Несоответствия

Эта вкладка отображает состояние некоторых параметров операционной системы, часто подвергающихся атакам со стороны программ-паразитов. Если, по какой-то причине, Вы не хотите, чтобы Browser Sentinel уведомлял Вас когда появляется несоответствие для какого-то параметра, просто отключите опцию "Уведомить когда положит.".

Пожалуйста, обратите внимание, что есть и легитимные программы, использующие параметры, описанные ниже. Перед тем как исправить несоответствие, убедитесь, что исправление действительно необходимо.


Запуск из оболочки (Shell Spawning). Когда вы делаете два клика на файле, чтобы запустить его, Windows просматривает реестр, чтобы найти команду ассоциированную с файлом, если команда найдена - она запускается. Программы-паразиты могут модифицировать такие команды, чтобы запускать свои программы.

Browser Sentinel следит за следующими ключами, чтобы определить присутствие запуска из оболочки:

  • HKEY_CLASSES_ROOT\exefile\shell\open\command;
  • HKEY_CLASSES_ROOT\comfile\shell\open\command;
  • HKEY_CLASSES_ROOT\batfile\shell\open\command;
  • HKEY_CLASSES_ROOT\piffile\shell\open\command.

Захват UserInit (UserInit Hijack). Значение реестра userinit содержит имя файла, который Windows запускает при входе пользователя. Этот файл - userinit.exe - программа, которая выполняет несколько задач при входе, например, запуск сценариев входа или установка сетевых соединений. В конце своей работы, userinit.exe запускает Explorer.exe - графический интерфейс пользователя Windows. Программа-паразит может подменить имя файла userinit.exe своим файлом, чтобы выполнять свои гнусные "делишки" при входе пользователя. Параметр userinit хранится в реестре в ключе: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows NT \CurrentVersion \Winlogon.

Захват оболочки (Shell Hijack). Оболочка - это графический интерфейс пользователя ОС Windows (GUI), используемый для управления операционной системой. Как правило, это файл Explorer.exe. Оболочка запускается программой userinit.exe после входа пользователя. Программа-паразит может поменять значение в реестре, чтобы запускался ее файл, вместо Explorer.exe. Параметр для файла оболочки хранится в реестре в ключе: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows NT \CurrentVersion \Winlogon.

Троянский Explorer (Trojan Explorer). Когда пользователь выполняет вход, Windows запускает файл explorer.exe, расположенный в папке Windows. Однако, если существует файл c:\explorer.exe, то Windows запустит именно его, а не тот, который расположен в папке Windows.

Отсутствует стандартный перехватчик поиска (Default search hook is missing). Перехватчик поиска используется когда Вы вводите адрес веб-сайта в браузере, но не указываете протокол (http:// или ftp://). Тогда браузер пытается выяснить нужный протокол самостоятельно и, если ему это не удастся, он использует установленные перехватчики поиска для поиска введенного адреса. Windows предоставляет стандартный перехватчик поиска, который обычно используется для поиска адреса. Программа-паразит может удалить стандартный перехватчик, чтобы получить контроль над поисковыми запросами. Идентификатор CLSID стандартного перехватчика - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} хранится в ключе HKEY_CURRENT_USER \Software \Microsoft \Internet Explorer \URLSearchHooks.

Захват GINA DLL (GINA DLL Hijack). GINA - Графическая идентификация и аутентификация (Graphical Identification and Authentication) - это DLL-модуль, часть интерактивной модели входа Windows. Процедура интерактивного входа обычно контролируется программой Winlogon, MSGina.dll и сетевыми поставщиками. Чтобы изменить процедуру входа в Windows, файл MSGina.dll может быть заменен другим, измененным модулем GINA. Программа-шпион может подменить стандартный модуль GINA, чтобы красть пароли пользователей или выполнять дополнительные операции при выполнении входа в Windows. Параметр GINA хранится в реестре в следующем ключе: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows NT \CurrentVersion \Winlogon.

Захват пользовательского стиля (User Style Sheet Hijack). Пользовательский стиль - это шаблон того, как будут выглядеть веб-страницы (цвета, шрифты, расположение). Пользовательские стили обычно используются людьми с ограниченными возможностями. Но программа-паразит может изменить пользовательский стиль на любом компьютере, чтобы показывать рекламу или перенаправлять запросы к веб-сайтам. Чтобы изменить пользовательский стиль, можно либо изменить ключ в реестре: HKEY_CURRENT_USER \Software \Microsoft \Internet Explorer \Styles, либо использовать Панель управления: Свойства обозревателя -> Оформление -> Пользовательский стиль страницы.

Диспетчер задач отключен (Task Manager Disabled). Политика безопасности, которая не позволяет пользователю запускать Диспетчер задач. Если эта политика включена, и пользователь пытается запустить Диспетчер задач, появляется сообщение о том, что текущая политика безопасности не позволяет выполнить это действие. Диспетчер задач позволяет пользователю запускать и завершать программы; следить за производительностью компьютера; просматривать все исполняющиеся программы, включая системные службы; изменять приоритет процессов; находить имена исполняемых файлов приложений. Данная политика может использоваться паразитами, чтобы предотвратить принудительное завершение их процессов пользователем. Политика может быть включена или выключена изменением следующего значения в реестре: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Policies \System, DisableTaskMgr.

Панель управления отключена (Control Panel Disabled). Политика безопасности, которая отключает все программы Панели управления. Эта политика не допускает запуск файла Панели управления Control.exe. В результате, пользователь не может открыть Панель управления или запустить какую-либо из ее программ. Эта политика также удаляет ярлык Панель управления из меню Пуск и скрывает папку Панели управления в Проводнике. Если пользователь пытается открыть Панель управления через контекстное меню, то появляется сообщение о том, что текущая политика безопасности не позволяет выполнить это действие. Данная политика может использоваться паразитами, чтобы помешать пользователю изменить Свойства обозревателя или деинсталлировать программу. Политика может быть включена или отключена изменением следующего значения в реестре: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Policies \Explorer, NoControlPanel. Вы должны перезагрузить Windows после изменения этого значения.

Инструменты реестра отключены (Registry Tools Disabled). Политика безопасности, которая отключает стандартные редакторы реестра Windows: Regedt32.exe и Regedit.exe. Если эта политика включена, и пользователь пытается запустить редактор реестра, то появляется сообщение о том, что текущая политика безопасности не позволяет выполнить это действие. Данная политика может использоваться паразитами для предотвращения удаления пользователем их ключей в реестре. Политика может быть включена или выключена изменением следующего значения в реестре: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Policies \System, DisableRegistryTools.