HiJackThis Fork

HiJackThis Fork 2.10.0.25

[2.8.0.3] - 03.02.2018
Убран вывод отключённых элементов O7 - IPSEC.
Улучшена работа опций "Ignore Microsoft entries" и "Ignore All whitelists" при переключении галочки в состояние не по умолчанию.
O22 - Task: исправлена ошибка в выводе статута "(disabled)".

[2.8.0.2] - 02.02.2018
Логи:
Лог "Environment variables" заменён на вывод полностью всех переменных окружения текущего процесса.
O7 - Policy: [Untrusted Certificate] Удалён черный список сертификатов и атрибут "Well-Known cert."
Добавлена опция "Additional scan" (по умолчанию, отключена). Включается через настройки File -> Settings

Проверка:
O4 - PendingFileRenameOperations (перенесёно в "Additional scan")
O4 - Autorun.inf (добавлено в "Additional scan")
O4 - MountPoints2 (добавлено в "Additional scan")
O22 - Task: добавлен атрибут "(activation)" для заданий активации системы.
O22 - Task: добавлен атрибут "(update)" для заданий GWX ("Get Windows 10").
O23 - Service: добавлен вывод аргументов.

Ошибки:
Исправлена ошибка, приводящая к отсутствию списка процессов в XP.
Исправлена ошибка при работе с коллекциями, которая могла привести к краху программы.
Исправлено несколько ошибок, когда в O23 не попадали вредоносные записи.
Исправлено падение программы при попытке закрыть её раньше, чем закончит работу StartupList2.
Исправлена работа галочки "Сразу отмечать для исправления всё найденное в ходе проверки"
Исправлена ошибка при попытке добавить HJT в автозапуск, если он запущен через меню Пуск, а также на системах XP/2k.

Защита:
Улучшена защита от удаления системных файлов, если повреждён механизм проверки ЭЦП.
Добавлена защита от завершения критически важных системных процессов.

Фиксы:
O21: добавлен перезапуск Explorer.
O4: добавлена заморозка процессов.
O22: добавлено завершение задачи.

Интерфейс и прочее:
Добавлены иконки для инструментов и удалены лишние из ресурсов.
Добавлено многоязычное описание в свойства файла (DE/FR/EN/RU).
Реорганизовано меню "Misc Tools" (Дополнительные инструменты):
- дополнительные настройки перенесены в меню основных настроек;
- добавлена секция "Plugins";
- добавлены кнопки "Registry Keys Unlocker" и "Digital signature checker".
Основные настройки разделены на категории:
- Scan area
- Scan options
- Fix & Backup
- Interface
Настройка "Ignore Microsoft files" переименована в "Ignore Microsoft entries"
Настройка "Ignore non-standard but safe domains in IE (e.g. msn.com, microsoft.com)" поглощена настройкой "Ignore Microsoft entries".
Добавлены всплывающие подсказки к некоторым галочкам.
HiJackThis.exe при запуске из архива теперь запрашивает распаковку не в корень рабочего стола, а в его подкаталог "HiJackThis".
Ускорена работа программы на сильно загруженных системах в режиме /silentautolog.
Добавлены ключи командной строки:
/Area:process - включить в отчёт список процессов
/Area:Environment - включить в отчёт переменные окружения
/Area:Additional - выполнять "Дополнительное сканирование" (Additional scan)
Обновлены белые списки.
  • Like
Реакции: E100 и akok
[2.7.0.29] - 19.01.2018
Унифицированы все секции лога к единому шаблону "Префикс секции-разрядность" - "опционально, имя секции": "улей\..\ключ": "опционально, подраздел" [параметр] = значение
"Сжат" лог O7 - IPSec: если в системе несколько идентичных правил.
Удалён признак O7 - TroubleShoot: [EV] (environment value is altered)
Добавлен признак O7 - TroubleShoot: [EV] (folder is not exist)
Добавлен признак O1 - Hosts: is damaged (contains NUL characters only)
Попытка фикса строки с легитимным файлом теперь будет вызывать SFC для него.
Разбиты на несколько строк с возможностью раздельных фиксов:
- O4 - HKLM\..\Session Manager: [BootExecute]
- O17 - ... Parameters: [NameServer] (доработан)
- O20 - HKLM\..\Windows: [AppInit_DLLs]
- O26 - IFEO (global).
Добавлен запрет программе на перезагрузку серверных ОС с запросом к пользователю сделать это вручную.
Исправлено определение некоторых редакций серверных ОС.
Добавлен вывод окна HJT на передний план, как только сканирование завершится.
Улучшен поиск файлов по путям %PATH%.

[2.7.0.28] - 01.01.2018
Исправлен вылет программы при её завершении.
Обновлён и улучшен скрипт запроса нового дампа падения программы: http://dragokas.com/tools/debug/GetHJT_dump.zip
  • Like
Реакции: akok
2.7.0.27
O7 - Исправлен вывод имени владельца сертификата.
O7 - Добавлен вывод имени владельца для сертификатов, которых нет в базе HJT.
O7 - Добавлен пункт "Policy: [Untrusted Certificate] Fix all items from the log", для фикса всех сразу сертификатов в логе, если строк > 10.
2.7.0.26
Пополнен список DNS.
O4 - Добавлен вывод папок в каталогах Автозапуска.
O2, O3 - исправлена эвристическая чистка.
Секция R4 - DefaultScope объединена с R4 - SearchScopes.
Мелкие оптимизации скорости работы утилиты.

2.7.0.25
Пополнен список сертификатов XP.
  • Like
Реакции: Guest и akok
2.7.0.24
Устранена ошибка, когда лог создавался урезанным из-за NUL символов.
Удалён Uptime.
Завершен перевод списка обновлений на английский язык.
Списки обновлений программ HJT, StartupList и ADSSpy добавлены на вкладку меню "Помощь" -> О программе -> История.
R4 - SearchScopes: Изменён формат строки лога.
  • Like
Реакции: Guest
2.7.0.23
O22 - Task: Добавлен разбор файлов .job
O7 - Policy: [Untrusted Certificate] - добавлена проверка списка ненадёжных сертификатов цифровой подписи и их анализ.

2.7.0.22
Пополнены белые списки.
O17 - Удалён ControlSet[x], на который ссылается CurrentControlSet.
  • Like
Реакции: Guest
2.7.0.21
Пополнены белые списки.
Добавлена полоса горизонтальной прокрутки к окну списка игнорирования.
O4 - HKLM\..\FileRenameOperations: отключён вывод записей с отложенным удалением.
O22 - Task: добавлена пометка "(telemetry)" для заданий, связанных со сбором статистики и передачи на сервера Microsoft (телеметрия).
O22 - Task: убраны пометки "(Microsoft)" у заданий, которые запускаются через хост-процесс (cmd.exe, schtasks.exe и т.п.)
Ключ /ihatewhitelists - исправлена работа.
Добавлен ключ /default - загрузить настройки по-умолчанию (полезно вместе с /silentautolog на случай, если пользователь самостоятельно изменил настройки). Это не действует на список игнорирования.
Добавлен ключ /skipIgnoreList - не загружать список игнорирования
Добавлен ключ /timeout:sec, где 'sec' - это кол-во секунд, которое разрешается работать HiJackThis в режиме /silentautolog до аварийного завершения (по-умолчанию, 180 сек.); 0 - чтобы отключить.
Добавлено отображение временной зоны.
Исправление ошибок в модуле резервного копирования.
  • Like
Реакции: marni и Кирилл
2.7.0.20
/silentautolog - исправлена ошибка, когда не создавался лог.
O22 - Task: Переработан. Убрана зависимость от службы планировщика заданий.
O22 - Task: Добавлена поддержка вывода в лог множества действий для 1 задания.
O22 - Task: Добавлена проверка подлинности ComHandler-заданий.
O22 - Task: Вывод состояния задания (Running / Ready / Queued) упразднён, оставлено только состояние "Disabled".
O22 - Task: Добавлена возможность удалять повреждённые задания.
Удалена секция O4 - Autorun.inf:
Удалена секция O4 - MountPoints2:
2.7.0.19
Добавлен новый хеш корневого сертификата Microsoft.

2.7.0.18
Добавлена проверка типа виртуализации ключей реестра. Больше не будет дублирующих ключей в логе, если ключ имеет тип 'Shared'.
Добавлена универсальная итерация ульев реестра. Теперь все ульи: HKLM / HKCU / HKU (default, SID служб и др. загруженных пользователей) будут проверяться в каждой секции.
Добавлен O4 - Win9x BAT: C:\Windows\System32\Batinit.bat
Добавлен O4 - Win9x BAT: C:\Windows\WinStart.bat
Добавлен O4 - Win9x BAT: C:\Windows\DosStart.bat
Добавлен O4 - Win9x BAT: C:\AutoExec.bat
Добавлен O4 - WinNT BAT: C:\Windows\System32\AutoExec.nt
Добавлен O4 - WinNT BAT: C:\Windows\System32\Config.nt
Добавлен O4 - AlternateShell (SafeBoot):
Добавлен O4 - ScreenSaver:
Добавлен O4 - RunOnceEx:
Добавлен O4 - RunServicesOnceEx:
Добавлен O4 - Autorun.inf:
Добавлен O4 - MountPoints2:
Добавлен O7 - Taskbar policy:
O16 - Trusted Zone и Trusted IP range: добавлена проверка протокола https.
O16 - ProtocolDefaults: добавлена проверка протоколов ldap, news, nntp, oecmd, snews, knownfolder.
Добавлен O21 - ShellExecuteHooks:
Введён новый постфикс "(folder missing)".
Добавлено выделение пункта меню в результатах сканирования по правой кнопке мыши.

2.7.0.17
Добавлена возможность скачать и запустить программы проверки и лечения ярлыков (Check Browsers' LNK & ClearLNK) через меню Tools -> Shortcuts.
Ускорено создание больших и отладочных логов (оптимизирован класс конкатенации строк StringBuilder).
Ускорено создание больших логов в режиме /silentautolog (записи больше не добавляются в ListBox). Устранён креш из-за переполнения ListBox в режиме /silentautolog.

2.7.0.16
O17 - DHCP DNS: исправлена ошибка, когда не отображается DNS (кривой код от Microsoft ^).

2.7.0.15
Окна инструментов больше не теряют фокус при наведении мыши на некоторые элементы главного окна.
F0, F1 не работал после 2.7.0.1 (исправлено).
F0, F1 теперь показывает полный путь к файлу.
O1 - ускорен фикс.
R1 - для ProxyServer добавлено отображение статуса (enabled / disabled)
R1 fix для ProxyServer добавлено отключение прокси.
O3 fix - добавлен фикс ключей WebBrowser и ShellBrowser.

2.7.0.14
R3 - Default URLSearchHook is missing: добавлен фикс CLSID
R3 - Исправлена ошибка с редиректором.
O2 - добавлена проверка ключей HKCU
O3 - добавлена проверка ключей HKCU
O3 - удалены некоторые белые списки.
O3 - добавлена проверка \Software\Microsoft\Internet Explorer\Explorer Bars
O8 - добавлена проверка ключей HKLM
Улучшена совместимость с Windows 2k.

2.7.0.13
Добавлена анимация прогрессбара в панели задач во время сканирования.
Исправлена работа списка игнорирования.
Добавлен O4 - HKLM\..\BootExecute
Добавлен O4 - HKLM\..\FileRenameOperations
Проверка запуска из папки %temp% теперь игнорируется для параметра /silentautolog и других аргументов.
Добавлена возможность установить программу в папку 'Program Files' и меню 'Пуск' (File -> Install HJT).
Восстановлена функция автозапуска сканирования HJT после загрузки ОС.
Добавлена кнопка контекстного меню "Добавить ВСЁ в игнор-лист".
Добавлен ключ командной строки /install - установить HJT.
Добавлен ключ командной строки /autostart - автозапуск сканирования HJT после загрузки ОС (используйте вместе с /install)
Добавлено предупреждение, если у системы устаревший Service Pack.
Добавлен прыжок к файлу или записи реестра из меню результатов сканирования (см. по ПКМ, Контекстное меню => Jump to Registry / File).

2.7.0.12
Добавлено определение Revision версии ОС.

2.7.0.11
ЭЦП: исправлена критическая ошибка в работе системы кеширования.
Теперь программа всегда будет запускаться с главного меню, если не поставлена галочка "Do not show this menu after starting the program". Раньше 2-й запуск программы приводил к переходу к окну результатов сканирования.

2.7.0.3 - 2.7.0.10
v Добавлен полный бекап реестра
(!) выполняется перед нажатием "Fix Checked" не чаще 1 раза в неделю
(!) сохраняется в папку C:\Windows\ABR\<Дата>
(!) используется утилита ABR от Дмитрия Кузнецова, так что бекапы совместимы с UVs.
(!) восстановление из бекапа доступно несколькими способами:
- через HiJackThis: Main Menu => List of Backups => выбрать пункт "<Дата>: REGISTRY BACKUP" => Restore.
- запустить файл C:\Windows\ABR\<Дата>\restore.exe
- через UVs v.4.0.8+ => Меню "Файл" => Восстановить реестр из каталога ... => выбрать нужный бекап => Восстановить.
- через Windows RE: В командной строке среды восстановления ввести <диск>:\Windows\ABR\<Дата>\restore <диск>:
(!) восстановление из бекапа вызовет перезагрузку ОС без предупреждения.
(!) Деинсталляция HJT приведёт к удалению бекапов из папки C:\Windows\ABR, если они были созданы через HJT.
(!) Все бекапы, старше 28 дней, удаляются автоматически при создании нового бекапа.
(!) Если на диске осталось меньше 1 ГБ свободного места, бекапы не создаются (!). Вы увидите уведомление в секции O7 - TroubleShoot: Free disk space on C: is too low = NNN MB.

2.7.0.10
Ускорена работа программы на высокозагруженных системах по ЦП (вследствие майнеров и т.п.)
Исправлен креш (clsStringBuilder)

2.7.0.9
Реорганизовано меню, добавлены иконки.
Добавлен вывод версии ОС, вшитой в NTDLL.dll, если она отличается от версии, полученной стандартным способом.
Добавлен вывод Uptime (длительность работы ОС).
Добавлен вывод метки "FirstRun" (yes, если сканирование выполнено первый раз после перезагрузки).
Добавлен вывод сообщения, если нарушена целостность программы (например, вследствие заражения файловым вирусом или скачивания сборки HiJackThis с неофициального источника).
O7 - TroubleShoot: добавлена проверка наличия на системном диске не менее 1 ГБ свободного места. Фикс вызовет исполнение утилиты Microsoft CleanMgr.
O7 - TroubleShoot: [Network] добавлена проверка на пустое имя компьютера, что может привести к неполадкам в сети.
Batch digital signature checker: в CSV отчёт добавлено поле "Has internal signature?".

2.7.0.4
Добавлено отображение браузера по умолчанию (для протокола http).

2.7.0.3
O25 - WMI: починены белые списки.
O7 - IPSEC: переработан.
O17 - Добавлен белый список хорошо известных DNS.
R4 - детализация имён параметров; проверка дополнена.
ЭЦП: исправлена проверка на Win 7 SP0.
Безопасное получение переменных окружения.

2.7.0.1

Программа переведена в статус Pre-Alpha.
Значительная реорганизация кода (рефакторинг).
Удалён модуль бекапа в связи с процессом его полной замены.

v Добавлена проверка наличия обновлений через интернет:
(!) вызывается из меню "Help" или "Misc Tools"
(!) доступна новая опция "Проверять обновления автоматически при запуске программы".

v Список игнорирования: ранее нельзя было добавить запись с русскими или юникодными символами.

v Добавлены защиты ASLR, DEP.

v Ускорено:
- проверка ЭЦП.
- сохранение огромных отчётов.
- O1 - Hosts: если записей больше, чем 40, то в лог попадут все, а в окно результатов скана только первые 20 и последние 20 + пункт "Reset contents to default"
- навигация по интерфейсу.

v Batch digital signature checker: в CSV отчёт добавлены новые поля:
- is PE (является ли файл форматом PE EXE)
- Signer name (имя подписанта)
- Signer email (адрес электронной почты подписанта)
- Catalog path (путь к каталогу безопасности, в котором найден хеш файла)
- PE hash (Portable Executable хеш файла)
- Algorithm of certificate hash (алгоритм хеша сертификата)
- Algorithm of signature digest (алгоритм выборки подписи)
- Time Stamp (отпечаток времени подписания файла)

v Смена шифрования:
- Настройки программы теперь хранятся в HKLM\Software\TrendMicro\HiJackThisFork

v O26 - Image File Execution Options:
- добавлено детектирование AVRF Hook/DoubleAgent
- добавлена проверка улья HKCU и Wow64.

v Улучшена совместимость:
- Windows Server с Terminal services.
- Проверка версии ОС.

v Улучшена безопасность:
- Заблокировано удаление служб Майкрософт.
(!) Теперь системные службы можно удалить только через меню "Tools" => "Delete Service".
(!) "Tools" => "Delete Service" теперь позволяет ввести отображаемое имя службы.
(!) HTTP ссылки заменены на HTTPS.

v Заменены гиперссылки и разбиты по языкам:
- для кнопки "Analyze report"
- для отправки сообщений об ошибках
- списка обновлений
- Online Guide в главном меню
- Помощь => Поддержка

v Добавлены меню:
- Help => Support
- Help => Users' Manual => Sections' description
- Help => Users' Manual => Command line keys

v Обновлены GitHub Wiki pages: https://github.com/dragokas/hijackthis/wiki
v Открыта общая тема обсуждения для англоязычных пользователей: https://github.com/dragokas/hijackthis/issues/4

v Размер программы:
- HiJackThis.exe теперь не упакован в UPX в виду того, что UPX ломает бинарную совместимость при анализе Crash-дампов.
  • Like
Реакции: Guest, marni и akok
2.6.4.24
Улучшен механизм удаления файла.
Добавлена секция O26 - Image File Execution Options
Завершен перевод на русский язык.
Завершена ревизия и дополнение во внутреннюю справку программы (Помощь => О программе => Секции).
Исправлена ошибка при запуске на носителе, заблокированном от записи.
  • Like
Реакции: Guest
Сверху Снизу