попробуйте поискать информацию об удаляемом элементе в интернете или же проконсультируйтесь со знающим человеком.

Назначение.

Основное назначение программы: обнаружение и исправление изменений в настройках наиболее уязвимых областей операционной системы. А главная её функция заключается в автоматическом исследовании этих областей и вывода собранной информации в виде удобного лога (отчёта).

Важно понимать, что в программе нет какой-либо базы данных по вредоносным программам, поэтому последующий анализ содержимого своего лога HijackThis не предполагает. И решение об удалении какого-либо компонента может принять только сам пользователь.

Особенности:

• HijackThis совершенно бесплатен.

• Вес программы: чуть более 200 Кб.

• Не выдвигает каких-либо особых системных требований.

• Для работы нуждается в минимальном количестве ресурсов компьютера.

• Любое сканирование программы занимает всего несколько секунд.

• Не обменивается информацией с сетью и интернетом, поэтому для использования не требуются какие-либо дополнительные настройки файрвола.

____________________________

Начало работы.

Скачать HijackThis можно по следующим адресам:

Далее программу обязательно нужно распаковать, так как при запуске из архивного файла HijackThis не сможет создавать резервные копии удаляемых элементов.

Инсталляция для начала работы не требуется, поэтому, для своего же удобства, поместите папку HijackThis в такое место, которое вы в последствии без труда сможете снова найти.

Стартовое окошко программы:

И назначения кнопок, на нем расположенных:

Do a systemscan and save a logfile - сканирование и автоматическое сохранение лога (по умолчанию лог сохраняется в папке программы с названием hijackthis.log).

Do a system scan only - только сканирование.

View the list of backups - открытие списка бэкапов (перед тем, как что-либо удалить, HijackThis по умолчанию автоматически создает резервную копию удаляемого элемента).

Open the Misc Tools selection - другие инструменты программы (на этом мы подробно остановимся немного позже).

Open online HijackThis Quick Start - автоматически открывает страницу HijackThis Quick Start (краткое ознакомление с программой на английском языке).

Non of the above, just start the program - ничего из вышеперечисленного, простой запуск программы.

И как только вы немного освоитесь, советую поставить галочку напротив "Don't show this frame again when I start HijackThis". чтобы начинать работу с программой без этого начального фрейма.

Плюс немного забегая вперед, сразу дам параметры для запуска "Джека" из командной строки:

hijackthis - обычный запуск.

hijackthis /autolog - сканирование, с автоматическим сохранением и открытием лога.

hijackthis /ihatewhitelists - запуск программы именно таким образом увеличит размеры вашего лога, возможно, даже в несколько раз; так как некоторые компоненты, занесенные в так называемый внутренний "белый список", в обычном логе никогда не отображаются.

hijackthis /uninstall - деинсталляция HijackThis.

Анализ лога.

С элементами лога возможны следующие манипуляции:

- Удаление. отмечаем нужную строчку галочкой и нажимаем на кнопку "Fix сhecked" .

Если удаляемый элемент каким-либо образом касается браузера, то его (браузер) обязательно предварительно нужно закрыть.

- Занесение в игнор-лист (касается элементов в надежности которых вы уверены): отмечаем нужную строчку галочкой и нажимаем на кнопку "Add checked to ignorelist" .

Элементы, занесенные в игнор-лист, в дальнейших отчетах отображаться не будут.

Основной принцип при анализе лога. удаление элементов, о существовании которых вы до недавнего времени и не предполагали (при условии, что вы достаточно хорошо знакомы со своей операционной системой). И занесение в игнор-лист "проверенных" приложений, установленных исключительно вами

Каждая строчка в логе HijackThis начинается со своего определенного обозначения (названия секции).

Начнем с их краткой характеристики и затем рассмотрим каждую из секций детально:

R0, R1, R2, R3 - изменения основных настроек Internet Explorer.

F0, F1, F2, F3 - автозапуск программ из ini-файлов и эквивалентных мест реестра.

N1, N2, N3, N4 - изменения начальной и поисковой страниц Netscape/Mozilla.

O1 - изменения в файле Hosts.

O2 - плагины и расширения браузера (BHO/Browser Helper Objects).

O3 - дополнительные панели инструментов браузера (Internet Explorer Тoolbars).

O4 - автозапуск программ из реестра и папки Startup.

O5 - блокирование доступа к Свойствам Обозревателя (Internet Options) через Панель Управления.

O6 - запрет на изменение некоторых Свойств Обозревателя (Internet Options).

O7 - отключение доступа к Regedit.

O8 - дополнительные пункты контекстного меню Internet Explorer.

O9 - дополнительные кнопки и сервисы на главной панели Internet Explorer.

O10 - Winsock LSP (Layered Service Provider/поставщик многоуровневых услуг).

O11 - новая группа настроек в Свойствах Обозревателя (Internet Options).

O12 - плагины Internet Explorer.

O13 - префиксы IE.

O14 - изменения в файле iereset.inf.

O15 - веб-сайты и протоколы, добавленные в зону Надежные узлы (Trusted Zone).

O16 - программы, загруженные с помощью ActiveX (подкаталог WINDOWS\Downloaded Program Files).

O17 - изменения домена или DNS сервера.

O18 - изменения существующих протоколов и фильтров.

O19 - шаблон стиля (Style Sheet) пользователя.

O20 - уведомления Winlogon (Winlogon Notify) и модули инициализации (App Init DLLs) для Windows XP/2000/2003.

O21 - объекты загрузки оболочки (SSODL/Shell Service Object Delay Load).

O22 - задачи Планировщика Windows (Shared Task Scheduler).

O23 - службы Windows NT/Microsoft Windows.

Секции R0, R1, R2, R3.

Изменения основных настроек Internet Explorer.

R0 - ваша домашняя страница (загружающаяся при старте IE) и поисковый ассистент браузера (Search Assistant).

R1 - настройки, связанные с интернет-поиском, плюс некоторые другие характеристики (IE Window Title; ProxyServer, ProxyOverride в настройках IE, Internet Connection Wizard: ShellNext и др.).

R2 - эта секция на данный момент не используется.

R3 - URL Search Hook - перехватчик поиска, который используется браузером для автоматического определения протокола (http://; ftp:// и т.д.) в тех случаях, когда вы указывайте адрес веб-сайта без него.

Некоторые используемые ключи реестра:

HKLM\SOFTWARE\Microsoft\Internet Explorer\Main: Start Page

HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Start Page

HKLM\SOFTWARE\Microsoft\Internet Explorer\Main, Search Page

HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Search Page

HKLM\SOFTWARE\Microsoft\Internet Explorer\Main, Default_Page_URL

HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Default_Page_URL

HKLM\SOFTWARE\Microsoft\Internet Explorer\Search, SearchAssistant

HKLM\SOFTWARE\Microsoft\Internet Explorer\Search, CustomizeSearch

HKCU\SOFTWARE\Microsoft\Internet Explorer\Search, CustomizeSearch

HKCU\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks

HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchURL, Default

HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Window Title

HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Search Bar

HKCU\SOFTWARE\Microsoft\Internet Connection Wizard, ShellNext

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings, ProxyServer

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

Как это выглядит в логе:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

1\Toolbar\toolbar.dll

R3 - Default URLSearchHook is missing

Действие HijackThis при удалении строчки из этой секции: удаление соответствующей информации из реестра (далее по тексту этот пункт будет обозначатся сокращенно: Действие HijackThis).

Секции F0, F1, F2, F3.

Автозапуск программ из ini-файлов.

Речь идет о следующих системных файлах:

C:\WINDOWS\system.ini

C:\WINDOWS\win.ini

А также эквивалентных мест в реестре (для Windows NT/2000/2003/XP):

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping

F0 - автозапуск через параметр Shell= из файла system.ini F1 - автозапуск через параметы Run= и Load= из файла win.ini

F2 и F3 - то же самое, только для Windows NT/2000/2003/XP (запуск программ через реестр).

Как это выглядит в логе:

F0 - system.ini: Shell=explorer.exe winuser32.exe

F1 - win.ini: run=hpfsched

F2 - REG:system.ini: Shell=explorer.exe "С:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"

F3 - REG:win.ini: run=С:\WINDOWS\inet20001\services.exe

Действие HijackThis: удаление соответствующей записи из ini-файла/реестра (для предотвращения последующего автоматического запуска данного приложения).

Секции N1, N2, N3, N4.

Изменения начальной и поисковой страниц Netscape/Mozilla.

N1 - стартовая и поисковая страницы для Netscape 4.

N2 - стартовая и поисковая страницы для Netscape 6.

N3 - стартовая и поисковая страницы для Netscape 7.

N4 - стартовая и поисковая страницы для Mozilla.

Информация об этих настройках во всех 4-ех случаях хранится в файле с названием prefs.js.

Как это выглядит в логе:

N1 - Netscape 4: user_pref "browser.startup.homepage", "www.coolwwwsearch.com"); (C:\Program Files\Netscape\Users\default\prefs.js)

Действие HijackThis: удаление соответствующей информации из файла prefs.js.

Секция O1.

Изменения в файле Hosts .

Файл Hosts участвует в процессе определения IP адреса сервера по его имени, и модификация этого файла может привести к нарушению данного процесса и подмене адреса любого хоста. Поэтому обнаружение в нем посторонних записей, особенно связанных с популярными поисковыми системами или антивирусными продуктами, однозначно свидетельствует о деятельности вредоносной программы.

По умолчанию в нем должна быть только одна строчка: 127.0.0.1 localhost (плюс комментарии, начинающиеся со знака # ). Все остальное можно стирать.

Открыть и отредактировать файл Hosts можно любым текстовым редактором (например, Блокнот/Notepad), и по умолчанию он находится здесь:

Для Windows 95/98/ME: C:\WINDOWS\Hosts

Для Windows 2000/NT: C:\WINNT\system32\drivers\etc\Hosts

Для Windows 2003/XP: C:\WINDOWS\system32\drivers\etc\Hosts

Также имейте в виду, что в Windows NT/2000/XP его местоположение может быть изменено вредоносной программой с помощью следующего ключа реестра (HijackThis об этом сообщает):

HKLM\System\CurrentControlSet\Services\Tcpip\Parameters, DatabasePath

Как это выглядит в логе:

O1 - Hosts: 69.20.16.183 auto.search.msn.com

O1 - Hosts: <TITLE>404 Not Found</TITLE>

O1 - Hosts file is located at C:\Windows\Help\hosts

Действие HijackThis: удаление соответствующей записи в файле Hosts.

Секция O2.

Плагины и расширения браузера (BHO/Browser Helper Objects).

BHO представляют собой dll-библиотеки, которые каждый раз загружаются вместе с браузером, из-за чего их присутствие в системе долгое время может быть незаметным (большинство файрволов в этом случае тоже бессильны, так как с их точки зрения обмен с интернетом ведет процесс браузера).

Просмотреть полный список этих библиотек в Windows можно следующим образом (при условии, что версия IE не ниже шестой):

Свойства Обозревателя > закладка Программы и кнопка Надстройки (Internet Options > закладка Programs и кнопка Manage Add-ons).

Используемый ключ реестра:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Как это выглядит в логе:

O2 - BHO: (no name) - <6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C> - C:\WINDOWS\system32\cbxyvtq.dll

O2 - BHO: URLLink - <4A2AACF3-ADF6-11D5-98A9-00E018981B9E> - C:\Program Files\NewDotNet\newdotnet7_22.dll

Действие HijackThis: удаление как информации из реестра (включая раздел CLSID), так и вредоносного файла.

Секция O3.

Дополнительные панели инструментов браузера (Internet Explorer Тoolbars).

По своим функциям и поведению очень похожи на BHO, но помимо скрытой работы, как правило, добавляют в браузер еще и дополнительную панель инструментов примерно следующего типа (google берем как пример, чтобы было понятнее, о чем идет речь):

Видимость этих панелей регулируется в верхнем меню IE:

Вид > Панели инструментов (View > Тoolbars)

Используемый ключ реестра:

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar

Как это выглядит в логе.

O3 - Toolbar: ISTbar - <5F1ABCDB-A875-46c1-8345-B72A4567E486> - C:\Program Files\ISTbar\istbar.dll

O3 - Toolbar: Alexa - <3CEFF6CD-6F08-4e4d-BCCD-FF7415288C3B> - C:\WINDOWS\system32\SHDOCVW.DLL

Действие HijackThis: удаление информации из реестра (вредоносные файлы необходимо удалить после, вручную).

Секция O4.

Автозапуск программ из реестра и папки Startup.

Просмотреть список программ, запускающихся подобным образом, используя средства Windows, можно с помощью утилиты msconfig :

Пуск > Применить; вписать msconfig ; нажать ОК; и в открывшемся приложении последняя закладка - Автозагрузка

(Start > Run; вписать msconfig; нажать ОК; и в открывшемся приложении последняя закладка - StartUp)

Используемые ключи реестра:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

И папки (для Windows XP):

Startup: C:\Documents and Settings\имя пользователя\Start Menu\Programs\Startup

Global: C:\Documents and Settings\All Users\Start Menu\Programs\Startup

Как это выглядит в логе:

O4 - HKCU\..\Run: [Windows Security Protocol] win32sprot.exe

O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spooIsv.exe

O4 - HKLM\..\RunServices: [Fire Well service] sdtersx.exe

O4 - Startup: mIRC IRC.BY.lnk = C:\Program Files\mIRC\mirc.exe

O4 - Global Startup: MSupdate.exe

Действие HijackThis: удаление записи в реестре/ярлыка из соответствующей папки (для предотвращения последующего автоматического запуска данного приложения).

Некоторые строчки этой секции HijackThis не удаляет, если соответствующая программа на данный момент активна. В этом случае необходимо предварительно завершить её процесс через Диспетчер Задач/Task Manader.

Секция O5.

Блокирование доступа к Свойствам Обозревателя (Internet Options) через Панель Управления (Control Panel).

В Windows это возможно сделать, добавив соответствующую запись в системный файл:

C:\WINDOWS\control.ini

Эта функция иногда используется администраторами.

Как это выглядит в логе:

O5 - control.ini: inetcpl.cpl=no

Действие HijackThis: удаление соответствующей записи в файле control.ini.

Секция O7.

Отключение доступа к Regedit.

Другими словами, это запрет на запуск утилиты Windows - regedit.exe, которая используется для редактирования реестра.

С одинаковой вероятностью может быть установлен как администратором, так и вредоносной программой.

Используемый ключ реестра:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

Может быть установлен как администратором, так и вредоносной программой.

Как это выглядит в логе:

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Действие HijackThis: удаление информации из реестра для отменены соответствующего запрета.

Секция O8.

Дополнительные пункты контекстного меню Internet Explorer.

Это меню появляется, когда вы кликаете по какой-либо ссылке правой кнопкой мыши:

HiJackThis - краткое руководство

Сообщения: 10.324 Симпатии: 4.746

Вступление.

HiJackThis изначально создавался Мерийном Беллекомом (Merijn Bellekom ) как инструмент для обнаружения и удаления различного рода троянских программ, перенастраивающих параметры браузера и других приложений системы без ведома пользователя и впоследствии программа получила очень широкое распространение. В 2007 году HiJackThis был куплен антивирусной компанией Trend Micro и в 2012 Trend Micro выпустила HiJackThis в свободное плавание. опубликовав его как open source. Код, написанный на Visual Basic, теперь официально доступен на SourceForge .

На сегодняшний день логи HiJackThis уже давно принято считать своеобразным информационным стандартом в рамках многочисленных конференций, посвященных компьютерной безопасности.

Предупреждение.

HiJackThis рассчитан на более-менее опытных пользователей, имеющих представление о том, как работает ОС Windows, так как программа в первую очередь позволяет вносить изменения во многие участки операционной системы. И неумелое их редактирование может повлечь за собой серьезные последствия для ОС.

Поэтому, пожалуйста, будьте предельно осторожны при использовании HiJackThis, и в случае, если вы чувствуете себя недостаточно опытным, прежде чем удалять что-либо, попробуйте поискать информацию об удаляемом элементе в интернете или же проконсультируйтесь со знающим человеком. Если вы подозреваете, что заражены вирусом, то можете обратиться за помощью в раздел Лечение компьютерных вирусов. мы поможем вам справиться с вирусом.

Назначение.

Основное назначение программы: обнаружение и исправление изменений в настройках наиболее уязвимых областей операционной системы. А главная её функция заключается в автоматическом исследовании этих областей и выводе собранной информации в виде удобного лога (отчёта).

Важно понимать, что в программе нет какой-либо базы данных по вредоносным программам, поэтому последующий анализ содержимого своего лога HiJackThis не предполагает. И решение об удалении какого-либо компонента может принять только сам пользователь.

Особенности.

HiJackThis совершенно бесплатен.

Размер программы: немного более 300 Кб.

Не выдвигает каких-либо особых системных требований.

Нуждается в минимальном количестве ресурсов компьютера.

Любое сканирование программы занимает всего несколько секунд.

Не обменивается информацией с сетью и интернетом, поэтому для использования не требуются какие-либо дополнительные настройки файрвола.

Как использовать HiJackThis?

HijackThis может быть скачан как в виде автономной версии состоящей из одного единственного исполняемого файла, так и в виде MSI инсталлятора. Автономная версия позволяет сохранить и запустить HiJackThis.exe почти из любой папки, в то время как программа установки устанавливает HijackThis в определенном месте и создаёт ярлыки на рабочем столе и меню пуск для запуска этого файла. При использовании автономной версии нельзя запускать её из временной папки (Temp), так как файлы резервных копий не будут сохранены. Для того, чтобы избежать удаления ваших резервных копий, пожалуйста, перед запуском сохраните исполняемый файл в отдельную удобную для вас папку (чтобы вы потом могли без труда её найти). Файлы резервных копий будут сохранены в папке backups рядом с исполняемым файлом программы.

__________________________________________________________________

Начало работы .

Скачать HiJackThis [v2.0.5] можно по следующим адресам:

SpoilerTarget"> Спойлер: скрин предупреждения

после нажатия кнопки Ок продолжится сканирование. В логе могут отсутствовать некоторые пункты.

Стартовое окошко программы:

И назначения кнопок, на нем расположенных:

Do a systemscan and save a logfile - сканирование и автоматическое сохранение лога (по умолчанию лог сохраняется в папке программы с названием hijackthis.log).

Do a system scan only - только сканирование.

View the list of backups - открытие списка бэкапов (перед тем, как что-либо удалить, HiJackThis по умолчанию автоматически создает резервную копию удаляемого элемента в папке backups).

Open the Misc Tools selection - другие инструменты программы (на этом мы подробно остановимся немного позже).

Open online HiJackThis Quick Start - автоматически открывает страницу HiJackThis Quick Start (краткое ознакомление с программой на английском языке). //сейчас просто запуск программы.

None of the above, just start the program - ничего из вышеперечисленного, простой запуск программы.

И как только вы немного освоитесь, советую поставить галочку напротив "Do not show this window when I start HijackThis ", чтобы начинать работу с программой без этого начального фрейма.

Анализ лога .

С элементами лога возможны следующие манипуляции:

- Удаление. отмечаем нужную строчку галочкой и нажимаем на кнопку "Fix сhecked ".

Если удаляемый элемент каким-либо образом касается браузера, то его (браузер) обязательно предварительно нужно закрыть.

- Занесение в игнор-лист (касается элементов, в надежности которых вы уверены): отмечаем нужную строчку галочкой и нажимаем на кнопку "Add checked to ignorelist ".

Элементы, занесенные в игнор-лист, в дальнейших отчетах отображаться не будут.

Основной принцип при анализе лога: удаление элементов, о существовании которых вы до недавнего времени и не предполагали (при условии, что вы достаточно хорошо знакомы со своей операционной системой). И занесение в игнор-лист "проверенных" приложений, установленных исключительно вами.

Каждая строчка в логе HiJackThis начинается со своего определенного обозначения (названия секции).

Начнем с их краткой характеристики и затем рассмотрим каждую из секций детально:

R0, R1, R2, R3 - изменения основных настроек Internet Explorer.

F0, F1, F2, F3 - автозапуск программ из ini-файлов и эквивалентных мест реестра.

N1, N2, N3, N4 - изменения начальной и поисковой страниц Netscape/Mozilla.

O1 - изменения в файле Hosts.

O2 - плагины и расширения браузера (BHO/Browser Helper Objects).

O3 - дополнительные панели инструментов браузера (Internet Explorer Тoolbars).

O4 - автозапуск программ из реестра и папки Startup.

O5 - блокирование доступа к Свойствам Обозревателя (Internet Options) через Панель Управления.

O6 - запрет на изменение некоторых Свойств Обозревателя (Internet Options).

O7 - отключение доступа к Regedit.

O8 - дополнительные пункты контекстного меню Internet Explorer.

O9 - дополнительные кнопки и сервисы на главной панели Internet Explorer.

O10 - Winsock LSP (Layered Service Provider/поставщик многоуровневых услуг).

O11 - новая группа настроек в Свойствах Обозревателя (Internet Options).

O12 - плагины Internet Explorer.

O13 - префиксы IE.

O14 - изменения в файле iereset.inf.

O15 - веб-сайты и протоколы, добавленные в зону Надежные узлы (Trusted Zone).

O16 - программы, загруженные с помощью ActiveX (подкаталог WINDOWS\Downloaded Program Files).

O17 - изменения домена или DNS сервера.

O18 - изменения существующих протоколов и фильтров.

O19 - шаблон стиля (Style Sheet) пользователя.

O20 - уведомления Winlogon (Winlogon Notify) и модули инициализации (App Init DLLs) для Windows XP/2000/2003.

O21 - объекты загрузки оболочки (SSODL/Shell Service Object Delay Load).

O22 - задачи Планировщика Windows (Shared Task Scheduler).

O23 - службы Windows NT/Microsoft Windows.

O24 - компонеты Windows Active Desktop.

Секции R0, R1, R2, R3.

Изменения основных настроек Internet Explorer.

R0 - ваша домашняя страница (загружающаяся при старте IE) и поисковый ассистент браузера (Search Assistant).

R1 - настройки, связанные с интернет-поиском, плюс некоторые другие характеристики (IE Window Title; ProxyServer, ProxyOverride в настройках IE, Internet Connection Wizard: ShellNext и др.).

R2 - эта секция на данный момент не используется.

R3 - URL Search Hook - перехватчик поиска, который используется браузером для автоматического определения протокола (http://; ftp:// и т.д.) в тех случаях, когда вы указывайте адрес веб-сайта без него.

Некоторые используемые ключи реестра:

Код (Microsoft Registry):

HKLM \SOFTWARE\Microsoft\Internet Explorer\Main: Start Page

HKCU \SOFTWARE\Microsoft\Internet Explorer\Main, Start Page

HKLM \SOFTWARE\Microsoft\Internet Explorer\Main, Search Page

HKCU \SOFTWARE\Microsoft\Internet Explorer\Main, Search Page

HKLM \SOFTWARE\Microsoft\Internet Explorer\Main, Default_Page_URL

HKCU \SOFTWARE\Microsoft\Internet Explorer\Main, Default_Page_URL

HKLM \SOFTWARE\Microsoft\Internet Explorer\Search, SearchAssistant

HijackThis 2

HijackThis - является это небольшой бесплатной утилитой, которая создаёт подробные отчеты о параметрах реестра и файлов компьютера. В основном HijackThis призван выявлять нежелательные внедрения в веб-браузеры. При этом программа не опирается на базу данных, а создает список всех подозрительных обьектов и пользователь сам принимает решение о целесообразности их нахождения на компьютере.

Кроме функции поиска и удаления опасных объектов, в HijackThis имеет несколько полезных инструментов для удаления вредоносных программ вручную.

Логи данной программы принято считать своеобразным информационным стандартом в рамках многочисленных конференций, посвященных компьютерной безопасности.

Возможности HijackThis:

- Небольшой размер.

- Использывание минимума системных ресурсов.

- Сканирование системы продолжается всего несколько секунд.

- Информация о каждом из обнаруженных элементов.

- Функция анализа обнаруженных элементов.

- Возможность формирования списка исключений.

HijackThis 2

Антивирусная утилита HijackThis

HijackThis (ХайджекЗис ) — бесплатная антивирусная утилита с открытым исходным кодом, предназначенная для поиска, создания отчета или удаления следов вирусов, троянов, SpyWare, MalWare и AdWare приложений в среде операционных систем Microsoft Windows.

Утилита предназначена в первую очередь для специалистов в области защиты персональных компьютеров от вирусной активности и прочего вредоносного кода.

Она проверяет важнейшие части системного реестра и основные конфигурационные файлы Microsoft Windows. которые могут быть изменены, и отображает это в генерируемом отчете, то есть файл отчета представляет из себя список важнейших параметров компьютера пользователя и их значений.

Работа с утилитой проста, но нужно понимать какие необходимы действия, автоматического режима в программе нет .

Пример лог-файла полученного утилитой ХайджекЗис

HijackThis Download

Powerful application which scans your Windows registry for unusual behavior in your web browser and removes or fixes the selected items

HijackThis is a cleanup utility that detects browser hijacking issues and attempts to solve them by deleting the registry entry that holds the malware.

Unlike similar software, HijackThis does not rely on a database of the latest malware out there, but instead it tracks the modifications performed in your browser and allows you to undo it. Utmost care is required when removing the adjacent registry entries, since the adjustments are sometimes irreversible.

The user interface does not sport any visual incentives, but it is straightforward and intuitive. From the main menu you can perform a system scan and, optionally, save the results to a log file, view the list of backups, open the miscellaneous tools section or open the online HiJackThis QuickStart.

System scans are performed extremely fast, at the end of which a list of detected issues is displayed, with the possibility to fix them. An option to select all the files at once is not available, and therefore you find yourself needing to perform the selection manually.

Before repairing the checked files, it is highly recommended that you backup your registry or create a system restore point. On the upside, the application offers you pieces of information on every item and also enables you to add them to an ignore list. Once the detected issues are fixed (which can either mean repaired or deleted), your computer may need a restart.

From the Miscellaneous Tools section you can generate a startup list log, open process manager or the hosts file manager, delete a file on reboot or an NT service, open ADS Spy or trigger the Uninstall Manager.

In conclusion, Hijack This is a detection tool that scans your computer registry and identifies unusual behavior in your browser. Since it performs irreversible changes to your computer, it needs to be handled with care, preferably by advanced users. The response time is good and the computer’s performance is not affected in a significant manner, yet the interface is not so easy on the eyes.

HiJackThis – скачать бесплатно

Достоинства:

• бесплатность;
• небольшие размеры;
• минимальные требования к системным ресурсам;
• удобный менеджер процессов.

Недостатки:

• отсутствие русскоязычной локализации;
• в отчетах программа не разделяет безопасные и опасные параметры, поэтому крайне не рекомендуется удалять что-либо до тех пор, пока вы не убедитесь в целесообразности этого действия.

AnVir Task Manager. Бесплатная программа для управления процессами, которые на данный момент запущены в системе. Анализирует активные процессы, службы на предмет безопасности, блокирует вредоносные приложения, оптимизирует память, мониторит сетевые подключения и др.

Wise Registry Cleaner. Бесплатное приложение для быстрого и безопасного удаления ненужных данных с компьютера. Очищает системный реестр, сканирует операционную систему, подробно описывает каждую выявленную проблему. Повышает общую производительность работы системы.

Для начала сканирования системы запустите программу и нажмите кнопку с надписью «Do a system Scan only»:

Скачать программу HijackThis 2

HijackThis - бесплатная утилита, для создания отчета о файлах компьютера и параметрах реестра. Основное направление данной утилиты является выявление различных нежелательных внедрений в ваши браузеры. Помимо обнаружения и удаления вредоносных программ, HijackThis включает в себя полезные инструменты для удаления опасных объектов вручную. Программа создает список подозрительных объектов, а вы уже сами решаете, удалять их или оставлять на компьютере.

HijackThis программа сначала сканирует все критические области реестра, а затем выводит весь список обнаруженных ключей, некоторые из них принадлежат вирусам, которые вы сможете с легкостью удалить, обезопасив свой компьютер.

HijackThis 2. 0. 4 несмотря на англо-язычный интерфейс, легка и проста в использовании и подходит для таких ОС, как Windows 7/8, ХР и Vista. HijackThis скачать бесплатно можно на нашем сайте, который тратит минимальное количество системных ресурсов, при этом сканирует систему за пару секунд. Программа проведет анализ всех обнаруженных объектов и выведет полную информацию о каждом, только HijackThis, к сожалению, никак не разделяет безопасные и опасные объекты, поэтому не стоит удалять все подряд, если вы не уверенны в своем действии.

Скачать HijackThis 2.0.4 бесплатно