HiJackThis+ (Plus)

HiJackThis+ (Plus) 3.4.0.8

Dragokas обновил(а) ресурс HiJackThis Fork новой записью:

Обновления

[2.9.0.26] - 05.08.2020
- Добавлена частичная совместимость при запуске от имени пользователя с ограниченными правами.

[2.9.0.25] - 02.08.2020
Базы:
- Обновлены базы O22, O23 (также по возможности игнорируются MS Office, MS Visual Studio).
- O22 - Добавлена возможность анализа rundll32 заданий Microsoft.
- Обновлены названия редакций Windows.
- Пополнены списки хорошо известных DNS.
- Эталонные IE StartPage, SearchPage, Search & Custom Assistant заменены на msn.com либо убраны в связи...

Узнать больше об этом обновлении...
 
Ага, повторно воспроизвести не смог ;((

Сегодня повторилось, прилагаю...

UPD: Уточню, что программа запускается от ограниченного пользователя через контекстное меню "Открыть", при этом запрос на повышение прав не возникает, а программа оседает дампом.
 
Последнее редактирование:
Спасибо. Краш-дамп очень помог. На первый взгляд похоже на бесконечную рекурсию, когда нет доступа к ключам HKLM в процессе обновления крипто-алгоритма Джека. Но тогда странно, что падает не всегда. Стек рвется в странном месте. И дизассемблер как раз с виновной функцией не справляется, а по опкодам пока не могу 100% соотнести с исходником. Постараюсь на выходных накатать исправление. Главное, что это похоже затрагивает только ограниченного в правах юзера, а в большинстве кейсов скан от админа.
 
Временный фикс (твик реестра) для этой проблемы.
 

Вложения

  • fix.zip
    fix.zip
    302 байт · Просмотры: 0
@NickM & @all,

Хочу обсудить концепцию работы программы в режимах:

- Read Only (носитель, защищённый от записи)
- Portable (не будет писать данные в реестр)
- User с ограниченными правами

Режим запуска выбирается так:

1) Read Only - проверка доступности на запись каталога с программой.
2) Portable - ключ /portable, дописка к имени утилиты _portable.exe, либо ещё можно через галочку в настройках программы (последнее, думаю, лишнее?)
3) Limited User - и так понятно.

Данные режимы ограничивают такой функционал (и с этим нужно что-то делать):

1) Read Only
- создание папки Backup
- распаковка dll (требуется для StartupList2)
- сохранение лога

2) Portable
- создание записей в реестре (настройки программы)

3) Limited User
- полный доступ к своим настройкам в ветке HKLM
- способность фиксить элементы, к которым нет доступа
- создание полного бекапа (ABR)
- доступность инструментов Hosts, Delete service, Delete on reboot, Reg Keys Unlocker (для себя - также проверить ярлыки)
- установка в автозапуск

Указанные ограничения предлагаю разрешить таким способом:

1) папку Backup (для Read Only носителей) создавать в каталоге %LOCALAPPDATA%\HiJackThis

2) работу инструмента StartupList2 блокировать (для Read Only носителей)

3) Все логи сохранять на рабочем столе (для Read Only носителей)
* либо альтернативно, всегда запрашивать место сохранения... (?)

4) Настройки программы сохранять в файл HiJackThis.ini рядом с программой (для Portable режима)

5) Limited User - останется как есть, т.е. не сможет кое-что фиксить (и возможно, будет выдавать ошибки),
будут заблокированы некоторые инструменты. С этим ничего не поделать.

6) В связи с недоступностью HKLM для записи у Limited User, создавать настройки в ветке HKCU (а при наличии настроек в HKLM, при первом запуске склонировать их в HKCU).

7) установка в автозапуск (для Limited User) - предоставить возможность поставить только для тек. пользователя;
при этом установка осуществляется в папку %LOCALAPPDATA%\HiJackThis вместо Program Files.

Всё сказанное касается только спец. режимов.

X) Дополнительно, доработать деинсталлятор для очистки новых мест (кроме логов).

Замечания / предложения ?
 
Последнее редактирование:
>>Portable - ... через галочку в настройках программы (последнее, думаю, лишнее?)
Конечно лишнее. Если поставить галочку, то где это должно отражаться? В реестре? Так тогда не портабл. В файле рядом который надо не забыть с собой таскать (и надо ещё приделывать тогда постоянную проверку нету ли рядом такого файла, а так файл будет искать только если запущено в этом режиме)? Так проще сам файл переименовать.

По остальному.
1) При фиксе выдавать предупреждения, что работа утилиты ограничена и спросить, где хочет создать бекап. По умолчанию можно предлагать указанную папку.
2) Да, просто аналогично выдать предупреждение, что работа утилиты ограничена. Думаю такие случаи будут очень редкие (что с RO и нужна именно эта утилита).
3) Считаю в обязательно порядке спрашивать, по умолчанию можно и рабочий стол предложить.
5) Аналогично, если пытается сделать недоступное, то просто предупреждение, что работа утилиты ограничена. Можно ещё и при запуске вывести, что работа утилиты ограничена, настройки загрузить не удалось, просьба перезапустить с правами админа.
6) Думаю не стоит.
 
Последнее редактирование:
>>Portable - ... через галочку в настройках программы (последнее, думаю, лишнее?)
Конечно лишнее. Если поставить галочку, то где это должно отражаться? В реестре? Так тогда не портабл. В файле рядом который надо не забыть с собой таскать (и надо ещё приделывать тогда постоянную проверку нету ли рядом такого файла, а так файл будет искать только если запущено в этом режиме)? Так проще сам файл переименовать.
Ок, принимается. Не будем усложнять.

Остальное в принципе тоже резонно.

5) Аналогично, если пытается сделать недоступное, то просто предупреждение, что работа утилиты ограничена. Можно ещё и при запуске вывести, что работа утилиты ограничена, настройки загрузить не удалось, просьба перезапустить с правами админа.
6) Думаю не стоит.
Тупо не загружать и не сохранять настройки - идея конечно интересная.
Но с учётом наличия такого кол-ва проблем, есть ли тогда вообще какой-то смысл разрешать утилите работать от Limited User, или проще тогда тупо заблокировать ее запуск в манифесте и дело с концом...
 
На официальной странице репозитория Trend Micro, статус проекта HiJackThis переведен из "inactive" (не активный) в "Abandoned" (т.е. "заброшен").
А для запросов на лечение ПК иностранцев теперь в приоритетном порядке предлагается наша страница на GitHub, со ссылкой на правила ассоциации.


Также, на нашу страницу GiHub добавлено зеркало с обзором HJT от COMSS One,
и упоминание форума Dr.Web, где вы можете также получить помочь с анализом лога нашего форка, подав заявку на лечение ПК.
 
Последнее редактирование:
Ночной билд обновлён.

[2.9.0.28] (Nightly) - 01.09.2020
- [*New*] Добавлена подсекция O26 - Tools:
* подмены различных инструментов, запускаемых пользовалем вручную, будут обитать там.
- [*New*] Добавлено определение Backdoor-а загрузочного экрана (Accessibility tools) - O26.
- [*New*] Добавлено определение подмены инструментов в свойствах "Мой Компьютер" (Дефрагментатор, Чистильщик, Бекап) - O26.
- [Fix] Исправлена критическая ошибка в работе белого списка для служб в 32-битных ОС (спасибо Sandor за извещение).
- [Fix] RegJumper не хотел прыгать к родительскому ключу, если цель не существовала.
- Registry Key Unlocker: добавлена кнопка "Открыть в Regedit".
- Размер и положение окон каждого инструмента, включая главное окно, теперь сохраняются при выходе из программы.
- [Limited user] Исправлено падение программы при обновлении HJT из-под ограниченной учетной записи.
- [Limited user] Некоторые функции и инструменты HJT заблокированы для ограниченного пользователя. Запускайте утилиту от имени Админа!
- [Limited user] Общее улучшение, предотвращающее ложные срабатывания в результатах проверки из-за отказов в доступе.
 
А можно пристроить такую фичу "просмотр чужих логов, что бы Ignore-list использовался"?
 
А можно пристроить такую фичу "просмотр чужих логов, что бы Ignore-list использовался"?
Для чужих логов и игнор лист подходить не будет. Тут же у каждого пользователя своё имя пользователя, название папок, файлов. Так что если даже прикрутить такую фичу, то толку от неё не будет.
 
@Alex1983, в принципе фича интересная. Если будет на нее ещё спрос, можно попробовать реализовать.
Упомянутую regist проблему с именами можно обойти, заменив на переменную окружения при добавлении в игнор-лист.
В общем, если будут желающие юзать это, то подумаю...
 
Ночная сборка обновлена.

[2.10.0.1 beta] (Nightly) - 01.02.2021

Добавлены новые обнаружения:
- O4 - некоторые новые места и улучшенные фиксы.
- O5 - Applet: определение сторонних и подменённых элементов панели управления.
- O7 - AppLocker:
* ОБРАТИТЕ ВНИМАНИЕ!!! Applocker по умолчанию находится в режиме белого списка: всё, что явно не разрешено - запрещено.
* Если вы удалите правило "(allow)", это конкретное приложение/папка будет заблокирована, пока вы не удалите все правила.
* Для удаления всех правил сразу, лучше воспользоваться специальной строкой "O7 - AppLocker: fix all"
- O7 - KnownFolder: определение и исправление подменённых расположений "Хорошо известных папок".
- O7 - TroubleShooting: добавлены новые переменные.
- O22 - BITS Job: определение чужих заданий службы обновления Windows.
- O22 - Tasks: (damage) подсекция добавлена для определения повреждённых и мусорных заданий таких типов:
* (user missing) - когда пользователь/группа удалены;
* (no xml) - когда xml файл задания не существует;
* (key missing) - когда ассоциированный ключ реестра не существует;
* (no key) - когда отсутствуют ссылающиеся на задание ключи;
* (empty) - когда папка задания или ключ содержит пустую запись;
* Не проверяются: целостность xml/CRC, параметры "DynamicInfo / Triggers".

Интерфейс:
- Добавлена возможность помечать сразу несколько элементов для исправления с помощью 'Shift + ЛКМ'.
- В контекстное меню результатов проверки добавлена категория "Копировать" с множеством вариантов (спасибо @TheTrick за помощь с буфером обмена).
- В контекстное меню результатов проверки добавлена категория "VirusTotal" с вариантами проверки файла/URL по хэшу и загрузки файла через SysInternals Autoruns.

Отчёт:
> Основной:
- Сортировка теперь выполняется в правильном алфавитном порядке + увеличена скорость.
- O4 - Startup подсекции переименованы для улучшения сортировки.
> /Area:Environment:
- Добавлен отчёт реестра "User Shell Folders" и "Shell Folders" в дополнение к отчёту на базе CLSID.
Почему? Потому что Microsoft не следует их собственным 'Лучшим практикам', описанным на MSDN.
> Модули "Check Browsers' LNK" и "ClearLNK":
- Убран запрос на "Разрешение закачки...", когда в настройках "Обновлений" выбран тихий режим.
- Добавлена функция авто-обновления (каждый раз, когда вы запускаете этот инструмент) - но не чаще 1 раза в месяц.
- Введена строгая проверка ЭЦП файла перед его запуском.
- Инструменты теперь будут скачиваться в подкаталог \Tools\Scan директории HiJackThis или установочной, если таковая выполнялась.

Другое:
- O4 - исправлено чтение папки автозапуска других пользователей; добавлен постфикс с именем пользователя в лог.
- O25 - исправлена редкая ошибка при подключении к WMI.
- Обновлён и улучшен механизм проверки по списку LoLBin.
- Улучшены функции работы с реестром.
- Исправлено освобождение буфера (ILFree => CoTaskMemFree).
- Явно разрешены просроченные сертификаты Microsoft (которые без штампа времени).
- Обновлены белые списки O2, O22, O23.
- Добавлен ключ командной строки /skipErrors - не отображать ошибки и не записывать предупреждения и ошибки в отчёт.
- Добавлен ключ командной строки /sha256 - вычислять SHA256 хэш файлов.
- Исправлен прогрессбар для хэша.

Инструменты:
> Пакетная проверка ЭЦП:
- Улучшена скорость, сортировка, добавлены колонки - Сертификат "Действителен с" ("Valid From"), "Действителен до" ("Valid Until"); обмен местами "File Name" и "File Path".
> Менеджер деинсталляции программ:
- Исправлена кнопка "Деинсталлировать программу" - не всегда работала.
> Менеджер процессов:
- Кнопка "Сохранить" вызывает авто-обновление списка процессов.

Особые благодарности Sandor и regist за образцы, тестирование и предложения.

* Примечание к этой бета-версии:
- фикс для O7 - AppLocker очищает также политики;
- O5 - проверяет только CPL-апплеты, в системной папке.
- O7 - KnownFolder: не работает в XP.
- Взаимодействие с VirusTotal не работает в XP.
 
[2.10.0.2 beta] (Nightly) - 03.02.2021
- VirusTotal: добавлена совместимость с Windows XP SP3 (спасибо @wqweto).
- Исправлена ошибка в проверке O21 (спасибо @Sandor-Helper за отчёт).
- Исправлен BSOD в фиксе AppLocker, вызванный MS GPUpdate. Вместо него будет предлагаться перезагрузка.
- Исправлена ошибка в хешировании резервной копии во время фикса элементов (спасибо regist за тестирование).
- Обновлены сертификаты (спасибо @akokSZ за отчёт).
- Улучшен сброс ACL, больше не будут использоваться icacls.exe / takeown.exe.
- Исправлена возможность восстанавливать элемент, даже если системе резервного копирования не удалось получить хеш файла.
 
[2.10.0.3 beta] (Nightly) - 05.02.2021
- Все префиксы HKU\.DEFAULT заменены на "HKU\S-1-5-18".
- O4 - Run* - теперь также содержит постфикс с именем пользователя и для служебных Sid.
- O7 - Policy: исправлена пометка состояния элементов DisallowRun.
- Исправлено определение юникодных строк в локали US.
- Исправлена отсутствующая функция восстановления из резервной копии ABR.
 
Последнее редактирование:
[2.10.0.5 beta] (Nightly) - 08.02.2021
- Окно поиска: добавлена опция для поиска в режиме фильтрации (только для окна результатов проверки).
- Окно поиска: добавлена опция для автоматической пометки всех элементов в режиме фильтрации.
- Окно поиска: опции теперь сохраняются по нажатию на кнопку с дискетой.
- Исправлено выбрасывание ошибки при выходе из программы после исправления элементов.
- Улучшен парсер аргументов пути.
- Улучшен сброс прав на файл/папку.

[2.10.0.4 beta] (Nightly) - 07.02.2021
- микро-оптимизации.
 
[2.10.0.6 beta] (Nightly) - 12.02.2021
- Исправлено: деинсталляция HJT удаляла не все ключи.
- Исправлено: проводник перезапускался в 'Ограниченном режиме' после фикса O21.
- Исправлено: ложные срабатывания O26 - Tools.
- Горячие клавиши: 'Ctrl' + 'Колесико мыши' для изменения размера шрифта в окне результатов сканирования.
- Ещё больше оптимизаций.
 
Здравствуйте! Во время сканирования системы возникла следующая ошибка:
 

Вложения

  • 12.webp
    12.webp
    33.3 KB · Просмотры: 62
  • HiJackThis.log
    HiJackThis.log
    13.7 KB · Просмотры: 4
@sth, спасибо за сигнал.
Чтобы выяснить причину, пожалуйста, скачайте Process Monitor, распакуйте, запустите ProcMon.exe, нажмите OK.
Он немного подумает и начнёт запись (если этого не произошло, нажмите Ctrl + E ).
Запустите HiJackThis.exe и нажмите "Do a system scan and save a logfile"
Дожитесь завершения проверки или появления ошибки, переключитесь на окно Process Monitor, нажмите Ctrl + E (это остановит запись), нажмите File -> Save -> OK. Сохранённый файл прикрепите к сообщению в архиве.

Также, прикрепите системный файл C:\Windows\system32\diagtrack.dll (я посмотрю что там по подписям).
 
Назад
Сверху Снизу