- Сообщения
- 8,030
- Решения
- 14
- Реакции
- 6,805
Дополнение к руководству тоже неплохо бы хоть раз почитать. Там пару слов про деинсталляцию, кстати, тоже есть.
- Автор темы Dragokas
- Дата начала
- Сообщения
- 8,444
- Реакции
- 5,471
А может правда вот этот ключ рассматривать в HJT:
HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions а не в AVZ как предлагалось в одной ветке
- Сообщения
- 8,030
- Решения
- 14
- Реакции
- 6,805
Исходный код проекта HiJackThis Fork попал под программу Arctic Code Vault
и теперь будет храниться подо льдами Арктики
archiveprogram.github.com
А мне на жабе выдали бедж "Arctic Code Vault Contributor" =)))
и теперь будет храниться подо льдами Арктики
GitHub Archive Program
The GitHub Archive Program will safely store every public GitHub repo for 1,000 years in the Arctic World Archive in Svalbard, Norway.
archiveprogram.github.com
А мне на жабе выдали бедж "Arctic Code Vault Contributor" =)))
Последнее редактирование:
- Сообщения
- 759
- Решения
- 5
- Реакции
- 312
Уважаемые, подскажите пжлст., а нынче утилита научилась работать с защищенного на запись носителя?
Вот прям сейчас проверить конечно не могу, а ведь это большая проблема...!
- Сообщения
- 8,030
- Решения
- 14
- Реакции
- 6,805
Есть ли какие-нибудь пожелания в сторону улучшения читаемости лога, и отдельно, автоанализа?
Лично мне нравится, как сделано в FRST и в AutoRuns.
В FRST в конце строк указывается:
1. Размер, дата изменения
2. Производитель из свойств файла, затем Issuer ЭЦП"
3. (в AutoRuns), по желанию есть проверка через VT.
В HJT в данный момент есть:
1. Размер, хеш (выбирается опцией Calculate MD5, в дальнейшем - Calculate Checksum (sha1))
2. Проверка ЭЦП есть, но не всех файлов, и не выводится в лог (например, для O22, O23 сначала проверяется по базе на предмет - встречались ли такие строки у Microsoft, и только затем проверяется ЭЦП), чем мне тоже не совсем нравится, т.к. приходится периодически пополнять эти белые списки. В итоге новые задания/службы никак нельзя проверить на легитимность только по логу HJT.
3. Функционал проверки по VT в теории уже есть, но визуального отображения пока нет. Можно было бы добавить опцию, чтобы подсвечивалось в результатах проверки.
Что скажут хелперы? (лучше, в закрытом разделе)
Лично мне нравится, как сделано в FRST и в AutoRuns.
В FRST в конце строк указывается:
1. Размер, дата изменения
2. Производитель из свойств файла, затем Issuer ЭЦП"
3. (в AutoRuns), по желанию есть проверка через VT.
В HJT в данный момент есть:
1. Размер, хеш (выбирается опцией Calculate MD5, в дальнейшем - Calculate Checksum (sha1))
2. Проверка ЭЦП есть, но не всех файлов, и не выводится в лог (например, для O22, O23 сначала проверяется по базе на предмет - встречались ли такие строки у Microsoft, и только затем проверяется ЭЦП), чем мне тоже не совсем нравится, т.к. приходится периодически пополнять эти белые списки. В итоге новые задания/службы никак нельзя проверить на легитимность только по логу HJT.
3. Функционал проверки по VT в теории уже есть, но визуального отображения пока нет. Можно было бы добавить опцию, чтобы подсвечивалось в результатах проверки.
Что скажут хелперы? (лучше, в закрытом разделе)
- Сообщения
- 8,030
- Решения
- 14
- Реакции
- 6,805
CCleaner functionality for HiJackThis? · Issue #100 · dragokas/hijackthis
(cleaning of file system only) Is there a demand for such functionality?
github.com
- Сообщения
- 14,923
- Решения
- 5
- Реакции
- 6,856
ИМХО, тот кто пользуется CCleaner и подобными утилиты любят их за удобство, что сразу можно во многих местах чистить. То есть это не тупо почистить temp виндовс и пользовательский, но кеши разных браузеров, приложений которые у пользователя стоят, кеш иконок и ещё чего-то там. Помимо этого знаю, что к CCleaner есть какая-то утилита или плагин которая расширяет его функционал ещё на сотни программ и многие пользуются именно в таком сочетание. Прикручивать всё это к Джеку считаю и не целесообразно и просто у тебя времени не хватит всё это делать и поддерживать. А базовая чистка темпов... думаю очень малый процент юзеров которые пользуются такими программами это устроит, а тех кого устроит больше устроит системная очистка диска. Тем более там есть ещё важный полезный функционал очистка старых (заменённых) файлов обновлений.
CCleaner functionality for HiJackThis? · Issue #100 · dragokas/hijackthis
(cleaning of file system only) Is there a demand for such functionality?
- Сообщения
- 8,030
- Решения
- 14
- Реакции
- 6,805
Ночная сборка обновлена.
Если не будет замечаний, уйдёт в первый релиз "Мастер"-ветки.
Изменения:
2.9.0.25
Базы:
- Обновлены базы O22, O23 (также по возможности игнорируются MS Office, MS Visual Studio).
- O22 - Добавлена возможность анализа rundll32 заданий Microsoft.
- Обновлены названия редакций Windows.
- Пополнены списки хорошо известных DNS.
- Эталонные IE StartPage, SearchPage, Search & Custom Assistant заменены на msn.com либо убраны в связи с битыми ссылками.
Функционал:
- Добавлена проверка политик скриптов запуска-завершения работы Windows/пользователя.
- Добавлено O18 - Printer Port: определение подозрительных файловых портов для Spooler Shadow Jobs (спасибо Alex Ionescu за статью и NickM за помощь с фиксом).
- При запросе восстановления из бекапа ABR, автоматически создаётся новый бекап для возможности отката (в т.ч. из незагружаемого состояния).
- Добавлен рассчёт SHA1 файлов; можно переключиться между SHA1/MD5 в настройках.
- Новый ключ: /sha1 - вычислять SHA1 хэш файлов.
- Контекстное меню: добавлен пункт "Отключить / Включить" для служб и задач.
Исправления:
- O22 - добавлена совместимость с заданиями в кодировке UTF16.
- Uninstall Manager: Исправлена работа кнопки "Сохранить список" (спасибо Severnyj за извещение).
- Улучшены функции лечения ini-файлов, добавлена обработка формата Unicode.
- Улучшены функции бекапа реестра, поддержка QWord.
- Функция получения размера файла иногда возращала 0 для файлов из System32.
- Контекстное меню теперь не блокируется при ReScan.
Интерфейс:
- Шрифт для результатов сканирования изменен "10" => "9" (Жирный).
- Добавлены отступы по левому и правому краях в окнах меню "О программе...".
- "О программе" - "История версий": исправлена обрезка конца текста.
- Позиция скроллинга теперь не сбрасывается по окончанию сканирования.
- Исправлена прозрачность иконки программы.
Другое:
- Обновлена внутренняя справка по ключам.
- Все интернет-ссылки заменены на https.
- В критерии проверки добавлен протокол https.
- R4 - PendingFileRenameOperations отключена в режиме /startupscan в виду ложных срабатываний.
Вне программы:
GitHub:
- Обновлёны менеджер шаблонов Issue, главная страница Readme с лого в стиле Windows 10 и списки Contributors.
- HiJackThis Fork попал в проект Arctic Code Vault
- Исправлена орфография в шаблонах и wiki.
- сайт dragokas.com переключён на приоритет https.
- Перевод русского руководства на англ. язык заморожен
Ищем нового переводчика.
Если не будет замечаний, уйдёт в первый релиз "Мастер"-ветки.
Изменения:
2.9.0.25
Базы:
- Обновлены базы O22, O23 (также по возможности игнорируются MS Office, MS Visual Studio).
- O22 - Добавлена возможность анализа rundll32 заданий Microsoft.
- Обновлены названия редакций Windows.
- Пополнены списки хорошо известных DNS.
- Эталонные IE StartPage, SearchPage, Search & Custom Assistant заменены на msn.com либо убраны в связи с битыми ссылками.
Функционал:
- Добавлена проверка политик скриптов запуска-завершения работы Windows/пользователя.
- Добавлено O18 - Printer Port: определение подозрительных файловых портов для Spooler Shadow Jobs (спасибо Alex Ionescu за статью и NickM за помощь с фиксом).
- При запросе восстановления из бекапа ABR, автоматически создаётся новый бекап для возможности отката (в т.ч. из незагружаемого состояния).
- Добавлен рассчёт SHA1 файлов; можно переключиться между SHA1/MD5 в настройках.
- Новый ключ: /sha1 - вычислять SHA1 хэш файлов.
- Контекстное меню: добавлен пункт "Отключить / Включить" для служб и задач.
Исправления:
- O22 - добавлена совместимость с заданиями в кодировке UTF16.
- Uninstall Manager: Исправлена работа кнопки "Сохранить список" (спасибо Severnyj за извещение).
- Улучшены функции лечения ini-файлов, добавлена обработка формата Unicode.
- Улучшены функции бекапа реестра, поддержка QWord.
- Функция получения размера файла иногда возращала 0 для файлов из System32.
- Контекстное меню теперь не блокируется при ReScan.
Интерфейс:
- Шрифт для результатов сканирования изменен "10" => "9" (Жирный).
- Добавлены отступы по левому и правому краях в окнах меню "О программе...".
- "О программе" - "История версий": исправлена обрезка конца текста.
- Позиция скроллинга теперь не сбрасывается по окончанию сканирования.
- Исправлена прозрачность иконки программы.
Другое:
- Обновлена внутренняя справка по ключам.
- Все интернет-ссылки заменены на https.
- В критерии проверки добавлен протокол https.
- R4 - PendingFileRenameOperations отключена в режиме /startupscan в виду ложных срабатываний.
Вне программы:
GitHub:
- Обновлёны менеджер шаблонов Issue, главная страница Readme с лого в стиле Windows 10 и списки Contributors.
- HiJackThis Fork попал в проект Arctic Code Vault
- Исправлена орфография в шаблонах и wiki.
- сайт dragokas.com переключён на приоритет https.
- Перевод русского руководства на англ. язык заморожен
Ищем нового переводчика.
- Сообщения
- 759
- Решения
- 5
- Реакции
- 312
Хмм, что-то у Меня в системе приложение крашится при попытке запустить без повышения привелегий...
Это норма или... прикладывать дамп?
Код:
Имя сбойного приложения: HiJackThis.exe, версия: 2.9.0.25, метка времени: 0x5f26b9be
Имя сбойного модуля: USER32.DLL, версия: 10.0.19041.388, метка времени: 0xccb63ea1
Код исключения: 0xc000041d
Смещение ошибки: 0x0003508b
Идентификатор сбойного процесса: 0x1b84
Время запуска сбойного приложения: 0x01d668f54b15a5b8
Путь сбойного приложения: C:\Temp\HiJackThis.exe
Путь сбойного модуля: C:\WINDOWS\System32\USER32.DLL
Идентификатор отчета: 6cb29352-1589-4763-b6ed-fb614e3c81b3
Полное имя сбойного пакета:
Код приложения, связанного со сбойным пакетом:
Код:
Контейнер ошибки 1786617251330192261, тип 1
Имя события: APPCRASH
Отклик: Нет данных
Идентификатор CAB: 0
Сигнатура проблемы:
P1: HiJackThis.exe
P2: 2.9.0.25
P3: 5f26b9be
P4: USER32.DLL
P5: 10.0.19041.388
P6: ccb63ea1
P7: c000041d
P8: 0003508b
P9:
P10:
Вложенные файлы:
\\?\C:\ProgramData\Microsoft\Windows\WER\Temp\WER36AA.tmp.dmp
\\?\C:\ProgramData\Microsoft\Windows\WER\Temp\WER3C19.tmp.WERInternalMetadata.xml
\\?\C:\ProgramData\Microsoft\Windows\WER\Temp\WER3C2A.tmp.xml
\\?\C:\ProgramData\Microsoft\Windows\WER\Temp\WER3C38.tmp.csv
\\?\C:\ProgramData\Microsoft\Windows\WER\Temp\WER3C48.tmp.txt
Эти файлы можно найти здесь:
\\?\C:\ProgramData\Microsoft\Windows\WER\ReportArchive\AppCrash_HiJackThis.exe_368bf7e5da685c1f4f5fcecc6713195231f8c7_3da0cff8_0876759c-47e7-4531-b1aa-418d0dc02975
Символ анализа:
Повторный поиск решения: 0
Идентификатор отчета: 6cb29352-1589-4763-b6ed-fb614e3c81b3
Состояние отчета: 268435456
Хэшированный контейнер: a5c4476f0122f14f68cb56ec971ef385
Идентификатор GUID CAB: 0- Сообщения
- 8,030
- Решения
- 14
- Реакции
- 6,805
Да, креш-дамп был бы очень полезен, только получать его желательно, предварительно включив максимально подробный режим - воспользуйся прикрепленным твиком. После применения следующий дамп WER будет создан в папке %SystemDrive%\CrashDumps
Проблему воспроизвести не удалось.
HJT не вполне совместим с таким режимом запуска, но и падать не должен.
Прошлая версия не падала?
Проблему воспроизвести не удалось.
HJT не вполне совместим с таким режимом запуска, но и падать не должен.
Прошлая версия не падала?
- Сообщения
- 8,030
- Решения
- 14
- Реакции
- 6,805
- Сообщения
- 759
- Решения
- 5
- Реакции
- 312
Ага, повторно воспроизвести не смог ;((
Похожие темы
- Закрыта
