1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Дополнение в руководство по HiJackThis (Fork)

Тема в разделе "Подготовительное отделение", создана пользователем Dragokas, 27 мар 2015.

Статус темы:
Закрыта.
  1. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.943
    Симпатии:
    4.822
    Баллы:
    338
    Тема имеет статус черновика.

    Здесь я буду постепенно вносить информацию о различиях между официальной инструкцией к v.2.0.5 и работой форка (который используется в Автологгере) в процессе его изменения.
    А также о том, как будет работать новый функционал.
    Что-то из этого, возможно в дальнейшем будет использовано в новом руководстве.
    ___________________________
    Терминология:
    Здесь понятия "Ключ", "Ветвь" и "раздел" будут взаимозаменяемы, если относятся к реестру. Хотя я буду стараться держаться единого стандарта.
    Аналогичное касается понятий "куст", "улей", "главный раздел".
    ___________________________

    Другие темы:
    HiJackThis fork: вопросы к разработчикам
    Руководство к TrendMicro HiJackThis v.2.0.5 от regist
    Руководство (дополнение) к HiJackThis Fork (SZ team) от Dragokas

    Статус перевода HiJackThis
     
    Последнее редактирование: 16 апр 2017
  2. edde
    Оффлайн

    edde Ассоциация VN/VIP VIP

    Сообщения:
    1.828
    Симпатии:
    1.992
    Баллы:
    463
    Вопрос
    Что означают строчки (file missing) иногда присутствующие в логе HJT?
    ________________________________________
    Ответ
    Ключи, заканчивающиеся "file missing" не всегда означают что файла нет, в большинстве случаев джек не может получить доступ к файлу так как файл блокируется работающей программой или в связи с включенным защитным ПО например. А раз программа работает то логично предполагать что программа всетаки есть. Плюс к этому если программа не является зловредной, а очень даже легитимной, зачем её фиксить? Если наблюдаете у пользователя больше одного антивируса порекомендуйте ему оставить один, но фиксить файлы от легальных программ не нужно, потом могут возникнуть проблемы с их удалением обычным инсталлятором которым они и должны удаляться.

    // примечание от Dragokas: этот совет применим для любых версий HiJackThis.
     
    Последнее редактирование модератором: 16 апр 2017
  3. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.943
    Симпатии:
    4.822
    Баллы:
    338
    Префиксы лога

    Начиная с версии HJT 2.6.3.0 и выше:

    На x64-битных системах, все префиксы с допиской -32 обозначают 32-битные ключи реестра. А без дописки - 64-битные, например:
    O4 - HKLM\..\Run: - это ключ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    O4-32 - HKLM\..\Run: - это ключ HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

    В 2.6.2.0 и ниже всё иначе: префиксов -32 нет, но есть префиксы -64. Это иногда приводило к путанице.

    Для x32 битных систем таких спец. префиксов нет.

    _________________________________________________________
    Прочие незначительные отличия

    HJT Fork не проверяет наличие подключения к сети интернет, когда открывает руководство пользователя.
     
    Последнее редактирование: 16 апр 2017
  4. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.943
    Симпатии:
    4.822
    Баллы:
    338
    Сброс прав

    Сброс прав на файлы (HJT Fork ver. 2.6.1.9+)
    Задействуется в 2 случаях:
    1. Когда HJT во время фикса не может удалить файл.
    2. Когда удаление файла специально запрошено через меню "Tools -> Delete File -> Unlock & Delete File"

    Реализация:
    Используются утилиты Microsoft icacls / takeown.
    Юникодные имена файлов пока не поддерживаются. (1.10+)

    Совместимость:
    64-битные пути поддерживаются (1.10+).

    Сброс прав на папки
    (не реализовано)

    Сброс прав на разделы реестра (ver. ?)
    Планируется задействовать:
    1. Когда HJT не может удалить или внести изменения в ключ / параметр.
    2. Когда пользователь специально затребовал получение прав на ветвь реестра с помощью меню "Tools -> Registry Key Unlocker"

    Сфера применения:
    При ручном запуске может использоваться для получения доступа к разделам, защищенных правами LOCAL SYSTEM.
    Также позволяет восстановить права для разделов служб (например, при устранении последствий заражения ZeroAcess/Sirefef).

    Механизм:
    Сброс происходит рекурсивно для всех подразделов.
    Наследование прав отключается для всех веток, задействованных в фиксе. Новые дочерние подразделы наследуют права родителя как обычно.
    Набор применяемых прав зависит от версии ОС, имени улья и полному пути к разделу и в целом выглядит так:

    SID | Rights | Inheritance | OS / Path

    1. Local System:F (OI)(CI)
    2. Administrators:F (OI)(CI)
    3. Service alias :F (OI)(CI) (optional) - только для подразделов в HKLM\SYSTEM\CurrentControlSet\services\
    4. Trusted Installer:F (OI)(CI) (optional) (Vista+)
    5. AppX:R - Все пакеты приложений (OI)(CI) (optional) (Win 8.0+)

    Только для HKCU:
    6. Users:F (OI)(CI)
    7. Restricted:R (OI)(CI)

    Только для не HKCU:
    6. Creator:F (CI)
    7. Users:R (OI)(CI)
    8. PowerUsers:R (OI)(CI) (XP only)

    Описание меток:
    OI - применяется для этого раздела.
    CI - применяется для подразделов.
    F - полные права
    R - права только на чтение (запрос значения, перечисление подразделов, уведомление, чтение разрешений).

    Применение фикса не рекомендуется к очень большому количеству разделов (как например, корню (улью)). Это может существенно увеличить размер реестра и понизить производительность, т.к. отключается наследование. Для подобных операций лучше использовать другие программы, вроде SubInAcl, SetAcl, Windows Repair-all-in-one.

    Совместимость:
    64-битные ключи поддерживаются.
     
    Последнее редактирование: 23 дек 2016
  5. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.943
    Симпатии:
    4.822
    Баллы:
    338
    Описание O25 - WMI Events

    Инструментарий управления Windows - это стандартная служба Windows. Ею можно воспользоваться для создания постоянного потребителя событий как для легитимных так и вредоносных целей. С помощью этих событий вредоносное ПО, наподобие шпионского, может собирать информацию об оборудовании и программном обеспечении. Также они могут создавать канал для связи между компьютерами, выполнять скрипт как из внешнего файла, так и встроенный (бесфайловый). События могут вызываться подсистемой WMI самостоятельно через определённые промежутки времени либо вручную какой-либо программой, выполняющей специальный запрос к WMI.
    (Действие HiJackThis: потребитель события WMI, фильтр, таймер и связка удаляются, как и вызываемый ними файл, если к нему указан полный путь)

    O25 - WMI Event: Имя события - Командная строка или код.

    Имя события состоит из названия поставщика и и названия фильтра.
    Командная строка может приобретать вид:

    Это значит, что программа cscript.exe запускает файл KernCap.vbs, который находится в рабочем каталоге C:\tools\kernrate

    Код может содержать первые 300 байт скрипта, встроенного в событие.

    Пример вредоносной записи:
    Дата введения в HJT: v.2.6.1.16 (11.05.16).
     
    Последнее редактирование: 23 дек 2016
  6. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.943
    Симпатии:
    4.822
    Баллы:
    338
    Описание O7 - IP Security

    Политики IP безопасности предоставляют возможность разрешить или заблокировать сетевые пакеты данных. Позволяют тонко настроить фильтр источника и получателя пакетов, например, IP адрес (в т.ч. подсеть) тип и номер порта и другое.
    (Действие HiJackThis: удаляются все ключи реестра, связанные с отмеченной политикой, в т.ч. все фильтры, которые к ней относятся)

    Шаблон отчёта:
    O7 - IPSec: (статус) Имя политики [дата модификации] - {Идентификатор политики} - Source: описание источника - Destination: описание получателя - (mirrored) Action: действие

    Статус:
    • enabled - политика включена
    • disabled - политика отключена
    [дата модификации] в формате гггг/мм/дд - указывает, когда последний раз было изменено правило.
    {Идентификатор политики} - позволяет найти путь к политике в реестре, например HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{5d57bbac-8464-48b2-a731-9dd7e6f65c9f}
    Source: и Destination: - соответственно источник и получатель пакетов. Если указано отражение (mirrored), то правило будет также действовать и в обратном направлении - от получателя к источнику.
    Описание источника / получателя - может принимать такие значения:
    • Any IP - любой IP
    • my IP - IP текущей машины
    • DNS-servers
    • WINS-servers
    • DHCP-servers
    • Gateway - основной шлюз
    Если указан конкретный IP, рядом также может быть указан тип и номер порта.

    Action: - действие, выполняемое политикой для указанных фильтром сетевых пакетов:
    • Block - запретить
    • Allow - разрешить
    Пример отчёта:
    Примечание: в одной политике может быть настроено несколько фильтров. HiJackThis удаляет политику целиком.
     
    Последнее редактирование: 16 апр 2017
    akok и Kиpилл нравится это.
  7. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.943
    Симпатии:
    4.822
    Баллы:
    338
    Подсекция O4 - StartupApproved (соответствие ключей).

    Ключи реестра StartupApproved появились в Windows 8 и служат для пометки отключённых записей автозагрузки реестра и папки "Автозапуск" (Startup).

    Эти ключи похожи на MSConfig в Win XP, Vista, 7, но имеют очень существенное отличие:
    если Вы удалите такой параметр, то тем самым активируете запись автозагрузки (или файл в папке "Автозапуск").

    Чтобы корректно удалить такую отключённую запись, нужно также удалить параметр автозагрузки, который ей соответствует (или файл, в случае с папкой "Автозагрузка").

    Примечание: HJT будет делать это автоматически.

    Вот список соответствий записей в логах лечащих утилит и ключей автозагрузки:

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run -> HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 -> HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run -> HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder -> файл в папке "Автозагрузка" всех пользователей *
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder -> файл в папке "Автозагрузка" текущего пользователя **

    * Папка "Автозагрузка" всех пользователей для Windows Vista+ обычно расположена в:
    но её расположение может быть изменено с помощью параметра Common Startup в ключах:
    ** Папка "Автозагрузка" текущего пользователя для Windows Vista+ обычно расположена в:
    но её расположение может быть изменено с помощью параметра Startup в ключах:
    Примечание: в 32-битной ОС ключ StartupApproved\Run32 не используется.

    Пример:
    1) StartupApproved\Run (Run32):
    в ключе: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run
    находится бинарный параметр с именем: CCleaner
    Удаляем его, а также параметр с таким же именем: CCleaner
    который находится в ключе:
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    2) StartupApproved\StartupFolder:
    в ключе HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder
    находится бинарный параметр с именем: Printer.lnk
    Удаляем его, а также файл с таким же именем, расположенный в папке "Автозагрузка" всех пользователей,
    для Windows Vista и выше - обычно это: %ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup\Printer.lnk
     
    Последнее редактирование: 4 июл 2016
  8. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.943
    Симпатии:
    4.822
    Баллы:
    338
    Подсекция O22 - Task (задачи планировщика заданий).

    Планировщик заданий предназначен для запуска программ периодически по заданному времени.
    Чтобы зайти в оснастку планировщика, нажмите Win + R и введите taskschd.msc

    Описание ниже актуально только для Windows Vista и выше (разбор заданий для XP делается старым методом разбора реестра и содержит ошибки).

    Задание планировщика состоит из:
    1) настроек,
    которые храняться:
    в папке: c:\Windows\System32\Tasks\ (файлы без расширения)
    в папке: c:\Windows\Tasks (файлы *.job)
    в реестре: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache

    2) файла, запускаемого заданием, или другого объекта ОС (для бесфайлового типа задания).

    Настройки задания взаимодействуют друг с другом.
    Так, удаление файла из папки Windows без удаления записи в реестре может не нарушить работоспособность задания, ровно как и в обратном порядке. Точное поведение зависит от версии ОС.

    Основные настройки состоят из:
    1) Пользователя, от чьего имени запускается задание.
    2) Времени и периодичности запуска (триггер).
    3) Пути к запускаемой программе (или иному действию).
    4) Статусе задачи:
    5) Прочих параметрах, как автоматический запуск с повышенными привилегиями, скрытая задача и т.п.

    Перечисление заданий в HJT.
    HJT не выполняет разбор файлов и реестра. Он использует интерфейс системы для получения списка заданий.
    Задания фильтруются по белому списку стандартных Microsoft. Стандартные записи проходят дополнительную проверку на валидность ЭЦП.

    Синтаксис лога:
    Пример лога:
    Здесь лидирующий \ обозначает корневую папку, обычно это: c:\Windows\System32\Tasks, а сам файл задачи: c:\Windows\System32\Tasks\MSIAfterburner
    Соответственно вторая строка - это папка c:\Windows\System32\Tasks\Microsoft\Windows\UpdateOrchestrator с файлом Reboot.

    HJT также умеет определять, что задание повреждено. Обычно это приводит к невозможности его запуска.
    Пример лога (описание ошибки может быть разное):
    Обычно, HJT с 50% вероятностью не будет в состоянии удалить повреждённые задания. Это поведение будет улучшено в будущих версиях.
    (file missing) - эта пометка может означать следующее (по отношению к запускаемому заданием файлу):
    1) Файл отсутствует на диске.
    2) Доступ к файлу заблокирован (привилегиями NTFS, защитным ПО и пр.)
    3) Файл замаскирован руткитом
    4) Неверно раскрыта переменная окружения пользователя*
    * так, если вы видите в задании, что путь к файлу проходит через папку профиля пользователя (обычно, диск:\users), то реальный путь к заданию при его создании мог выглядеть так:
    %userprofile%\FRST64.exe. Следовательно, запуск HJT из-под другого пользователя выдаст неверные данные, хотя задание действительно не запустится из-под другого пользователя.

    Действие HJT при удалении задания:
    Отключение задания, завершение процесса, запущенного заданием, удаление задания через интерфейсы системы (обычно, это записи реестра и файл задачи).
    Запускаемый заданием файл удален не будет!
     
    Последнее редактирование: 3 апр 2017
    VexMD и shestale нравится это.
  9. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.943
    Симпатии:
    4.822
    Баллы:
    338
    O17 - DHCP DNS

    Показывает DNS-адрес, выданный роутером по DHCP, т.е. при установленной галочке "Автоматически получать DNS-адрес" в настройках сетевого подключения.
    Пример записи:
    Если адрес вредоносный, пользователь должен вручную зайти в настройки роутера и изменить адрес согласно настройкам, указанным в договоре с провайдером.
    Фикс этой строки в HiJackThis приводит к сбросу кэша сопоставителя DNS.

    Учтите, что инструмент не всегда может определить конечный адрес, выведя в качестве адреса DNS адрес шлюза:
    В таком случае, при наличии подозрений пользователь должен сам проверить адрес в настройках роутера.

    O23 - Services
    Как проверяются службы?


    Сперва отсеиваются все службы драйверов и отключённые службы.

    В HJT Fork v.2.6.1.4+
    выполняется проверка на соответствие отпечатку цифровой подписи Майкрософт.
    Если основной файл запускает ещё какой-то, выполняется проверка ЭЦП всей цепочки.
    Если хоть одна проверка провалилась, запись считается небезопасной.

    В HJT Fork v.2.6.4.15+
    ЭЦП проверяется только у файлов из белого списка. Все остальные службы выводятся в лог.
    В белый список не включены службы Защитника Windows. Они всегда выводятся в лог.

    В HJT Fork v.2.6.4.17
    ЭЦП проверяется ещё и у всех файлов, в свойствах которых указано, что авторские права принадлежат "Майкрософт".

    R4 - провайдеры поиска (DefaultScope, SearchScopes)

    Браузер Internet Explorer использует провайдер поиска (DefaultScope) для отображения в строке поиска
    списка подсказок во время ввода в поле адреса поискового запроса.
    IE позволяет изменить провайдера по-умолчанию на любой из списка (SearchScopes).

    >>> Действие HiJackThis:
    - ключ конкретного провайдера поиска удаляется;
    - стандартное значение для DefaultScope (Microsoft Bing) и параметры провайдера восстанавливаются.
     
    akok, Kиpилл и Sandor нравится это.
  10. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.943
    Симпатии:
    4.822
    Баллы:
    338
    Краткая справка по пунктам HJT. Создана Беллекомом (переведена на русский), и дополнена мною.

    Справка доступна в программе через меню Помощь => О программе => Секции, либо по кнопке "Справка" из окна сканирования.

    Секции
    ---------

    Воздействия подменяющих программ для удобства были разделены на группы.

    R - Изменения основных настроек Internet Explorer:
    R0 - изменённые значения реестра
    R1 - созданные значения реестра
    R2 - созданные ключи реестра
    R3 - созданные дополнительные параметры реестра, когда по-умолчанию должен быть только один
    R4 - провайдеры поиска (DefaultScope, SearchScopes)
    F - Автозапуск программ из ini-файлов и эквивалентных мест реестра:
    F0 - изменённые значения ini-файла (system.ini)
    F1 - созданные параметры ini-файла (win.ini)
    F2 - изменённые значения в реестре, которые переопределяют настройки ini-файла (shell, userinit)
    F3 - созданные параметры в реестре, которые переопределяют настройки ini-файла (load, run)
    O - Другие разделы:
    O1 - изменения в файлах Hosts и hosts.ics / подмена DNSApi
    O2 - плагины и расширения браузера (BHO/Browser Helper Objects)
    O3 - Internet Explorer: дополнительные панели инструментов (Тoolbars)
    O4 - автозапуск программ из реестра и папки 'Автозапуск' (Startup) / отключённые элементы автозагрузки
    O5 - Internet Explorer: блокирование доступа к Свойствам браузера через Панель Управления
    O6 - политики IE: запрет на изменение некоторых настроек в "Свойствах Браузера" Internet Explorer
    O7 - политики: отключение редактора реестра (Regedit) / Настройки локальных политик безопасности (IPSec) / Решение системных проблем (TroubleShoot)
    O8 - Internet Explorer: дополнительные пункты контекстного меню
    O9 - Internet Explorer: дополнительные кнопки и сервисы на главной панели
    O10 - нарушение доступа к Интернету из-за повреждения или заражения в Winsock LSP
    O11 - Internet Explorer: новая группа настроек во вкладке "Дополнительно"
    O12 - Internet Explorer: плагины для расширений файлов и MIME-типов
    O13 - Internet Explorer: подмена URL префиксов
    O14 - Internet Explorer: изменения в файле iereset.inf
    O15 - Internet Explorer: веб-сайты и протоколы, добавленные в зону 'Надёжные сайты'
    O16 - программы, загруженные с помощью ActiveX (DPF)
    O17 - изменения домена или DNS сервера / DNS, выданный роутером по DHCP
    O18 - изменения существующих протоколов и фильтров
    O19 - подмена шаблона стиля пользователя (Style Sheet)
    O20 - уведомления Winlogon (Winlogon Notify) и модули инициализации (AppInit_DLLs)
    O21 - объекты отложенной загрузки оболочки (SSODL) и оверлея иконок (SIOI)
    O22 - задачи Планировщика заданий Windows
    O23 - службы Windows
    O24 - компоненты Windows Active Desktop
    O25 - постоянные потребители событий WMI
    O26 - Отладчик процесса

    Подробная информация о секциях:
    ----------------------------------------------------------------------------------------------------
    R0 - изменённые значения реестра
    ----------------------------------------------------------------------------------------------------
    Значение реестра по умолчанию, которое было изменено, в результате чего изменилась домашняя страница, страница поиска, страница в панели поиска или поисковый ассистент.

    >>> Действие HiJackThis:
    - значение реестра восстанавливается к предустановленному URL.

    ----------------------------------------------------------------------------------------------------
    R1 - созданные значения реестра
    ----------------------------------------------------------------------------------------------------
    Значение реестра, которое было создано, но при этом не требуется и не присутствует в стандартной установке Windows и вероятно, может повлиять на изменение характеристики, связанной с поиском в браузере и прочим (заголовок IE, прокси сервер, обход прокси, помощник по подключению к интернет, ShellNext и т.п.)

    >>> Действие HiJackThis:
    - значение реестра удаляется.

    ----------------------------------------------------------------------------------------------------
    R2 - созданные ключи реестра
    ----------------------------------------------------------------------------------------------------
    Ключ реестра, который был создан, но при этом не требуется и не присутствует в стандартной установке Windows. В данный момент эта секция не используется (в базе данных нет записей).

    >>> Действие HiJackThis:
    - ключ реестра и всё, что внутри, будет удалено.

    ----------------------------------------------------------------------------------------------------
    R3 - созданные дополнительные параметры реестра, когда по-умолчанию должен быть только один
    ----------------------------------------------------------------------------------------------------
    Обнаружено более одного параметра в ключе URLSearchHooks. Если вы укажите URL-адрес без префикса http://, ftp://, то браузер предпримет попытку самостоятельно определить подходящий протокол, используя список в URLSearchHooks.

    >>> Действие HiJackThis:
    - параметр реестра удаляется;
    - стандартное значение для URLSearchHook восстанавливается.

    ----------------------------------------------------------------------------------------------------
    R4 - провайдеры поиска (DefaultScope, SearchScopes)
    ----------------------------------------------------------------------------------------------------
    Браузер Internet Explorer использует провайдер поиска (DefaultScope) для отображения в строке поиска списка
    подсказок во время ввода в поле адреса поискового запроса. IE позволяет изменить провайдера по-умолчанию на любой из списка (SearchScopes).

    >>> Действие HiJackThis:
    - ключ конкретного провайдера поиска удаляется;
    - стандартное значение для DefaultScope (Microsoft Bing) и параметры провайдера восстанавливаются.

    ----------------------------------------------------------------------------------------------------
    F0 - изменённые значения ini-файла (system.ini)
    ----------------------------------------------------------------------------------------------------
    Значение файла .ini, которое было изменено, что может привести к загрузке программ(ы) во время запуска Windows. Часто используется для автоматической загрузки программы.

    Проверяемый файл: C:\Windows\system.ini

    Значение по умолчанию: Shell=explorer.exe
    Пример заражения: Shell=explorer.exe,openme.exe

    >>> Действие HiJackThis:
    - стандартное значение ini-файла восстанавливается;
    - соответствующий файл НЕ удаляется.

    ----------------------------------------------------------------------------------------------------
    F1 - созданные параметры ini-файла (win.ini)
    ----------------------------------------------------------------------------------------------------
    Параметр файла .ini, который был создан, но при этом не требуется и не присутствует в стандартной установке Windows, что вероятно может привести к загрузке программ(ы) во время запуска Windows. Часто используется для автоматической загрузки программы.

    Проверяемый файл: C:\Windows\win.ini

    Значение по умолчанию: run= или load=
    Пример заражения: run=dialer.exe

    >>> Действие HiJackThis:
    - параметр .ini файла удаляется;
    - соответствующий файл НЕ удаляется.

    ----------------------------------------------------------------------------------------------------
    F2 - изменённые значения в реестре, которые переопределяют настройки ini-файла (shell, userinit)
    ----------------------------------------------------------------------------------------------------
    Секция F2 соответствует эквивалентным расположениям в реестре для файла system.ini (F0).

    Параметр реестра, который был изменён, что может привести к загрузке программ(ы) во время запуска Windows. Часто используется для автоматической загрузки программы.

    Будут проверены: \Software\Microsoft\Windows NT\CurrentVersion\WinLogon => Shell, UserInit

    Значения по умолчанию:
    UserInit=C:\Windows\System32\UserInit.exe,
    Shell=explorer.exe
    Shell=%WINDIR%\explorer.exe

    Примеры заражения:
    UserInit=C:\Windows\System32\UserInit.exe,C:\Windows\apppatch\capejw.exe,
    Shell=explorer.exe "С:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"

    >>> Действие HiJackThis:
    - стандартное значение восстанавливается;
    - соответствующий файл НЕ удаляется.

    ----------------------------------------------------------------------------------------------------
    F3 - созданные параметры в реестре, которые переопределяют настройки ini-файла (load, run)
    ----------------------------------------------------------------------------------------------------
    Секция F3 соответствует эквивалентным расположениям в реестре для файла win.ini (F1).

    Параметр реестра, который был создан, но при этом не требуется и не присутствует в стандартной установке Windows, что вероятно может привести к загрузке программ(ы) во время запуска Windows. Часто используется для автоматической загрузки программы.

    Будут проверены: \Software\Microsoft\Windows NT\CurrentVersion\Windows => run, load

    Значения по умолчанию:
    run=
    load=

    Пример заражения: run=С:\WINDOWS\inet20001\services.exe

    >>> Действие HiJackThis:
    - параметр реестра удаляется;
    - соответствующий файл НЕ удаляется.

    ----------------------------------------------------------------------------------------------------
    O1 - изменения в файлах Hosts и hosts.ics / подмена DNSApi
    ----------------------------------------------------------------------------------------------------
    1) Windows использует записи в файле 'hosts' для того, чтобы соотнести имена доменов IP-адресам прежде, чем запрашивать эти данные у DNS сервера. Изменения в файле 'hosts' фактически заставляют Windows верить, что к примеру 'google.com' имеет другой IP, отличный от настоящего и таким образом браузер откроет неверную страницу. Он также используется для блокировки некоторых сайтов, обычно антивирусных, путём переадресации их на localhost или любой другой некорректный IP.
    2) Злоумышленник может также эксплуатировать файл DNSApi.dll чтобы подменить расположение, откуда система загружает файл hosts (все версии ОС). Примеры: Hijacker.DNS.Hosts / Trojan.Win32.Patched.qw.
    3) По той же причине злоумышленник может изменить параметр DatabasePath в реестре (Win XP и старее).
    4) Файл Hosts.ics создаётся автоматически, как только вы включаете общий доступ к сети интернет. Он содержит список соответствия между IP и доменом домашней (локальной) сети и может быть эксплуатирован таким же образом, как и файл hosts.

    Примеры заражения:
    213.67.109.7 google.com
    127.0.0.1 kaspersky.ru
    DNSApi: File is patched - c:\Windows\system32\dnsapi.dll
    Hosts file is located at: c:\windows\System32\drivers\etc\hoctc

    Пример легитимной записи:
    Hosts.ics: 192.168.137.1 AnakonDA.mshome.net # 2018 5 2 22 8 3 40 685

    >>> Действие HiJackThis:
    - для записей в hosts и hosts.ics - строка будет удалена из файла.
    - для DNSApi - dll файл будет восстановлен, если это возможно, через подсистему SFC.
    - в случае подмены расположения hosts - восстанавливается значение реестра по умолчанию.
    - также будет сброшен кеш записей DNS.

    ----------------------------------------------------------------------------------------------------
    O2 - плагины и расширения браузера (BHO/Browser Helper Objects)
    ----------------------------------------------------------------------------------------------------
    BHO (Browser Helper Object) - это специально созданная программа, которая внедряется в браузер, и теоретически имеет неограниченные права в системе. Хотя BHO могут быть полезными (как Google Toolbar), рекламное ПО часто их используют для злонамеренных целей, таких как отслеживание Вашего поведения в сети, отображение всплывающей рекламы и т.п.

    >>> Действие HiJackThis:
    - ключ BHO, а также все связанные с ним ключи (как CLSID и спец. политики BHO IE) будут удалены из реестра;
    - dll файл BHO будет удалён.

    ----------------------------------------------------------------------------------------------------
    O3 - Internet Explorer: дополнительные панели инструментов (Тoolbars)
    ----------------------------------------------------------------------------------------------------
    Панели инструментов IE - это часть BHO (Browser Helper Objects), подобно Google Toolbar, которые является полезными, но также могут раздражать и быть вредоносными, отслеживая ваше поведение и отображая всплывающую рекламу.

    >>> Действие HiJackThis:
    - параметр реестра и все связанные с ним ключи (как настройки и специальные политики BHO IE) будут удалены из реестра.

    ----------------------------------------------------------------------------------------------------
    O4 - автозапуск программ из реестра и папки 'Автозапуск' (Startup) / отключённые элементы автозагрузки
    ----------------------------------------------------------------------------------------------------
    Эта часть проверки выполняет поиск подозрительных записей, которые загружаются при запуске Windows. Записи автозагрузки могут привести к запуску скрипта из реестра (файла VBS, JS, HTA и т.п.). Это потенциально может стать причиной подмены стартовой страницы браузера, страницы поиска, строки поиска и поискового ассистента. Кроме того, DLL-файл может быть загружен в качестве хука в разные части вашей системы. Также, скрипт, прочая программа или бесфайловая запись в реестре (например, легитимный системный файл PowerShell.exe с аргументами) в автозагрузке может выступать в качестве дроппера, загружая из сети интернет другие вредоносные файлы, обеспечивать выживание вредоносной программы после перезагрузки ОС.
    В секции O4 также перечисляются отключённые элементы автозагрузки (MSConfig / TaskMgr).

    Область проверки: ключи реестра и папка "Автозагрузка".

    Пример заражения: regedit c:\windows\system\sp.tmp /s

    >>> Действие HiJackThis:
    - для записей автозагрузки из реестра - параметр реестра будет удалён; файл НЕ удаляется.
    - для папки "Автозагрузка" - запускаемый файл будет удалён.
    - для отключённых элементов автозагрузки - запись в реестре будет удалена (Для Windows 8+: запускаемый файл также будет удалён. Для Windows 7 и ранее: запускаемый файл остаётся в папке C:\Windows\pss).

    ----------------------------------------------------------------------------------------------------
    O5 - Internet Explorer: блокирование доступа к Свойствам браузера через Панель Управления
    ----------------------------------------------------------------------------------------------------
    Изменение файла CONTROL.INI может привести к сокрытию определенных значков в Панели управления Windows. Хотя это первоначально предназначалось для ускорения загрузки Панели управления, а также наведения порядка, таким методом также пользуется рекламное ПО, чтобы заблокировать доступ к окну 'Свойства обозревателя'.

    Примеры заражения:
    [don't load]
    inetcpl.cpl=yes
    inetcpl.cpl=no

    >>> Действие HiJackThis:
    - строка удаляется из файла Control.ini.

    ----------------------------------------------------------------------------------------------------
    O6 - политики IE: запрет на изменение некоторых настроек в "Свойствах Браузера" Internet Explorer
    ----------------------------------------------------------------------------------------------------
    Элементы 'Свойства обозревателя' в меню 'Инструменты' Internet Explorer можно отключить с помощью политик Windows. Обычно так делают администраторы для ограничения прав своим пользователям, но также может быть использовано и рекламным ПО для предотвращения доступа к окну 'Свойства обозревателя'.

    Программы-защитники стартовых страниц также используют политики для запрета изменения рекламным ПО домашней страницы.

    >>> Действие HiJackThis:
    - параметр реестра будет удалён.

    ----------------------------------------------------------------------------------------------------
    O7 - политики: отключение редактора реестра (Regedit) / Настройки локальных политик безопасности (IPSec) / Решение системных проблем (TroubleShoot)
    ----------------------------------------------------------------------------------------------------

    O7 - Policies
    Редактор реестра можно отключить с помощью политик Windows. Обычно так делают администраторы для ограничения прав своим пользователям, но также может быть использовано и рекламным ПО для блокировки доступа к редактору реестра (regedit.exe). В результате, при попытке его запуска вы получите сообщение "Редактирование реестра запрещено администратором системы".

    O7 - IPSec
    Политики IP безопасности предоставляют возможность разрешить или заблокировать сетевые пакеты данных, а также тонко настроить фильтр источника и получателя пакетов, например, IP адрес (в т.ч. подсеть), тип, номер порта и другое.

    O7 - TroubleShoot
    Здесь отображаются неправильные настройки ОС, которые потенциально приводят к различным сбоям в работе ПО и системы в целом. Сюда относятся неверные значения переменных окружения, таких как %TEMP%, %TMP%.

    >>> Действие HiJackThis:
    - для O7 - Policies: параметр реестра будет удалён.
    - для O7 - IPSec: удаляются все ключи реестра, связанные с отмеченной политикой, в т.ч. все фильтры, которые к ней относятся.
    - для O7 - TroubleShoot: будет выполнен сброс настроек до стандартных.

    ----------------------------------------------------------------------------------------------------
    O8 - Internet Explorer: дополнительные пункты контекстного меню
    ----------------------------------------------------------------------------------------------------
    Дополнительные элементы в контекстном меню (по щелчку правой кнопкой мыши) могут оказаться как полезными, так и раздражающими. Некоторое рекламное ПО добавляет элементы к контекстному меню. Например, набор расширений PowerTweaks Web Accessory добавляет в Internet Explorer несколько полезных кнопок, среди которых "Text Highlighter" (Подсветка текста), "Zoom In/Zoom Out" (Увеличение/Уменьшение), "Links List" (Список ссылок), "Image List" (Список Картинок) и "Web Search" (Поиск в интернете).

    >>> Действие HiJackThis:
    - ключ реестра будет удалён.

    ----------------------------------------------------------------------------------------------------
    O9 - Internet Explorer: дополнительные кнопки и сервисы на главной панели
    ----------------------------------------------------------------------------------------------------
    Дополнительные элементы в меню 'Инструменты' Internert Explorer-а и дополнительные кнопки на панели инструментов - это кнопки, которые обычно предустанавливаются производителями (например, кнопка "Home" от Dell) или после обновления системы (кнопка "MSN Messenger") и редко - рекламным ПО. Например, набор расширений PowerTweaks Web Accessory позволяет добавить в Internet Explorer два пункта меню: "Добавить сайт в доверенную зону" и "Добавить сайт в ограниченную зону".

    >>> Действие HiJackThis:
    - ключ реестра будет удалён.

    ----------------------------------------------------------------------------------------------------
    O10 - нарушение доступа к Интернету из-за повреждения или заражения в Winsock LSP
    ----------------------------------------------------------------------------------------------------
    Технология Windows Socket (WinSock) использует список провайдеров для разрешения DNS-имен (т.е., например, находит для www.microsoft.com его IP-адрес). Layered Socket provider (LSP) - это многоуровневый поставщик услуг. Некоторые программы способны внедрить свои собственные (шпионские) провайдеры в LSP. Если файлы, на которые ссылается LSP, отсутствуют или 'цепочка' провайдеров нарушена, то ни одна из программ в вашей системе не сможет получит доступ к интернету. Удаление ссылок на отсутствующие файлы и восстановление цепочки вернёт доступ к Интернету.

    Примечание: Исправление LSP - это опасная процедура. Вы можете воспользоваться программой WinSockReset от WinsockReset для восстановления Winsock.

    >>> Действие HiJackThis:
    - Не предусмотрено. Будет предложено перейти на сайт www.foolishit.com для скачивания программы WinSockReset.

    ----------------------------------------------------------------------------------------------------
    O11 - Internet Explorer: новая группа настроек во вкладке "Дополнительно"
    ----------------------------------------------------------------------------------------------------
    Параметры вкладки 'Дополнительно' Internet Explorer-а хранятся в реестре. Дополнительные опции могут быть добавлены путем создания дополнительных ключей реестра. Очень редко шпионское и подменяющее ПО добавляют свои собственные параметры, которые трудно удалить. Например, CommonName добавляет секцию 'CommonName' с несколькими опциями.

    >>> Действие HiJackThis:
    - Ключ реестра будет удалён.

    ----------------------------------------------------------------------------------------------------
    O12 - Internet Explorer: плагины для расширений файлов и MIME-типов
    ----------------------------------------------------------------------------------------------------
    Плагины обрабатывают типы файлов, которые по-умолчанию не поддерживаются в Internet Explorer. Из наиболее распространённых плагинов можно назвать Macromedia Flash, документы Acrobat PDF и форматы Windows Media. Плагины позволяют открыть такие форматы непосредственно в браузере вместо запуска для их обработки отдельной программы. Когда подменяющее или шпионское ПО добавляет плагины для обработки своих типов файлов, опасность заключается в том, что вредоносное ПО переустанавливается, как только в браузере открывается соответствующий тип файла, даже если всё остальное кроме плагинов, было удалено.

    >>> Действие HiJackThis:
    - Ключ реестра и файл плагина будут удалены.

    ----------------------------------------------------------------------------------------------------
    O13 - Internet Explorer: подмена URL префиксов
    ----------------------------------------------------------------------------------------------------
    Когда вы вводите URL-адрес в адресной строке Internet Explorer-а без префикса (http://), он автоматически добавляется при нажатии 'Enter'. Этот префикс хранится в реестре вместе с префиксами по умолчанию для FTP, Gopher и некоторых других протоколов. Когда подменяющее ПО изменяет эти префиксы на URL-адрес своего сервера, Ваш запрос всегда будет перенаправляться туда, если вы забудете ввести префикс. Вредонос 'Prolivation' использует такой вид подмены.

    >>> Действие HiJackThis:
    - Стандартное значение реестра будет восстановлено.

    ----------------------------------------------------------------------------------------------------
    O14 - Internet Explorer: изменения в файле iereset.inf
    ----------------------------------------------------------------------------------------------------
    Когда Вы нажимаете 'Сброс веб-параметров' на вкладке 'Программы' из диалогового окна 'Параметры' Internet Explorer-а, ваша домашняя страница, страница поиска и параметры некоторых других сайтов будут сброшены на значения по умолчанию. Эти значения хранятся в файле C:\Windows\Inf\Iereset.inf. Если подменяющее ПО изменит их на собственные адреса, вы получите (повторное) заражение вместо лечения при нажатии кнопки 'Сброс веб-параметров'. Вредонос 'SearchALot' использует такой вид подмены.

    >>> Действие HiJackThis:
    - Стандартное значение в inf-файле будет восстановлено.

    ----------------------------------------------------------------------------------------------------
    O15 - Internet Explorer: веб-сайты и протоколы, добавленные в зону 'Надёжные сайты'
    ----------------------------------------------------------------------------------------------------
    На веб-сайтах в Доверенной зоне (см. Сервис => Свойства браузера => Безопасность => Надёжные сайты => Сайты) разрешается использование обычно опасных скриптов и объектов ActiveX, которые на обычных сайтах использовать запрещено. Некоторые программы автоматически добавляют сайт в доверенную зону без вашего ведома. Известно очень немного легитимных программ, которые так делают. Многие подменяющие программы добавляют сайты с ActiveX.

    >>> Действие HiJackThis:
    - Ключ реестра будет удалён.
    - Стандартные соответствия протоколов к зонам будут восстановлены.

    ----------------------------------------------------------------------------------------------------
    O16 - программы, загруженные с помощью ActiveX (DPF)
    ----------------------------------------------------------------------------------------------------
    Папка 'Download Program Files' (DPF) в папке Windows содержит различные типы программ, загруженные из Интернета. Эти программы загружаются, когда запущен Internet Explorer. Легальными примерами являются Java VM, Microsoft XML Parser и Google Toolbar. При удалении эти объекты скачиваются и устанавливаются снова (после запроса).
    К сожалению, из-за отсутствия безопасности в IE, он позволяет вредоносным сайтам автоматически скачивать в эту папку порно дозвонщики, поддельные плагины, объекты ActiveX и прочее. Такие программы могут преследовать вас всплывающими окнами, огромными телефонными счетами, случайными ошибками, подменами в браузере и ещё много чем.

    >>> Действие HiJackThis:
    - регистрация DPF CLSID отменяется.
    - dll файл и скачанный файл будут удалены.

    ----------------------------------------------------------------------------------------------------
    O17 - изменения домена или DNS сервера / DNS, выданный роутером по DHCP
    ----------------------------------------------------------------------------------------------------
    Windows использует несколько значений реестра в качестве подсказки для разрешения доменных имен в IP-адреса. Подмена этих значений может привести к тому, что все программы, использующие интернет, будут перенаправляться на другие страницы.
    Вредонос 'Lop.com' использует этот метод, вместе с огромным списком странных адресов доменов.

    DHCP DNS в этой секции отображает DNS-адрес, выданный роутером по DHCP, т.е. при установленной галочке "Автоматически получать DNS-адрес" в настройках сетевого подключения.

    >>> Действие HiJackThis:
    - Значение реестра будет удалено.
    - Фикс DHCP DNS приведёт к сбросу кэша сопоставителя DNS. Пользователь должен самостоятельно настроить роутер, введя адрес, указанный в договоре с провайдером, прежде чем фиксить этот пункт в HiJackThis.

    ----------------------------------------------------------------------------------------------------
    O18 - изменения существующих протоколов и фильтров
    ----------------------------------------------------------------------------------------------------
    Протокол - это "язык", с помощью которого Windows "разговаривает" с программами, серверам или сама с собой. Веб-серверы используют протокол 'http:', FTP серверы - 'ftp:', а проводник Windows - 'file:'. Внося новый протокол в Windows или изменяя существующий, можно существенно повлиять на механизм обработки файлов системой.
    Вредоносы 'CommonName' и 'Lop.com' регистрируют новый протокол при установке (cn: и ayb: соответственно).

    Фильтры - эти типы контента, воспринимаемые в Internet Explorer (и внутри системы). Если для конкретного типа контента существует фильтр, сначала контент проходит через файл, обрабатывающий этот тип контента. Несколько вариантов троянцев 'CWS' добавляют фильтры text/html и text/plain, позволяя им перехватывать всё содержимое веб-страницы, переданное через Internet Explorer.

    >>> Действие HiJackThis:
    - Ключ реестра будет удалён.
    - Стандартное значение CLSID для фильтра и протокола будет восстановлено.

    ----------------------------------------------------------------------------------------------------
    O19 - подмена шаблона стиля пользователя (Style Sheet)
    ----------------------------------------------------------------------------------------------------
    Internet Explorer может использовать пользовательские таблицы стилей на всех страницах вместо стандартной, чтобы улучшить отображение страниц для пользователей с ограниченными возможностями.
    Появился особо хитрый метод подмены, выполняемый вредоносом 'Datanotary', который перезаписывает любую таблицу стилей, которую установил пользователь, и заменяет её на такую, что вызывает всплывающие окна, а также замедление системы во время набора текста или загрузки страниц с большим количеством изображений.

    >>> Действие HiJackThis:
    - Параметр реестра будет удалён.

    ----------------------------------------------------------------------------------------------------
    O20 - уведомления Winlogon (Winlogon Notify) и модули инициализации (AppInit_DLLs)
    ----------------------------------------------------------------------------------------------------
    Файлы, указанные в параметре реестра AppInit_DLLs, загружаются на начальном этапе загрузки Windows и остаются в памяти до завершения работы системы. Такой способ загрузки .dll редко кто использует, кроме троянов. Примерами легитимных записей здесь могут быть библиотеки видеодрайверов и криптографических систем.
    Примерно в тоже время, система загружает в память dll файлы, указанные в подразделах WinLogon Notify, оставляя их загруженными до завершения сеанса. Отдельно от нескольких компонентов системы этот ключ использует рекламное ПО, например, такое как VX2, ABetterInternet и Look2Me.
    Поскольку оба метода гарантируют, что dll файл останется загруженным в память все время, фикс не поможет, если dll файл сразу же восстанавливает параметр или ключ в реестре. В таких случаях сперва рекомендуется воспользоваться функцией 'Удалить файл при перезагрузке' или программой KillBox для удаления файла.

    >>> Действие HiJackThis:
    - для AppInit_DLLs: значение реестра будет очищено, но не удалено.
    - для WinLogon Notify: ключ реестра будет удалён.

    ----------------------------------------------------------------------------------------------------
    O21 - объекты отложенной загрузки оболочки (SSODL) и оверлея иконок (SIOI)
    ----------------------------------------------------------------------------------------------------
    ShellServiceObjectDelayLoad - это недокументированный ключ реестра, который содержит список ссылок на CLSID, которые в свою очередь ссылаются на dll-файлы, что затем загружаются Explorer.exe в его адресное пространство во время запуска системы. DLL-файлы остаются в памяти до завершения процесса Explorer.exe, что достигается либо путём завершения работы системы, либо убийством процесса оболочки Windows.
    ShellIconOverlayIdentifiers - работает аналогично. Этот ключ реестра содержит несколько подразделов с идентификаторами, ссылающимися на файлы, загружаемые в Explorer.exe. Обычно одна программа регистрирует сразу несколько таких обработчиков. Имя ключа часто начинается с нескольких пробелов. Эти библиотеки отвечают за выбор вида прорисовки иконки файла в проводнике Windows в зависимости от определённых условий (имени этого файла или прочих факторов). Примером легитимной программы может служить клиент для облачного хранения данных Yandex.Disk, который меняет вид иконки в зависимости от состояния синхронизации файла. Вредоносная программа, установившая обработчик, может выполнять из-под dll любой произвольных код.

    >>> Действие HiJackThis:
    - Значение либо ключ реестра будет удалено вместе с ключом идентификатора CLSID.
    - Файл dll будет удалён.

    ----------------------------------------------------------------------------------------------------
    O22 - задачи Планировщика заданий Windows
    ----------------------------------------------------------------------------------------------------
    Планировщик заданий - это служба, которую можно настроить для запуска произвольного процесса в заданное время или с определённой периодичностью. Одна такая настройка называется заданием. Задание может запускаться с повышенными привилегиями без запроса UAC, быть привязанное к определённому пользователю, содержать путь к процессу, аргументы, состояние и прочее. Вредоносное ПО часто использует задания для обеспечения автозапуска и выживания после перезапуска процесса.
    Заданиями можно управлять через оснастку "Планировщик заданий" (taskschd.msc).

    >>> Действие HiJackThis:
    - Задание отключается.
    - Процесс задания завершается.
    - Файл задания и все связанные с ним ключи реестра удаляются.
    - Исполняемый файл задания НЕ удаляется.

    ----------------------------------------------------------------------------------------------------
    O23 - службы Windows
    ----------------------------------------------------------------------------------------------------
    Службы - это особый тип программ, которые важны для системы и необходимы для её правильного функционирования. Процессы служб запускаются до входа пользователя в систему и находятся под защитой Windows. Их можно только остановить, используя оснастку 'Службы' из окна 'Администрирование'.
    Вредоносные программы, которые регистрируют себя как службу, впоследствии также сложнее уничтожить.
    В отчёт не выводятся службы Microsoft, которые находятся в белом списке, после успешной проверки их цифровой подписи. При этом, антивирусная служба и файрвол не фильтруются.

    >>> Действие HiJackThis:
    - Служба будет отключена, остановлена и удалена.
    - В некоторых случаях для завершения удаления будет запрошена перезагрузка системы.

    ----------------------------------------------------------------------------------------------------
    O24 - компоненты Windows Active Desktop
    ----------------------------------------------------------------------------------------------------
    Компоненты рабочего стола - это объекты ActiveX, которые можно сделать частью рабочего стола, если включить 'Active Desktop'. Они будут работать как (небольшой) виджет веб-сайта.
    Вредоносные программы злоупотребляют этой функцией, устанавливая фон рабочего стола из локального файла HTML, получая в результате большое поддельное предупреждение.

    >>> Действие HiJackThis:
    - Ключ реестра и HTML-файл удаляются.
    - Выполняется обновление фона рабочего стола.

    ----------------------------------------------------------------------------------------------------
    O25 - постоянные потребители событий WMI
    ----------------------------------------------------------------------------------------------------
    Инструментарий управления Windows - это стандартная служба Windows. Нею можно воспользоваться для создания постоянного потребителя событий, как в легитимных, так и во вредоносных целях. С помощью этих событий вредоносное ПО, наподобие шпионского, может собирать информацию об оборудовании и программном обеспечении. Также они могут создавать канал для связи между компьютерами, выполнять скрипт как из внешнего файла, так и встроенный (бесфайловый). События могут вызываться подсистемой WMI самостоятельно через определённые промежутки времени (подобно планировщику заданий) либо вручную какой-либо программой, выполняющей специальный запрос к WMI.

    >>> Действие HiJackThis:
    - потребитель события, фильтр, таймер и связка удаляются из базы данных WMI, как и вызываемый ними файл.

    ----------------------------------------------------------------------------------------------------
    O26 - Отладчик процесса
    ----------------------------------------------------------------------------------------------------
    В разделе реестра 'Image File Execution' программа может быть настроена на автоматический запуск отладчика для неё. При запуске хост-программы вместо неё запустится программа-отладчик.
    Примечание: если файл отладчика удалён, но всё ещё настроен, хост-программа не сможет запустится!

    >>> Действие HiJackThis:
    - параметр реестра будет удалён.

     
    fseto нравится это.
Статус темы:
Закрыта.

Поделиться этой страницей