Дополнение в руководство по HiJackThis (Fork)

Статус
В этой теме нельзя размещать новые ответы.

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
5,966
Симпатии
5,788
Баллы
588
#1
Тема имеет статус черновика.

Здесь я буду постепенно вносить информацию о различиях между официальной инструкцией к v.2.0.5 и работой форка (который используется в Автологгере) в процессе его изменения.
А также о том, как будет работать новый функционал.
Что-то из этого, возможно в дальнейшем будет использовано в новом руководстве.
___________________________
Терминология:
Здесь понятия "Ключ", "Ветвь" и "раздел" будут взаимозаменяемы, если относятся к реестру. Хотя я буду стараться держаться единого стандарта.
Аналогичное касается понятий "куст", "улей", "главный раздел".
___________________________

Другие темы:
HiJackThis fork: вопросы к разработчикам (обсуждение)
Руководство к TrendMicro HiJackThis v.2.0.5 и HJT Fork от regist (новая справка)
Руководство к TrendMicro HiJackThis v.2.0.5 от regist (устаревшее, содержит ошибки)
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
5,966
Симпатии
5,788
Баллы
588
#2
Префиксы лога

Начиная с версии HJT 2.6.3.0 и выше:

На x64-битных системах, все префиксы с допиской -32 обозначают 32-битные ключи реестра. А без дописки - 64-битные, например:
O4 - HKLM\..\Run: - это ключ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
O4-32 - HKLM\..\Run: - это ключ HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

В 2.6.2.0 и ниже всё иначе: префиксов -32 нет, но есть префиксы -64. Это иногда приводило к путанице.

Для x32 битных систем таких спец. префиксов нет.
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
5,966
Симпатии
5,788
Баллы
588
#3
Сброс прав

Сброс прав на файлы (HJT Fork ver. 2.6.1.9+)
Задействуется в 2 случаях:
1. Когда HJT во время фикса не может удалить файл.
2. Когда удаление файла специально запрошено через меню "Tools -> Delete File -> Unlock & Delete File"

Реализация:
Используются утилиты Microsoft icacls / takeown.
Юникодные имена файлов пока не поддерживаются. (1.10+)

Совместимость:
64-битные пути поддерживаются (1.10+).

Сброс прав на папки
(не реализовано)

Сброс прав на разделы реестра (ver. ?)
Планируется задействовать:
1. Когда HJT не может удалить или внести изменения в ключ / параметр.
2. Когда пользователь специально затребовал получение прав на ветвь реестра с помощью меню "Tools -> Registry Key Unlocker"

Сфера применения:
При ручном запуске может использоваться для получения доступа к разделам, защищенных правами LOCAL SYSTEM.
Также позволяет восстановить права для разделов служб (например, при устранении последствий заражения ZeroAcess (Sirefef)).

Механизм:
Сброс происходит рекурсивно для всех подразделов.
Наследование прав отключается для всех веток, задействованных в фиксе. Новые дочерние подразделы наследуют права родителя как обычно.
Набор применяемых прав зависит от версии ОС, имени улья и полному пути к разделу и в целом выглядит так:

SID | Rights | Inheritance | OS / Path

1. Local System:F (OI)(CI)
2. Administrators:F (OI)(CI)
3. Service alias :F (OI)(CI) (optional) - только для подразделов в HKLM\SYSTEM\CurrentControlSet\services\
4. Trusted Installer:F (OI)(CI) (optional) (Vista+)
5. AppX:R - Все пакеты приложений (OI)(CI) (optional) (Win 8.0+)

Только для HKCU:
6. Users:F (OI)(CI)
7. Restricted:R (OI)(CI)

Только для не HKCU:
6. Creator:F (CI)
7. Users:R (OI)(CI)
8. PowerUsers:R (OI)(CI) (XP only)

Описание меток:
OI - применяется для этого раздела.
CI - применяется для подразделов.
F - полные права
R - права только на чтение (запрос значения, перечисление подразделов, уведомление, чтение разрешений).

Применение фикса не рекомендуется к очень большому количеству разделов (как например, корню (улью)). Это может существенно увеличить размер реестра и понизить производительность, т.к. отключается наследование. Для подобных операций лучше использовать другие программы, вроде SubInAcl, SetAcl, Windows Repair-all-in-one.

Совместимость:
64-битные ключи поддерживаются.
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
5,966
Симпатии
5,788
Баллы
588
#4
Описание O25 - WMI Events

Инструментарий управления Windows - это стандартная служба Windows. Ею можно воспользоваться для создания постоянного потребителя событий как для легитимных так и вредоносных целей. С помощью этих событий вредоносное ПО, наподобие шпионского, может собирать информацию об оборудовании и программном обеспечении. Также они могут создавать канал для связи между компьютерами, выполнять скрипт как из внешнего файла, так и встроенный (бесфайловый). События могут вызываться подсистемой WMI самостоятельно через определённые промежутки времени либо вручную какой-либо программой, выполняющей специальный запрос к WMI.
(Действие HiJackThis: потребитель события WMI, фильтр, таймер и связка удаляются, как и вызываемый ними файл, если к нему указан полный путь)

O25 - WMI Event: Имя события - Командная строка или код.

Имя события состоит из названия поставщика и и названия фильтра.
Командная строка может приобретать вид:

cscript KernCap.vbs (WorkDir="C:\\tools\\kernrate")
Это значит, что программа cscript.exe запускает файл KernCap.vbs, который находится в рабочем каталоге C:\tools\kernrate

Код может содержать первые 300 байт скрипта, встроенного в событие.

Пример вредоносной записи:
O25 - WMI Event: ASEC - EventFilter sethomePage2 - Dim objFS:Set objFS = CreateObject("Scripting.FileSystemObject"):On Error Resume Next : Const link = "index": Const linkChrome = "index":browsers = Array("IEXPLORE.EXE", "firefox.exe", "360SE.exe", "SogouExplorer.exe", "opera.exe", "Safari.exe", "Maxthon.exe", "TTraveler.ex(2401 bytes)
 
Последнее редактирование модератором:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
5,966
Симпатии
5,788
Баллы
588
#5
Описание O7 - IP Security

Политики IP безопасности предоставляют возможность разрешить или заблокировать сетевые пакеты данных. Позволяют тонко настроить фильтр источника и получателя пакетов, например, IP адрес (в т.ч. подсеть) тип и номер порта и другое.
(Действие HiJackThis: удаляются все ключи реестра, связанные с отмеченной политикой, в т.ч. все фильтры, которые к ней относятся)

Шаблон отчёта:
O7 - IPSec: Имя политики [дата модификации] - {Идентификатор политики} - Source: описание источника - Destination: описание получателя - (mirrored) Action: действие (статус, если отключена)

[дата модификации] в формате гггг/мм/дд - указывает, когда последний раз было изменено правило.
{Идентификатор политики} - позволяет найти путь к политике в реестре, например HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{5d57bbac-8464-48b2-a731-9dd7e6f65c9f}
Source: и Destination: - соответственно источник и получатель пакетов. Если указано отражение (mirrored), то правило будет также действовать и в обратном направлении - от получателя к источнику.
Описание источника / получателя - может принимать такие значения:
  • Any IP - любой IP
  • my IP - IP текущей машины
  • IP: a.b.c.d - конкретный IP-адрес
  • DNS-servers
  • WINS-servers
  • DHCP-servers
  • Gateway - основной шлюз
Если указан конкретный IP, рядом также может быть указан тип и номер порта.

Action: - действие, выполняемое политикой для указанных фильтром сетевых пакетов:
  • Block - запретить
  • Allow - разрешить
  • Approve security - проверка безопасности через AH и ESP
  • Inbound pass-through - проверка безопасности через IKE (см. детальнее MSDN).
Статус:
  • disabled - если политика отключена
Пример отчёта:
O7 - IPSec: IP_Policy_Name [2017/07/22] - {074837c2-134b-40ab-82c7-76a701805528} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
Примечание: в одной политике может быть настроено несколько фильтров. HiJackThis удаляет политику целиком.
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
5,966
Симпатии
5,788
Баллы
588
#6
Подсекция O4 - StartupApproved (соответствие ключей).

Ключи реестра StartupApproved появились в Windows 8 и служат для пометки отключённых записей автозагрузки реестра и папки "Автозапуск" (Startup).

Эти ключи похожи на MSConfig в Win XP, Vista, 7, но имеют очень существенное отличие:
если Вы удалите такой параметр, то тем самым активируете запись автозагрузки (или файл в папке "Автозапуск").

Чтобы корректно удалить такую отключённую запись, нужно также удалить параметр автозагрузки, который ей соответствует (или файл, в случае с папкой "Автозагрузка").

Примечание: HJT будет делать это автоматически.

Вот список соответствий записей в логах лечащих утилит и ключей автозагрузки:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run -> HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 -> HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run -> HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder -> файл в папке "Автозагрузка" всех пользователей *
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder -> файл в папке "Автозагрузка" текущего пользователя **

* Папка "Автозагрузка" всех пользователей для Windows Vista+ обычно расположена в:
%ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup
но её расположение может быть изменено с помощью параметра Common Startup в ключах:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
** Папка "Автозагрузка" текущего пользователя для Windows Vista+ обычно расположена в:
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
но её расположение может быть изменено с помощью параметра Startup в ключах:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
Примечание: в 32-битной ОС ключ StartupApproved\Run32 не используется.

Пример:
1) StartupApproved\Run (Run32):
в ключе: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run
находится бинарный параметр с именем: CCleaner
Удаляем его, а также параметр с таким же именем: CCleaner
который находится в ключе:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

2) StartupApproved\StartupFolder:
в ключе HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder
находится бинарный параметр с именем: Printer.lnk
Удаляем его, а также файл с таким же именем, расположенный в папке "Автозагрузка" всех пользователей,
для Windows Vista и выше - обычно это: %ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup\Printer.lnk
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
5,966
Симпатии
5,788
Баллы
588
#7
Подсекция O22 - Task (задачи планировщика заданий).

Планировщик заданий предназначен для запуска программ периодически по заданному времени.
Чтобы зайти в оснастку планировщика, нажмите Win + R и введите taskschd.msc

Задание планировщика состоит из:
1) настроек,
которые храняться:
  • в папке: c:\Windows\System32\Tasks\ (файлы без расширения)
  • в папке: c:\Windows\Tasks (файлы *.job)
  • в ключах реестра: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache (для ОС Vista и новее)
  • в ключах реестра: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler (XP / 2003)
2) файла, запускаемого заданием, или другого объекта ОС (для бесфайлового типа задания).

Настройки задания подстраховуют друг друга.
Так, например, удаление файла задания из папки Windows без удаления записи в реестре может не нарушить работоспособность задания, ровно как и в обратном порядке. Точное поведение зависит от версии ОС. Поэтому для успешного удаления задания следует удалять оба объекта, файл и записи реестра.

Основные настройки состоят из:
1) Пользователя, от чьего имени запускается задание.
2) Времени и периодичности запуска (триггер).
3) Пути к запускаемой программе (или иному действию, например, открытие MessageBox-окна, или отправка электронной почты)
4) Статуса задания:
Для заданий реестра / папки C:\Windows\System32\Tasks:​
(Disabled) - отключена​
Для заданий C:\Windows\Tasks (*.job-файлы):​
(Ready) - готова​
(Running) - запущена​
(Not scheduled) - не запланирована​
(Disabled) - отключена​
() - неизвестное (незадокументированное) состояние​
5) Прочих параметров, как автоматический запуск с повышенными привилегиями, скрытая задача и т.п.

Метод перечисления заданий в HJT.
Начиная с HJT v.2.7.0.20, выполняется парсинг файлов заданий и записей реестра.
В более ранних версиях, HJT использовал интерфейс системы и службу Schedule для получения списка заданий.

Фильтры и пометки:
Задания фильтруются по белому списку стандартных Microsoft, которые есть в базе HJT. Они также проходят дополнительную проверку на валидность ЭЦП.
Задания, которые находятся в папке C:\Windows\System32\Tasks\Microsoft, помечаются меткой "(Microsoft)", если ЭЦП принадлежит Майкрософт. Эта пометка не ставится в строках, где запускаемым файлом является хост-процесс, например, такой как cmd.exe, vbscript.exe, mshta.exe, schtasks.exe, svchost.exe и т.п., которые обычно запускают сторонние файлы или код.

Синтаксис лога:
O22 - Task: (состояние задания) (прочие метки) Относительный путь к файлу задачи - Путь к файлу, запускаемому заданием и аргумент (наличие запускаемого файла на диске) (пометка Microsoft)
Пример лога:
O22 - Task: (Ready) Системное обновление Браузера Яндекс.job - C:\Program Files (x86)\Yandex\YandexBrowser\17.11.0.2358\service_update.exe --run-as-launcher
O22 - Task: \MSIAfterburner - C:\Program Files (x86)\MSI Afterburner\MSIAfterburner.exe /s (file missing)
1-я строка - файл задачи находится по пути: c:\Windows\Tasks\Системное обновление Браузера Яндекс.job (это старый способ запуска, как в XP/2003)
2-я строка - здесь лидирующий слэш "\" обозначает корневую папку, обычно это: c:\Windows\System32\Tasks, а сам файл задачи: c:\Windows\System32\Tasks\MSIAfterburner
(file missing) - значит, что файл C:\Program Files (x86)\MSI Afterburner\MSIAfterburner.exe не удалось обнаружить на диске.

Прочие метки:
Начиная с HJT v.2.7.0.20:
(telemetry) - задания, связанные со сбором и отправкой статистики на сервера (телеметрия).
(activation) - задания активации системы.
(update) - задания GWX ("Get Windows 10").
(file missing) - эта пометка может означать следующее (по отношению к запускаемому заданием файлу):
1) Файл отсутствует на диске.
2) Доступ к файлу заблокирован (привилегиями NTFS, защитным ПО и пр.). Upd. В новых версиях HJT это неактуально.
3) Файл замаскирован руткитом
4) Неверно раскрыта переменная окружения пользователя*
O22 - Task: (Ready) \test - C:\Users\tfcor\FRST64.exe (file missing)
* так, если вы видите в задании, что путь к файлу проходит через папку профиля пользователя (обычно, диск:\users), то реальный путь к заданию при его создании мог выглядеть так:
%userprofile%\FRST64.exe. Следовательно, запуск HJT из-под другого пользователя выдаст неверные данные, хотя задание действительно не запустится из-под другого пользователя.

В v.2.6.1.13 HJT умел определять, что задание повреждено. Обычно это приводит к невозможности запуска задания.
Пример лога (описание ошибки может быть разное):
O22 - Task: (Ready (Unknown)) klcp_update - {root} - (Не удается найти указанный файл., idx: 6)
Обычно, это значило, что HJT с 50% вероятностью не будет в состоянии удалить повреждённые задания.
Upd.: новые версии HJT способны удалить повреждённые задания без проблем.

Действие HJT при удалении задания:
Начиная с HJT v.2.7.0.20:
Удаление файла задания и зачистка связанных с ним записей реестра.
Запускаемый заданием файл также будет удалён, если он не относится к системному.

В HJT v.2.6.1.13 - 2.7.0.19
Отключение задания, завершение процесса, запущенного заданием, удаление задания через интерфейсы системы (обычно, это записи реестра и файл задачи).
Запускаемый заданием файл удалён не будет!
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
5,966
Симпатии
5,788
Баллы
588
#8
O17 - DHCP DNS

Показывает DNS-адрес, выданный роутером по DHCP, т.е. при установленной галочке "Автоматически получать DNS-адрес" в настройках сетевого подключения.
Пример записи:
O17 - DHCP DNS - 1: 8.8.4.4
Если адрес вредоносный, пользователь должен вручную зайти в настройки роутера и изменить адрес согласно настройкам, указанным в договоре с провайдером.
Фикс этой строки в HiJackThis приводит к сбросу кэша сопоставителя DNS.

Учтите, что инструмент не всегда может определить конечный адрес, выведя в качестве адреса DNS адрес шлюза:
O17 - DHCP DNS - 1: 192.168.1.1
В таком случае, при наличии подозрений пользователь должен сам проверить адрес в настройках роутера.

O23 - Services
Как проверяются службы?


Сперва отсеиваются все службы драйверов и отключённые службы.

В HJT Fork v.2.6.1.4+
выполняется проверка на соответствие отпечатку цифровой подписи Майкрософт.
Если основной файл запускает ещё какой-то, выполняется проверка ЭЦП всей цепочки.
Если хоть одна проверка провалилась, запись считается небезопасной.

В HJT Fork v.2.6.4.15+
ЭЦП проверяется только у файлов из белого списка. Все остальные службы выводятся в лог.
В белый список не включены службы Защитника Windows. Они всегда выводятся в лог.

В HJT Fork v.2.6.4.17
ЭЦП проверяется ещё и у всех файлов, в свойствах которых указано, что авторские права принадлежат "Майкрософт".

R4 - провайдеры поиска (DefaultScope, SearchScopes)

Браузер Internet Explorer использует провайдер поиска (DefaultScope) для отображения в строке поиска
списка подсказок во время ввода в поле адреса поискового запроса.
IE позволяет изменить провайдера по-умолчанию на любой из списка (SearchScopes).

>>> Действие HiJackThis:
- ключ конкретного провайдера поиска удаляется;
- стандартное значение для DefaultScope (Microsoft Bing) и параметры провайдера восстанавливаются.
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
5,966
Симпатии
5,788
Баллы
588
#9
Краткая справка по пунктам HJT. Создана Беллекомом (переведена на русский), и дополнена мною.

Справка доступна в программе через меню Помощь => О программе => Секции, либо по кнопке "Справка" из окна сканирования.
Эта справка будет обновляться только в самой программе (не в этом посте).

Секции
---------

Воздействия подменяющих программ для удобства были разделены на группы.

R - Изменения основных настроек Internet Explorer:
R0 - изменённые значения реестра
R1 - созданные значения реестра
R2 - созданные ключи реестра
R3 - созданные дополнительные параметры реестра, когда по-умолчанию должен быть только один
R4 - провайдеры поиска (DefaultScope, SearchScopes)
F - Автозапуск программ из ini-файлов и эквивалентных мест реестра:
F0 - изменённые значения ini-файла (system.ini)
F1 - созданные параметры ini-файла (win.ini)
F2 - изменённые значения в реестре, которые переопределяют настройки ini-файла (shell, userinit)
F3 - созданные параметры в реестре, которые переопределяют настройки ini-файла (load, run)
O - Другие разделы:
O1 - изменения в файлах Hosts и hosts.ics / подмена DNSApi
O2 - плагины и расширения браузера (BHO/Browser Helper Objects)
O3 - Internet Explorer: дополнительные панели инструментов (Тoolbars)
O4 - автозапуск программ из реестра и папки 'Автозапуск' (Startup) / отключённые элементы автозагрузки
O5 - Internet Explorer: блокирование доступа к Свойствам браузера через Панель Управления
O6 - политики IE: запрет на изменение некоторых настроек в "Свойствах Браузера" Internet Explorer
O7 - политики: отключение редактора реестра (Regedit) / Настройки локальных политик безопасности (IPSec) / Решение системных проблем (TroubleShoot)
O8 - Internet Explorer: дополнительные пункты контекстного меню
O9 - Internet Explorer: дополнительные кнопки и сервисы на главной панели
O10 - нарушение доступа к Интернету из-за повреждения или заражения в Winsock LSP
O11 - Internet Explorer: новая группа настроек во вкладке "Дополнительно"
O12 - Internet Explorer: плагины для расширений файлов и MIME-типов
O13 - Internet Explorer: подмена URL префиксов
O14 - Internet Explorer: изменения в файле iereset.inf
O15 - Internet Explorer: веб-сайты и протоколы, добавленные в зону 'Надёжные сайты'
O16 - программы, загруженные с помощью ActiveX (DPF)
O17 - изменения домена или DNS сервера / DNS, выданный роутером по DHCP
O18 - изменения существующих протоколов и фильтров
O19 - подмена шаблона стиля пользователя (Style Sheet)
O20 - уведомления Winlogon (Winlogon Notify) и модули инициализации (AppInit_DLLs)
O21 - объекты отложенной загрузки оболочки (SSODL) и оверлея иконок (SIOI)
O22 - задачи Планировщика заданий Windows
O23 - службы Windows
O24 - компоненты Windows Active Desktop
O25 - постоянные потребители событий WMI
O26 - Отладчик процесса

Подробная информация о секциях:
----------------------------------------------------------------------------------------------------
R0 - изменённые значения реестра
----------------------------------------------------------------------------------------------------
Значение реестра по умолчанию, которое было изменено, в результате чего изменилась домашняя страница, страница поиска, страница в панели поиска или поисковый ассистент.

>>> Действие HiJackThis:
- значение реестра восстанавливается к предустановленному URL.

----------------------------------------------------------------------------------------------------
R1 - созданные значения реестра
----------------------------------------------------------------------------------------------------
Значение реестра, которое было создано, но при этом не требуется и не присутствует в стандартной установке Windows и вероятно, может повлиять на изменение характеристики, связанной с поиском в браузере и прочим (заголовок IE, прокси сервер, обход прокси, помощник по подключению к интернет, ShellNext и т.п.)

>>> Действие HiJackThis:
- значение реестра удаляется.

----------------------------------------------------------------------------------------------------
R2 - созданные ключи реестра
----------------------------------------------------------------------------------------------------
Ключ реестра, который был создан, но при этом не требуется и не присутствует в стандартной установке Windows. В данный момент эта секция не используется (в базе данных нет записей).

>>> Действие HiJackThis:
- ключ реестра и всё, что внутри, будет удалено.

----------------------------------------------------------------------------------------------------
R3 - созданные дополнительные параметры реестра, когда по-умолчанию должен быть только один
----------------------------------------------------------------------------------------------------
Обнаружено более одного параметра в ключе URLSearchHooks. Если вы укажите URL-адрес без префикса http://, ftp://, то браузер предпримет попытку самостоятельно определить подходящий протокол, используя список в URLSearchHooks.

>>> Действие HiJackThis:
- параметр реестра удаляется;
- стандартное значение для URLSearchHook восстанавливается.

----------------------------------------------------------------------------------------------------
R4 - провайдеры поиска (DefaultScope, SearchScopes)
----------------------------------------------------------------------------------------------------
Браузер Internet Explorer использует провайдер поиска (DefaultScope) для отображения в строке поиска списка
подсказок во время ввода в поле адреса поискового запроса. IE позволяет изменить провайдера по-умолчанию на любой из списка (SearchScopes).

>>> Действие HiJackThis:
- ключ конкретного провайдера поиска удаляется;
- стандартное значение для DefaultScope (Microsoft Bing) и параметры провайдера восстанавливаются.

----------------------------------------------------------------------------------------------------
F0 - изменённые значения ini-файла (system.ini)
----------------------------------------------------------------------------------------------------
Значение файла .ini, которое было изменено, что может привести к загрузке программ(ы) во время запуска Windows. Часто используется для автоматической загрузки программы.

Проверяемый файл: C:\Windows\system.ini

Значение по умолчанию: Shell=explorer.exe
Пример заражения: Shell=explorer.exe,openme.exe

>>> Действие HiJackThis:
- стандартное значение ini-файла восстанавливается;
- соответствующий файл НЕ удаляется.

----------------------------------------------------------------------------------------------------
F1 - созданные параметры ini-файла (win.ini)
----------------------------------------------------------------------------------------------------
Параметр файла .ini, который был создан, но при этом не требуется и не присутствует в стандартной установке Windows, что вероятно может привести к загрузке программ(ы) во время запуска Windows. Часто используется для автоматической загрузки программы.

Проверяемый файл: C:\Windows\win.ini

Значение по умолчанию: run= или load=
Пример заражения: run=dialer.exe

>>> Действие HiJackThis:
- параметр .ini файла удаляется;
- соответствующий файл НЕ удаляется.

----------------------------------------------------------------------------------------------------
F2 - изменённые значения в реестре, которые переопределяют настройки ini-файла (shell, userinit)
----------------------------------------------------------------------------------------------------
Секция F2 соответствует эквивалентным расположениям в реестре для файла system.ini (F0).

Параметр реестра, который был изменён, что может привести к загрузке программ(ы) во время запуска Windows. Часто используется для автоматической загрузки программы.

Будут проверены: \Software\Microsoft\Windows NT\CurrentVersion\WinLogon => Shell, UserInit

Значения по умолчанию:
UserInit=C:\Windows\System32\UserInit.exe,
Shell=explorer.exe
Shell=%WINDIR%\explorer.exe

Примеры заражения:
UserInit=C:\Windows\System32\UserInit.exe,C:\Windows\apppatch\capejw.exe,
Shell=explorer.exe "С:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"

>>> Действие HiJackThis:
- стандартное значение восстанавливается;
- соответствующий файл НЕ удаляется.

----------------------------------------------------------------------------------------------------
F3 - созданные параметры в реестре, которые переопределяют настройки ini-файла (load, run)
----------------------------------------------------------------------------------------------------
Секция F3 соответствует эквивалентным расположениям в реестре для файла win.ini (F1).

Параметр реестра, который был создан, но при этом не требуется и не присутствует в стандартной установке Windows, что вероятно может привести к загрузке программ(ы) во время запуска Windows. Часто используется для автоматической загрузки программы.

Будут проверены: \Software\Microsoft\Windows NT\CurrentVersion\Windows => run, load

Значения по умолчанию:
run=
load=

Пример заражения: run=С:\WINDOWS\inet20001\services.exe

>>> Действие HiJackThis:
- параметр реестра удаляется;
- соответствующий файл НЕ удаляется.

----------------------------------------------------------------------------------------------------
O1 - изменения в файлах Hosts и hosts.ics / подмена DNSApi
----------------------------------------------------------------------------------------------------
1) Windows использует записи в файле 'hosts' для того, чтобы соотнести имена доменов IP-адресам прежде, чем запрашивать эти данные у DNS сервера. Изменения в файле 'hosts' фактически заставляют Windows верить, что к примеру 'google.com' имеет другой IP, отличный от настоящего и таким образом браузер откроет неверную страницу. Он также используется для блокировки некоторых сайтов, обычно антивирусных, путём переадресации их на localhost или любой другой некорректный IP.
2) Злоумышленник может также эксплуатировать файл DNSApi.dll чтобы подменить расположение, откуда система загружает файл hosts (все версии ОС). Примеры: Hijacker.DNS.Hosts / Trojan.Win32.Patched.qw.
3) По той же причине злоумышленник может изменить параметр DatabasePath в реестре (Win XP и старее).
4) Файл Hosts.ics создаётся автоматически, как только вы включаете общий доступ к сети интернет. Он содержит список соответствия между IP и доменом домашней (локальной) сети и может быть эксплуатирован таким же образом, как и файл hosts.

Примеры заражения:
213.67.109.7 google.com
127.0.0.1 kaspersky.ru
DNSApi: File is patched - c:\Windows\system32\dnsapi.dll
Hosts file is located at: c:\windows\System32\drivers\etc\hoctc

Пример легитимной записи:
Hosts.ics: 192.168.137.1 AnakonDA.mshome.net # 2018 5 2 22 8 3 40 685

>>> Действие HiJackThis:
- для записей в hosts и hosts.ics - строка будет удалена из файла.
- для DNSApi - dll файл будет восстановлен, если это возможно, через подсистему SFC.
- в случае подмены расположения hosts - восстанавливается значение реестра по умолчанию.
- также будет сброшен кеш записей DNS.

----------------------------------------------------------------------------------------------------
O2 - плагины и расширения браузера (BHO/Browser Helper Objects)
----------------------------------------------------------------------------------------------------
BHO (Browser Helper Object) - это специально созданная программа, которая внедряется в браузер, и теоретически имеет неограниченные права в системе. Хотя BHO могут быть полезными (как Google Toolbar), рекламное ПО часто их используют для злонамеренных целей, таких как отслеживание Вашего поведения в сети, отображение всплывающей рекламы и т.п.

>>> Действие HiJackThis:
- ключ BHO, а также все связанные с ним ключи (как CLSID и спец. политики BHO IE) будут удалены из реестра;
- dll файл BHO будет удалён.

----------------------------------------------------------------------------------------------------
O3 - Internet Explorer: дополнительные панели инструментов (Тoolbars)
----------------------------------------------------------------------------------------------------
Панели инструментов IE - это часть BHO (Browser Helper Objects), подобно Google Toolbar, которые является полезными, но также могут раздражать и быть вредоносными, отслеживая ваше поведение и отображая всплывающую рекламу.

>>> Действие HiJackThis:
- параметр реестра и все связанные с ним ключи (как настройки и специальные политики BHO IE) будут удалены из реестра.

----------------------------------------------------------------------------------------------------
O4 - автозапуск программ из реестра и папки 'Автозапуск' (Startup) / отключённые элементы автозагрузки
----------------------------------------------------------------------------------------------------
Эта часть проверки выполняет поиск подозрительных записей, которые загружаются при запуске Windows. Записи автозагрузки могут привести к запуску скрипта из реестра (файла VBS, JS, HTA и т.п.). Это потенциально может стать причиной подмены стартовой страницы браузера, страницы поиска, строки поиска и поискового ассистента. Кроме того, DLL-файл может быть загружен в качестве хука в разные части вашей системы. Также, скрипт, прочая программа или бесфайловая запись в реестре (например, легитимный системный файл PowerShell.exe с аргументами) в автозагрузке может выступать в качестве дроппера, загружая из сети интернет другие вредоносные файлы, обеспечивать выживание вредоносной программы после перезагрузки ОС.
В секции O4 также перечисляются отключённые элементы автозагрузки (MSConfig / TaskMgr).

Область проверки: ключи реестра и папка "Автозагрузка".

Пример заражения: regedit c:\windows\system\sp.tmp /s

>>> Действие HiJackThis:
- для записей автозагрузки из реестра - параметр реестра будет удалён; файл НЕ удаляется.
- для папки "Автозагрузка" - запускаемый файл будет удалён.
- для отключённых элементов автозагрузки - запись в реестре будет удалена (Для Windows 8+: запускаемый файл также будет удалён. Для Windows 7 и ранее: запускаемый файл остаётся в папке C:\Windows\pss).

----------------------------------------------------------------------------------------------------
O5 - Internet Explorer: блокирование доступа к Свойствам браузера через Панель Управления
----------------------------------------------------------------------------------------------------
Изменение файла CONTROL.INI может привести к сокрытию определенных значков в Панели управления Windows. Хотя это первоначально предназначалось для ускорения загрузки Панели управления, а также наведения порядка, таким методом также пользуется рекламное ПО, чтобы заблокировать доступ к окну 'Свойства обозревателя'.

Примеры заражения:
[don't load]
inetcpl.cpl=yes
inetcpl.cpl=no

>>> Действие HiJackThis:
- строка удаляется из файла Control.ini.

----------------------------------------------------------------------------------------------------
O6 - политики IE: запрет на изменение некоторых настроек в "Свойствах Браузера" Internet Explorer
----------------------------------------------------------------------------------------------------
Элементы 'Свойства обозревателя' в меню 'Инструменты' Internet Explorer можно отключить с помощью политик Windows. Обычно так делают администраторы для ограничения прав своим пользователям, но также может быть использовано и рекламным ПО для предотвращения доступа к окну 'Свойства обозревателя'.

Программы-защитники стартовых страниц также используют политики для запрета изменения рекламным ПО домашней страницы.

>>> Действие HiJackThis:
- параметр реестра будет удалён.

----------------------------------------------------------------------------------------------------
O7 - политики: отключение редактора реестра (Regedit) / Настройки локальных политик безопасности (IPSec) / Решение системных проблем (TroubleShoot)
----------------------------------------------------------------------------------------------------

O7 - Policies
Редактор реестра можно отключить с помощью политик Windows. Обычно так делают администраторы для ограничения прав своим пользователям, но также может быть использовано и рекламным ПО для блокировки доступа к редактору реестра (regedit.exe). В результате, при попытке его запуска вы получите сообщение "Редактирование реестра запрещено администратором системы".

O7 - IPSec
Политики IP безопасности предоставляют возможность разрешить или заблокировать сетевые пакеты данных, а также тонко настроить фильтр источника и получателя пакетов, например, IP адрес (в т.ч. подсеть), тип, номер порта и другое.

O7 - TroubleShoot
Здесь отображаются неправильные настройки ОС, которые потенциально приводят к различным сбоям в работе ПО и системы в целом. Сюда относятся неверные значения переменных окружения, таких как %TEMP%, %TMP%.

>>> Действие HiJackThis:
- для O7 - Policies: параметр реестра будет удалён.
- для O7 - IPSec: удаляются все ключи реестра, связанные с отмеченной политикой, в т.ч. все фильтры, которые к ней относятся.
- для O7 - TroubleShoot: будет выполнен сброс настроек до стандартных.

----------------------------------------------------------------------------------------------------
O8 - Internet Explorer: дополнительные пункты контекстного меню
----------------------------------------------------------------------------------------------------
Дополнительные элементы в контекстном меню (по щелчку правой кнопкой мыши) могут оказаться как полезными, так и раздражающими. Некоторое рекламное ПО добавляет элементы к контекстному меню. Например, набор расширений PowerTweaks Web Accessory добавляет в Internet Explorer несколько полезных кнопок, среди которых "Text Highlighter" (Подсветка текста), "Zoom In/Zoom Out" (Увеличение/Уменьшение), "Links List" (Список ссылок), "Image List" (Список Картинок) и "Web Search" (Поиск в интернете).

>>> Действие HiJackThis:
- ключ реестра будет удалён.

----------------------------------------------------------------------------------------------------
O9 - Internet Explorer: дополнительные кнопки и сервисы на главной панели
----------------------------------------------------------------------------------------------------
Дополнительные элементы в меню 'Инструменты' Internert Explorer-а и дополнительные кнопки на панели инструментов - это кнопки, которые обычно предустанавливаются производителями (например, кнопка "Home" от Dell) или после обновления системы (кнопка "MSN Messenger") и редко - рекламным ПО. Например, набор расширений PowerTweaks Web Accessory позволяет добавить в Internet Explorer два пункта меню: "Добавить сайт в доверенную зону" и "Добавить сайт в ограниченную зону".

>>> Действие HiJackThis:
- ключ реестра будет удалён.

----------------------------------------------------------------------------------------------------
O10 - нарушение доступа к Интернету из-за повреждения или заражения в Winsock LSP
----------------------------------------------------------------------------------------------------
Технология Windows Socket (WinSock) использует список провайдеров для разрешения DNS-имен (т.е., например, находит для www.microsoft.com его IP-адрес). Layered Socket provider (LSP) - это многоуровневый поставщик услуг. Некоторые программы способны внедрить свои собственные (шпионские) провайдеры в LSP. Если файлы, на которые ссылается LSP, отсутствуют или 'цепочка' провайдеров нарушена, то ни одна из программ в вашей системе не сможет получит доступ к интернету. Удаление ссылок на отсутствующие файлы и восстановление цепочки вернёт доступ к Интернету.

Примечание: Исправление LSP - это опасная процедура. Вы можете воспользоваться программой WinSockReset от WinsockReset для восстановления Winsock.

>>> Действие HiJackThis:
- Не предусмотрено. Будет предложено перейти на сайт www.foolishit.com для скачивания программы WinSockReset.

----------------------------------------------------------------------------------------------------
O11 - Internet Explorer: новая группа настроек во вкладке "Дополнительно"
----------------------------------------------------------------------------------------------------
Параметры вкладки 'Дополнительно' Internet Explorer-а хранятся в реестре. Дополнительные опции могут быть добавлены путем создания дополнительных ключей реестра. Очень редко шпионское и подменяющее ПО добавляют свои собственные параметры, которые трудно удалить. Например, CommonName добавляет секцию 'CommonName' с несколькими опциями.

>>> Действие HiJackThis:
- Ключ реестра будет удалён.

----------------------------------------------------------------------------------------------------
O12 - Internet Explorer: плагины для расширений файлов и MIME-типов
----------------------------------------------------------------------------------------------------
Плагины обрабатывают типы файлов, которые по-умолчанию не поддерживаются в Internet Explorer. Из наиболее распространённых плагинов можно назвать Macromedia Flash, документы Acrobat PDF и форматы Windows Media. Плагины позволяют открыть такие форматы непосредственно в браузере вместо запуска для их обработки отдельной программы. Когда подменяющее или шпионское ПО добавляет плагины для обработки своих типов файлов, опасность заключается в том, что вредоносное ПО переустанавливается, как только в браузере открывается соответствующий тип файла, даже если всё остальное кроме плагинов, было удалено.

>>> Действие HiJackThis:
- Ключ реестра и файл плагина будут удалены.

----------------------------------------------------------------------------------------------------
O13 - Internet Explorer: подмена URL префиксов
----------------------------------------------------------------------------------------------------
Когда вы вводите URL-адрес в адресной строке Internet Explorer-а без префикса (http://), он автоматически добавляется при нажатии 'Enter'. Этот префикс хранится в реестре вместе с префиксами по умолчанию для FTP, Gopher и некоторых других протоколов. Когда подменяющее ПО изменяет эти префиксы на URL-адрес своего сервера, Ваш запрос всегда будет перенаправляться туда, если вы забудете ввести префикс. Вредонос 'Prolivation' использует такой вид подмены.

>>> Действие HiJackThis:
- Стандартное значение реестра будет восстановлено.

----------------------------------------------------------------------------------------------------
O14 - Internet Explorer: изменения в файле iereset.inf
----------------------------------------------------------------------------------------------------
Когда Вы нажимаете 'Сброс веб-параметров' на вкладке 'Программы' из диалогового окна 'Параметры' Internet Explorer-а, ваша домашняя страница, страница поиска и параметры некоторых других сайтов будут сброшены на значения по умолчанию. Эти значения хранятся в файле C:\Windows\Inf\Iereset.inf. Если подменяющее ПО изменит их на собственные адреса, вы получите (повторное) заражение вместо лечения при нажатии кнопки 'Сброс веб-параметров'. Вредонос 'SearchALot' использует такой вид подмены.

>>> Действие HiJackThis:
- Стандартное значение в inf-файле будет восстановлено.

----------------------------------------------------------------------------------------------------
O15 - Internet Explorer: веб-сайты и протоколы, добавленные в зону 'Надёжные сайты'
----------------------------------------------------------------------------------------------------
На веб-сайтах в Доверенной зоне (см. Сервис => Свойства браузера => Безопасность => Надёжные сайты => Сайты) разрешается использование обычно опасных скриптов и объектов ActiveX, которые на обычных сайтах использовать запрещено. Некоторые программы автоматически добавляют сайт в доверенную зону без вашего ведома. Известно очень немного легитимных программ, которые так делают. Многие подменяющие программы добавляют сайты с ActiveX.

>>> Действие HiJackThis:
- Ключ реестра будет удалён.
- Стандартные соответствия протоколов к зонам будут восстановлены.

----------------------------------------------------------------------------------------------------
O16 - программы, загруженные с помощью ActiveX (DPF)
----------------------------------------------------------------------------------------------------
Папка 'Download Program Files' (DPF) в папке Windows содержит различные типы программ, загруженные из Интернета. Эти программы загружаются, когда запущен Internet Explorer. Легальными примерами являются Java VM, Microsoft XML Parser и Google Toolbar. При удалении эти объекты скачиваются и устанавливаются снова (после запроса).
К сожалению, из-за отсутствия безопасности в IE, он позволяет вредоносным сайтам автоматически скачивать в эту папку порно дозвонщики, поддельные плагины, объекты ActiveX и прочее. Такие программы могут преследовать вас всплывающими окнами, огромными телефонными счетами, случайными ошибками, подменами в браузере и ещё много чем.

>>> Действие HiJackThis:
- регистрация DPF CLSID отменяется.
- dll файл и скачанный файл будут удалены.

----------------------------------------------------------------------------------------------------
O17 - изменения домена или DNS сервера / DNS, выданный роутером по DHCP
----------------------------------------------------------------------------------------------------
Windows использует несколько значений реестра в качестве подсказки для разрешения доменных имен в IP-адреса. Подмена этих значений может привести к тому, что все программы, использующие интернет, будут перенаправляться на другие страницы.
Вредонос 'Lop.com' использует этот метод, вместе с огромным списком странных адресов доменов.

DHCP DNS в этой секции отображает DNS-адрес, выданный роутером по DHCP, т.е. при установленной галочке "Автоматически получать DNS-адрес" в настройках сетевого подключения.

>>> Действие HiJackThis:
- Значение реестра будет удалено.
- Фикс DHCP DNS приведёт к сбросу кэша сопоставителя DNS. Пользователь должен самостоятельно настроить роутер, введя адрес, указанный в договоре с провайдером, прежде чем фиксить этот пункт в HiJackThis.

----------------------------------------------------------------------------------------------------
O18 - изменения существующих протоколов и фильтров
----------------------------------------------------------------------------------------------------
Протокол - это "язык", с помощью которого Windows "разговаривает" с программами, серверам или сама с собой. Веб-серверы используют протокол 'http:', FTP серверы - 'ftp:', а проводник Windows - 'file:'. Внося новый протокол в Windows или изменяя существующий, можно существенно повлиять на механизм обработки файлов системой.
Вредоносы 'CommonName' и 'Lop.com' регистрируют новый протокол при установке (cn: и ayb: соответственно).

Фильтры - эти типы контента, воспринимаемые в Internet Explorer (и внутри системы). Если для конкретного типа контента существует фильтр, сначала контент проходит через файл, обрабатывающий этот тип контента. Несколько вариантов троянцев 'CWS' добавляют фильтры text/html и text/plain, позволяя им перехватывать всё содержимое веб-страницы, переданное через Internet Explorer.

>>> Действие HiJackThis:
- Ключ реестра будет удалён.
- Стандартное значение CLSID для фильтра и протокола будет восстановлено.

----------------------------------------------------------------------------------------------------
O19 - подмена шаблона стиля пользователя (Style Sheet)
----------------------------------------------------------------------------------------------------
Internet Explorer может использовать пользовательские таблицы стилей на всех страницах вместо стандартной, чтобы улучшить отображение страниц для пользователей с ограниченными возможностями.
Появился особо хитрый метод подмены, выполняемый вредоносом 'Datanotary', который перезаписывает любую таблицу стилей, которую установил пользователь, и заменяет её на такую, что вызывает всплывающие окна, а также замедление системы во время набора текста или загрузки страниц с большим количеством изображений.

>>> Действие HiJackThis:
- Параметр реестра будет удалён.

----------------------------------------------------------------------------------------------------
O20 - уведомления Winlogon (Winlogon Notify) и модули инициализации (AppInit_DLLs)
----------------------------------------------------------------------------------------------------
Файлы, указанные в параметре реестра AppInit_DLLs, загружаются на начальном этапе загрузки Windows и остаются в памяти до завершения работы системы. Такой способ загрузки .dll редко кто использует, кроме троянов. Примерами легитимных записей здесь могут быть библиотеки видеодрайверов и криптографических систем.
Примерно в тоже время, система загружает в память dll файлы, указанные в подразделах WinLogon Notify, оставляя их загруженными до завершения сеанса. Отдельно от нескольких компонентов системы этот ключ использует рекламное ПО, например, такое как VX2, ABetterInternet и Look2Me.
Поскольку оба метода гарантируют, что dll файл останется загруженным в память все время, фикс не поможет, если dll файл сразу же восстанавливает параметр или ключ в реестре. В таких случаях сперва рекомендуется воспользоваться функцией 'Удалить файл при перезагрузке' или программой KillBox для удаления файла.

>>> Действие HiJackThis:
- для AppInit_DLLs: значение реестра будет очищено, но не удалено.
- для WinLogon Notify: ключ реестра будет удалён.

----------------------------------------------------------------------------------------------------
O21 - объекты отложенной загрузки оболочки (SSODL) и оверлея иконок (SIOI)
----------------------------------------------------------------------------------------------------
ShellServiceObjectDelayLoad - это недокументированный ключ реестра, который содержит список ссылок на CLSID, которые в свою очередь ссылаются на dll-файлы, что затем загружаются Explorer.exe в его адресное пространство во время запуска системы. DLL-файлы остаются в памяти до завершения процесса Explorer.exe, что достигается либо путём завершения работы системы, либо убийством процесса оболочки Windows.
ShellIconOverlayIdentifiers - работает аналогично. Этот ключ реестра содержит несколько подразделов с идентификаторами, ссылающимися на файлы, загружаемые в Explorer.exe. Обычно одна программа регистрирует сразу несколько таких обработчиков. Имя ключа часто начинается с нескольких пробелов. Эти библиотеки отвечают за выбор вида прорисовки иконки файла в проводнике Windows в зависимости от определённых условий (имени этого файла или прочих факторов). Примером легитимной программы может служить клиент для облачного хранения данных Yandex.Disk, который меняет вид иконки в зависимости от состояния синхронизации файла. Вредоносная программа, установившая обработчик, может выполнять из-под dll любой произвольных код.

>>> Действие HiJackThis:
- Значение либо ключ реестра будет удалено вместе с ключом идентификатора CLSID.
- Файл dll будет удалён.

----------------------------------------------------------------------------------------------------
O22 - задачи Планировщика заданий Windows
----------------------------------------------------------------------------------------------------
Планировщик заданий - это служба, которую можно настроить для запуска произвольного процесса в заданное время или с определённой периодичностью. Одна такая настройка называется заданием. Задание может запускаться с повышенными привилегиями без запроса UAC, быть привязанное к определённому пользователю, содержать путь к процессу, аргументы, состояние и прочее. Вредоносное ПО часто использует задания для обеспечения автозапуска и выживания после перезапуска процесса.
Заданиями можно управлять через оснастку "Планировщик заданий" (taskschd.msc).

>>> Действие HiJackThis:
- Задание отключается.
- Процесс задания завершается.
- Файл задания и все связанные с ним ключи реестра удаляются.
- Исполняемый файл задания НЕ удаляется.

----------------------------------------------------------------------------------------------------
O23 - службы Windows
----------------------------------------------------------------------------------------------------
Службы - это особый тип программ, которые важны для системы и необходимы для её правильного функционирования. Процессы служб запускаются до входа пользователя в систему и находятся под защитой Windows. Их можно только остановить, используя оснастку 'Службы' из окна 'Администрирование'.
Вредоносные программы, которые регистрируют себя как службу, впоследствии также сложнее уничтожить.
В отчёт не выводятся службы Microsoft, которые находятся в белом списке, после успешной проверки их цифровой подписи. При этом, антивирусная служба и файрвол не фильтруются.

>>> Действие HiJackThis:
- Служба будет отключена, остановлена и удалена.
- В некоторых случаях для завершения удаления будет запрошена перезагрузка системы.

----------------------------------------------------------------------------------------------------
O24 - компоненты Windows Active Desktop
----------------------------------------------------------------------------------------------------
Компоненты рабочего стола - это объекты ActiveX, которые можно сделать частью рабочего стола, если включить 'Active Desktop'. Они будут работать как (небольшой) виджет веб-сайта.
Вредоносные программы злоупотребляют этой функцией, устанавливая фон рабочего стола из локального файла HTML, получая в результате большое поддельное предупреждение.

>>> Действие HiJackThis:
- Ключ реестра и HTML-файл удаляются.
- Выполняется обновление фона рабочего стола.

----------------------------------------------------------------------------------------------------
O25 - постоянные потребители событий WMI
----------------------------------------------------------------------------------------------------
Инструментарий управления Windows - это стандартная служба Windows. Нею можно воспользоваться для создания постоянного потребителя событий, как в легитимных, так и во вредоносных целях. С помощью этих событий вредоносное ПО, наподобие шпионского, может собирать информацию об оборудовании и программном обеспечении. Также они могут создавать канал для связи между компьютерами, выполнять скрипт как из внешнего файла, так и встроенный (бесфайловый). События могут вызываться подсистемой WMI самостоятельно через определённые промежутки времени (подобно планировщику заданий) либо вручную какой-либо программой, выполняющей специальный запрос к WMI.

>>> Действие HiJackThis:
- потребитель события, фильтр, таймер и связка удаляются из базы данных WMI, как и вызываемый ними файл.

----------------------------------------------------------------------------------------------------
O26 - Отладчик процесса
----------------------------------------------------------------------------------------------------
В разделе реестра 'Image File Execution' программа может быть настроена на автоматический запуск отладчика для неё. При запуске хост-программы вместо неё запустится программа-отладчик.
Примечание: если файл отладчика удалён, но всё ещё настроен, хост-программа не сможет запустится!

>>> Действие HiJackThis:
- параметр реестра будет удалён.
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
5,966
Симпатии
5,788
Баллы
588
#10
Резервное копирование и вкладка "Backups"

Существует 2 вида резервный копий, создаваемых HJT:

1) полный бекап реестра
2) бекап отдельных элементов пофиксенных пунктов (записи реестра и файлы).

Полный бекап реестра создаётся при первом нажатии кнопки "Fix checked" в окне сканирования и не чаще 1 раза в неделю.
Он сохраняется в папку C:\Windows\ABR\<Дата>
Создаётся с помощью утилиты "Autobackup registry" (ABR) от Дмитрия Кузнецова (эти бекапы совместимы с UVs).

Для восстановления из такого бекапа есть несколько вариантов:
- через HiJackThis: Main Menu => List of Backups => выбрать пункт "<Дата>: REGISTRY BACKUP" => Restore.
- запустить файл C:\Windows\ABR\<Дата>\restore.exe
- через UVs v.4.0.8+ => Меню "Файл" => Восстановить реестр из каталога ... => выбрать нужный бекап => Восстановить.
- через Windows RE: В командной строке среды восстановления ввести <диск>:\Windows\ABR\<Дата>\restore <диск>:

Деинсталляция HJT приведёт к удалению бекапов из папки C:\Windows\ABR, если они были созданы через HJT.
Все бекапы, старше 28 дней, удаляются автоматически при создании нового бекапа.
Если на диске осталось меньше 1 ГБ свободного места, бекапы не создаются (!). А в логе сканирования вы увидите уведомление:
O7 - TroubleShoot: Free disk space on C: is too low = NNN MB.
Примечание: восстановление из полного бекапа обычно необходимо:
- если система перестала загружаться вследствие фикса HJT или работы других программ, когда ужу были безрезультатно испробованы другие способы, как "последняя удачная конфигурация" и "восстановление из системной контрольной точки".
- если не удалось восстановить отдельный пункт через вкладку "Backups"
Такое восстановление затрагивает множество компонентов системы, поэтому программы и настройки, установленные после создания бекапа, могут перестать правильно работать, и потребуется их переустановка.

Бекапы отдельных элементов
Создаются перед фиксом элементов из окна сканирования.
Сохраняются рядом с программой HiJackThis.exe в папке "Backups".

Для восстановления из такого бекапа:
1. Перейдите в главное меню кнопкой "Main menu" и нажмите "List of Backups" (или "Config" -> вкладка "Backups");
2. Выберите нужный пункт и нажмите "Restore".
Перед началом восстановления HJT сверяет контрольную сумму файла/записи реестра, сохранённой при создании бекапа.
Если восстановление прошло успешно, бекап удаляется.
Если не удалось восстановить хотя бы одну запись, связанную со строкой лога, бекап не удаляется, а HJT выдаст одну из таких ошибок:
Error! This backup is no longer exists.
Error! File to be restored is no longer exists in backup. Cannot continue repairing.
Error! File to be restored from backup is corrupted. Cannot continue repairing.
Error! Registry entry to be restored from backup is corrupted. Cannot continue repairing.
Unknown error happened during restore item: []. Item is restored partially only.
Это может произойти по многим причинам, например:
- блокировка защитным ПО во время создания или восстановления из бекапа
- противодействие вредоносным ПО
- попытка восстановления из учётной записи, у которой недостаточно полномочий
- бекапы частично удалены пользователем
- ошибка в программе.

На данный момент бекапы не поддерживаются для секций O23 - Services и O25 - WMI.

Вкладка "Backups"

Состоит из списка резервных копий.
Список разделён на 4 колонки:
№ п/п \ FixID \ Дата-Время \ Строка лога, которая была пофиксена


Примечание: FixID - обозначает номер фикса, например, всё строки, пофиксенные за один раз, получат один и тот же номер FixID.
Строки на этой вкладке размещены в обратном порядке (вверху - последняя пофиксенная строка).

Чтобы выполнить действие над строкой, её нужно отметить галочкой и нажать на одну из кнопок:
- Restore - для восстановления записей, связаных со строкой.
- Delete - для удаления бекапа.
- Delete All - для удаления всех бекапов

Также в окне есть кнопки:
- Create registry backup - для создания полного бекапа реестра с помощью ABR
- Create restore point - для создания системной контрольной точки восстановления (на данный момент не работает в Windows 10).

Список системных точек восстановления по-умолчанию не отображается в списке.
Для его активации отметьте галочку "Show system Restore Points".
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
5,966
Симпатии
5,788
Баллы
588
#11
Секция O7 - Policy: [Untrusted Certificate]

Отображает список запрещённых сертификатов цифровой подиси.
Если программа подписана одним из них, её запуск будет запрещён.

В системе могут быть как легальные отозванные сертификаты, получаемые через Windows Update, так и созданные вредоносным ПО, например, CertLock, блокирующий таким образом запуск антивирусных программ.

Синтаксис строки лога:
[O7 - Policy: [Untrusted Certificate] хеш сертификата - имя, кому выдан (спец. пометки)
Пример лога:
O7 - Policy: [Untrusted Certificate] 03D22C9C66915D58C88912B64C1F984B8344EF09 - Comodo (Well-known cert.)
Хеш сертификата, как правило, совпадает с названием ключа реестра. В примере выше это:
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\03D22C9C66915D58C88912B64C1F984B8344EF09
Имя, кому выдан - для вредоносных записей обычно будет соответствовать имени компании блокируемого защитного ПО.
Спец. пометки - бывают такие:
- (Well-known cert.) - значит, что строка проходит по базе чёрного списка сертификатов.
- (HJT: possible, safe) - значит, что HJT определил запись, как вероятно, безопасную. Если вы увидели такую запись, пожалуйста, сообщите разработчику для пополнения баз.

Анализ:
выполняется через разбор сертификата смешанно, по белым и чёрным спискам и особым критериям для новых неизвестных сертификатов.

Фикс пункта приведёт к удалению ключа реестра.

O7 - Policy: [Untrusted Certificate] Fix all items from the log
Эта запись появляется, если в логе более 10 записей с сертификатами. Обычно, для CertLock их более 40.
Вместо того, чтобы отмечать в окне сканирования все 40 пунктов, можно выбрать только один: "O7 - Policy: [Untrusted Certificate] Fix all items from the log".
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
5,966
Симпатии
5,788
Баллы
588
#12
Секция O7 - TroubleShoot

Здесь отображаются неправильные настройки ОС, которые потенциально могут приводить к различным сбоям в работе ПО и системы в целом.
Сюда относятся:

1. O7 - TroubleShoot: [EV] Неверное значение и/или тип переменной окружения, например, у %TEMP% и %TMP%.
Примеры лога:
O7 - TroubleShoot: [EV] HKCU\..\%TEMP% - (environment variable is not exist)
O7 - TroubleShoot: [EV] HKCU\..\%TEMP% - C:\WINDOWS\Temp (environment value is altered)
O7 - TroubleShoot: [EV] HKCU\..\%TEMP% - %USERPROFILE%\AppData\Local\Temp (wrong type of parameter)
O7 - TroubleShoot: [EV] HKCU\..\%TEMP% - (empty value)
Неправильная установка переменных TEMP/TMP, в том числе указывающих на папку с более высоким уровнем доступа, может приводить к различным проблемам, иногда выглядящим как вирусные или баги после некачественных Windows Update, например, "Отказ в доступе" при попытке установить некоторые программы. Пример темы.

Фикс: приведёт к восстановлению значения по-умолчанию.

2. O7 - TroubleShoot: [Disk] Нехватка свободного места на системном диске (меньше 1 ГБ.)
Пример лога:
O7 - TroubleShoot: [Disk] Free disk space on C: is too low = 556 MB.
Малое кол-во свободного места на системном диске ( < 200 MB для XP и < 1000 МБ. для Win Vista и новее) может привести к отказу загрузки системы, а также существенно замедляет скорость загрузки, особенно для не-SSD ЖД вследствие фрагментации.
Эта запись также означает, что перед началом фикса HiJackThis не будет создавать полную резервную копию реестра, пока на системном диске не освободится хотя бы 1 ГБ места.

Фикс: приведёт к запуску служебной утилиты Microsoft CleanMgr (Очистка диска), который автоматически выполнит очистку таких элементов системы:
  • Active Setup Temp Folders
  • BranchCache
  • Compress old files
  • Downloaded Program Files
  • GameUpdateFiles
  • Internet Cache Files
  • Memory Dump Files
  • Offline Pages Files
  • Old ChkDsk Files
  • Previous Installations
  • RetailDemo Offline Content
  • Service Pack Cleanup
  • Temporary Files
  • Temporary Setup Files
  • Thumbnail Cache
  • Update Cleanup
  • Windows Defender
  • User file versions
  • Upgrade Discarded Files
  • WebClient and WebPublisher Cache 'XP
  • Windows Error Reporting Archive Files
  • Windows Error Reporting Queue Files
  • Windows Error Reporting System Archive Files
  • Windows Error Reporting System Queue Files
  • Windows Error Reporting Temp Files

3. O7 - TroubleShoot: [Network] Неверные настройки сети.
Сейчас по базам проверяется только 1 пункт:

1) Пустое имя компьютера - может вызывать проблемы при подключении к сети Интернет защитного ПО.
Пример лога:
O7 - TroubleShoot: [Network] Computer name (hostname) is not set (should be: Alex-PC)
Фикс: привёдет к назначению ПК имени, указанного в NetBIOS или %USERDOMAIN%.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
5,966
Симпатии
5,788
Баллы
588
#13
Секция O26 - Отладчики процессов

В разделе реестра IFEO (Image File Execution Options) процесс может быть настроен на автоматический запуск отладчика для него. При попытке запуска исходного процесса вместо него будет запущена программа-отладчик, которая, обычно, исполняет исходный процесс в пошаговом режиме.

Примечание: если файл отладчика удалён, но всё ещё настроен в реестре, исходный процесс не сможет запустится!

Область проверки:
Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Пример лога:
O26 - IFEO: HKLM\..\iexplore.exe: [Debugger] = C:\Windows\System32\malw.exe
O26 - IFEO: HKLM\..\notepad.exe: [VerifierDlls] = C:\ProgramData\Adobe\ReaderDC.dll
Отладчик может быть настроен на глобальное внедрение dll - во все процессы, которое будет происходить даже в момент загрузки ОС. В этом случае вы увидите в логе подобное:
O26 - IFEO Global hook: [VerifierProviders] = malw.dll
Фикс:
приведёт к удалению параметра реестра.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
5,966
Симпатии
5,788
Баллы
588
#14
Дополнительные шаблоны ответов для HiJackThis.
(будет перенесено в 1-й пост)

1. Проверка ЭЦП.
Запустите HiJackThis (из папки .\AutoLogger\HiJackThis). Нажмите в меню "Tools" => "Files" => "Digital Signature Checker".
В поле вставьте строки:
Код:
файл1
файл2
Нажмите Go.
Отчёт DigiSign.csv прикрепите в архиве.

Шаблон хелпера:

Запустите [b]HiJackThis[/b] (из папки .\AutoLogger\HiJackThis). Нажмите в меню "[b]Tools[/b]" => "[b]Files[/b]" => "[b]Digital Signature Checker[/b]".
В поле вставьте строки:
[code]
файл1
файл2
[/code]
Нажмите [b]Go[/b].
Отчёт [b]DigiSign.csv[/b] прикрепите в архиве.


2. Разблокировка ключей реестра (рекурсивно)
Запустите HiJackThis (из папки .\AutoLogger\HiJackThis). Нажмите в меню "Tools" => "Registry" => "Keys Unlocker".
1. В поле вставьте строки:
Код:
ключ1
ключ2
2. Поставьте галочку "Recursively"
3. Нажмите Go.
Отчёт FixReg.log прикрепите в архиве.

Шаблон хелпера:

Запустите [b]HiJackThis[/b] (из папки .\AutoLogger\HiJackThis). Нажмите в меню "[b]Tools[/b]" => "[b]Registry[/b]" => "[b]Keys Unlocker[/b]".
1. В поле вставьте строки:
[code]
ключ1
ключ2
[/code]
2. Поставьте галочку "[b]Recursively[/b]"
3. Нажмите [b]Go[/b].
Отчёт [b]FixReg.log[/b] прикрепите в архиве.
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
5,966
Симпатии
5,788
Баллы
588
#15
Как получить обновлённый список отозванных (и доверенных) корневых сертификатов?

Запустите из-под командной строки с повышенными привилегиями две команды:
Код:
Certutil -syncWithWU c:\temp
Certutil -generateSSTFromWU c:\temp\WURoots.sst
где c:\temp - произвольный путь.

В папке появится много файлов с отдельными сертификатами и архивами. Среди них:

disallowedcert.sst - контейнер с отозванный сертификатами
WURoots.sst - контейнер с доверенными сертификатами

Запустите файл disallowedcert.sst двойным кликом. Откроется оснастка MMC. Выберите имя нужного сертификата.
Двойной клик => вкладка "Состав" => поле "Отпечаток" => здесь можно увидеть хеш, который будет соответствовать строке лога O7 в HiJackThis (это если он ещё не внесён в белый список HJT).

Детальнее: Configure Trusted Roots and Disallowed Certificates
--
P.S. Чтобы установить эти сертификаты в свою систему:

- Запускаем Win + R, certmgr.msc
- Переходим к ветке "Сертификаты, к которым нет доверия"
- Меню: Действия => Все задачи => Импорт => Внизу в фильтре выбираем *.sst и щёлкаем по файлу disallowedcert.sst
Аналогично с веткой "Доверенные корневые центры сертификации" и файлом WURoots.sst
Примечание: сертификаты будут применены только к текущему пользователю.
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
5,966
Симпатии
5,788
Баллы
588
#16
Секция O23 - Dependency
Введено в HJT v.2.8.0.39 (перенесено в "Additional scan" в v.2.8.0.42)

Зависимости (dependency) предназначены, чтобы выстраивать порядок загрузки служб между собой.
Если служба "X" зависит от службы "Y", то X будет дожидаться, пока не запустится Y. Если служба Y так и не запустится (по причине сбоя, блокировки, или её отсутствия в системе в принципе), то X не сможет запустится вообще.

Проблемы с загрузкой служб Microsoft могут привести к неполадкам в работе программ или к отказу в работе системы в целом.

Синтаксис лога:
- Microsoft Service 'X' depends on non-legit service: 'Y' - если запуск легитимной службы 'X' зависит от неизвестной службы 'Y'
- Microsoft Service 'X' depends on non-legit group: 'Y' - если запуск легитимной службы 'X' зависит от неизвестной сервисной группы 'Y'
- Microsoft Service Group 'X' contains non-legit service: 'Y' - если в состав легитимной сервисной группы 'X' входит неизвестная служба 'Y'
Примечание:
Сервисная группа - это набор из нескольких служб, объединённых одним названием.
Сервисные группы вполне легально могут содержать список сторонних служб.
HJT проверяет зависимости только у служб и драйверов Microsoft.
Если проверка "Additional scan" отключена, то по умолчанию, все драйвера принимаются как легитимные.

Действие HiJackThis: удаление зависимости у службы или сервисной группы (удаление части параметра реестра).
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
5,966
Симпатии
5,788
Баллы
588
#17
O23 - Driver

Проверка загруженных драйверов.
Отображает только драйвера сторонних производителей (если включена галочка "Hide Microsoft")

Синтаксис лога почти ничем не отчается от O23 - Service:
Код:
O23 - Driver R0: sptd - C:\Windows\System32\Drivers\sptd.sys
O23 - Driver R3: Kaspersky Lab KLKBDFLT - (klkbdflt) - C:\Windows\system32\DRIVERS\klkbdflt.sys
O23 - Driver R: VMware virtual network driver (64-bit) - C:\Windows\system32\DRIVERS\VMNET.SYS
где:
R - это состояние драйвера. В данном случае - любое, кроме "остановлен" (например, "запущен", "в процессе запуска", "в процессе остановки").
S - остановлен.

Цифра рядом - это тип запуска:
0 - загрузочный
1 - системный
2 - автоматически
3 - вручную
4 - отключён

Если рядом нет цифры, такая строка означает динамически загруженный драйвер (т.е. с помощью другого драйвера или программы, а не через базу данных реестра)

Примечание:
Подсекция доступна только в режиме "Additional scan"
Отключённые драйвера (R4, S4) отображаются только, если поставлена галочка "Ignore All Whitelists".
Полноценно работает начиная с HJT v.2.8.0.47.

Действие HiJackThis:
Удаление службы драйвера.
Для динамически загруженных драйверов - только удаление файла.
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
5,966
Симпатии
5,788
Баллы
588
#18
Расшифровка строк с привилегиями ACL формата SDDL.

SDDL - это описание дескриптора безопасности и аудита объекта,
или по-проще: формат строки, в которой зашифрованы права доступа к объекту (файлу, ключу реестра и т.п.) а также аудит (особый хук для слежения за объектом, - для нас не так важно).

Если права нарушены (установлен запрет, или убраны необходимые права доступа), система может работать нестабильно.

Действие HiJackThis:
Восстановление стандартных привилегий.

Понимание SDDL не требуется для повседневного анализа логов, но поможет при детальном рассмотрении, кому и какие конкретно права были урезаны.
Пару примеров строки в формате SDDL:

O:BAG:SYD:PAI(D;OICI;FA;;;BG)(A;OICI;FA;;;BA)(A;OICIIO;FA;;;CO)(A;OICI;FA;;;SY)(A;OICI;FA;;;BU)S:AI(AU;OICINPFA;RPDTSDWD;;;BU)(AU;OICINPSA;CCSWRPDTLOSD;;;BU)
Расшифровка первой:
Вам нужно разбить на группы:
O:BAG:SYD:AI
O:BAG:SYD:AI

И обратиться к руководству:
Security Descriptor String Format
SID Strings
ACE Strings


O:owner_sid
G:group_sid
D:dacl_flags(string_ace1)(string_ace2)... (string_acen)
S:sacl_flags(string_ace1)(string_ace2)... (string_acen)
Итак, O - это владелец объекта (владелец имеет право устанавливать любые права, но пока он этого не сделает, ему также может быть ограничен доступ). Формат - SID String.
G - группа, которой назначены права. Формат - SID String.
D - непосредственно сами права. Через двоеточие указаны флаги наследования прав, в скобках - строка с правами - в формате ACE.
S - аудит.

O:BA - владелец "Builtin Administrators"
G:SY - группа "Local System"
D:AI - права с флагом "Auto Inherited", т.е. автоматически наследуются дочерними объектами (папками, подразделами реестра и т.п.).
Скобок после D:AI нет - это значит, что список прав доступа (или запретов) напрочь отсутствует.
В данном случае означает, что права на чтение/запись объекта отсутствуют для всех.

Разберём вот эту часть второй строки:
Код:
(D;OICI;FA;;;BG)
Формат ACE. (Access Control Entries, записи контроля доступа)
D (ace_type) - запрет доступа.
OI (ace_flags) - "Object inherited" (наследуются объектами, т.е. например файлами)
CI (ace_flags) - "Container inherited" (наследуются контейнерами, т.е. например, папками).
FA (rights) - "Full access". (в данном случает значит, что запрет установлен на все виды доступа).
object_guid и inherit_object_guid не указаны (между ; пусто)
BG (account_sid либо Well-Known SID, либо User SID) - "Builtin guests" - учётная запись "Гость" - пользователь, кому заданы (ограничены) права.
 
Последнее редактирование:
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу