HiJackThis+ (Plus) 3.4.0.8

[Dragokas]

HiJackThis+
(ex. HiJackThis Fork v3)

Ссылки для скачивания (Download Links):
Test (beta) | Stable | Source Code​

В этой теме обсуждается программа HiJackThis и её модификация (форк) от команды SafeZone, используемый внутри Автологгера и именуемый HiJackThis+.
Здесь Вы можете:

• задать вопросы разработчикам
• оставить отзывы и пожелания по улучшению программы
• сообщить об ошибке в программе

Краткое описание программы:

HiJackThis - это инструмент, который способен обнаружить и исправить изменения в наиболее уязвимых местах операционной системы, сделанные рекламными, шпионскими, вредоносными и другими нежелательными программами.

Проверка через HiJackThis основана не на чёрных списках, конкретных программах или URL-адресах, а только на методах, используемых вредоносным и рекламным ПО ("угонщиками браузеров"). Поэтому программа не требует постоянных обновлений.

Как минус, в её результатах отображаются и легитимные, и вредоносные объекты.
Поэтому нельзя удалять всё подряд. Это вполне гарантированно нанесёт вред системе.
Оценку вредоносности объектов в отчёте должен проводить специалист по информационной безопасности.

Если Вы желаете пройти курс обучения работе в HiJackThis, то можете подать заявку на участие в Программе обучения по "лечению" персонального компьютера

Авторские права:

Спойлер

HiJackThis+ (Plus) является модификацией (форком) программы Trend Micro HijackThis, подготовленным Alex Dragokas и командой SafeZone.cc, и распространяется вместе с открытым исходным кодом и соблюдением оригинальной лицензии GNU GPLv2.

С исходным кодом можно ознакомиться в репозитории GitHub.

Как сообщить об ошибке в программе?

Спойлер

Если появилось окно с ошибкой, то в буфере обмена содержится её текст.
Он нужен разработчикам, чтобы улучшить программу.

Пожалуйста, вставьте правой кнопкой мыши в эту тему текст.
Если его нет:
1) приложите скриншот ошибки.
2) укажите версию программы HijackThis (см. заголовок окна)
3) укажите разрядность и версию Windows
4) (необязательно) ссылку на тему, где производится лечение Вашего ПК

Спасибо. Команда разработчиков HJT+.

Программа зависла / отработала не до конца / завершилась с ошибкой / "упала". Что делать?
Соберите и пришлите архив аварийного дампа с отладочными логами. Подробнее: см. в разделе FAQ.

Руководство к TrendMicro HiJackThis v.2 от regist
Дополнение к руководству HiJackThis+ от Dragokas

 

[Dragokas]

Добавляю новый модуль от Беллекома:

StartupList 2

Вот так будет выглядеть сама программа:
(пароль к архиву: 1)

 

[Phoenix]

На 10-ке ошибка - MSCOMCTL.OCX

 

[Dragokas]

Положи рядом с программой этот файл:

 

[Dragokas]

2.6.3.0 (test)
O14 - iereset.inf Fix портил файл. Исправлено.
R3 - добавлены ключи для HKLM, HKU\.Default
*New: добавлена функция сворачивания программы в значок в область уведомления (см. настройку в меню Misc Tools -> Main).
Меню 'Unlock Registry Key' переименовано в 'Registry Key Unlocker'
Кнопка 'Generate StartupList Log' переименована в 'StartupList Scan'
Параметры командной строки теперь не зависят от регистра символов.
Режим /silentautolog теперь показывает окно с прогрессбаром в процессе сканирования.
Добавлен ключ командной строки /noGUI - не отображать окно программы в процессе сканирования.
Добавлен ключ командной строки /md5 - подсчитывать MD5 хеш файлов.
Добавлен ключ командной строки /StartupList - запускает сканирование StartupList
Добавлен ключ командной строки /SysTray - запускает программу свёрнутой в область уведомления.
*New: StartupList заменен на версию 2.10. Все ключи командной строки заменены:
/showempty - Показывать пустые секции
/showcmts - Показывать комментарии в .bat файлах
/noshowclsids - Скрыть идентификаторы классов
/noshowprivate - Скрыть имена пользователей и имя компьютера
/noshowusers - Скрыть записи других пользователей
/noshowhardware - Скрыть записи прочих конфигураций оборудования
/showlargehosts - Показывать файл hosts даже, если в нём более 1000 строк
/showlargezones - Показывать Интернет зоны даже, если в них более 1000 доменов
/autosave - Запустить StartupList в скрытом режиме, автоматически сохранить отчет и выйти из программы
/autosavepath: - Указать путь к для сохранения отчёта при использовании ключа /autosave. Используйте обрамляющие кавычки для путей со знаками пробела.
StartupList: библиотека istrusted.dll заменена на внутренние функции проверки ЭЦП.
StartupList: библиотека MSComCtl.dll помещена в ресурсы. Её больше не требуется скачивать отдельно.
StartupList: теперь показывает полный список процессов.
StartupList: устранен крэш программы при проверке LSP, доработано получение путей к провайдерам.

http://dragokas.com/tools/HiJackThis_test.zip

 

[Dragokas]

В версии 3.0 по тестовой ссылке программа StartupList внутри HJT - это частично дроппер.
Ни у кого не было срабатывания антивируса по поведенческому анализу? - вроде параноидальных Нортонов и пр.

 

[thyrex]

Чёрный экран после "добро пожаловать" - Лечение компьютерных вирусов - CyberForum.ru
В HiJack-RSIT строка F2 есть, в новом - нет

 

[Dragokas]

Спасибо, thyrex. F2, F3 по ошибке попадали в IgnoreList.
Alpha 3.1. (test + release)
F2, F3 не отображались в логе. Исправлено.

 

[Severnyj]

https://safezone.cc/threads/v-opere...e-sajty-pri-vkljuchenii-pk.28978/#post-242011

Нет процессов

 

[shestale]

Нет процессов

Их и в рсите не видно, не только в этом форке.
А в первом автологере есть.
Вероятно "косяк" автологера.

 

[akok]

А каков механизм отсеивания служб Windows? Если он есть конечно.

 

[Dragokas]

2.6.4.3 (test)
[R3] Исправлен баг при проверке URLSearchHook.
Улучшена поддержка юникодных путей.
Исправлена ошибка при фиксе O4 - \..\StartupApproved\StartupFolder
[O2] Добавлен запрос принудительного завершения процесса IExplore.exe
Добавлена процедура 'мягкого' завершения процесса.
[O4] Правка бага получения даты.
[O22] Правка в выводе состояния службы для повреждённых заданий.
[O22] Повреждённые задания или задания, для которых отсутствует запускаемый файл, будут помечены меткой <==== ATTENTION
Улучшена процедура заморозки процесса.
[O22] Завершение процесса заменено на заморозку.
[O22] Фикс переведён в silent-режим (ошибки не отображаются).
[O22] Пополнена база для Windows 10.

2.6.4.0 (test)
ADSspy заменён на версию 1.12
Process Manager теперь работает в отдельном окне.
Исправлена ошибка при проверке O4 - BootVerificationProgram
Расширено описание программы при нажатии кнопки меню Help -> About и Info... в окне сканирования. Теперь разбито на вкладки "Секции", "Ключи", "О программе", "Автора", "История".
O17 - Fix: Добавлен сброс кеша DNS.
Через внешние языковые файлы теперь можно изменить практически любой текст.
Поправлен перевод на русский язык.
Добавлена коррекция CRC лога.
Правки ошибок при переходе между меню, и других визуальных проблем.
O12 Fix - убрано предупреждение закрыть Internet Explorer, если нет ни одного процесса iexplore.
O4 - добавлен вывод аргументов цели ярлыка.

http://dragokas.com/tools/HiJackThis_test.zip

 

[Dragokas]

По O23 сперва отсеиваются все службы драйверов и отключённые службы,
затем выполняется специфическая проверка на соответствие цифровой подписи Майкрософт.
Если основной файл запускает ещё какой-то, выполняется проверка ЭЦП всей цепочки.
Если хоть одна проверка провалилась, запись считается небезопасной.
Это только в форке (v.2.6.1.4+). А в официальном HJT v.2.0.6 там очень примитивная проверка, которую легко обойти.

Add. Более актуальная инфа будет обновляться в этом посте: Дополнение в руководство по HiJackThis (Fork)

 

[Dragokas]

2.6.4.4
[O22] Секция "задания" дополнена проверкой ЭЦП.
[O22] Исправлена ошибка с белым списком заданий.
Процессы Microsoft помечаются после успешной проверки ЭЦП.
[O4] Строки с не-системными SID дополняются расшифровками реального имени пользователя.
[O4] Добавлены пометки "file missing".
[O4] Исправлен баг с проверкой пустых массивов.

 

[Dragokas]

2.6.4.5.
Исправлены ошибки в модуле проверки ЭЦП. Программа могла зависать (в основном на XP).
Убраны пометки <-- Attention у заданий с отсутствующим объектом.
Более детализированный прогрессбар.

 

[Dragokas]

2.6.4.6 (test)
O18 - исправлено получение пути к файлу.
O23 - не всегда раскрывалось отображаемое имя службы при чтении из ресурса dll.

2.6.4.7 (test)
ЭЦП: пополнен список центров сертификации Microsoft (спасибо Akok).
ЭЦП: В O22 - ScheduledTask добавлен вывод имени, кому выдана ЭЦП, если она легитимна.
ЭЦП: К спискам процессов дописывается подтверждённое имя получателя ЭЦП.
FS: Полная ревизия файловых редиректоров. Некоторые функции не могли получить доступ к Windows\System32; часть утечек могли влиять на отказ проверки ЭЦП.
FS: Минимизировано кол-во вызовов файлового редиректора.
Добавлено раскрытие цели LNK для O4 - MSConfig\startupfolder
Изменён формат вывода O23 - Отображаемое имя службы - HKLM\..\имя ключа - путь к файлу (имя, кому выдана ЭЦП, если она легитимна) (file missing, если файл отсутствует на диске)
Изменён способ проверки присутствия файла на диске. "File missing" не будет отображаться для файлов, к которым заблокирован доступ.
Добавлено кеширование проверки присутствия файла на диске.
Исправлен порядок поиска исполняемых файлов.
Добавлен режим записи трассировки выполнения функций в лог - запускается переименованием файла в HiJackThis_debug.exe или ключем /debug
Инфо об ОС: для win10 добавлен вывод ReleaseID.
Во внутренню справку "Help -> About program -> Section" добавлен вывод подробного описания каждой секции.
ADS Spy: добавлена частичная поддержка юникодных имён
ADS Spy: исправлена циклическая проверка на симлинках
ADS Spy: добавлена поддержка х64 битных ОС
ADS Spy: добавлен вывод содержимого потока по двойному клику
ADS Spy: исправлена ошибка с открытием файла для просмотра потока
ADS Spy: пополнен белый список

 

[Dragokas]

2.6.4.9
O22 - изменён формат лога: убран префикс; имя файла задания объединёно с путём.
O23 - изменён формат лога: убран префикс и название службы.
O23 - добавлена проверка ServiceDll.
O23 и процессы: для файлов, не имеющих ЭЦП или чья ЭЦП не проходит проверку, выводится пометка "not signed".
Поправлены размеры всех меню с учётом перевода на Русский.
Теперь состояние 4 дополнительных настроек на вкладке "интрументы" будет сохраняться (это: вкл. в отчёт переменных окружения, рассчёт MD5, игнор. белых списков и файлов MS).
О программе: вкладки "Назначение" и "Авторы" объединены.
Проект HiJackThis переименован, убраны все упоминания о Trend Micro, кроме заметки в разделе "Авторские права".

 

[Dragokas]

Теперь (с v.2.6.4.9) к цепочке проверки O23 добавлена ещё и ServiceDll, которую запускает svchost.

 

[Dragokas]

У меня плохие новости:

По информации, предоставленной куратором проекта Fernando Mercês, TrendMicro отказалась от какой-либо дальнейшей поддержки развития open-source проекта HiJackThis.
Программа убрана из секции "Free tools" официального сайта.
GitHub репозиторий кода закрыт. Напомню, что в этот репозиторий была внесена моя версия 2.6.4.1 Fork.
Руководство больше не заинтересовано в каком-либо продвижении этой программы.
SourceForge репозиторий кода под спойлером "read more" теперь содержит ссылку на мой форк.
Но эта ссылка в любой момент может быть убрана без предупреждений (как это уже один раз случалось с моими правами доступа к официальному репозиторию на GitHub).

Из хороших новостей:

С моей стороны, развитие форка проекта HiJackThis продолжается.
Но он уже никогда не будет выпущен от имени TrendMicro.
Проект теперь носит новое имя - "HiJackThis Fork" без префикса TM, но с сохранением всех авторских прав и лицензии (это можно увидеть в меню Help -> About).
Также, о первом официальном релизе форка будут оповещены все подписчики оригинальной версии TrendMicro HiJackThis.
За эту возможность поблагодарим нашего куратора проекта.

 

[gazon01]

У меня плохие новости:

ну это мы тоже проходили и ни один раз,
а народ, после этого, ещё пишет, что у нас варезный сайт

решение принял правильное, поддерживаю полностью
Удачи!

 

[Dragokas]

2.6.4.11
O22, O23 - Убраны названия ЭЦП из лога.

2.6.4.10
O22, O23 - возвращены префиксы.
O23 - вернул вывод в лог описания службы (когда оно не совпадает с её названием)
Процессы - убрана проверка ЭЦП.
O8, O12 - строки с "no file" не выводились в лог; также добавлено "file missing".
Для всех секций добавлен принудительный перевод формата пути/имени файла 8.3 в полный.
Hosts File Editor: починена кнопка "Open in editor"