Администратор
ТС
Регистрация: 21.11.2014
Сообщений: 2,965
Сказал(а) спасибо: 12
Поблагодарили 86 раз(а) в 80 сообщениях
Настроение:
|
Re: HijackThis. faq.
Секция O8. Дополнительные пункты контекстного меню Internet Explorer.
Это меню появляется, когда вы кликаете по какой-либо ссылке правой кнопкой мыши.
Используемый ключ реестра:
HKCU\SOFTWARE\Microsoft\Internet Explorer\MenuExt
Как это выглядит в логе:
O8 - Extra context menu item: Проверить ссылку Dr.Web - httр://www.drweb.com/online/drweb-online-ru.html
O8 - Extra context menu item: Mail to a Friend... - httр://client.alexa.com/holiday/scri...ons/mailto.htm
Действие HijackThis: удаление соответствующей информации из реестра.
__________________________________________________ ______
Секция O9. Дополнительные кнопки и сервисы на главной панели IE.
Как правило, это всего лишь ссылки, которые не представляют особой опасности, пока вы на них не нажмете. И обычно при появлении новой кнопки появляется и новый сервис.
Все кнопки браузера более детальным образом можно посмотреть в верхнем меню IE:
Вид > Панели инструментов > Настройка (View > Тoolbars > Customize)
Инструменты же находятся здесь: Tools/Сервис
Используемые ключи реестра:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions
HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions
Как это выглядит в логе:
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - С:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - С:\Program Files\ICQLite\ICQLite.exe
Действие HijackThis: удаление соответствующей информации из реестра.
__________________________________________________ ______
Секция O10. Winsock LSP (Layered Service Provider - поставщик многоуровневых услуг).
Winsock LSP обрабатывает данные, передаваемые по протоколу TCP/IP, который используется для связи с сетью и интернетом. И в процессе передачи/приема данных по этому протоколу информация последовательно проходит все установленные на компьютере LSP (представляют собой dll-библиотеки). Если один из этих файлов будет некорректно удален, то цепочка обработки нарушается, и работа по протоколу TCP/IP становится невозможной. Также в Winsock может быть добавлен посторонний файл, с помощью которого у кого-то появится возможность перехватывать ваши исходящие данные. И сразу нужно заметить, что многие антивирусы и файрволы могут вполне "законно" находится в этой секции (например, Dr.Web, Sygate Firewall, Mcafee Personal Firewall).
Как это выглядит в логе:
O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'mswsock.dll' missing
O10 - Unknown file in Winsock LSP: c:\windows\system32\msspi.dll
Действие HijackThis: для восстановления цепи обработки TCP/IP рекомендуется использовать программу LSP-Fix, а не HijackThis.
__________________________________________________ ______
Секция O11. Новая группа настроек в Свойствах Обозревателя (Internet Options), в закладке Дополнительно (Advanced).
С помощью следующего ключа реестра в закладку Дополнительно (Advanced) действительно возможно добавить совершенно новую группу настроек.:
HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions
Как это выглядит в логе:
O11 - Options group: [CommonName] CommonName
O11 - Options group: [TB] Toolbar
Действие HijackThis: удаление соответствующей информации из реестра.
__________________________________________________ __
Секция O12. Плагины Internet Explorer.
Это программы, которые загружаются вместе с IE, чтобы добавить браузеру некоторые функциональные возможности (например, просмотрщик PDF).
Используемый ключ реестра:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Plugins
Как это выглядит в логе:
O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
Действие HijackThis: удаление как информации из рееста, так и вредоносного файла.
____________________________________________
Секция O13. Префиксы IE.
Префикс здесь - это то, что ваш браузер автоматически добавляет в тех случаях, когда вы не указываете протокол (httр://; ftр:// и т.д.) в адресе какого-либо веб-сайта. То есть, если вы ввели google.com, а префикс, установленный по умолчанию в вашей системе перед этим был изменен, например, на httр://ehttp.cc/?, браузер откроет страницу httр://ehttp.cc/?google.com.
Используемые ключи реестра:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL \Prefix
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL \DefaultPrefix
Как это выглядит в логе:
O13 - DefaultPrefix: httр://ehttp.cc/?
O13 - WWW Prefix: httр://www.nkvd.us/1507/
Действие HijackThis: сбрасывание значений префиксов на стандартные.
_____________________________________________
Секция O14. Изменения в файле iereset.inf.
Когда вы используете кнопку сбрасывания настроек браузера, IE использует следующий системный файл (для Windows XP):
С:\WINDOWS\inf\iereset.inf
Если информация в нем будет изменена, то операция восстановления начальных настроек IE обычным способом будет невозможна.
Как это выглядит в логе:
O14 - IERESET.INF: START_PAGE_URL=httр://portal/
O14 - IERESET.INF: START_PAGE_URL=httр://www.searchalot.com
Действие HijackThis: удаление соответствующей информации из файла iereset.inf.
__________________________________________________ _
Секция O15. Веб-сайты и протоколы, добавленные в зону Надежные узлы (Trusted Zone).
Используемый ключи в реестре:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\Domains
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\Domains
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\Ranges
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\Ranges
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\ProtocolDefaults
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\ProtocolDefaults
Как это выглядит в логе:
O15 - Trusted Zone: *.masspass.com
O15 - Trusted Zone: httр://update.randhi.com (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)
Действие HijackThis: удаление сайта/протокола из зоны Надежные узлы Trusted Zone.
_______________________________________________
Секция O16. Программы, загруженные с помощью ActiveX.
ActiveX - это компонент (.dll или .ocx), благодаря которому достигается лучшее взаимодействие с определенным веб-сайтом (к примеру, очень многие антивирусные он-лайн сканирования работают именно через ActiveX; обновления Microsoft; система webmoney и т.д.). Вредоносные же ActiveX-компоненты обычно устанавливаются для последующей загрузки дополнительного программного обеспечения без вашего ведома.
Используемый ключ реестра:
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units
Или папка:
C:\WINDOWS\Downloaded Program Files
Как это выглядит в логе:
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} (loader Class) - httр://217.73.66.1/del/loader.cab
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - httр://www.180searchassistant.com/180saax.cab
Действие HijackThis: удаление вредоносного компонента и информации о нем в системном реестре.
__________________________________________________ _____________
Секция O17. Изменения домена или DNS сервера.
Как это выглядит в логе:
O17 - HKLM\SYSTEM\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O17 - HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
Действие HijackThis: удаление соответствующего ключа из реестра.
________________________________________________
Секция O18. Изменения существующих протоколов и фильтров.
Используемые ключи реестра:
HKLM\SOFTWARE\Classes\PROTOCOLS
HKLM\SOFTWARE\Classes\CLSID
HKLM\SOFTWARE\Classes\PROTOCOLS\Handler
HKLM\SOFTWARE\Classes\PROTOCOLS\Filter
Как это выглядит в логе:
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}
O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINDOWS\httpfilter.dll
O18 - Protocol: about - {53B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\System32\msxmlpp.dll
Действие HijackThis: удаление соответствующего ключа из реестра.
__________________________________________________ _________
Секция O19. Шаблон Стиля (Style Sheet) пользователя.
Это ваш шаблон, в котором записана информация о цветах, шрифтах, расположении и некоторых других параметрах рассматриваемых в браузере страниц.
Используемый ключ реестра:
HKCU\SOFTWARE\Microsoft\Internet Explorer\Styles: User Stylesheets
Как это выглядит в логе:
O19 - User stylesheet: C:\WINDOWS\Web\win.def
O19 - User stylesheet: C:\WINDOWS\default.css
Действие HijackThis: удаление соответствующей информации из реестра.
__________________________________________________ ___
Секция O20. Уведомления Winlogon (Winlogon Notify) и модули инициализации (App Init DLLs)
Модули инициализации (App Init DLLs) загружаются в каждое Windows-приложение, использующее библиотеку user32.dll (а её используют практически все):
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs
А также ключи Winlogon Notify (dll-библиотека в таком случае загружается вместе с процессом winlogon.exe):
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
Как это выглядит в логе:
O20 - AppInit_DLLs: C:\WINDOWS\System32\dbgwin.dll
O20 - Winlogon Notify: Group Policy - C:\WINDOWS\system32\h0n0la5m1d.dll
Действие HijackThis: удаление соответствующей информации из реестра.
____________________________________________
Секция O21. Объекты загрузки оболочки (SSODL/Shell Service Object Delay Load).
Библиотеки, которые при каждом старте системы автоматически загружаются как расширения проводника (вместе с процессом еxplorer.exe), используя ключ ShellServiceObjectDelayLoad:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\She llServiceObjectDelayLoad
Как это выглядит в логе:
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
Действие HijackThis: удаление соответствующей записи из реестра.
__________________________________________________ ______
Секция O22. Задачи Планировщика Windows (Shared Task Scheduler).
Планировщик Задач Windows отвечает за автоматический запуск определённых программ в установленное вами время.
Используемый ключ в реестре:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\SharedTaskScheduler
Как это выглядит в логе:
O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - C:\Windows\system32\mtwirl32.dll
Действие HijackThis: удаление соответствующего задания.
_________________________________________________
Секция O23. Службы Windows NT/Microsoft Windows.
Службы/Сервисы - это приложения, запускаемые в фоновом режиме во время загрузки системы или при возникновении определенных событий и обеспечивающие основные функциональные возможности ОС. Как правило, службы не имеют графического интерфейса, поэтому их работа в большинстве своем не заметна для пользователя. Любая служба может быть запущена автоматически при загрузке операционной системы и начать работу еще до того, как пользователь произведет вход в Windows.
Просмотреть список всех служб, установленных на компьютере, можно следующим образом:
Пуск > Выполнить; вписать services.msc; нажать ОК
(Start > Run; вписать services.msc; нажать ОК)
Как это выглядит в логе:
O23 - Service: Power Manager - Unknown - C:\WINDOWS\svchost.exe
O23 - Service: K4NV - Unknown owner - C:\WINDOWS\k4nv.exe
Действие HijackThis: остановка службы и изменение Типа её Запуска (StartUp Type) на Отключено (Disabled).
Если же есть желание удалить службу, то это осуществляется несколькими способами:
С помощью командной строки:
Пуск > Выполнить; вписать sc delete имя службы; нажать ОК
(Start > Run; вписать sc delete имя службы; нажать ОК)
Через реестр:
HKLM\SYSTEM\CurrentControlSet\Services
HKLM\SYSTEM\ControlSet001\Services
HKLM\SYSTEM\ControlSet002\Services
HKLM\SYSTEM\ControlSet003\Services
HKLM\SYSTEM\ControlSet004\Services
HKLM\SYSTEM\ControlSet005\Services
|