HiJackThis Fork

HiJackThis Fork 2.9.0.6

[2.9.0.6] - 09.11.2018
Исправлена критическая ошибка при рекурсивном чтении ключей реестра (падение программы на некоторых бекапах).
Исправлены случаи сбоев при чтении O23 (ошибка: "Ключ коллекции не уникален").
CSV-отчёты теперь открываются в блокноте, если не указана ассоциация.
Ускорен анализ O7 - IPSec.
Ускорена работа регулярных выражений.
[2.9.0.1] - 20.10.2018
Лог:
v Доработан формат строк лога.
v Добавлена пометка "Подозрительных объектов не найдено!", если кол-во записей = 0.
v Добавлено отображение режима проверки (Scan mode): если включены "Additional scan", "Environment variables", "Ignore ALL Whitelists" или отключены "Processes", "Hide Microsoft entries".

Бекапы:
v Добавлен бекап/восстановление O23, O25.
v Восстановление регистрации библиотек.
v Восстановление атрибутов файлов и меток времени.
v Восстановление исходных прав на файл / ключ реестра (спасибо Казакевичу Олегу за помощь).
v Обновлён ABR от Дмитрия Кузнецова до v1.05 (улучшена совместимость с Win10 build 1803).

Основное сканирование:
v O5 - 'Blocked IE Options' переименована в 'Hidden Control Panel items' - секция расширена для проверки любых спрятанных элементов панели управления; добавлена совместимость с Vista+
v O7 - Добавлена проверка политик NoViewOnDrive, RestrictRun, DisallowRun, NoControlPanel, LockTaskbar, NoDispCpl, NoDrives, DisableTaskMgr.
v O7 - Добавлена проверка привилегий DACL некоторых ключей политик и сертификатов.
v O7 - TroubleShooting: (EV) - добавлена проверка присутствия важных системных папок в %PATH%.
v O10 - LSP: белый список удалён. Проверка осуществляется по ЭЦП.
v O10 - LSP: теперь отображает все повреждения цепи и неизвестные провайдеры, а не останавливается на первом найденном.
v O18 - Protocols/Filters: критерий проверки заменён на ЭЦП; добавлена проверка подразделов реестра.
v O22, O23 - временно добавлены в белый список записи Windows Defender.
v O26 - Добавлено обнаружение отладчиков UWP-приложений.

Дополнительное сканирование ("Additional scan"):
v Добавлена подсекция O23 - Drivers: - список загруженных драйверов.
v Добавлена подсекция O23 - Dependency: (экспериментальная), состоит из 3 групп:
- Microsoft Service 'X' depends on unknown service: 'Y' - если запуск легитимной службы 'X' зависит от неизвестной службы 'Y'
- Microsoft Service 'X' depends on mixed group: 'Y' - если запуск легитимной службы 'X' зависит от "смешанной" сервисной группы 'Y', в которую могут входить как службы Microsoft, так и сторонние.
- Microsoft Service Group 'X' contains unknown service: 'Y' - если в состав легитимной сервисной группы 'X' входит неизвестная служба 'Y' (Примечание: некоторые сторонние службы могут вполне легально добавлять свои записи в сервисную группу Microsoft)

Сканирование переменных ("Environment variables"):
v Добавлен список специальных папок.
v Переменные окружения дополнены и разбиты на категории "[User]", "[System]", "[Current process]".

Фиксы:
v O22 - добавлено удаление исполняемого файла задания (если он не принадлежит Microsoft).
v O23 - Добавлена зачистка зависимостей легитимных служб от удаляемой службы.

Совместимость:
v Добавлена совместимость с DBCS-системами (локале-независимость).
v Добавлена совместимость при запуске из контекста Local System:
- также в лог будет выводится пометка "<=== Attention! ('Local System' account)".
- часть инструментов в этом режиме отключена для безопасности.
v Понижена нагрузка на ЦП в режиме "Сканирование при автозагрузке системы".
v Диалоговые окна выбора файлов теперь поддерживают x64 битные папки (c:\Windows\System32).
v Проверка доступа на запись для нового лога заменена на AccessCheck() API, чтобы предотвратить конфликты с антивирусами.
v Улучшена защита от BSOD.

Ошибки:
v Баг: Исправлены случаи на Win8/10, когда строка O4 помечалась как StartupApproved (отключённая) вместо Run\Run32.
v Баг: Исправлен креш при завершении HiJackThis, запущенного из архива.
v Баг: Исправлена проблема с логом размером 0 байт, если до этого был запущен StartupList.
v Баг: Исправлен отказ в доступе при чтении некоторых заданий (спасибо Sandor за тесты).
v Баг: Устранён отказ в работе некоторых функций при установке специфического формата даты в системе.
v Баг: Исправлена ошибка с выводом бинарных данных в логе LSP.
v Доработано меню "Jump to Registry/File" для O23 и других секций.
v StartupList: добавлено отслеживание ошибок в режиме /debug, исправлены ошибки с вылетом (спасибо @Hostn4me за тесты).

Проверка обновлений:
v Баг: Исправлена проверка обновлений. Программа отвязана от github из-за проблем с https на XP и теперь скачивается с dragokas.com.
v Добавлена поддержка прокси (примечание: Socks5 не поддерживается) (спасибо Sandor за тесты).
v Добавлена опция "Update to test versions" (Обновлять до тестовых версий - если вы желаете получать самые свежие обновления, не дожидаясь стабильного релиза).
v Добавлена опция "Update in silent mode" (Обновлять в тихом режиме - программа автоматически обновится и перезапустится с исходными ключами командной строки).

Интерфейс:
v Добавлена возможность выбора шрифта (всего интерфейса либо только списков результатов сканирования и полей ввода).
v Улучшена навигация по интерфейсу во время сканирования.
v Убрана автопрокрутка списка результатов сканирования.
v Горизонтальная полоса прокрутки добавляется до завершения сканирования.

Перевод:
- Завершён перевод на русский язык списка изменений индивидуальных инструментов из 'Misc Tools'.
- Добавлен список изменений ProcMan.
- Нидерландская часть переведена на английский.
- Исправлена орфография украинского перевода.
- Обновлён английский текст с проверкой орфографических и грамматических ошибок (спасибо Tanner Helland).

Инструменты:
v В меню ПУСК добавлены ярлыки на отдельные инструменты и плагины (при установке HiJackThis).
v Соответственно, добавлены ключи командной строки:
- /tool+StartupList
- /tool+UninstMan
- /tool+DigiSign
- /tool+RegUnlocker
- /tool+ADSSpy
- /tool+Hosts
- /tool+ProcMan
- /tool+CheckLNK
- /tool+ClearLNK

v Uninstall manager (Менеджер удаления программ) обновлён до v.2.0:
- изменён интерфейс и формат строк лога.
- улучшена поддержка x64.
- добавлена метка "Hidden" для программ, которые нельзя удалить через стандартную оснастку в Панели управления.
- добавлена метка (no Uninstall command) для программ, у которых отсутствует строка вызова деинсталлятора.
- добавлена метка (User: имя пользователя) для программ, деинсталляция которых требует входа от имени другого пользователя.
- добавлен прыжок к ветке реестра.
- добавлен фильтр по HKCU / HKLM / HKU / Hidden / No uninstall command / Common Software.

v Digital Signature Checker (Инструмент проверки цифровых подписей):
- Исправлены ошибки "Отказ в доступе" при проверке некоторых файлов, защищённых DACL.
- Ускорена проверка системной папки.
- Исправлена проблема с отказом работы на Windows 7x64 SP0 и при некоторых других условиях.
- Добавлена возможность проверки и отображения стороннего производителя драйверов для Vista+.

v ProcMan: добавлена возможность перечислять модули 64-битных процессов.
v ADS Spy: добавлена кнопка "Save log..." (сохранить отчёт).
v ADS Spy: добавлена поддержка файловой системы ReFS.

Руководство:
v Завершена работа над обновлённым руководством на русском для форка и для v2.0.5: https://regist.safezone.cc/hijackthis_help/hijackthis.html (спасибо regist)
v Обновлена краткая справка для форка (на русском, английском и украинском), доступна внутри программы => "Help" => "About HJT" => "Sections". На английском доступна на сайте: dragokas/hijackthis

Ключи командной строки:
v Добавлены и видоизменены ключи командной строки /Area (старый вариант останется работать для обратной совместимости):
- /Area:processes заменён на /Area+Processes.
- /Area:Modules заменён на /Area+Modules.
- /Area:Environment заменён на /Area+Environment.
- /Area:Additional заменён на /Area+Additional.
- Добавлен ключ: /Area+Modules - добавляет список модулей, загруженных процессами. При этом в списке процессов отображаются их PID.
- Добавлены ключи: /Area-Processes, /Area-Modules, /Area-Environment, /Area-Additional - принудительно исключают из лога соответствующую секцию, даже если она включена пользовательскими настройками.
- Ключи /Area имеют наибольший приоритет перед остальными.
v Добавлен ключ /saveLog "Путь" (или /saveLog "Путь\Файл.log") - сохраняет отчёт в указанную папку (и под указанным именем, если расширение указано как .log).
v Ключ /silentautolog теперь отображает окно в миниатюрном виде.
v Синтаксис всех ключей расширен и теперь позволяет указывать их через дефис, например: -autolog

Другое:
v Установка HiJackThis Fork теперь доступна из-под командной строки (Chocolatey): 'choco install hijackthis'
v Лимит максимального объёма файлов при расчёте MD5 поднят до 100 МБ. Добавлен расчёт MD5 в секциях, где он был упущен.
v Пополнены белые списки R4, O4, O7 - Untrusted certificates, O22, O23.
[2.8.0.4] - 05.02.2018
Добавлен перевод на украинский язык.
[2.8.0.3] - 03.02.2018
Убран вывод отключённых элементов O7 - IPSEC.
Улучшена работа опций "Ignore Microsoft entries" и "Ignore All whitelists" при переключении галочки в состояние не по умолчанию.
O22 - Task: исправлена ошибка в выводе статута "(disabled)".

[2.8.0.2] - 02.02.2018
Логи:
Лог "Environment variables" заменён на вывод полностью всех переменных окружения текущего процесса.
O7 - Policy: [Untrusted Certificate] Удалён черный список сертификатов и атрибут "Well-Known cert."
Добавлена опция "Additional scan" (по умолчанию, отключена). Включается через настройки File -> Settings

Проверка:
O4 - PendingFileRenameOperations (перенесёно в "Additional scan")
O4 - Autorun.inf (добавлено в "Additional scan")
O4 - MountPoints2 (добавлено в "Additional scan")
O22 - Task: добавлен атрибут "(activation)" для заданий активации системы.
O22 - Task: добавлен атрибут "(update)" для заданий GWX ("Get Windows 10").
O23 - Service: добавлен вывод аргументов.

Ошибки:
Исправлена ошибка, приводящая к отсутствию списка процессов в XP.
Исправлена ошибка при работе с коллекциями, которая могла привести к краху программы.
Исправлено несколько ошибок, когда в O23 не попадали вредоносные записи.
Исправлено падение программы при попытке закрыть её раньше, чем закончит работу StartupList2.
Исправлена работа галочки "Сразу отмечать для исправления всё найденное в ходе проверки"
Исправлена ошибка при попытке добавить HJT в автозапуск, если он запущен через меню Пуск, а также на системах XP/2k.

Защита:
Улучшена защита от удаления системных файлов, если повреждён механизм проверки ЭЦП.
Добавлена защита от завершения критически важных системных процессов.

Фиксы:
O21: добавлен перезапуск Explorer.
O4: добавлена заморозка процессов.
O22: добавлено завершение задачи.

Интерфейс и прочее:
Добавлены иконки для инструментов и удалены лишние из ресурсов.
Добавлено многоязычное описание в свойства файла (DE/FR/EN/RU).
Реорганизовано меню "Misc Tools" (Дополнительные инструменты):
- дополнительные настройки перенесены в меню основных настроек;
- добавлена секция "Plugins";
- добавлены кнопки "Registry Keys Unlocker" и "Digital signature checker".
Основные настройки разделены на категории:
- Scan area
- Scan options
- Fix & Backup
- Interface
Настройка "Ignore Microsoft files" переименована в "Ignore Microsoft entries"
Настройка "Ignore non-standard but safe domains in IE (e.g. msn.com, microsoft.com)" поглощена настройкой "Ignore Microsoft entries".
Добавлены всплывающие подсказки к некоторым галочкам.
HiJackThis.exe при запуске из архива теперь запрашивает распаковку не в корень рабочего стола, а в его подкаталог "HiJackThis".
Ускорена работа программы на сильно загруженных системах в режиме /silentautolog.
Добавлены ключи командной строки:
/Area:process - включить в отчёт список процессов
/Area:Environment - включить в отчёт переменные окружения
/Area:Additional - выполнять "Дополнительное сканирование" (Additional scan)
Обновлены белые списки.
[2.7.0.29] - 19.01.2018
Унифицированы все секции лога к единому шаблону "Префикс секции-разрядность" - "опционально, имя секции": "улей\..\ключ": "опционально, подраздел" [параметр] = значение
"Сжат" лог O7 - IPSec: если в системе несколько идентичных правил.
Удалён признак O7 - TroubleShoot: [EV] (environment value is altered)
Добавлен признак O7 - TroubleShoot: [EV] (folder is not exist)
Добавлен признак O1 - Hosts: is damaged (contains NUL characters only)
Попытка фикса строки с легитимным файлом теперь будет вызывать SFC для него.
Разбиты на несколько строк с возможностью раздельных фиксов:
- O4 - HKLM\..\Session Manager: [BootExecute]
- O17 - ... Parameters: [NameServer] (доработан)
- O20 - HKLM\..\Windows: [AppInit_DLLs]
- O26 - IFEO (global).
Добавлен запрет программе на перезагрузку серверных ОС с запросом к пользователю сделать это вручную.
Исправлено определение некоторых редакций серверных ОС.
Добавлен вывод окна HJT на передний план, как только сканирование завершится.
Улучшен поиск файлов по путям %PATH%.

[2.7.0.28] - 01.01.2018
Исправлен вылет программы при её завершении.
Обновлён и улучшен скрипт запроса нового дампа падения программы: http://dragokas.com/tools/debug/GetHJT_dump.zip
2.7.0.27
O7 - Исправлен вывод имени владельца сертификата.
O7 - Добавлен вывод имени владельца для сертификатов, которых нет в базе HJT.
O7 - Добавлен пункт "Policy: [Untrusted Certificate] Fix all items from the log", для фикса всех сразу сертификатов в логе, если строк > 10.
2.7.0.26
Пополнен список DNS.
O4 - Добавлен вывод папок в каталогах Автозапуска.
O2, O3 - исправлена эвристическая чистка.
Секция R4 - DefaultScope объединена с R4 - SearchScopes.
Мелкие оптимизации скорости работы утилиты.

2.7.0.25
Пополнен список сертификатов XP.
2.7.0.24
Устранена ошибка, когда лог создавался урезанным из-за NUL символов.
Удалён Uptime.
Завершен перевод списка обновлений на английский язык.
Списки обновлений программ HJT, StartupList и ADSSpy добавлены на вкладку меню "Помощь" -> О программе -> История.
R4 - SearchScopes: Изменён формат строки лога.
2.7.0.23
O22 - Task: Добавлен разбор файлов .job
O7 - Policy: [Untrusted Certificate] - добавлена проверка списка ненадёжных сертификатов цифровой подписи и их анализ.

2.7.0.22
Пополнены белые списки.
O17 - Удалён ControlSet[x], на который ссылается CurrentControlSet.
2.7.0.21
Пополнены белые списки.
Добавлена полоса горизонтальной прокрутки к окну списка игнорирования.
O4 - HKLM\..\FileRenameOperations: отключён вывод записей с отложенным удалением.
O22 - Task: добавлена пометка "(telemetry)" для заданий, связанных со сбором статистики и передачи на сервера Microsoft (телеметрия).
O22 - Task: убраны пометки "(Microsoft)" у заданий, которые запускаются через хост-процесс (cmd.exe, schtasks.exe и т.п.)
Ключ /ihatewhitelists - исправлена работа.
Добавлен ключ /default - загрузить настройки по-умолчанию (полезно вместе с /silentautolog на случай, если пользователь самостоятельно изменил настройки). Это не действует на список игнорирования.
Добавлен ключ /skipIgnoreList - не загружать список игнорирования
Добавлен ключ /timeout:sec, где 'sec' - это кол-во секунд, которое разрешается работать HiJackThis в режиме /silentautolog до аварийного завершения (по-умолчанию, 180 сек.); 0 - чтобы отключить.
Добавлено отображение временной зоны.
Исправление ошибок в модуле резервного копирования.
Сверху Снизу