1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

HiJackThis Fork и вопросы к разработчикам 2.6.4.24

Спец. инструмент для борьбы с вредоносными и другими нежелательными программами

  1. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    5.071
    Симпатии:
    4.946
    Пользователь Dragokas обновил ресурс HiJackThis Fork новой записью:

    Обновления

    Узнать больше об этом обновлении...
     
    orderman, Sandor, shestale и ещё 1-му нравится это.
  2. NickM
    Оффлайн

    NickM Пользователь

    Сообщения:
    44
    Симпатии:
    22
    На защищенном носителе вот такое окошко изредка да напрягает, возможно ли от него избавиться?

    [​IMG]
     
    Dragokas нравится это.
  3. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.901
    Симпатии:
    5.539
    в смысле на него нельзя записывать? Если да, то ошибка нормально. Читайте справку по программе. Программа должна суметь записать туда логи и бэкапы в случае фикса.
    А текст об ошибке наверно всё-таки стоит поправить.
     
  4. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    5.071
    Симпатии:
    4.946
    NickM, я подумаю, как упростить установку на защищённые съемные носители.
     
  5. NickM
    Оффлайн

    NickM Пользователь

    Сообщения:
    44
    Симпатии:
    22
    Вопрос скорее в том, что это и не ошибка вобщем - закрытый на запись носитель. HiJack сам об это уведомляет, но не в "таком тоне".
     
  6. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    5.071
    Симпатии:
    4.946
    Итак, нужна помощь специалистов, чтобы подобрать актуальные (современные) названия вирусни для справки, вместо внесённых туда Беллекомом ещё 10 лет назад.

    Выкладываю переработанную мною внутреннюю справку HJT. Отдельно выделены названия детектов
    (часть новых уже добавлена, например, см. O1.).
    (из старых - см. O11, O13, O17, O18, O19, O20)

    Возможно, по ходу будут и другие замечания / предложения. Милости прошу.

    Секции
    ---------

    Воздействия подменяющих программ для удобства были разделены на группы.

    R - Изменения основных настроек Internet Explorer:
    R0 - изменённые значения реестра
    R1 - созданные значения реестра
    R2 - созданные ключи реестра
    R3 - созданные дополнительные параметры реестра, когда по-умолчанию должен быть только один
    R4 - провайдеры поиска (DefaultScope, SearchScopes)
    F - Автозапуск программ из ini-файлов и эквивалентных мест реестра:
    F0 - изменённые значения ini-файла (system.ini)
    F1 - созданные параметры ini-файла (win.ini)
    F2 - изменённые значения в реестре, которые переопределяют настройки ini-файла (shell, userinit)
    F3 - созданные параметры в реестре, которые переопределяют настройки ini-файла (load, run)
    O - Другие разделы:
    O1 - изменения в файлах Hosts и hosts.ics / подмена DNSApi
    O2 - плагины и расширения браузера (BHO/Browser Helper Objects)
    O3 - Internet Explorer: дополнительные панели инструментов (Тoolbars)
    O4 - автозапуск программ из реестра и папки 'Автозапуск' (Startup) / отключённые элементы автозагрузки
    O5 - Internet Explorer: блокирование доступа к Свойствам браузера через Панель Управления
    O6 - политики IE: запрет на изменение некоторых настроек в "Свойствах Браузера" Internet Explorer
    O7 - политики: отключение редактора реестра (Regedit) / Настройки локальных политик безопасности (IPSec) / Решение системных проблем (TroubleShoot)
    O8 - Internet Explorer: дополнительные пункты контекстного меню
    O9 - Internet Explorer: дополнительные кнопки и сервисы на главной панели
    O10 - нарушение доступа к Интернету из-за повреждения или заражения в Winsock LSP
    O11 - Internet Explorer: новая группа настроек во вкладке "Дополнительно"
    O12 - Internet Explorer: плагины для расширений файлов и MIME-типов
    O13 - Internet Explorer: подмена URL префиксов
    O14 - Internet Explorer: изменения в файле iereset.inf
    O15 - Internet Explorer: веб-сайты и протоколы, добавленные в зону 'Надёжные сайты'
    O16 - программы, загруженные с помощью ActiveX (DPF)
    O17 - изменения домена или DNS сервера / DNS, выданный роутером по DHCP
    O18 - изменения существующих протоколов и фильтров
    O19 - подмена шаблона стиля пользователя (Style Sheet)
    O20 - уведомления Winlogon (Winlogon Notify) и модули инициализации (AppInit_DLLs)
    O21 - объекты отложенной загрузки оболочки (SSODL) и оверлея иконок (SIOI)
    O22 - задачи Планировщика заданий Windows
    O23 - службы Windows
    O24 - компоненты Windows Active Desktop
    O25 - постоянные потребители событий WMI

    Подробная информация о секциях:
    ----------------------------------------------------------------------------------------------------
    R0 - изменённые значения реестра
    ----------------------------------------------------------------------------------------------------
    Значение реестра по умолчанию, которое было изменено, в результате чего изменилась домашняя страница, страница поиска, страница в панели поиска или поисковый ассистент.

    >>> Действие HiJackThis:
    - значение реестра восстанавливается к предустановленному URL.

    ----------------------------------------------------------------------------------------------------
    R1 - созданные значения реестра
    ----------------------------------------------------------------------------------------------------
    Значение реестра, которое было создано, но при этом не требуется и не присутствует в стандартной установке Windows и вероятно, может повлиять на изменение характеристики, связанной с поиском в браузере и прочим (заголовок IE, прокси сервер, обход прокси, помощник по подключению к интернет, ShellNext и т.п.)

    >>> Действие HiJackThis:
    - значение реестра удаляется.

    ----------------------------------------------------------------------------------------------------
    R2 - созданные ключи реестра
    ----------------------------------------------------------------------------------------------------
    Ключ реестра, который был создан, но при этом не требуется и не присутствует в стандартной установке Windows. В данный момент эта секция не используется (в базе данных нет записей).

    >>> Действие HiJackThis:
    - ключ реестра и всё, что внутри, будет удалено.

    ----------------------------------------------------------------------------------------------------
    R3 - созданные дополнительные параметры реестра, когда по-умолчанию должен быть только один
    ----------------------------------------------------------------------------------------------------
    Обнаружено более одного параметра в ключе URLSearchHooks. Если вы укажите URL-адрес без префикса http://, ftp://, то браузер предпримет попытку самостоятельно определить подходящий протокол, используя список в URLSearchHooks.

    >>> Действие HiJackThis:
    - параметр реестра удаляется;
    - стандартное значение для URLSearchHook восстанавливается.

    ----------------------------------------------------------------------------------------------------
    R4 - провайдеры поиска (DefaultScope, SearchScopes)
    ----------------------------------------------------------------------------------------------------
    Браузер Internet Explorer использует провайдер поиска (DefaultScope) для отображения в строке поиска списка
    подсказок во время ввода в поле адреса поискового запроса. IE позволяет изменить провайдера по-умолчанию на любой из списка (SearchScopes).

    >>> Действие HiJackThis:
    - ключ конкретного провайдера поиска удаляется;
    - стандартное значение для DefaultScope (Microsoft Bing) и параметры провайдера восстанавливаются.


    ----------------------------------------------------------------------------------------------------
    F0 - изменённые значения ini-файла (system.ini)
    ----------------------------------------------------------------------------------------------------
    Значение файла .ini, которое было изменено, что может привести к загрузке программ(ы) во время запуска Windows. Часто используется для автоматической загрузки программы.

    Проверяемый файл: C:\Windows\system.ini

    Значение по умолчанию: Shell=explorer.exe
    Пример заражения: Shell=explorer.exe,openme.exe

    >>> Действие HiJackThis:
    - стандартное значение ini-файла восстанавливается;
    - соответствующий файл НЕ удаляется.

    ----------------------------------------------------------------------------------------------------
    F1 - созданные параметры ini-файла (win.ini)
    ----------------------------------------------------------------------------------------------------
    Параметр файла .ini, который был создан, но при этом не требуется и не присутствует в стандартной установке Windows, что вероятно может привести к загрузке программ(ы) во время запуска Windows. Часто используется для автоматической загрузки программы.

    Проверяемый файл: C:\Windows\win.ini

    Значение по умолчанию: run= или load=
    Пример заражения: run=dialer.exe

    >>> Действие HiJackThis:
    - параметр .ini файла удаляется;
    - соответствующий файл НЕ удаляется.

    ----------------------------------------------------------------------------------------------------
    F2 - изменённые значения в реестре, которые переопределяют настройки ini-файла (shell, userinit)
    ----------------------------------------------------------------------------------------------------
    Секция F2 соответствует эквивалентным расположениям в реестре для файла system.ini (F0).

    Параметр реестра, который был изменён, что может привести к загрузке программ(ы) во время запуска Windows. Часто используется для автоматической загрузки программы.

    Будут проверены: \Software\Microsoft\Windows NT\CurrentVersion\WinLogon => Shell, UserInit

    Значения по умолчанию:
    UserInit=C:\Windows\System32\UserInit.exe,
    Shell=explorer.exe
    Shell=%WINDIR%\explorer.exe

    Примеры заражения:
    UserInit=C:\Windows\System32\UserInit.exe,C:\Windows\apppatch\capejw.exe,
    Shell=explorer.exe "С:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"

    >>> Действие HiJackThis:
    - стандартное значение восстанавливается;
    - соответствующий файл НЕ удаляется.

    ----------------------------------------------------------------------------------------------------
    F3 - созданные параметры в реестре, которые переопределяют настройки ini-файла (load, run)
    ----------------------------------------------------------------------------------------------------
    Секция F3 соответствует эквивалентным расположениям в реестре для файла win.ini (F1).

    Параметр реестра, который был создан, но при этом не требуется и не присутствует в стандартной установке Windows, что вероятно может привести к загрузке программ(ы) во время запуска Windows. Часто используется для автоматической загрузки программы.

    Будут проверены: \Software\Microsoft\Windows NT\CurrentVersion\Windows => run, load

    Значения по умолчанию:
    run=
    load=

    Пример заражения: run=С:\WINDOWS\inet20001\services.exe

    >>> Действие HiJackThis:
    - параметр реестра удаляется;
    - соответствующий файл НЕ удаляется.

    ----------------------------------------------------------------------------------------------------
    O1 - изменения в файлах Hosts и hosts.ics / подмена DNSApi
    ----------------------------------------------------------------------------------------------------
    1) Windows использует записи в файле 'hosts' для того, чтобы соотнести имена доменов IP-адресам прежде, чем запрашивать эти данные у DNS сервера. Изменения в файле 'hosts' фактически заставляют Windows верить, что к примеру 'google.com' имеет другой IP, отличный от настоящего и таким образом браузер откроет неверную страницу. Он также используется для блокировки некоторых сайтов, обычно антивирусных, путём переадресации их на localhost или любой другой некорректный IP.
    2) Злоумышленник может также эксплуатировать файл DNSApi.dll чтобы подменить расположение, откуда система загружает файл hosts (все версии ОС). Примеры: Hijacker.DNS.Hosts / Trojan.Win32.Patched.qw.
    3) По той же причине злоумышленник может изменить параметр DatabasePath в реестре (Win XP и старее).
    4) Файл Hosts.ics создаётся автоматически, как только вы включаете общий доступ к сети интернет. Он содержит список соответствия между IP и доменом домашней (локальной) сети и может быть эксплуатирован таким же образом, как и файл hosts.

    Примеры заражения:
    213.67.109.7 google.com
    127.0.0.1 kaspersky.ru
    DNSApi: File is patched - c:\Windows\system32\dnsapi.dll
    Hosts file is located at: c:\windows\System32\drivers\etc\hoctc

    Пример легитимной записи:
    Hosts.ics: 192.168.137.1 AnakonDA.mshome.net # 2018 5 2 22 8 3 40 685

    >>> Действие HiJackThis:
    - для записей в hosts и hosts.ics - строка будет удалена из файла.
    - для DNSApi - dll файл будет восстановлен, если это возможно, через подсистему SFC.
    - в случае подмены расположения hosts - восстанавливается значение реестра по умолчанию.
    - также будет сброшен кеш записей DNS.

    ----------------------------------------------------------------------------------------------------
    O2 - плагины и расширения браузера (BHO/Browser Helper Objects)
    ----------------------------------------------------------------------------------------------------
    BHO (Browser Helper Object) - это специально созданная программа, которая внедряется в браузер, и теоретически имеет неограниченные права в системе. Хотя BHO могут быть полезными (как Google Toolbar), рекламное ПО часто их используют для злонамеренных целей, таких как отслеживание Вашего поведения в сети, отображение всплывающей рекламы и т.п.

    >>> Действие HiJackThis:
    - ключ BHO, а также все связанные с ним ключи (как CLSID и спец. политики BHO IE) будут удалены из реестра;
    - dll файл BHO будет удалён.

    ----------------------------------------------------------------------------------------------------
    O3 - Internet Explorer: дополнительные панели инструментов (Тoolbars)
    ----------------------------------------------------------------------------------------------------
    Панели инструментов IE - это часть BHO (Browser Helper Objects), подобно Google Toolbar, которые является полезными, но также могут раздражать и быть вредоносными, отслеживая ваше поведение и отображая всплывающую рекламу.

    >>> Действие HiJackThis:
    - параметр реестра и все связанные с ним ключи (как настройки и специальные политики BHO IE) будут удалены из реестра.

    ----------------------------------------------------------------------------------------------------
    O4 - автозапуск программ из реестра и папки 'Автозапуск' (Startup) / отключённые элементы автозагрузки
    ----------------------------------------------------------------------------------------------------
    Эта часть проверки выполняет поиск подозрительных записей, которые загружаются при запуске Windows. Записи автозагрузки могут привести к запуску скрипта из реестра (файла VBS, JS, HTA и т.п.). Это потенциально может стать причиной подмены стартовой страницы браузера, страницы поиска, строки поиска и поискового ассистента. Кроме того, DLL-файл может быть загружен в качестве хука в разные части вашей системы. Также, скрипт, прочая программа или бесфайловая запись в реестре (например, легитимный системный файл PowerShell.exe с аргументами) в автозагрузке может выступать в качестве дроппера, загружая из сети интернет другие вредоносные файлы, обеспечивать выживание вредоносной программы после перезагрузки ОС.
    В секции O4 также перечисляются отключённые элементы автозагрузки (MSConfig / TaskMgr).

    Область проверки: ключи реестра и папка "Автозагрузка".

    Пример заражения: regedit c:\windows\system\sp.tmp /s

    >>> Действие HiJackThis:
    - для записей автозагрузки из реестра - параметр реестра будет удалён; файл НЕ удаляется.
    - для папки "Автозагрузка" - запускаемый файл будет удалён.
    - для отключённых элементов автозагрузки - запись в реестре будет удалена (Для Windows 8+: запускаемый файл также будет удалён. Для Windows 7 и ранее: запускаемый файл остаётся в папке C:\Windows\pss).

    ----------------------------------------------------------------------------------------------------
    O5 - Internet Explorer: блокирование доступа к Свойствам браузера через Панель Управления
    ----------------------------------------------------------------------------------------------------
    Изменение файла CONTROL.INI может привести к сокрытию определенных значков в Панели управления Windows. Хотя это первоначально предназначалось для ускорения загрузки Панели управления, а также наведения порядка, таким методом также пользуется рекламное ПО, чтобы заблокировать доступ к окну 'Свойства обозревателя'.

    Примеры заражения:
    [don't load]
    inetcpl.cpl=yes
    inetcpl.cpl=no

    >>> Действие HiJackThis:
    - строка удаляется из файла Control.ini.

    ----------------------------------------------------------------------------------------------------
    O6 - политики IE: запрет на изменение некоторых настроек в "Свойствах Браузера" Internet Explorer
    ----------------------------------------------------------------------------------------------------
    Элементы 'Свойства обозревателя' в меню 'Инструменты' Internet Explorer можно отключить с помощью политик Windows. Обычно так делают администраторы для ограничения прав своим пользователям, но также может быть использовано и рекламным ПО для предотвращения доступа к окну 'Свойства обозревателя'.

    Программы-защитники стартовых страниц также используют политики для запрета изменения рекламным ПО домашней страницы.

    >>> Действие HiJackThis:
    - параметр реестра будет удалён.

    ----------------------------------------------------------------------------------------------------
    O7 - политики: отключение редактора реестра (Regedit) / Настройки локальных политик безопасности (IPSec) / Решение системных проблем (TroubleShoot)
    ----------------------------------------------------------------------------------------------------

    O7 - Policies
    Редактор реестра можно отключить с помощью политик Windows. Обычно так делают администраторы для ограничения прав своим пользователям, но также может быть использовано и рекламным ПО для блокировки доступа к редактору реестра (regedit.exe). В результате, при попытке его запуска вы получите сообщение "Редактирование реестра запрещено администратором системы".

    O7 - IPSec
    Политики IP безопасности предоставляют возможность разрешить или заблокировать сетевые пакеты данных, а также тонко настроить фильтр источника и получателя пакетов, например, IP адрес (в т.ч. подсеть), тип, номер порта и другое.

    O7 - TroubleShoot
    Здесь отображаются неправильные настройки ОС, которые потенциально приводят к различным сбоям в работе ПО и системы в целом. Сюда относятся неверные значения переменных окружения, таких как %TEMP%, %TMP%.

    >>> Действие HiJackThis:
    - для O7 - Policies: параметр реестра будет удалён.
    - для O7 - IPSec: удаляются все ключи реестра, связанные с отмеченной политикой, в т.ч. все фильтры, которые к ней относятся.
    - для O7 - TroubleShoot: будет выполнен сброс настроек до стандартных.

    ----------------------------------------------------------------------------------------------------
    O8 - Internet Explorer: дополнительные пункты контекстного меню
    ----------------------------------------------------------------------------------------------------
    Дополнительные элементы в контекстном меню (по щелчку правой кнопкой мыши) могут оказаться как полезными, так и раздражающими. Некоторое рекламное ПО добавляет элементы к контекстному меню. Например, набор расширений PowerTweaks Web Accessory добавляет в Internet Explorer несколько полезных кнопок, среди которых "Text Highlighter" (Подсветка текста), "Zoom In/Zoom Out" (Увеличение/Уменьшение), "Links List" (Список ссылок), "Image List" (Список Картинок) и "Web Search" (Поиск в интернете).

    >>> Действие HiJackThis:
    - ключ реестра будет удалён.

    ----------------------------------------------------------------------------------------------------
    O9 - Internet Explorer: дополнительные кнопки и сервисы на главной панели
    ----------------------------------------------------------------------------------------------------
    Дополнительные элементы в меню 'Инструменты' Internert Explorer-а и дополнительные кнопки на панели инструментов - это кнопки, которые обычно предустанавливаются производителями (например, кнопка "Home" от Dell) или после обновления системы (кнопка "MSN Messenger") и редко - рекламным ПО. Например, набор расширений PowerTweaks Web Accessory позволяет добавить в Internet Explorer два пункта меню: "Добавить сайт в доверенную зону" и "Добавить сайт в ограниченную зону".

    >>> Действие HiJackThis:
    - ключ реестра будет удалён.

    ----------------------------------------------------------------------------------------------------
    O10 - нарушение доступа к Интернету из-за повреждения или заражения в Winsock LSP
    ----------------------------------------------------------------------------------------------------
    Технология Windows Socket (WinSock) использует список провайдеров для разрешения DNS-имен (т.е., например, находит для www.microsoft.com его IP-адрес). Layered Socket provider (LSP) - это многоуровневый поставщик услуг. Некоторые программы способны внедрить свои собственные (шпионские) провайдеры в LSP. Если файлы, на которые ссылается LSP, отсутствуют или 'цепочка' провайдеров нарушена, то ни одна из программ в вашей системе не сможет получит доступ к интернету. Удаление ссылок на отсутствующие файлы и восстановление цепочки вернёт доступ к Интернету.

    Примечание: Исправление LSP - это опасная процедура. Вы можете воспользоваться программой WinSockReset от WinsockReset для восстановления Winsock.

    >>> Действие HiJackThis:
    - Не предусмотрено. Будет предложено перейти на сайт www.foolishit.com для скачивания программы WinSockReset.

    ----------------------------------------------------------------------------------------------------
    O11 - Internet Explorer: новая группа настроек во вкладке "Дополнительно"
    ----------------------------------------------------------------------------------------------------
    Параметры вкладки 'Дополнительно' Internet Explorer-а хранятся в реестре. Дополнительные опции могут быть добавлены путем создания дополнительных ключей реестра. Очень редко шпионское и подменяющее ПО добавляют свои собственные параметры, которые трудно удалить. Например, CommonName добавляет секцию 'CommonName' с несколькими опциями.

    >>> Действие HiJackThis:
    - Ключ реестра будет удалён.

    ----------------------------------------------------------------------------------------------------
    O12 - Internet Explorer: плагины для расширений файлов и MIME-типов
    ----------------------------------------------------------------------------------------------------
    Плагины обрабатывают типы файлов, которые по-умолчанию не поддерживаются в Internet Explorer. Из наиболее распространённых плагинов можно назвать Macromedia Flash, документы Acrobat PDF и форматы Windows Media. Плагины позволяют открыть такие форматы непосредственно в браузере вместо запуска для их обработки отдельной программы. Когда подменяющее или шпионское ПО добавляет плагины для обработки своих типов файлов, опасность заключается в том, что вредоносное ПО переустанавливается, как только в браузере открывается соответствующий тип файла, даже если всё остальное кроме плагинов, было удалено.

    >>> Действие HiJackThis:
    - Ключ реестра и файл плагина будут удалены.

    ----------------------------------------------------------------------------------------------------
    O13 - Internet Explorer: подмена URL префиксов
    ----------------------------------------------------------------------------------------------------
    Когда вы вводите URL-адрес в адресной строке Internet Explorer-а без префикса (http://), он автоматически добавляется при нажатии 'Enter'. Этот префикс хранится в реестре вместе с префиксами по умолчанию для FTP, Gopher и некоторых других протоколов. Когда подменяющее ПО изменяет эти префиксы на URL-адрес своего сервера, Ваш запрос всегда будет перенаправляться туда, если вы забудете ввести префикс. Вредонос 'Prolivation' использует такой вид подмены.

    >>> Действие HiJackThis:
    - Стандартное значение реестра будет восстановлено.

    ----------------------------------------------------------------------------------------------------
    O14 - Internet Explorer: изменения в файле iereset.inf
    ----------------------------------------------------------------------------------------------------
    Когда Вы нажимаете 'Сброс веб-параметров' на вкладке 'Программы' из диалогового окна 'Параметры' Internet Explorer-а, ваша домашняя страница, страница поиска и параметры некоторых других сайтов будут сброшены на значения по умолчанию. Эти значения хранятся в файле C:\Windows\Inf\Iereset.inf. Если подменяющее ПО изменит их на собственные адреса, вы получите (повторное) заражение вместо лечения при нажатии кнопки 'Сброс веб-параметров'. Вредонос 'SearchALot' использует такой вид подмены.

    >>> Действие HiJackThis:
    - Стандартное значение в inf-файле будет восстановлено.

    ----------------------------------------------------------------------------------------------------
    O15 - Internet Explorer: веб-сайты и протоколы, добавленные в зону 'Надёжные сайты'
    ----------------------------------------------------------------------------------------------------
    На веб-сайтах в Доверенной зоне (см. Сервис => Свойства браузера => Безопасность => Надёжные сайты => Сайты) разрешается использование обычно опасных скриптов и объектов ActiveX, которые на обычных сайтах использовать запрещено. Некоторые программы автоматически добавляют сайт в доверенную зону без вашего ведома. Известно очень немного легитимных программ, которые так делают. Многие подменяющие программы добавляют сайты с ActiveX.

    >>> Действие HiJackThis:
    - Ключ реестра будет удалён.
    - Стандартные соответствия протоколов к зонам будут восстановлены.

    ----------------------------------------------------------------------------------------------------
    O16 - программы, загруженные с помощью ActiveX (DPF)
    ----------------------------------------------------------------------------------------------------
    Папка 'Download Program Files' (DPF) в папке Windows содержит различные типы программ, загруженные из Интернета. Эти программы загружаются, когда запущен Internet Explorer. Легальными примерами являются Java VM, Microsoft XML Parser и Google Toolbar. При удалении эти объекты скачиваются и устанавливаются снова (после запроса).
    К сожалению, из-за отсутствия безопасности в IE, он позволяет вредоносным сайтам автоматически скачивать в эту папку порно дозвонщики, поддельные плагины, объекты ActiveX и прочее. Такие программы могут преследовать вас всплывающими окнами, огромными телефонными счетами, случайными ошибками, подменами в браузере и ещё много чем.

    >>> Действие HiJackThis:
    - регистрация DPF CLSID отменяется.
    - dll файл и скачанный файл будут удалены.

    ----------------------------------------------------------------------------------------------------
    O17 - изменения домена или DNS сервера / DNS, выданный роутером по DHCP
    ----------------------------------------------------------------------------------------------------
    Windows использует несколько значений реестра в качестве подсказки для разрешения доменных имен в IP-адреса. Подмена этих значений может привести к тому, что все программы, использующие интернет, будут перенаправляться на другие страницы.
    Вредонос 'Lop.com' использует этот метод, вместе с огромным списком странных адресов доменов.

    DHCP DNS в этой секции отображает DNS-адрес, выданный роутером по DHCP, т.е. при установленной галочке "Автоматически получать DNS-адрес" в настройках сетевого подключения.

    >>> Действие HiJackThis:
    - Значение реестра будет удалено.
    - Фикс DHCP DNS приведёт к сбросу кэша сопоставителя DNS. Пользователь должен самостоятельно настроить роутер, введя адрес, указанный в договоре с провайдером, прежде чем фиксить этот пункт в HiJackThis.

    ----------------------------------------------------------------------------------------------------
    O18 - изменения существующих протоколов и фильтров
    ----------------------------------------------------------------------------------------------------
    Протокол - это "язык", с помощью которого Windows "разговаривает" с программами, серверам или сама с собой. Веб-серверы используют протокол 'http:', FTP серверы - 'ftp:', а проводник Windows - 'file:'. Внося новый протокол в Windows или изменяя существующий, можно существенно повлиять на механизм обработки файлов системой.
    Вредоносы 'CommonName' и 'Lop.com' регистрируют новый протокол при установке (cn: и ayb: соответственно).

    Фильтры - эти типы контента, воспринимаемые в Internet Explorer (и внутри системы). Если для конкретного типа контента существует фильтр, сначала контент проходит через файл, обрабатывающий этот тип контента. Несколько вариантов троянцев 'CWS' добавляют фильтры text/html и text/plain, позволяя им перехватывать всё содержимое веб-страницы, переданное через Internet Explorer.

    >>> Действие HiJackThis:
    - Ключ реестра будет удалён.
    - Стандартное значение CLSID для фильтра и протокола будет восстановлено.

    ----------------------------------------------------------------------------------------------------
    O19 - подмена шаблона стиля пользователя (Style Sheet)
    ----------------------------------------------------------------------------------------------------
    Internet Explorer может использовать пользовательские таблицы стилей на всех страницах вместо стандартной, чтобы улучшить отображение страниц для пользователей с ограниченными возможностями.
    Появился особо хитрый метод подмены, выполняемый вредоносом 'Datanotary', который перезаписывает любую таблицу стилей, которую установил пользователь, и заменяет её на такую, что вызывает всплывающие окна, а также замедление системы во время набора текста или загрузки страниц с большим количеством изображений.

    >>> Действие HiJackThis:
    - Параметр реестра будет удалён.

    ----------------------------------------------------------------------------------------------------
    O20 - уведомления Winlogon (Winlogon Notify) и модули инициализации (AppInit_DLLs)
    ----------------------------------------------------------------------------------------------------
    Файлы, указанные в параметре реестра AppInit_DLLs, загружаются на начальном этапе загрузки Windows и остаются в памяти до завершения работы системы. Такой способ загрузки .dll редко кто использует, кроме троянов. Примерами легитимных записей здесь могут быть библиотеки видеодрайверов и криптографических систем.
    Примерно в тоже время, система загружает в память dll файлы, указанные в подразделах WinLogon Notify, оставляя их загруженными до завершения сеанса. Отдельно от нескольких компонентов системы этот ключ использует рекламное ПО, например, такое как VX2, ABetterInternet и Look2Me.
    Поскольку оба метода гарантируют, что dll файл останется загруженным в память все время, фикс не поможет, если dll файл сразу же восстанавливает параметр или ключ в реестре. В таких случаях сперва рекомендуется воспользоваться функцией 'Удалить файл при перезагрузке' или программой KillBox для удаления файла.

    >>> Действие HiJackThis:
    - для AppInit_DLLs: значение реестра будет очищено, но не удалено.
    - для WinLogon Notify: ключ реестра будет удалён.

    ----------------------------------------------------------------------------------------------------
    O21 - объекты отложенной загрузки оболочки (SSODL) и оверлея иконок (SIOI)
    ----------------------------------------------------------------------------------------------------
    ShellServiceObjectDelayLoad - это недокументированный ключ реестра, который содержит список ссылок на CLSID, которые в свою очередь ссылаются на dll-файлы, что затем загружаются Explorer.exe в его адресное пространство во время запуска системы. DLL-файлы остаются в памяти до завершения процесса Explorer.exe, что достигается либо путём завершения работы системы, либо убийством процесса оболочки Windows.
    ShellIconOverlayIdentifiers - работает аналогично. Этот ключ реестра содержит несколько подразделов с идентификаторами, ссылающимися на файлы, загружаемые в Explorer.exe. Обычно одна программа регистрирует сразу несколько таких обработчиков. Имя ключа часто начинается с нескольких пробелов. Эти библиотеки отвечают за выбор вида прорисовки иконки файла в проводнике Windows в зависимости от определённых условий (имени этого файла или прочих факторов). Примером легитимной программы может служить клиент для облачного хранения данных Yandex.Disk, который меняет вид иконки в зависимости от состояния синхронизации файла. Вредоносная программа, установившая обработчик, может выполнять из-под dll любой произвольных код.

    >>> Действие HiJackThis:
    - Значение либо ключ реестра будет удалено вместе с ключом идентификатора CLSID.
    - Файл dll будет удалён.

    ----------------------------------------------------------------------------------------------------
    O22 - задачи Планировщика заданий Windows
    ----------------------------------------------------------------------------------------------------
    Планировщик заданий - это служба, которую можно настроить для запуска произвольного процесса в заданное время или с определённой периодичностью. Одна такая настройка называется заданием. Задание может запускаться с повышенными привилегиями без запроса UAC, быть привязанное к определённому пользователю, содержать путь к процессу, аргументы, состояние и прочее. Вредоносное ПО часто использует задания для обеспечения автозапуска и выживания после перезапуска процесса.
    Заданиями можно управлять через оснастку "Планировщик заданий" (taskschd.msc).

    >>> Действие HiJackThis:
    - Задание отключается.
    - Процесс задания завершается.
    - Файл задания и все связанные с ним ключи реестра удаляются.
    - Исполняемый файл задания НЕ удаляется.

    ----------------------------------------------------------------------------------------------------
    O23 - службы Windows
    ----------------------------------------------------------------------------------------------------
    Службы - это особый тип программ, которые важны для системы и необходимы для её правильного функционирования. Процессы служб запускаются до входа пользователя в систему и находятся под защитой Windows. Их можно только остановить, используя оснастку 'Службы' из окна 'Администрирование'.
    Вредоносные программы, которые регистрируют себя как службу, впоследствии также сложнее уничтожить.
    В отчёт не выводятся службы Microsoft, которые находятся в белом списке, после успешной проверки их цифровой подписи. При этом, антивирусная служба и файрвол не фильтруются.

    >>> Действие HiJackThis:
    - Служба будет отключена, остановлена и удалена.
    - В некоторых случаях для завершения удаления будет запрошена перезагрузка системы.

    ----------------------------------------------------------------------------------------------------
    O24 - компоненты Windows Active Desktop
    ----------------------------------------------------------------------------------------------------
    Компоненты рабочего стола - это объекты ActiveX, которые можно сделать частью рабочего стола, если включить 'Active Desktop'. Они будут работать как (небольшой) виджет веб-сайта.
    Вредоносные программы злоупотребляют этой функцией, устанавливая фон рабочего стола из локального файла HTML, получая в результате большое поддельное предупреждение.

    >>> Действие HiJackThis:
    - Ключ реестра и HTML-файл удаляются.
    - Выполняется обновление фона рабочего стола.

    ----------------------------------------------------------------------------------------------------
    O25 - постоянные потребители событий WMI
    ----------------------------------------------------------------------------------------------------
    Инструментарий управления Windows - это стандартная служба Windows. Нею можно воспользоваться для создания постоянного потребителя событий, как в легитимных, так и во вредоносных целях. С помощью этих событий вредоносное ПО, наподобие шпионского, может собирать информацию об оборудовании и программном обеспечении. Также они могут создавать канал для связи между компьютерами, выполнять скрипт как из внешнего файла, так и встроенный (бесфайловый). События могут вызываться подсистемой WMI самостоятельно через определённые промежутки времени (подобно планировщику заданий) либо вручную какой-либо программой, выполняющей специальный запрос к WMI.

    >>> Действие HiJackThis:
    - потребитель события, фильтр, таймер и связка удаляются из базы данных WMI, как и вызываемый ними файл.
     
    Последнее редактирование: 24 апр 2017
    fseto нравится это.
  7. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    5.071
    Симпатии:
    4.946
    Пользователь Dragokas обновил ресурс HiJackThis Fork новой записью:

    Обновление

    Узнать больше об этом обновлении...
     
    -SEM-, Kиpилл, shestale и 2 другим нравится это.
  8. machito
    Оффлайн

    machito Команда форума Супер-Модератор

    Сообщения:
    2.014
    Симпатии:
    2.007
    Dragokas, а почему "проверка обновлений" начинается скачивание.

    -----.
     
  9. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    5.071
    Симпатии:
    4.946
    machito, так было задумано. В моей тестовой ветви уже не начинает. Переделано. Выйдет с ближайшим обновлением. Спасибо.
     
    machito нравится это.
  10. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    5.071
    Симпатии:
    4.946
    Меня как-то спрашивали почему HJT стал так много весить.
    Решил разложить по полочкам. Все цифры округлены до 50.

    150 KB. - иконки (новая качественная для HJT + целый набор новых для обновлённых инструментов от Беллекома: ProcMan, ADSspy и StartupList2)
    200 KB. - языковые файлы (англ. + рус.) в юникодном формате, сюда же включена обновлённая внутренняя справка. Можно будет преобразовать UTF16 -> UTF-8, чтобы чуть-чуть сэкономить.
    1050 KB. - Файл-компонент MSCOMCTL.OCX от Майкрософт. Это запчасть, которая распаковывается только при запуске StartupList2. Нужно время, чтобы переписать её и избавится от громадного файла.
    ~ 300-500 KB. - обработчики ошибок, которых вообще никогда не было.
    50 KB. - белые списки планировщика заданий.
    50 KB. - список изменений.

    Остальное можно измерить только по косвенным признакам:
    Формы. Было - 2. Стало - 9. Большинство отдельных утилит теперь имеют отдельные окна (формы).
    Кол-во строк кода. Было - 22233. Стало - 48680.

    Итого:
    EXE, в распакованном виде:
    v.2.0.5 - 1300 KB., v.2.6.4.24 - 4150 KB.

    EXE в UPX:
    v.2.0.5 - 400 KB., v.2.6.4.24 - 1150 KB.

    В ближайших версиях, HJT больше не будет упакован.
    При этом, на общем размере AutoLogger это не должно отразится.
     
    Последнее редактирование: 6 авг 2017
    Sandor, Kиpилл, akok и ещё 1-му нравится это.
  11. Alien
    Оффлайн

    Alien Студент 1 курс

    Сообщения:
    157
    Симпатии:
    8
    P.s. ADS Spy хорошая вещь. Но как вирус исполняет себя, если он туда записался? (Мне пойти изучить структуру NTFS?)

    Хорошо что добавили в HJT:
    - Добавлена O17 - DHCP DNS: DNS адреса, установленные в настройках роутера.
    очень часто у пользователей не то.
     
    Последнее редактирование модератором: 8 авг 2017
  12. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    5.071
    Симпатии:
    4.946
    Полагаю, перед началом обучения вы уже должны её знать, по крайней мере из того, что написано здесь: Структура NTFS большинство хелперу пригодится.

    Так же как и из основного потока файла. Изучите правила именования файловых объектов. Затем попробуйте сами через командную строку поместить исполняемый файл в новый поток, и запустить его оттуда.
    Если хочется по-исследовать потоки конкретного файла можете воспользоваться NTFS Stream Explorer.
    P.S. Вирусу не обязательно оттуда исполняться, он может просто хранить там какие-то данные.

    Примечание по этому поводу есть в руководстве по HiJackThis.
    Ссылки на руководства есть на главной странице этого ресурса.
     
    Последнее редактирование: 8 авг 2017
    orderman, Alien, ScriptMakeR и ещё 1-му нравится это.
  13. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    5.071
    Симпатии:
    4.946
    akok нравится это.

Поделиться этой страницей