Тема: HijackThis. faq.
Показать сообщение отдельно
Старый 02.03.2015, 23:31   #3
Eternity
Администратор
Топик Стартер ТС
 
Аватар для Eternity
 
Регистрация: 21.11.2014
Сообщений: 2,965
Сказал(а) спасибо: 12
Поблагодарили 86 раз(а) в 80 сообщениях
Настроение: Daring
Репутация: 107
По умолчанию Re: HijackThis. faq.

Секция O8. Дополнительные пункты контекстного меню Internet Explorer.

Это меню появляется, когда вы кликаете по какой-либо ссылке правой кнопкой мыши.

Используемый ключ реестра:
HKCU\SOFTWARE\Microsoft\Internet Explorer\MenuExt

Как это выглядит в логе:
O8 - Extra context menu item: Проверить ссылку Dr.Web - httр://www.drweb.com/online/drweb-online-ru.html
O8 - Extra context menu item: Mail to a Friend... - httр://client.alexa.com/holiday/scri...ons/mailto.htm

Действие HijackThis: удаление соответствующей информации из реестра.
__________________________________________________ ______

Секция O9. Дополнительные кнопки и сервисы на главной панели IE.

Как правило, это всего лишь ссылки, которые не представляют особой опасности, пока вы на них не нажмете. И обычно при появлении новой кнопки появляется и новый сервис.

Все кнопки браузера более детальным образом можно посмотреть в верхнем меню IE:
Вид > Панели инструментов > Настройка (View > Тoolbars > Customize)
Инструменты же находятся здесь: Tools/Сервис

Используемые ключи реестра:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions
HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions

Как это выглядит в логе:
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - С:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - С:\Program Files\ICQLite\ICQLite.exe

Действие HijackThis: удаление соответствующей информации из реестра.
__________________________________________________ ______

Секция O10. Winsock LSP (Layered Service Provider - поставщик многоуровневых услуг).

Winsock LSP обрабатывает данные, передаваемые по протоколу TCP/IP, который используется для связи с сетью и интернетом. И в процессе передачи/приема данных по этому протоколу информация последовательно проходит все установленные на компьютере LSP (представляют собой dll-библиотеки). Если один из этих файлов будет некорректно удален, то цепочка обработки нарушается, и работа по протоколу TCP/IP становится невозможной. Также в Winsock может быть добавлен посторонний файл, с помощью которого у кого-то появится возможность перехватывать ваши исходящие данные. И сразу нужно заметить, что многие антивирусы и файрволы могут вполне "законно" находится в этой секции (например, Dr.Web, Sygate Firewall, Mcafee Personal Firewall).

Как это выглядит в логе:
O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'mswsock.dll' missing
O10 - Unknown file in Winsock LSP: c:\windows\system32\msspi.dll

Действие HijackThis: для восстановления цепи обработки TCP/IP рекомендуется использовать программу LSP-Fix, а не HijackThis.
__________________________________________________ ______

Секция O11. Новая группа настроек в Свойствах Обозревателя (Internet Options), в закладке Дополнительно (Advanced).

С помощью следующего ключа реестра в закладку Дополнительно (Advanced) действительно возможно добавить совершенно новую группу настроек.:
HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions

Как это выглядит в логе:
O11 - Options group: [CommonName] CommonName
O11 - Options group: [TB] Toolbar

Действие HijackThis: удаление соответствующей информации из реестра.
__________________________________________________ __

Секция O12. Плагины Internet Explorer.

Это программы, которые загружаются вместе с IE, чтобы добавить браузеру некоторые функциональные возможности (например, просмотрщик PDF).

Используемый ключ реестра:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Plugins

Как это выглядит в логе:
O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

Действие HijackThis: удаление как информации из рееста, так и вредоносного файла.
____________________________________________

Секция O13. Префиксы IE.

Префикс здесь - это то, что ваш браузер автоматически добавляет в тех случаях, когда вы не указываете протокол (httр://; ftр:// и т.д.) в адресе какого-либо веб-сайта. То есть, если вы ввели google.com, а префикс, установленный по умолчанию в вашей системе перед этим был изменен, например, на httр://ehttp.cc/?, браузер откроет страницу httр://ehttp.cc/?google.com.

Используемые ключи реестра:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL \Prefix
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL \DefaultPrefix

Как это выглядит в логе:
O13 - DefaultPrefix: httр://ehttp.cc/?
O13 - WWW Prefix: httр://www.nkvd.us/1507/

Действие HijackThis: сбрасывание значений префиксов на стандартные.
_____________________________________________

Секция O14. Изменения в файле iereset.inf.

Когда вы используете кнопку сбрасывания настроек браузера, IE использует следующий системный файл (для Windows XP):
С:\WINDOWS\inf\iereset.inf
Если информация в нем будет изменена, то операция восстановления начальных настроек IE обычным способом будет невозможна.

Как это выглядит в логе:
O14 - IERESET.INF: START_PAGE_URL=httр://portal/
O14 - IERESET.INF: START_PAGE_URL=httр://www.searchalot.com

Действие HijackThis: удаление соответствующей информации из файла iereset.inf.
__________________________________________________ _

Секция O15. Веб-сайты и протоколы, добавленные в зону Надежные узлы (Trusted Zone).

Используемый ключи в реестре:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\Domains
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\Domains
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\Ranges
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\Ranges
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\ProtocolDefaults
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\ProtocolDefaults

Как это выглядит в логе:
O15 - Trusted Zone: *.masspass.com
O15 - Trusted Zone: httр://update.randhi.com (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)

Действие HijackThis: удаление сайта/протокола из зоны Надежные узлы Trusted Zone.
_______________________________________________

Секция O16. Программы, загруженные с помощью ActiveX.

ActiveX - это компонент (.dll или .ocx), благодаря которому достигается лучшее взаимодействие с определенным веб-сайтом (к примеру, очень многие антивирусные он-лайн сканирования работают именно через ActiveX; обновления Microsoft; система webmoney и т.д.). Вредоносные же ActiveX-компоненты обычно устанавливаются для последующей загрузки дополнительного программного обеспечения без вашего ведома.

Используемый ключ реестра:
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units
Или папка:
C:\WINDOWS\Downloaded Program Files

Как это выглядит в логе:
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} (loader Class) - httр://217.73.66.1/del/loader.cab
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - httр://www.180searchassistant.com/180saax.cab

Действие HijackThis: удаление вредоносного компонента и информации о нем в системном реестре.
__________________________________________________ _____________

Секция O17. Изменения домена или DNS сервера.

Как это выглядит в логе:
O17 - HKLM\SYSTEM\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O17 - HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com

Действие HijackThis: удаление соответствующего ключа из реестра.
________________________________________________

Секция O18. Изменения существующих протоколов и фильтров.

Используемые ключи реестра:
HKLM\SOFTWARE\Classes\PROTOCOLS
HKLM\SOFTWARE\Classes\CLSID
HKLM\SOFTWARE\Classes\PROTOCOLS\Handler
HKLM\SOFTWARE\Classes\PROTOCOLS\Filter

Как это выглядит в логе:
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}
O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINDOWS\httpfilter.dll
O18 - Protocol: about - {53B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\System32\msxmlpp.dll

Действие HijackThis: удаление соответствующего ключа из реестра.
__________________________________________________ _________

Секция O19. Шаблон Стиля (Style Sheet) пользователя.

Это ваш шаблон, в котором записана информация о цветах, шрифтах, расположении и некоторых других параметрах рассматриваемых в браузере страниц.

Используемый ключ реестра:
HKCU\SOFTWARE\Microsoft\Internet Explorer\Styles: User Stylesheets

Как это выглядит в логе:
O19 - User stylesheet: C:\WINDOWS\Web\win.def
O19 - User stylesheet: C:\WINDOWS\default.css

Действие HijackThis: удаление соответствующей информации из реестра.
__________________________________________________ ___

Секция O20. Уведомления Winlogon (Winlogon Notify) и модули инициализации (App Init DLLs)

Модули инициализации (App Init DLLs) загружаются в каждое Windows-приложение, использующее библиотеку user32.dll (а её используют практически все):
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs

А также ключи Winlogon Notify (dll-библиотека в таком случае загружается вместе с процессом winlogon.exe):
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

Как это выглядит в логе:
O20 - AppInit_DLLs: C:\WINDOWS\System32\dbgwin.dll
O20 - Winlogon Notify: Group Policy - C:\WINDOWS\system32\h0n0la5m1d.dll

Действие HijackThis: удаление соответствующей информации из реестра.
____________________________________________

Секция O21. Объекты загрузки оболочки (SSODL/Shell Service Object Delay Load).

Библиотеки, которые при каждом старте системы автоматически загружаются как расширения проводника (вместе с процессом еxplorer.exe), используя ключ ShellServiceObjectDelayLoad:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\She llServiceObjectDelayLoad

Как это выглядит в логе:
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll

Действие HijackThis: удаление соответствующей записи из реестра.
__________________________________________________ ______

Секция O22. Задачи Планировщика Windows (Shared Task Scheduler).

Планировщик Задач Windows отвечает за автоматический запуск определённых программ в установленное вами время.

Используемый ключ в реестре:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\SharedTaskScheduler

Как это выглядит в логе:
O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - C:\Windows\system32\mtwirl32.dll

Действие HijackThis: удаление соответствующего задания.
_________________________________________________

Секция O23. Службы Windows NT/Microsoft Windows.

Службы/Сервисы - это приложения, запускаемые в фоновом режиме во время загрузки системы или при возникновении определенных событий и обеспечивающие основные функциональные возможности ОС. Как правило, службы не имеют графического интерфейса, поэтому их работа в большинстве своем не заметна для пользователя. Любая служба может быть запущена автоматически при загрузке операционной системы и начать работу еще до того, как пользователь произведет вход в Windows.

Просмотреть список всех служб, установленных на компьютере, можно следующим образом:
Пуск > Выполнить; вписать services.msc; нажать ОК
(Start > Run; вписать services.msc; нажать ОК)

Как это выглядит в логе:
O23 - Service: Power Manager - Unknown - C:\WINDOWS\svchost.exe
O23 - Service: K4NV - Unknown owner - C:\WINDOWS\k4nv.exe

Действие HijackThis: остановка службы и изменение Типа её Запуска (StartUp Type) на Отключено (Disabled).

Если же есть желание удалить службу, то это осуществляется несколькими способами:
С помощью командной строки:
Пуск > Выполнить; вписать sc delete имя службы; нажать ОК
(Start > Run; вписать sc delete имя службы; нажать ОК)

Через реестр:
HKLM\SYSTEM\CurrentControlSet\Services
HKLM\SYSTEM\ControlSet001\Services
HKLM\SYSTEM\ControlSet002\Services
HKLM\SYSTEM\ControlSet003\Services
HKLM\SYSTEM\ControlSet004\Services
HKLM\SYSTEM\ControlSet005\Services
Eternity вне форума   Ответить с цитированием Вверх