- •I. Введение
- •II. Работа с инструментами диагностики и лечения
- •Описание HiJackThis и работа с ней
- •Вступление
- •Предупреждение
- •Назначение
- •Начало работы
- •Раздел Misc Tools.
- •Описание avz и работа с ней
- •Ключевые компоненты avz
- •Главное окно программы
- •Меню «Файл»: avz как единый инструмент
- •1. Функции анализа и восстановления
- •2. Функции скриптового движка
- •3. Обновление баз
- •4. Функции карантина
- •5. Отложенное удаление файла
- •Меню «Сервис»: диспетчеры и менеджеры avz
- •1. Общие характеристики диспетчеров и менеджеров avz
- •2. Подсистемы поиска
- •3. Прочие инструменты
- •AvzGuard
- •Boot Cleaner
- •III. Основы диагностики
- •1. Подготовка
- •2. Протокол hjt
- •3. Протоколы avz
- •Чтение протоколов HiJackThis
- •Анализ лога
- •Чтение протоколов avz
- •1. Цветовая схема
- •2. Состав таблиц
- •1) Список процессов (данные Диспетчера процессов)
- •2) Модули пространства ядра (данные одноименного диспетчера)
- •3) Службы (данные Диспетчера служб и драйверов, часть 1)
- •4) Драйверы (данные Диспетчера служб и драйверов, часть 2)
- •5) Автозапуск (данные Менеджера автозапуска)
- •6) Модули расширения Internet Explorer (bho, панели…) (данные Менеджера расширений ie)
- •7) Модули расширения проводника (данные Менеджера расширений проводника)
- •8) Модули расширения системы печати (данные Менеджера расширений системы печати)
- •9) Задания планировщика задач Task Scheduler (данные Менеджера планировщика задач Task Scheduler)
- •10) Настройки spi/lsp (данные Менеджера Winsock spi)
- •11) Порты tcp/udp (данные диспетчера «Открытые порты tcp/udp»)
- •12) Downloaded Program Files (данные Менеджера Downloaded Program Files)
- •13) Апплеты панели управления (cpl) (данные Менеджера апплетов панели управления)
- •3. Общие сведения
- •4. Поиск RootKit и программ, перехватывающих функции api (в соавторстве с Олегом Зайцевым)
- •1.1 Поиск перехватчиков api, работающих в UserMode
- •1.2 Поиск перехватчиков api, работающих в KernelMode
- •1.2 Поиск перехватчиков api, работающих в KernelMode
- •1.3 Проверка idt и sysenter
- •1.4 Поиск маскировки процессов и драйверов
- •1.4 Поиск маскировки процессов и драйверов
- •1.4 Поиск маскировки процессов и драйверов
- •5. Проверка памяти
- •2. Проверка памяти
- •6. Сканирование дисков
- •3. Сканирование дисков
- •7. Проверка Winsock Layered Service Provider
- •4. Проверка Winsock Layered Service Provider (spi/lsp)
- •4. Проверка Winsock Layered Service Provider (spi/lsp)
- •8. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские dll)
- •5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские dll)
- •9. Поиск открытых портов tcp/udp, используемых вредоносными программами
- •6. Поиск открытых портов tcp/udp, используемых вредоносными программами
- •10. Эвристическая проверка системы
- •7. Эвристичеcкая проверка системы
- •11. Поиск потенциальных уязвимостей
- •8. Поиск потенциальных уязвимостей
- •8. Поиск потенциальных уязвимостей
- •12. Мастер поиска и устранения проблем
- •9. Мастер поиска и устранения проблем
- •9. Мастер поиска и устранения проблем
- •Критерии вредоносности файла
- •Зоны особого внимания
- •Примечание
- •Дополнительная диагностика
- •Работа со списком заподозренных файлов
- •Извлечение файлов и их анализ
- •Если файл не удается поместить в карантин
- •1) Попытаться выполнить карантин в безопасном режиме.
- •3) Попробовать применить специализированный антируткит (например, IceSword, позволяющий копировать скрытые и защищенные файлы).
- •Vms@drweb.Com
- •Virus_malware@avira.Com
- •IV. Лечение
- •Лечение с помощью HiJackThis
- •Лечение с помощью avz
- •1. Удаление файлов
- •2. Восстановление системы и исправление ошибок
- •1. Настройки spi/lsp
- •1) Ручной.
- •2. Файл hosts
- •3. Эвристическая проверка системы
- •4. Мастер поиска и устранения проблем
- •Восстановление системы по жалобам пользователя
- •3. После лечения
- •Если вредоносное программное обеспечение восстанавливается после удаления
- •1) Убедитесь, что Восстановление системы Windows отключено.
- •Если лечение прошло успешно
- •Чего не следует делать уважающему себя и других антивирусному консультанту
- •3) Выполнять ненужные / бесполезные для обрабатываемого случая операции
- •6) Содействовать поиску и использованию вредоносного и / или взломанного программного обеспечения
- •V. Заключение
2. Протокол hjt
6. Запустите HijackThis. В появившимся бланке с пользовательском соглашением, нажмите на кнопку I Accept.
7. Нажмите на кнопку "Do a system scan and save a logfile".
8. Сохраните лог. По умолчанию лог сохраняется в папке программы с именем hijackthis.log.
3. Протоколы avz
9. Запустите AVZ. Выберите из меню "Файл" => "Стандартные скрипты" и поставьте галку напротив "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip. При этом исследовании может образовываться карантин; о работе с карантином см. Лечение с помощью AVZ
10. Обязательно перезагрузите компьютер, так как AVZ в ходе проверки системы может нарушить работу некоторого ПО (в частности антивирусов и брандмауэров). После перезагрузки ПО продолжит корректную работу.
11. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscheck.zip.
В результате после зачистки системы от известного вредоносного ПО с помощью бесплатных сканеров и ее исследования нашими инструментами образуются три протокола: hijackthis.log, virusinfo_syscheck.zip и virusinfo_syscure.zip. Именно их чтением мы и займемся в этой главе.
Чтение протоколов HiJackThis
Copyright (c) Saule, 2006
Анализ лога
Основной принцип при анализе лога: удаление элементов, о существовании которых вы до недавнего времени и не предполагали (при условии, что вы достаточно хорошо знакомы со своей операционной системой). И занесение в игнор-лист "проверенных" приложений, установленных исключительно вами.
Каждая строчка в логе HijackThis начинается со своего определенного обозначения (названия секции).
Начнем с их краткой характеристики и затем рассмотрим каждую из секций детально:
R0, R1, R2, R3 - изменения основных настроек Internet Explorer. F0, F1, F2, F3 - автозапуск программ из ini-файлов и эквивалентных мест реестра. N1, N2, N3, N4 - изменения начальной и поисковой страниц Netscape/Mozilla. O1 - изменения в файле Hosts.
O2 - плагины и расширения браузера (BHO/Browser Helper Objects). O3 - дополнительные панели инструментов браузера (Internet Explorer Тoolbars). O4 - автозапуск программ из реестра и папки Startup.
O5 - блокирование доступа к Свойствам Обозревателя (Internet Options) через Панель Управления.
O6 - запрет на изменение некоторых Свойств Обозревателя (Internet Options).
O7 - отключение доступа к Regedit.
O8 - дополнительные пункты контекстного меню Internet Explorer. O9 - дополнительные кнопки и сервисы на главной панели Internet Explorer. O10 - Winsock LSP (Layered Service Provider/поставщик многоуровневых услуг). O11 - новая группа настроек в Свойствах Обозревателя (Internet Options). O12 - плагины Internet Explorer.
O13 - префиксы IE.
O14 - изменения в файле iereset.inf.
O15 - веб-сайты и протоколы, добавленные в зону Надежные узлы (Trusted Zone).
O16 - программы, загруженные с помощью ActiveX (подкаталог WINDOWS\Downloaded Program Files).
O17 - изменения домена или DNS сервера.
O18 - изменения существующих протоколов и фильтров.
O19 - шаблон стиля (Style Sheet) пользователя.
O20 - уведомления Winlogon (Winlogon Notify) и модули инициализации (App Init DLLs) для Windows XP/2000/2003.
O21 - объекты загрузки оболочки (SSODL/Shell Service Object Delay Load). O22 - задачи Планировщика Windows (Shared Task Scheduler).
O23 - службы Windows NT/Microsoft Windows.
Секции R0, R1, R2, R3.
Изменения основных настроек Internet Explorer.
R0 - ваша домашняя страница (загружающаяся при старте IE) и поисковый ассистент браузера (Search Assistant).
R1 - настройки, связанные с интернет-поиском, плюс некоторые другие характеристики (IE Window Title; ProxyServer, ProxyOverride в настройках IE, Internet Connection Wizard: ShellNext и др.).
R2 - эта секция на данный момент не используется.
R3 - URL Search Hook - перехватчик поиска, который используется браузером для автоматического определения протокола (http://; ftp:// и т.д.) в тех случаях, когда вы указывайте адрес веб-сайта без него.
Некоторые используемые ключи реестра:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main: Start Page
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Start Page
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main, Search Page
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Search Page
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main, Default_Page_URL
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Default_Page_URL
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search, SearchAssistant
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search, CustomizeSearch
HKCU\SOFTWARE\Microsoft\Internet Explorer\Search, CustomizeSearch
HKCU\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchURL, Default
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Window Title
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main, Search Bar
HKCU\SOFTWARE\Microsoft\Internet Connection Wizard, ShellNext
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,
ProxyServer HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
Как это выглядит в логе:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
c:\secure32.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
c:\secure32.html R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-
DBE03910972} - C:\PROGRA~1\Toolbar\toolbar.dll
R3 - Default URLSearchHook is missing
Действие HijackThis при удалении строчки из этой секции: удаление соответствующей информации из реестра (далее по тексту этот пункт будет обозначатся сокращенно: Действие HijackThis).
Секции F0, F1, F2, F3.
Автозапуск программ из ini-файлов.
Речь идет о следующих системных файлах:
C:\WINDOWS\system.ini C:\WINDOWS\win.ini А также эквивалентных мест в реестре (для Windows NT/2000/2003/XP): HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping
F0 - автозапуск через параметр Shell= из файла system.ini
F1 - автозапуск через параметы Run= и Load= из файла win.ini F2 и F3 - то же самое, только для Windows NT/2000/2003/XP (запуск программ через реестр).
Как это выглядит в логе:
F0 - system.ini: Shell=explorer.exe winuser32.exe
F1 - win.ini: run=hpfsched
F2 - REG:system.ini: Shell=explorer.exe "С:\Program Files\Common
Files\Microsoft Shared\Web Folders\ibm00001.exe"
F3 - REG:win.ini: run=С:\WINDOWS\inet20001\services.exe
Действие HijackThis: удаление соответствующей записи из ini-файла/реестра (для предотвращения последующего автоматического запуска данного приложения).
Секции N1, N2, N3, N4.
Изменения начальной и поисковой страниц Netscape/Mozilla.
N1 - стартовая и поисковая страницы для Netscape 4.
N2 - стартовая и поисковая страницы для Netscape 6.
N3 - стартовая и поисковая страницы для Netscape 7.
N4 - стартовая и поисковая страницы для Mozilla.
Информация об этих настройках во всех 4-ех случаях хранится в файле с названием prefs.js.
Как это выглядит в логе:
N1 - Netscape 4: user_pref "browser.startup.homepage",
"www.coolwwwsearch.com");(C:\Program Files\Netscape\Users\default\
prefs.js)
Действие HijackThis: удаление соответствующей информации из файла prefs.js.
Секция O1.
Изменения в файле Hosts.
Файл Hosts участвует в процессе определения IP адреса сервера по его имени, и модификация этого файла может привести к нарушению данного процесса и подмене адреса любого хоста. Поэтому обнаружение в нем посторонних записей, особенно связанных с популярными поисковыми системами или антивирусными продуктами, однозначно свидетельствует о деятельности вредоносной программы.
По умолчанию в нем должна быть только одна строчка: 127.0.0.1 localhost (плюс комментарии, начинающиеся со знака #). Все остальное можно стирать.
Открыть и отредактировать файл Hosts можно любым текстовым редактором (например, Блокнот/Notepad), и по умолчанию он находится здесь:
Для Windows 95/98/ME: C:\WINDOWS\Hosts
Для Windows 2000/NT: C:\WINNT\system32\drivers\etc\Hosts
Для Windows 2003/XP: C:\WINDOWS\system32\drivers\etc\Hosts
Также имейте в виду, что в Windows NT/2000/XP его местоположение может быть изменено вредоносной программой с помощью следующего ключа реестра (HijackThis об этом сообщает):
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters, DatabasePath
Как это выглядит в логе:
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: <TITLE>404 Not Found</TITLE>
O1 - Hosts file is located at C:\Windows\Help\hosts
Действие HijackThis: удаление соответствующей записи в файле Hosts.
Секция O2.
Плагины и расширения браузера (BHO/Browser Helper Objects).
BHO представляют собой dll-библиотеки, которые каждый раз загружаются вместе с браузером, из-за чего их присутствие в системе долгое время может быть незаметным (большинство файрволов в этом случае тоже бессильны, так как с их точки зрения обмен с интернетом ведет процесс браузера).
Просмотреть полный список этих библиотек в Windows можно следующим образом (при условии, что версия IE не ниже шестой): Свойства Обозревателя > закладка Программы и кнопка Надстройки (Internet Options > закладка Programs и кнопка Manage Add-ons).
Используемый ключ реестра:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
Как это выглядит в логе:
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\cbxyvtq.dll O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet7_22.dll
Действие HijackThis: удаление как информации из реестра (включая раздел CLSID), так и вредоносного файла.
Секция O3.
Дополнительные панели инструментов браузера (Internet Explorer Тoolbars).
По своим функциям и поведению очень похожи на BHO, но помимо скрытой работы, как правило, добавляют в браузер еще и дополнительную панель инструментов.
Видимость этих панелей регулируется в верхнем меню IE: Вид > Панели инструментов (View > Тoolbars)
Используемый ключ реестра:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar
Как это выглядит в логе:
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Program Files\ISTbar\istbar.dll
O3 - Toolbar: Alexa - {3CEFF6CD-6F08-4e4d-BCCD-FF7415288C3B} - C:\WINDOWS\system32\SHDOCVW.DLL
Действие HijackThis: удаление информации из реестра (вредоносные файлы необходимо удалить после, вручную).
Секция O4.
Автозапуск программ из реестра и папки Startup.
Просмотреть список программ, запускающихся подобным образом, используя средства Windows, можно с помощью утилиты msconfig: Пуск > Применить; вписать msconfig; нажать ОК; и в открывшемся приложении последняя закладка - Автозагрузка (Start > Run; вписать msconfig; нажать ОК; и в открывшемся приложении последняя закладка - StartUp)
Используемые ключи реестра:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx И папки (для Windows XP):
Startup: C:\Documents and Settings\имя пользователя\Start Menu\
Programs\Startup
Global: C:\Documents and Settings\All Users\Start Menu\Programs\Startup
Как это выглядит в логе:
O4 - HKCU\..\Run: [Windows Security Protocol] win32sprot.exe
O4 - HKLM\..\Run: [Spooler SubSystem App]
C:\WINDOWS\System32\spooIsv.exe O4 - HKLM\..\RunServices: [Fire Well service] sdtersx.exe
O4 - Startup: mIRC IRC.BY.lnk = C:\Program Files\mIRC\mirc.exe
O4 - Global Startup: MSupdate.exe
Действие HijackThis: удаление записи в реестре/ярлыка из соответствующей папки (для предотвращения последующего автоматического запуска данного приложения).
Некоторые строчки этой секции HijackThis не удаляет, если соответствующая программа на данный момент активна. В этом случае необходимо предварительно завершить её процесс через Диспетчер Задач/Task Manader.
Секция O5.
Блокирование доступа к Свойствам Обозревателя (Internet Options) через Панель Управления (Control Panel).
В Windows это возможно сделать, добавив соответствующую запись в системный файл:
C:\WINDOWS\control.ini
Эта функция иногда используется администраторами.
Как это выглядит в логе:
O5 - control.ini: inetcpl.cpl=no
Действие HijackThis: удаление соответствующей записи в файле control.ini.
Секция O6.
Запрет на изменение некоторых Свойств Обозревателя (Internet Options).
Используемый ключ реестра:
HKCU\SOFTWARE\Policies\Microsoft\Internet Explorer\Restrictions
Как это выглядит в логе:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present Имейте в виду, что подобные ограничения также могут устанавливаться некоторыми антивирусами/антитроянами (например, Spybot S&D).
Действие HijackThis: удаление информации из реестра для отменены соответствующего запрета.
Секция O7.
Отключение доступа к Regedit.
Другими словами, это запрет на запуск утилиты Windows - regedit.exe, которая используется для редактирования реестра.
С одинаковой вероятностью может быть установлен как администратором, так и вредоносной программой.
Используемый ключ реестра:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Как это выглядит в логе:
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Действие HijackThis: удаление информации из реестра для отменены соответствующего запрета.
Секция O8.
Дополнительные пункты контекстного меню Internet Explorer.
Это меню появляется, когда вы кликаете по какой-либо ссылке правой кнопкой мыши.
Используемый ключ реестра:
HKCU\SOFTWARE\Microsoft\Internet Explorer\MenuExt
Как это выглядит в логе:
O8 - Extra context menu item: Проверить ссылку Dr.Web - http://www.drweb.com/online/drweb-online-ru.html O8 - Extra context menu item: Mail to a Friend... - http://client.alexa.com/holiday/script/actions/mailto.htm
Действие HijackThis: удаление соответствующей информации из реестра.
Секция O9.
Дополнительные кнопки и сервисы на главной панели IE.
Как правило, это всего лишь ссылки, которые не представляют особой опасности, пока вы на них не нажмете. И обычно при появлении новой кнопки появляется и новый сервис.
Все кнопки браузера более детальным образом можно посмотреть в верхнем меню IE:
Вид > Панели инструментов > Настройка (View > Тoolbars > Customize) Инструменты же находятся здесь: Tools/Сервис
Используемые ключи реестра:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions
HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions
Как это выглядит в логе:
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - С:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - С:\Program Files\ICQLite\ICQLite.exe
Действие HijackThis: удаление соответствующей информации из реестра.
Секция O10.
Winsock LSP (Layered Service Provider - поставщик многоуровневых услуг).
Winsock LSP обрабатывает данные, передаваемые по протоколу TCP/IP, который используется для связи с сетью и интернетом. И в процессе передачи/приема данных по этому протоколу информация последовательно проходит все установленные на компьютере LSP (представляют собой dll-библиотеки). Если один из этих файлов будет некорректно удален, то цепочка обработки нарушается, и работа по протоколу TCP/IP становится невозможной. Также в Winsock может быть добавлен посторонний файл, с помощью которого у кого-то появится возможность перехватывать ваши исходящие данные. И сразу нужно заметить, что многие антивирусы и файрволы могут вполне "законно" находится в этой секции (например, Dr.Web, Sygate Firewall, Mcafee Personal Firewall).
Как это выглядит в логе:
O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'mswsock.dll' missing O10 - Unknown file in Winsock LSP: c:\windows\system32\msspi.dll
Действие HijackThis: для восстановления цепи обработки TCP/IP рекомендуется использовать AVZ, а не HijackThis.
Секция O11.
Новая группа настроек в Свойствах Обозревателя (Internet Options), в закладке Дополнительно (Advanced).
С помощью следующего ключа реестра:
HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions
в закладку Дополнительно (Advanced) действительно возможно добавить совершенно новую группу настроек.
Как это выглядит в логе:
O11 - Options group: [CommonName] CommonName
O11 - Options group: [TB] Toolbar
Действие HijackThis: удаление соответствующей информации из реестра.
Секция O12.
Плагины Internet Explorer. Это программы, которые загружаются вместе с IE, чтобы добавить браузеру некоторые функциональные возможности (например, просмотрщик PDF).
Используемый ключ реестра:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Plugins
Как это выглядит в логе:
O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\ nppdf32.dll
Действие HijackThis: удаление как информации из реестра, так и вредоносного файла.
Секция O13.
Префиксы IE.
Префикс здесь - это то, что ваш браузер автоматически добавляет в тех случаях, когда вы не указываете протокол (http://; ftp:// и т.д.) в адресе какого-либо веб-сайта. То есть, если вы ввели google.com, а префикс, установленный по умолчанию в вашей системе перед этим был изменен, например, на http://ehttp.cc/?, браузер откроет страницу http://ehttp.cc/?google.com.
Используемые ключи реестра:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefix HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix
Как это выглядит в логе:
O13 - DefaultPrefix: http://ehttp.cc/?
O13 - WWW Prefix: http://www.nkvd.us/1507/
Действие HijackThis: сбрасывание значений префиксов на стандартные.
Секция O14.
Изменения в файле iereset.inf.
Когда вы используете кнопку сбрасывания настроек браузера, IE использует следующий системный файл (для Windows XP):
С:\WINDOWS\inf\iereset.inf
Если информация в нем будет изменена, то операция восстановления начальных настроек IE обычным способом будет невозможна.
Как это выглядит в логе:
O14 - IERESET.INF: START_PAGE_URL=http://portal/
O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com
Действие HijackThis: удаление соответствующей информации из файла iereset.inf.
Секция O15.
Веб-сайты и протоколы, добавленные в зону Надежные узлы (Trusted Zone).
Используемые ключи в реестре:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults
Как это выглядит в логе:
O15 - Trusted Zone: *.masspass.com
O15 - Trusted Zone: http://update.randhi.com (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)
Действие HijackThis: удаление сайта/протокола из зоны Надежные узлы Trusted Zone.
Секция O16.
Программы, загруженные с помощью ActiveX.
ActiveX - это компонент (.dll или .ocx), благодаря которому достигается лучшее взаимодействие с определенным веб-сайтом (к примеру, очень многие антивирусные он-лайн сканирования работают именно через ActiveX; обновления Microsoft; система webmoney и т.д.).
Вредоносные же ActiveX-компоненты обычно устанавливаются для последующей загрузки дополнительного программного обеспечения без вашего ведома.
Используемый ключ реестра:
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units
Или папка:
C:\WINDOWS\Downloaded Program Files
Как это выглядит в логе:
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} (loader Class) - http://217.73.66.1/del/loader.cab O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab
Действие HijackThis: удаление вредоносного компонента и информации о нем в системном реестре.
Секция O17.
Изменения домена или DNS сервера. Подобные модификации могут использоваться для перенаправления пользователя на сторонние сайты за счет изменения соответствий IP-адреса и доменного имени.
Как это выглядит в логе:
O17 - HKLM\SYSTEM\CCS\Services\VxD\MSTCP: Domain = aoldsl.net O17 - HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
Действие HijackThis: удаление соответствующего ключа из реестра.
Секция O18.
Изменения существующих протоколов и фильтров.
Используемые ключи реестра:
HKLM\SOFTWARE\Classes\PROTOCOLS HKLM\SOFTWARE\Classes\CLSID HKLM\SOFTWARE\Classes\PROTOCOLS\Handler HKLM\SOFTWARE\Classes\PROTOCOLS\Filter
Как это выглядит в логе:
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96} O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINDOWS\httpfilter.dll O18 - Protocol: about - {53B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\System32\msxmlpp.dll
Действие HijackThis: удаление соответствующего ключа из реестра.
Секция O19.
Шаблон Стиля (Style Sheet) пользователя.
Это ваш шаблон, в котором записана информация о цветах, шрифтах, расположении и некоторых других параметрах рассматриваемых в браузере страниц.
Используемый ключ реестра:
HKCU\SOFTWARE\Microsoft\Internet Explorer\Styles: User Stylesheets
Как это выглядит в логе:
O19 - User stylesheet: C:\WINDOWS\Web\win.def
O19 - User stylesheet: C:\WINDOWS\default.css
Действие HijackThis: удаление соответствующей информации из реестра.
Секция O20.
Уведомления Winlogon (Winlogon Notify) и модули инициализации (App Init DLLs) для Windows XP/2000/2003.
Модули инициализации (App Init DLLs) загружаются в каждое Windows-приложение, использующее библиотеку user32.dll (а её используют практически все):
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs
А также ключи Winlogon Notify (dll-библиотека в таком случае загружается вместе с процессом winlogon.exe):
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
Как это выглядит в логе:
O20 - AppInit_DLLs: C:\WINDOWS\System32\dbgwin.dll
O20 - Winlogon Notify: Group Policy - C:\WINDOWS\system32\h0n0la5m1d.dll
Действие HijackThis: удаление соответствующей информации из реестра.
Секция O21.
Объекты загрузки оболочки (SSODL/Shell Service Object Delay Load).
Библиотеки, которые при каждом старте системы автоматически загружаются как расширения проводника (вместе с процессом еxplorer.exe), используя ключ ShellServiceObjectDelayLoad:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
Как это выглядит в логе:
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
Действие HijackThis: удаление соответствующей записи из реестра.
Секция O22.
Задачи Планировщика Windows (Shared Task Scheduler).
Планировщик Задач Windows отвечает за автоматический запуск определённых программ в установленное вами время.
Используемый ключ в реестре:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
Как это выглядит в логе:
O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - C:\Windows\system32\mtwirl32.dll
Действие HijackThis: удаление соответствующего задания.
Секция O23.
Службы Windows NT/Microsoft Windows.
Службы/Сервисы - это приложения, запускаемые в фоновом режиме во время загрузки системы или при возникновении определенных событий и обеспечивающие основные функциональные возможности ОС. Как правило, службы не имеют графического интерфейса, поэтому их работа в большинстве своем не заметна для пользователя.
Любая служба может быть запущена автоматически при загрузке операционной системы и начать работу еще до того, как пользователь произведет вход в Windows.
Просмотреть список всех служб, установленных на компьютере, можно следующим образом:
Пуск > Выполнить; вписать services.msc; нажать ОК
(Start > Run; вписать services.msc; нажать ОК)
Как это выглядит в логе:
O23 - Service: Power Manager - Unknown - C:\WINDOWS\svchost.exe O23 - Service: K4NV - Unknown owner - C:\WINDOWS\k4nv.exe
Действие HijackThis: остановка службы и изменение типа её запуска (StartUp Type) на Отключено (Disabled).
Copyright (c) Saule, 2006