Описание.
HijackThis — небольшая программа для обнаружения и удаления вредоносного ПО. Логи этой программы принято считать своеобразным информационным стандартом в рамках многочисленных конференций, посвящённых компьютерной безопасности.
HijackThis изначально создавался как инструмент для обнаружения и удаления различного рода троянских программ, перенастраивающих параметры браузера и других приложений системы без ведома пользователя, впоследствии программа получила очень широкое распространение.
Назначение.
Основное назначение программы: обнаружение и исправление изменений в настройках наиболее уязвимых областей операционной системы. А главная её функция заключается в автоматическом исследовании этих областей и вывода собранной информации в виде удобного лога (отчёта). Важно понимать, что в программе нет какой-либо базы данных по вредоносным программам, поэтому последующий анализ содержимого своего лога HijackThis не предполагает. И решение об удалении какого-либо компонента может принять только сам пользователь.
Особенности.
• HijackThis совершенно бесплатен.
• Вес программы: чуть менее 400 Кб.
• Не требует установки.
• Не выдвигает каких-либо особых системных требований.
• Для работы нуждается в минимальном количестве ресурсов компьютера.
• Любое сканирование программы занимает всего десяток секунд.
• Не обменивается информацией с сетью и интернетом, поэтому для использования не требуются какие-либо дополнительные настройки файрвола.
Предупреждение.
HijackThis рассчитан на более-менее опытных пользователей, имеющих представление о том, как работает ОС Windows, так как программа в первую очередь позволяет вносить изменения во многие участки операционной системы. И неумелое их редактирование может повлечь за собой серьезные последствия для ОС.
Поэтому, пожалуйста, будьте предельно осторожны при использовании HijackThis, и в случае, если вы чувствуете себя недостаточно опытным, прежде чем удалять что-либо, попробуйте поискать информацию об удаляемом элементе в интернете или же проконсультируйтесь со знающим человеком.
Начало работы.
Запустите скаченный файл HijackThis.exe
Назначения кнопок, на нем расположенных:
Do a systemscan and save a logfile - сканирование и автоматическое сохранение лога (по умолчанию лог сохраняется в папке программы с названием hijackthis.log). Обычно работу с программой начинают с нажатия этой кнопки.
Do a system scan only - только сканирование.
View the list of backups - открытие списка бэкапов (перед тем, как что-либо удалить, HijackThis по умолчанию автоматически создает резервную копию удаляемого элемента).
Open the Misc Tools selection - другие инструменты программы (на этом мы подробно остановимся немного позже).
Open online HijackThis Quick Start - автоматически открывает страницу HijackThis Quick Start (краткое ознакомление с программой на английском языке).
Non of the above, just start the program - ничего из вышеперечисленного, простой запуск программы.
Анализ лога.
С элементами лога возможны следующие манипуляции:
- Удаление: отмечаем нужную строчку галочкой и нажимаем на кнопку "Fix сhecked".
Если удаляемый элемент каким-либо образом касается браузера, то его (браузер) обязательно предварительно нужно закрыть.
- Занесение в игнор-лист (касается элементов в надежности которых вы уверены): отмечаем нужную строчку галочкой и нажимаем на кнопку "Add checked to ignorelist".
Элементы, занесенные в игнор-лист, в дальнейших отчетах отображаться не будут.
Основной принцип при анализе лога: удаление элементов, о существовании которых вы до недавнего времени и не предполагали (при условии, что вы достаточно хорошо знакомы со своей операционной системой). И занесение в игнор-лист "проверенных" приложений, установленных исключительно вами.
Каждая строчка в логе HijackThis начинается со своего определенного обозначения (названия секции).
Краткие характеристики секций:
R0, R1, R2, R3 - изменения основных настроек Internet Explorer.
F0, F1, F2, F3 - автозапуск программ из ini-файлов и эквивалентных мест реестра.
N1, N2, N3, N4 - изменения начальной и поисковой страниц Netscape/Mozilla.
O1 - изменения в файле Hosts.
O2 - плагины и расширения браузера (BHO/Browser Helper Objects).
O3 - дополнительные панели инструментов браузера (Internet Explorer Тoolbars).
O4 - автозапуск программ из реестра и папки Startup.
O5 - блокирование доступа к Свойствам Обозревателя (Internet Options) через Панель Управления.
O6 - запрет на изменение некоторых Свойств Обозревателя (Internet Options).
O7 - отключение доступа к Regedit.
O8 - дополнительные пункты контекстного меню Internet Explorer.
O9 - дополнительные кнопки и сервисы на главной панели Internet Explorer.
O10 - Winsock LSP (Layered Service Provider/поставщик многоуровневых услуг).
O11 - новая группа настроек в Свойствах Обозревателя (Internet Options).
O12 - плагины Internet Explorer.
O13 - префиксы IE.
O14 - изменения в файле iereset.inf.
O15 - веб-сайты и протоколы, добавленные в зону Надежные узлы (Trusted Zone).
O16 - программы, загруженные с помощью ActiveX (подкаталог WINDOWS\Downloaded Program Files).
O17 - изменения домена или DNS сервера.
O18 - изменения существующих протоколов и фильтров.
O19 - шаблон стиля (Style Sheet) пользователя.
O20 - уведомления Winlogon (Winlogon Notify) и модули инициализации (App Init DLLs) для Windows XP/2000/2003.
O21 - объекты загрузки оболочки (SSODL/Shell Service Object Delay Load).
O22 - задачи Планировщика Windows (Shared Task Scheduler).
O23 - службы Windows NT/Microsoft Windows.