HiJackThis Fork

HiJackThis Fork 2.10.0.25

[2.10.0.13] - 02.12.2021
- Исправлено потенциальное падение из-за неверного размера буффера в перекодировщике (спасибо @thetrik за замечание).
- Добавлен отсутствующий перевод.
- Исправлен размер шрифта на некоторых контролах.
- [Проверка обновлений] Исправлен возвращаемый код ошибки.
- Описания системных кодов ошибок теперь будут отображаться на выбранном языке.
- [Менеджер деинсталляции] Исправлен двойной юникод в отчёте снимка реестра не некоторых локалях.

[2.10.0.12] - 23.11.2021
- Обновлён список сертификатов MS.

[2.10.0.11] - 21.11.2021
- Улучшение логирования ошибок.
[2.10.0.10] - 14.10.2021
- Добавлено определение Windows 11, Windows Server 2019, Windows Server 2022.
- Добавлена DisplayVersion в дополнение к ReleseId, где это возможно.
- O22 - Tasks: пополнены белые списки.

[2.10.0.9]
- Переведён в статус: стабильный релиз.
- O26 - Исправлены ложные "file missing".
- O7 Policy - добавлено больше ключей для определения DisableTaskMgr.

[2.10.0.8 beta] (Nightly) - 16.03.2021
- Ещё больше очистки кода.
- Улучшен фильтр по белым спискам O22 - Bits.

[2.10.0.7 beta] (Nightly) - 20.02.2021
- Добавлен новый инструмент 'Разблокировка файлов' (см. меню 'Инструменты' (Tools) => Файлы => Разблокировать файл / папку).
- Глобальная чистка кода и оптимизация (спасибо LaVolpe и его инструменту 'Project Scaner').
- Исправлены некоторые ошибки.

[2.10.0.6 beta] (Nightly) - 12.02.2021
- Исправлено: деинсталляция HJT удаляла не все ключи.
- Исправлено: проводник перезапускался в 'Ограниченном режиме' после фикса O21.
- Исправлено: ложные срабатывания O26 - Tools.
- Горячие клавиши: 'Ctrl' + 'Колесико мыши' для изменения размера шрифта в окне результатов сканирования.
- Ещё больше оптимизаций.

[2.10.0.5 beta] (Nightly) - 08.02.2021
- Окно поиска: добавлена опция для поиска в режиме фильтрации (только для окна результатов проверки).
- Окно поиска: добавлена опция для автоматической пометки всех элементов в режиме фильтрации.
- Окно поиска: опции теперь сохраняются по нажатию на кнопку с дискетой.
- Исправлено выбрасывание ошибки при выходе из программы после исправления элементов.
- Улучшен парсер аргументов пути.
- Улучшен сброс прав на файл/папку.

[2.10.0.4 beta] (Nightly) - 07.02.2021
- микро-оптимизации.

[2.10.0.3 beta] (Nightly) - 05.02.2021
- Все префиксы HKU\.DEFAULT заменены на "HKU\S-1-5-18".
- O4 - Run* - теперь также содержит постфикс с именем пользователя и для служебных Sid.
- O7 - Policy: исправлена пометка состояния элементов DisallowRun.
- Исправлено определение юникодных строк в локали US.
- Исправлена отсутствующая функция восстановления из резервной копии ABR.

[2.10.0.2 beta] (Nightly) - 03.02.2021
- VirusTotal: добавлена совместимость с Windows XP SP3 (спасибо @wqweto за помощь).
- Исправлена ошибка в проверке O21 (спасибо @Sandor-Helper за отчёт).
- Исправлен BSOD в фиксе AppLocker, вызванный MS GPUpdate. Вместо него будет предлагаться перезагрузка.
- Исправлена ошибка в хешировании резервной копии во время фикса элементов (спасибо regist за тестирование).
- Обновлены сертификаты (спасибо @akokSZ за отчёт).
- Улучшен сброс ACL, больше не будут использоваться icacls.exe / takeown.exe.
- Исправлена возможность восстанавливать элемент, даже если системе резервного копирования не удалось получить хеш файла.

[2.10.0.1 beta] (Nightly) - 01.02.2021

Добавлены новые обнаружения:
- O4 - некоторые новые места и улучшенные фиксы.
- O5 - Applet: определение сторонних и подменённых элементов панели управления.
- O7 - AppLocker:
* ОБРАТИТЕ ВНИМАНИЕ!!! Applocker по умолчанию находится в режиме белого списка: всё, что явно не разрешено - запрещено.
* Если вы удалите правило "(allow)", это конкретное приложение/папка будет заблокирована, пока вы не удалите все правила.
* Для удаления всех правил сразу, лучше воспользоваться специальной строкой "O7 - AppLocker: fix all"
- O7 - KnownFolder: определение и исправление подменённых расположений "Хорошо известных папок".
- O7 - TroubleShooting: добавлены новые переменные.
- O22 - BITS Job: определение чужих заданий службы обновления Windows.
- O22 - Tasks: (damage) подсекция добавлена для определения повреждённых и мусорных заданий таких типов:
* (user missing) - когда пользователь/группа удалены;
* (no xml) - когда xml файл задания не существует;
* (key missing) - когда ассоциированный ключ реестра не существует;
* (no key) - когда отсутствуют ссылающиеся на задание ключи;
* (empty) - когда папка задания или ключ содержит пустую запись;
* Не проверяются: целостность xml/CRC, параметры "DynamicInfo / Triggers".

Интерфейс:
- Добавлена возможность помечать сразу несколько элементов для исправления с помощью 'Shift + ЛКМ'.
- В контекстное меню результатов проверки добавлена категория "Копировать" с множеством вариантов (спасибо @thetrik за помощь с буфером обмена).
- В контекстное меню результатов проверки добавлена категория "VirusTotal" с вариантами проверки файла/URL по хэшу и загрузки файла через SysInternals Autoruns.

Отчёт:
> Основной:
- Сортировка теперь выполняется в правильном алфавитном порядке + увеличена скорость.
- O4 - Startup подсекции переименованы для улучшения сортировки.
> /Area:Environment:
- Добавлен отчёт реестра "User Shell Folders" и "Shell Folders" в дополнение к отчёту на базе CLSID.
Почему? Потому что Microsoft не следует их собственным 'Лучшим практикам', описанным на MSDN.
> Модули "Check Browsers' LNK" и "ClearLNK":
- Убран запрос на "Разрешение закачки...", когда в настройках "Обновлений" выбран тихий режим.
- Добавлена функция авто-обновления (каждый раз, когда вы запускаете этот инструмент) - но не чаще 1 раза в месяц.
- Введена строгая проверка ЭЦП файла перед его запуском.
- Инструменты теперь будут скачиваться в подкаталог \Tools\Scan директории HiJackThis или установочной, если таковая выполнялась.

Другое:
- O4 - исправлено чтение папки автозапуска других пользователей; добавлен постфикс с именем пользователя в лог.
- O25 - исправлена редкая ошибка при подключении к WMI.
- Обновлён и улучшен механизм проверки по списку LoLBin.
- Улучшены функции работы с реестром.
- Исправлено освобождение буфера (ILFree => CoTaskMemFree).
- Явно разрешены просроченные сертификаты Microsoft (которые без штампа времени).
- Обновлены белые списки O2, O22, O23.
- Добавлен ключ командной строки /skipErrors - не отображать ошибки и не записывать предупреждения и ошибки в отчёт.
- Добавлен ключ командной строки /sha256 - вычислять SHA256 хэш файлов.
- Исправлен прогрессбар для хэша.

Инструменты:
> Пакетная проверка ЭЦП:
- Улучшена скорость, сортировка, добавлены колонки - Сертификат "Действителен с" ("Valid From"), "Действителен до" ("Valid Until"); обмен местами "File Name" и "File Path".
> Менеджер деинсталляции программ:
- Исправлена кнопка "Деинсталлировать программу" - не всегда работала.
> Менеджер процессов:
- Кнопка "Сохранить" вызывает авто-обновление списка процессов.

Особые благодарности Sandor и regist за образцы, тестирование и предложения.

[2.9.0.29] - Oct 23, 2020
- Улучшения безопасности.

[2.9.0.28] (Nightly) - 01.09.2020
- [*New*] Добавлена подсекция O26 - Tools:
* подмены различных инструментов, запускаемых пользователем вручную, будут обитать там.
- [*New*] Добавлено определение Backdoor-а загрузочного экрана (Accessibility tools) - O26.
- [*New*] Добавлено определение подмены инструментов в свойствах "Мой Компьютер" (Дефрагментатор, Очистка системы, Резервное копирование) - O26.
- [Fix] Исправлена критическая ошибка в работе белого списка для служб в 32-битных ОС (спасибо Sandor за извещение).
- [Fix] RegJumper не хотел прыгать к родительскому ключу, если цель не существовала.
- Registry Key Unlocker: добавлена кнопка "Открыть в Regedit".
- Размер и положение окон каждого инструмента, включая главное окно, теперь сохраняются при выходе из программы.
- [Limited user] Исправлено падение программы при обновлении HJT из-под ограниченной учетной записи.
- [Limited user] Некоторые функции и инструменты HJT заблокированы для ограниченного пользователя. Запускайте утилиту от имени Админа!
- [Limited user] Общее улучшение, предотвращающее ложные срабатывания в результатах проверки из-за отказов в доступе.
  • Like
Реакции: E100, Guest и akok
[2.9.0.26] - 05.08.2020
- Добавлена частичная совместимость при запуске от имени пользователя с ограниченными правами.

[2.9.0.25] - 02.08.2020
Базы:
- Обновлены базы O22, O23 (также по возможности игнорируются MS Office, MS Visual Studio).
- O22 - Добавлена возможность анализа rundll32 заданий Microsoft.
- Обновлены названия редакций Windows.
- Пополнены списки хорошо известных DNS.
- Эталонные IE StartPage, SearchPage, Search & Custom Assistant заменены на msn.com либо убраны в связи с битыми ссылками.

Функционал:
- Добавлена проверка политик скриптов запуска-завершения работы Windows/пользователя.
- Добавлено O18 - Printer Port: определение подозрительных файловых портов для Spooler Shadow Jobs (спасибо Alex Ionescu за статью и NickM за помощь с фиксом).
- При запросе восстановления из бекапа ABR, автоматически создаётся новый бекап для возможности отката (в т.ч. из незагружаемого состояния).
- Добавлен рассчёт SHA1 файлов; можно переключиться между SHA1/MD5 в настройках.
- Новый ключ: /sha1 - вычислять SHA1 хэш файлов.
- Контекстное меню: добавлен пункт "Отключить / Включить" для служб и задач.

Исправления:
- O22 - добавлена совместимость с заданиями в кодировке UTF16.
- Uninstall Manager: Исправлена работа кнопки "Сохранить список" (спасибо Severnyj за извещение).
- Улучшены функции лечения ini-файлов, добавлена обработка формата Unicode.
- Улучшены функции бекапа реестра, поддержка QWord.
- Функция получения размера файла иногда возращала 0 для файлов из System32.
- Контекстное меню теперь не блокируется при ReScan.

Интерфейс:
- Шрифт для результатов сканирования изменен "10" => "9" (Жирный).
- Добавлены отступы по левому и правому краях в окнах меню "О программе...".
- "О программе" - "История версий": исправлена обрезка конца текста.
- Позиция скроллинга теперь не сбрасывается по окончанию сканирования.
- Исправлена прозрачность иконки программы.

Другое:
- Обновлена внутренняя справка по ключам.
- Все интернет-ссылки заменены на https.
- В критерии проверки добавлен протокол https.
- R4 - PendingFileRenameOperations отключена в режиме /startupscan в виду ложных срабатываний.

[2.9.0.23] (Nightly) - 09.06.2020
- Добавлены новые сертификаты
- OSinfo: Windows Embedded теперь детектируется и сообщается в лог
- OSinfo: имена редакций Windows дополнены
- Жесткое правило проверки собственных ключей ком. строки HJT
- Исправлена работа списка игнорирования, который ломался при некоторых обновлениях Windows 10
- Некоторые исправления в логике работы интерфейса, перезагрузки, доступа к файлам, поиску путей, описаниях ошибок, закрытию HJT, завершения процессов, анализе ярлыков
- Новые приватные ключи ком. строки HJT для меценатов:
* Проверка системы в тихом режиме с использованием сторонних инструментов из состава Sysinternals и NirSoft
* Автоматическое удаление элементов с детектами на Virustotal
* Избирательные хотфиксы в тихом режиме (вроде очистки Hosts, политик, плохих сертификатов и подобного)
* Базовый анти-руткит
- Добавлены новые публичные ключи ком. строки HJT:
* /noBackup - отключает создание резервных копий во время фикса
* /install /autostart d:X - установка в планировщик заданий с задержкой запуска на X сек.
* /instDir:"PATH" - альтернативный путь для установки HJT (по умолчанию: "%ProgramFiles(x86)%\HiJackThis Fork").
* /noShortcuts - отключить создание ярлыков при установке через /install
* /! - останавливает разбор ключей. Все, что находится после: используется в качестве ключей при автозапуске HJT вместо дефолтового /startupscan.
- Увеличен лимит вывода строк в интерфейсе HJT для O23 - до 750 элементов (по-умолчанию, для других секций - 250).
- Добавлена проверка: ...\Policies\Explorer\DisallowRun
- O23 - Service Backup: улучшена функция.
- O25 - WMI Revert Backup: исправлена функция.
- Windows 7 EOS (и будущий Win 8/8.1 EOS) определения добавлены в O22 - Tasks
  • Like
Реакции: Guest, E100 и Sandor
[2.9.0.18] - 14.01.2019
Исправлена ошибка при загрузке HJT из-за несовместимой иконки для 32-битных ОС.
  • Like
Реакции: Alex1983 и Guest
[2.9.0.17] - 13.01.2019
Шрифт по умолчанию для списков заменён на "MS Sans Serif", 10pt.
Добавлены горячие клавиши Ctrl + F (поиск), Ctrl + A (выделить всё).
Улучшена совместимость с 64-битной ОС при открытии файлов для редактирования и окна свойств (в ProcMan, StartupList, ADS Spy).
Небольшие правки в французском переводе.
Прочие мелкие правки ошибок и интерфейса.
Пополнена база сертификатов Microsoft.

[2.9.0.16] - 12.12.2018
Исправлено падение программы при разборе испорченных (зашифрованных) job-файлов из-за ошибки в stream reader.
Французский перевод обновлён.
  • Like
Реакции: Sandor, Guest и E100
[2.9.0.11] - 26.11.2018
Добавлен перевод на французский (спасибо Colok { Colok-Traductions.com }).
Исправлены проблемы с отображением расширенного набора символов кодировки ANSI.
Пополнены базы R4, O22, O23.
Доработан скрипт сборки исходного кода проекта (makefile.cmd):
- теперь включает компиляцию зависимостей.
- собирает проект Chocolatey.
- сборка исходников проверена и гарантирована на чистой Windows XP / 7 / 10.
Большинство EXE-файлов (вспомогательные зависимости) было удалено из репозитория GitHub из-за ложных срабатываний.
Обновлена информация о пожертвованиях.
  • Like
Реакции: E100 и Guest
[2.9.0.7] - 16.11.2018
Исправлены ложные срабатывания (например, O26) из-за проблем с очисткой буфера в операциях с реестром.
  • Like
Реакции: E100, Guest и Sandor
[2.9.0.6] - 09.11.2018
Исправлена критическая ошибка при рекурсивном чтении ключей реестра (падение программы на некоторых бекапах).
Исправлены случаи сбоев при чтении O23 (ошибка: "Ключ коллекции не уникален").
CSV-отчёты теперь открываются в блокноте, если не указана ассоциация.
Ускорен анализ O7 - IPSec.
Ускорена работа регулярных выражений.
  • Like
Реакции: E100 и Sandor
[2.9.0.1] - 20.10.2018
Лог:
v Доработан формат строк лога.
v Добавлена пометка "Подозрительных объектов не найдено!", если кол-во записей = 0.
v Добавлено отображение режима проверки (Scan mode): если включены "Additional scan", "Environment variables", "Ignore ALL Whitelists" или отключены "Processes", "Hide Microsoft entries".

Бекапы:
v Добавлен бекап/восстановление O23, O25.
v Восстановление регистрации библиотек.
v Восстановление атрибутов файлов и меток времени.
v Восстановление исходных прав на файл / ключ реестра (спасибо Казакевичу Олегу за помощь).
v Обновлён ABR от Дмитрия Кузнецова до v1.05 (улучшена совместимость с Win10 build 1803).

Основное сканирование:
v O5 - 'Blocked IE Options' переименована в 'Hidden Control Panel items' - секция расширена для проверки любых спрятанных элементов панели управления; добавлена совместимость с Vista+
v O7 - Добавлена проверка политик NoViewOnDrive, RestrictRun, DisallowRun, NoControlPanel, LockTaskbar, NoDispCpl, NoDrives, DisableTaskMgr.
v O7 - Добавлена проверка привилегий DACL некоторых ключей политик и сертификатов.
v O7 - TroubleShooting: (EV) - добавлена проверка присутствия важных системных папок в %PATH%.
v O10 - LSP: белый список удалён. Проверка осуществляется по ЭЦП.
v O10 - LSP: теперь отображает все повреждения цепи и неизвестные провайдеры, а не останавливается на первом найденном.
v O18 - Protocols/Filters: критерий проверки заменён на ЭЦП; добавлена проверка подразделов реестра.
v O22, O23 - временно добавлены в белый список записи Windows Defender.
v O26 - Добавлено обнаружение отладчиков UWP-приложений.

Дополнительное сканирование ("Additional scan"):
v Добавлена подсекция O23 - Drivers: - список загруженных драйверов.
v Добавлена подсекция O23 - Dependency: (экспериментальная), состоит из 3 групп:
- Microsoft Service 'X' depends on unknown service: 'Y' - если запуск легитимной службы 'X' зависит от неизвестной службы 'Y'
- Microsoft Service 'X' depends on mixed group: 'Y' - если запуск легитимной службы 'X' зависит от "смешанной" сервисной группы 'Y', в которую могут входить как службы Microsoft, так и сторонние.
- Microsoft Service Group 'X' contains unknown service: 'Y' - если в состав легитимной сервисной группы 'X' входит неизвестная служба 'Y' (Примечание: некоторые сторонние службы могут вполне легально добавлять свои записи в сервисную группу Microsoft)

Сканирование переменных ("Environment variables"):
v Добавлен список специальных папок.
v Переменные окружения дополнены и разбиты на категории "[User]", "[System]", "[Current process]".

Фиксы:
v O22 - добавлено удаление исполняемого файла задания (если он не принадлежит Microsoft).
v O23 - Добавлена зачистка зависимостей легитимных служб от удаляемой службы.

Совместимость:
v Добавлена совместимость с DBCS-системами (локале-независимость).
v Добавлена совместимость при запуске из контекста Local System:
- также в лог будет выводится пометка "<=== Attention! ('Local System' account)".
- часть инструментов в этом режиме отключена для безопасности.
v Понижена нагрузка на ЦП в режиме "Сканирование при автозагрузке системы".
v Диалоговые окна выбора файлов теперь поддерживают x64 битные папки (c:\Windows\System32).
v Проверка доступа на запись для нового лога заменена на AccessCheck() API, чтобы предотвратить конфликты с антивирусами.
v Улучшена защита от BSOD.

Ошибки:
v Баг: Исправлены случаи на Win8/10, когда строка O4 помечалась как StartupApproved (отключённая) вместо Run\Run32.
v Баг: Исправлен креш при завершении HiJackThis, запущенного из архива.
v Баг: Исправлена проблема с логом размером 0 байт, если до этого был запущен StartupList.
v Баг: Исправлен отказ в доступе при чтении некоторых заданий (спасибо Sandor за тесты).
v Баг: Устранён отказ в работе некоторых функций при установке специфического формата даты в системе.
v Баг: Исправлена ошибка с выводом бинарных данных в логе LSP.
v Доработано меню "Jump to Registry/File" для O23 и других секций.
v StartupList: добавлено отслеживание ошибок в режиме /debug, исправлены ошибки с вылетом (спасибо @Hostn4me за тесты).

Проверка обновлений:
v Баг: Исправлена проверка обновлений. Программа отвязана от github из-за проблем с https на XP и теперь скачивается с dragokas.com.
v Добавлена поддержка прокси (примечание: Socks5 не поддерживается) (спасибо Sandor за тесты).
v Добавлена опция "Update to test versions" (Обновлять до тестовых версий - если вы желаете получать самые свежие обновления, не дожидаясь стабильного релиза).
v Добавлена опция "Update in silent mode" (Обновлять в тихом режиме - программа автоматически обновится и перезапустится с исходными ключами командной строки).

Интерфейс:
v Добавлена возможность выбора шрифта (всего интерфейса либо только списков результатов сканирования и полей ввода).
v Улучшена навигация по интерфейсу во время сканирования.
v Убрана автопрокрутка списка результатов сканирования.
v Горизонтальная полоса прокрутки добавляется до завершения сканирования.

Перевод:
- Завершён перевод на русский язык списка изменений индивидуальных инструментов из 'Misc Tools'.
- Добавлен список изменений ProcMan.
- Нидерландская часть переведена на английский.
- Исправлена орфография украинского перевода.
- Обновлён английский текст с проверкой орфографических и грамматических ошибок (спасибо Tanner Helland).

Инструменты:
v В меню ПУСК добавлены ярлыки на отдельные инструменты и плагины (при установке HiJackThis).
v Соответственно, добавлены ключи командной строки:
- /tool+StartupList
- /tool+UninstMan
- /tool+DigiSign
- /tool+RegUnlocker
- /tool+ADSSpy
- /tool+Hosts
- /tool+ProcMan
- /tool+CheckLNK
- /tool+ClearLNK

v Uninstall manager (Менеджер удаления программ) обновлён до v.2.0:
- изменён интерфейс и формат строк лога.
- улучшена поддержка x64.
- добавлена метка "Hidden" для программ, которые нельзя удалить через стандартную оснастку в Панели управления.
- добавлена метка (no Uninstall command) для программ, у которых отсутствует строка вызова деинсталлятора.
- добавлена метка (User: имя пользователя) для программ, деинсталляция которых требует входа от имени другого пользователя.
- добавлен прыжок к ветке реестра.
- добавлен фильтр по HKCU / HKLM / HKU / Hidden / No uninstall command / Common Software.

v Digital Signature Checker (Инструмент проверки цифровых подписей):
- Исправлены ошибки "Отказ в доступе" при проверке некоторых файлов, защищённых DACL.
- Ускорена проверка системной папки.
- Исправлена проблема с отказом работы на Windows 7x64 SP0 и при некоторых других условиях.
- Добавлена возможность проверки и отображения стороннего производителя драйверов для Vista+.

v ProcMan: добавлена возможность перечислять модули 64-битных процессов.
v ADS Spy: добавлена кнопка "Save log..." (сохранить отчёт).
v ADS Spy: добавлена поддержка файловой системы ReFS.

Руководство:
v Завершена работа над обновлённым руководством на русском для форка и для v2.0.5: https://regist.safezone.cc/hijackthis_help/hijackthis.html (спасибо regist)
v Обновлена краткая справка для форка (на русском, английском и украинском), доступна внутри программы => "Help" => "About HJT" => "Sections". На английском доступна на сайте: dragokas/hijackthis

Ключи командной строки:
v Добавлены и видоизменены ключи командной строки /Area (старый вариант останется работать для обратной совместимости):
- /Area:processes заменён на /Area+Processes.
- /Area:Modules заменён на /Area+Modules.
- /Area:Environment заменён на /Area+Environment.
- /Area:Additional заменён на /Area+Additional.
- Добавлен ключ: /Area+Modules - добавляет список модулей, загруженных процессами. При этом в списке процессов отображаются их PID.
- Добавлены ключи: /Area-Processes, /Area-Modules, /Area-Environment, /Area-Additional - принудительно исключают из лога соответствующую секцию, даже если она включена пользовательскими настройками.
- Ключи /Area имеют наибольший приоритет перед остальными.
v Добавлен ключ /saveLog "Путь" (или /saveLog "Путь\Файл.log") - сохраняет отчёт в указанную папку (и под указанным именем, если расширение указано как .log).
v Ключ /silentautolog теперь отображает окно в миниатюрном виде.
v Синтаксис всех ключей расширен и теперь позволяет указывать их через дефис, например: -autolog

Другое:
v Установка HiJackThis Fork теперь доступна из-под командной строки (Chocolatey): 'choco install hijackthis'
v Лимит максимального объёма файлов при расчёте MD5 поднят до 100 МБ. Добавлен расчёт MD5 в секциях, где он был упущен.
v Пополнены белые списки R4, O4, O7 - Untrusted certificates, O22, O23.
[2.8.0.4] - 05.02.2018
Добавлен перевод на украинский язык.
  • Like
Реакции: akok
Сверху Снизу