начало смотри в первом посте
Секция O9.
Дополнительные кнопки и сервисы на главной панели IE.
Как правило, это всего лишь ссылки, которые не представляют особой опасности, пока вы на них не нажмете. И обычно при появлении новой кнопки появляется и новый сервис.
Все кнопки браузера более детальным образом можно посмотреть в верхнем меню IE:
Вид > Панели инструментов > Настройка (View > Тoolbars > Customize)
Инструменты же находятся здесь: Tools/Сервис
Используемые ключи реестра:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions
HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions
Как это выглядит в логе:
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - С:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - С:\Program Files\ICQLite\ICQLite.exe
Действие HijackThis: удаление соответствующей информации из реестра.
Секция O10.
Winsock LSP (Layered Service Provider - поставщик многоуровневых услуг).
Winsock LSP обрабатывает данные, передаваемые по протоколу TCP/IP, который используется для связи с сетью и интернетом. И в процессе передачи/приема данных по этому протоколу информация последовательно проходит все установленные на компьютере LSP (представляют собой dll-библиотеки). Если один из этих файлов будет некорректно удален, то цепочка обработки нарушается, и работа по протоколу TCP/IP становится невозможной.
Также в Winsock может быть добавлен посторонний файл, с помощью которого у кого-то появится возможность перехватывать ваши исходящие данные.
И сразу нужно заметить, что многие антивирусы и файрволы могут вполне "законно" находится в этой секции (например, Dr.Web, Sygate Firewall, Mcafee Personal Firewall).
Как это выглядит в логе:
O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'mswsock.dll' missing
O10 - Unknown file in Winsock LSP: c:\windows\system32\msspi.dll
Действие HijackThis: для восстановления цепи обработки TCP/IP рекомендуется использовать программу
LSP-Fix, а не HijackThis.
Секция O11.
Новая группа настроек в Свойствах Обозревателя (Internet Options), в закладке Дополнительно (Advanced).
С помощью следующего ключа реестра:
HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions
в закладку Дополнительно (Advanced) действительно возможно добавить совершенно новую группу настроек.
Как это выглядит в логе:
O11 - Options group: [CommonName] CommonName
O11 - Options group: [TB] Toolbar
Действие HijackThis: удаление соответствующей информации из реестра.
Секция O12.
Плагины Internet Explorer.
Это программы, которые загружаются вместе с IE, чтобы добавить браузеру некоторые функциональные возможности (например, просмоторщик PDF).
Используемый ключ реестра:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Plugins
Как это выглядит в логе:
O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
Действие HijackThis: удаление как информации из рееста, так и вредоносного файла.
Секция O13.
Префиксы IE.
Префикс здесь - это то, что ваш браузер автоматически добавляет в тех случаях, когда вы не указываете протокол (
http://; ftp:// и т.д.) в адресе какого-либо веб-сайта.
То есть, если вы ввели google.com, а префикс, установленный по умолчанию в вашей системе перед этим был изменен, например, на
http://ehttp.cc/?, браузер откроет страницу
http://ehttp.cc/?google.com.
Используемые ключи реестра:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefix
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix
Как это выглядит в логе:
O13 - DefaultPrefix:
http://ehttp.cc/?
O13 - WWW Prefix:
http://www.nkvd.us/1507/
Действие HijackThis: сбрасывание значений префиксов на стандартные.
Секция O14.
Изменения в файле iereset.inf.
Когда вы используете кнопку сбрасывания настроек браузера, IE использует следующий системный файл (для Windows XP):
С:\WINDOWS\inf\
iereset.inf
Если информация в нем будет изменена, то операция восстановления начальных настроек IE обычным способом будет невозможна.
Как это выглядит в логе:
O14 - IERESET.INF: START_PAGE_URL=http://portal/
O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com
Действие HijackThis: удаление соответствующей информации из файла iereset.inf.
Секция O15.
Веб-сайты и протоколы, добавленные в зону Надежные узлы (Trusted Zone).
Используемый ключи в реестре:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults
Как это выглядит в логе:
O15 - Trusted Zone: *.masspass.com
O15 - Trusted Zone:
http://update.randhi.com (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)
Действие HijackThis: удаление сайта/протокола из зоны Надежные узлы Trusted Zone.
Секция O16.
Программы, загруженные с помощью ActiveX.
ActiveX - это компонент (.dll или .ocx), благодаря которому достигается лучшее взаимодействие с определенным веб-сайтом (к примеру, очень многие антивирусные он-лайн сканирования работают именно через ActiveX; обновления Microsoft; система webmoney и т.д.).
Вредоносные же ActiveX-компоненты обычно устанавливаются для последующей загрузки дополнительного программного обеспечения без вашего ведома.
Используемый ключ реестра:
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units
Или папка:
C:\WINDOWS\Downloaded Program Files
Как это выглядит в логе:
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} (loader Class) -
http://217.73.66.1/del/loader.cab
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) -
http://www.180searchassistant.com/180saax.cab
Действие HijackThis: удаление вредоносного компонента и информации о нем в системном реестре.
Секция O17.
Изменения домена или DNS сервера.
Как это выглядит в логе:
O17 - HKLM\SYSTEM\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O17 - HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
Действие HijackThis: удаление соответствующего ключа из реестра.
Секция O18.
Изменения существующих протоколов и фильтров.
Используемые ключи реестра:
HKLM\SOFTWARE\Classes\PROTOCOLS
HKLM\SOFTWARE\Classes\CLSID
HKLM\SOFTWARE\Classes\PROTOCOLS\Handler
HKLM\SOFTWARE\Classes\PROTOCOLS\Filter
Как это выглядит в логе:
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}
O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINDOWS\httpfilter.dll
O18 - Protocol: about - {53B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\System32\msxmlpp.dll
Действие HijackThis: удаление соответствующего ключа из реестра.
Секция O19.
Шаблон Стиля (Style Sheet) пользователя.
Это ваш шаблон, в котором записана информация о цветах, шрифтах, расположении и некоторых других параметрах рассматриваемых в браузере страниц.
Используемый ключ реестра:
HKCU\SOFTWARE\Microsoft\Internet Explorer\Styles: User Stylesheets
Как это выглядит в логе:
O19 - User stylesheet: C:\WINDOWS\Web\win.def
O19 - User stylesheet: C:\WINDOWS\default.css
Действие HijackThis: удаление соответствующей информации из реестра.
Секция O20.
Уведомления Winlogon (Winlogon Notify) и модули инициализации (App Init DLLs) для Windows XP/2000/2003.
Модули инициализации
(App Init DLLs) загружаются в каждое Windows-приложение, использующее библиотеку user32.dll (а её используют практически все):
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs
А также ключи
Winlogon Notify (dll-библиотека в таком случае загружается вместе с процессом winlogon.exe):
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
Как это выглядит в логе:
O20 - AppInit_DLLs: C:\WINDOWS\System32\dbgwin.dll
O20 - Winlogon Notify: Group Policy - C:\WINDOWS\system32\h0n0la5m1d.dll
Действие HijackThis: удаление соответствующей информации из реестра.
Секция O21.
Объекты загрузки оболочки (SSODL/Shell Service Object Delay Load).
Библиотеки, которые при каждом старте системы автоматически загружаются как расширения проводника (вместе с процессом еxplorer.exe), используя ключ
ShellServiceObjectDelayLoad:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
Как это выглядит в логе:
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
Действие HijackThis: удаление соответствующей записи из реестра.
Секция O22.
Задачи Планировщика Windows (Shared Task Scheduler).
Планировщик Задач Windows отвечает за автоматический запуск определённых программ в установленное вами время.
Используемый ключ в реестре:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
Как это выглядит в логе:
O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - C:\Windows\system32\mtwirl32.dll
Действие HijackThis: удаление соответствующего задания.
Секция O23.
Службы Windows NT/Microsoft Windows.
Службы/Сервисы - это приложения, запускаемые в фоновом режиме во время загрузки системы или при возникновении определенных событий и обеспечивающие основные функциональные возможности ОС. Как правило, службы не имеют графического интерфейса, поэтому их работа в большинстве своем не заметна для пользователя.
Любая служба может быть запущена автоматически при загрузке операционной системы и начать работу еще до того, как пользователь произведет вход в Windows.
Просмотреть список всех служб, установленных на компьютере, можно следующим образом:
Пуск > Выполнить; вписать
services.msc; нажать ОК
(Start > Run; вписать services.msc; нажать ОК)
Как это выглядит в логе:
O23 - Service: Power Manager - Unknown - C:\WINDOWS\svchost.exe
O23 - Service: K4NV - Unknown owner - C:\WINDOWS\k4nv.exe
Действие HijackThis: остановка службы и изменение Типа её Запуска (StartUp Type) на Отключено (Disabled).
Если же есть желание
удалить службу, то это осуществляется несколькими способами:
С помощью командной строки:
Пуск > Выполнить; вписать
sc delete имя службы; нажать ОК
(Start > Run; вписать sc delete имя службы; нажать ОК)
Через реестр:
HKLM\SYSTEM\CurrentControlSet\Services
HKLM\SYSTEM\ControlSet001\Services
HKLM\SYSTEM\ControlSet002\Services
HKLM\SYSTEM\ControlSet003\Services
HKLM\SYSTEM\ControlSet004\Services
HKLM\SYSTEM\ControlSet005\Services
Либо используя HijackThis и его раздел инструментов - Misc Tools...
__________________________________________
Раздел Misc Tools.
Generate StartupList log - генерировать отчет об Автозагрузке.
После нажатия на эту кнопку HijackThis автоматически выдаст текстовый файл (startuplist.txt) с анализом практически всех способов автозапуска каких-либо приложений вашей операционной системы:
- папки Startup и All Users Startup;
- стандартные ключи реестра, отвечающие за автозагрузку;
- параметр Userinit (HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit);
- ассоциации расширений .EXE, .COM, .BAT, .PIF, .SCR, .HTA, .TXT;
- перечисление Active Setup stub paths (HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components);
- перечисление автозагружающихся приложений ICQ (HKCU\SOFTWARE\Mirabilis\ICQ\Agent\Apps);
- автозапуск из ini-файлов или эквивалентных им мест реестра;
- проверка на видимость следующих расширений: .lnk, .pif, .exe, .com, .bat, .hta, .scr, .shs, .shb, .vbs, .vbe, .wsh, .scf, .url, .js, .jse;
- проверка на наналичие файла еxplorer.exe в нескольких папках;
- проверка на оригинальность файла regedit.exe;
- BHO;
- назначенные задания Планировщика Задач;
- папка Download Program Files;
- перечесление файлов Winsock LSP;
- список служб Microsoft Windows;
- перечесление скриптов Windows NT logon/logoff;
- расширения еxplorer.exe (ShellServiceObjectDelayLoad)
Open Process Manager - открыть Менеджер Процессов.
Менеджер Процессов позволяет:
- Просмотреть список всех запущенных процессов системы.
В отличие от Диспетчера Задач (Task Manager) Windows, HijackThis сразу показывает точное местоположение каждого файла:
- Просмотреть список используемых библиотек для каждого из процессов. Для этого ставим галочку напротив надписи "
Show DLLs".
- Сохранить список как всех процессов, так и dll-библиотек какого-либо из них в текстовый файл (processlist.txt). Для этого нажимаем на кнопку в виде желтой дискеты -
.
- Скопировать эту же информацию в буфер временной памяти, кнопка рядом -
("
Copy list to clipboard").
- Открыть Свойства (Properties) любого из файлов, кликнув по нужному двойным кликом.
- Завершить какой-либо из процессов с помощью кнопки "
Kill process".
Чтобы выйти из менеджера процессов - нажмите на кнопку "
Back" (с помощью этой кнопки можно выйти из любого приложения HijackThis).
Open Hosts file Manager - открыть Менеджер файла Hosts.
Менеджер файла Hosts позволяет просмотреть содержимое этого файла с возможностью удаления любой из его строк:
Delete line(s) - удалить строку(строки).
Toggle line(s) - добавить или убрать в начале строки(строк) знак
# (строки, начинающиеся с этого знака, считаются комментарием и не читаются операционной системой).
Open in Notepad - открыть файл Hosts в Блокноте.
Delete a file on Reboot - удалить файл во время перезагрузки системы.
С помощью этой функции вы можете выбрать любой файл Windows, который необходимо удалить во время следующей перезагрузки системы.
После этого сразу же будет запрос, желаете ли вы перезагрузить компьютер сейчас или нет.
Delete an NT service - удалить службу Microsoft Windows.
При нажатии на эту кнопку откроется окошко, в которое нужно скопировать или ввести точное название удаляемой службы.
Службу предварительно, естественно, необходимо остановить и изменить тип её запуска на "Отключено" ("Disabled").
Open ADS Spy - открыть встроенную в HijackThis утилиту ADS Spy.
ADS (Alternate Data Streams) - "альтернативные потоки данных" - появились в Windows с введением файловой системы NTFS и, в сущности, были созданы для обеспечения совместимости с HFS (Hierarchical File System - устаревшая файловая система Macintosh). Суть организации HFS состоит в раздвоении файла на файл данных и файл ресурсов. В файле данных находится содержимое документа, а в файле ресурсов - идентификатор типа файла и другие свойства. Нечто подобное стало возможным и в Windows (говоря простым языком, присоединение к видимым файлам абсолютно невидимых), и спустя какое-то время некоторые вирусописатели взяли себе это на вооружение.
ADS нельзя просмотреть, используя стандартные методы (через командную строку или с помощью Windows Explorer), и очень немногие антивирусы способны их обнаруживать (а для тех, кто способен, в любом случае необходима дополнительная настройка). Поэтому в целях собственной безопасности рекомендуется время от времени использовать специальные утилиты, созданные именно для обнаружения и удаления файлов, использующих альтернативные потоки данных.
ADS Spy - как раз одна из таких утилит:
Назначение основных кнопок:
Scan - сканирование на наличие в системе ADS.
Save log - сохранить отчет (adsspy.txt).
Remove selected - удалить выбранные.
Open Uninstall Manager - открыть Менеджер Деинсталляций.
Менеджер Деинсталляций позволяет:
- Просмотреть список программ, находящийся также в "Установка и удаление программ" ("Add or Remove Programs") Windows.
- Видеть команду деинсталляции каждой программы.
- Деинсталлировать любую программу с помощью кнопки "Delete this entry".
- Добавить новую команду деинсталляции любой из программ с помощью кнопки "Edit uninstall command".
- Открыть приложение "Установка и удаление программ" ("Add or Remove Programs") Windows нажатием кнопки "Open Add/Remove Software list"
- Сохранить весь список программ в текстовый файл (uninstall_list.txt). Для этого нажимаем на кнопку "Save list..."
Advanced settings.
Дополнительные настройки сканирования HijackThis:
Calculate MD5 of files if possible - вычислять при сканировании контрольные суммы MD5 у тех файлов, у которых это возможно.
Как это выглядит в логе:
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\saIE.dll (filesize 514264 bytes, MD5 A572BB8B39C5C06381CB2A27340855A1)
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp (filesize 33280 bytes, MD5 DA285490BBD8A1D0CE6623577D5BA1FF)
Include enviroment variables in logfile - включить в лог переменные окружающей среды ОС.
Как это выглядит в логе:
Windows folder: C:\WINDOWS
System folder: C:\WINDOWS\SYSTEM32
Hosts file: C:\WINDOWS\System32\drivers\etc\hosts
К слову: отчет HijackThis всегда начинается с общей информации следующего характера:
Logfile of HijackThis v1.99.1 - версия HijackThis.
Scan saved at 19:37:03, on 08.07.2006 - дата и время сканирования.
Platform: Windows XP SP2 (WinNT 5.01.2600) - операционная система.
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) - версия Internet Explorer.
Плюс обязательно указываются все активные процессы системы на момент создания лога (Running processes).
И последнии кнопки раздела Misc Tools:
Update check - проверка обновлений программы.
Uninstall HijackThis - деинсталляция HijackThis.
