HijackThis изначально создавался Мерийном Беллекомом (Merijn Bellekom) как инструмент для обнаружения и удаления различного рода троянских программ, перенастраивающих параметры браузера и других приложений системы без ведома пользователя; и впоследствии программа получила очень широкое распространение.

HijackThis рассчитан на более-менее опытных пользователей, имеющих представление о том, как работает ОС Windows, так как программа в первую очередь позволяет вносить изменения во многие участки операционной системы. И неумелое их редактирование может повлечь за собой серьезные последствия для ОС.

Основное назначение программы: обнаружение и исправление изменений в настройках наиболее уязвимых областей операционной системы. А главная её функция заключается в автоматическом исследовании этих областей и вывода собранной информации в виде удобного лога (отчёта).

• HijackThis совершенно бесплатен.
• Вес программы: чуть более 200 Кб.
• Не выдвигает каких-либо особых системных требований.
• Для работы нуждается в минимальном количестве ресурсов компьютера.
• Любое сканирование программы занимает всего несколько секунд.
• Не обменивается информацией с сетью и интернетом, поэтому для использования не требуются какие-либо дополнительные настройки файрвола.

Скачать HijackThis [v1.99.1] можно по следующим адресам:

• merijn.org
  
• spywareinfo.com
  
• bleepingcomputer.com

Стартовое окошко программы:

И назначения кнопок, на нем расположенных:

Do a systemscan and save a logfile - сканирование и автоматическое сохранение лога (по умолчанию лог сохраняется в папке программы с названием hijackthis.log).
Do a system scan only - только сканирование.
View the list of backups - открытие списка бэкапов (перед тем, как что-либо удалить, HijackThis по умолчанию автоматически создает резервную копию удаляемого элемента).
Open the Misc Tools selection - другие инструменты программы (на этом мы подробно остановимся немного позже).
Open online HijackThis Quick Start - автоматически открывает страницу HijackThis Quick Start (краткое ознакомление с программой на английском языке).
Non of the above, just start the program - ничего из вышеперечисленного, простой запуск программы.
И как только вы немного освоитесь, советую поставить галочку напротив "Don't show this frame again when I start HijackThis", чтобы начинать работу с программой без этого начального фрейма.

Плюс немного забегая вперед, сразу дам параметры для запуска "Джека" из командной строки:

С элементами лога возможны следующие манипуляции:

- Удаление: отмечаем нужную строчку галочкой и нажимаем на кнопку "Fix сhecked".
Если удаляемый элемент каким-либо образом касается браузера, то его (браузер) обязательно предварительно нужно закрыть.
- Занесение в игнор-лист (касается элементов в надежности которых вы уверены): отмечаем нужную строчку галочкой и нажимаем на кнопку "Add checked to ignorelist".
Элементы, занесенные в игнор-лист, в дальнейших отчетах отображаться не будут.

Основной принцип при анализе лога: удаление элементов, о существовании которых вы до недавнего времени и не предполагали (при условии, что вы достаточно хорошо знакомы со своей операционной системой). И занесение в игнор-лист "проверенных" приложений, установленных исключительно вами.

Каждая строчка в логе HijackThis начинается со своего определенного обозначения (названия секции).

Изменения основных настроек Internet Explorer.

R0 - ваша домашняя страница (загружающаяся при старте IE) и поисковый ассистент браузера (Search Assistant).

Некоторые используемые ключи реестра:

Как это выглядит в логе:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - C:\PROGRA~1\Toolbar\toolbar.dll
R3 - Default URLSearchHook is missing

Действие HijackThis при удалении строчки из этой секции: удаление соответствующей информации из реестра (далее по тексту этот пункт будет обозначатся сокращенно: Действие HijackThis).

Автозапуск программ из ini-файлов.

Речь идет о следующих системных файлах:

Как это выглядит в логе:

F0 - system.ini: Shell=explorer.exe winuser32.exe
F1 - win.ini: run=hpfsched
F2 - REG:system.ini: Shell=explorer.exe "С:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
F3 - REG:win.ini: run=С:\WINDOWS\inet20001\services.exe

Действие HijackThis: удаление соответствующей записи из ini-файла/реестра (для предотвращения последующего автоматического запуска данного приложения).

Изменения начальной и поисковой страниц Netscape/Mozilla.

Информация об этих настройках во всех 4-ех случаях хранится в файле с названием prefs.js.

Как это выглядит в логе:

N1 - Netscape 4: user_pref "browser.startup.homepage", "www.coolwwwsearch.com"); (C:\Program Files\Netscape\Users\default\prefs.js)

Действие HijackThis: удаление соответствующей информации из файла prefs.js.

Изменения в файле Hosts.

Файл Hosts участвует в процессе определения IP адреса сервера по его имени, и модификация этого файла может привести к нарушению данного процесса и подмене адреса любого хоста. Поэтому обнаружение в нем посторонних записей, особенно связанных с популярными поисковыми системами или антивирусными продуктами, однозначно свидетельствует о деятельности вредоносной программы.

Открыть и отредактировать файл Hosts можно любым текстовым редактором (например, Блокнот/Notepad), и по умолчанию он находится здесь:

Также имейте в виду, что в Windows NT/2000/XP его местоположение может быть изменено вредоносной программой с помощью следующего ключа реестра (HijackThis об этом сообщает):

Как это выглядит в логе:

Плагины и расширения браузера (BHO/Browser Helper Objects).

BHO представляют собой dll-библиотеки, которые каждый раз загружаются вместе с браузером, из-за чего их присутствие в системе долгое время может быть незаметным (большинство файрволов в этом случае тоже бессильны, так как с их точки зрения обмен с интернетом ведет процесс браузера).

Просмотреть полный список этих библиотек в Windows можно следующим образом (при условии, что версия IE не ниже шестой):
Свойства Обозревателя > закладка Программы и кнопка Надстройки (Internet Options > закладка Programs и кнопка Manage Add-ons).

Используемый ключ реестра:

Как это выглядит в логе:

Действие HijackThis: удаление как информации из реестра (включая раздел CLSID), так и вредоносного файла.

Дополнительные панели инструментов браузера (Internet Explorer Тoolbars).

По своим функциям и поведению очень похожи на BHO, но помимо скрытой работы, как правило, добавляют в браузер еще и дополнительную панель инструментов примерно следующего типа (google берем как пример, чтобы было понятнее, о чем идет речь):

Видимость этих панелей регулируется в верхнем меню IE:
Вид > Панели инструментов (View > Тoolbars)

Используемый ключ реестра:

Как это выглядит в логе:

Действие HijackThis: удаление информации из реестра (вредоносные файлы необходимо удалить после, вручную).

Автозапуск программ из реестра и папки Startup.

Просмотреть список программ, запускающихся подобным образом, используя средства Windows, можно с помощью утилиты msconfig:
Пуск > Применить; вписать msconfig; нажать ОК; и в открывшемся приложении последняя закладка - Автозагрузка
(Start > Run; вписать msconfig; нажать ОК; и в открывшемся приложении последняя закладка - StartUp)

Используемые ключи реестра:

Как это выглядит в логе:

O4 - HKCU\..\Run: [Windows Security Protocol] win32sprot.exe
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spooIsv.exe
O4 - HKLM\..\RunServices: [Fire Well service] sdtersx.exe
O4 - Startup: mIRC IRC.BY.lnk = C:\Program Files\mIRC\mirc.exe
O4 - Global Startup: MSupdate.exe

Действие HijackThis: удаление записи в реестре/ярлыка из соответствующей папки (для предотвращения последующего автоматического запуска данного приложения).

Блокирование доступа к Свойствам Обозревателя (Internet Options) через Панель Управления (Control Panel).

В Windows это возможно сделать, добавив соответствующую запись в системный файл:

Как это выглядит в логе:

Действие HijackThis: удаление соответствующей записи в файле control.ini.

Запрет на изменение некоторых Свойств Обозревателя (Internet Options).

Используемый ключ реестра:

Как это выглядит в логе:

Действие HijackThis: удаление информации из реестра для отменены соответствующего запрета.

Отключение доступа к Regedit.

Другими словами, это запрет на запуск утилиты Windows - regedit.exe, которая используется для редактирования реестра.

Используемый ключ реестра:

Как это выглядит в логе:

Действие HijackThis: удаление информации из реестра для отменены соответствующего запрета.

Дополнительные пункты контекстного меню Internet Explorer.

Это меню появляется, когда вы кликаете по какой-либо ссылке правой кнопкой мыши:

Используемый ключ реестра:

Как это выглядит в логе:

Действие HijackThis: удаление соответствующей информации из реестра.

Дополнительные кнопки и сервисы на главной панели IE.

Как правило, это всего лишь ссылки, которые не представляют особой опасности, пока вы на них не нажмете. И обычно при появлении новой кнопки появляется и новый сервис.

Все кнопки браузера более детальным образом можно посмотреть в верхнем меню IE:
Вид > Панели инструментов > Настройка (View > Тoolbars > Customize)
Инструменты же находятся здесь: Tools/Сервис

Используемые ключи реестра:

Как это выглядит в логе:

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - С:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - С:\Program Files\ICQLite\ICQLite.exe

Действие HijackThis: удаление соответствующей информации из реестра.

Winsock LSP (Layered Service Provider - поставщик многоуровневых услуг).

Winsock LSP обрабатывает данные, передаваемые по протоколу TCP/IP, который используется для связи с сетью и интернетом. И в процессе передачи/приема данных по этому протоколу информация последовательно проходит все установленные на компьютере LSP (представляют собой dll-библиотеки). Если один из этих файлов будет некорректно удален, то цепочка обработки нарушается, и работа по протоколу TCP/IP становится невозможной.

Как это выглядит в логе:

Действие HijackThis: для восстановления цепи обработки TCP/IP рекомендуется использовать программу LSP-Fix, а не HijackThis.

Новая группа настроек в Свойствах Обозревателя (Internet Options), в закладке Дополнительно (Advanced).

С помощью следующего ключа реестра:

Как это выглядит в логе:

Действие HijackThis: удаление соответствующей информации из реестра.

Плагины Internet Explorer.

Это программы, которые загружаются вместе с IE, чтобы добавить браузеру некоторые функциональные возможности (например, просмоторщик PDF).

Используемый ключ реестра:

Как это выглядит в логе:

Действие HijackThis: удаление как информации из рееста, так и вредоносного файла.

Префиксы IE.

Префикс здесь - это то, что ваш браузер автоматически добавляет в тех случаях, когда вы не указываете протокол (http://; ftp:// и т.д.) в адресе какого-либо веб-сайта.

Используемые ключи реестра:

Как это выглядит в логе:

O13 - DefaultPrefix: http://ehttp.cc/?
O13 - WWW Prefix: http://www.nkvd.us/1507/

Действие HijackThis: сбрасывание значений префиксов на стандартные.

Изменения в файле iereset.inf.

Когда вы используете кнопку сбрасывания настроек браузера, IE использует следующий системный файл (для Windows XP):

Как это выглядит в логе:

Действие HijackThis: удаление соответствующей информации из файла iereset.inf.

Веб-сайты и протоколы, добавленные в зону Надежные узлы (Trusted Zone).

Используемый ключи в реестре:

Как это выглядит в логе:

O15 - Trusted Zone: *.masspass.com
O15 - Trusted Zone: http://update.randhi.com (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)

Действие HijackThis: удаление сайта/протокола из зоны Надежные узлы Trusted Zone.

Программы, загруженные с помощью ActiveX.

ActiveX - это компонент (.dll или .ocx), благодаря которому достигается лучшее взаимодействие с определенным веб-сайтом (к примеру, очень многие антивирусные он-лайн сканирования работают именно через ActiveX; обновления Microsoft; система webmoney и т.д.).

Используемый ключ реестра:

Как это выглядит в логе:

O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} (loader Class) - http://217.73.66.1/del/loader.cab
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab

Действие HijackThis: удаление вредоносного компонента и информации о нем в системном реестре.

Изменения домена или DNS сервера.

Как это выглядит в логе:

Действие HijackThis: удаление соответствующего ключа из реестра.

Изменения существующих протоколов и фильтров.

Используемые ключи реестра:

Как это выглядит в логе:

O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}
O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINDOWS\httpfilter.dll
O18 - Protocol: about - {53B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\System32\msxmlpp.dll

Действие HijackThis: удаление соответствующего ключа из реестра.

Шаблон Стиля (Style Sheet) пользователя.

Это ваш шаблон, в котором записана информация о цветах, шрифтах, расположении и некоторых других параметрах рассматриваемых в браузере страниц.

Используемый ключ реестра:

Как это выглядит в логе:

Действие HijackThis: удаление соответствующей информации из реестра.

Уведомления Winlogon (Winlogon Notify) и модули инициализации (App Init DLLs) для Windows XP/2000/2003.

Модули инициализации (App Init DLLs) загружаются в каждое Windows-приложение, использующее библиотеку user32.dll (а её используют практически все):

А также ключи Winlogon Notify (dll-библиотека в таком случае загружается вместе с процессом winlogon.exe):

Как это выглядит в логе:

Действие HijackThis: удаление соответствующей информации из реестра.

Объекты загрузки оболочки (SSODL/Shell Service Object Delay Load).

Библиотеки, которые при каждом старте системы автоматически загружаются как расширения проводника (вместе с процессом еxplorer.exe), используя ключ ShellServiceObjectDelayLoad:

Как это выглядит в логе:

Действие HijackThis: удаление соответствующей записи из реестра.

Задачи Планировщика Windows (Shared Task Scheduler).

Планировщик Задач Windows отвечает за автоматический запуск определённых программ в установленное вами время.

Используемый ключ в реестре:

Как это выглядит в логе:

Действие HijackThis: удаление соответствующего задания.

Службы Windows NT/Microsoft Windows.

Службы/Сервисы - это приложения, запускаемые в фоновом режиме во время загрузки системы или при возникновении определенных событий и обеспечивающие основные функциональные возможности ОС. Как правило, службы не имеют графического интерфейса, поэтому их работа в большинстве своем не заметна для пользователя.

Просмотреть список всех служб, установленных на компьютере, можно следующим образом:
Пуск > Выполнить; вписать services.msc; нажать ОК
(Start > Run; вписать services.msc; нажать ОК)

Как это выглядит в логе:

Действие HijackThis: остановка службы и изменение Типа её Запуска (StartUp Type) на Отключено (Disabled).

Если же есть желание удалить службу, то это осуществляется несколькими способами:

С помощью командной строки:
Пуск > Выполнить; вписать sc delete имя службы; нажать ОК
(Start > Run; вписать sc delete имя службы; нажать ОК)

Через реестр:
HKLM\SYSTEM\CurrentControlSet\Services
HKLM\SYSTEM\ControlSet001\Services
HKLM\SYSTEM\ControlSet002\Services
HKLM\SYSTEM\ControlSet003\Services
HKLM\SYSTEM\ControlSet004\Services
HKLM\SYSTEM\ControlSet005\Services

Либо используя HijackThis и его раздел инструментов - Misc Tools...

Как и обещала, останавливаемся на нем поподробнее.

- папки Startup и All Users Startup;
- стандартные ключи реестра, отвечающие за автозагрузку;
- параметр Userinit (HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit);
- ассоциации расширений .EXE, .COM, .BAT, .PIF, .SCR, .HTA, .TXT;
- перечисление Active Setup stub paths (HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components);
- перечисление автозагружающихся приложений ICQ (HKCU\SOFTWARE\Mirabilis\ICQ\Agent\Apps);
- автозапуск из ini-файлов или эквивалентных им мест реестра;
- проверка на видимость следующих расширений: .lnk, .pif, .exe, .com, .bat, .hta, .scr, .shs, .shb, .vbs, .vbe, .wsh, .scf, .url, .js, .jse;
- проверка на наналичие файла еxplorer.exe в нескольких папках;
- проверка на оригинальность файла regedit.exe;
- BHO;
- назначенные задания Планировщика Задач;
- папка Download Program Files;
- перечесление файлов Winsock LSP;
- список служб Microsoft Windows;
- перечесление скриптов Windows NT logon/logoff;
- расширения еxplorer.exe (ShellServiceObjectDelayLoad)

- Просмотреть список используемых библиотек для каждого из процессов. Для этого ставим галочку напротив надписи "Show DLLs".
- Сохранить список как всех процессов, так и dll-библиотек какого-либо из них в текстовый файл (processlist.txt). Для этого нажимаем на кнопку в виде желтой дискеты - .
- Скопировать эту же информацию в буфер временной памяти, кнопка рядом - ("Copy list to clipboard").
- Открыть Свойства (Properties) любого из файлов, кликнув по нужному двойным кликом.
- Завершить какой-либо из процессов с помощью кнопки "Kill process".

Чтобы выйти из менеджера процессов - нажмите на кнопку "Back" (с помощью этой кнопки можно выйти из любого приложения HijackThis).

Delete line(s) - удалить строку(строки).
Toggle line(s) - добавить или убрать в начале строки(строк) знак # (строки, начинающиеся с этого знака, считаются комментарием и не читаются операционной системой).
Open in Notepad - открыть файл Hosts в Блокноте.

ADS (Alternate Data Streams) - "альтернативные потоки данных" - появились в Windows с введением файловой системы NTFS и, в сущности, были созданы для обеспечения совместимости с HFS (Hierarchical File System - устаревшая файловая система Macintosh). Суть организации HFS состоит в раздвоении файла на файл данных и файл ресурсов. В файле данных находится содержимое документа, а в файле ресурсов - идентификатор типа файла и другие свойства. Нечто подобное стало возможным и в Windows (говоря простым языком, присоединение к видимым файлам абсолютно невидимых), и спустя какое-то время некоторые вирусописатели взяли себе это на вооружение.

ADS нельзя просмотреть, используя стандартные методы (через командную строку или с помощью Windows Explorer), и очень немногие антивирусы способны их обнаруживать (а для тех, кто способен, в любом случае необходима дополнительная настройка). Поэтому в целях собственной безопасности рекомендуется время от времени использовать специальные утилиты, созданные именно для обнаружения и удаления файлов, использующих альтернативные потоки данных. ADS Spy - как раз одна из таких утилит:

Назначение основных кнопок:

Scan - сканирование на наличие в системе ADS.
Save log - сохранить отчет (adsspy.txt).
Remove selected - удалить выбранные.

Менеджер Деинсталляций позволяет:

Дополнительные настройки сканирования HijackThis:

Calculate MD5 of files if possible - вычислять при сканировании контрольные суммы MD5 у тех файлов, у которых это возможно.
Как это выглядит в логе:

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\saIE.dll (filesize 514264 bytes, MD5 A572BB8B39C5C06381CB2A27340855A1)
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp (filesize 33280 bytes, MD5 DA285490BBD8A1D0CE6623577D5BA1FF)

Include enviroment variables in logfile - включить в лог переменные окружающей среды ОС.
Как это выглядит в логе:

Windows folder: C:\WINDOWS
System folder: C:\WINDOWS\SYSTEM32
Hosts file: C:\WINDOWS\System32\drivers\etc\hosts

К слову: отчет HijackThis всегда начинается с общей информации следующего характера:

Logfile of HijackThis v1.99.1 - версия HijackThis.
Scan saved at 19:37:03, on 08.07.2006 - дата и время сканирования.
Platform: Windows XP SP2 (WinNT 5.01.2600) - операционная система.
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) - версия Internet Explorer.

Плюс обязательно указываются все активные процессы системы на момент создания лога (Running processes).

И последнии кнопки раздела Misc Tools:
Update check - проверка обновлений программы.
Uninstall HijackThis - деинсталляция HijackThis.

Я очень надеюсь, что это краткое руководство поможет вам разобраться в возможностях HijackThis и даст хоть какие-то ориентиры для анализа и контроля общего состояния вашей операционной системы...