HiJackThis+ (Plus)

HiJackThis+ (Plus) 3.4.0.8

Dragokas

Angry & Scary Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
7,813
Реакции
6,592
  • Первое сообщение
  • #1
HiJackThis+
(ex. HiJackThis Fork v3)


Ссылки для скачивания (Download Links):

Test (beta) | Stable | Source Code

В этой теме обсуждается программа HiJackThis и её модификация (форк) от команды SafeZone, используемый внутри Автологгера и именуемый HiJackThis+.
Здесь Вы можете:
  • задать вопросы разработчикам
  • оставить отзывы и пожелания по улучшению программы
  • сообщить об ошибке в программе
Краткое описание программы:
HiJackThis - это инструмент, который способен обнаружить и исправить изменения в наиболее уязвимых местах операционной системы, сделанные рекламными, шпионскими, вредоносными и другими нежелательными программами.

Проверка через HiJackThis основана не на чёрных списках, конкретных программах или URL-адресах, а только на методах, используемых вредоносным и рекламным ПО ("угонщиками браузеров"). Поэтому программа не требует постоянных обновлений.

Как минус, в её результатах отображаются и легитимные, и вредоносные объекты.
Поэтому нельзя удалять всё подряд. Это вполне гарантированно нанесёт вред системе.
Оценку вредоносности объектов в отчёте должен проводить специалист по информационной безопасности.

Если Вы желаете пройти курс обучения работе в HiJackThis, то можете подать заявку на участие в Программе обучения по "лечению" персонального компьютера

Авторские права:
HiJackThis+ (Plus) является модификацией (форком) программы Trend Micro HijackThis, подготовленным Alex Dragokas и командой SafeZone.cc, и распространяется вместе с открытым исходным кодом и соблюдением оригинальной лицензии GNU GPLv2.

С исходным кодом можно ознакомиться в репозитории GitHub.

Как сообщить об ошибке в программе?
Если появилось окно с ошибкой, то в буфере обмена содержится её текст.
Он нужен разработчикам, чтобы улучшить программу.

Пожалуйста, вставьте правой кнопкой мыши в эту тему текст.
Если его нет:
1) приложите скриншот ошибки.
2) укажите версию программы HijackThis (см. заголовок окна)
3) укажите разрядность и версию Windows
4) (необязательно) ссылку на тему, где производится лечение Вашего ПК

Спасибо. Команда разработчиков HJT+.

Программа зависла / отработала не до конца / завершилась с ошибкой / "упала". Что делать?
Соберите и пришлите архив аварийного дампа с отладочными логами. Подробнее: см. в разделе FAQ.

Руководство к TrendMicro HiJackThis v.2 от regist
Дополнение к руководству HiJackThis+ от Dragokas
 
Последнее редактирование:
Пасибо, поправлю.

Есть предложения, какие еще политики нужны? Там блокировки того же файрвола, исключения, AppLocker?
 
Есть предложения, какие еще политики нужны?
А может правда вот этот ключ рассматривать в HJT:

HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions а не в AVZ как предлагалось в одной ветке
 
Исходный код проекта HiJackThis Fork попал под программу Arctic Code Vault
и теперь будет храниться подо льдами Арктики :D


А мне на жабе выдали бедж "Arctic Code Vault Contributor" =)))
 
Последнее редактирование:
Я даже не знаю, как это воспринимать.
Оставил наследие для 1000-летних потомков =))))))
Будут лечить музейные ПК от вирусов :D
 
Последнее редактирование:
даже не знаю, как...
Оставил наследие...

Уважаемые, подскажите пжлст., а нынче утилита научилась работать с защищенного на запись носителя?
Вот прям сейчас проверить конечно не могу, а ведь это большая проблема...!
 
Есть ли какие-нибудь пожелания в сторону улучшения читаемости лога, и отдельно, автоанализа?
Лично мне нравится, как сделано в FRST и в AutoRuns.
В FRST в конце строк указывается:
1. Размер, дата изменения
2. Производитель из свойств файла, затем Issuer ЭЦП"
3. (в AutoRuns), по желанию есть проверка через VT.

В HJT в данный момент есть:
1. Размер, хеш (выбирается опцией Calculate MD5, в дальнейшем - Calculate Checksum (sha1))
2. Проверка ЭЦП есть, но не всех файлов, и не выводится в лог (например, для O22, O23 сначала проверяется по базе на предмет - встречались ли такие строки у Microsoft, и только затем проверяется ЭЦП), чем мне тоже не совсем нравится, т.к. приходится периодически пополнять эти белые списки. В итоге новые задания/службы никак нельзя проверить на легитимность только по логу HJT.
3. Функционал проверки по VT в теории уже есть, но визуального отображения пока нет. Можно было бы добавить опцию, чтобы подсвечивалось в результатах проверки.

Что скажут хелперы? (лучше, в закрытом разделе)
 
ИМХО, тот кто пользуется CCleaner и подобными утилиты любят их за удобство, что сразу можно во многих местах чистить. То есть это не тупо почистить temp виндовс и пользовательский, но кеши разных браузеров, приложений которые у пользователя стоят, кеш иконок и ещё чего-то там. Помимо этого знаю, что к CCleaner есть какая-то утилита или плагин которая расширяет его функционал ещё на сотни программ и многие пользуются именно в таком сочетание. Прикручивать всё это к Джеку считаю и не целесообразно и просто у тебя времени не хватит всё это делать и поддерживать. А базовая чистка темпов... думаю очень малый процент юзеров которые пользуются такими программами это устроит, а тех кого устроит больше устроит системная очистка диска. Тем более там есть ещё важный полезный функционал очистка старых (заменённых) файлов обновлений.
 
Ночная сборка обновлена.
Если не будет замечаний, уйдёт в первый релиз "Мастер"-ветки.

Изменения:
2.9.0.25
Базы:
- Обновлены базы O22, O23 (также по возможности игнорируются MS Office, MS Visual Studio).
- O22 - Добавлена возможность анализа rundll32 заданий Microsoft.
- Обновлены названия редакций Windows.
- Пополнены списки хорошо известных DNS.
- Эталонные IE StartPage, SearchPage, Search & Custom Assistant заменены на msn.com либо убраны в связи с битыми ссылками.

Функционал:
- Добавлена проверка политик скриптов запуска-завершения работы Windows/пользователя.
- Добавлено O18 - Printer Port: определение подозрительных файловых портов для Spooler Shadow Jobs (спасибо Alex Ionescu за статью и NickM за помощь с фиксом).
- При запросе восстановления из бекапа ABR, автоматически создаётся новый бекап для возможности отката (в т.ч. из незагружаемого состояния).
- Добавлен рассчёт SHA1 файлов; можно переключиться между SHA1/MD5 в настройках.
- Новый ключ: /sha1 - вычислять SHA1 хэш файлов.
- Контекстное меню: добавлен пункт "Отключить / Включить" для служб и задач.

Исправления:
- O22 - добавлена совместимость с заданиями в кодировке UTF16.
- Uninstall Manager: Исправлена работа кнопки "Сохранить список" (спасибо Severnyj за извещение).
- Улучшены функции лечения ini-файлов, добавлена обработка формата Unicode.
- Улучшены функции бекапа реестра, поддержка QWord.
- Функция получения размера файла иногда возращала 0 для файлов из System32.
- Контекстное меню теперь не блокируется при ReScan.

Интерфейс:
- Шрифт для результатов сканирования изменен "10" => "9" (Жирный).
- Добавлены отступы по левому и правому краях в окнах меню "О программе...".
- "О программе" - "История версий": исправлена обрезка конца текста.
- Позиция скроллинга теперь не сбрасывается по окончанию сканирования.
- Исправлена прозрачность иконки программы.

Другое:
- Обновлена внутренняя справка по ключам.
- Все интернет-ссылки заменены на https.
- В критерии проверки добавлен протокол https.
- R4 - PendingFileRenameOperations отключена в режиме /startupscan в виду ложных срабатываний.

Вне программы:

GitHub:
- Обновлёны менеджер шаблонов Issue, главная страница Readme с лого в стиле Windows 10 и списки Contributors.
- HiJackThis Fork попал в проект Arctic Code Vault :)
- Исправлена орфография в шаблонах и wiki.

- сайт dragokas.com переключён на приоритет https.
- Перевод русского руководства на англ. язык заморожен :( Ищем нового переводчика.
 
Ночная сборка обновлена.
Если не будет замечаний

Хмм, что-то у Меня в системе приложение крашится при попытке запустить без повышения привелегий...
Это норма или... прикладывать дамп?

Код:
Имя сбойного приложения: HiJackThis.exe, версия: 2.9.0.25, метка времени: 0x5f26b9be
Имя сбойного модуля: USER32.DLL, версия: 10.0.19041.388, метка времени: 0xccb63ea1
Код исключения: 0xc000041d
Смещение ошибки: 0x0003508b
Идентификатор сбойного процесса: 0x1b84
Время запуска сбойного приложения: 0x01d668f54b15a5b8
Путь сбойного приложения: C:\Temp\HiJackThis.exe
Путь сбойного модуля: C:\WINDOWS\System32\USER32.DLL
Идентификатор отчета: 6cb29352-1589-4763-b6ed-fb614e3c81b3
Полное имя сбойного пакета:
Код приложения, связанного со сбойным пакетом:

Код:
Контейнер ошибки 1786617251330192261, тип 1
Имя события: APPCRASH
Отклик: Нет данных
Идентификатор CAB: 0

Сигнатура проблемы:
P1: HiJackThis.exe
P2: 2.9.0.25
P3: 5f26b9be
P4: USER32.DLL
P5: 10.0.19041.388
P6: ccb63ea1
P7: c000041d
P8: 0003508b
P9:
P10:

Вложенные файлы:
\\?\C:\ProgramData\Microsoft\Windows\WER\Temp\WER36AA.tmp.dmp
\\?\C:\ProgramData\Microsoft\Windows\WER\Temp\WER3C19.tmp.WERInternalMetadata.xml
\\?\C:\ProgramData\Microsoft\Windows\WER\Temp\WER3C2A.tmp.xml
\\?\C:\ProgramData\Microsoft\Windows\WER\Temp\WER3C38.tmp.csv
\\?\C:\ProgramData\Microsoft\Windows\WER\Temp\WER3C48.tmp.txt

Эти файлы можно найти здесь:
\\?\C:\ProgramData\Microsoft\Windows\WER\ReportArchive\AppCrash_HiJackThis.exe_368bf7e5da685c1f4f5fcecc6713195231f8c7_3da0cff8_0876759c-47e7-4531-b1aa-418d0dc02975

Символ анализа:
Повторный поиск решения: 0
Идентификатор отчета: 6cb29352-1589-4763-b6ed-fb614e3c81b3
Состояние отчета: 268435456
Хэшированный контейнер: a5c4476f0122f14f68cb56ec971ef385
Идентификатор GUID CAB: 0
 
Да, креш-дамп был бы очень полезен, только получать его желательно, предварительно включив максимально подробный режим - воспользуйся прикрепленным твиком. После применения следующий дамп WER будет создан в папке %SystemDrive%\CrashDumps

Проблему воспроизвести не удалось.
HJT не вполне совместим с таким режимом запуска, но и падать не должен.
Прошлая версия не падала?
 

Вложения

  • Crash_Full_С_CrashDumps.zip
    551 байт · Просмотры: 2
@NickM, поставил такой же релиз 2004 и все обновления, проблема не подтверждается на ограниченной учётке.
Нужно больше данных... используется ли какой антивирус?
 
Назад
Сверху Снизу