HiJackThis+ (Plus)

HiJackThis+ (Plus) 3.4.0.8

Dragokas

Angry & Scary Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
7,813
Реакции
6,592
  • Первое сообщение
  • #1
HiJackThis+
(ex. HiJackThis Fork v3)


Ссылки для скачивания (Download Links):

Test (beta) | Stable | Source Code

В этой теме обсуждается программа HiJackThis и её модификация (форк) от команды SafeZone, используемый внутри Автологгера и именуемый HiJackThis+.
Здесь Вы можете:
  • задать вопросы разработчикам
  • оставить отзывы и пожелания по улучшению программы
  • сообщить об ошибке в программе
Краткое описание программы:
HiJackThis - это инструмент, который способен обнаружить и исправить изменения в наиболее уязвимых местах операционной системы, сделанные рекламными, шпионскими, вредоносными и другими нежелательными программами.

Проверка через HiJackThis основана не на чёрных списках, конкретных программах или URL-адресах, а только на методах, используемых вредоносным и рекламным ПО ("угонщиками браузеров"). Поэтому программа не требует постоянных обновлений.

Как минус, в её результатах отображаются и легитимные, и вредоносные объекты.
Поэтому нельзя удалять всё подряд. Это вполне гарантированно нанесёт вред системе.
Оценку вредоносности объектов в отчёте должен проводить специалист по информационной безопасности.

Если Вы желаете пройти курс обучения работе в HiJackThis, то можете подать заявку на участие в Программе обучения по "лечению" персонального компьютера

Авторские права:
HiJackThis+ (Plus) является модификацией (форком) программы Trend Micro HijackThis, подготовленным Alex Dragokas и командой SafeZone.cc, и распространяется вместе с открытым исходным кодом и соблюдением оригинальной лицензии GNU GPLv2.

С исходным кодом можно ознакомиться в репозитории GitHub.

Как сообщить об ошибке в программе?
Если появилось окно с ошибкой, то в буфере обмена содержится её текст.
Он нужен разработчикам, чтобы улучшить программу.

Пожалуйста, вставьте правой кнопкой мыши в эту тему текст.
Если его нет:
1) приложите скриншот ошибки.
2) укажите версию программы HijackThis (см. заголовок окна)
3) укажите разрядность и версию Windows
4) (необязательно) ссылку на тему, где производится лечение Вашего ПК

Спасибо. Команда разработчиков HJT+.

Программа зависла / отработала не до конца / завершилась с ошибкой / "упала". Что делать?
Соберите и пришлите архив аварийного дампа с отладочными логами. Подробнее: см. в разделе FAQ.

Руководство к TrendMicro HiJackThis v.2 от regist
Дополнение к руководству HiJackThis+ от Dragokas
 
Последнее редактирование:
Я бы показал вот так пример Пользователю гораздо будет легче удалить вирус через Интернет проверки VT через HiJacThis Fork. Только по отдельному. Это необходимое, для новичков. Это не нарушение, а просто лишь проверка по репутации, также пользователь может самостоятельно удалить вирусы при проверки на VT, только зависит от того как пользователь предпринимет решение.
HiJackThis.png
 
Последнее редактирование:
3/60 - не обязательно значит, что заражён.
0/60 - не обязательно значит, что не заражён.

Есть другие способы для проверки файла локально, над которыми я в дальнейшем планирую работать.

То, что вы предлагаете, можно сделать как опцию в меню, не более.
 
Посмотреть вложение 38829
А какие белые списки еще проверяются?

Это та то что проверил, все равно отображает все белые списки с подписаной Microsoft - не работает , походу баг или функция сломалась и всё равно отображает все файлы . Логи представляю. Зачем такой огромный запись логи?. Если поменять на режим Игнорировать записи, то проверяется по другому и логи меньше -только программы и неизвестные файлы. В чем отличается Игнорировать с подписанной Microsoft или все белые подписи кроме Microsoft? Может так лучше добавить две новых функции на Опции при проверке.

1) VirusTotal и Игнорировать записи Microsoft подписи - только проверять по VirusTotal все файлы, только не подписанные файлы .
2) Игнорировать белые списки и Microsoft подписи -это значит что не будет отображено при сканирование на HiJackThis , только будет проверять неизвестные файлы которые не подписанные или не внесли в исключение.

Можно и так лучше будет?

Чтоб было так результат пример отображалась по умолчанию при проверки.
 

Вложения

  • 1.png
    1.png
    40.5 KB · Просмотры: 89
  • HiJackThis.log
    173.9 KB · Просмотры: 2
Последнее редактирование:
все белые подписи кроме Microsoft?
Такой опции в программе нет, не вводите себя и пользователей в обман.

Есть опции:
- игнорировать записи Майкрорософт (и это не только по признаку "подпись").
Сюда входят файлы, реестр и прочее.

- Игнорировать ВСЕ белые списки
Сюда входят некоторые фильтры по прочим не-MS файлам, экранированные записи в Hosts и Autoexec.nt / отключённые записи IPSEC / дубликаты IP в O17 - DHCP DNS и подобное.

Кроме того, если поставить галочку "Игнорировать все белые списки", то галочка "игнорировать записи Майкрософт" будет снята автоматически.

все равно отображает все белые списки с подписаной Microsoft - не работает , походу баг или функция сломалась и всё равно отображает все файлы
Покажите пример.
Вы выложили лог. Куда обратить внимание?
На скриншоте я не понимаю, что вы показываете.

Да, если что:
Ran by: 1 (group: Administrator) on KVS, (SID: S-1-5-21-2919011374-1382124852-3541721840-1000) FirstRun: no
SID, это я прямо перед сборкой забыл отключить. Потом уберу.

только проверять по VirusTotal все файлы, только не подписанные файлы .
Подписанные файлы могут и периодически содержат вредоносное ПО, чаще всего Adware, так что не вариант.
 
Такой опции в программе нет, не вводите себя и пользователей в обман.


Покажите пример.
Вы выложили лог. Куда обратить внимание?
На скриншоте я не понимаю, что вы показываете.
 

Вложения

  • Игнорировать записи Microsoft.log
    27.4 KB · Просмотры: 3
  • Игнорировать все белые списки.log
    174.9 KB · Просмотры: 4
А если по-человечески написать, какая строка вас смущает?

2 файлы по отдельному галку. Почему отличается от 27 кб и между 174 кб?. Так устроено?.
Разные галки, вот и отличается.
 
А, вот вопрос : Почему на 174 кб лежит :
Код:
O13 - HKLM\..\URL: DefaultPrefix[] = http://
O13 - HKLM\..\URL: Prefixes[ftp] = ftp://
O13 - HKLM\..\URL: Prefixes[gopher] =
O13 - HKLM\..\URL: Prefixes[home] = http://
O13 - HKLM\..\URL: Prefixes[mosaic] = http://
O13 - HKLM\..\URL: Prefixes[www.] =
O13 - HKLM\..\URL: Prefixes[www] = http://
O13-32 - HKLM\..\URL: DefaultPrefix[] = http://
O13-32 - HKLM\..\URL: Prefixes[ftp] = ftp://
O13-32 - HKLM\..\URL: Prefixes[gopher] =
O13-32 - HKLM\..\URL: Prefixes[home] = http://
O13-32 - HKLM\..\URL: Prefixes[mosaic] = http://
O13-32 - HKLM\..\URL: Prefixes[www.] =
O13-32 - HKLM\..\URL: Prefixes[www] = http://

Еще это
Код:
O15 - ProtocolDefaults: HKCU - [@ivt] protocol is in Intranet Zone, should be Intranet Zone
O15 - ProtocolDefaults: HKCU - [file] protocol is in Internet Zone, should be Internet Zone
O15 - ProtocolDefaults: HKCU - [ftp] protocol is in Internet Zone, should be Internet Zone
O15 - ProtocolDefaults: HKCU - [http] protocol is in Internet Zone, should be Internet Zone
O15 - ProtocolDefaults: HKCU - [https] protocol is in Internet Zone, should be Internet Zone
O15 - ProtocolDefaults: HKCU - [knownfolder] protocol is in My Computer Zone, should be My Computer Zone
O15 - ProtocolDefaults: HKCU - [shell] protocol is in My Computer Zone, should be My Computer Zone
O15 - ProtocolDefaults: HKLM - [@ivt] protocol is in Intranet Zone, should be Intranet Zone
O15 - ProtocolDefaults: HKLM - [file] protocol is in Internet Zone, should be Internet Zone
O15 - ProtocolDefaults: HKLM - [ftp] protocol is in Internet Zone, should be Internet Zone
O15 - ProtocolDefaults: HKLM - [http] protocol is in Internet Zone, should be Internet Zone
O15 - ProtocolDefaults: HKLM - [https] protocol is in Internet Zone, should be Internet Zone
O15 - ProtocolDefaults: HKLM - [knownfolder] protocol is in My Computer Zone, should be My Computer Zone
O15 - ProtocolDefaults: HKLM - [ldap] protocol is in Restricted Zone, should be Restricted Zone
O15 - ProtocolDefaults: HKLM - [news] protocol is in Restricted Zone, should be Restricted Zone
O15 - ProtocolDefaults: HKLM - [nntp] protocol is in Restricted Zone, should be Restricted Zone
O15 - ProtocolDefaults: HKLM - [oecmd] protocol is in Restricted Zone, should be Restricted Zone
O15 - ProtocolDefaults: HKLM - [shell] protocol is in My Computer Zone, should be My Computer Zone
O15 - ProtocolDefaults: HKLM - [snews] protocol is in Restricted Zone, should be Restricted Zone
O15 - ProtocolDefaults: HKU\.DEFAULT - [@ivt] protocol is in Intranet Zone, should be Intranet Zone
O15 - ProtocolDefaults: HKU\.DEFAULT - [file] protocol is in Internet Zone, should be Internet Zone
O15 - ProtocolDefaults: HKU\.DEFAULT - [ftp] protocol is in Internet Zone, should be Internet Zone
O15 - ProtocolDefaults: HKU\.DEFAULT - [http] protocol is in Internet Zone, should be Internet Zone
O15 - ProtocolDefaults: HKU\.DEFAULT - [https] protocol is in Internet Zone, should be Internet Zone
O15 - ProtocolDefaults: HKU\.DEFAULT - [shell] protocol is in My Computer Zone, should be My Computer Zone

Можете эту убрать? А, то это логи не понятный...

А, еще вопрос :
Код:
O25 - WMI Event: [BVTConsumer] BVTFilter - Event="__InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99",  cscript KernCap.vbs (WorkDir = C:\\tools\\kernrate)

Этого файл не сущетсвует в системе . В WMI Event .

В Директории С:\\tools\kernate - может не понятный? Или что-то?.
 
Последнее редактирование:
А, вот вопрос : Почему на 174 кб лежит :
Странный вопрос. Вы же сами написали, что поменяли настройки галочек игнорирования.
Вот поэтому и выводятся. Поставьте как было, и не будет выводится.
Какой вопрос?

Вас и Akok наверное ввело в заблуждение созвучное название пункта:
Ignore Microsoft entries
Ignore ALL WhiteLists - здесь подразумевается, что программа не будет читать белый список, следовательно в лог будут выводится все записи.
Наверное логичней переименовать во что-то вроде:

Don't apply WhiteLists

а первое:
Hide Microsoft entries
 
Можно сделать как-нибудь проще для понимая, например:

- Hide Microsoft entries
- Hide other entries

но тогда и логику работы последнего придётся переделывать, т.к. в данный момент п.2. включает в себя п.1.
 
Код:
O4 - MSConfig\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Zaxar Games Browser.lnk [backup] => C:\Program Files (x86)\Zaxar\ZaxarLoader.exe /verysilent (2017/10/11) (file missing)
O4 - MSConfig\startupfolder: C:^Users^Alex^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Counter-Strike Global Offensive.lnk [backup] => C:\games\Counter-Strike Global Offensive\Counter-Strike Global Offensive.exe (2017/10/11) (file missing)
Logfile of HiJackThis Fork (Beta) by Alex Dragokas v.2.8.0.4

Вместо "/" используется "^"
 
Ошибка указывает на то, что файл задания заблокирован другой программой.
Решение выйдет не скоро, если вообще когда-либо будет.

Если это задание вредоносное, сперва нужно деинсталлировать или удалить программу, которая использует данное задание, а затем повторно выполнить проверку HiJackThis и удалить само задание.
Спасибо за отчёт.
 
Установка HiJackThis Fork теперь доступна через командную строку: Chocolatey Gallery | HiJackThis Fork 2.8.0.4

Для этого, запустите powershell от имени Администратора, далее:

1) нужно установить менеджер пакетов Chocolatey.
Код:
Set-ExecutionPolicy Bypass -Scope Process -Force; iex ((New-Object System.Net.WebClient).DownloadString('https://chocolatey.org/install.ps1'))

2) Установка HJT:
Код:
choco install hijackthis
 
Назад
Сверху Снизу