HiJackThis+ (Plus)

HiJackThis+ (Plus) 3.4.0.8

Dragokas

Angry & Scary Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
7,814
Реакции
6,593
  • Первое сообщение
  • #1
HiJackThis+
(ex. HiJackThis Fork v3)


Ссылки для скачивания (Download Links):

Test (beta) | Stable | Source Code

В этой теме обсуждается программа HiJackThis и её модификация (форк) от команды SafeZone, используемый внутри Автологгера и именуемый HiJackThis+.
Здесь Вы можете:
  • задать вопросы разработчикам
  • оставить отзывы и пожелания по улучшению программы
  • сообщить об ошибке в программе
Краткое описание программы:
HiJackThis - это инструмент, который способен обнаружить и исправить изменения в наиболее уязвимых местах операционной системы, сделанные рекламными, шпионскими, вредоносными и другими нежелательными программами.

Проверка через HiJackThis основана не на чёрных списках, конкретных программах или URL-адресах, а только на методах, используемых вредоносным и рекламным ПО ("угонщиками браузеров"). Поэтому программа не требует постоянных обновлений.

Как минус, в её результатах отображаются и легитимные, и вредоносные объекты.
Поэтому нельзя удалять всё подряд. Это вполне гарантированно нанесёт вред системе.
Оценку вредоносности объектов в отчёте должен проводить специалист по информационной безопасности.

Если Вы желаете пройти курс обучения работе в HiJackThis, то можете подать заявку на участие в Программе обучения по "лечению" персонального компьютера

Авторские права:
HiJackThis+ (Plus) является модификацией (форком) программы Trend Micro HijackThis, подготовленным Alex Dragokas и командой SafeZone.cc, и распространяется вместе с открытым исходным кодом и соблюдением оригинальной лицензии GNU GPLv2.

С исходным кодом можно ознакомиться в репозитории GitHub.

Как сообщить об ошибке в программе?
Если появилось окно с ошибкой, то в буфере обмена содержится её текст.
Он нужен разработчикам, чтобы улучшить программу.

Пожалуйста, вставьте правой кнопкой мыши в эту тему текст.
Если его нет:
1) приложите скриншот ошибки.
2) укажите версию программы HijackThis (см. заголовок окна)
3) укажите разрядность и версию Windows
4) (необязательно) ссылку на тему, где производится лечение Вашего ПК

Спасибо. Команда разработчиков HJT+.

Программа зависла / отработала не до конца / завершилась с ошибкой / "упала". Что делать?
Соберите и пришлите архив аварийного дампа с отладочными логами. Подробнее: см. в разделе FAQ.

Руководство к TrendMicro HiJackThis v.2 от regist
Дополнение к руководству HiJackThis+ от Dragokas
 
Последнее редактирование:
Никогда не поздно включить.
Плохо, что Майкрософт так безответственно подходит к безопасности.
Но возможность создавать КТ в любом случае добавлена как доп. фича ни на что не влияющая и ни к чему не принуждающая. Если это не будет работать хорошо везде, то будет выпилена.
 
Выкладываю v.2.7.0.18 (для теста).
Если всё нормально, то это будет v.3.0 после небольших доработок.

Итак, это предварительная версия для оценки качества.

Что не сделано:

O22 Task (задачи) - предстоит полная замена.
O22 - белые списки.
Справка.
Проверка ещё большего числа мест подмены.

Что сделано:
Очень многое. Полный перечень см. в конце.

Кратко:
v - подверглись полной замене механизм фиксов, резервного копирования и восстановления из бекапа. Теперь они неразрывны и резервируют в точности тоже, что и фиксят.
Кроме того, первый фикс вызывает полный бекап реестра через ABR (утилита от Кузнецова, совместимая с UVs, нечто вроде ERUNT, но лучше).

v - добавлено много новых ключей для проверки автозапуска и пр., в т.ч. исправлены ошибки, из-за чего вообще не работали часть секций (например, O7 - IPSEC, O25 - WMI).

v - улучшился интерфейс и навигация.

v - добавлен новый функционал в панель меню.

Что желательно потестить:

1. Работу фиксов, бекапов, восстановления по любым секциям.
!!! бекапы не будут работать для O23 - Services и O25 - WMI
(*) удобно проверять успех фикса, если нажать ПКМ по пункту (перед фиксом) => Jump to ... => ... и само собой, повторным сканированием.
!!! в процессе восстановления бекапа (List of Backups => ... => Restore) не должны отображаться ошибки.

2. Проверить, успешно ли создаётся полный бекап реестра (List of Backups => Create registry backup).
(*) Появится папка с датой C:\Windows\ABR\<Дата>

3. Посмотреть лог. Может, заметите ошибки.

4. Попробовать фичу сканирования при автозапуске системы (File => Settings => Run HJT Scan at system startup).
(*) это работает как сканер в тихом режиме. В идеале, перед его использованием добавить все безопасные элементы в игнор-лист. В этом случае сканер отобразит окно при запуске системы только, если в системе появится новое изменение.
(*) сканер будет установлен в Program Files и меню ПУСК.
(!!!) Служба "Планировщик заданий" должна быть запущена и иметь тип запуска "Автоматический".

5. Кнопку: "Help" => "Check for updates" (если у вас не прокси)
6. Кнопку: "Tools" => "Shortcuts" => ...

2.7.0.18
Добавлена проверка типа виртуализации ключей реестра. Больше не будет дублирующих ключей в логе, если ключ имеет тип 'Shared'.
Добавлена универсальная итерация ульев реестра. Теперь все ульи: HKLM / HKCU / HKU (default, SID служб и др. загруженных пользователей) будут проверяться в каждой секции.
Добавлен O4 - Win9x BAT: C:\Windows\System32\Batinit.bat
Добавлен O4 - Win9x BAT: C:\Windows\WinStart.bat
Добавлен O4 - Win9x BAT: C:\Windows\DosStart.bat
Добавлен O4 - Win9x BAT: C:\AutoExec.bat
Добавлен O4 - WinNT BAT: C:\Windows\System32\AutoExec.nt
Добавлен O4 - WinNT BAT: C:\Windows\System32\Config.nt
Добавлен O4 - AlternateShell (SafeBoot):
Добавлен O4 - ScreenSaver:
Добавлен O4 - RunOnceEx:
Добавлен O4 - RunServicesOnceEx:
Добавлен O4 - Autorun.inf:
Добавлен O4 - MountPoints2:
Добавлен O7 - Taskbar policy:
O16 - Trusted Zone и Trusted IP range: добавлена проверка протокола https.
O16 - ProtocolDefaults: добавлена проверка протоколов ldap, news, nntp, oecmd, snews, knownfolder.
Добавлен O21 - ShellExecuteHooks:
Введён новый постфикс "(folder missing)".
Добавлено выделение пункта меню в результатах сканирования по правой кнопке мыши.

2.7.0.17
Добавлена возможность скачать и запустить программы проверки и лечения ярлыков (Check Browsers' LNK & ClearLNK) через меню Tools -> Shortcuts.
Ускорено создание больших и отладочных логов (оптимизирован класс конкатенации строк StringBuilder).
Ускорено создание больших логов в режиме /silentautolog (записи больше не добавляются в ListBox). Устранён креш из-за переполнения ListBox в режиме /silentautolog.

2.7.0.16
O17 - DHCP DNS: исправлена ошибка, когда не отображается DNS (кривой код от Microsoft).

2.7.0.15
Окна инструментов больше не теряют фокус при наведении мыши на некоторые элементы главного окна.
F0, F1 не работал после 2.7.0.1 (исправлено).
F0, F1 теперь показывает полный путь к файлу.
O1 - ускорен фикс.
R1 - для ProxyServer добавлено отображение статуса (enabled / disabled)
R1 fix для ProxyServer добавлено отключение прокси.
O3 fix - добавлен фикс ключей WebBrowser и ShellBrowser.

2.7.0.14
R3 - Default URLSearchHook is missing: добавлен фикс CLSID
R3 - Исправлена ошибка с редиректором.
O2 - добавлена проверка ключей HKCU
O3 - добавлена проверка ключей HKCU
O3 - удалены некоторые белые списки.
O3 - добавлена проверка \Software\Microsoft\Internet Explorer\Explorer Bars
O8 - добавлена проверка ключей HKLM
Улучшена совместимость с Windows 2k.

2.7.0.13
Добавлена анимация прогрессбара в панели задач во время сканирования.
Исправлена работа списка игнорирования.
Добавлен O4 - HKLM\..\BootExecute
Добавлен O4 - HKLM\..\FileRenameOperations
Проверка запуска из папки %temp% теперь игнорируется для параметра /silentautolog и других аргументов.
Добавлена возможность установить программу в папку 'Program Files' и меню 'Пуск' (File -> Install HJT).
Восстановлена функция автозапуска сканирования HJT после загрузки ОС.
Добавлена кнопка контекстного меню "Добавить ВСЁ в игнор-лист".
Добавлен ключ командной строки /install - установить HJT.
Добавлен ключ командной строки /autostart - автозапуск сканирования HJT после загрузки ОС (используйте вместе с /install)
Добавлено предупреждение, если у системы устаревший Service Pack.
Добавлен прыжок к файлу или записи реестра из меню результатов сканирования (см. по ПКМ, Контекстное меню => Jump to Registry / File).

2.7.0.12
Добавлено определение Revision версии ОС.

2.7.0.11
ЭЦП: исправлена критическая ошибка в работе системы кеширования.
Теперь программа всегда будет запускаться с главного меню, если не поставлена галочка "Do not show this menu after starting the program". Раньше 2-й запуск программы приводил к переходу к окну результатов сканирования.

2.7.0.3 - 2.7.0.10
v Добавлен полный бекап реестра
(!) выполняется перед нажатием "Fix Checked" не чаще 1 раза в неделю
(!) сохраняется в папку C:\Windows\ABR\<Дата>
(!) используется утилита ABR от Дмитрия Кузнецова, так что бекапы совместимы с UVs.
(!) восстановление из бекапа доступно несколькими способами:
- через HiJackThis: Main Menu => List of Backups => выбрать пункт "<Дата>: REGISTRY BACKUP" => Restore.
- запустить файл C:\Windows\ABR\<Дата>\restore.exe
- через UVs v.4.0.8+ => Меню "Файл" => Восстановить реестр из каталога ... => выбрать нужный бекап => Восстановить.
- через Windows RE: В командной строке среды восстановления ввести <диск>:\Windows\ABR\<Дата>\restore <диск>:
(!) восстановление из бекапа вызовет перезагрузку ОС без предупреждения.
(!) Деинсталляция HJT приведёт к удалению бекапов из папки C:\Windows\ABR, если они были созданы через HJT.
(!) Все бекапы, старше 28 дней, удаляются автоматически при создании нового бекапа.
(!) Если на диске осталось меньше 1 ГБ свободного места, бекапы не создаются (!). Вы увидите уведомление в секции O7 - TroubleShoot: Free disk space on C: is too low = NNN MB.

2.7.0.10
Ускорена работа программы на высокозагруженных системах по ЦП (вследствие майнеров и т.п.)
Исправлен креш (clsStringBuilder)

2.7.0.9
Реорганизовано меню, добавлены иконки.
Добавлен вывод версии ОС, вшитой в NTDLL.dll, если она отличается от версии, полученной стандартным способом.
Добавлен вывод Uptime (длительность работы ОС).
Добавлен вывод метки "FirstRun" (yes, если сканирование выполнено первый раз после перезагрузки).
Добавлен вывод сообщения, если нарушена целостность программы (например, вследствие заражения файловым вирусом или скачивания сборки HiJackThis с неофициального источника).
O7 - TroubleShoot: добавлена проверка наличия на системном диске не менее 1 ГБ свободного места. Фикс вызовет исполнение утилиты Microsoft CleanMgr.
O7 - TroubleShoot: [Network] добавлена проверка на пустое имя компьютера, что может привести к неполадкам в сети.
Batch digital signature checker: в CSV отчёт добавлено поле "Has internal signature?".

2.7.0.4
Добавлено отображение браузера по умолчанию (для протокола http).

2.7.0.3
O25 - WMI: починены белые списки.
O7 - IPSEC: переработан.
O17 - Добавлен белый список хорошо известных DNS.
R4 - детализация имён параметров; проверка дополнена.
ЭЦП: исправлена проверка на Win 7 SP0.
Безопасное получение переменных окружения.

2.7.0.1

Программа переведена в статус Pre-Alpha.
Значительная реорганизация кода (рефакторинг).
Удалён модуль бекапа в связи с процессом его полной замены.

v Добавлена проверка наличия обновлений через интернет:
(!) вызывается из меню "Help" или "Misc Tools"
(!) доступна новая опция "Проверять обновления автоматически при запуске программы".

v Список игнорирования: ранее нельзя было добавить запись с русскими или юникодными символами.

v Добавлены защиты ASLR, DEP.

v Ускорено:
- проверка ЭЦП.
- сохранение огромных отчётов.
- O1 - Hosts: если записей больше, чем 40, то в лог попадут все, а в окно результатов скана только первые 20 и последние 20 + пункт "Reset contents to default"
- навигация по интерфейсу.

v Batch digital signature checker: в CSV отчёт добавлены новые поля:
- is PE (является ли файл форматом PE EXE)
- Signer name (имя подписанта)
- Signer email (адрес электронной почты подписанта)
- Catalog path (путь к каталогу безопасности, в котором найден хеш файла)
- PE hash (Portable Executable хеш файла)
- Algorithm of certificate hash (алгоритм хеша сертификата)
- Algorithm of signature digest (алгоритм выборки подписи)
- Time Stamp (отпечаток времени подписания файла)

v Смена шифрования:
- Настройки программы теперь хранятся в HKLM\Software\TrendMicro\HiJackThisFork

v O26 - Image File Execution Options:
- добавлено детектирование AVRF Hook/DoubleAgent
- добавлена проверка улья HKCU и Wow64.

v Улучшена совместимость:
- Windows Server с Terminal services.
- Проверка версии ОС.

v Улучшена безопасность:
- Заблокировано удаление служб Майкрософт.
(!) Теперь системные службы можно удалить только через меню "Tools" => "Delete Service".
(!) "Tools" => "Delete Service" теперь позволяет ввести отображаемое имя службы.
(!) HTTP ссылки заменены на HTTPS.

v Заменены гиперссылки и разбиты по языкам:
- для кнопки "Analyze report"
- для отправки сообщений об ошибках
- списка обновлений
- Online Guide в главном меню
- Помощь => Поддержка

v Добавлены меню:
- Help => Support
- Help => Users' Manual => Sections' description
- Help => Users' Manual => Command line keys

v Обновлены GitHub Wiki pages: https://github.com/dragokas/hijackthis/wiki
v Открыта общая тема обсуждения для англоязычных пользователей: https://github.com/dragokas/hijackthis/issues/4

v Размер программы:
- HiJackThis.exe теперь не упакован в UPX в виду того, что UPX ломает бинарную совместимость при анализе Crash-дампов.
 
Пользователь Dragokas обновил ресурс HiJackThis Fork новой записью:

Обновления

2.7.0.19
Добавлен новый хеш корневого сертификата Microsoft.

2.7.0.18
Добавлена проверка типа виртуализации ключей реестра. Больше не будет дублирующих ключей в логе, если ключ имеет тип 'Shared'.
Добавлена универсальная итерация ульев реестра. Теперь все ульи: HKLM / HKCU / HKU (default, SID служб и др. загруженных пользователей) будут проверяться в каждой секции.
Добавлен O4 - Win9x BAT: C:\Windows\System32\Batinit.bat
Добавлен O4 - Win9x BAT: C:\Windows\WinStart.bat
Добавлен O4 - Win9x...

Узнать больше об этом обновлении...
 
Пользователь Dragokas обновил ресурс HiJackThis Fork новой записью:

Обновления

2.7.0.20
/silentautolog - исправлена ошибка, когда не создавался лог.
O22 - Task: Переработан. Убрана зависимость от службы планировщика заданий.
O22 - Task: Добавлена поддержка вывода в лог множества действий для 1 задания.
O22 - Task: Добавлена проверка подлинности ComHandler-заданий.
O22 - Task: Вывод состояния задания (Running / Ready / Queued) упразднён, оставлено только состояние "Disabled".
O22 - Task: Добавлена возможность удалять повреждённые задания.
Удалена секция O4 -...

Узнать больше об этом обновлении...
 
Пожелание : Добавить поддержку Windows 10 Redstone 3 build 3 и 4 версию для HiJackthis. На x64 битый версии.

В этой форумные публики ещё не добавили поддержку. Но, это при необходимо добавить спец модули для совестимой системы .
 
Последнее редактирование:
Здравствуйте, wumbo12 !
Какие проблемы возникли при работе HiJackThis на указанной вами версии системы?
 
wumbo12, поддержка windows 10 и так есть. И если нужно, что-то доработать под новый билд это и так делается. Специально просить об этом не надо. А вот если что-то конкретное у вас не работает, то тогда сообщайте.
 
Пользователь Dragokas обновил ресурс HiJackThis Fork новой записью:

Обновления

2.7.0.21
Пополнены белые списки.
Добавлена полоса горизонтальной прокрутки к окну списка игнорирования.
O4 - HKLM\..\FileRenameOperations: отключён вывод записей с отложенным удалением.
O22 - Task: добавлена пометка "(telemetry)" для заданий, связанных со сбором статистики и передачи на сервера Microsoft (телеметрия).
O22 - Task: убраны пометки "(Microsoft)" у заданий, которые запускаются через хост-процесс (cmd.exe, schtasks.exe и т.п.)
Ключ /ihatewhitelists - исправлена работа.
Добавлен...

Узнать больше об этом обновлении...
 
upload_2017-12-8_7-33-15.png

А в целом сделано приятно.

Код:
Logfile of HiJackThis Fork (Alpha) by Alex Dragokas v.2.7.0.21

Platform:  x32 Windows 10 (Pro), 10.0.16299.64 (ReleaseId: 1709), Service Pack: 0
Time:      08.12.2017 - 07:35 (UTC+00:00),    Uptime: 02.01.1900 8:03:36 h/m
Language:  OS: Russian (0x419). Display: Russian (0x419). Non-Unicode: Russian (0x419)
Elevated:  Yes
Ran by:    Fire    (group: Administrator) on FIRE-PC, FirstRun: yes

Opera:   49.0.2725.47
Chrome:  62.0.3202.94
Edge:    11.0.16299.15
Internet Explorer: 11.0.16299.15
Default: "C:\Program Files\Maxthon\Bin\Maxthon.exe" "%1" (Maxthon Cloud Browser)

Boot mode: Normal

Запущенные процессы:
Кол-во | Путь
   1  C:\Program Files\4game\3.6.2.257\4game-service.exe
   1  C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe
   1  C:\Program Files\Adguard\Adguard.exe
   1  C:\Program Files\Adguard\AdguardSvc.exe
   1  C:\Program Files\Common Files\microsoft shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE
   1  C:\Program Files\Common Files\microsoft shared\Phone Tools\CoreCon\11.0\bin\IpOverUsbSvc.exe
   1  C:\Program Files\FixSecurity\FixRun.exe
  11  C:\Program Files\Google\Chrome\Application\chrome.exe
   1  C:\Program Files\Google\Update\1.3.33.7\GoogleCrashHandler.exe
   1  C:\Program Files\HP\HP Touchpoint Analytics Client\TouchpointAnalyticsClientService.exe
   1  C:\Program Files\Hewlett-Packard\HP Support Solutions\HPSupportSolutionsFrameworkService.exe
   1  C:\Program Files\Maxthon\Modules\Service\Update\MaxthonUpdateSvc.exe
   1  C:\Program Files\NANO Antivirus\bin\nanoav.exe
   1  C:\Program Files\NANO Antivirus\bin\nanosvc.exe
   9  C:\Program Files\Opera\49.0.2725.47\opera.exe
   1  C:\Program Files\Opera\49.0.2725.47\opera_crashreporter.exe
   1  C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
   1  C:\Program Files\Registry Workshop\RegWorkshop.exe
   1  C:\Program Files\Sandboxie\SbieSvc.exe
   1  C:\Program Files\TeamViewer\TeamViewer_Service.exe
   1  C:\Program Files\Windows Defender\MSASCuiL.exe
   1  C:\Program Files\Windows Media Player\wmpnetwk.exe
   1  C:\Program Files\WindowsApps\Microsoft.MSPaint_3.1710.30027.0_x86__8wekyb3d8bbwe\PaintStudio.View.exe
   1  C:\Program Files\WindowsApps\Microsoft.SkypeApp_12.9.604.0_x86__kzf8qxf38zg5c\SkypeHost.exe
   1  C:\Program Files\WindowsApps\Microsoft.WindowsCalculator_10.1710.2791.0_x86__8wekyb3d8bbwe\Calculator.exe
   1  C:\Program Files\WindowsApps\Microsoft.WindowsStore_11711.1001.5.0_x86__8wekyb3d8bbwe\WinStore.App.exe
   1  C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_17.8730.21155.0_x86__8wekyb3d8bbwe\HxOutlook.exe
   1  C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_17.8730.21155.0_x86__8wekyb3d8bbwe\HxTsr.exe
   1  C:\Program Files\Yandex\YandexBrowser\17.10.0.2017\service_update.exe
   1  C:\Users\Fire\AppData\Local\FluxSoftware\Flux\flux.exe
   1  C:\Users\Fire\AppData\Local\Microsoft\OneDrive\OneDrive.exe
   1  C:\Users\Fire\AppData\Local\Viber\Viber.exe
   1  C:\Windows\ImmersiveControlPanel\SystemSettings.exe
   1  C:\Windows\System32\ApplicationFrameHost.exe
   1  C:\Windows\System32\DataExchangeHost.exe
   1  C:\Windows\System32\Locator.exe
   8  C:\Windows\System32\RuntimeBroker.exe
   1  C:\Windows\System32\SearchIndexer.exe
   1  C:\Windows\System32\SecurityHealthService.exe
   1  C:\Windows\System32\SettingSyncHost.exe
   1  C:\Windows\System32\WUDFHost.exe
   1  C:\Windows\System32\audiodg.exe
   4  C:\Windows\System32\cmd.exe
   4  C:\Windows\System32\conhost.exe
   2  C:\Windows\System32\csrss.exe
   1  C:\Windows\System32\ctfmon.exe
   1  C:\Windows\System32\dasHost.exe
   2  C:\Windows\System32\dllhost.exe
   1  C:\Windows\System32\dwm.exe
   2  C:\Windows\System32\fontdrvhost.exe
   1  C:\Windows\System32\hasplms.exe
   1  C:\Windows\System32\lsass.exe
   1  C:\Windows\System32\nvvsvc.exe
   1  C:\Windows\System32\services.exe
   1  C:\Windows\System32\sihost.exe
   1  C:\Windows\System32\smartscreen.exe
   1  C:\Windows\System32\smss.exe
   1  C:\Windows\System32\spoolsv.exe
  19  C:\Windows\System32\svchost.exe
   1  C:\Windows\System32\taskhostw.exe
   1  C:\Windows\System32\wbem\WmiApSrv.exe
   1  C:\Windows\System32\wbem\WmiPrvSE.exe
   1  C:\Windows\System32\wininit.exe
   1  C:\Windows\System32\winlogon.exe
   1  C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe
   1  C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe
   1  C:\Windows\explorer.exe
   1  C:\Windows\regedit.exe
   1  E:\загрузки\HiJackThis\HiJackThis.exe
   1  E:\загрузки\HiJackThis\MemCompression

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/?clid=135239
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes: DefaultScope = {8C3078A0-9AAB-4371-85D1-656CA8E46EE8} - Яндекс - https://yandex.ru/search/?text={searchTerms}&clid=2233627
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{8C3078A0-9AAB-4371-85D1-656CA8E46EE8} - Яндекс - https://suggest.yandex.ru/suggest-ff.cgi?srv=ie11&part={searchTerms}&clid=2233627 (SuggestionsURL_JSON)
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{8C3078A0-9AAB-4371-85D1-656CA8E46EE8} - Яндекс - https://yandex.ru/search/?text={searchTerms}&clid=2233627 (URL)
R4 - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes: DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} - (no name) - (no URL)
O4 - HKCU\..\Run: [Adguard] C:\Program Files\Adguard\Adguard.exe /nosplash
O4 - HKCU\..\Run: [f.lux] C:\Users\Fire\AppData\Local\FluxSoftware\Flux\flux.exe /noshow
O4 - HKCU\..\RunOnce: [Uninstall 17.3.7076.1026] C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Fire\AppData\Local\Microsoft\OneDrive\17.3.7076.1026"
O4 - HKCU\..\StartupApproved\Run: [SyncManPath] (2017/09/21) C:\Users\Fire\AppData\Roaming\Yandex\YandexDisk\YandexDisk.exe -autostart
O4 - HKCU\..\StartupApproved\Run: [Viber] (2017/09/21) C:\Users\Fire\AppData\Local\Viber\Viber.exe StartMinimized
O4 - HKLM\..\Run: [RTHDVCPL] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe MSRun
O4 - HKLM\..\StartupApproved\Run: [2Gis Update Notifier] (2013/12/24) C:\Program Files\2gis\3.0\2GISTrayNotifier.exe -delayed_start
O4 - HKLM\..\StartupApproved\Run: [AMD AVT] (2014/07/07) C:\WINDOWS\system32\Cmd.exe /c start "AMD Accelerated Video Transcoding device initialization" /min "C:\Program Files\AMD AVT\bin\kdbsync.exe" aml
O4 - HKLM\..\StartupApproved\Run: [BCSSync] (2013/12/24) C:\Program Files\Microsoft Office\Office14\BCSSync.exe /DelayServices
O4 - HKLM\..\StartupApproved\Run: [BNM] (2013/12/24) C:\Users\Fire\AppData\Local\Beeline Network Manager\notifier.exe
O4 - HKLM\..\StartupApproved\Run: [SecurityHealth] (1601/01/01) C:\Program Files\Windows Defender\MSASCuiL.exe
O4 - HKU\S-1-5-19\..\Run: [OneDriveSetup] C:\Windows\System32\OneDriveSetup.exe /thfirstsetup
O4 - HKU\S-1-5-20\..\Run: [OneDriveSetup] C:\Windows\System32\OneDriveSetup.exe /thfirstsetup
O17 - DHCP DNS - 1: 192.168.1.1
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Common Files\Skype\Skype4COM.dll
O21 - ShellIconOverlayIdentifiers: Yandex.Disk ErrorShellIconOverlayImpl - {FB2FE984-05F5-4512-9D9B-69D3DE61F6D9} - C:\Users\Fire\AppData\Roaming\Yandex\YandexDisk\YandexDiskOverlays-2398.dll
O21 - ShellIconOverlayIdentifiers: Yandex.Disk ErrorShellIconOverlayImpl - {FB2FE984-05F5-4512-9D9B-69D3DE61F6D9} - C:\Users\Fire\AppData\Roaming\Yandex\YandexDisk\YandexDiskOverlays-2398.dll
O21 - ShellIconOverlayIdentifiers: Yandex.Disk ModifiedShellIconOverlayImpl - {7E7DC279-E6BE-4D57-9DEC-14FA0339DBC0} - C:\Users\Fire\AppData\Roaming\Yandex\YandexDisk\YandexDiskOverlays-2398.dll
O21 - ShellIconOverlayIdentifiers: Yandex.Disk ModifiedShellIconOverlayImpl - {7E7DC279-E6BE-4D57-9DEC-14FA0339DBC0} - C:\Users\Fire\AppData\Roaming\Yandex\YandexDisk\YandexDiskOverlays-2398.dll
O21 - ShellIconOverlayIdentifiers: Yandex.Disk SharedShellIconOverlayImpl - {AF8D197E-7022-4c3d-BD88-68AD35C9C169} - C:\Users\Fire\AppData\Roaming\Yandex\YandexDisk\YandexDiskOverlays-2398.dll
O21 - ShellIconOverlayIdentifiers: Yandex.Disk SharedShellIconOverlayImpl - {AF8D197E-7022-4c3d-BD88-68AD35C9C169} - C:\Users\Fire\AppData\Roaming\Yandex\YandexDisk\YandexDiskOverlays-2398.dll
O21 - ShellIconOverlayIdentifiers: Yandex.Disk SyncShellIconOverlayImpl - {63D48440-63AB-44D0-B323-4731DFCDE9E9} - C:\Users\Fire\AppData\Roaming\Yandex\YandexDisk\YandexDiskOverlays-2398.dll
O21 - ShellIconOverlayIdentifiers: Yandex.Disk SyncShellIconOverlayImpl - {63D48440-63AB-44D0-B323-4731DFCDE9E9} - C:\Users\Fire\AppData\Roaming\Yandex\YandexDisk\YandexDiskOverlays-2398.dll
O22 - Task: (disabled) (telemetry) \Microsoft\Windows\Customer Experience Improvement Program\BthSQM - {C8367320-6F85-11E0-A1F0-0800200C9A66},SYSTEM - C:\WINDOWS\System32\BthTelemetry.dll (Microsoft)
O22 - Task: (disabled) (telemetry) \Microsoft\Windows\Customer Experience Improvement Program\Uploader - C:\WINDOWS\system32\WSqmCons.exe -u (Microsoft)
O22 - Task: (disabled) Maxthon Update - C:\Program Files\Maxthon\Bin\Maxthon.exe -RunScheduledUpdate
O22 - Task: (disabled) Realtek HD Audio - C:\Users\Fire\AppData\Local\NeoSmart_Technologies\Realtek HD\rthdcpl.exe b5Cd98b3bF7d121e14130049cDF86b58EAE49c9B (file missing)
O22 - Task: (disabled) RegJump Mod SkipUAC - C:\WINDOWS\system32\wscript.exe "C:\Users\Fire\AppData\Roaming\RegJump Mod\Jump Registry из буфера.vbs" NoUAC
O22 - Task: (disabled) \Hewlett-Packard\HP Active Health\HP Active Health Scan (HPSA) - C:\Program Files\Hewlett-Packard\HP Support Framework\Resources\HPActiveHealth\ActiveHealth.exe -task -source HPSA
O22 - Task: (disabled) \Hewlett-Packard\HP Support Assistant\HP Support Assistant Quick Start - C:\Program Files\Hewlett-Packard\HP Support Framework\HPSF.exe /taskrestart
O22 - Task: (disabled) \Hewlett-Packard\HP Support Assistant\HP Support Solutions Framework Report - C:\Program Files\Hewlett-Packard\HP Support Solutions\Modules\HPSFReport.exe /send
O22 - Task: (disabled) \Hewlett-Packard\HP Support Assistant\HP Support Solutions Framework Updater - C:\Program Files\Hewlett-Packard\HP Support Solutions\Modules\HPSSFUpdater.exe /u
O22 - Task: (disabled) \Hewlett-Packard\HP Support Assistant\HP Support Solutions Framework Updater - Resources - C:\Program Files\Hewlett-Packard\HP Support Solutions\Modules\HPSSFUpdater.exe /r /m
O22 - Task: (disabled) \Hewlett-Packard\HP Support Assistant\Opt-in For HP Support Assistant Quick Start - C:\Program Files\Hewlett-Packard\HP Support Framework\HPSF_Utils.exe /SetTaskbarTask
O22 - Task: (disabled) \Hewlett-Packard\HP Support Assistant\PC Health Analysis - C:\Program Files\Hewlett-Packard\HP Support Framework\HPSF.exe /L Analysis
O22 - Task: (disabled) \Hewlett-Packard\HP Support Assistant\Product Configurator - C:\Program Files\Hewlett-Packard\HP Support Framework\Resources\ProductConfig.exe /noreport
O22 - Task: (disabled) \Microsoft\VisualStudio\VSIX Auto Update 14 - E:\Games\Visual Studio\Common7\IDE\VSIXAutoUpdate.exe (Microsoft)
O22 - Task: (disabled) \Microsoft\Windows\IME\SQM data sender - {CCB1D8CB-D39F-41C9-B793-0196214BDC4E} - C:\Windows\System32\IME\shared\imecfm.dll (Microsoft)
O22 - Task: (disabled) \Microsoft\Windows\NetCfg\BindingWorkItemQueueHandler - {5AA199A0-1CED-43A5-9B85-3226086738A3} - (no file)
O22 - Task: (disabled) \Microsoft\Windows\PerfTrack\BackgroundConfigSurveyor - {EA9155A3-8A39-40B4-8963-D3C761B18371} - (no file)
O22 - Task: (disabled) \Microsoft\Windows\RAC\RacTask - {42060D27-CA53-41F5-96E4-B1E8169308A6},$(Arg0) - C:\WINDOWS\system32\RacEngn.dll (Microsoft)
O22 - Task: (disabled) \Microsoft\Windows\SMB\UninstallSMB1ClientTask - C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Unrestricted -NonInteractive -NoProfile -WindowStyle Hidden "& C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1 -Scenario Client"
O22 - Task: (disabled) \Microsoft\Windows\SMB\UninstallSMB1ServerTask - C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Unrestricted -NonInteractive -NoProfile -WindowStyle Hidden "& C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1 -Scenario Server"
O22 - Task: (disabled) \Microsoft\Windows\SkyDrive\Idle Sync Maintenance Task - {BF6C1E47-86EC-4194-9CE5-13C15DCB2001},IdleSyncMaintenance - (no file)
O22 - Task: (disabled) \Microsoft\Windows\SkyDrive\Routine Maintenance Task - {1B1F472E-3221-4826-97DB-2C2324D389AE},RoutineMaintenance - (no file)
O22 - Task: (disabled) \Microsoft\Windows\WindowsUpdate\AUFirmwareInstall - {EFF7F153-1C97-417A-B633-FEDE6683A939} - C:\WINDOWS\system32\wuaueng.dll (Microsoft)
O22 - Task: (disabled) \Microsoft\Windows\WindowsUpdate\AUScheduledInstall - {F3B4E234-7A68-4E43-B813-E4BA55A065F6} - C:\WINDOWS\system32\wuaueng.dll (Microsoft)
O22 - Task: (disabled) \Microsoft\Windows\WindowsUpdate\AUSessionConnect - {784E29F4-5EBE-4279-9948-1E8FE941646D} - C:\WINDOWS\system32\wuaueng.dll (Microsoft)
O22 - Task: (disabled) \Microsoft\Windows\Workplace Join\Automatic-Workplace-Join - C:\WINDOWS\System32\AutoWorkplace.exe join (file missing)
O22 - Task: (disabled) \S-1-5-21-1566998330-4110308949-553068737-1000\DataSenseLiveTileTask - C:\WINDOWS\System32\DataUsageLiveTileTask.exe
O22 - Task: (disabled) {34BB05CA-3C4A-48E1-82E4-AF9C6FC60AF5} - C:\WINDOWS\system32\pcalua.exe -a E:\загрузки\SketchUpPro-2016.16.1.2104\SketchUpPro-2016.16.1.2104.exe -d E:\загрузки\SketchUpPro-2016.16.1.2104
O22 - Task: (disabled) {58C9B13F-63E1-4556-899F-6CEEFD6C565D} - c:\program files\maxthon\bin\maxthon.exe http://ui.skype.com/ui/0/7.28.0.101/ru/abandoninstall?page=tsProgressBar
O22 - Task: (disabled) {651C9B9F-4FE4-4E4C-BD6D-DD26DD7A9336} - C:\WINDOWS\system32\pcalua.exe -a "C:\Program Files\Common Files\Microsoft Shared\OFFICE14\Office Setup Controller\setup.exe" -c /uninstall PROPLUS /dll OSETUP.DLL
O22 - Task: (disabled) {849A506F-6C0B-4A86-B2DE-ED2B88F60194} - c:\program files\maxthon\bin\maxthon.exe http://ui.skype.com/ui/0/7.28.0.101/ru/abandoninstall?page=tsProgressBar
O22 - Task: (disabled) {B3564F49-397D-40A1-8179-F02529710861} - c:\program files\maxthon\bin\maxthon.exe http://ui.skype.com/ui/0/7.28.0.101/ru/abandoninstall?page=tsProgressBar
O22 - Task: (disabled) Обновление Браузера Яндекс - C:\Users\Fire\AppData\Local\Yandex\YandexBrowser\Application\browser.exe --background-update --noerrdialogs
O22 - Task: Adobe Flash Player PPAPI Notifier - C:\WINDOWS\system32\Macromed\Flash\FlashUtil32_27_0_0_187_pepper.exe -check pepperplugin
O22 - Task: Adobe Flash Player Updater - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O22 - Task: CCleaner Update - C:\Program Files\CCleaner\CCUpdate.exe
O22 - Task: CCleanerSkipUAC - C:\Program Files\CCleaner\CCleaner.exe $(Arg0)
O22 - Task: GoogleUpdateTaskMachineCore - C:\Program Files\Google\Update\GoogleUpdate.exe /c
O22 - Task: GoogleUpdateTaskMachineUA - C:\Program Files\Google\Update\GoogleUpdate.exe /ua /installsource scheduler
O22 - Task: HPCeeScheduleForFire - C:\Program Files\Hewlett-Packard\HP Ceement\HPCEE.exe HPCeeScheduleForFire (null)
O22 - Task: Opera scheduled Autoupdate 1511226894 - C:\Program Files\Opera\launcher.exe --scheduledautoupdate $(Arg0)
O22 - Task: Системное обновление Браузера Яндекс - C:\Program Files\Yandex\YandexBrowser\17.10.0.2017\service_update.exe --run-as-launcher
O23 - Service R2: 4game-service - C:\Program Files\4game\3.6.2.257\4game-service.exe
O23 - Service R2: AMD FUEL Service - C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe
O23 - Service R2: Adguard Service - C:\Program Files\Adguard\AdguardSvc.exe
O23 - Service R2: HP Support Solutions Framework Service - (HPSupportSolutionsFrameworkService) - C:\Program Files\Hewlett-Packard\HP Support Solutions\HPSupportSolutionsFrameworkService.exe
O23 - Service R2: HP Touchpoint Analytics - (HPTouchpointAnalyticsService) - C:\Program Files\HP\HP Touchpoint Analytics Client\TouchpointAnalyticsClientService.exe
O23 - Service R2: Maxthon Core Update Service - (MaxthonUpdateSvc) - C:\Program Files\Maxthon\Modules\Service\Update\MaxthonUpdateSvc.exe
O23 - Service R2: NANO Antivirus service - (nanosvc) - C:\Program Files\NANO Antivirus\bin\nanosvc.exe
O23 - Service R2: NVIDIA Display Driver Service - (nvsvc) - C:\WINDOWS\system32\nvvsvc.exe
O23 - Service R2: Sandboxie Service - (SbieSvc) - C:\Program Files\Sandboxie\SbieSvc.exe
O23 - Service R2: Sentinel LDK License Manager - (hasplms) - C:\WINDOWS\system32\hasplms.exe
O23 - Service R2: TeamViewer 12 - (TeamViewer) - C:\Program Files\TeamViewer\TeamViewer_Service.exe
O23 - Service R2: Yandex.Browser Update Service - (YandexBrowserService) - C:\Program Files\Yandex\YandexBrowser\17.10.0.2017\service_update.exe
O23 - Service S2: MxService - C:\Program Files\Maxthon\Bin\MxService.exe (file missing)
O23 - Service S2: Служба Google Update (gupdate) - (gupdate) - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service S3: 2GIS UpdateService - (2GISUpdateService) - C:\Program Files\2gis\3.0\2GISUpdateService.exe
O23 - Service S3: Adobe Flash Player Update Service - (AdobeFlashPlayerUpdateSvc) - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service S3: CodeMeter Runtime Server - (CodeMeter.exe) - C:\Program Files\CodeMeter\Runtime\bin\CodeMeter.exe
O23 - Service S3: Mozilla Maintenance Service - (MozillaMaintenance) - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service S3: Te.Service - C:\Program Files\Windows Kits\10\Testing\Runtimes\TAEF\Wex.Services.exe
O23 - Service S3: Антивирусная программа "Защитника Windows" - (WinDefend) - C:\Program Files\Windows Defender\MsMpEng.exe
O23 - Service S3: Служба Advanced Threat Protection в Защитнике Windows - (Sense) - C:\Program Files\Windows Defender Advanced Threat Protection\MsSense.exe
O23 - Service S3: Служба Google Update (gupdatem) - (gupdatem) - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service S3: Служба проверки сети Windows Defender Antivirus - (WdNisSvc) - C:\Program Files\Windows Defender\NisSrv.exe


--
End of file - Time spent: 108 sec. - 37120 bytes, CRC32: FFFFFFFF. Sign: 跖誓


Точки восстановления показывать будет в логе?
 
Пользователь Dragokas обновил ресурс HiJackThis Fork новой записью:

Обновления

2.7.0.23
O22 - Task: Добавлен разбор файлов .job
O7 - Policy: [Untrusted Certificate] - добавлена проверка списка ненадёжных сертификатов цифровой подписи и их анализ.

2.7.0.22
Пополнены белые списки.
O17 - Удалён ControlSet[x], на который ссылается CurrentControlSet.

Узнать больше об этом обновлении...
 
Пользователь Dragokas обновил ресурс HiJackThis Fork новой записью:

Обновление

2.7.0.24
Устранена ошибка, когда лог создавался урезанным из-за NUL символов.
Удалён Uptime.
Завершен перевод списка обновлений на английский язык.
Списки обновлений программ HJT, StartupList и ADSSpy добавлены на вкладку меню "Помощь" -> О программе -> История.
R4 - SearchScopes: Изменён формат строки лога.

Узнать больше об этом обновлении...
 
На защищенном носителе вот такое окошко изредка да напрягает, возможно ли от него избавиться?

RZTkkfk.png

в смысле на него нельзя записывать? Если да, то ошибка нормально. Читайте справку по программе. Программа должна суметь записать туда логи и бэкапы в случае фикса.
А текст об ошибке наверно всё-таки стоит поправить.

NickM, я подумаю, как упростить установку на защищённые съемные носители.

Походу не придумали...

И того хуже - на каждый "чих" модальное сообщение...

Может взять за пример тот же "AdwCleaner", который научился, спустя некоторое время, в корне %systemdrive% создавать директорию? Или в конце концов, на крайний случай, облюбовать %temp%?
 
В v2.6.4.22 исправлял, но ничего кардинального, только окно убирал, что у вас на скриншоте.

Может взять за пример тот же "AdwCleaner", который научился, спустя некоторое время, в корне %systemdrive% создавать директорию?
Спасибо. Подумаю, над счёт такого варианта.
 
Пользователь Dragokas обновил ресурс HiJackThis Fork новой записью:

Обновления

2.7.0.26
Пополнен список DNS.
O4 - Добавлен вывод папок в каталогах Автозапуска.
O2, O3 - исправлена эвристическая чистка.
Секция R4 - DefaultScope объединена с R4 - SearchScopes.
Мелкие оптимизации скорости работы утилиты.

2.7.0.25
Пополнен список сертификатов XP.

Узнать больше об этом обновлении...
 
Пользователь Dragokas обновил ресурс HiJackThis Fork новой записью:

Обновление

2.7.0.27
O7 - Исправлен вывод имени владельца сертификата.
O7 - Добавлен вывод имени владельца для сертификатов, которых нет в базе HJT.
O7 - Добавлен пункт "Policy: [Untrusted Certificate] Fix all items from the log", для фикса всех сразу сертификатов в логе, если строк > 10.

Узнать больше об этом обновлении...
 
Назад
Сверху Снизу