Секции
---------
Воздействия подменяющих программ для удобства были разделены на группы.
R - Изменения основных настроек Internet Explorer:
R0 - изменённые значения реестра
R1 - созданные значения реестра
R2 - созданные ключи реестра
R3 - созданные дополнительные параметры реестра, когда по-умолчанию должен быть только один
R4 - провайдеры поиска (DefaultScope, SearchScopes)
F - Автозапуск программ из ini-файлов и эквивалентных мест реестра:
F0 - изменённые значения ini-файла (system.ini)
F1 - созданные параметры ini-файла (win.ini)
F2 - изменённые значения в реестре, которые переопределяют настройки ini-файла (shell, userinit)
F3 - созданные параметры в реестре, которые переопределяют настройки ini-файла (load, run)
O - Другие разделы:
O1 - изменения в файлах Hosts и hosts.ics / подмена DNSApi
O2 - плагины и расширения браузера (BHO/Browser Helper Objects)
O3 - Internet Explorer: дополнительные панели инструментов (Тoolbars)
O4 - автозапуск программ из реестра и папки 'Автозапуск' (Startup) / отключённые элементы автозагрузки
O5 - Internet Explorer: блокирование доступа к Свойствам браузера через Панель Управления
O6 - политики IE: запрет на изменение некоторых настроек в "Свойствах Браузера" Internet Explorer
O7 - политики: отключение редактора реестра (Regedit) / Настройки локальных политик безопасности (IPSec) / Решение системных проблем (TroubleShoot)
O8 - Internet Explorer: дополнительные пункты контекстного меню
O9 - Internet Explorer: дополнительные кнопки и сервисы на главной панели
O10 - нарушение доступа к Интернету из-за повреждения или заражения в Winsock LSP
O11 - Internet Explorer: новая группа настроек во вкладке "Дополнительно"
O12 - Internet Explorer: плагины для расширений файлов и MIME-типов
O13 - Internet Explorer: подмена URL префиксов
O14 - Internet Explorer: изменения в файле iereset.inf
O15 - Internet Explorer: веб-сайты и протоколы, добавленные в зону 'Надёжные сайты'
O16 - программы, загруженные с помощью ActiveX (DPF)
O17 - изменения домена или DNS сервера / DNS, выданный роутером по DHCP
O18 - изменения существующих протоколов и фильтров
O19 - подмена шаблона стиля пользователя (Style Sheet)
O20 - уведомления Winlogon (Winlogon Notify) и модули инициализации (AppInit_DLLs)
O21 - объекты отложенной загрузки оболочки (SSODL) и оверлея иконок (SIOI)
O22 - задачи Планировщика заданий Windows
O23 - службы Windows
O24 - компоненты Windows Active Desktop
O25 - постоянные потребители событий WMI
O26 - Отладчик процесса
Подробная информация о секциях:
----------------------------------------------------------------------------------------------------
R0 - изменённые значения реестра
----------------------------------------------------------------------------------------------------
Значение реестра по умолчанию, которое было изменено, в результате чего изменилась домашняя страница, страница поиска, страница в панели поиска или поисковый ассистент.
- значение реестра восстанавливается к предустановленному URL.
----------------------------------------------------------------------------------------------------
R1 - созданные значения реестра
----------------------------------------------------------------------------------------------------
Значение реестра, которое было создано, но при этом не требуется и не присутствует в стандартной установке Windows и вероятно, может повлиять на изменение характеристики, связанной с поиском в браузере и прочим (заголовок IE, прокси сервер, обход прокси, помощник по подключению к интернет, ShellNext и т.п.)
- значение реестра удаляется.
----------------------------------------------------------------------------------------------------
R2 - созданные ключи реестра
----------------------------------------------------------------------------------------------------
Ключ реестра, который был создан, но при этом не требуется и не присутствует в стандартной установке Windows. В данный момент эта секция не используется (в базе данных нет записей).
- ключ реестра и всё, что внутри, будет удалено.
----------------------------------------------------------------------------------------------------
R3 - созданные дополнительные параметры реестра, когда по-умолчанию должен быть только один
----------------------------------------------------------------------------------------------------
Обнаружено более одного параметра в ключе URLSearchHooks. Если вы укажите URL-адрес без префикса http://, ftp://, то браузер предпримет попытку самостоятельно определить подходящий протокол, используя список в URLSearchHooks.
- параметр реестра удаляется;
- стандартное значение для URLSearchHook восстанавливается.
----------------------------------------------------------------------------------------------------
R4 - провайдеры поиска (DefaultScope, SearchScopes)
----------------------------------------------------------------------------------------------------
Браузер Internet Explorer использует провайдер поиска (DefaultScope) для отображения в строке поиска списка
подсказок во время ввода в поле адреса поискового запроса. IE позволяет изменить провайдера по-умолчанию на любой из списка (SearchScopes).
- ключ конкретного провайдера поиска удаляется;
- стандартное значение для DefaultScope (Microsoft Bing) и параметры провайдера восстанавливаются.
----------------------------------------------------------------------------------------------------
F0 - изменённые значения ini-файла (system.ini)
----------------------------------------------------------------------------------------------------
Значение файла .ini, которое было изменено, что может привести к загрузке программ(ы) во время запуска Windows. Часто используется для автоматической загрузки программы.
Проверяемый файл: C:\Windows\system.ini
Значение по умолчанию: Shell=explorer.exe
Пример заражения: Shell=explorer.exe,openme.exe
- стандартное значение ini-файла восстанавливается;
- соответствующий файл НЕ удаляется.
----------------------------------------------------------------------------------------------------
F1 - созданные параметры ini-файла (win.ini)
----------------------------------------------------------------------------------------------------
Параметр файла .ini, который был создан, но при этом не требуется и не присутствует в стандартной установке Windows, что вероятно может привести к загрузке программ(ы) во время запуска Windows. Часто используется для автоматической загрузки программы.
Проверяемый файл: C:\Windows\win.ini
Значение по умолчанию: run= или load=
Пример заражения: run=dialer.exe
- параметр .ini файла удаляется;
- соответствующий файл НЕ удаляется.
----------------------------------------------------------------------------------------------------
F2 - изменённые значения в реестре, которые переопределяют настройки ini-файла (shell, userinit)
----------------------------------------------------------------------------------------------------
Секция F2 соответствует эквивалентным расположениям в реестре для файла system.ini (F0).
Параметр реестра, который был изменён, что может привести к загрузке программ(ы) во время запуска Windows. Часто используется для автоматической загрузки программы.
Будут проверены: \Software\Microsoft\Windows NT\CurrentVersion\WinLogon => Shell, UserInit
Значения по умолчанию:
UserInit=C:\Windows\System32\UserInit.exe,
Shell=explorer.exe
Shell=%WINDIR%\explorer.exe
Примеры заражения:
UserInit=C:\Windows\System32\UserInit.exe,C:\Windows\apppatch\capejw.exe,
Shell=explorer.exe "С:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
- стандартное значение восстанавливается;
- соответствующий файл НЕ удаляется.
----------------------------------------------------------------------------------------------------
F3 - созданные параметры в реестре, которые переопределяют настройки ini-файла (load, run)
----------------------------------------------------------------------------------------------------
Секция F3 соответствует эквивалентным расположениям в реестре для файла win.ini (F1).
Параметр реестра, который был создан, но при этом не требуется и не присутствует в стандартной установке Windows, что вероятно может привести к загрузке программ(ы) во время запуска Windows. Часто используется для автоматической загрузки программы.
Будут проверены: \Software\Microsoft\Windows NT\CurrentVersion\Windows => run, load
Значения по умолчанию:
run=
load=
Пример заражения: run=С:\WINDOWS\inet20001\services.exe
- параметр реестра удаляется;
- соответствующий файл НЕ удаляется.
----------------------------------------------------------------------------------------------------
O1 - изменения в файлах Hosts и hosts.ics / подмена DNSApi
----------------------------------------------------------------------------------------------------
1) Windows использует записи в файле 'hosts' для того, чтобы соотнести имена доменов IP-адресам прежде, чем запрашивать эти данные у DNS сервера. Изменения в файле 'hosts' фактически заставляют Windows верить, что к примеру 'google.com' имеет другой IP, отличный от настоящего и таким образом браузер откроет неверную страницу. Он также используется для блокировки некоторых сайтов, обычно антивирусных, путём переадресации их на localhost или любой другой некорректный IP.
2) Злоумышленник может также эксплуатировать файл DNSApi.dll чтобы подменить расположение, откуда система загружает файл hosts (все версии ОС). Примеры: Hijacker.DNS.Hosts / Trojan.Win32.Patched.qw.
3) По той же причине злоумышленник может изменить параметр DatabasePath в реестре (Win XP и старее).
4) Файл Hosts.ics создаётся автоматически, как только вы включаете общий доступ к сети интернет. Он содержит список соответствия между IP и доменом домашней (локальной) сети и может быть эксплуатирован таким же образом, как и файл hosts.
Примеры заражения:
213.67.109.7 google.com
127.0.0.1 kaspersky.ru
DNSApi: File is patched - c:\Windows\system32\dnsapi.dll
Hosts file is located at: c:\windows\System32\drivers\etc\hoctc
Пример легитимной записи:
Hosts.ics: 192.168.137.1 AnakonDA.mshome.net # 2018 5 2 22 8 3 40 685
- для записей в hosts и hosts.ics - строка будет удалена из файла.
- для DNSApi - dll файл будет восстановлен, если это возможно, через подсистему SFC.
- в случае подмены расположения hosts - восстанавливается значение реестра по умолчанию.
- также будет сброшен кеш записей DNS.
----------------------------------------------------------------------------------------------------
O2 - плагины и расширения браузера (BHO/Browser Helper Objects)
----------------------------------------------------------------------------------------------------
BHO (Browser Helper Object) - это специально созданная программа, которая внедряется в браузер, и теоретически имеет неограниченные права в системе. Хотя BHO могут быть полезными (как Google Toolbar), рекламное ПО часто их используют для злонамеренных целей, таких как отслеживание Вашего поведения в сети, отображение всплывающей рекламы и т.п.
- ключ BHO, а также все связанные с ним ключи (как CLSID и спец. политики BHO IE) будут удалены из реестра;
- dll файл BHO будет удалён.
----------------------------------------------------------------------------------------------------
O3 - Internet Explorer: дополнительные панели инструментов (Тoolbars)
----------------------------------------------------------------------------------------------------
Панели инструментов IE - это часть BHO (Browser Helper Objects), подобно Google Toolbar, которые является полезными, но также могут раздражать и быть вредоносными, отслеживая ваше поведение и отображая всплывающую рекламу.
- параметр реестра и все связанные с ним ключи (как настройки и специальные политики BHO IE) будут удалены из реестра.
----------------------------------------------------------------------------------------------------
O4 - автозапуск программ из реестра и папки 'Автозапуск' (Startup) / отключённые элементы автозагрузки
----------------------------------------------------------------------------------------------------
Эта часть проверки выполняет поиск подозрительных записей, которые загружаются при запуске Windows. Записи автозагрузки могут привести к запуску скрипта из реестра (файла VBS, JS, HTA и т.п.). Это потенциально может стать причиной подмены стартовой страницы браузера, страницы поиска, строки поиска и поискового ассистента. Кроме того, DLL-файл может быть загружен в качестве хука в разные части вашей системы. Также, скрипт, прочая программа или бесфайловая запись в реестре (например, легитимный системный файл PowerShell.exe с аргументами) в автозагрузке может выступать в качестве дроппера, загружая из сети интернет другие вредоносные файлы, обеспечивать выживание вредоносной программы после перезагрузки ОС.
В секции O4 также перечисляются отключённые элементы автозагрузки (MSConfig / TaskMgr).
Область проверки: ключи реестра и папка "Автозагрузка".
Пример заражения: regedit c:\windows\system\sp.tmp /s
- для записей автозагрузки из реестра - параметр реестра будет удалён; файл НЕ удаляется.
- для папки "Автозагрузка" - запускаемый файл будет удалён.
- для отключённых элементов автозагрузки - запись в реестре будет удалена (Для Windows 8+: запускаемый файл также будет удалён. Для Windows 7 и ранее: запускаемый файл остаётся в папке C:\Windows\pss).
----------------------------------------------------------------------------------------------------
O5 - Internet Explorer: блокирование доступа к Свойствам браузера через Панель Управления
----------------------------------------------------------------------------------------------------
Изменение файла CONTROL.INI может привести к сокрытию определенных значков в Панели управления Windows. Хотя это первоначально предназначалось для ускорения загрузки Панели управления, а также наведения порядка, таким методом также пользуется рекламное ПО, чтобы заблокировать доступ к окну 'Свойства обозревателя'.
Примеры заражения:
[don't load]
inetcpl.cpl=yes
inetcpl.cpl=no
- строка удаляется из файла Control.ini.
----------------------------------------------------------------------------------------------------
O6 - политики IE: запрет на изменение некоторых настроек в "Свойствах Браузера" Internet Explorer
----------------------------------------------------------------------------------------------------
Элементы 'Свойства обозревателя' в меню 'Инструменты' Internet Explorer можно отключить с помощью политик Windows. Обычно так делают администраторы для ограничения прав своим пользователям, но также может быть использовано и рекламным ПО для предотвращения доступа к окну 'Свойства обозревателя'.
Программы-защитники стартовых страниц также используют политики для запрета изменения рекламным ПО домашней страницы.
- параметр реестра будет удалён.
----------------------------------------------------------------------------------------------------
O7 - политики: отключение редактора реестра (Regedit) / Настройки локальных политик безопасности (IPSec) / Решение системных проблем (TroubleShoot)
----------------------------------------------------------------------------------------------------
O7 - Policies
Редактор реестра можно отключить с помощью политик Windows. Обычно так делают администраторы для ограничения прав своим пользователям, но также может быть использовано и рекламным ПО для блокировки доступа к редактору реестра (regedit.exe). В результате, при попытке его запуска вы получите сообщение "Редактирование реестра запрещено администратором системы".
O7 - IPSec
Политики IP безопасности предоставляют возможность разрешить или заблокировать сетевые пакеты данных, а также тонко настроить фильтр источника и получателя пакетов, например, IP адрес (в т.ч. подсеть), тип, номер порта и другое.
O7 - TroubleShoot
Здесь отображаются неправильные настройки ОС, которые потенциально приводят к различным сбоям в работе ПО и системы в целом. Сюда относятся неверные значения переменных окружения, таких как %TEMP%, %TMP%.
- для O7 - Policies: параметр реестра будет удалён.
- для O7 - IPSec: удаляются все ключи реестра, связанные с отмеченной политикой, в т.ч. все фильтры, которые к ней относятся.
- для O7 - TroubleShoot: будет выполнен сброс настроек до стандартных.
----------------------------------------------------------------------------------------------------
O8 - Internet Explorer: дополнительные пункты контекстного меню
----------------------------------------------------------------------------------------------------
Дополнительные элементы в контекстном меню (по щелчку правой кнопкой мыши) могут оказаться как полезными, так и раздражающими. Некоторое рекламное ПО добавляет элементы к контекстному меню. Например, набор расширений PowerTweaks Web Accessory добавляет в Internet Explorer несколько полезных кнопок, среди которых "Text Highlighter" (Подсветка текста), "Zoom In/Zoom Out" (Увеличение/Уменьшение), "Links List" (Список ссылок), "Image List" (Список Картинок) и "Web Search" (Поиск в интернете).
- ключ реестра будет удалён.
----------------------------------------------------------------------------------------------------
O9 - Internet Explorer: дополнительные кнопки и сервисы на главной панели
----------------------------------------------------------------------------------------------------
Дополнительные элементы в меню 'Инструменты' Internert Explorer-а и дополнительные кнопки на панели инструментов - это кнопки, которые обычно предустанавливаются производителями (например, кнопка "Home" от Dell) или после обновления системы (кнопка "MSN Messenger") и редко - рекламным ПО. Например, набор расширений PowerTweaks Web Accessory позволяет добавить в Internet Explorer два пункта меню: "Добавить сайт в доверенную зону" и "Добавить сайт в ограниченную зону".
- ключ реестра будет удалён.
----------------------------------------------------------------------------------------------------
O10 - нарушение доступа к Интернету из-за повреждения или заражения в Winsock LSP
----------------------------------------------------------------------------------------------------
Технология Windows Socket (WinSock) использует список провайдеров для разрешения DNS-имен (т.е., например, находит для
www.microsoft.com его IP-адрес). Layered Socket provider (LSP) - это многоуровневый поставщик услуг. Некоторые программы способны внедрить свои собственные (шпионские) провайдеры в LSP. Если файлы, на которые ссылается LSP, отсутствуют или 'цепочка' провайдеров нарушена, то ни одна из программ в вашей системе не сможет получит доступ к интернету. Удаление ссылок на отсутствующие файлы и восстановление цепочки вернёт доступ к Интернету.
Примечание: Исправление LSP - это опасная процедура. Вы можете воспользоваться программой WinSockReset от
WinsockReset для восстановления Winsock.
- Не предусмотрено. Будет предложено перейти на сайт
www.foolishit.com для скачивания программы WinSockReset.
----------------------------------------------------------------------------------------------------
O11 - Internet Explorer: новая группа настроек во вкладке "Дополнительно"
----------------------------------------------------------------------------------------------------
Параметры вкладки 'Дополнительно' Internet Explorer-а хранятся в реестре. Дополнительные опции могут быть добавлены путем создания дополнительных ключей реестра. Очень редко шпионское и подменяющее ПО добавляют свои собственные параметры, которые трудно удалить. Например, CommonName добавляет секцию 'CommonName' с несколькими опциями.
- Ключ реестра будет удалён.
----------------------------------------------------------------------------------------------------
O12 - Internet Explorer: плагины для расширений файлов и MIME-типов
----------------------------------------------------------------------------------------------------
Плагины обрабатывают типы файлов, которые по-умолчанию не поддерживаются в Internet Explorer. Из наиболее распространённых плагинов можно назвать Macromedia Flash, документы Acrobat PDF и форматы Windows Media. Плагины позволяют открыть такие форматы непосредственно в браузере вместо запуска для их обработки отдельной программы. Когда подменяющее или шпионское ПО добавляет плагины для обработки своих типов файлов, опасность заключается в том, что вредоносное ПО переустанавливается, как только в браузере открывается соответствующий тип файла, даже если всё остальное кроме плагинов, было удалено.
- Ключ реестра и файл плагина будут удалены.
----------------------------------------------------------------------------------------------------
O13 - Internet Explorer: подмена URL префиксов
----------------------------------------------------------------------------------------------------
Когда вы вводите URL-адрес в адресной строке Internet Explorer-а без префикса (http://), он автоматически добавляется при нажатии 'Enter'. Этот префикс хранится в реестре вместе с префиксами по умолчанию для FTP, Gopher и некоторых других протоколов. Когда подменяющее ПО изменяет эти префиксы на URL-адрес своего сервера, Ваш запрос всегда будет перенаправляться туда, если вы забудете ввести префикс. Вредонос 'Prolivation' использует такой вид подмены.
- Стандартное значение реестра будет восстановлено.
----------------------------------------------------------------------------------------------------
O14 - Internet Explorer: изменения в файле iereset.inf
----------------------------------------------------------------------------------------------------
Когда Вы нажимаете 'Сброс веб-параметров' на вкладке 'Программы' из диалогового окна 'Параметры' Internet Explorer-а, ваша домашняя страница, страница поиска и параметры некоторых других сайтов будут сброшены на значения по умолчанию. Эти значения хранятся в файле C:\Windows\Inf\Iereset.inf. Если подменяющее ПО изменит их на собственные адреса, вы получите (повторное) заражение вместо лечения при нажатии кнопки 'Сброс веб-параметров'. Вредонос 'SearchALot' использует такой вид подмены.
- Стандартное значение в inf-файле будет восстановлено.
----------------------------------------------------------------------------------------------------
O15 - Internet Explorer: веб-сайты и протоколы, добавленные в зону 'Надёжные сайты'
----------------------------------------------------------------------------------------------------
На веб-сайтах в Доверенной зоне (см. Сервис => Свойства браузера => Безопасность => Надёжные сайты => Сайты) разрешается использование обычно опасных скриптов и объектов ActiveX, которые на обычных сайтах использовать запрещено. Некоторые программы автоматически добавляют сайт в доверенную зону без вашего ведома. Известно очень немного легитимных программ, которые так делают. Многие подменяющие программы добавляют сайты с ActiveX.
- Ключ реестра будет удалён.
- Стандартные соответствия протоколов к зонам будут восстановлены.
----------------------------------------------------------------------------------------------------
O16 - программы, загруженные с помощью ActiveX (DPF)
----------------------------------------------------------------------------------------------------
Папка 'Download Program Files' (DPF) в папке Windows содержит различные типы программ, загруженные из Интернета. Эти программы загружаются, когда запущен Internet Explorer. Легальными примерами являются Java VM, Microsoft XML Parser и Google Toolbar. При удалении эти объекты скачиваются и устанавливаются снова (после запроса).
К сожалению, из-за отсутствия безопасности в IE, он позволяет вредоносным сайтам автоматически скачивать в эту папку порно дозвонщики, поддельные плагины, объекты ActiveX и прочее. Такие программы могут преследовать вас всплывающими окнами, огромными телефонными счетами, случайными ошибками, подменами в браузере и ещё много чем.
- регистрация DPF CLSID отменяется.
- dll файл и скачанный файл будут удалены.
----------------------------------------------------------------------------------------------------
O17 - изменения домена или DNS сервера / DNS, выданный роутером по DHCP
----------------------------------------------------------------------------------------------------
Windows использует несколько значений реестра в качестве подсказки для разрешения доменных имен в IP-адреса. Подмена этих значений может привести к тому, что все программы, использующие интернет, будут перенаправляться на другие страницы.
Вредонос 'Lop.com' использует этот метод, вместе с огромным списком странных адресов доменов.
DHCP DNS в этой секции отображает DNS-адрес, выданный роутером по DHCP, т.е. при установленной галочке "Автоматически получать DNS-адрес" в настройках сетевого подключения.
- Значение реестра будет удалено.
- Фикс DHCP DNS приведёт к сбросу кэша сопоставителя DNS. Пользователь должен самостоятельно настроить роутер, введя адрес, указанный в договоре с провайдером, прежде чем фиксить этот пункт в HiJackThis.
----------------------------------------------------------------------------------------------------
O18 - изменения существующих протоколов и фильтров
----------------------------------------------------------------------------------------------------
Протокол - это "язык", с помощью которого Windows "разговаривает" с программами, серверам или сама с собой. Веб-серверы используют протокол 'http:', FTP серверы - 'ftp:', а проводник Windows - 'file:'. Внося новый протокол в Windows или изменяя существующий, можно существенно повлиять на механизм обработки файлов системой.
Вредоносы 'CommonName' и 'Lop.com' регистрируют новый протокол при установке (cn: и ayb: соответственно).
Фильтры - эти типы контента, воспринимаемые в Internet Explorer (и внутри системы). Если для конкретного типа контента существует фильтр, сначала контент проходит через файл, обрабатывающий этот тип контента. Несколько вариантов троянцев 'CWS' добавляют фильтры text/html и text/plain, позволяя им перехватывать всё содержимое веб-страницы, переданное через Internet Explorer.
- Ключ реестра будет удалён.
- Стандартное значение CLSID для фильтра и протокола будет восстановлено.
----------------------------------------------------------------------------------------------------
O19 - подмена шаблона стиля пользователя (Style Sheet)
----------------------------------------------------------------------------------------------------
Internet Explorer может использовать пользовательские таблицы стилей на всех страницах вместо стандартной, чтобы улучшить отображение страниц для пользователей с ограниченными возможностями.
Появился особо хитрый метод подмены, выполняемый вредоносом 'Datanotary', который перезаписывает любую таблицу стилей, которую установил пользователь, и заменяет её на такую, что вызывает всплывающие окна, а также замедление системы во время набора текста или загрузки страниц с большим количеством изображений.
- Параметр реестра будет удалён.
----------------------------------------------------------------------------------------------------
O20 - уведомления Winlogon (Winlogon Notify) и модули инициализации (AppInit_DLLs)
----------------------------------------------------------------------------------------------------
Файлы, указанные в параметре реестра AppInit_DLLs, загружаются на начальном этапе загрузки Windows и остаются в памяти до завершения работы системы. Такой способ загрузки .dll редко кто использует, кроме троянов. Примерами легитимных записей здесь могут быть библиотеки видеодрайверов и криптографических систем.
Примерно в тоже время, система загружает в память dll файлы, указанные в подразделах WinLogon Notify, оставляя их загруженными до завершения сеанса. Отдельно от нескольких компонентов системы этот ключ использует рекламное ПО, например, такое как VX2, ABetterInternet и Look2Me.
Поскольку оба метода гарантируют, что dll файл останется загруженным в память все время, фикс не поможет, если dll файл сразу же восстанавливает параметр или ключ в реестре. В таких случаях сперва рекомендуется воспользоваться функцией 'Удалить файл при перезагрузке' или программой KillBox для удаления файла.
- для AppInit_DLLs: значение реестра будет очищено, но не удалено.
- для WinLogon Notify: ключ реестра будет удалён.
----------------------------------------------------------------------------------------------------
O21 - объекты отложенной загрузки оболочки (SSODL) и оверлея иконок (SIOI)
----------------------------------------------------------------------------------------------------
ShellServiceObjectDelayLoad - это недокументированный ключ реестра, который содержит список ссылок на CLSID, которые в свою очередь ссылаются на dll-файлы, что затем загружаются Explorer.exe в его адресное пространство во время запуска системы. DLL-файлы остаются в памяти до завершения процесса Explorer.exe, что достигается либо путём завершения работы системы, либо убийством процесса оболочки Windows.
ShellIconOverlayIdentifiers - работает аналогично. Этот ключ реестра содержит несколько подразделов с идентификаторами, ссылающимися на файлы, загружаемые в Explorer.exe. Обычно одна программа регистрирует сразу несколько таких обработчиков. Имя ключа часто начинается с нескольких пробелов. Эти библиотеки отвечают за выбор вида прорисовки иконки файла в проводнике Windows в зависимости от определённых условий (имени этого файла или прочих факторов). Примером легитимной программы может служить клиент для облачного хранения данных Yandex.Disk, который меняет вид иконки в зависимости от состояния синхронизации файла. Вредоносная программа, установившая обработчик, может выполнять из-под dll любой произвольных код.
- Значение либо ключ реестра будет удалено вместе с ключом идентификатора CLSID.
- Файл dll будет удалён.
----------------------------------------------------------------------------------------------------
O22 - задачи Планировщика заданий Windows
----------------------------------------------------------------------------------------------------
Планировщик заданий - это служба, которую можно настроить для запуска произвольного процесса в заданное время или с определённой периодичностью. Одна такая настройка называется заданием. Задание может запускаться с повышенными привилегиями без запроса UAC, быть привязанное к определённому пользователю, содержать путь к процессу, аргументы, состояние и прочее. Вредоносное ПО часто использует задания для обеспечения автозапуска и выживания после перезапуска процесса.
Заданиями можно управлять через оснастку "Планировщик заданий" (taskschd.msc).
- Задание отключается.
- Процесс задания завершается.
- Файл задания и все связанные с ним ключи реестра удаляются.
- Исполняемый файл задания НЕ удаляется.
----------------------------------------------------------------------------------------------------
O23 - службы Windows
----------------------------------------------------------------------------------------------------
Службы - это особый тип программ, которые важны для системы и необходимы для её правильного функционирования. Процессы служб запускаются до входа пользователя в систему и находятся под защитой Windows. Их можно только остановить, используя оснастку 'Службы' из окна 'Администрирование'.
Вредоносные программы, которые регистрируют себя как службу, впоследствии также сложнее уничтожить.
В отчёт не выводятся службы Microsoft, которые находятся в белом списке, после успешной проверки их цифровой подписи. При этом, антивирусная служба и файрвол не фильтруются.
- Служба будет отключена, остановлена и удалена.
- В некоторых случаях для завершения удаления будет запрошена перезагрузка системы.
----------------------------------------------------------------------------------------------------
O24 - компоненты Windows Active Desktop
----------------------------------------------------------------------------------------------------
Компоненты рабочего стола - это объекты ActiveX, которые можно сделать частью рабочего стола, если включить 'Active Desktop'. Они будут работать как (небольшой) виджет веб-сайта.
Вредоносные программы злоупотребляют этой функцией, устанавливая фон рабочего стола из локального файла HTML, получая в результате большое поддельное предупреждение.
- Ключ реестра и HTML-файл удаляются.
- Выполняется обновление фона рабочего стола.
----------------------------------------------------------------------------------------------------
O25 - постоянные потребители событий WMI
----------------------------------------------------------------------------------------------------
Инструментарий управления Windows - это стандартная служба Windows. Нею можно воспользоваться для создания постоянного потребителя событий, как в легитимных, так и во вредоносных целях. С помощью этих событий вредоносное ПО, наподобие шпионского, может собирать информацию об оборудовании и программном обеспечении. Также они могут создавать канал для связи между компьютерами, выполнять скрипт как из внешнего файла, так и встроенный (бесфайловый). События могут вызываться подсистемой WMI самостоятельно через определённые промежутки времени (подобно планировщику заданий) либо вручную какой-либо программой, выполняющей специальный запрос к WMI.
- потребитель события, фильтр, таймер и связка удаляются из базы данных WMI, как и вызываемый ними файл.
----------------------------------------------------------------------------------------------------
O26 - Отладчик процесса
----------------------------------------------------------------------------------------------------
В разделе реестра 'Image File Execution' программа может быть настроена на автоматический запуск отладчика для неё. При запуске хост-программы вместо неё запустится программа-отладчик.
Примечание: если файл отладчика удалён, но всё ещё настроен, хост-программа не сможет запустится!
- параметр реестра будет удалён.
