HiJackThis Fork

HiJackThis Fork и вопросы к разработчикам 2.9.0.18

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,130
Реакции
5,903
Баллы
648
2.6.4.14
O2 - не работала проверка х32-битных ключей.
O3 - не работала проверка х32-битных ключей.
O2, O3 - улучшена зачистка.
O23 - FindOnPath
R0 - UnQuote
R1 - proxy, добавлена HKU\.DEFAULT

2.6.4.13
Усилен вывод отладочной информации.

2.6.4.12
Добавлено раскрытие переменных окружения для всех секций.
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,130
Реакции
5,903
Баллы
648
2.6.4.15
O22, O23 - Уменьшено число проверок ЭЦП до минимума, проверка выпоняется только для файлов, имеющихся в базе. Служба Windows Defender в лог выводится БУДЕТ.
O22 - добавлен вывод пути к файлу для заданий типа ComHandler.
O8 - исправлено "file missing" для записей с префиксом file://
Добавлена базовая совместимость с Windows 2000.
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,130
Реакции
5,903
Баллы
648
2.6.4.16
Исправлены случаи, когда не удалялись файлы во время фиксов.
O22 - Task: Backup временно отключён.
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,130
Реакции
5,903
Баллы
648
2.6.4.17
Добавлена подсекция R4 - провайдеры поиска (DefaultScope, SearchScopes).
Добавлена пометка (lnk is corrupted) для повреждённых ярлыков.
Исправлен баг с символом NUL в списке процессов.
Проверка ЭЦП дополнена файлами, в описании которых указано, что они принадлежат Microsoft.
Bug fix: O22 (file missing), когда запускается через рабочий каталог, или неполный путь в CLSID.
Пополнены белые списки O22, O23.
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,130
Реакции
5,903
Баллы
648
Пользователь Dragokas разместил новый ресурс:

HiJackThis Fork - Спец. инструмент для борьбы с вредоносными и другими нежелательными программами

HiJackThis Fork - это инструмент, который способен обнаружить и исправить изменения в наиболее уязвимых местах операционной системы, сделанные рекламными, шпионскими, вредоносными и другими нежелательными программами.

Проверка через HiJackThis основана не на чёрных списках, конкретных программах или URL-адресах, а только на методах, используемых рекламным ПО ("угонщиками браузеров"), для перенаправления вас на свои сайты. Поэтому программа не требует постоянных обновлений.

Как минус, в ее...
Узнать больше об этом ресурсе...
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,130
Реакции
5,903
Баллы
648
В FAQ добавлен батник для упрощения ручного способа сбора дампов при падении программы, на случай если метод, используемый в Автологгере не сработал (или ОС - XP).
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,130
Реакции
5,903
Баллы
648
Пользователь Dragokas обновил ресурс HiJackThis Fork новой записью:

Обновления

2.6.4.21
R4 - новый механизм проверки по белому списку Bing.
R4 - улучшен fix.
O4 - Startup other users: ранее всегда отображалось одинаковое имя папки пользователя.
O21 - добавлена проверка ShellIconOverlayIdentifiers.
O21 - добавлена проверка ЭЦП для предустановленных dll Microsoft.
O7 - TroubleShoot: Новая группа. Выводит повреждённые настройки системы, которые могут приводить к нарушению функционирования ОС.
O7 - TroubleShoot: внесена проверка переменных окружения %TEMP%, %TMP%....
Узнать больше об этом обновлении...
 

NickM

Активный пользователь
Сообщения
96
Реакции
57
Баллы
58
На защищенном носителе вот такое окошко изредка да напрягает, возможно ли от него избавиться?

 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,324
Реакции
5,944
Баллы
998
На защищенном носителе
в смысле на него нельзя записывать? Если да, то ошибка нормально. Читайте справку по программе. Программа должна суметь записать туда логи и бэкапы в случае фикса.
А текст об ошибке наверно всё-таки стоит поправить.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,130
Реакции
5,903
Баллы
648
NickM, я подумаю, как упростить установку на защищённые съемные носители.
 

NickM

Активный пользователь
Сообщения
96
Реакции
57
Баллы
58
Если да, то ошибка нормально. Читайте справку по программе.
Вопрос скорее в том, что это и не ошибка вобщем - закрытый на запись носитель. HiJack сам об это уведомляет, но не в "таком тоне".
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,130
Реакции
5,903
Баллы
648
Итак, нужна помощь специалистов, чтобы подобрать актуальные (современные) названия вирусни для справки, вместо внесённых туда Беллекомом ещё 10 лет назад.

Выкладываю переработанную мною внутреннюю справку HJT. Отдельно выделены названия детектов
(часть новых уже добавлена, например, см. O1.).
(из старых - см. O11, O13, O17, O18, O19, O20)

Возможно, по ходу будут и другие замечания / предложения. Милости прошу.

Секции
---------

Воздействия подменяющих программ для удобства были разделены на группы.

R - Изменения основных настроек Internet Explorer:
R0 - изменённые значения реестра
R1 - созданные значения реестра
R2 - созданные ключи реестра
R3 - созданные дополнительные параметры реестра, когда по-умолчанию должен быть только один
R4 - провайдеры поиска (DefaultScope, SearchScopes)
F - Автозапуск программ из ini-файлов и эквивалентных мест реестра:
F0 - изменённые значения ini-файла (system.ini)
F1 - созданные параметры ini-файла (win.ini)
F2 - изменённые значения в реестре, которые переопределяют настройки ini-файла (shell, userinit)
F3 - созданные параметры в реестре, которые переопределяют настройки ini-файла (load, run)
O - Другие разделы:
O1 - изменения в файлах Hosts и hosts.ics / подмена DNSApi
O2 - плагины и расширения браузера (BHO/Browser Helper Objects)
O3 - Internet Explorer: дополнительные панели инструментов (Тoolbars)
O4 - автозапуск программ из реестра и папки 'Автозапуск' (Startup) / отключённые элементы автозагрузки
O5 - Internet Explorer: блокирование доступа к Свойствам браузера через Панель Управления
O6 - политики IE: запрет на изменение некоторых настроек в "Свойствах Браузера" Internet Explorer
O7 - политики: отключение редактора реестра (Regedit) / Настройки локальных политик безопасности (IPSec) / Решение системных проблем (TroubleShoot)
O8 - Internet Explorer: дополнительные пункты контекстного меню
O9 - Internet Explorer: дополнительные кнопки и сервисы на главной панели
O10 - нарушение доступа к Интернету из-за повреждения или заражения в Winsock LSP
O11 - Internet Explorer: новая группа настроек во вкладке "Дополнительно"
O12 - Internet Explorer: плагины для расширений файлов и MIME-типов
O13 - Internet Explorer: подмена URL префиксов
O14 - Internet Explorer: изменения в файле iereset.inf
O15 - Internet Explorer: веб-сайты и протоколы, добавленные в зону 'Надёжные сайты'
O16 - программы, загруженные с помощью ActiveX (DPF)
O17 - изменения домена или DNS сервера / DNS, выданный роутером по DHCP
O18 - изменения существующих протоколов и фильтров
O19 - подмена шаблона стиля пользователя (Style Sheet)
O20 - уведомления Winlogon (Winlogon Notify) и модули инициализации (AppInit_DLLs)
O21 - объекты отложенной загрузки оболочки (SSODL) и оверлея иконок (SIOI)
O22 - задачи Планировщика заданий Windows
O23 - службы Windows
O24 - компоненты Windows Active Desktop
O25 - постоянные потребители событий WMI

Подробная информация о секциях:
----------------------------------------------------------------------------------------------------
R0 - изменённые значения реестра
----------------------------------------------------------------------------------------------------
Значение реестра по умолчанию, которое было изменено, в результате чего изменилась домашняя страница, страница поиска, страница в панели поиска или поисковый ассистент.

>>> Действие HiJackThis:
- значение реестра восстанавливается к предустановленному URL.

----------------------------------------------------------------------------------------------------
R1 - созданные значения реестра
----------------------------------------------------------------------------------------------------
Значение реестра, которое было создано, но при этом не требуется и не присутствует в стандартной установке Windows и вероятно, может повлиять на изменение характеристики, связанной с поиском в браузере и прочим (заголовок IE, прокси сервер, обход прокси, помощник по подключению к интернет, ShellNext и т.п.)

>>> Действие HiJackThis:
- значение реестра удаляется.

----------------------------------------------------------------------------------------------------
R2 - созданные ключи реестра
----------------------------------------------------------------------------------------------------
Ключ реестра, который был создан, но при этом не требуется и не присутствует в стандартной установке Windows. В данный момент эта секция не используется (в базе данных нет записей).

>>> Действие HiJackThis:
- ключ реестра и всё, что внутри, будет удалено.

----------------------------------------------------------------------------------------------------
R3 - созданные дополнительные параметры реестра, когда по-умолчанию должен быть только один
----------------------------------------------------------------------------------------------------
Обнаружено более одного параметра в ключе URLSearchHooks. Если вы укажите URL-адрес без префикса http://, ftp://, то браузер предпримет попытку самостоятельно определить подходящий протокол, используя список в URLSearchHooks.

>>> Действие HiJackThis:
- параметр реестра удаляется;
- стандартное значение для URLSearchHook восстанавливается.

----------------------------------------------------------------------------------------------------
R4 - провайдеры поиска (DefaultScope, SearchScopes)
----------------------------------------------------------------------------------------------------
Браузер Internet Explorer использует провайдер поиска (DefaultScope) для отображения в строке поиска списка
подсказок во время ввода в поле адреса поискового запроса. IE позволяет изменить провайдера по-умолчанию на любой из списка (SearchScopes).

>>> Действие HiJackThis:
- ключ конкретного провайдера поиска удаляется;
- стандартное значение для DefaultScope (Microsoft Bing) и параметры провайдера восстанавливаются.


----------------------------------------------------------------------------------------------------
F0 - изменённые значения ini-файла (system.ini)
----------------------------------------------------------------------------------------------------
Значение файла .ini, которое было изменено, что может привести к загрузке программ(ы) во время запуска Windows. Часто используется для автоматической загрузки программы.

Проверяемый файл: C:\Windows\system.ini

Значение по умолчанию: Shell=explorer.exe
Пример заражения: Shell=explorer.exe,openme.exe

>>> Действие HiJackThis:
- стандартное значение ini-файла восстанавливается;
- соответствующий файл НЕ удаляется.

----------------------------------------------------------------------------------------------------
F1 - созданные параметры ini-файла (win.ini)
----------------------------------------------------------------------------------------------------
Параметр файла .ini, который был создан, но при этом не требуется и не присутствует в стандартной установке Windows, что вероятно может привести к загрузке программ(ы) во время запуска Windows. Часто используется для автоматической загрузки программы.

Проверяемый файл: C:\Windows\win.ini

Значение по умолчанию: run= или load=
Пример заражения: run=dialer.exe

>>> Действие HiJackThis:
- параметр .ini файла удаляется;
- соответствующий файл НЕ удаляется.

----------------------------------------------------------------------------------------------------
F2 - изменённые значения в реестре, которые переопределяют настройки ini-файла (shell, userinit)
----------------------------------------------------------------------------------------------------
Секция F2 соответствует эквивалентным расположениям в реестре для файла system.ini (F0).

Параметр реестра, который был изменён, что может привести к загрузке программ(ы) во время запуска Windows. Часто используется для автоматической загрузки программы.

Будут проверены: \Software\Microsoft\Windows NT\CurrentVersion\WinLogon => Shell, UserInit

Значения по умолчанию:
UserInit=C:\Windows\System32\UserInit.exe,
Shell=explorer.exe
Shell=%WINDIR%\explorer.exe

Примеры заражения:
UserInit=C:\Windows\System32\UserInit.exe,C:\Windows\apppatch\capejw.exe,
Shell=explorer.exe "С:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"

>>> Действие HiJackThis:
- стандартное значение восстанавливается;
- соответствующий файл НЕ удаляется.

----------------------------------------------------------------------------------------------------
F3 - созданные параметры в реестре, которые переопределяют настройки ini-файла (load, run)
----------------------------------------------------------------------------------------------------
Секция F3 соответствует эквивалентным расположениям в реестре для файла win.ini (F1).

Параметр реестра, который был создан, но при этом не требуется и не присутствует в стандартной установке Windows, что вероятно может привести к загрузке программ(ы) во время запуска Windows. Часто используется для автоматической загрузки программы.

Будут проверены: \Software\Microsoft\Windows NT\CurrentVersion\Windows => run, load

Значения по умолчанию:
run=
load=

Пример заражения: run=С:\WINDOWS\inet20001\services.exe

>>> Действие HiJackThis:
- параметр реестра удаляется;
- соответствующий файл НЕ удаляется.

----------------------------------------------------------------------------------------------------
O1 - изменения в файлах Hosts и hosts.ics / подмена DNSApi
----------------------------------------------------------------------------------------------------
1) Windows использует записи в файле 'hosts' для того, чтобы соотнести имена доменов IP-адресам прежде, чем запрашивать эти данные у DNS сервера. Изменения в файле 'hosts' фактически заставляют Windows верить, что к примеру 'google.com' имеет другой IP, отличный от настоящего и таким образом браузер откроет неверную страницу. Он также используется для блокировки некоторых сайтов, обычно антивирусных, путём переадресации их на localhost или любой другой некорректный IP.
2) Злоумышленник может также эксплуатировать файл DNSApi.dll чтобы подменить расположение, откуда система загружает файл hosts (все версии ОС). Примеры: Hijacker.DNS.Hosts / Trojan.Win32.Patched.qw.
3) По той же причине злоумышленник может изменить параметр DatabasePath в реестре (Win XP и старее).
4) Файл Hosts.ics создаётся автоматически, как только вы включаете общий доступ к сети интернет. Он содержит список соответствия между IP и доменом домашней (локальной) сети и может быть эксплуатирован таким же образом, как и файл hosts.

Примеры заражения:
213.67.109.7 google.com
127.0.0.1 kaspersky.ru
DNSApi: File is patched - c:\Windows\system32\dnsapi.dll
Hosts file is located at: c:\windows\System32\drivers\etc\hoctc

Пример легитимной записи:
Hosts.ics: 192.168.137.1 AnakonDA.mshome.net # 2018 5 2 22 8 3 40 685

>>> Действие HiJackThis:
- для записей в hosts и hosts.ics - строка будет удалена из файла.
- для DNSApi - dll файл будет восстановлен, если это возможно, через подсистему SFC.
- в случае подмены расположения hosts - восстанавливается значение реестра по умолчанию.
- также будет сброшен кеш записей DNS.

----------------------------------------------------------------------------------------------------
O2 - плагины и расширения браузера (BHO/Browser Helper Objects)
----------------------------------------------------------------------------------------------------
BHO (Browser Helper Object) - это специально созданная программа, которая внедряется в браузер, и теоретически имеет неограниченные права в системе. Хотя BHO могут быть полезными (как Google Toolbar), рекламное ПО часто их используют для злонамеренных целей, таких как отслеживание Вашего поведения в сети, отображение всплывающей рекламы и т.п.

>>> Действие HiJackThis:
- ключ BHO, а также все связанные с ним ключи (как CLSID и спец. политики BHO IE) будут удалены из реестра;
- dll файл BHO будет удалён.

----------------------------------------------------------------------------------------------------
O3 - Internet Explorer: дополнительные панели инструментов (Тoolbars)
----------------------------------------------------------------------------------------------------
Панели инструментов IE - это часть BHO (Browser Helper Objects), подобно Google Toolbar, которые является полезными, но также могут раздражать и быть вредоносными, отслеживая ваше поведение и отображая всплывающую рекламу.

>>> Действие HiJackThis:
- параметр реестра и все связанные с ним ключи (как настройки и специальные политики BHO IE) будут удалены из реестра.

----------------------------------------------------------------------------------------------------
O4 - автозапуск программ из реестра и папки 'Автозапуск' (Startup) / отключённые элементы автозагрузки
----------------------------------------------------------------------------------------------------
Эта часть проверки выполняет поиск подозрительных записей, которые загружаются при запуске Windows. Записи автозагрузки могут привести к запуску скрипта из реестра (файла VBS, JS, HTA и т.п.). Это потенциально может стать причиной подмены стартовой страницы браузера, страницы поиска, строки поиска и поискового ассистента. Кроме того, DLL-файл может быть загружен в качестве хука в разные части вашей системы. Также, скрипт, прочая программа или бесфайловая запись в реестре (например, легитимный системный файл PowerShell.exe с аргументами) в автозагрузке может выступать в качестве дроппера, загружая из сети интернет другие вредоносные файлы, обеспечивать выживание вредоносной программы после перезагрузки ОС.
В секции O4 также перечисляются отключённые элементы автозагрузки (MSConfig / TaskMgr).

Область проверки: ключи реестра и папка "Автозагрузка".

Пример заражения: regedit c:\windows\system\sp.tmp /s

>>> Действие HiJackThis:
- для записей автозагрузки из реестра - параметр реестра будет удалён; файл НЕ удаляется.
- для папки "Автозагрузка" - запускаемый файл будет удалён.
- для отключённых элементов автозагрузки - запись в реестре будет удалена (Для Windows 8+: запускаемый файл также будет удалён. Для Windows 7 и ранее: запускаемый файл остаётся в папке C:\Windows\pss).

----------------------------------------------------------------------------------------------------
O5 - Internet Explorer: блокирование доступа к Свойствам браузера через Панель Управления
----------------------------------------------------------------------------------------------------
Изменение файла CONTROL.INI может привести к сокрытию определенных значков в Панели управления Windows. Хотя это первоначально предназначалось для ускорения загрузки Панели управления, а также наведения порядка, таким методом также пользуется рекламное ПО, чтобы заблокировать доступ к окну 'Свойства обозревателя'.

Примеры заражения:
[don't load]
inetcpl.cpl=yes
inetcpl.cpl=no

>>> Действие HiJackThis:
- строка удаляется из файла Control.ini.

----------------------------------------------------------------------------------------------------
O6 - политики IE: запрет на изменение некоторых настроек в "Свойствах Браузера" Internet Explorer
----------------------------------------------------------------------------------------------------
Элементы 'Свойства обозревателя' в меню 'Инструменты' Internet Explorer можно отключить с помощью политик Windows. Обычно так делают администраторы для ограничения прав своим пользователям, но также может быть использовано и рекламным ПО для предотвращения доступа к окну 'Свойства обозревателя'.

Программы-защитники стартовых страниц также используют политики для запрета изменения рекламным ПО домашней страницы.

>>> Действие HiJackThis:
- параметр реестра будет удалён.

----------------------------------------------------------------------------------------------------
O7 - политики: отключение редактора реестра (Regedit) / Настройки локальных политик безопасности (IPSec) / Решение системных проблем (TroubleShoot)
----------------------------------------------------------------------------------------------------

O7 - Policies
Редактор реестра можно отключить с помощью политик Windows. Обычно так делают администраторы для ограничения прав своим пользователям, но также может быть использовано и рекламным ПО для блокировки доступа к редактору реестра (regedit.exe). В результате, при попытке его запуска вы получите сообщение "Редактирование реестра запрещено администратором системы".

O7 - IPSec
Политики IP безопасности предоставляют возможность разрешить или заблокировать сетевые пакеты данных, а также тонко настроить фильтр источника и получателя пакетов, например, IP адрес (в т.ч. подсеть), тип, номер порта и другое.

O7 - TroubleShoot
Здесь отображаются неправильные настройки ОС, которые потенциально приводят к различным сбоям в работе ПО и системы в целом. Сюда относятся неверные значения переменных окружения, таких как %TEMP%, %TMP%.

>>> Действие HiJackThis:
- для O7 - Policies: параметр реестра будет удалён.
- для O7 - IPSec: удаляются все ключи реестра, связанные с отмеченной политикой, в т.ч. все фильтры, которые к ней относятся.
- для O7 - TroubleShoot: будет выполнен сброс настроек до стандартных.

----------------------------------------------------------------------------------------------------
O8 - Internet Explorer: дополнительные пункты контекстного меню
----------------------------------------------------------------------------------------------------
Дополнительные элементы в контекстном меню (по щелчку правой кнопкой мыши) могут оказаться как полезными, так и раздражающими. Некоторое рекламное ПО добавляет элементы к контекстному меню. Например, набор расширений PowerTweaks Web Accessory добавляет в Internet Explorer несколько полезных кнопок, среди которых "Text Highlighter" (Подсветка текста), "Zoom In/Zoom Out" (Увеличение/Уменьшение), "Links List" (Список ссылок), "Image List" (Список Картинок) и "Web Search" (Поиск в интернете).

>>> Действие HiJackThis:
- ключ реестра будет удалён.

----------------------------------------------------------------------------------------------------
O9 - Internet Explorer: дополнительные кнопки и сервисы на главной панели
----------------------------------------------------------------------------------------------------
Дополнительные элементы в меню 'Инструменты' Internert Explorer-а и дополнительные кнопки на панели инструментов - это кнопки, которые обычно предустанавливаются производителями (например, кнопка "Home" от Dell) или после обновления системы (кнопка "MSN Messenger") и редко - рекламным ПО. Например, набор расширений PowerTweaks Web Accessory позволяет добавить в Internet Explorer два пункта меню: "Добавить сайт в доверенную зону" и "Добавить сайт в ограниченную зону".

>>> Действие HiJackThis:
- ключ реестра будет удалён.

----------------------------------------------------------------------------------------------------
O10 - нарушение доступа к Интернету из-за повреждения или заражения в Winsock LSP
----------------------------------------------------------------------------------------------------
Технология Windows Socket (WinSock) использует список провайдеров для разрешения DNS-имен (т.е., например, находит для www.microsoft.com его IP-адрес). Layered Socket provider (LSP) - это многоуровневый поставщик услуг. Некоторые программы способны внедрить свои собственные (шпионские) провайдеры в LSP. Если файлы, на которые ссылается LSP, отсутствуют или 'цепочка' провайдеров нарушена, то ни одна из программ в вашей системе не сможет получит доступ к интернету. Удаление ссылок на отсутствующие файлы и восстановление цепочки вернёт доступ к Интернету.

Примечание: Исправление LSP - это опасная процедура. Вы можете воспользоваться программой WinSockReset от WinsockReset для восстановления Winsock.

>>> Действие HiJackThis:
- Не предусмотрено. Будет предложено перейти на сайт www.foolishit.com для скачивания программы WinSockReset.

----------------------------------------------------------------------------------------------------
O11 - Internet Explorer: новая группа настроек во вкладке "Дополнительно"
----------------------------------------------------------------------------------------------------
Параметры вкладки 'Дополнительно' Internet Explorer-а хранятся в реестре. Дополнительные опции могут быть добавлены путем создания дополнительных ключей реестра. Очень редко шпионское и подменяющее ПО добавляют свои собственные параметры, которые трудно удалить. Например, CommonName добавляет секцию 'CommonName' с несколькими опциями.

>>> Действие HiJackThis:
- Ключ реестра будет удалён.

----------------------------------------------------------------------------------------------------
O12 - Internet Explorer: плагины для расширений файлов и MIME-типов
----------------------------------------------------------------------------------------------------
Плагины обрабатывают типы файлов, которые по-умолчанию не поддерживаются в Internet Explorer. Из наиболее распространённых плагинов можно назвать Macromedia Flash, документы Acrobat PDF и форматы Windows Media. Плагины позволяют открыть такие форматы непосредственно в браузере вместо запуска для их обработки отдельной программы. Когда подменяющее или шпионское ПО добавляет плагины для обработки своих типов файлов, опасность заключается в том, что вредоносное ПО переустанавливается, как только в браузере открывается соответствующий тип файла, даже если всё остальное кроме плагинов, было удалено.

>>> Действие HiJackThis:
- Ключ реестра и файл плагина будут удалены.

----------------------------------------------------------------------------------------------------
O13 - Internet Explorer: подмена URL префиксов
----------------------------------------------------------------------------------------------------
Когда вы вводите URL-адрес в адресной строке Internet Explorer-а без префикса (http://), он автоматически добавляется при нажатии 'Enter'. Этот префикс хранится в реестре вместе с префиксами по умолчанию для FTP, Gopher и некоторых других протоколов. Когда подменяющее ПО изменяет эти префиксы на URL-адрес своего сервера, Ваш запрос всегда будет перенаправляться туда, если вы забудете ввести префикс. Вредонос 'Prolivation' использует такой вид подмены.

>>> Действие HiJackThis:
- Стандартное значение реестра будет восстановлено.

----------------------------------------------------------------------------------------------------
O14 - Internet Explorer: изменения в файле iereset.inf
----------------------------------------------------------------------------------------------------
Когда Вы нажимаете 'Сброс веб-параметров' на вкладке 'Программы' из диалогового окна 'Параметры' Internet Explorer-а, ваша домашняя страница, страница поиска и параметры некоторых других сайтов будут сброшены на значения по умолчанию. Эти значения хранятся в файле C:\Windows\Inf\Iereset.inf. Если подменяющее ПО изменит их на собственные адреса, вы получите (повторное) заражение вместо лечения при нажатии кнопки 'Сброс веб-параметров'. Вредонос 'SearchALot' использует такой вид подмены.

>>> Действие HiJackThis:
- Стандартное значение в inf-файле будет восстановлено.

----------------------------------------------------------------------------------------------------
O15 - Internet Explorer: веб-сайты и протоколы, добавленные в зону 'Надёжные сайты'
----------------------------------------------------------------------------------------------------
На веб-сайтах в Доверенной зоне (см. Сервис => Свойства браузера => Безопасность => Надёжные сайты => Сайты) разрешается использование обычно опасных скриптов и объектов ActiveX, которые на обычных сайтах использовать запрещено. Некоторые программы автоматически добавляют сайт в доверенную зону без вашего ведома. Известно очень немного легитимных программ, которые так делают. Многие подменяющие программы добавляют сайты с ActiveX.

>>> Действие HiJackThis:
- Ключ реестра будет удалён.
- Стандартные соответствия протоколов к зонам будут восстановлены.

----------------------------------------------------------------------------------------------------
O16 - программы, загруженные с помощью ActiveX (DPF)
----------------------------------------------------------------------------------------------------
Папка 'Download Program Files' (DPF) в папке Windows содержит различные типы программ, загруженные из Интернета. Эти программы загружаются, когда запущен Internet Explorer. Легальными примерами являются Java VM, Microsoft XML Parser и Google Toolbar. При удалении эти объекты скачиваются и устанавливаются снова (после запроса).
К сожалению, из-за отсутствия безопасности в IE, он позволяет вредоносным сайтам автоматически скачивать в эту папку порно дозвонщики, поддельные плагины, объекты ActiveX и прочее. Такие программы могут преследовать вас всплывающими окнами, огромными телефонными счетами, случайными ошибками, подменами в браузере и ещё много чем.

>>> Действие HiJackThis:
- регистрация DPF CLSID отменяется.
- dll файл и скачанный файл будут удалены.

----------------------------------------------------------------------------------------------------
O17 - изменения домена или DNS сервера / DNS, выданный роутером по DHCP
----------------------------------------------------------------------------------------------------
Windows использует несколько значений реестра в качестве подсказки для разрешения доменных имен в IP-адреса. Подмена этих значений может привести к тому, что все программы, использующие интернет, будут перенаправляться на другие страницы.
Вредонос 'Lop.com' использует этот метод, вместе с огромным списком странных адресов доменов.

DHCP DNS в этой секции отображает DNS-адрес, выданный роутером по DHCP, т.е. при установленной галочке "Автоматически получать DNS-адрес" в настройках сетевого подключения.

>>> Действие HiJackThis:
- Значение реестра будет удалено.
- Фикс DHCP DNS приведёт к сбросу кэша сопоставителя DNS. Пользователь должен самостоятельно настроить роутер, введя адрес, указанный в договоре с провайдером, прежде чем фиксить этот пункт в HiJackThis.

----------------------------------------------------------------------------------------------------
O18 - изменения существующих протоколов и фильтров
----------------------------------------------------------------------------------------------------
Протокол - это "язык", с помощью которого Windows "разговаривает" с программами, серверам или сама с собой. Веб-серверы используют протокол 'http:', FTP серверы - 'ftp:', а проводник Windows - 'file:'. Внося новый протокол в Windows или изменяя существующий, можно существенно повлиять на механизм обработки файлов системой.
Вредоносы 'CommonName' и 'Lop.com' регистрируют новый протокол при установке (cn: и ayb: соответственно).

Фильтры - эти типы контента, воспринимаемые в Internet Explorer (и внутри системы). Если для конкретного типа контента существует фильтр, сначала контент проходит через файл, обрабатывающий этот тип контента. Несколько вариантов троянцев 'CWS' добавляют фильтры text/html и text/plain, позволяя им перехватывать всё содержимое веб-страницы, переданное через Internet Explorer.

>>> Действие HiJackThis:
- Ключ реестра будет удалён.
- Стандартное значение CLSID для фильтра и протокола будет восстановлено.

----------------------------------------------------------------------------------------------------
O19 - подмена шаблона стиля пользователя (Style Sheet)
----------------------------------------------------------------------------------------------------
Internet Explorer может использовать пользовательские таблицы стилей на всех страницах вместо стандартной, чтобы улучшить отображение страниц для пользователей с ограниченными возможностями.
Появился особо хитрый метод подмены, выполняемый вредоносом 'Datanotary', который перезаписывает любую таблицу стилей, которую установил пользователь, и заменяет её на такую, что вызывает всплывающие окна, а также замедление системы во время набора текста или загрузки страниц с большим количеством изображений.

>>> Действие HiJackThis:
- Параметр реестра будет удалён.

----------------------------------------------------------------------------------------------------
O20 - уведомления Winlogon (Winlogon Notify) и модули инициализации (AppInit_DLLs)
----------------------------------------------------------------------------------------------------
Файлы, указанные в параметре реестра AppInit_DLLs, загружаются на начальном этапе загрузки Windows и остаются в памяти до завершения работы системы. Такой способ загрузки .dll редко кто использует, кроме троянов. Примерами легитимных записей здесь могут быть библиотеки видеодрайверов и криптографических систем.
Примерно в тоже время, система загружает в память dll файлы, указанные в подразделах WinLogon Notify, оставляя их загруженными до завершения сеанса. Отдельно от нескольких компонентов системы этот ключ использует рекламное ПО, например, такое как VX2, ABetterInternet и Look2Me.
Поскольку оба метода гарантируют, что dll файл останется загруженным в память все время, фикс не поможет, если dll файл сразу же восстанавливает параметр или ключ в реестре. В таких случаях сперва рекомендуется воспользоваться функцией 'Удалить файл при перезагрузке' или программой KillBox для удаления файла.

>>> Действие HiJackThis:
- для AppInit_DLLs: значение реестра будет очищено, но не удалено.
- для WinLogon Notify: ключ реестра будет удалён.

----------------------------------------------------------------------------------------------------
O21 - объекты отложенной загрузки оболочки (SSODL) и оверлея иконок (SIOI)
----------------------------------------------------------------------------------------------------
ShellServiceObjectDelayLoad - это недокументированный ключ реестра, который содержит список ссылок на CLSID, которые в свою очередь ссылаются на dll-файлы, что затем загружаются Explorer.exe в его адресное пространство во время запуска системы. DLL-файлы остаются в памяти до завершения процесса Explorer.exe, что достигается либо путём завершения работы системы, либо убийством процесса оболочки Windows.
ShellIconOverlayIdentifiers - работает аналогично. Этот ключ реестра содержит несколько подразделов с идентификаторами, ссылающимися на файлы, загружаемые в Explorer.exe. Обычно одна программа регистрирует сразу несколько таких обработчиков. Имя ключа часто начинается с нескольких пробелов. Эти библиотеки отвечают за выбор вида прорисовки иконки файла в проводнике Windows в зависимости от определённых условий (имени этого файла или прочих факторов). Примером легитимной программы может служить клиент для облачного хранения данных Yandex.Disk, который меняет вид иконки в зависимости от состояния синхронизации файла. Вредоносная программа, установившая обработчик, может выполнять из-под dll любой произвольных код.

>>> Действие HiJackThis:
- Значение либо ключ реестра будет удалено вместе с ключом идентификатора CLSID.
- Файл dll будет удалён.

----------------------------------------------------------------------------------------------------
O22 - задачи Планировщика заданий Windows
----------------------------------------------------------------------------------------------------
Планировщик заданий - это служба, которую можно настроить для запуска произвольного процесса в заданное время или с определённой периодичностью. Одна такая настройка называется заданием. Задание может запускаться с повышенными привилегиями без запроса UAC, быть привязанное к определённому пользователю, содержать путь к процессу, аргументы, состояние и прочее. Вредоносное ПО часто использует задания для обеспечения автозапуска и выживания после перезапуска процесса.
Заданиями можно управлять через оснастку "Планировщик заданий" (taskschd.msc).

>>> Действие HiJackThis:
- Задание отключается.
- Процесс задания завершается.
- Файл задания и все связанные с ним ключи реестра удаляются.
- Исполняемый файл задания НЕ удаляется.

----------------------------------------------------------------------------------------------------
O23 - службы Windows
----------------------------------------------------------------------------------------------------
Службы - это особый тип программ, которые важны для системы и необходимы для её правильного функционирования. Процессы служб запускаются до входа пользователя в систему и находятся под защитой Windows. Их можно только остановить, используя оснастку 'Службы' из окна 'Администрирование'.
Вредоносные программы, которые регистрируют себя как службу, впоследствии также сложнее уничтожить.
В отчёт не выводятся службы Microsoft, которые находятся в белом списке, после успешной проверки их цифровой подписи. При этом, антивирусная служба и файрвол не фильтруются.

>>> Действие HiJackThis:
- Служба будет отключена, остановлена и удалена.
- В некоторых случаях для завершения удаления будет запрошена перезагрузка системы.

----------------------------------------------------------------------------------------------------
O24 - компоненты Windows Active Desktop
----------------------------------------------------------------------------------------------------
Компоненты рабочего стола - это объекты ActiveX, которые можно сделать частью рабочего стола, если включить 'Active Desktop'. Они будут работать как (небольшой) виджет веб-сайта.
Вредоносные программы злоупотребляют этой функцией, устанавливая фон рабочего стола из локального файла HTML, получая в результате большое поддельное предупреждение.

>>> Действие HiJackThis:
- Ключ реестра и HTML-файл удаляются.
- Выполняется обновление фона рабочего стола.

----------------------------------------------------------------------------------------------------
O25 - постоянные потребители событий WMI
----------------------------------------------------------------------------------------------------
Инструментарий управления Windows - это стандартная служба Windows. Нею можно воспользоваться для создания постоянного потребителя событий, как в легитимных, так и во вредоносных целях. С помощью этих событий вредоносное ПО, наподобие шпионского, может собирать информацию об оборудовании и программном обеспечении. Также они могут создавать канал для связи между компьютерами, выполнять скрипт как из внешнего файла, так и встроенный (бесфайловый). События могут вызываться подсистемой WMI самостоятельно через определённые промежутки времени (подобно планировщику заданий) либо вручную какой-либо программой, выполняющей специальный запрос к WMI.

>>> Действие HiJackThis:
- потребитель события, фильтр, таймер и связка удаляются из базы данных WMI, как и вызываемый ними файл.
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,130
Реакции
5,903
Баллы
648
Пользователь Dragokas обновил ресурс HiJackThis Fork новой записью:

Обновление

2.6.4.24
Улучшен механизм удаления файла.
Добавлена секция O26 - Image File Execution Options
Завершен перевод на русский язык.
Завершена ревизия и дополнение во внутреннюю справку программы (Помощь => О программе => Секции).
Исправлена ошибка при запуске на носителе, заблокированном от записи.
Узнать больше об этом обновлении...
 

machito

Android Unlok
Команда форума
Супер-Модератор
Сообщения
2,185
Реакции
2,071
Баллы
433
Dragokas, а почему "проверка обновлений" начинается скачивание.

-----.png
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,130
Реакции
5,903
Баллы
648
machito, так было задумано. В моей тестовой ветви уже не начинает. Переделано. Выйдет с ближайшим обновлением. Спасибо.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,130
Реакции
5,903
Баллы
648
Меня как-то спрашивали почему HJT стал так много весить.
Решил разложить по полочкам. Все цифры округлены до 50.

150 KB. - иконки (новая качественная для HJT + целый набор новых для обновлённых инструментов от Беллекома: ProcMan, ADSspy и StartupList2)
200 KB. - языковые файлы (англ. + рус.) в юникодном формате, сюда же включена обновлённая внутренняя справка. Можно будет преобразовать UTF16 -> UTF-8, чтобы чуть-чуть сэкономить.
1050 KB. - Файл-компонент MSCOMCTL.OCX от Майкрософт. Это запчасть, которая распаковывается только при запуске StartupList2. Нужно время, чтобы переписать её и избавится от громадного файла.
~ 300-500 KB. - обработчики ошибок, которых вообще никогда не было.
50 KB. - белые списки планировщика заданий.
50 KB. - список изменений.

Остальное можно измерить только по косвенным признакам:
Формы. Было - 2. Стало - 9. Большинство отдельных утилит теперь имеют отдельные окна (формы).
Кол-во строк кода. Было - 22233. Стало - 48680.

Итого:
EXE, в распакованном виде:
v.2.0.5 - 1300 KB., v.2.6.4.24 - 4150 KB.

EXE в UPX:
v.2.0.5 - 400 KB., v.2.6.4.24 - 1150 KB.

В ближайших версиях, HJT больше не будет упакован.
При этом, на общем размере AutoLogger это не должно отразится.
 
Последнее редактирование:

Alien

Пользователь
Сообщения
369
Реакции
54
Баллы
38
P.s. ADS Spy хорошая вещь. Но как вирус исполняет себя, если он туда записался? (Мне пойти изучить структуру NTFS?)

Хорошо что добавили в HJT:
- Добавлена O17 - DHCP DNS: DNS адреса, установленные в настройках роутера.
очень часто у пользователей не то.
 
Последнее редактирование модератором:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,130
Реакции
5,903
Баллы
648
Мне пойти изучить структуру NTFS?
Полагаю, перед началом обучения вы уже должны её знать, по крайней мере из того, что написано здесь: Структура NTFS большинство хелперу пригодится.

Но как вирус исполняет себя, если он туда записался?
Так же как и из основного потока файла. Изучите правила именования файловых объектов. Затем попробуйте сами через командную строку поместить исполняемый файл в новый поток, и запустить его оттуда.
Если хочется по-исследовать потоки конкретного файла можете воспользоваться NTFS Stream Explorer.
P.S. Вирусу не обязательно оттуда исполняться, он может просто хранить там какие-то данные.

- Добавлена O17 - DHCP DNS: DNS адреса, установленные в настройках роутера.
очень часто у пользователей не то.
Примечание по этому поводу есть в руководстве по HiJackThis.
Ссылки на руководства есть на главной странице этого ресурса.
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,130
Реакции
5,903
Баллы
648
Чтобы не скучали,
хочу сообщить что работы по HJT v3 продолжаются. dev-версия в статусе pre-Alpha.

Полностью заменён и реализован модуль резеврного копирования:
- Внедрён ABR от Кузнецова
- Добавлено опционально создание контрольных точек (пока не работает в Win 8 / 10)

Начата полная проверка каждой секции HJT: скан / фикс / бекап / восстановление.
Пока готовы F, R, O1-O3.

Ну и попутно реализовано множество пожеланий и собственных фич.
 
Сверху Снизу