HiJackThis+ (Plus) 3.4.0.8

[Hunter]

Я бы показал вот так пример Пользователю гораздо будет легче удалить вирус через Интернет проверки VT через HiJacThis Fork. Только по отдельному. Это необходимое, для новичков. Это не нарушение, а просто лишь проверка по репутации, также пользователь может самостоятельно удалить вирусы при проверки на VT, только зависит от того как пользователь предпринимет решение.

 

[Dragokas]

3/60 - не обязательно значит, что заражён.
0/60 - не обязательно значит, что не заражён.

Есть другие способы для проверки файла локально, над которыми я в дальнейшем планирую работать.

То, что вы предлагаете, можно сделать как опцию в меню, не более.

 

[akok]

А какие белые списки еще проверяются?

 

[Hunter]

Посмотреть вложение 38829
А какие белые списки еще проверяются?

Это та то что проверил, все равно отображает все белые списки с подписаной Microsoft - не работает , походу баг или функция сломалась и всё равно отображает все файлы . Логи представляю. Зачем такой огромный запись логи?. Если поменять на режим Игнорировать записи, то проверяется по другому и логи меньше -только программы и неизвестные файлы. В чем отличается Игнорировать с подписанной Microsoft или все белые подписи кроме Microsoft? Может так лучше добавить две новых функции на Опции при проверке.

1) VirusTotal и Игнорировать записи Microsoft подписи - только проверять по VirusTotal все файлы, только не подписанные файлы .
2) Игнорировать белые списки и Microsoft подписи -это значит что не будет отображено при сканирование на HiJackThis , только будет проверять неизвестные файлы которые не подписанные или не внесли в исключение.

Можно и так лучше будет?

Чтоб было так результат пример отображалась по умолчанию при проверки.

 

[Dragokas]

все белые подписи кроме Microsoft?

Такой опции в программе нет, не вводите себя и пользователей в обман.

Есть опции:
- игнорировать записи Майкрорософт (и это не только по признаку "подпись").
Сюда входят файлы, реестр и прочее.

- Игнорировать ВСЕ белые списки
Сюда входят некоторые фильтры по прочим не-MS файлам, экранированные записи в Hosts и Autoexec.nt / отключённые записи IPSEC / дубликаты IP в O17 - DHCP DNS и подобное.

Кроме того, если поставить галочку "Игнорировать все белые списки", то галочка "игнорировать записи Майкрософт" будет снята автоматически.

все равно отображает все белые списки с подписаной Microsoft - не работает , походу баг или функция сломалась и всё равно отображает все файлы

Покажите пример.
Вы выложили лог. Куда обратить внимание?
На скриншоте я не понимаю, что вы показываете.

Да, если что:

Ran by: 1 (group: Administrator) on KVS, (SID: S-1-5-21-2919011374-1382124852-3541721840-1000) FirstRun: no

SID, это я прямо перед сборкой забыл отключить. Потом уберу.

только проверять по VirusTotal все файлы, только не подписанные файлы .

Подписанные файлы могут и периодически содержат вредоносное ПО, чаще всего Adware, так что не вариант.

 

[Hunter]

Такой опции в программе нет, не вводите себя и пользователей в обман.


Покажите пример.
Вы выложили лог. Куда обратить внимание?
На скриншоте я не понимаю, что вы показываете.

 

[Hunter]

2 файлы по отдельному галку. Почему отличается от 27 кб и между 174 кб?. Так устроено?.

 

[Dragokas]

А если по-человечески написать, какая строка вас смущает?

2 файлы по отдельному галку. Почему отличается от 27 кб и между 174 кб?. Так устроено?.

Разные галки, вот и отличается.

 

[Hunter]

А, вот вопрос : Почему на 174 кб лежит :

O13 - HKLM\..\URL: DefaultPrefix[] = http://
O13 - HKLM\..\URL: Prefixes[ftp] = ftp://
O13 - HKLM\..\URL: Prefixes[gopher] =
O13 - HKLM\..\URL: Prefixes[home] = http://
O13 - HKLM\..\URL: Prefixes[mosaic] = http://
O13 - HKLM\..\URL: Prefixes[www.] =
O13 - HKLM\..\URL: Prefixes[www] = http://
O13-32 - HKLM\..\URL: DefaultPrefix[] = http://
O13-32 - HKLM\..\URL: Prefixes[ftp] = ftp://
O13-32 - HKLM\..\URL: Prefixes[gopher] =
O13-32 - HKLM\..\URL: Prefixes[home] = http://
O13-32 - HKLM\..\URL: Prefixes[mosaic] = http://
O13-32 - HKLM\..\URL: Prefixes[www.] =
O13-32 - HKLM\..\URL: Prefixes[www] = http://

Еще это

O15 - ProtocolDefaults: HKCU - [@ivt] protocol is in Intranet Zone, should be Intranet Zone
O15 - ProtocolDefaults: HKCU - [file] protocol is in Internet Zone, should be Internet Zone
O15 - ProtocolDefaults: HKCU - [ftp] protocol is in Internet Zone, should be Internet Zone
O15 - ProtocolDefaults: HKCU - [http] protocol is in Internet Zone, should be Internet Zone
O15 - ProtocolDefaults: HKCU - [https] protocol is in Internet Zone, should be Internet Zone
O15 - ProtocolDefaults: HKCU - [knownfolder] protocol is in My Computer Zone, should be My Computer Zone
O15 - ProtocolDefaults: HKCU - [shell] protocol is in My Computer Zone, should be My Computer Zone
O15 - ProtocolDefaults: HKLM - [@ivt] protocol is in Intranet Zone, should be Intranet Zone
O15 - ProtocolDefaults: HKLM - [file] protocol is in Internet Zone, should be Internet Zone
O15 - ProtocolDefaults: HKLM - [ftp] protocol is in Internet Zone, should be Internet Zone
O15 - ProtocolDefaults: HKLM - [http] protocol is in Internet Zone, should be Internet Zone
O15 - ProtocolDefaults: HKLM - [https] protocol is in Internet Zone, should be Internet Zone
O15 - ProtocolDefaults: HKLM - [knownfolder] protocol is in My Computer Zone, should be My Computer Zone
O15 - ProtocolDefaults: HKLM - [ldap] protocol is in Restricted Zone, should be Restricted Zone
O15 - ProtocolDefaults: HKLM - [news] protocol is in Restricted Zone, should be Restricted Zone
O15 - ProtocolDefaults: HKLM - [nntp] protocol is in Restricted Zone, should be Restricted Zone
O15 - ProtocolDefaults: HKLM - [oecmd] protocol is in Restricted Zone, should be Restricted Zone
O15 - ProtocolDefaults: HKLM - [shell] protocol is in My Computer Zone, should be My Computer Zone
O15 - ProtocolDefaults: HKLM - [snews] protocol is in Restricted Zone, should be Restricted Zone
O15 - ProtocolDefaults: HKU\.DEFAULT - [@ivt] protocol is in Intranet Zone, should be Intranet Zone
O15 - ProtocolDefaults: HKU\.DEFAULT - [file] protocol is in Internet Zone, should be Internet Zone
O15 - ProtocolDefaults: HKU\.DEFAULT - [ftp] protocol is in Internet Zone, should be Internet Zone
O15 - ProtocolDefaults: HKU\.DEFAULT - [http] protocol is in Internet Zone, should be Internet Zone
O15 - ProtocolDefaults: HKU\.DEFAULT - [https] protocol is in Internet Zone, should be Internet Zone
O15 - ProtocolDefaults: HKU\.DEFAULT - [shell] protocol is in My Computer Zone, should be My Computer Zone

Можете эту убрать? А, то это логи не понятный...

А, еще вопрос :

O25 - WMI Event: [BVTConsumer] BVTFilter - Event="__InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99",  cscript KernCap.vbs (WorkDir = C:\\tools\\kernrate)

Этого файл не сущетсвует в системе . В WMI Event .

В Директории С:\\tools\kernate - может не понятный? Или что-то?.

 

[Dragokas]

А, вот вопрос : Почему на 174 кб лежит :

Странный вопрос. Вы же сами написали, что поменяли настройки галочек игнорирования.
Вот поэтому и выводятся. Поставьте как было, и не будет выводится.

А, еще вопрос :

Какой вопрос?

Вас и Akok наверное ввело в заблуждение созвучное название пункта:
Ignore Microsoft entries
Ignore ALL WhiteLists - здесь подразумевается, что программа не будет читать белый список, следовательно в лог будут выводится все записи.
Наверное логичней переименовать во что-то вроде:

Don't apply WhiteLists

а первое:
Hide Microsoft entries

 

[Dragokas]

Можно сделать как-нибудь проще для понимая, например:

- Hide Microsoft entries
- Hide other entries

но тогда и логику работы последнего придётся переделывать, т.к. в данный момент п.2. включает в себя п.1.

 

[Dragokas]

Dragokas обновил(а) ресурс HiJackThis Fork новой записью:

Новый перевод

[2.8.0.4] - 05.02.2018
Добавлен перевод на украинский язык.

Узнать больше об этом обновлении...

 

[Alex1983]

O4 - MSConfig\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Zaxar Games Browser.lnk [backup] => C:\Program Files (x86)\Zaxar\ZaxarLoader.exe /verysilent (2017/10/11) (file missing)
O4 - MSConfig\startupfolder: C:^Users^Alex^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Counter-Strike Global Offensive.lnk [backup] => C:\games\Counter-Strike Global Offensive\Counter-Strike Global Offensive.exe (2017/10/11) (file missing)

Logfile of HiJackThis Fork (Beta) by Alex Dragokas v.2.8.0.4

Вместо "/" используется "^"

 

[regist]

Alex1983, это не ошибка. Ты посмотри в реестре именно так и записано.

 

[Dragokas]

Детальный анализ размера утилиты HiJackThis и сравнение с оригинальной: About size of the file 'HiJackThis.exe' · Issue #24 · dragokas/hijackthis · GitHub

Планы на будущее: Plan on future versions · Issue #25 · dragokas/hijackthis · GitHub

 

[anpspb18]

Посылаю инфо об ошибке как запрошено:
1. Скриншот
2. версия - 2.8.0.2
3. ОС - win7prof-32 bit

 

[Dragokas]

Ошибка указывает на то, что файл задания заблокирован другой программой.
Решение выйдет не скоро, если вообще когда-либо будет.

Если это задание вредоносное, сперва нужно деинсталлировать или удалить программу, которая использует данное задание, а затем повторно выполнить проверку HiJackThis и удалить само задание.
Спасибо за отчёт.

 

[Sandor]

Wise Care 365 - удалять однозначно!
Нет оптимизаторам

 

[Dragokas]

Очумительный обзор )

 

[Dragokas]

Установка HiJackThis Fork теперь доступна через командную строку: Chocolatey Gallery | HiJackThis Fork 2.8.0.4

Для этого, запустите powershell от имени Администратора, далее:

1) нужно установить менеджер пакетов Chocolatey.

Set-ExecutionPolicy Bypass -Scope Process -Force; iex ((New-Object System.Net.WebClient).DownloadString('https://chocolatey.org/install.ps1'))

2) Установка HJT:

choco install hijackthis