|
Администратор
ТС
Регистрация: 21.11.2014
Сообщений: 2,965
Сказал(а) спасибо: 12
Поблагодарили 86 раз(а) в 80 сообщениях
Настроение:
|
Re: HijackThis. faq.
Секции R0, R1, R2, R3. Изменения основных настроек Internet Explorer.
R0 - ваша домашняя страница (загружающаяся при старте IE) и поисковый ассистент браузера (Search Assistant).
R1 - настройки, связанные с интернет-поиском, плюс некоторые другие характеристики (IE Window Title; ProxyServer, ProxyOverride в настройках IE, Internet Connection Wizard: ShellNext и др.).
R2 - эта секция на данный момент не используется.
R3 - URL Search Hook - перехватчик поиска, который используется браузером для автоматического определения протокола (httр://; ftp:// и т.д.) в тех случаях, когда вы указывайте адрес веб-сайта без него.
Некоторые используемые ключи реестра:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main: Start Page
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Start Page
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main, Search Page
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Search Page
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main, Default_Page_URL
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Default_Page_URL
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search, SearchAssistant
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search, CustomizeSearch
HKCU\SOFTWARE\Microsoft\Internet Explorer\Search, CustomizeSearch
HKCU\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchURL, Default
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Window Title
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Search Bar
HKCU\SOFTWARE\Microsoft\Internet Connection Wizard, ShellNext
HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings, ProxyServer
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Int ernet Settings
Как это выглядит в логе:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - C:\PROGRA~1\Toolbar\toolbar.dll
R3 - Default URLSearchHook is missing
Действие HijackThis при удалении строчки из этой секции: удаление соответствующей информации из реестра.
__________________________________________________ _
Секции N1, N2, N3, N4. Изменения начальной и поисковой страниц Netscape/Mozilla.
N1 - стартовая и поисковая страницы для Netscape 4.
N2 - стартовая и поисковая страницы для Netscape 6.
N3 - стартовая и поисковая страницы для Netscape 7.
N4 - стартовая и поисковая страницы для Mozilla.
Информация об этих настройках во всех 4-ех случаях хранится в файле с названием prefs.js.
Как это выглядит в логе:
N1 - Netscape 4: user_pref "browser.startup.homepage", "www.coolwwwsearch.com"); (C:\Program Files\Netscape\Users\default\prefs.js)
Действие HijackThis: удаление соответствующей информации из файла prefs.js.
__________________________________________________ _____________
Секция O1. Изменения в файле Hosts.
Файл Hosts участвует в процессе определения IP адреса сервера по его имени, и модификация этого файла может привести к нарушению данного процесса и подмене адреса любого хоста. Поэтому обнаружение в нем посторонних записей, особенно связанных с популярными поисковыми системами или антивирусными продуктами, однозначно свидетельствует о деятельности вредоносной программы.
По умолчанию в нем должна быть только одна строчка: 127.0.0.1 localhost (плюс комментарии, начинающиеся со знака #). Все остальное можно стирать.
Открыть и отредактировать файл Hosts можно любым текстовым редактором (например, Блокнот/Notepad), и по умолчанию он находится здесь:
Для Windows 95/98/ME: C:\WINDOWS\Hosts
Для Windows 2000/NT: C:\WINNT\system32\drivers\etc\Hosts
Для Windows 2003/XP/Vista/7: C:\WINDOWS\system32\drivers\etc\Hosts
Также имейте в виду, что его местоположение может быть изменено вредоносной программой с помощью следующего ключа реестра (HijackThis об этом сообщает):
HKLM\System\CurrentControlSet\Services\Tcpip\Param eters, DatabasePath
Как это выглядит в логе:
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: <TITLE>404 Not Found</TITLE>
O1 - Hosts file is located at C:\Windows\Help\hosts
Действие HijackThis: удаление соответствующей записи в файле Hosts.
__________________________________________________ ____________
Секция O2. Плагины и расширения браузера (BHO/Browser Helper Objects).
BHO представляют собой dll-библиотеки, которые каждый раз загружаются вместе с браузером, из-за чего их присутствие в системе долгое время может быть незаметным (большинство файрволов в этом случае тоже бессильны, так как с их точки зрения обмен с интернетом ведет процесс браузера).
Просмотреть полный список этих библиотек в Windows можно следующим образом (при условии, что версия IE не ниже шестой):
Свойства Обозревателя > закладка Программы и кнопка Надстройки (Internet Options > закладка Programs и кнопка Manage Add-ons).
Используемый ключ реестра:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects
Как это выглядит в логе:
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\cbxyvtq.dll
O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet7_22.dll
Действие HijackThis: удаление как информации из реестра (включая раздел CLSID), так и вредоносного файла.
__________________________________________________ ______________
Секция O3. Дополнительные панели инструментов браузера (Internet Explorer Тoolbars).
По своим функциям и поведению очень похожи на BHO, но помимо скрытой работы, как правило, добавляют в браузер еще и дополнительную панель инструментов (Google, Яндекс и так далее).
Видимость этих панелей регулируется в верхнем меню IE:
Вид > Панели инструментов (View > Тoolbars)
Используемый ключ реестра:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar
Как это выглядит в логе:
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Program Files\ISTbar\istbar.dll
O3 - Toolbar: Alexa - {3CEFF6CD-6F08-4e4d-BCCD-FF7415288C3B} - C:\WINDOWS\system32\SHDOCVW.DLL
Действие HijackThis: удаление информации из реестра (файлы тулбаров необходимо удалить после вручную).
__________________________________________________ ____________________
Секция O4. Автозапуск программ из реестра и папки Startup.
Просмотреть список программ, запускающихся подобным образом, используя средства Windows, можно с помощью утилиты msconfig:
Пуск > Выполнить; вписать msconfig; нажать ОК; и в открывшемся приложении последняя закладка - Автозагрузка
(Start > Run; вписать msconfig; нажать ОК; и в открывшемся приложении последняя закладка - StartUp)
Используемые ключи реестра:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Once
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Once
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ServicesOnce
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ServicesOnce
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run OnceEx
Startup: C:\Documents and Settings\имя пользователя\Start Menu\Programs\Startup
Global: C:\Documents and Settings\All Users\Start Menu\Programs\Startup
Как это выглядит в логе:
O4 - HKCU\..\Run: [Windows Security Protocol] win32sprot.exe
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spooIsv.exe
O4 - HKLM\..\RunServices: [Fire Well service] sdtersx.exe
O4 - Startup: mIRC IRC.BY.lnk = C:\Program Files\mIRC\mirc.exe
O4 - Global Startup: MSupdate.exe
Действие HijackThis: удаление записи в реестре/ярлыка из соответствующей папки (для предотвращения последующего автоматического запуска данного приложения).
Некоторые строчки этой секции HijackThis не удаляет, если соответствующая программа на данный момент активна. В этом случае необходимо предварительно завершить её процесс через Диспетчер Задач/Task Manader.
__________________________________________________ ________
Секция O5. Блокирование доступа к Свойствам Обозревателя (Internet Options) через Панель Управления (Control Panel).
В Windows это возможно сделать, добавив соответствующую запись в системный файл:
C:\WINDOWS\control.ini
Как это выглядит в логе:
O5 - control.ini: inetcpl.cpl=no
Действие HijackThis: удаление соответствующей записи в файле control.ini.
__________________________________________________ ________
Секция O6. Запрет на изменение некоторых Свойств Обозревателя (Internet Options).
Используемый ключ реестра:
HKCU\SOFTWARE\Policies\Microsoft\Internet Explorer\Restrictions
Как это выглядит в логе:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
Имейте в виду, что подобные ограничения также могут устанавливаться некоторыми антивирусами/антитроянами (например, Spybot S&D).
Действие HijackThis: удаление информации из реестра для отменены соответствующего запрета.
__________________________________________________ ___________
Секция O7. Отключение доступа к Regedit.
Другими словами, это запрет на запуск утилиты Windows - regedit.exe, которая используется для редактирования реестра. С одинаковой вероятностью может быть установлен как администратором, так и вредоносной программой.
Используемый ключ реестра:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol icies\System
Может быть установлен как администратором, так и вредоносной программой.
Как это выглядит в логе:
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
Действие HijackThis: удаление информации из реестра для отменены соответствующего запрета.
__________________________________________________ __
|