HiJackThis+ (Plus) 3.4.0.8

[Dragokas]

Пока из известных обзорщиков могу посоветовать указать только то, что есть на главной странице проекта:

https://www.softpedia.com/get/Security/Security-Related/HiJackThis-Fork.shtml

Download HiJackThis+ - MajorGeeks

HiJackThis Fork can detect and correct the changes in the most vulnerable areas of the operating system caused by adware, spyware, malware and other unwanted software. The interface should be familiar to HijackThis users with some visual updates. You can scan, scan, and save a log file as well...

www.majorgeeks.com

HiJackThis Fork

HiJackThis Fork – бесплатная портативная утилита, которая помогает выполнить анализ операционной системы и выявить проблемы в работе системы или заражение вредоносными программами

www.comss.ru

хотя последнее и нельзя считать обзором, тем не менее.

Можно отдельно перечислить форумы, на которых юзается утилита:

• Russian: SafeZone ; CyberForum ; OSZone ; SoftBoard ; THG ; VirusInfo ; KasperskyClub ; Dr.Web

(без гиперссылок)

Можно указать на короткий мануал на англ., который я хотя бы иногда стараюсь актуализировать: HJT: Tutorial · dragokas

Ссылка на русский там указано правильно.

Статьи на wikipedia я редактировать не умею, уж через чур замудрено. Едва нашел как хотя бы комментарий оставить.

 

[Dragokas]

Буду признателен, если что-то из указанного сможешь добавить.

 

[Hunter]

Сообщение в теме 'Дополнение в руководство по HiJackThis+'
Дополнение в руководство по HiJackThis+

добрый день , сможете добавить (file missing ) - если файл отсутствует или не найдено , тоже необходимо удалить самого файла, если он не существует .
(lnk missing ) - отсутствует ярлык или не существует , тоже необходимо удалить , если ярлык отсутствует .

 

[Dragokas]

если файл отсутствует или не найдено , тоже необходимо удалить самого файла, если он не существует .

. Если он уже удалён, как его можно ещё раз удалить?
И при чём здесь (file missing ) (lnk missing ) к O27?

 

[Hunter]

. Если он уже удалён, как его можно ещё раз удалить?
И при чём здесь (file missing ) (lnk missing ) к O27?

Ну имел ввиду "авто удаление и "авто фикс" , чтобы в таблице уже автоматически пофикшен.

 

[Dragokas]

@Hunter, простите, но я вас не понимаю.

 

[Hunter]

@Hunter, простите, но я вас не понимаю.

Need to add auto delete file that does not exist file missing and other type of classification from the meaning of the words "missing" and should be removed from the system after scanning , this should happen "Scanning systems and "auto delete/clean files from received "missing" messages.

 

[thyrex]

Вумбо, о каком удалении может идти речь, если файлов и так не существует?

 

[Dragokas]

Кажется, я понял. @Hunter, хочет, чтобы после сканирования, элементы отмеченные как (missing ... ) автоматически отмечались и фиксились, без подтверждения от оператора. Только @Hunter, это уже не файлы, а записи в реестре (зачастую).
Посмотрите в настройках (Settings) галочки "Confirm fixing & ignoring..." и "Mark everything found...", это автоматически пометит вообще все пункты галочками (кроме тех, что внесены в список игнорирования) и по нажатию на Fix сразу их пофиксит, без подтверждения. Подчеркну, что это отметит все пункты, а не только "missing". Эти настройки обычно используются юзерами при установке HiJackThis в качестве авто-запускаемого сканера при запуске системы (галочка "Add HiJackThis to startup").
А вообще интересующий вас функционал с абсолютно полным автоматизмом реализован и доступен только донатерам с уровнем поддержки от 10$/м. Если вы желаете быть одним из них, добро пожаловать на Patreon. Там и полная проверка через VirusTotal, и авто-фикс, и не нужно участие оператора.

 

[Dragokas]

Dragokas обновил(а) ресурс HiJackThis+ (Plus) новой записью:

Обновления

[3.2.0.1 Alpha] - 18.09.2023
- [новое] Добавлено определение O7 - Policy: Bitcoin wallet address hijacker is present (без фикса). Выводится, если обнаружен признак подмены адреса крипто-кошелька.
- [новое] Добавлена секция O27 - Account и RDP. Описание можно найти в меню Помощь - О программе - Секции.
- O7 - Autologon перемещён в O27.
- Добавлена пометка "(no fix)" - означает, что фикс элемента не предусмотрен.
- Анализатор типа ключей реестра: добавлена настройка "Создать ключ, если не...

Узнать больше об этом обновлении...

 

[Hunter]

Кажется, я понял. @Hunter, хочет, чтобы после сканирования, элементы отмеченные как (missing ... ) автоматически отмечались и фиксились, без подтверждения от оператора. Только @Hunter, это уже не файлы, а записи в реестре (зачастую).
Посмотрите в настройках (Settings) галочки "Confirm fixing & ignoring..." и "Mark everything found...", это автоматически пометит вообще все пункты галочками (кроме тех, что внесены в список игнорирования) и по нажатию на Fix сразу их пофиксит, без подтверждения. Подчеркну, что это отметит все пункты, а не только "missing". Эти настройки обычно используются юзерами при установке HiJackThis в качестве авто-запускаемого сканера при запуске системы (галочка "Add HiJackThis to startup").
А вообще интересующий вас функционал с абсолютно полным автоматизмом реализован и доступен только донатерам с уровнем поддержки от 10$/м. Если вы желаете быть одним из них, добро пожаловать на Patreon. Там и полная проверка через VirusTotal, и авто-фикс, и не нужно участие оператора.

So that everything is maximized in the "home page" , "Scan under user and mark all fixes - which means the word "missing" It needs to be cleaned up tails, without pre-tuning and marked action, with action scanning and no tuning trumpets, all these should be cleaned up so that it will not take a long time to analyze. It must be intelligent, Auto-Repair and Fix.

+

Also HiJackThis - after getting HiJackThis.log and inspecting the analysis, after analysis it should be dragged to HiJackThis Auto-Fix and Repair as done by ClearLnk.exe - drag and drop file.

 

[Hunter]

UPD Correct :

This is to be a reasonable thing, first logs prepared through Autologger, then already appear hijackthis.log and now open it with the original, drag to hijackthis.log and immediately put it to the program HiJackThis Auto-Fix and it will be ready, as done by Сlearnk - program, only HiJackThis will be better and more convenient to fix all types of necessary.

 

[Dragokas]

So that everything is maximized in the "home page" , "Scan under user and mark all fixes - which means the word "missing" It needs to be cleaned up tails, without pre-tuning and marked action, with action scanning and no tuning trumpets, all these should be cleaned up so that it will not take a long time to analyze. It must be intelligent, Auto-Repair and Fix.

You forgot to say: pre-adjusted for only single person, for you.
For years, it is used by people in absolutely different environment and appropriate settings, which is what defaults are atm.
I recall you it is not an Antivirus. It's vice versa thing, working according to whitelists only.

Also HiJackThis - after getting HiJackThis.log and inspecting the analysis, after analysis it should be dragged to HiJackThis Auto-Fix and Repair as done by ClearLnk.exe - drag and drop file.

How may HiJackThis decide whether Remote desktop application should be deleted or not?
1. First case: User installed it on his own and constantly use for a remote work.
2. Second case: Malware actor installed it to gain unauthorized access to a target system.
How HJT able to differentiate that in automatically manner?

Same actual for everything related to other log lines. It is not as such easy as "Check Browsers' LNK/ClearLNK". Though, I wouldn't say its algo is easy.

 

[Hunter]

1) For a user to use remote desktop legitimately to display it with an action - delete or keep.
2) An intruder has set that unauthorized - delete it immediately with automatic fix where there is no whitelist, delete it immediately.

All the list will not be deleted from the system - all these lists are active and services , only the specific "Fix Repair" - where the word "missing" missing and X - where dead files or they are like garbage , automatic it cleans it and that's it. Only active files and whitelists remain.

 

[akok]

Если уж решили общаться на других языках, добавляйте ниже перевод текста.

 

[Dragokas]

delete or keep.

Should HJT display it like 50 times? (for each log line) DD

delete it immediately with automatic fix where there is no whitelist, delete it immediately.

How do you plan to prepare such whitelists, if same application could be used by both original user and threat actor?

where the word "missing" missing and X - where dead files or they are like garbage , automatic it cleans it and that's it.

It is pointless. Sometimes it gives info to be able to find other related garbage, not visible by HJT. By doing it automatically, you're depriving the opportunity to see the full image of malware traces.

Если уж решили общаться на других языках, добавляйте ниже перевод текста.

Я даже не знаю точного перевода некоторых используемых мной выражений. Но ок, следующий раз попробую с переводом.

 

[Hunter]

Should HJT display it like 50 times? (for each log line) DD

How do you plan to prepare such whitelists, if same application could be used by both original user and threat actor?

It is pointless. Sometimes it gives info to be able to find other related garbage, not visible by HJT. By doing it automatically, you're depriving the opportunity to see the full image of malware traces.

1) Yes
2) Signature trusted - trusted software/Microsoft , clean whitelists. When Scanning and list.

Third-party software or unwanted :
Signature not trusted - delete them according to the list of known or not known by HiJackThis.

3) Not only , but you will get logs from auto-fix-hjt.log - it displays a message there.

 

[Dragokas]

1) Yes

Вместо того, чтобы 50 раз нажимать "delete or keep" есть единое окно результатов сканирования, где можно сделать тоже самое и проще.

2) Signature trusted - trusted software/Microsoft , clean whitelists. When Scanning and list.

Элементы, которые проходят по белым спискам в данный момент и так дополнительно проверяются на совпадение с ЭЦП Microsoft.

Signature not trusted - delete them according to the list of known or not known by HiJackThis.

Что такое "Signature not trusted"? "not known" - это все, что не внесено в белые списки? Вы предлагаете удалять сразу всё, что не входит в белые списки?
Как понять, является ли ПО "unwanted"? Это субъективные понятия.

3) Not only , but you will get logs from auto-fix-hjt.log - it displays a message there.

У HJT в данный момент нет функционала Fix лога. И это лишняя работа хелперу, смотреть 2 лога вместо одного.
Вы также не учитываете момент, что в системе могут стоять перехватчики, которые могут подменить ответ от функций проверки наличия файла. В результате, по вашему алгоритму, HJT навредит системе автоматическим фиксом пунктов, которые на самом деле не являются мусором/остатками.

 

[thyrex]

Вумбо, Вы же там себя суперпрограммистом считаете. Взяли бы да и написали что-либо со своими хотелками.

 

[Hunter]

Вумбо, Вы же там себя суперпрограммистом считаете. Взяли бы да и написали что-либо со своими хотелками.

It's just to get things in order for the system.

Вместо того, чтобы 50 раз нажимать "delete or keep" есть единое окно результатов сканирования, где можно сделать тоже самое и проще.

Элементы, которые проходят по белым спискам в данный момент и так дополнительно проверяются на совпадение с ЭЦП Microsoft.

Что такое "Signature not trusted"? "not known" - это все, что не внесено в белые списки? Вы предлагаете удалять сразу всё, что не входит в белые списки?
Как понять, является ли ПО "unwanted"? Это субъективные понятия.

У HJT в данный момент нет функционала Fix лога. И это лишняя работа хелперу, смотреть 2 лога вместо одного.
Вы также не учитываете момент, что в системе могут стоять перехватчики, которые могут подменить ответ от функций проверки наличия файла. В результате, по вашему алгоритму, HJT навредит системе автоматическим фиксом пунктов, которые на самом деле не являются мусором/остатками.

1) It needs one fix and that's it - a whole fix , because there are more - 50 times and not needed . This is a reasonable fix and removal , marked auto-fix and fix. Just one click.
2) Has a lack or lack of trust in the system or program , is considered dangerous or not desirable - as suspicious , therefore have nothing to do with Microsoft , ie 3 party developers . The program is not signed - Signature is not trusted ( not signed ).