HiJackThis - краткое руководство

Тема в разделе "Подготовительное отделение", создана пользователем regist, 18 мар 2015.

Метки:
Статус темы:
Закрыта.
  1. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    HiJack.gif

    Вступление.
    HiJackThis изначально создавался Мерийном Беллекомом (Merijn Bellekom) как инструмент для обнаружения и удаления различного рода троянских программ, перенастраивающих параметры браузера и других приложений системы без ведома пользователя и впоследствии программа получила очень широкое распространение. В 2007 году HiJackThis был куплен антивирусной компанией Trend Micro и в 2012 Trend Micro выпустила HiJackThis в свободное плавание, опубликовав его как open source. Код, написанный на Visual Basic, теперь официально доступен на SourceForge.
    На сегодняшний день логи HiJackThis уже давно принято считать своеобразным информационным стандартом в рамках многочисленных конференций, посвященных компьютерной безопасности...

    Предупреждение.
    HiJackThis рассчитан на более-менее опытных пользователей, имеющих представление о том, как работает ОС Windows, так как программа в первую очередь позволяет вносить изменения во многие участки операционной системы. И неумелое их редактирование может повлечь за собой серьезные последствия для ОС.
    Поэтому, пожалуйста, будьте предельно осторожны при использовании HiJackThis, и в случае, если вы чувствуете себя недостаточно опытным, прежде чем удалять что-либо, попробуйте поискать информацию об удаляемом элементе в интернете или же проконсультируйтесь со знающим человеком. Если вы подозреваете, что заражены вирусом, то можете обратиться за помощью в раздел Лечение компьютерных вирусов, мы поможем вам справиться с вирусом.

    Назначение.
    Основное назначение программы: обнаружение и исправление изменений в настройках наиболее уязвимых областей операционной системы. А главная её функция заключается в автоматическом исследовании этих областей и выводе собранной информации в виде удобного лога (отчёта).
    Важно понимать, что в программе нет какой-либо базы данных по вредоносным программам, поэтому последующий анализ содержимого своего лога HiJackThis не предполагает. И решение об удалении какого-либо компонента может принять только сам пользователь.

    Особенности:
    HiJackThis совершенно бесплатен.
    Размер программы: немного более 300 Кб.
    Не выдвигает каких-либо особых системных требований.
    Нуждается в минимальном количестве ресурсов компьютера.
    Любое сканирование программы занимает всего несколько секунд.
    Не обменивается информацией с сетью и интернетом, поэтому для использования не требуются какие-либо дополнительные настройки файрвола.

    Как использовать HiJackThis?
    HijackThis может быть скачан как в виде автономной версии состоящей из одного единственного исполняемого файла, так и в виде MSI инсталлятора. Автономная версия позволяет сохранить и запустить HiJackThis.exe почти из любой папки, в то время как программа установки устанавливает HijackThis в определенном месте и создаёт ярлыки на рабочем столе и меню пуск для запуска этого файла. При использовании автономной версии нельзя запускать её из временной папки (Temp), так как файлы резервных копий не будут сохранены. Для того, чтобы избежать удаления ваших резервных копий, пожалуйста, перед запуском сохраните исполняемый файл в отдельную удобную для вас папку (чтобы вы потом могли без труда её найти). Файлы резервных копий будут сохранены в папке backups рядом с исполняемым файлом программы.
    __________________________________________________________________

    Начало работы.

    Скачать HiJackThis [v2.0.5] можно по следующим адресам:
    HiJackThis
    Утилита HiJackThis(HJT)
    HijackThis
    Add. последнюю тестовую версию HiJackThis fork (SZ team) можете найти в составе AutoLogger-а.

    Если вы скачали программу в архиве, её нужно обязательно распаковать, так как при запуске HiJackThis из архива резервные копии удаляемых элементов не будут сохранены (происходит запуск из Temp). На системах Windows Vista, Windows 7 и выше администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". Если этого не сделать HiJackThis не сможет получить доступ к некоторым элементам и предупредит Вас об этом при запуске сканирования
    not admin.PNG

    после нажатия кнопки Ок продолжится сканирование. В логе могут отсутствовать некоторые пункты.

    Стартовое окошко программы:

    main_menu.PNG

    И назначения кнопок, на нем расположенных:

    Do a systemscan and save a logfile - сканирование и автоматическое сохранение лога (по умолчанию лог сохраняется в папке программы с названием hijackthis.log).
    Do a system scan only - только сканирование.
    View the list of backups - открытие списка бэкапов (перед тем, как что-либо удалить, HiJackThis по умолчанию автоматически создает резервную копию удаляемого элемента в папке backups).
    Open the Misc Tools selection - другие инструменты программы (на этом мы подробно остановимся немного позже).
    Open online HiJackThis Quick Start - автоматически открывает страницу HiJackThis Quick Start (краткое ознакомление с программой на английском языке). //сейчас просто запуск программы.
    None of the above, just start the program - ничего из вышеперечисленного, простой запуск программы.
    И как только вы немного освоитесь, советую поставить галочку напротив "Do not show this window when I start HijackThis", чтобы начинать работу с программой без этого начального фрейма.

    Анализ лога.
    С элементами лога возможны следующие манипуляции:

    - Удаление: отмечаем нужную строчку галочкой и нажимаем на кнопку "Fix сhecked".
    Если удаляемый элемент каким-либо образом касается браузера, то его (браузер) обязательно предварительно нужно закрыть.
    - Занесение в игнор-лист (касается элементов, в надежности которых вы уверены): отмечаем нужную строчку галочкой и нажимаем на кнопку "Add checked to ignorelist".
    Элементы, занесенные в игнор-лист, в дальнейших отчетах отображаться не будут.
    Основной принцип при анализе лога: удаление элементов, о существовании которых вы до недавнего времени и не предполагали (при условии, что вы достаточно хорошо знакомы со своей операционной системой). И занесение в игнор-лист "проверенных" приложений, установленных исключительно вами.

    scan.PNG

    Каждая строчка в логе HiJackThis начинается со своего определенного обозначения (названия секции).
    Начнем с их краткой характеристики и затем рассмотрим каждую из секций детально:
    R0, R1, R2, R3 - изменения основных настроек Internet Explorer.
    F0, F1, F2, F3 - автозапуск программ из ini-файлов и эквивалентных мест реестра.
    N1, N2, N3, N4 - изменения начальной и поисковой страниц Netscape/Mozilla.
    O1 - изменения в файле Hosts.
    O2 - плагины и расширения браузера (BHO/Browser Helper Objects).
    O3 - дополнительные панели инструментов браузера (Internet Explorer Тoolbars).
    O4 - автозапуск программ из реестра и папки Startup.
    O5 - блокирование доступа к Свойствам Обозревателя (Internet Options) через Панель Управления.
    O6 - запрет на изменение некоторых Свойств Обозревателя (Internet Options).
    O7 - отключение доступа к Regedit.
    O8 - дополнительные пункты контекстного меню Internet Explorer.
    O9 - дополнительные кнопки и сервисы на главной панели Internet Explorer.
    O10 - Winsock LSP (Layered Service Provider/поставщик многоуровневых услуг).
    O11 - новая группа настроек в Свойствах Обозревателя (Internet Options).
    O12 - плагины Internet Explorer.
    O13 - префиксы IE.
    O14 - изменения в файле iereset.inf.
    O15 - веб-сайты и протоколы, добавленные в зону Надежные узлы (Trusted Zone).
    O16 - программы, загруженные с помощью ActiveX (подкаталог WINDOWS\Downloaded Program Files).
    O17 - изменения домена или DNS сервера.
    O18 - изменения существующих протоколов и фильтров.
    O19 - шаблон стиля (Style Sheet) пользователя.
    O20 - уведомления Winlogon (Winlogon Notify) и модули инициализации (App Init DLLs) для Windows XP/2000/2003.
    O21 - объекты загрузки оболочки (SSODL/Shell Service Object Delay Load).
    O22 - задачи Планировщика Windows (Shared Task Scheduler).
    O23 - службы Windows NT/Microsoft Windows.
    O24 - компонеты Windows Active Desktop.

    Секции R0, R1, R2, R3.
    Изменения основных настроек Internet Explorer.
    R0 - ваша домашняя страница (загружающаяся при старте IE) и поисковый ассистент браузера (Search Assistant).
    R1 - настройки, связанные с интернет-поиском, плюс некоторые другие характеристики (IE Window Title; ProxyServer, ProxyOverride в настройках IE, Internet Connection Wizard: ShellNext и др.).
    R2 - эта секция на данный момент не используется.
    R3 - URL Search Hook - перехватчик поиска, который используется браузером для автоматического определения протокола (http://; ftp:// и т.д.) в тех случаях, когда вы указывайте адрес веб-сайта без него.
    Некоторые используемые ключи реестра:
    Код (Microsoft Registry):
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Main: Start Page
    HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Start Page
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Main, Search Page
    HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Search Page
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Main, Default_Page_URL
    HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Default_Page_URL
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Search, SearchAssistant
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Search, CustomizeSearch
    HKCU\SOFTWARE\Microsoft\Internet Explorer\Search, CustomizeSearch
    HKCU\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks
    HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchURL, Default
    HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Window Title
    HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Search Bar
    HKCU\SOFTWARE\Microsoft\Internet Connection Wizard, ShellNext
    HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings, ProxyServer
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
    Как это выглядит в логе:
    Код (Text):
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
    R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - C:\PROGRA~1\Toolbar\toolbar.dll
    R3 - Default URLSearchHook is missing
    Действие HiJackThis при удалении строчки из этой секции: удаление соответствующей информации из реестра (далее по тексту этот пункт будет обозначатся сокращенно: Действие HiJackThis).

    Секции F0, F1, F2, F3.
    Автозапуск программ из ini-файлов.
    Речь идет о следующих системных файлах:
    C:\WINDOWS\system.ini
    C:\WINDOWS\win.ini
    А также эквивалентных мест в реестре (для Windows NT/2000/2003/XP):
    Код (Microsoft Registry):
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping
    F0 - автозапуск через параметр Shell= из файла system.ini
    F1 - автозапуск через параметы Run= и Load= из файла win.ini
    F2 и F3 - эквивалентные места в реестре (для Windows NT/2000/2003/XP и выше).
    Как это выглядит в логе:
    Код (Text):
    F0 - system.ini: Shell=explorer.exe winuser32.exe
    F1 - win.ini: run=hpfsched
    F2 - REG:system.ini: Shell=explorer.exe "С:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
    F3 - REG:win.ini: run=С:\WINDOWS\inet20001\services.exe
    Действие HiJackThis: удаление соответствующей записи из ini-файла/реестра (для предотвращения последующего автоматического запуска данного приложения).

    Секции N1, N2, N3, N4.
    Изменения начальной и поисковой страниц Netscape/Mozilla.
    N1 - стартовая и поисковая страницы для Netscape 4.
    N2 - стартовая и поисковая страницы для Netscape 6.
    N3 - стартовая и поисковая страницы для Netscape 7.
    N4 - стартовая и поисковая страницы для Mozilla.
    Информация об этих настройках во всех 4-ех случаях хранится в файле с названием prefs.js.
    Как это выглядит в логе:
    Код (Text):
    N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)
    N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
    N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
    N3 – Netscape 7: user_pref("browser.startup.homepage", "www.msn.com"); (C:\WINDOWS\Application Data\Mozilla\Profiles\default\xg8itvly.slt\prefs.js)
    N3 – Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CPROGRAM%20FILES%5CNETSCAPE%5CNETSCAPE% 5Csearchplugins%5CSBWeb_02.src"); (C:\WINDOWS\Application Data\Mozilla\Profiles\default\xg8itvly.slt\prefs.js)
    N3 – Netscape 7: user_pref("browser.startup.homepage", "http://home.netscape.com/bookmark/7_1/home.html"); (C:\Documents and Settings\Kir\Application Data\Mozilla\Profiles\default\sij0wvc1.slt\prefs.js)
    N3 – Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape% 5Csearchplugins%5CSBWeb_01.src"); (C:\Documents and Settings\Kir\Application Data\Mozilla\Profiles\default\sij0wvc1.slt\prefs.js)
    Действие HiJackThis: удаление соответствующей информации из файла prefs.js.

    Секция O1.
    Изменения в файле Hosts.
    Файл Hosts участвует в процессе определения IP адреса сервера по его имени, и модификация этого файла может привести к нарушению данного процесса и подмене адреса любого хоста. Поэтому обнаружение в нем посторонних записей, особенно связанных с популярными поисковыми системами или антивирусными продуктами, однозначно свидетельствует о деятельности вредоносной программы.
    По умолчанию в нем должна быть только одна строчка: 127.0.0.1 localhost (плюс комментарии, начинающиеся со знака #). Все остальное можно стирать.​
    Открыть и отредактировать файл Hosts можно любым текстовым редактором (например, Блокнот/Notepad), и по умолчанию он находится здесь:
    Для Windows 95/98/ME: C:\WINDOWS\Hosts
    Для Windows 2000/NT: C:\WINNT\system32\drivers\etc\Hosts
    Для Windows 2003/XP/Vista и выше: C:\WINDOWS\system32\drivers\etc\Hosts
    Также имейте в виду, что в Windows NT/2000/XP его местоположение может быть изменено вредоносной программой с помощью следующего ключа реестра (HiJackThis об этом сообщает):
    Код (Microsoft Registry):
    HKLM\System\CurrentControlSet\Services\Tcpip\Parameters, DatabasePath
    Как это выглядит в логе:
    Код (Text):
    O1 - Hosts: 69.20.16.183 auto.search.msn.com
    O1 - Hosts: <TITLE>404 Not Found</TITLE>
    O1 - Hosts file is located at C:\Windows\Help\hosts
    Действие HiJackThis: удаление соответствующей записи в файле Hosts.

    Секция O2.
    Плагины и расширения браузера (BHO/Browser Helper Objects).
    BHO представляют собой dll-библиотеки, которые каждый раз загружаются вместе с браузером, из-за чего их присутствие в системе долгое время может быть незаметным (большинство файрволов в этом случае тоже бессильны, так как с их точки зрения обмен с интернетом ведет процесс браузера).
    Просмотреть полный список этих библиотек в Windows можно следующим образом (при условии, что версия IE не ниже шестой):
    Свойства Обозревателя > закладка Программы и кнопка Управление надстройками (Internet Options > закладка Programs и кнопка Manage Add-ons).​
    Используемый ключ реестра:
    Код (Microsoft Registry):
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
    Как это выглядит в логе:
    Код (Text):
    O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\cbxyvtq.dll
    O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet7_22.dll
    Действие HiJackThis: удаление как информации из реестра (включая раздел CLSID), так и вредоносного файла.

    Секция O3.
    Дополнительные панели инструментов браузера (Internet Explorer Тoolbars).
    По своим функциям и поведению очень похожи на BHO, но помимо скрытой работы, как правило, добавляют в браузер еще и дополнительную панель инструментов примерно следующего типа (для примера тулбар от google и антивируса Norton):

    Тoolbars.PNG
    Видимость этих панелей регулируется в верхнем меню IE:
    Вид > Панели инструментов (View > Тoolbars)​

    Используемый ключ реестра:
    Код (Microsoft Registry):
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar
    Как это выглядит в логе:
    Код (Text):
    O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Norton Security\Engine\22.1.0.9\coIEPlg.dll
    O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
    Действие HiJackThis: удаление информации из реестра (вредоносные файлы необходимо удалить после, вручную).

    Секция O4.
    Автозапуск программ из реестра и папки Startup.
    Начиная с версии 2.0.0 HijackThis также выведет список автозагрузки других пользователей авторизованных на момент создания лога. Список юзеров берётся из раздела HKEY_USERS. Если другой пользователь не авторизован, то информация о нём не будет загружена в этот раздел и как следствие HijackThis не выведет информацию о другой учётке в лог.
    Просмотреть список программ, запускающихся подобным образом, используя средства Windows, можно с помощью утилиты msconfig:
    Пуск > Применить; вписать msconfig; нажать ОК; и в открывшемся приложении последняя закладка - Автозагрузка
    (Start > Run; вписать msconfig; нажать ОК; и в открывшемся приложении последняя закладка - StartUp)​
    O4-64 - означает, что эти ключи находятся в подразделах Wow64 (добавлено в версии 2.0.6)
    Используемые ключи реестра:
    Код (Microsoft Registry):
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
    HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
    HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
    И папки для:
    Windows XP
    Код (Text):
    Startup: C:\Documents and Settings\имя пользователя\Start Menu\Programs\Startup
    Global: C:\Documents and Settings\All Users\Start Menu\Programs\Startup
    Windows Vista, 7 и выше
    Код (Text):
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
    C:\Users\имя пользователя\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
    Как это выглядит в логе:
    Код (Text):
    O4 - HKCU\..\Run: [Windows Security Protocol] win32sprot.exe
    O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spooIsv.exe
    O4 - HKLM\..\RunServices: [Fire Well service] sdtersx.exe
    O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\mcdrive32.exe
    O4-64 - HKLM\..\Run: [BCSSync] "C:\Program Files\Microsoft Office\Office14\BCSSync.exe" /DelayServices
    O4-64 - HKLM\..\Run: [AdobeAAMUpdater-1.0] "C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe"
    O4 - Startup: mIRC IRC.BY.lnk = C:\Program Files\mIRC\mirc.exe
    O4 - Global Startup: MSupdate.exe
    O4 - S-1-5-21-823518204-796845957-682003330-1003 Startup: Punto Switcher.lnk = C:\Program Files\Yandex\Punto Switcher\punto.exe (User 'Dima')
    O4 - S-1-5-21-823518204-796845957-682003330-1003 User Startup: Punto Switcher.lnk = C:\Program Files\Yandex\Punto Switcher\punto.exe (User 'Dima')
    O4 - AltStartup: Bluetooth.lnk    ->    C:\Program Files (x86)\Lenovo\Bluetooth Software\BTTray.exe
    O4 - AltStartup: SRS Premium Sound.lnk    ->    C:\Program Files (x86)\SRS Labs\SRS Premium Sound Control Panel\SRSPremiumPanel_64.exe
    Действие HiJackThis: удаление записи в реестре/ярлыка из соответствующей папки (для предотвращения последующего автоматического запуска данного приложения). Если в папке Автозагрузка (Startup) вместо ярлыка находится файл программы, то при фиксе этой записи он будет удалён.
    Некоторые строчки этой секции HiJackThis не удаляет, если соответствующая программа на данный момент активна. В этом случае необходимо предварительно завершить её процесс через Диспетчер Задач/Task Manader.​

    Секция O5.
    Блокирование доступа к Свойствам Обозревателя (Internet Options) через Панель Управления (Control Panel).
    В Windows это возможно сделать, добавив соответствующую запись в системный файл:
    C:\WINDOWS\control.ini
    Эта функция иногда используется администраторами.​
    Как это выглядит в логе:
    Код (Text):
    O5 - control.ini: inetcpl.cpl=no
    Действие HiJackThis: удаление соответствующей записи в файле control.ini.

    Секция O6.
    Запрет на изменение некоторых Свойств Обозревателя (Internet Options).
    Используемый ключ реестра:
    Код (Microsoft Registry):
    HKCU\SOFTWARE\Policies\Microsoft\Internet Explorer\Restrictions
    Как это выглядит в логе:
    Код (Text):
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    Имейте в виду, что подобные ограничения также могут устанавливаться некоторыми антивирусами/антитроянами (например, Spybot S&D).​
    Действие HiJackThis: удаление информации из реестра для отменены соответствующего запрета.

    Секция O7.
    Отключение доступа к Regedit.
    Другими словами, это запрет на запуск утилиты Windows - regedit.exe, которая используется для редактирования реестра.
    Используемый ключ реестра:
    Код (Microsoft Registry):
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
    Может быть установлен как администратором, так и вредоносной программой.​
    Как это выглядит в логе:
    Код (Text):
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    Действие HiJackThis: удаление информации из реестра для отмены соответствующего запрета.

    Секция O8.
    Дополнительные пункты контекстного меню Internet Explorer.
    Это меню появляется, когда вы кликаете по какой-либо ссылке правой кнопкой мыши:

    Download Master.PNG

    Используемый ключ реестра:
    Код (Microsoft Registry):
    HKCU\SOFTWARE\Microsoft\Internet Explorer\MenuExt
    Как это выглядит в логе:
    Код (Text):
    O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm
    O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm
    O8 - Extra context menu item: Передать на удаленную закачку DM - C:\Program Files\Download Master\remdown.htm
    Действие HiJackThis: удаление соответствующей информации из реестра.

    Секция O9.
    Дополнительные кнопки и сервисы на главной панели IE.
    Как правило, это всего лишь ссылки, которые не представляют особой опасности, пока вы на них не нажмете. И обычно при появлении новой кнопки появляется и новый сервис.

    O9.PNG

    Для отображения панели с кнопками надо включить отображение панели инструментов "Командная строка" (Command bar).
    Все кнопки браузера более детальным образом можно посмотреть щёлкнув правой кнопкой на этой панели > Настройка > Добавить или удалить команды (Customize > Add or Remove Commands )
    Инструменты же находятся здесь: Tools/Сервис

    Используемые ключи реестра:
    Код (Microsoft Registry):
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions
    HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions
    Как это выглядит в логе:
    Код (Text):
    O9 - Extra button: Территория обучения и помощи! - {BAE3CC46-7901-4A25-86F0-81000F145C0B} - http://www.safezone.cc/ (file missing)
    O9 - Extra 'Tools' menuitem: Перейти на сайт "SafeZone" - {BAE3CC46-7901-4A25-86F0-81000F145C0B} - http://www.safezone.cc/ (file missing)
    O9 - Extra button: Notepad - {D3FACC08-CA0A-23FE-3D33-A0C5B2A330FE} - C:\Windows\Notepad.exe
    O9 - Extra 'Tools' menuitem: Блокнот - {D3FACC08-CA0A-23FE-3D33-A0C5B2A330FE} - C:\Windows\Notepad.exe
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    Действие HiJackThis: удаление соответствующей информации из реестра.

    Секция O10.
    Winsock LSP (Layered Service Provider - поставщик многоуровневых услуг).
    Winsock LSP обрабатывает данные, передаваемые по протоколу TCP/IP, который используется для связи с сетью и интернетом. И в процессе передачи/приема данных по этому протоколу информация последовательно проходит все установленные на компьютере LSP (представляют собой dll-библиотеки). Если один из этих файлов будет некорректно удален, то цепочка обработки нарушается, и работа по протоколу TCP/IP становится невозможной.
    Также в Winsock может быть добавлен посторонний файл, с помощью которого у кого-то появится возможность перехватывать ваши исходящие данные.
    И сразу нужно заметить, что многие антивирусы и файрволы могут вполне "законно" находится в этой секции (например, Dr.Web, Sygate Firewall, Mcafee Personal Firewall).
    Как это выглядит в логе:
    Код (Text):
    O10 - Hijacked Internet access by New.Net
    O10 - Broken Internet access because of LSP provider 'mswsock.dll' missing
    O10 - Unknown file in Winsock LSP: c:\windows\system32\msspi.dll
    Действие HiJackThis: для восстановления цепи обработки TCP/IP рекомендуется использовать программу WinsockReset, а не HiJackThis.

    Секция O11.
    Новая группа настроек в Свойствах Обозревателя (Internet Options), в закладке Дополнительно (Advanced).
    С помощью следующего ключа реестра:
    Код (Microsoft Registry):
    HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions
    в закладку Дополнительно (Advanced) действительно возможно добавить совершенно новую группу настроек.
    Как это выглядит в логе:
    Код (Text):
    O11 - Options group: [CommonName] CommonName
    O11 - Options group: [TB] Toolbar
    O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
    Действие HiJackThis: удаление соответствующей информации из реестра.

    Секция O12.
    Плагины Internet Explorer.
    Это программы, которые загружаются вместе с IE, чтобы добавить браузеру некоторые функциональные возможности (например, просмоторщик PDF).
    Используемый ключ реестра:
    Код (Microsoft Registry):
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Plugins
    Как это выглядит в логе:
    Код (Text):
    O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
    Действие HiJackThis: удаление как информации из реестра, так и вредоносного файла.

    Секция O13.
    Префиксы IE.
    Префикс здесь - это то, что ваш браузер автоматически добавляет в тех случаях, когда вы не указываете протокол (http://; ftp:// и т.д.) в адресе какого-либо веб-сайта.
    То есть, если вы ввели google.com, а префикс, установленный по умолчанию в вашей системе перед этим был изменен, например, на http://ehttp.cc/?, браузер откроет страницу http://ehttp.cc/?google.com.
    Используемые ключи реестра:
    Код (Microsoft Registry):
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefix
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix
    Как это выглядит в логе:
    Код (Text):
    O13 – DefaultPrefix: http://ehttp.cc/?
    O13 – WWW Prefix: http://ehttp.cc/?
    O13 – DefaultPrefix: http://www.nkvd.us/1507/
    O13 – WWW Prefix: http://www.nkvd.us/1507/
    O13 – Home Prefix: http://www.nkvd.us/1507/
    O13 – Mosaic Prefix: http://www.nkvd.us/1507/
    O13 – WWW. Prefix: http://
    Действие HiJackThis: сброс значений префиксов на стандартные.

    Секция O14.
    Изменения в файле iereset.inf.
    Когда вы используете кнопку сбрасывания настроек браузера, IE использует следующий системный файл (для Windows XP):
    С:\WINDOWS\inf\iereset.inf
    Если информация в нем будет изменена, то операция восстановления начальных настроек IE обычным способом будет невозможна.
    Как это выглядит в логе:
    Код (Text):
    O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?
    O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.com/en/
    Действие HiJackThis: удаление соответствующей информации из файла iereset.inf.

    Секция O15.
    Веб-сайты и протоколы, добавленные в зону Надежные узлы (Trusted Zone).
    Используемые ключи в реестре:
    Код (Microsoft Registry):
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscRanges
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscRanges
    Как это выглядит в логе:
    Код (Text):
    O15 - Trusted IP range: http://10.203.48.1
    O15 - ESC Trusted Zone: http://*.connectify.me
    O15 - ESC Trusted Zone: http://*.connectify.me (HKLM)
    O15 - ESC Trusted IP range: http://10.203.48.1
    O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
    O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
    Действие HiJackThis: удаление сайта/протокола из зоны Надежные узлы Trusted Zone.

    Секция O16.
    Программы, загруженные с помощью ActiveX.
    ActiveX - это компонент (.dll или .ocx), благодаря которому достигается лучшее взаимодействие с определенным веб-сайтом (к примеру, очень многие антивирусные он-лайн сканирования работают именно через ActiveX; обновления Microsoft; система webmoney и т.д.).
    Вредоносные же ActiveX-компоненты обычно устанавливаются для последующей загрузки дополнительного программного обеспечения без вашего ведома.
    Используемый ключ реестра:
    Код (Microsoft Registry):
    HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units
    Или папка:
    Код (Text):
    C:\WINDOWS\Downloaded Program Files
    Как это выглядит в логе:
    Код (Text):
    O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} (loader Class) - http://217.73.66.1/del/loader.cab
    O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab
    O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - http://catalog.update.microsoft.com/v7/site/ClientControl/en/x86/MuCatalogWebControl.cab?1406183119424
    Действие HiJackThis: удаление вредоносного компонента и информации о нем в системном реестре.
    Обычно удаление файла при фиксе это секции происходит без проблем, но бывает, что HiJackThis не может удалить файл. Тогда перегрузитесь в безопасный режим и удалите его оттуда.

    Секция O17.
    Изменения домена или DNS сервера.
    Как это выглядит в логе:
    Код (Text):
    O17 - HKLM\System\CCS\Services\Tcpip\..\{2C4A8A99-E7DD-46A2-BEBE-862D0CBE370B}: Domain = beeline
    O17 - HKLM\System\CCS\Services\Tcpip\..\{2C4A8A99-E7DD-46A2-BEBE-862D0CBE370B}: NameServer = 80.255.150.14 80.255.150.15
    Действие HiJackThis: удаление соответствующего ключа из реестра.

    Секция O18.
    Изменения существующих протоколов и фильтров.
    Используемые ключи реестра:
    Код (Text):
    HKCR\Protocols\Handler
    HKCR\Protocols\Filter
    Как это выглядит в логе:
    Код (Text):
    O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}
    O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINDOWS\httpfilter.dll
    O18 - Protocol: about - {53B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\System32\msxmlpp.dll
    Действие HiJackThis: удаление соответствующего ключа из реестра.

    Секция O19.
    Шаблон Стиля (Style Sheet) пользователя.
    Это ваш шаблон, в котором записана информация о цветах, шрифтах, расположении и некоторых других параметрах рассматриваемых в браузере страниц.
    Используемый ключ реестра:
    Код (Microsoft Registry):
    HKCU\Software\Microsoft\Internet Explorer\Styles, User Stylesheet
    Как это выглядит в логе:
    Код (Text):
    O19 - User stylesheet: C:\WINDOWS\Web\win.def
    O19 - User stylesheet: C:\WINDOWS\default.css
    Действие HiJackThis: удаление соответствующей информации из реестра.

    Секция O20.
    Уведомления Winlogon (Winlogon Notify) и модули инициализации (App Init DLLs) для Windows XP/2000/2003.
    Модули инициализации (App Init DLLs) загружаются в каждое Windows-приложение, использующее библиотеку user32.dll (а её используют практически все):
    Код (Microsoft Registry):
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs
    А также ключи Winlogon Notify (dll-библиотека в таком случае загружается вместе с процессом winlogon.exe):
    Код (Microsoft Registry):
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
    Как это выглядит в логе:
    Код (Text):
    O20 - AppInit_DLLs: C:\WINDOWS\System32\dbgwin.dll
    O20 - Winlogon Notify: Group Policy - C:\WINDOWS\system32\h0n0la5m1d.dll
    Действие HiJackThis: удаление соответствующей информации из реестра.

    Секция O21.
    Объекты загрузки оболочки (SSODL/Shell Service Object Delay Load).
    Библиотеки, которые при каждом старте системы автоматически загружаются как расширения проводника (вместе с процессом еxplorer.exe), используя ключ ShellServiceObjectDelayLoad:
    Код (Microsoft Registry):
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
    Как это выглядит в логе:
    Код (Text):
    O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
    Действие HiJackThis: удаление соответствующей записи из реестра.

    Секция O22.
    Задачи Планировщика Windows (Shared Task Scheduler).
    Планировщик Задач Windows отвечает за автоматический запуск определённых программ в установленное вами время.
    Используемый ключ в реестре:
    Код (Microsoft Registry):
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
    Как это выглядит в логе:
    Код (Text):
    O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - C:\Windows\system32\mtwirl32.dll
    Действие HiJackThis: удаление соответствующего задания.

    Секция O23.
    Службы Windows NT/Microsoft Windows.
    Службы/Сервисы - это приложения, запускаемые в фоновом режиме во время загрузки системы или при возникновении определенных событий и обеспечивающие основные функциональные возможности ОС. Как правило, службы не имеют графического интерфейса, поэтому их работа в большинстве своём не заметна для пользователя.
    Любая служба может быть запущена автоматически при загрузке операционной системы и начать работу еще до того, как пользователь произведет вход в Windows.

    Просмотреть список всех служб, установленных на компьютере, можно следующим образом:
    Пуск > Выполнить; вписать services.msc; нажать ОК
    (Start > Run; вписать services.msc; нажать ОК)​
    Как это выглядит в логе:
    Код (Text):
    O23 - Service: Power Manager - Unknown - C:\WINDOWS\svchost.exe
    O23 - Service: K4NV - Unknown owner - C:\WINDOWS\k4nv.exe
    Действие HiJackThis: изменение типа запуска службы (StartUp Type) на Отключено (Disabled), а затем её остановка. Для того чтобы удалить службу вы должны знать её имя. Если имя службы не совпадает с отображаемым именем, то имя службы будет указано в скобках.
    Если же есть желание удалить службу, то это осуществляется несколькими способами:
    С помощью командной строки:
    Пуск > Выполнить; вписать sc delete имя службы; нажать ОК
    (Start > Run; вписать sc delete имя службы; нажать ОК)​
    Через реестр:
    Код (Microsoft Registry):
    HKLM\SYSTEM\CurrentControlSet\Services
    HKLM\SYSTEM\ControlSet001\Services
    HKLM\SYSTEM\ControlSet002\Services
    HKLM\SYSTEM\ControlSet003\Services
    HKLM\SYSTEM\ControlSet004\Services
    HKLM\SYSTEM\ControlSet005\Services
    Либо используя HiJackThis и его раздел инструментов - Misc Tools...

    Секция O24.
    Эта секция относится к компонентам Windows Active Desktop.
    Компоненты Active Desktop являются локальными или сетевыми html-файлами, которые встроены в качестве фона Вашего рабочего стола.
    Во время заражения этот метод используется, чтобы внедрить сообщения, картинки или веб-страницы прямо на рабочий стол пользователя.
    Типовым примером такого вида заражения является семейство SmitFraud фейковых анти-шпионских программ. В этом заражении используются
    компоненты Active Desktop, чтобы отобразить поддельное сообщение системы безопасности, изменяя фон рабочего стола.
    Прочие виды заражений, которые используют этот метод, вы можете найти по этим ссылкам:

    AVGold
    Hoax.HTML.FakeAntivirus.y
    Trojan.Fakealert.446
    Raze AntiSpyware
    AlfaCleaner
    TopAntiSpyware

    Компоненты Active Desktop находятся в разделе реестра:
    Код (Microsoft Registry):
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components
    Каждый отдельный компонент представлен числовым значением подраздела, начиная с числа 0. Например:
    Код (Microsoft Registry):
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0\
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1\
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\2\
    Пример записей, которые выводит HJT при обнаружении вариаций SmitFraud:
    Код (Text):
    O24 - Desktop Component 0: (Security) - %windir%\index.html
    O24 - Desktop Component 1: (no name) - %Windir%\warnhp.html
    Поскольку есть вероятность, что пользователь сам мог настроить компонент Active Desktop, то, если вы видите незнакомую запись, рекомендуется спросить у пользователя, не он ли это сделал.
    Действие HiJackThis: удаление соответствующей информации из реестра.

    _________________________________________________________________________________________

    Раздел Misc Tools.
    Как и обещал, останавливаемся на нем поподробнее.

    misc.png
    Generate StartupList log - генерировать отчет об Автозагрузке.
    После нажатия на эту кнопку HiJackThis автоматически выдаст текстовый файл (startuplist.txt) с анализом практически всех способов автозапуска каких-либо приложений вашей операционной системы:
    - папки Startup и All Users Startup;
    - стандартные ключи реестра, отвечающие за автозагрузку;
    - параметр Userinit (HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit);
    - ассоциации расширений .EXE, .COM, .BAT, .PIF, .SCR, .HTA, .TXT;
    - перечисление Active Setup stub paths (HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components);
    - перечисление автозагружающихся приложений ICQ (HKCU\SOFTWARE\Mirabilis\ICQ\Agent\Apps);
    - автозапуск из ini-файлов или эквивалентных им мест реестра;
    - проверка на видимость следующих расширений: .lnk, .pif, .exe, .com, .bat, .hta, .scr, .shs, .shb, .vbs, .vbe, .wsh, .scf, .url, .js, .jse;
    - проверка на наличие файла еxplorer.exe в нескольких папках;
    - проверка на оригинальность файла regedit.exe;
    - BHO;
    - назначенные задания Планировщика Задач;
    - папка Download Program Files;
    - перечисление файлов Winsock LSP;
    - список служб Microsoft Windows;
    - перечесление скриптов Windows NT logon/logoff;
    - расширения еxplorer.exe (ShellServiceObjectDelayLoad)​

    Open Process Manager
    - открыть Менеджер Процессов.
    Менеджер Процессов позволяет:
    - Просмотреть список всех запущенных процессов системы.​
    В отличие от Диспетчера Задач (Task Manager) Windows, HiJackThis сразу показывает точное местоположение каждого файла:

    proc.PNG
    - Просмотреть список используемых библиотек для каждого из процессов. Для этого ставим галочку напротив надписи "Show DLLs".
    - Сохранить список как всех процессов, так и dll-библиотек какого-либо из них в текстовый файл (processlist.txt). Для этого нажимаем на кнопку в виде желтой дискеты - save.gif .
    - Скопировать эту же информацию в буфер временной памяти, кнопка рядом - clip.gif ("Copy list to clipboard").
    - Открыть Свойства (Properties) любого из файлов, кликнув по нужному двойным кликом.
    - Завершить какой-либо из процессов с помощью кнопки "Kill process".​
    Чтобы выйти из менеджера процессов - нажмите на кнопку "Back" (с помощью этой кнопки можно выйти из любого приложения HiJackThis).

    Open Hosts file Manager - открыть Менеджер файла Hosts.
    Менеджер файла Hosts позволяет просмотреть содержимое этого файла с возможностью удаления любой из его строк:
    Delete line(s) - удалить строку(строки).
    Toggle line(s) - добавить или убрать в начале строки(строк) знак # (строки, начинающиеся с этого знака, считаются комментарием и не читаются операционной системой).
    Open in Notepad - открыть файл Hosts в Блокноте.

    Hosts.png
    Delete a file on Reboot - удалить файл во время перезагрузки системы.
    С помощью этой функции вы можете выбрать любой файл Windows, который необходимо удалить во время следующей перезагрузки системы.
    После этого сразу же будет запрос, желаете ли вы перезагрузить компьютер сейчас или нет.
    Delete an NT service - удалить службу Microsoft Windows.
    При нажатии на эту кнопку откроется окошко, в которое нужно скопировать или ввести точное название удаляемой службы.
    Delete an NT service.PNG
    Службу предварительно, естественно, необходимо остановить и изменить тип её запуска на "Отключено" ("Disabled").

    Open ADS Spy - открыть встроенную в HiJackThis утилиту ADS Spy.
    spy.png

    Назначение основных кнопок:
    Scan - сканирование на наличие в системе ADS.
    Save log - сохранить отчет (adsspy.txt).
    Remove selected - удалить выбранные.

    Open Uninstall Manager - открыть Менеджер Деинсталляций.

    uninstal.PNG
    Менеджер Деинсталляций позволяет:
    - Просмотреть список программ, находящийся также в "Установка и удаление программ" ("Add or Remove Programs") Windows.
    - Видеть команду деинсталляции каждой программы.
    - Деинсталлировать любую программу с помощью кнопки "Delete this entry".
    - Добавить новую команду деинсталляции любой из программ с помощью кнопки "Edit uninstall command".
    - Открыть приложение "Установка и удаление программ" ("Add or Remove Programs") Windows нажатием кнопки "Open Add/Remove Software list"
    - Сохранить весь список программ в текстовый файл (uninstall_list.txt). Для этого нажимаем на кнопку "Save list..."
    Advanced settings.
    Дополнительные настройки сканирования HiJackThis:
    Calculate MD5 of files if possible - вычислять при сканировании контрольные суммы MD5 у тех файлов, у которых это возможно.
    Как это выглядит в логе:
    Код (Text):
    O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\saIE.dll (filesize 514264 bytes, MD5 A572BB8B39C5C06381CB2A27340855A1)
    O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp (filesize 33280 bytes, MD5 DA285490BBD8A1D0CE6623577D5BA1FF)
    Include enviroment variables in logfile - включить в лог переменные окружающей среды ОС.
    Как это выглядит в логе:
    Код (Text):
    Windows folder: C:\WINDOWS
    System folder: C:\WINDOWS\SYSTEM32
    Hosts file: C:\WINDOWS\System32\drivers\etc\hosts
    К слову: отчет HiJackThis всегда начинается с общей информации следующего характера:
    Logfile of Trend Micro HijackThis v2.0.5 - версия HiJackThis.
    Scan saved at 10:12:11, on 08.03.2015 - дата и время сканирования.
    Platform: Windows 7 SP1 (WinNT 6.00.3505) - операционная система.
    MSIE: Internet Explorer v11.0 (11.00.9600.17631) - версия Internet Explorer.

    FIREFOX: 35.0.1 (x86 ru) - версия FIREFOX.
    Boot mode: Normal - режим загрузки системы.
    Плюс обязательно указываются все активные процессы системы на момент создания
    лога (Running processes).

    И последние кнопки раздела Misc Tools:
    Update check - проверка обновлений программы.
    Uninstall HiJackThis - деинсталляция HiJackThis.

    Ключи запуска из командной строки:
    /startupscan
    - автоматическое сканирование системы (аналогично кнопке "Do a system scan only")
    /autolog - автоматическое сканирование системы, сохранение отчета и его открытие текстовым редактором.
    /silentautolog - автоматическое сканирование системы. Окно HiJackThis запускается в свёрнутом режиме и автоматически закрывается по окончанию сканирования.
    /ihatewhitelists - игнорировать все внутренние белые списки. Запуск программы именно таким образом увеличит размеры вашего лога, возможно, даже в несколько раз; так как некоторые компоненты, занесенные в так называемый внутренний "белый список", в обычном логе никогда не отображаются.
    /uninstall - удалить все записи о регистрации HiJackThis в реестре, бекапы и завершить программу. Аналогична нажатию кнопки "Uninstall HiJackThis" в разделе "Misc Tools".
    /deleteonreboot "c:\file.sys" - удалить указанный файл после перезагрузки, используя механизм PendingFileRenameOperations. Аналогично действию кнопки "Delete a file on Reboot" в разделе "Misc Tools".

    Регистр символов всех ключей имеет значение!
    Ключи можно комбинировать вместе.

    Пояснения к некоторым строчкам лога:
    no file - не указан путь к файлу.
    file missing - не удалось получить доступ к файлу. Это может происходить по нескольим причинам:
    1) файл отсутствует.
    2) файл заблокирован (например антивирусом).
    3) запуск с параметрами.
    4) В старых версиях HiJackThis около служб на x64 системах, так как Хиджак не мог получить к ним доступ.

    Справку подготовил @regist, она дополнена и обновлена на основе справки от Saule.
    Офлайн версию этой справки можете скачать здесь.
     
    Последнее редактирование: 20 апр 2016
    Newbie, Drongo, D'Dragon и 7 другим нравится это.
  2. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
Статус темы:
Закрыта.

Поделиться этой страницей