Дополнение в руководство по HiJackThis+

Статус
В этой теме нельзя размещать новые ответы.

Dragokas

Angry & Scary Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
8,030
Решения
14
Реакции
6,805
Здесь публикуются наиболее горячие изменения в форке HiJackThis+ и более расширенное описание, прежде чем оно попадёт в официальную справку.
Вы можете ознакомиться с тем, как работает новый функционал и что делают фиксы ново-введённых элементов.
___________________________
Содержание:
Префиксы лога (Log prefixes)
Пометки Signature (sign)
R4 - Search providers (DefaultScope, SearchScopes)
O4 - ActiveSetup
O4 - StartupApproved (соответствие ключей)
O7 - AutoLogon
O7 - IP Security
O7 - Policy: [Untrusted Certificate]
O7 - TroubleShoot
O17 - DHCP DNS
O22 - BITS Job
O22 - Task, O22 - Task (.job), O22 - Tasks_Migrated
O23 - Dependency
O23 - Driver
O25 - WMI Events
O26 - IFEO (Process Debuggers - Отладчики процессов)
O27 - Account & RDP (Учётная запись и протокол удалённого рабочего стола)
Резервное копирование и вкладка "Backups"
Расшифровка строк с привилегиями ACL формата SDDL.
Как получить обновлённый список отозванных (и доверенных) корневых сертификатов?
Шаблоны ответов для HiJackThis (Проверка ЭЦП, Разблокировка ключей)
Инструменты:
Сброс прав (Reset Permissions)
Files Unlocker
Registry Key Type Analyzer
___________________________
Терминология:
Здесь понятия "Ключ", "Ветвь" и "раздел" будут взаимозаменяемы, если относятся к реестру. Хотя, я буду стараться придерживаться единого стандарта.
Аналогичное касается понятий "куст", "улей", "главный раздел".
Фикс HijackThis - подразумевает действия программы по нажатию на кнопку "Fix checked".
___________________________
Связанные темы:
HiJackThis+: вопросы к разработчикам (обсуждение)
Руководство к TrendMicro HiJackThis v.2.0.5 и HJT Fork от regist (новая справка)
Руководство к TrendMicro HiJackThis v.2.0.5 от regist (устаревшее, содержит ошибки)
 
Последнее редактирование:

Префиксы лога


Начиная с версии HJT 2.6.3.0 и выше:

На x64-битных системах, все префиксы с допиской -32 обозначают 32-битные ключи реестра. А без дописки - 64-битные, например:
O4 - HKLM\..\Run: - это ключ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
O4-32 - HKLM\..\Run: - это ключ HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

В 2.6.2.0 и ниже всё иначе: префиксов -32 нет, но есть префиксы -64. Это иногда приводило к путанице.

Для x32 битных систем таких спец. префиксов нет.
 
Последнее редактирование модератором:

Сброс прав


Сброс прав на файлы (HJT Fork ver. 2.6.1.9+)
Задействуется в 2 случаях:
1. Когда HJT во время фикса не может удалить файл.
2. Когда сброс прав файла специально запрошено через меню "Tools -> Files -> Unlock File / Folder"

Реализация:
Используются WinAPI функции.

Совместимость:
64-битные пути поддерживаются (1.10+).

Сброс прав на разделы реестра
Задействуется:
1. Когда HJT не может удалить или внести изменения в ключ / параметр.
2. Когда пользователь специально затребовал получение прав на ветвь реестра с помощью меню "Tools -> Registry -> Key Unlocker"

Сфера применения:
При ручном запуске (через Tools => Registry => Key Unlocker) может использоваться для получения доступа к разделам, защищенных правами LOCAL SYSTEM.
Также позволяет восстановить права для разделов служб (например, при устранении последствий заражения ZeroAcess (Sirefef)).

Механизм:
Сброс происходит рекурсивно для всех подразделов.
Наследование прав отключается для всех веток, задействованных в фиксе. Новые дочерние подразделы наследуют права родителя.
Набор применяемых прав зависит от версии ОС, имени улья и полному пути к разделу и в целом выглядит так:
SID | Rights | Inheritance | OS / Path

1. Local System:F (OI)(CI)
2. Administrators:F (OI)(CI)
3. Service alias :F (OI)(CI) (optional) - только для подразделов в HKLM\SYSTEM\CurrentControlSet\services\
4. Trusted Installer:F (OI)(CI) (optional) (Vista+)
5. AppX:R - Все пакеты приложений (OI)(CI) (optional) (Win 8.0+)

Только для HKCU:
6. Users:F (OI)(CI)
7. Restricted:R (OI)(CI)

Только для не HKCU:
6. Creator:F (CI)
7. Users:R (OI)(CI)
8. PowerUsers:R (OI)(CI) (XP only)

Описание меток:
OI - применяется для этого раздела.
CI - применяется для подразделов.
F - полные права
R - права только на чтение (запрос значения, перечисление подразделов, уведомление, чтение разрешений).

Применение фикса не рекомендуется к очень большому количеству разделов (как например, корню (улью)). Это может существенно увеличить размер реестра и понизить производительность, т.к. отключается наследование. Для подобных операций лучше использовать другие программы, вроде SubInAcl, SetAcl, Windows Repair-all-in-one.

Совместимость:
64-битные ключи поддерживаются.
 
Последнее редактирование модератором:
  • Like
Реакции: akok

Описание O25 - WMI Events


Инструментарий управления Windows - это стандартная служба Windows. Ею можно воспользоваться для создания постоянного потребителя событий как для легитимных так и вредоносных целей. С помощью этих событий вредоносное ПО, наподобие шпионского, может собирать информацию об оборудовании и программном обеспечении. Также они могут создавать канал для связи между компьютерами, выполнять скрипт как из внешнего файла, так и встроенный (бесфайловый). События могут вызываться подсистемой WMI самостоятельно через определённые промежутки времени либо вручную какой-либо программой, выполняющей специальный запрос к WMI.
(Фикс HiJackThis: потребитель события WMI, фильтр, таймер и связка удаляются, как и вызываемый ими файл, если к нему указан полный путь)

O25 - WMI Event: Имя события - Командная строка или бестелесный код.

Имя события состоит из названия поставщика и и названия фильтра.
Командная строка может приобретать вид:
cscript KernCap.vbs (WorkDir="C:\\tools\\kernrate")
Это значит, что программа cscript.exe запускает файл KernCap.vbs, который находится в рабочем каталоге C:\tools\kernrate

Код
может содержать первые 300 байт скрипта, встроенного в событие.

Пример вредоносной записи:
O25 - WMI Event: ASEC - EventFilter sethomePage2 - Dim objFS:Set objFS = CreateObject("Scripting.FileSystemObject"):On Error Resume Next : Const link = "index": Const linkChrome = "index":browsers = Array("IEXPLORE.EXE", "firefox.exe", "360SE.exe", "SogouExplorer.exe", "opera.exe", "Safari.exe", "Maxthon.exe", "TTraveler.ex(2401 bytes)

HJT отображает только WMI-события пространства "subscription", настроенных на запуск программ и исполнение кода скриптов. Существуют и другие пространства имён в WMI, но запуск программ в этих типах пространств недоступен или не достаточно исследован.

Событие WMI типа "subscription" состоит из:
1) Потребителя, например: вызов файла скрипта или код бестелесного скрипта
2) Фильтра, например: циклического таймера или условия вида "нагрузка на CPU > 50%"
3) Связки, указывающей на то, какой фильтр к какому потребителю относится
4) (Опционально) файл скрипта

Чтобы сработала полезная нагрузка, все пп.1,2,3 должны существовать и быть связаны друг с другом.
Если хотя бы одного пункта (1,2,3) нет, HJT не выводит запись о событии WMI, т.к. оно не может представлять угрозы.
 
Последнее редактирование модератором:
  • Like
Реакции: akok

Описание O7 - IP Security


Политики IP безопасности предоставляют возможность разрешить или заблокировать сетевые пакеты данных. Позволяют тонко настроить фильтр источника и получателя пакетов, например, IP адрес (в т.ч. подсеть) тип и номер порта и другое.
(Действие HiJackThis: удаляются все ключи реестра, связанные с отмеченной политикой, в т.ч. все фильтры, которые к ней относятся)

Шаблон отчёта:
O7 - IPSec: Имя политики [дата модификации] - {Идентификатор политики} - Source: описание источника - Destination: описание получателя - (mirrored) Action: действие (статус, если отключена)

[дата модификации] в формате гггг/мм/дд - указывает, когда последний раз было изменено правило.
{Идентификатор политики} - позволяет найти путь к политике в реестре, например HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{5d57bbac-8464-48b2-a731-9dd7e6f65c9f}
Source: и Destination: - соответственно источник и получатель пакетов. Если указано отражение (mirrored), то правило будет также действовать и в обратном направлении - от получателя к источнику.
Описание источника / получателя - может принимать такие значения:
  • Any IP - любой IP
  • my IP - IP текущей машины
  • IP: a.b.c.d - конкретный IP-адрес
  • DNS-servers
  • WINS-servers
  • DHCP-servers
  • Gateway - основной шлюз
Если указан конкретный IP, рядом также может быть указан тип и номер порта.

Action: - действие, выполняемое политикой для указанных фильтром сетевых пакетов:
  • Block - запретить
  • Allow - разрешить
  • Approve security - проверка безопасности через AH и ESP
  • Inbound pass-through - проверка безопасности через IKE (см. детальнее MSDN).
Статус:
  • disabled - если политика отключена
Пример отчёта:
O7 - IPSec: IP_Policy_Name [2017/07/22] - {074837c2-134b-40ab-82c7-76a701805528} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block

Примечание: в одной политике может быть настроено несколько фильтров. HiJackThis удаляет политику целиком.
 
Последнее редактирование модератором:

Подсекция O4 - StartupApproved (соответствие ключей).


Ключи реестра StartupApproved появились в Windows 8 и служат для пометки отключённых записей автозагрузки реестра и папки "Автозапуск" (Startup).

Эти ключи похожи на MSConfig в Win XP, Vista, 7, но имеют очень существенное отличие:
если Вы удалите такой параметр, то тем самым активируете запись автозагрузки (или файл в папке "Автозапуск").

Чтобы корректно удалить такую отключённую запись, нужно также удалить параметр автозагрузки, который ей соответствует (или файл, в случае с папкой "Автозагрузка").

Примечание: HJT будет делать это автоматически.

Вот список соответствий записей в логах лечащих утилит и ключей автозагрузки:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run -> HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 -> HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run -> HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder -> файл в папке "Автозагрузка" всех пользователей *
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder -> файл в папке "Автозагрузка" текущего пользователя **

*
Папка "Автозагрузка" всех пользователей для Windows Vista+ обычно расположена в:
%ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup

но её расположение может быть изменено с помощью параметра Common Startup в ключах:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

** Папка "Автозагрузка" текущего пользователя для Windows Vista+ обычно расположена в:
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

но её расположение может быть изменено с помощью параметра Startup в ключах:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

Примечание: в 32-битной ОС ключ StartupApproved\Run32 не используется.

Пример:
1) StartupApproved\Run (Run32):
в ключе: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run
находится бинарный параметр с именем: CCleaner
Удаляем его, а также параметр с таким же именем: CCleaner
который находится в ключе:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

2) StartupApproved\StartupFolder:
в ключе HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder
находится бинарный параметр с именем: Printer.lnk
Удаляем его, а также файл с таким же именем, расположенный в папке "Автозагрузка" всех пользователей,
для Windows Vista и выше - обычно это: %ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup\Printer.lnk
 
Последнее редактирование модератором:
  • Like
Реакции: akok

Подсекция O22 - Task (задачи планировщика заданий).


Планировщик заданий предназначен для запуска программ периодически по заданному времени.
Чтобы зайти в оснастку планировщика, нажмите Win + R и введите taskschd.msc

Задание планировщика состоит из:
1) настроек, которые хранятся:
  • в папке: c:\Windows\System32\Tasks\ (файлы без расширения)
  • в папке: c:\Windows\Tasks (файлы *.job)
  • в ключах реестра: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache (для ОС Vista и новее)
  • в ключах реестра: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler (XP / 2003)
2) файла, запускаемого заданием, или другого объекта ОС (для бесфайлового типа задания).

Настройки задания подстраховывают друг друга.
Так, например, удаление файла задания из папки Windows без удаления записи в реестре может не нарушить работоспособность задания, ровно как и в обратном порядке. Точное поведение зависит от версии ОС. Поэтому для успешного удаления задания следует удалять оба объекта, файл и записи реестра.

Основные настройки состоят из:
1) Пользователя, от чьего имени запускается задание.
2) Времени и периодичности запуска (триггер).
3) Пути к запускаемой программе (или иному действию, например, открытие MessageBox-окна, или отправка электронной почты)
4) Статуса задания:
Для заданий реестра / папки C:\Windows\System32\Tasks:​
(Disabled) - отключена​
Для заданий C:\Windows\Tasks (*.job-файлы):​
(Ready) - готова​
(Running) - запущена​
(Not scheduled) - не запланирована​
(Disabled) - отключена​
() - неизвестное (незадокументированное) состояние​
5) Прочих параметров, как автоматический запуск с повышенными привилегиями, скрытая задача и т.п.

Фильтры и пометки:
Задания фильтруются по белому списку стандартных Microsoft, которые есть в базе HJT. Они также проходят дополнительную проверку на валидность ЭЦП.
Задания, которые находятся в папке C:\Windows\System32\Tasks\Microsoft, помечаются меткой "(Microsoft)", если ЭЦП принадлежит Майкрософт. Эта пометка не ставится в строках, где запускаемым файлом является LoLBin-процесс, например, такой как cmd.exe, vbscript.exe, mshta.exe, schtasks.exe, svchost.exe и т.п., которые обычно запускают сторонние файлы или код.

Синтаксис лога:
O22 - Task: (состояние задания) (прочие метки) Относительный путь к файлу задачи - Путь к файлу, запускаемому заданием и аргумент (наличие запускаемого файла на диске) (пометка Microsoft)
Пример лога:
O22 - Task: (Ready) Системное обновление Браузера Яндекс.job - C:\Program Files (x86)\Yandex\YandexBrowser\17.11.0.2358\service_update.exe --run-as-launcher
O22 - Task: \MSIAfterburner - C:\Program Files (x86)\MSI Afterburner\MSIAfterburner.exe /s (file missing)
1-я строка - файл задачи находится по пути: c:\Windows\Tasks\Системное обновление Браузера Яндекс.job (это старый способ запуска, как в XP/2003)
2-я строка - здесь лидирующий слэш "\" обозначает корневую папку, обычно это: c:\Windows\System32\Tasks, а сам файл задачи: c:\Windows\System32\Tasks\MSIAfterburner
(file missing) - значит, что файл C:\Program Files (x86)\MSI Afterburner\MSIAfterburner.exe не удалось обнаружить на диске.

Метки:
(telemetry)
- задания, связанные со сбором и отправкой статистики на сервера (телеметрия).
(activation) - задания активации системы.
(update) - задания GWX ("Get Windows 10").
(file missing) - эта пометка может означать следующее (по отношению к запускаемому заданием файлу):
1) Файл отсутствует на диске.
2) Файл замаскирован руткитом
3) Неверно раскрыта переменная окружения пользователя*
O22 - Task: (Ready) \test - C:\Users\tfcor\FRST64.exe (file missing)
* так, если вы видите в задании, что путь к файлу проходит через папку профиля пользователя (обычно, диск:\users), то реальный путь к заданию при его создании мог выглядеть так:
%userprofile%\FRST64.exe. Следовательно, запуск HJT из-под другого пользователя выдаст неверные данные, хотя задание действительно не запустится из-под другого пользователя.

Фикс HJT при удалении задания:
Удаление файла задания и зачистка связанных с ним записей реестра.
Запускаемый заданием файл также будет удалён, если он не относится к системному.

Описание O22 - Task (.job)


Представляют из себя задания планировщика, очень похожие на привычные O22 - Tasks.
Различиями являются:
- среда обитания: это файлы *.job, находящиеся в папке: C:\windows\tasks
- невозможность управления через оснастку (taskschd.msc) в виду их отсутствия в ней
- более урезанный функционал

Являются наследником систем до XP и вручную могут управляться через утилиту at.

Пример лога:
O22 - Task (.job): (Ready) Обновление Браузера Яндекс.job - C:\Users\Alex\AppData\Local\Yandex\YandexBrowser\Application\browser.exe

Описание работы, меток и фикс аналогичны секции O22 - Tasks.

Описание O22 - Tasks_Migrated


Во время процедуры обновления системы Windows 7 / 8.1 до Windows 10/11, старые задания планировщика "мигрируют" в другую папку: C:\Windows\System32\Tasks_Migrated вместо их изначального расположения в: C:\Windows\System32\Tasks.
Такия задания будут помечаться как O22 - Tasks_Migrated. Некоторые из них могут иметь отсутствующий запускаемый файл (так к примеру при переходе от Win7 до Win10 часть системных файлов от заданий была переименована).
По своей сути Tasks_Migrated являются резервными копиями, так как ничего не запускают. Однако, такие записи могут приводить к ложным срабатываниям антивируса в качестве недочищенного хвоста вредоносного ПО, находившегося в системе ещё до её обновления.
В остальном, эти задания не отличаются от обычных, но состоят только из файла задания. Запись в реестре для них не создаётся.

Пример лога:
O22 - Tasks_Migrated: Adobe Flash Player Updater - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe (file missing)

Фикс HiJackThis: удаление только файла задания.
 
Последнее редактирование модератором:

O17 - DHCP DNS


Показывает DNS-адрес, выданный роутером по DHCP, т.е. при установленной галочке "Автоматически получать DNS-адрес" в настройках сетевого подключения.
Пример записи:
O17 - DHCP DNS - 1: 8.8.4.4
Если адрес вредоносный, пользователь должен вручную зайти в настройки роутера и изменить адрес согласно настройкам, указанным в договоре с провайдером.
Фикс этой строки в HiJackThis приводит к сбросу кэша сопоставителя DNS.

Учтите, что инструмент не всегда может определить конечный адрес, выведя в качестве адреса DNS адрес шлюза:
O17 - DHCP DNS - 1: 192.168.1.1
В таком случае, при наличии подозрений пользователь должен сам проверить адрес в настройках роутера.

O23 - Services

Как проверяются службы?
Сперва отсеиваются все службы драйверов и отключённые службы.
ЭЦП проверяется ещё и у всех файлов, в свойствах которых указано, что авторские права принадлежат "Майкрософт".

В HJT Fork v.2.6.4.15 - v.2.6.4.16
ЭЦП проверяется только у файлов из белого списка. Все остальные службы выводятся в лог.
В белый список не включены службы Защитника Windows. Они всегда выводятся в лог.

В HJT Fork v.2.6.1.4+
выполняется проверка на соответствие отпечатку цифровой подписи Майкрософт.
Если основной файл запускает ещё какой-то, выполняется проверка ЭЦП всей цепочки.
Если хоть одна проверка провалилась, запись считается небезопасной.

R4 - провайдеры поиска (DefaultScope, SearchScopes)


Браузер Internet Explorer использует провайдер поиска (DefaultScope) для отображения в строке поиска
списка подсказок во время ввода в поле адреса поискового запроса.
IE позволяет изменить провайдера по-умолчанию на любой из списка (SearchScopes).

Фикс HiJackThis:
- ключ конкретного провайдера поиска удаляется;
- стандартное значение для DefaultScope (Microsoft Bing) и параметры провайдера восстанавливаются.[/spoiler][/spoiler]
 
Последнее редактирование модератором:

Краткая справка по пунктам HJT.

Создана Беллекомом (переведена на русский), и дополнена мною.

Справка доступна в программе через меню Помощь => О программе => Секции, либо по кнопке "Справка" из окна сканирования.
Эта справка будет обновляться только в самой программе (не в этом посте).

Секции
---------

Воздействия подменяющих программ для удобства были разделены на группы.

R - Изменения основных настроек Internet Explorer:
R0 - изменённые значения реестра
R1 - созданные значения реестра
R2 - созданные ключи реестра
R3 - созданные дополнительные параметры реестра, когда по-умолчанию должен быть только один
R4 - провайдеры поиска (DefaultScope, SearchScopes)
F - Автозапуск программ из ini-файлов и эквивалентных мест реестра:
F0 - изменённые значения ini-файла (system.ini)
F1 - созданные параметры ini-файла (win.ini)
F2 - изменённые значения в реестре, которые переопределяют настройки ini-файла (shell, userinit)
F3 - созданные параметры в реестре, которые переопределяют настройки ini-файла (load, run)
O - Другие разделы:
O1 - изменения в файлах Hosts и hosts.ics / подмена DNSApi
O2 - плагины и расширения браузера (BHO/Browser Helper Objects)
O3 - Internet Explorer: дополнительные панели инструментов (Тoolbars)
O4 - автозапуск программ из реестра и папки 'Автозапуск' (Startup) / отключённые элементы автозагрузки
O5 - Internet Explorer: блокирование доступа к Свойствам браузера через Панель Управления
O6 - политики IE: запрет на изменение некоторых настроек в "Свойствах Браузера" Internet Explorer
O7 - политики: отключение редактора реестра (Regedit) / Настройки локальных политик безопасности (IPSec) / Решение системных проблем (TroubleShoot)
O8 - Internet Explorer: дополнительные пункты контекстного меню
O9 - Internet Explorer: дополнительные кнопки и сервисы на главной панели
O10 - нарушение доступа к Интернету из-за повреждения или заражения в Winsock LSP
O11 - Internet Explorer: новая группа настроек во вкладке "Дополнительно"
O12 - Internet Explorer: плагины для расширений файлов и MIME-типов
O13 - Internet Explorer: подмена URL префиксов
O14 - Internet Explorer: изменения в файле iereset.inf
O15 - Internet Explorer: веб-сайты и протоколы, добавленные в зону 'Надёжные сайты'
O16 - программы, загруженные с помощью ActiveX (DPF)
O17 - изменения домена или DNS сервера / DNS, выданный роутером по DHCP
O18 - изменения существующих протоколов и фильтров
O19 - подмена шаблона стиля пользователя (Style Sheet)
O20 - уведомления Winlogon (Winlogon Notify) и модули инициализации (AppInit_DLLs)
O21 - объекты отложенной загрузки оболочки (SSODL) и оверлея иконок (SIOI)
O22 - задачи Планировщика заданий Windows
O23 - службы Windows
O24 - компоненты Windows Active Desktop
O25 - постоянные потребители событий WMI
O26 - Отладчик процесса

Подробная информация о секциях:
----------------------------------------------------------------------------------------------------
R0 - изменённые значения реестра
----------------------------------------------------------------------------------------------------
Значение реестра по умолчанию, которое было изменено, в результате чего изменилась домашняя страница, страница поиска, страница в панели поиска или поисковый ассистент.

>> Действие HiJackThis:
- значение реестра восстанавливается к предустановленному URL.

----------------------------------------------------------------------------------------------------
R1 - созданные значения реестра
----------------------------------------------------------------------------------------------------
Значение реестра, которое было создано, но при этом не требуется и не присутствует в стандартной установке Windows и вероятно, может повлиять на изменение характеристики, связанной с поиском в браузере и прочим (заголовок IE, прокси сервер, обход прокси, помощник по подключению к интернет, ShellNext и т.п.)

>> Действие HiJackThis:
- значение реестра удаляется.

----------------------------------------------------------------------------------------------------
R2 - созданные ключи реестра
----------------------------------------------------------------------------------------------------
Ключ реестра, который был создан, но при этом не требуется и не присутствует в стандартной установке Windows. В данный момент эта секция не используется (в базе данных нет записей).

>> Действие HiJackThis:
- ключ реестра и всё, что внутри, будет удалено.

----------------------------------------------------------------------------------------------------
R3 - созданные дополнительные параметры реестра, когда по-умолчанию должен быть только один
----------------------------------------------------------------------------------------------------
Обнаружено более одного параметра в ключе URLSearchHooks. Если вы укажите URL-адрес без префикса http://, ftp://, то браузер предпримет попытку самостоятельно определить подходящий протокол, используя список в URLSearchHooks.

>> Действие HiJackThis:
- параметр реестра удаляется;
- стандартное значение для URLSearchHook восстанавливается.

----------------------------------------------------------------------------------------------------
R4 - провайдеры поиска (DefaultScope, SearchScopes)
----------------------------------------------------------------------------------------------------
Браузер Internet Explorer использует провайдер поиска (DefaultScope) для отображения в строке поиска списка
подсказок во время ввода в поле адреса поискового запроса. IE позволяет изменить провайдера по-умолчанию на любой из списка (SearchScopes).

>> Действие HiJackThis:
- ключ конкретного провайдера поиска удаляется;
- стандартное значение для DefaultScope (Microsoft Bing) и параметры провайдера восстанавливаются.

----------------------------------------------------------------------------------------------------
F0 - изменённые значения ini-файла (system.ini)
----------------------------------------------------------------------------------------------------
Значение файла .ini, которое было изменено, что может привести к загрузке программ(ы) во время запуска Windows. Часто используется для автоматической загрузки программы.

Проверяемый файл: C:\Windows\system.ini

Значение по умолчанию: Shell=explorer.exe
Пример заражения: Shell=explorer.exe,openme.exe

>> Действие HiJackThis:
- стандартное значение ini-файла восстанавливается;
- соответствующий файл НЕ удаляется.

----------------------------------------------------------------------------------------------------
F1 - созданные параметры ini-файла (win.ini)
----------------------------------------------------------------------------------------------------
Параметр файла .ini, который был создан, но при этом не требуется и не присутствует в стандартной установке Windows, что вероятно может привести к загрузке программ(ы) во время запуска Windows. Часто используется для автоматической загрузки программы.

Проверяемый файл: C:\Windows\win.ini

Значение по умолчанию: run= или load=
Пример заражения: run=dialer.exe

>> Действие HiJackThis:
- параметр .ini файла удаляется;
- соответствующий файл НЕ удаляется.

----------------------------------------------------------------------------------------------------
F2 - изменённые значения в реестре, которые переопределяют настройки ini-файла (shell, userinit)
----------------------------------------------------------------------------------------------------
Секция F2 соответствует эквивалентным расположениям в реестре для файла system.ini (F0).

Параметр реестра, который был изменён, что может привести к загрузке программ(ы) во время запуска Windows. Часто используется для автоматической загрузки программы.

Будут проверены: \Software\Microsoft\Windows NT\CurrentVersion\WinLogon => Shell, UserInit

Значения по умолчанию:
UserInit=C:\Windows\System32\UserInit.exe,
Shell=explorer.exe
Shell=%WINDIR%\explorer.exe

Примеры заражения:
UserInit=C:\Windows\System32\UserInit.exe,C:\Windows\apppatch\capejw.exe,
Shell=explorer.exe "С:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"

>> Действие HiJackThis:
- стандартное значение восстанавливается;
- соответствующий файл НЕ удаляется.

----------------------------------------------------------------------------------------------------
F3 - созданные параметры в реестре, которые переопределяют настройки ini-файла (load, run)
----------------------------------------------------------------------------------------------------
Секция F3 соответствует эквивалентным расположениям в реестре для файла win.ini (F1).

Параметр реестра, который был создан, но при этом не требуется и не присутствует в стандартной установке Windows, что вероятно может привести к загрузке программ(ы) во время запуска Windows. Часто используется для автоматической загрузки программы.

Будут проверены: \Software\Microsoft\Windows NT\CurrentVersion\Windows => run, load

Значения по умолчанию:
run=
load=

Пример заражения: run=С:\WINDOWS\inet20001\services.exe

>> Действие HiJackThis:
- параметр реестра удаляется;
- соответствующий файл НЕ удаляется.

----------------------------------------------------------------------------------------------------
O1 - изменения в файлах Hosts и hosts.ics / подмена DNSApi
----------------------------------------------------------------------------------------------------
1) Windows использует записи в файле 'hosts' для того, чтобы соотнести имена доменов IP-адресам прежде, чем запрашивать эти данные у DNS сервера. Изменения в файле 'hosts' фактически заставляют Windows верить, что к примеру 'google.com' имеет другой IP, отличный от настоящего и таким образом браузер откроет неверную страницу. Он также используется для блокировки некоторых сайтов, обычно антивирусных, путём переадресации их на localhost или любой другой некорректный IP.
2) Злоумышленник может также эксплуатировать файл DNSApi.dll чтобы подменить расположение, откуда система загружает файл hosts (все версии ОС). Примеры: Hijacker.DNS.Hosts / Trojan.Win32.Patched.qw.
3) По той же причине злоумышленник может изменить параметр DatabasePath в реестре (Win XP и старее).
4) Файл Hosts.ics создаётся автоматически, как только вы включаете общий доступ к сети интернет. Он содержит список соответствия между IP и доменом домашней (локальной) сети и может быть эксплуатирован таким же образом, как и файл hosts.

Примеры заражения:
213.67.109.7 google.com
127.0.0.1 kaspersky.ru
DNSApi: File is patched - c:\Windows\system32\dnsapi.dll
Hosts file is located at: c:\windows\System32\drivers\etc\hoctc

Пример легитимной записи:
Hosts.ics: 192.168.137.1 AnakonDA.mshome.net # 2018 5 2 22 8 3 40 685

>> Действие HiJackThis:
- для записей в hosts и hosts.ics - строка будет удалена из файла.
- для DNSApi - dll файл будет восстановлен, если это возможно, через подсистему SFC.
- в случае подмены расположения hosts - восстанавливается значение реестра по умолчанию.
- также будет сброшен кеш записей DNS.

----------------------------------------------------------------------------------------------------
O2 - плагины и расширения браузера (BHO/Browser Helper Objects)
----------------------------------------------------------------------------------------------------
BHO (Browser Helper Object) - это специально созданная программа, которая внедряется в браузер, и теоретически имеет неограниченные права в системе. Хотя BHO могут быть полезными (как Google Toolbar), рекламное ПО часто их используют для злонамеренных целей, таких как отслеживание Вашего поведения в сети, отображение всплывающей рекламы и т.п.

>> Действие HiJackThis:
- ключ BHO, а также все связанные с ним ключи (как CLSID и спец. политики BHO IE) будут удалены из реестра;
- dll файл BHO будет удалён.

----------------------------------------------------------------------------------------------------
O3 - Internet Explorer: дополнительные панели инструментов (Тoolbars)
----------------------------------------------------------------------------------------------------
Панели инструментов IE - это часть BHO (Browser Helper Objects), подобно Google Toolbar, которые является полезными, но также могут раздражать и быть вредоносными, отслеживая ваше поведение и отображая всплывающую рекламу.

>> Действие HiJackThis:
- параметр реестра и все связанные с ним ключи (как настройки и специальные политики BHO IE) будут удалены из реестра.

----------------------------------------------------------------------------------------------------
O4 - автозапуск программ из реестра и папки 'Автозапуск' (Startup) / отключённые элементы автозагрузки
----------------------------------------------------------------------------------------------------
Эта часть проверки выполняет поиск подозрительных записей, которые загружаются при запуске Windows. Записи автозагрузки могут привести к запуску скрипта из реестра (файла VBS, JS, HTA и т.п.). Это потенциально может стать причиной подмены стартовой страницы браузера, страницы поиска, строки поиска и поискового ассистента. Кроме того, DLL-файл может быть загружен в качестве хука в разные части вашей системы. Также, скрипт, прочая программа или бесфайловая запись в реестре (например, легитимный системный файл PowerShell.exe с аргументами) в автозагрузке может выступать в качестве дроппера, загружая из сети интернет другие вредоносные файлы, обеспечивать выживание вредоносной программы после перезагрузки ОС.
В секции O4 также перечисляются отключённые элементы автозагрузки (MSConfig / TaskMgr).

Область проверки: ключи реестра и папка "Автозагрузка".

Пример заражения: regedit c:\windows\system\sp.tmp /s

>> Действие HiJackThis:
- для записей автозагрузки из реестра - параметр реестра будет удалён; файл НЕ удаляется.
- для папки "Автозагрузка" - запускаемый файл будет удалён.
- для отключённых элементов автозагрузки - запись в реестре будет удалена (Для Windows 8+: запускаемый файл также будет удалён. Для Windows 7 и ранее: запускаемый файл остаётся в папке C:\Windows\pss).

----------------------------------------------------------------------------------------------------
O5 - Internet Explorer: блокирование доступа к Свойствам браузера через Панель Управления
----------------------------------------------------------------------------------------------------
Изменение файла CONTROL.INI может привести к сокрытию определенных значков в Панели управления Windows. Хотя это первоначально предназначалось для ускорения загрузки Панели управления, а также наведения порядка, таким методом также пользуется рекламное ПО, чтобы заблокировать доступ к окну 'Свойства обозревателя'.

Примеры заражения:
[don't load]
inetcpl.cpl=yes
inetcpl.cpl=no

>> Действие HiJackThis:
- строка удаляется из файла Control.ini.

----------------------------------------------------------------------------------------------------
O6 - политики IE: запрет на изменение некоторых настроек в "Свойствах Браузера" Internet Explorer
----------------------------------------------------------------------------------------------------
Элементы 'Свойства обозревателя' в меню 'Инструменты' Internet Explorer можно отключить с помощью политик Windows. Обычно так делают администраторы для ограничения прав своим пользователям, но также может быть использовано и рекламным ПО для предотвращения доступа к окну 'Свойства обозревателя'.

Программы-защитники стартовых страниц также используют политики для запрета изменения рекламным ПО домашней страницы.

>> Действие HiJackThis:
- параметр реестра будет удалён.

----------------------------------------------------------------------------------------------------
O7 - политики: отключение редактора реестра (Regedit) / Настройки локальных политик безопасности (IPSec) / Решение системных проблем (TroubleShoot)
----------------------------------------------------------------------------------------------------

O7 - Policies
Редактор реестра можно отключить с помощью политик Windows. Обычно так делают администраторы для ограничения прав своим пользователям, но также может быть использовано и рекламным ПО для блокировки доступа к редактору реестра (regedit.exe). В результате, при попытке его запуска вы получите сообщение "Редактирование реестра запрещено администратором системы".

O7 - IPSec
Политики IP безопасности предоставляют возможность разрешить или заблокировать сетевые пакеты данных, а также тонко настроить фильтр источника и получателя пакетов, например, IP адрес (в т.ч. подсеть), тип, номер порта и другое.

O7 - TroubleShoot
Здесь отображаются неправильные настройки ОС, которые потенциально приводят к различным сбоям в работе ПО и системы в целом. Сюда относятся неверные значения переменных окружения, таких как %TEMP%, %TMP%.

>> Действие HiJackThis:
- для O7 - Policies: параметр реестра будет удалён.
- для O7 - IPSec: удаляются все ключи реестра, связанные с отмеченной политикой, в т.ч. все фильтры, которые к ней относятся.
- для O7 - TroubleShoot: будет выполнен сброс настроек до стандартных.

----------------------------------------------------------------------------------------------------
O8 - Internet Explorer: дополнительные пункты контекстного меню
----------------------------------------------------------------------------------------------------
Дополнительные элементы в контекстном меню (по щелчку правой кнопкой мыши) могут оказаться как полезными, так и раздражающими. Некоторое рекламное ПО добавляет элементы к контекстному меню. Например, набор расширений PowerTweaks Web Accessory добавляет в Internet Explorer несколько полезных кнопок, среди которых "Text Highlighter" (Подсветка текста), "Zoom In/Zoom Out" (Увеличение/Уменьшение), "Links List" (Список ссылок), "Image List" (Список Картинок) и "Web Search" (Поиск в интернете).

>> Действие HiJackThis:
- ключ реестра будет удалён.

----------------------------------------------------------------------------------------------------
O9 - Internet Explorer: дополнительные кнопки и сервисы на главной панели
----------------------------------------------------------------------------------------------------
Дополнительные элементы в меню 'Инструменты' Internert Explorer-а и дополнительные кнопки на панели инструментов - это кнопки, которые обычно предустанавливаются производителями (например, кнопка "Home" от Dell) или после обновления системы (кнопка "MSN Messenger") и редко - рекламным ПО. Например, набор расширений PowerTweaks Web Accessory позволяет добавить в Internet Explorer два пункта меню: "Добавить сайт в доверенную зону" и "Добавить сайт в ограниченную зону".

>> Действие HiJackThis:
- ключ реестра будет удалён.

----------------------------------------------------------------------------------------------------
O10 - нарушение доступа к Интернету из-за повреждения или заражения в Winsock LSP
----------------------------------------------------------------------------------------------------
Технология Windows Socket (WinSock) использует список провайдеров для разрешения DNS-имен (т.е., например, находит для www.microsoft.com его IP-адрес). Layered Socket provider (LSP) - это многоуровневый поставщик услуг. Некоторые программы способны внедрить свои собственные (шпионские) провайдеры в LSP. Если файлы, на которые ссылается LSP, отсутствуют или 'цепочка' провайдеров нарушена, то ни одна из программ в вашей системе не сможет получит доступ к интернету. Удаление ссылок на отсутствующие файлы и восстановление цепочки вернёт доступ к Интернету.

Примечание: Исправление LSP - это опасная процедура. Вы можете воспользоваться программой WinSockReset от WinsockReset для восстановления Winsock.

>> Действие HiJackThis:
- Не предусмотрено. Будет предложено перейти на сайт www.foolishit.com для скачивания программы WinSockReset.

----------------------------------------------------------------------------------------------------
O11 - Internet Explorer: новая группа настроек во вкладке "Дополнительно"
----------------------------------------------------------------------------------------------------
Параметры вкладки 'Дополнительно' Internet Explorer-а хранятся в реестре. Дополнительные опции могут быть добавлены путем создания дополнительных ключей реестра. Очень редко шпионское и подменяющее ПО добавляют свои собственные параметры, которые трудно удалить. Например, CommonName добавляет секцию 'CommonName' с несколькими опциями.

>> Действие HiJackThis:
- Ключ реестра будет удалён.

----------------------------------------------------------------------------------------------------
O12 - Internet Explorer: плагины для расширений файлов и MIME-типов
----------------------------------------------------------------------------------------------------
Плагины обрабатывают типы файлов, которые по-умолчанию не поддерживаются в Internet Explorer. Из наиболее распространённых плагинов можно назвать Macromedia Flash, документы Acrobat PDF и форматы Windows Media. Плагины позволяют открыть такие форматы непосредственно в браузере вместо запуска для их обработки отдельной программы. Когда подменяющее или шпионское ПО добавляет плагины для обработки своих типов файлов, опасность заключается в том, что вредоносное ПО переустанавливается, как только в браузере открывается соответствующий тип файла, даже если всё остальное кроме плагинов, было удалено.

>> Действие HiJackThis:
- Ключ реестра и файл плагина будут удалены.

----------------------------------------------------------------------------------------------------
O13 - Internet Explorer: подмена URL префиксов
----------------------------------------------------------------------------------------------------
Когда вы вводите URL-адрес в адресной строке Internet Explorer-а без префикса (http://), он автоматически добавляется при нажатии 'Enter'. Этот префикс хранится в реестре вместе с префиксами по умолчанию для FTP, Gopher и некоторых других протоколов. Когда подменяющее ПО изменяет эти префиксы на URL-адрес своего сервера, Ваш запрос всегда будет перенаправляться туда, если вы забудете ввести префикс. Вредонос 'Prolivation' использует такой вид подмены.

>> Действие HiJackThis:
- Стандартное значение реестра будет восстановлено.

----------------------------------------------------------------------------------------------------
O14 - Internet Explorer: изменения в файле iereset.inf
----------------------------------------------------------------------------------------------------
Когда Вы нажимаете 'Сброс веб-параметров' на вкладке 'Программы' из диалогового окна 'Параметры' Internet Explorer-а, ваша домашняя страница, страница поиска и параметры некоторых других сайтов будут сброшены на значения по умолчанию. Эти значения хранятся в файле C:\Windows\Inf\Iereset.inf. Если подменяющее ПО изменит их на собственные адреса, вы получите (повторное) заражение вместо лечения при нажатии кнопки 'Сброс веб-параметров'. Вредонос 'SearchALot' использует такой вид подмены.

>> Действие HiJackThis:
- Стандартное значение в inf-файле будет восстановлено.

----------------------------------------------------------------------------------------------------
O15 - Internet Explorer: веб-сайты и протоколы, добавленные в зону 'Надёжные сайты'
----------------------------------------------------------------------------------------------------
На веб-сайтах в Доверенной зоне (см. Сервис => Свойства браузера => Безопасность => Надёжные сайты => Сайты) разрешается использование обычно опасных скриптов и объектов ActiveX, которые на обычных сайтах использовать запрещено. Некоторые программы автоматически добавляют сайт в доверенную зону без вашего ведома. Известно очень немного легитимных программ, которые так делают. Многие подменяющие программы добавляют сайты с ActiveX.

>> Действие HiJackThis:
- Ключ реестра будет удалён.
- Стандартные соответствия протоколов к зонам будут восстановлены.

----------------------------------------------------------------------------------------------------
O16 - программы, загруженные с помощью ActiveX (DPF)
----------------------------------------------------------------------------------------------------
Папка 'Download Program Files' (DPF) в папке Windows содержит различные типы программ, загруженные из Интернета. Эти программы загружаются, когда запущен Internet Explorer. Легальными примерами являются Java VM, Microsoft XML Parser и Google Toolbar. При удалении эти объекты скачиваются и устанавливаются снова (после запроса).
К сожалению, из-за отсутствия безопасности в IE, он позволяет вредоносным сайтам автоматически скачивать в эту папку порно дозвонщики, поддельные плагины, объекты ActiveX и прочее. Такие программы могут преследовать вас всплывающими окнами, огромными телефонными счетами, случайными ошибками, подменами в браузере и ещё много чем.

>> Действие HiJackThis:
- регистрация DPF CLSID отменяется.
- dll файл и скачанный файл будут удалены.

----------------------------------------------------------------------------------------------------
O17 - изменения домена или DNS сервера / DNS, выданный роутером по DHCP
----------------------------------------------------------------------------------------------------
Windows использует несколько значений реестра в качестве подсказки для разрешения доменных имен в IP-адреса. Подмена этих значений может привести к тому, что все программы, использующие интернет, будут перенаправляться на другие страницы.
Вредонос 'Lop.com' использует этот метод, вместе с огромным списком странных адресов доменов.

DHCP DNS в этой секции отображает DNS-адрес, выданный роутером по DHCP, т.е. при установленной галочке "Автоматически получать DNS-адрес" в настройках сетевого подключения.

>> Действие HiJackThis:
- Значение реестра будет удалено.
- Фикс DHCP DNS приведёт к сбросу кэша сопоставителя DNS. Пользователь должен самостоятельно настроить роутер, введя адрес, указанный в договоре с провайдером, прежде чем фиксить этот пункт в HiJackThis.

----------------------------------------------------------------------------------------------------
O18 - изменения существующих протоколов и фильтров
----------------------------------------------------------------------------------------------------
Протокол - это "язык", с помощью которого Windows "разговаривает" с программами, серверам или сама с собой. Веб-серверы используют протокол 'http:', FTP серверы - 'ftp:', а проводник Windows - 'file:'. Внося новый протокол в Windows или изменяя существующий, можно существенно повлиять на механизм обработки файлов системой.
Вредоносы 'CommonName' и 'Lop.com' регистрируют новый протокол при установке (cn: и ayb: соответственно).

Фильтры - эти типы контента, воспринимаемые в Internet Explorer (и внутри системы). Если для конкретного типа контента существует фильтр, сначала контент проходит через файл, обрабатывающий этот тип контента. Несколько вариантов троянцев 'CWS' добавляют фильтры text/html и text/plain, позволяя им перехватывать всё содержимое веб-страницы, переданное через Internet Explorer.

>> Действие HiJackThis:
- Ключ реестра будет удалён.
- Стандартное значение CLSID для фильтра и протокола будет восстановлено.

----------------------------------------------------------------------------------------------------
O19 - подмена шаблона стиля пользователя (Style Sheet)
----------------------------------------------------------------------------------------------------
Internet Explorer может использовать пользовательские таблицы стилей на всех страницах вместо стандартной, чтобы улучшить отображение страниц для пользователей с ограниченными возможностями.
Появился особо хитрый метод подмены, выполняемый вредоносом 'Datanotary', который перезаписывает любую таблицу стилей, которую установил пользователь, и заменяет её на такую, что вызывает всплывающие окна, а также замедление системы во время набора текста или загрузки страниц с большим количеством изображений.

>> Действие HiJackThis:
- Параметр реестра будет удалён.

----------------------------------------------------------------------------------------------------
O20 - уведомления Winlogon (Winlogon Notify) и модули инициализации (AppInit_DLLs)
----------------------------------------------------------------------------------------------------
Файлы, указанные в параметре реестра AppInit_DLLs, загружаются на начальном этапе загрузки Windows и остаются в памяти до завершения работы системы. Такой способ загрузки .dll редко кто использует, кроме троянов. Примерами легитимных записей здесь могут быть библиотеки видеодрайверов и криптографических систем.
Примерно в тоже время, система загружает в память dll файлы, указанные в подразделах WinLogon Notify, оставляя их загруженными до завершения сеанса. Отдельно от нескольких компонентов системы этот ключ использует рекламное ПО, например, такое как VX2, ABetterInternet и Look2Me.
Поскольку оба метода гарантируют, что dll файл останется загруженным в память все время, фикс не поможет, если dll файл сразу же восстанавливает параметр или ключ в реестре. В таких случаях сперва рекомендуется воспользоваться функцией 'Удалить файл при перезагрузке' или программой KillBox для удаления файла.

>> Действие HiJackThis:
- для AppInit_DLLs: значение реестра будет очищено, но не удалено.
- для WinLogon Notify: ключ реестра будет удалён.

----------------------------------------------------------------------------------------------------
O21 - объекты отложенной загрузки оболочки (SSODL) и оверлея иконок (SIOI)
----------------------------------------------------------------------------------------------------
ShellServiceObjectDelayLoad - это недокументированный ключ реестра, который содержит список ссылок на CLSID, которые в свою очередь ссылаются на dll-файлы, что затем загружаются Explorer.exe в его адресное пространство во время запуска системы. DLL-файлы остаются в памяти до завершения процесса Explorer.exe, что достигается либо путём завершения работы системы, либо убийством процесса оболочки Windows.
ShellIconOverlayIdentifiers - работает аналогично. Этот ключ реестра содержит несколько подразделов с идентификаторами, ссылающимися на файлы, загружаемые в Explorer.exe. Обычно одна программа регистрирует сразу несколько таких обработчиков. Имя ключа часто начинается с нескольких пробелов. Эти библиотеки отвечают за выбор вида прорисовки иконки файла в проводнике Windows в зависимости от определённых условий (имени этого файла или прочих факторов). Примером легитимной программы может служить клиент для облачного хранения данных Yandex.Disk, который меняет вид иконки в зависимости от состояния синхронизации файла. Вредоносная программа, установившая обработчик, может выполнять из-под dll любой произвольных код.

>> Действие HiJackThis:
- Значение либо ключ реестра будет удалено вместе с ключом идентификатора CLSID.
- Файл dll будет удалён.

----------------------------------------------------------------------------------------------------
O22 - задачи Планировщика заданий Windows
----------------------------------------------------------------------------------------------------
Планировщик заданий - это служба, которую можно настроить для запуска произвольного процесса в заданное время или с определённой периодичностью. Одна такая настройка называется заданием. Задание может запускаться с повышенными привилегиями без запроса UAC, быть привязанное к определённому пользователю, содержать путь к процессу, аргументы, состояние и прочее. Вредоносное ПО часто использует задания для обеспечения автозапуска и выживания после перезапуска процесса.
Заданиями можно управлять через оснастку "Планировщик заданий" (taskschd.msc).

>> Действие HiJackThis:
- Задание отключается.
- Процесс задания завершается.
- Файл задания и все связанные с ним ключи реестра удаляются.
- Исполняемый файл задания НЕ удаляется.

----------------------------------------------------------------------------------------------------
O23 - службы Windows
----------------------------------------------------------------------------------------------------
Службы - это особый тип программ, которые важны для системы и необходимы для её правильного функционирования. Процессы служб запускаются до входа пользователя в систему и находятся под защитой Windows. Их можно только остановить, используя оснастку 'Службы' из окна 'Администрирование'.
Вредоносные программы, которые регистрируют себя как службу, впоследствии также сложнее уничтожить.
В отчёт не выводятся службы Microsoft, которые находятся в белом списке, после успешной проверки их цифровой подписи. При этом, антивирусная служба и файрвол не фильтруются.

>> Действие HiJackThis:
- Служба будет отключена, остановлена и удалена.
- В некоторых случаях для завершения удаления будет запрошена перезагрузка системы.

----------------------------------------------------------------------------------------------------
O24 - компоненты Windows Active Desktop
----------------------------------------------------------------------------------------------------
Компоненты рабочего стола - это объекты ActiveX, которые можно сделать частью рабочего стола, если включить 'Active Desktop'. Они будут работать как (небольшой) виджет веб-сайта.
Вредоносные программы злоупотребляют этой функцией, устанавливая фон рабочего стола из локального файла HTML, получая в результате большое поддельное предупреждение.

>> Действие HiJackThis:
- Ключ реестра и HTML-файл удаляются.
- Выполняется обновление фона рабочего стола.

----------------------------------------------------------------------------------------------------
O25 - постоянные потребители событий WMI
----------------------------------------------------------------------------------------------------
Инструментарий управления Windows - это стандартная служба Windows. Нею можно воспользоваться для создания постоянного потребителя событий, как в легитимных, так и во вредоносных целях. С помощью этих событий вредоносное ПО, наподобие шпионского, может собирать информацию об оборудовании и программном обеспечении. Также они могут создавать канал для связи между компьютерами, выполнять скрипт как из внешнего файла, так и встроенный (бесфайловый). События могут вызываться подсистемой WMI самостоятельно через определённые промежутки времени (подобно планировщику заданий) либо вручную какой-либо программой, выполняющей специальный запрос к WMI.

>> Действие HiJackThis:
- потребитель события, фильтр, таймер и связка удаляются из базы данных WMI, как и вызываемый ними файл.

----------------------------------------------------------------------------------------------------
O26 - Отладчик процесса
----------------------------------------------------------------------------------------------------
В разделе реестра 'Image File Execution' программа может быть настроена на автоматический запуск отладчика для неё. При запуске хост-программы вместо неё запустится программа-отладчик.
Примечание: если файл отладчика удалён, но всё ещё настроен, хост-программа не сможет запустится!

>> Действие HiJackThis:
- параметр реестра будет удалён.
 
Последнее редактирование модератором:

Резервное копирование и вкладка "Backups"


Существует 3 вида резервный копий, создаваемых HJT:

1) полный бекап реестра
2) бекап отдельных элементов пофиксенных пунктов (записи реестра и файлы).
3) контрольная точка восстановления системы

1. Полный бекап реестра

Создаётся при первом нажатии кнопки "Fix checked" в окне сканирования и не чаще 1 раза в неделю.
Он сохраняется в папку C:\Windows\ABR\<Дата>
Создаётся с помощью утилиты "Autobackup registry" (ABR) от Дмитрия Кузнецова (эти бекапы совместимы с UVs).

Для восстановления из такого бекапа есть несколько вариантов:
  • через HiJackThis: Main Menu => Backups => выбрать пункт "<Дата>: REGISTRY BACKUP" => Restore.
  • запустить файл C:\Windows\ABR\<Дата>\restore.exe
  • через UVs v.4.0.8+ => Меню "Файл" => Восстановить реестр из каталога ... => выбрать нужный бекап => Восстановить.
  • через Windows RE: В командной строке среды восстановления ввести <диск>:\Windows\ABR\<Дата>\restore <диск>:

Деинсталляция HJT приведёт к удалению бекапов из папки C:\Windows\ABR, если они были созданы через HJT.
Все бекапы, старше 28 дней, удаляются автоматически при создании нового бекапа.
Если на диске осталось меньше 1 ГБ свободного места, бекапы не создаются (!). А в логе сканирования вы увидите уведомление:
O7 - TroubleShoot: Free disk space on C: is too low = NNN MB.

Примечание: восстановление из полного бекапа обычно необходимо:
  • если система перестала загружаться вследствие фикса HJT или работы других программ, когда уже были безрезультатно испробованы другие способы, как "последняя удачная конфигурация" и "восстановление из системной контрольной точки".
  • если не удалось восстановить отдельный пункт через вкладку "Backups"
Такое восстановление затрагивает множество компонентов системы, поэтому программы и настройки, установленные после создания бекапа, могут перестать правильно работать, и потребуется их переустановка.

2. Бекапы отдельных элементов

Создаются перед фиксом элементов из окна сканирования.
Сохраняются рядом с программой HiJackThis.exe в папке "Backups".

Для восстановления из такого бекапа:
1. Перейдите в главное меню кнопкой "Main menu" и нажмите "Backups" (или "Settings" ("Config") -> вкладка "Backups");
2. Выберите нужный пункт и нажмите "Restore".
Перед началом восстановления HJT сверяет контрольную сумму файла/записи реестра, сохранённой при создании бекапа.
Если восстановление прошло успешно, бекап удаляется.
Если не удалось восстановить хотя бы одну запись, связанную со строкой лога, бекап не удаляется, а HJT выдаст одну из таких ошибок:
Error! This backup is no longer exists.
Error! File to be restored is no longer exists in backup. Cannot continue repairing.
Error! File to be restored from backup is corrupted. Cannot continue repairing.
Error! Registry entry to be restored from backup is corrupted. Cannot continue repairing.
Unknown error happened during restore item: []. Item is restored partially only.
Это может произойти по многим причинам, например:
  • блокировка защитным ПО во время создания или восстановления из бекапа
  • противодействие вредоносным ПО
  • попытка восстановления из учётной записи, у которой недостаточно полномочий
  • бекапы частично удалены пользователем
  • ошибка в программе.
Бекапы для секций O23 - Services и O25 - WMI поддерживаются начиная с HJT ver. 2.9.0.24.

3. Контрольная точка восстановления системы


Используется стандартный механизм Windows создания контрольных точек, предназначенных для восстановления к предыдущему состоянию системы. Это влияет на установленные приложения, драйверы и обновления, однако не затрагивает личные файлы. Подробнее в статье Microsoft: Точки восстановления - Win32 apps

Восстановление можно осуществить:
1) через HiJackThis - Backups - Restore, выбрав соответствующий пункт
2) через Win + R => rstrui.exe (апплет "Восстановление системы)

Отличием контрольной точки от полного бекапа реестра (п.1) является ограниченное число резервируемых ключей реестра, однако при этом включает резервирование некоторых файлов.

Вкладка "Backups"


Состоит из списка резервных копий.
Список разделён на 4 колонки:
№ п/п \ FixID \ Дата-Время \ Строка лога, которая была пофиксена

1515764245168.png


Примечание: FixID - обозначает номер фикса, например, всё строки, пофиксенные за один раз, получат один и тот же номер FixID.
Строки на этой вкладке размещены в обратном порядке (вверху - последняя пофиксенная строка).

Чтобы выполнить действие над строкой, её нужно отметить галочкой и нажать на одну из кнопок:
  • Restore - для восстановления записей, связаных со строкой.
  • Delete - для удаления бекапа.
  • Delete All - для удаления всех бекапов

Также в окне есть кнопки:
  • Create registry backup - для создания полного бекапа реестра с помощью ABR
  • Create restore point - для создания системной контрольной точки восстановления (на данный момент не работает в Windows 10). Не рекомендуется пользоваться данной опцией. По возможности, используйте встроенный в систему инструмент.

Список системных точек восстановления по-умолчанию не отображается в списке.
Для его активации отметьте галочку "Show system Restore Points".
 
Последнее редактирование модератором:
  • Like
Реакции: akok

Секция O7 - Policy: [Untrusted Certificate]


Отображает список запрещённых сертификатов цифровой подиси.
Если программа подписана одним из них, её запуск будет запрещён.

В системе могут быть как легальные отозванные сертификаты, получаемые через Windows Update, так и созданные вредоносным ПО, например, CertLock, блокирующий таким образом запуск антивирусных программ.

Синтаксис строки лога:
[O7 - Policy: [Untrusted Certificate] хеш сертификата - имя, кому выдан (спец. пометки)
Пример лога:
O7 - Policy: [Untrusted Certificate] 03D22C9C66915D58C88912B64C1F984B8344EF09 - Comodo
Хеш сертификата, как правило, совпадает с названием ключа реестра. В примере выше это:
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\03D22C9C66915D58C88912B64C1F984B8344EF09
Имя, кому выдан - для вредоносных записей обычно будет соответствовать имени компании блокируемого защитного ПО.
Спец. пометки - бывают такие:
  • (HJT: possible, safe) - значит, что HJT определил запись, как вероятно, безопасную. Если вы увидели такую запись, пожалуйста, сообщите разработчику для пополнения баз.

Анализ:
выполняется через разбор сертификата смешанно, по белым и чёрным спискам и особым критериям для новых неизвестных сертификатов.

Фикс пункта приведёт к удалению ключа реестра.

O7 - Policy: [Untrusted Certificate] Fix all items from the log
Эта запись появляется, если в логе более 10 записей с сертификатами. Обычно, для CertLock их более 40.
Вместо того, чтобы отмечать в окне сканирования все 40 пунктов, можно выбрать только один: "O7 - Policy: [Untrusted Certificate] Fix all items from the log".
 
Последнее редактирование модератором:
  • Like
Реакции: akok

Секция O7 - TroubleShoot


Здесь отображаются неправильные настройки ОС, которые потенциально могут приводить к различным сбоям в работе ПО и системы в целом.
Сюда относятся:

1. O7 - TroubleShoot: [EV] Неверное значение и/или тип переменной окружения, например, у %TEMP% и %TMP%.
Примеры лога:
O7 - TroubleShoot: [EV] HKCU\..\%TEMP% - (environment variable is not exist)
O7 - TroubleShoot: [EV] HKCU\..\%TEMP% - C:\WINDOWS\Temp (environment value is altered)
O7 - TroubleShoot: [EV] HKCU\..\%TEMP% - %USERPROFILE%\AppData\Local\Temp (wrong type of parameter)
O7 - TroubleShoot: [EV] HKCU\..\%TEMP% - (empty value)
Неправильная установка переменных TEMP/TMP, в том числе указывающих на папку с более высоким уровнем доступа, может приводить к различным проблемам, иногда выглядящим как вирусные или баги после некачественных Windows Update, например, "Отказ в доступе" при попытке установить некоторые программы. Пример темы.

Фикс: приведёт к восстановлению значения по-умолчанию.

2. O7 - TroubleShoot: [Disk] Нехватка свободного места на системном диске (меньше 1 ГБ.)
Пример лога:
O7 - TroubleShoot: [Disk] Free disk space on C: is too low = 556 MB.
Малое кол-во свободного места на системном диске ( < 200 MB для XP и < 1000 МБ. для Win Vista и новее) может привести к отказу загрузки системы, а также существенно замедляет скорость загрузки, особенно для не-SSD ЖД вследствие фрагментации.
Эта запись также означает, что перед началом фикса HiJackThis не будет создавать полную резервную копию реестра, пока на системном диске не освободится хотя бы 1 ГБ места.

Фикс: приведёт к запуску служебной утилиты Microsoft CleanMgr (Очистка диска), который автоматически выполнит очистку таких элементов системы:
  • Active Setup Temp Folders
  • BranchCache
  • Compress old files
  • Downloaded Program Files
  • GameUpdateFiles
  • Internet Cache Files
  • Memory Dump Files
  • Offline Pages Files
  • Old ChkDsk Files
  • Previous Installations
  • RetailDemo Offline Content
  • Service Pack Cleanup
  • Temporary Files
  • Temporary Setup Files
  • Thumbnail Cache
  • Update Cleanup
  • Windows Defender
  • User file versions
  • Upgrade Discarded Files
  • WebClient and WebPublisher Cache 'XP
  • Windows Error Reporting Archive Files
  • Windows Error Reporting Queue Files
  • Windows Error Reporting System Archive Files
  • Windows Error Reporting System Queue Files
  • Windows Error Reporting Temp Files

3. O7 - TroubleShoot: [Network] Неверные настройки сети.
Сейчас по базам проверяется только 1 пункт:

1) Пустое имя компьютера - может вызывать проблемы при подключении к сети Интернет защитного ПО.
Пример лога:
O7 - TroubleShoot: [Network] Computer name (hostname) is not set (should be: Alex-PC)

Фикс: привёдет к назначению ПК имени, указанного в NetBIOS или %USERDOMAIN%.
 
Последнее редактирование модератором:

Секция O26 - Отладчики процессов


В разделе реестра IFEO (Image File Execution Options) процесс может быть настроен на автоматический запуск отладчика для него. При попытке запуска исходного процесса вместо него будет запущена программа-отладчик, которая, обычно, исполняет исходный процесс в пошаговом режиме.

Примечание: если файл отладчика удалён, но всё ещё настроен в реестре, исходный процесс не сможет запустится!

Область проверки:
Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

Пример лога:
O26 - IFEO: HKLM\..\iexplore.exe: [Debugger] = C:\Windows\System32\malw.exe
O26 - IFEO: HKLM\..\notepad.exe: [VerifierDlls] = C:\ProgramData\Adobe\ReaderDC.dll
Отладчик может быть настроен на глобальное внедрение dll - во все процессы, которое будет происходить даже в момент загрузки ОС. В этом случае вы увидите в логе подобное:
O26 - IFEO Global hook: [VerifierProviders] = malw.dll

Фикс:
приведёт к удалению параметра реестра.
 
Последнее редактирование модератором:

Дополнительные шаблоны ответов для HiJackThis.

(будет перенесено в 1-й пост)

1. Проверка ЭЦП.

Запустите HiJackThis (из папки .\AutoLogger\HiJackThis). Нажмите в меню "Tools" => "Files" => "Digital Signature Checker".
В поле вставьте строки:
Код:
файл1
файл2
Нажмите Go.
Отчёт DigiSign.csv прикрепите в архиве.

Шаблон хелпера:


Запустите [b]HiJackThis[/b] (из папки .\AutoLogger\HiJackThis). Нажмите в меню "[b]Tools[/b]" => "[b]Files[/b]" => "[b]Digital Signature Checker[/b]".
В поле вставьте строки:
[code]
файл1
файл2
[/code]
Нажмите [b]Go[/b].
Отчёт [b]DigiSign.csv[/b] прикрепите в архиве.


2. Разблокировка ключей реестра (рекурсивно)

Запустите HiJackThis (из папки .\AutoLogger\HiJackThis). Нажмите в меню "Tools" => "Registry" => "Keys Unlocker".
1. В поле вставьте строки:
Код:
ключ1
ключ2
2. Поставьте галочку "Recursively"
3. Нажмите Go.
Отчёт FixReg.log прикрепите в архиве.

Шаблон хелпера:

Запустите [b]HiJackThis[/b] (из папки .\AutoLogger\HiJackThis). Нажмите в меню "[b]Tools[/b]" => "[b]Registry[/b]" => "[b]Keys Unlocker[/b]".
1. В поле вставьте строки:
[code]
ключ1
ключ2
[/code]
2. Поставьте галочку "[b]Recursively[/b]"
3. Нажмите [b]Go[/b].
Отчёт [b]FixReg.log[/b] прикрепите в архиве.
 
Последнее редактирование модератором:

Как получить обновлённый список отозванных (и доверенных) корневых сертификатов?


Запустите из-под командной строки с повышенными привилегиями две команды:
Код:
Certutil -syncWithWU c:\temp
Certutil -generateSSTFromWU c:\temp\WURoots.sst
где c:\temp - произвольный путь.

В папке появится много файлов с отдельными сертификатами и архивами. Среди них:

disallowedcert.sst - контейнер с отозванный сертификатами
WURoots.sst - контейнер с доверенными сертификатами

Запустите файл disallowedcert.sst двойным кликом. Откроется оснастка MMC. Выберите имя нужного сертификата.
Двойной клик => вкладка "Состав" => поле "Отпечаток" => здесь можно увидеть хеш, который будет соответствовать строке лога O7 в HiJackThis (это если он ещё не внесён в белый список HJT).

Детальнее: Configure Trusted Roots and Disallowed Certificates
--
P.S. Чтобы установить эти сертификаты в свою систему:

  • Запускаем Win + R, certmgr.msc
  • Переходим к ветке "Сертификаты, к которым нет доверия"
  • Меню: Действия => Все задачи => Импорт => Внизу в фильтре выбираем *.sst и щёлкаем по файлу disallowedcert.sst
Аналогично с веткой "Доверенные корневые центры сертификации" и файлом WURoots.sst
Примечание: сертификаты будут применены только к текущему пользователю.
Отсутствие некоторых корневых сертификатов может приводить к невозможности запуска программ, например инсталляторов.
 
Последнее редактирование модератором:

Секция O23 - Dependency

Введено в HJT v.2.8.0.39 (перенесено в "Additional scan" в v.2.8.0.42)

Зависимости (dependency) предназначены, чтобы выстраивать порядок загрузки служб между собой.
Если служба "X" зависит от службы "Y", то X будет дожидаться, пока не запустится Y. Если служба Y так и не запустится (по причине сбоя, блокировки, или её отсутствия в системе в принципе), то X не сможет запустится вообще.

Проблемы с загрузкой служб Microsoft могут привести к неполадкам в работе программ или к отказу в работе системы в целом.

Синтаксис лога:
  • Microsoft Service 'X' depends on non-legit service: 'Y' - если запуск легитимной службы 'X' зависит от неизвестной службы 'Y'
  • Microsoft Service 'X' depends on non-legit group: 'Y' - если запуск легитимной службы 'X' зависит от неизвестной сервисной группы 'Y'
  • Microsoft Service Group 'X' contains non-legit service: 'Y' - если в состав легитимной сервисной группы 'X' входит неизвестная служба 'Y'

Примечание:
Сервисная группа - это набор из нескольких служб, объединённых одним названием.
Сервисные группы вполне легально могут содержать список сторонних служб.
HJT проверяет зависимости только у служб и драйверов Microsoft.
Если проверка "Additional scan" отключена, то по умолчанию, все драйвера принимаются как легитимные.

Действие HiJackThis: удаление зависимости у службы или у сервисной группы (удаление части параметра реестра).
 
Последнее редактирование модератором:

O23 - Driver


Проверка загруженных драйверов.
Отображает только драйвера сторонних производителей (если включена галочка "Hide Microsoft")

Синтаксис лога почти ничем не отчается от O23 - Service:
Код:
O23 - Driver R0: sptd - C:\Windows\System32\Drivers\sptd.sys
O23 - Driver R3: Kaspersky Lab KLKBDFLT - (klkbdflt) - C:\Windows\system32\DRIVERS\klkbdflt.sys
O23 - Driver R: VMware virtual network driver (64-bit) - C:\Windows\system32\DRIVERS\VMNET.SYS

где:
R - это состояние драйвера. В данном случае - любое, кроме "остановлен" (например, "запущен", "в процессе запуска", "в процессе остановки").
S - остановлен.

Цифра рядом - это тип запуска:
0 - загрузочный
1 - системный
2 - автоматически
3 - вручную
4 - отключён

Если рядом нет цифры, такая строка означает динамически загруженный драйвер (т.е. с помощью другого драйвера или программы, а не через базу данных реестра)

Примечание:
Подсекция доступна только в режиме "Additional scan"
Отключённые драйвера (R4, S4) отображаются только, если поставлена галочка "Ignore All Whitelists".
Полноценно работает начиная с HJT v.2.8.0.47.

Действие HiJackThis:
Удаление службы драйвера.
Для динамически загруженных драйверов - только удаление файла.
 
Последнее редактирование модератором:

Расшифровка строк с привилегиями ACL формата SDDL.


SDDL - это описание дескриптора безопасности и аудита объекта,
или по-проще: формат строки, в которой закодированы права доступа к объекту (файлу, ключу реестра, сервису и прочим объектам безопасности), а также аудит (особый хук для слежения за объектом и записи изменений в журнал событий).

Если список прав доступа на важные системные папки нарушен (установлен запрет, или убраны необходимые разрешения), система может работать нестабильно.

Пример лога:
O7 - Policy: Permissions on key are restricted - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates - O:BAG:SYD:AI

Действие HiJackThis:

Восстановление стандартных привилегий*.

Понимание SDDL не требуется для повседневного анализа логов, но поможет при детальном рассмотрении, кому и какие конкретно права были урезаны.
Пару примеров строки в формате SDDL:

O:BAG:SYD:PAI(D;OICI;FA;;;BG)(A;OICI;FA;;;BA)(A;OICIIO;FA;;;CO)(A;OICI;FA;;;SY)(A;OICI;FA;;;BU)S:AI(AU;OICINPFA;RPDTSDWD;;;BU)(AU;OICINPSA;CCSWRPDTLOSD;;;BU)

Расшифровка первой:
Вам нужно разбить на группы:
O:BAG:SYD:AI
O:BAG:SYD:AI

И обратиться к руководству:
Security Descriptor String Format
SID Strings
ACE Strings


O:owner_sid
G:group_sid
D:dacl_flags(string_ace1)(string_ace2)... (string_acen)
S:sacl_flags(string_ace1)(string_ace2)... (string_acen)

Расшифровка идентификаторов:

O (Owner) - это владелец объекта (владелец имеет право устанавливать любые права, но пока он этого не сделает, ему также может быть ограничен доступ). Формат - SID String.
G (Group) - группа, которой назначены права. Формат - SID String.
D (DACL, Discretionary Access Control List) - непосредственно сами права. Через двоеточие указаны флаги наследования прав, в скобках - строка с правами - в формате ACE (см. больше в icacls help)
S (SACL, System Access Control List) - аудит.

Расшифровка значений:

O:BA - владелец "Builtin Administrators"
G:SY - группа "Local System"
D:AI - права с флагом "Auto Inherited" - распространение привилегий, т.е. они автоматически наследуются дочерними объектами (файлами, подпапками, подразделами реестра и т.п.).
Скобок после D:AI нет - это значит, что список прав доступа (или запретов) напрочь отсутствует.
В данном случае означает, что права на чтение/запись объекта отсутствуют для всех.
Ещё частый вариант:
D:PAI - "P" - это отключение наследования привилегий текущим объектом от родительского.

Разберём вот этот кусочек из второй строки:
Код:
(D;OICI;FA;;;BG)
Записано в формате ACE (Access Control Entries, записи контроля доступа)
D (ace_type) - запрет доступа (Deny).
OI (ace_flags) - "Object Inherited" (наследуются объектами, т.е. например файлами). См. ace_flags в ACE Strings
CI (ace_flags) - "Container Inherited" (наследуются контейнерами, т.е. например, папками). См. ace_flags в ACE Strings
FA (permissions) - "FILE_GENERIC_ALL" или "Full Access". (в данном случает значит, что запрет установлен на все виды доступа). См. Generic access rights и ниже в ACE Strings.
object_guid и inherit_object_guid не указаны (между ; пусто)
BG (SID constant либо Well-Known SID, либо SID пользователя) - "Builtin guests" - учётная запись "Гость" - пользователь, кому выданы (ограничены) права.

Обратите внимание: если у дочерних объектов отключено наследование привилегий (inheritance), то вы не сможете на них повлиять (через распространение прав (propagation)), изменяя привилегии родителя. Потребуется рекурсивный обход, т.е. изменение дескриптора безопасности индивидуально у каждого такого дочернего объекта.

Примечание: при использовании галочки "Рекурсивно" в инструменте Files Unlocker (аналогично и в Registry Key Unlocker) HiJackThis+ выполняет замену дескриптора безопасности индивидуально у всех дочерних объектов. Начиная с версии 3.4.0.7 работает это так: у корневого объекта обработки отключается наследование прав от родителя, устанавливаются все указанные в SDDL доступы, затем у всех дочерних объектов (файлов, папок) сбрасываются все права и устанавливается флаг "наследование от родителя". Если флаг "рекурсия" не отмечен, права устанавливаются только для указанного корневого объекта (если это папка, то файлы в этой папке не затрагиваются).

Примечание 2: "Стандартными привилегиями" для HiJackThis являются:
1) Для файлов:
O:BAG:BAD:pAI ' Владелец - Administrators / Группа - Administrators / Отключение наследование от родителя (только корневой объект обработки)
(A;OICI;FA;;;SY) ' LocalSystem (Full Access)
(A;OICI;FA;;;BA) ' Administrators (Full Access)
(A;OICI;FA;;;BU) ' Users (Full Access)
(A;OICI;FA;;;S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464) ' TrustedInstaller (Full Access)
(A;OICI;FA;;;S-1-15-2-1) ' AppX (Full Access) (только Windows 8 и новее)
(A;OICI;FA;;;S-1-15-2-2) 'AppX restricted (Full Access) (только Windows 10 и новее)

2) Для ключей реестра:
Владелец - группа "Администраторы" (S-1-5-32-544) / Отключение наследование от родителя (только корневой объект обработки)
Local System:F (OI)(CI)
Administrators:F (OI)(CI)
Trusted Installer:F (OI)(CI) (опционально: Vista+)
AppX:R (OI)(CI) (опционально: Win 8.0+)
AppX-restricted:R (OI)(CI) (опционально: Win 10+)
Users:F (OI)(CI) (опционально, только если улей - HKCU)
Restricted:R (OI)(CI) (опционально, только если улей - HKCU)
Creator:F (CI) (опционально, только если улей - HKLM)
Users:R (OI)(CI) (опционально, только если улей - HKLM)
PowerUsers:R (OI)(CI) (опционально, только если улей - HKLM и OS: Win XP)
Service:F (OI)(CI) (опционально**)
** В некоторых случаях применяются специфические SDDL, например, для сброса прав на ветку "HKLM\SYSTEM\CurrentControlSet\services\служба" дополнительно добавляется ACE с Full Access для имени службы, чей ключ мы сбрасываем.

Список алиасов прав:

*По данным из icacls /help , MS Access Mask и отладки

Последовательность простых прав (в скобках указано значение Access Mask и соответствующие им WinAPI константы):
  • N - доступ отсутствует
  • F - полный доступ (FILE_GENERIC_ALL == FR+FW+FX+SD+WDAC+WO+DC == 0x1F01FF)
  • M - доступ на изменение (FR + FW + FX + SD == 0x1301BF)
  • RX - доступ на чтение и выполнение (FR + FX == 0x1200A9)
  • R - доступ только на чтение (FR == 0x120089)
  • W - доступ только на запись (FW - RC == 0x100116)
  • D - доступ на удаление (DELETE - SYNCHRONIZE == 0x110000)
Список отдельных прав, разделенный запятыми и заключенный в скобки:
  • DE - удаление (DELETE)
  • RC - чтение (прим.: подразумевается доступ на чтение разрешений) (READ_CONTROL)
  • WDAC - запись DAC (WRITE_DAC)
  • WO - смена владельца (WRITE_OWNER)
  • S - синхронизация (SYNCHRONIZE)
  • AS - доступ к безопасности системы (ACCESS_SYSTEM_SECURITY)
  • MA - максимально возможный (MAXIMUM_ALLOWED)
  • GR - общее чтение (GENERIC_READ)
  • GW - общая запись (GENERIC_WRITE)
  • GE - общее выполнение (GENERIC_EXECUTE)
  • GA - все общие (GENERIC_ALL)
  • RD - чтение данных, перечисление содержимого папки (FILE_READ_DATA, либо FILE_LIST_DIRECTORY)
  • WD - запись данных, создание файлов (FILE_WRITE_DATA, либо FILE_ADD_FILE)
  • AD - добавление данных и вложенных каталогов (FILE_APPEND_DATA, либо FILE_ADD_SUBDIRECTORY)
  • REA - чтение дополнительных атрибутов (FILE_READ_EA)
  • WEA - запись дополнительных атрибутов (FILE_WRITE_EA)
  • X - выполнение файлов и обзор папок (FILE_EXECUTE, либо FILE_TRAVERSE)
  • DC - удаление вложенных объектов (FILE_DELETE_CHILD)
  • RA - чтение атрибутов (FILE_READ_ATTRIBUTES)
  • WA - запись атрибутов (FILE_WRITE_ATTRIBUTES)
Права наследования могут предшествовать любой форме и применяются только к каталогам:
  • (OI) - наследование объектами
  • (CI) - наследование контейнерами
  • (IO) - только наследование
  • (NP) - запрет на распространение наследования
  • (I) - наследование разрешений от родительского контейнера
Дополнительно, могут использоваться такие алиасы (см. ACE Strings):
  • GX - общее выполнение (прим.: в icacls используется алиас "GE")
  • SD - удаление (прим.: в icacls используется алиас "DE")
  • FA - все общие права (для файлов и папок) (FILE_GENERIC_ALL) (прим.: в icacls используется алиас "F")
  • FR - общие права на чтение (для файлов и папок) (FILE_GENERIC_READ)
  • FW - общие права на запись (для файлов и папок) (FILE_GENERIC_WRITE)
  • FX - общие права на выполнение (для файлов и папок) (FILE_GENERIC_EXECUTE)
В разных документациях одни и те же алиасы могут иметь другие значения (см. ACE Strings):
  • WD - запись DACL (прим.: в icacls используется алиас "WDAC")
Для ключей реестра:
  • KA - все общие права (KEY_ALL_ACCESS)
  • KR - общие права на чтение (KEY_READ)
  • KW - общие права на запись (KEY_WRITE)
  • KX - общие права на выполнение (KEY_READ - SYNCHRONIZE == KEY_EXECUTE)
Чтобы отобразить список специфических прав вместо общих, в утилите icacls можно использовать недокументированный ключ /dbg. Пример:
Код:
icacls "c:\windows" /dbg

Некоторые SDDL могут иметь список прав в виде 16-ричного числа. Пример ACE:
Чтобы декодировать это число в человеко-читаемый список алиасов, написана программа, которую можно скачать из вложения. Исходник (вводите только само число, с префиксом 0x ).

Дополнительная литература:

Microsoft Docs - ACCESS_MASK
Microsoft Docs - Mandatory Integrity Control (Integrity Level в SACL)
Raymond Chen - A brief summary of the various versions of SDDL
 

Вложения

Последнее редактирование модератором:

Описание O22 - BITS Job


BITS - это задания загрузчика обновлений Windows, работающие на основе одноимённой службы BITS.
Они могут включать в себя как обновления системы, так и обновления компонентов сторонних программ. Зачастую, этим пользуются браузеры.
Также, BITS можно настроить на запуск файлов после скачивания, что является крайне редкой практикой.
БД записей BITS хранится в файлах: %ALLUSERSPROFILE%\Microsoft\Network\Downloader\qmgr* и защищена от записи в эксклюзивном доступе службой.
Вручную, для управления заданиями BITS можно использовать утилиту bitsadmin.

Фикс конкретного элемента HiJackThis:

Отмена задания BITS с получением привилегий на него.

Для удобной зачистки всех заданий служит строка в логе:
O22 - BITS Job: Fix all (including legit)

Фикс HiJackThis:

Очистка всех заданий BITS.
 
Последнее редактирование модератором:
  • Like
Реакции: akok

Описание O7 - AutoLogon


Если система настроена на автоматический вход с сохранённым паролем, HiJackThis выведет в лог такую строку:
O7 - AutoLogon: HKLM\..\Winlogon: USER-PC\Username
где Username - имя пользователя.

Такой автоматический вход можно настроить например, с помощью утилиты SysInternals AutoLogon.
Некоторое вредоносное ПО таким же способом может перенаправлять пользователя на специально созданную учётную запись.
Пользователю может отображаться окно ошибки в связи с попыткой автоматического входа с неверным паролем, отсутствующей или повреждённой учётной записью, удалённой в ходе лечения.

Внимание: если пользователь специально настроил автовход и при этом забыл свой пароль или логин*, фикс элемента AutoLogon приведёт к невозможности входа в учётную запись. Не нужно фиксить AutoLogon легитимной учётной записи, и тем более учётной записи Microsoft. Изменить пароль учётной записи Microsoft можно будет только через сайт. Сбросить пароль из-под другой учётки с помощью control userpasswords2 (оснастка lusrmgr.msc) тоже не получится. И наоборот: если вы вошли в учётную запись Microsoft, и попытаетесь сменить пароль локального типа учётной записи, то получите ошибку в оснастке: "Система не является полномочной для указанной учётной записи...".
* Если в системе настроена политика "Не отображать учетные данные последнего пользователя", залогиниться можно только, указав вручную полностью свой пароль и логин. Имена учётных записей не будут отображаться.

Фикс HiJackThis:
Отключение автоматического входа в систему.
Учётная запись и папка профиля не удаляются.
Пароль не удаляется. Бекап пароля не делается (но, планируется).
В последствии, пользователь будет попадать на экран выбора пользователей для ввода пароля, либо система автоматически осуществит вход, если осталась только одна активная учётная запись и она без пароля.

Описание O7 - AutoLogon (Notice)

O7 - AutoLogon: HKLM\..\Winlogon: [LegalNoticeCaption] = заголовок ...
O7 - AutoLogon: HKLM\..\Winlogon: [LegalNoticeText] = сообщение ...
Эти записи выводятся, если система настроена на вывод сообщения перед входом пользователя в систему.
В этом случае пользователю требуется нажать ОК прежде, чем продолжится загрузка профиля.

Фикс HiJackThis:
Удаление сообщения.
 
Последнее редактирование модератором:
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу