База Данных

Вкладка "Автозагрузка" отображает не только стандартные элементы автозапуска Windows, но и скрытые ключи реестра, которые эксплуатируют современные вирусы-трояны и майнеры. Модуль разделен на 4 критических сектора:

[REGISTRY_DATA] Реестр

Сканирование глубинных ключей автозапуска:

• Run: Стандартная автозагрузка. Программы запускаются при входе пользователя.
• RunOnce: Одноразовая автозагрузка. Записи автоматически удаляются после отработки.
• Winlogon: Контроль входа в систему. Должны присутствовать строго 2 параметра: Shell = explorer.exe и Userinit = C:\Windows\System32\userinit.exe. Иное — признак заражения.
• AppInit_DLLs: Механизм внедрения пользовательских DLL в каждое запущенное приложение.
• CmdLine: Консольные приложения, стартующие до экрана блокировки.

[SYS_FOLDER] Папка автозагрузки

Физическая директория Windows. Исполняемые файлы и ярлыки в этой папке стартуют вместе с профилем пользователя.

[TASK_SCHED] Планировщик задач

Встроенный компонент Windows. Вирусы часто создают скрытые задачи для для своей автозагрузки.

[SERVICES] Системные службы

Фоновая автозагрузка без пользовательского интерфейса. Модуль позволяет выявлять и удалять сторонние вредоносные службы.

Данный модуль предназначен для принудительного обхода блокировок, наложенных вирусами-вымогателями и блокировщиками на системные утилиты.

[TARGET_ZONES] Зоны сканирования

• Обычные ограничения: Блокировка Диспетчера задач, Редактора реестра, CMD.
• ScancodeMap: Вредоносное переназначение или блокировка клавиш клавиатуры.
• Debuggers: Подмена запуска. Вирус прописывает себя отладчиком (debugger) для популярных антивирусов или системных утилит, блокируя их запуск.
• DisallowRun: Системные "черные списки" запрещенных к запуску программ.
• HostsFile: Анализ файла hosts на предмет фишинговых перенаправлений сайтов.

Конфигурация поведения утилиты NHelper в зараженной среде.

• Быть поверх всех окон: Критически важно при активных баннерах-вымогателях. Окно NHelper перекроет вирусный интерфейс.
• Среда winRE: Управление директорией сохранения файлов для среды восстановления Windows.
• Режим "Среда восстановления": Если запуск происходит с LiveUSB/winRE, активируйте этот триггер для правильной маршрутизации реестра офлайн-системы.
• Выбор пользователя: Таргетирование конкретного профиля Windows для чистки.

Продвинутый арсенал для "ручного" восстановления операционной системы. Разделен на встроенное ПО и терминальные команды.

[SYS_COMMANDS] Системные команды

• Выйти из пользователя: Завершение текущего сеанса.
• Войти в winRE: Загрузка среды восстановления Windows.
• Выполнить: Открывает диалоговое окно для быстрого запуска программ (аналог Win+R).
• Вернуть русский язык: Восстанавливает стандартную раскладку после вирусной блокировки.
• Вернуть стандартную тему: Восстанавливает стандартную тему после смены вирусном.
• Починить шрифты: Сбрасывает системный шрифт к значениям по умолчанию.
• Включить UAC: Активирует Контроль учетных записей пользователей.
• sfc /scannow: Проверяет целостность системных файлов.
• Полный доступ к файлу: Позволяет разблокировать доступ к системным и скрытым файлам.
• Восстановить LogonUI: Некоторые вирусы могут заменять данный файл для своих целей.
• Выключить тестовый режим: Вирусы могут использовать автозагрузку через драйвера. Если у драйвера нет цифровой подписи, то выключение тестового режима позволит выключить автозагрузку драйвера.
• Заменить sethc и utilman: Заменяет программы, которые запускаются при многократном нажатии Alt+F4, а также программу на экране блокировки, нашей утилитой. Если вы заменили их, то при повторном нажатии они восстановятся.
• Экстренное восстановление: Если стандартные методы восстановления не помогли, вы можете воспользоваться данной функцией. Это экстренная функция, мы не несём никакой ответственности.
• Удобный запуск: После нажатия вы сможете запустить программу, написав в cmd "nh" или через контекстное меню. Данная функция выключает UAC для более стабильной работы.
• Alt+N: После ввода пароля вы можете просто нажать данное сочетание, и запустится утилита. Отключить её можно в настройках.
• Очистка драйверов: [ОПАСНО] Удаление всех нештатных драйверов. Использовать только при тяжелом заражении руткитами.

[INTEGRATED_SOFTWARE] Встроенное ПО

NHelper содержит собственные, независимые от Windows аналоги системных утилит:

• Редактор реестра & Проводник: Работают даже при полностью уничтоженном explorer.exe.
• Диспетчер задач: Способен снимать флаг "критический процесс" (которым защищаются вирусы от завершения) и "замораживать" процессы.
• mbrRE: Инструмент прямого доступа к Главной Загрузочной Записи (MBR).
• Управление ассоциациями: Сброс поврежденных привязок (например, когда при запуске .exe открывается блокнот).
• Редактор реестра: Альтернатива regedit при блокировке.
• Проводник: Альтернатива explorer.exe при повреждении.
• Браузер: Базовый веб-обозреватель при блокировке основных браузеров.
• Управление пользователями: Просмотр, создание и удаление учетных записей.
• Очистка системы: Удаление временных файлов (temp), чистка корзины, удаление кэша браузеров.
• Сброс пароля: Меняет пароль выбранного пользователя на: 1. Если после нажатии на кнопку не было сообщений об ошибках, следовательно код сработал исправно.
• Сделать/Использовать сохранение winRE: Создает резервную копию среды восстановления (если отсутствует); восстанавливает winRE из сохранения (при наличии).