HiJackThis - это инструмент, который способен обнаружить и исправить изменения в наиболее уязвимых местах операционной системы, сделанные рекламными, шпионскими, вредоносными и другими нежелательными программами.
Проверка через HiJackThis основана не на чёрных списках, конкретных программах или URL-адресах, а только на методах, используемых вредоносным и рекламным ПО ("угонщиками браузеров"). Поэтому программа не требует постоянных обновлений.
Как минус, в её результатах отображаются и легитимные, и вредоносные объекты.
Поэтому нельзя удалять всё подряд. Это вполне гарантированно нанесёт вред системе.
Оценку вредоносности объектов в отчёте должен проводить специалист по информационной безопасности.
Эти записи просто для информации служат? Что будет если их попытаться пофиксить в HJT? Еще немного настораживает информация о проблеме с переменными средами, т.к. в другом логе они выглядят стандартными:O7 - TroubleShoot: [Disk] Free disk space on C: is too low = 556 MB.
O7 - TroubleShoot: [EV] HKU\.DEFAULT\..\%TEMP% - C:\WINDOWS\Temp (environment value is altered)
O7 - TroubleShoot: [EV] HKU\.DEFAULT\..\%TMP% - C:\WINDOWS\Temp (environment value is altered)
O7 - TroubleShoot: [EV] HKU\S-1-5-19\..\%TEMP% - (environment variable is not exist)
O7 - TroubleShoot: [EV] HKU\S-1-5-19\..\%TMP% - (environment variable is not exist)
O7 - TroubleShoot: [EV] HKU\S-1-5-20\..\%TEMP% - C:\WINDOWS\Temp (environment value is altered)
O7 - TroubleShoot: [EV] HKU\S-1-5-20\..\%TMP% - C:\WINDOWS\Temp (environment value is altered)
======Переменные среды======
"DEVMGR_SHOW_DETAILS"=1
"ComSpec"=%SystemRoot%\system32\cmd.exe
"devmgr_show_nonpresent_devices"=1
"FP_NO_HOST_CHECK"=NO
"NUMBER_OF_PROCESSORS"=1
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\OrlSoft Music Manager;C:\Program Files\Smart Projects\IsoBuster;C:\Program Files\Microsoft SQL Server\100\Tools\Binn\;C:\Program Files\Microsoft SQL Server\100\DTS\Binn\;C:\WINDOWS\system32\WindowsPowerShell\v1.0;C:\Program Files\Microsoft SQL Server\100\Tools\Binn\VSShell\Common7\IDE\;C:\Program Files\Skype\Phone\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.PSC1
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 2 Stepping 4, GenuineIntel
"PROCESSOR_LEVEL"=15
"PROCESSOR_REVISION"=0204
"see_mask_nozonechecks"=1
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"windir"=%SystemRoot%
"PSModulePath"=C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\
-----------------EOF-----------------
Вернёт значение по умолчанию. Про размер конечно просто для информации.Что будет если их попытаться пофиксить в HJT?
Другой лог это что? Если это RSIT то там переменные среды выводятся для другого пользователя, так что это скорее бага РСИТ-а.т.к. в другом логе они выглядят стандартными:
Эта запись означает, что при фиксе не будет создаваться полная копия реестра, пока на диске C не станет свободным хотя бы 1 ГБ. места.O7 - TroubleShoot: [Disk] Free disk space on C: is too low = 556 MB.
2 - это разрешена очистка.cKeys.Add 2, "Active Setup Temp Folders"
cKeys.Add 2, "BranchCache" '8/10
cKeys.Add 2, "Compress old files" 'XP
cKeys.Add 0, "Content Indexer Cleaner"
cKeys.Add 2, "Downloaded Program Files"
cKeys.Add 2, "GameUpdateFiles"
cKeys.Add 2, "Internet Cache Files"
cKeys.Add 2, "Memory Dump Files"
cKeys.Add 2, "Offline Pages Files"
cKeys.Add 2, "Old ChkDsk Files"
cKeys.Add 2, "Previous Installations"
cKeys.Add 0, "Recycle Bin"
cKeys.Add 0, "Remote Desktop Cache Files" 'XP
cKeys.Add 2, "RetailDemo Offline Content" '8/10
cKeys.Add 2, "Service Pack Cleanup"
cKeys.Add 0, "Setup Log Files"
cKeys.Add 0, "System error memory dump files"
cKeys.Add 0, "System error minidump files"
cKeys.Add 2, "Temporary Files"
cKeys.Add 2, "Temporary Setup Files"
cKeys.Add 2, "Thumbnail Cache"
cKeys.Add 2, "Update Cleanup"
cKeys.Add 2, "Windows Defender" '8/10
cKeys.Add 2, "User file versions" '8/10
cKeys.Add 2, "Upgrade Discarded Files"
cKeys.Add 2, "WebClient and WebPublisher Cache" 'XP
cKeys.Add 2, "Windows Error Reporting Archive Files"
cKeys.Add 2, "Windows Error Reporting Queue Files"
cKeys.Add 2, "Windows Error Reporting System Archive Files"
cKeys.Add 2, "Windows Error Reporting System Queue Files"
cKeys.Add 2, "Windows Error Reporting Temp Files" '8/10
cKeys.Add 0, "Windows ESD installation files"
cKeys.Add 0, "Windows Upgrade Log Files"
В логе RSIT переменные окружения отображаются для контекста HKLM (Local System),Еще немного настораживает информация о проблеме с переменными средами, т.к. в другом логе они выглядят стандартными:
является дефолтом, и соответственно в логе HJT не отображается."TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
[2.7.0.29] - 19.01.2018
Унифицированы все секции лога к единому шаблону "Префикс секции-разрядность" - "опционально, имя секции": "улей\..\ключ": "опционально, подраздел" [параметр] = значение
"Сжат" лог O7 - IPSec: если в системе несколько идентичных правил.
Удалён признак O7 - TroubleShoot: [EV] (environment value is altered)
Добавлен признак O7 - TroubleShoot: [EV] (folder is not exist)
Добавлен признак O1 - Hosts: is damaged (contains NUL characters only)
Попытка фикса строки с легитимным файлом теперь будет вызывать SFC для него.
Разбиты на несколько строк...
O22 - Task: (disabled) (telemetry) \Microsoft\Office\OfficeTelemetryAgentFallBack2016 - C:\Program Files (x86)\Microsoft Office\root\Office16\msoia.exe scan upload mininterval:2880 (Microsoft)
O22 - Task: (disabled) (telemetry) \Microsoft\Office\OfficeTelemetryAgentLogOn2016 - C:\Program Files (x86)\Microsoft Office\root\Office16\msoia.exe scan upload (Microsoft)
O22 - Task: (disabled) klcp_update - C:\Program Files (x86)\K-Lite Codec Pack\Tools\CodecTweakTool.exe /verysilent /update /freq=30
O23 - Service S2: Служба Google Update (gupdate) - (gupdate) - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /svc
O23 - Service S3: Office 64 Source Engine - (ose64) - C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
O23 - Service S3: Служба Google Update (gupdatem) - (gupdatem) - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /medsvc
(gupdatem) - (gupdatem) - 2 скобки на сервисе, оно не должен быть. Должно быть одна...
Так по правильном O23 - Service S3: Служба Google Update - (gupdatem) - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /medsvc
--
End of file - Time spent: 5 sec. - 23034 bytes, CRC32: FFFFFFFF. Sign: 顠അ - Что это значит?
Это так в реестре прописано. Я ничего не правлю и не удаляю на лету. Да, по вашему предложению это будет сокращение, но это будет заранее недостоверная информация о названии службы.2 скобки на сервисе, оно не должен быть. Должно быть одна...
Я не подписан, но тоже скачалЗа день скачало 4 человека (и только потому что подписаны на тему), и из них никто не отписался.
В моём логе присутствуют 3 статуса у заданий: activation, disabled, telemetry и вообще без статуса.Сделал лог и все задания у меня по нему в статусе (disabled).
[2.8.0.3] - 03.02.2018
Убран вывод отключённых элементов O7 - IPSEC.
Улучшена работа опций "Ignore Microsoft entries" и "Ignore All whitelists".
O22 - Task: исправлена ошибка в выводе статута "(disabled)".
[2.8.0.2] - 02.02.2018
Логи:
Лог "Environment variables" заменён на вывод полностью всех переменных окружения текущего процесса.
O7 - Policy: [Untrusted Certificate] Удалён черный список сертификатов и атрибут "Well-Known cert."
Добавлена опция "Additional scan" (по...
Контрольная сумма - для проверки лога на предмет умышленной модификации пользователем.
Sign - коррекция контрольной суммы. У всех логов одинаковая КС.
Это так в реестре прописано. Я ничего не правлю и не удаляю на лету. Да, по вашему предложению это будет сокращение, но это будет заранее недостоверная информация о названии службы.
Если вы читали справку, то там указано, что формат: O23 - название службы - название ключа - .... Если они совпадают, будет только одна надпись.
По вашему предложению, название службы будет "Служба Google Update", что не является правдой.
Такое уже есть. Нужно поставить в настройках галочку на MD5.Лучше бы добавить контрольную сумму md5 Hash , чтобы проверить подписан при проверке VT через Aitotal отправки, чтобы доказать правду.
Это нарушает принцип, заложенный в описание работы программы, - проверка без использования сети Интернет.Лучше бы добавить HiJakThis Fork -добавить специальную анализ Aitotal по отдельной проверки по результату , нужно бы Dr.Web , Symantec, Kaspersky, Eset и Сomodo например md5 не совпадает , то реагирует и антивирусы считают подозрительные , то получается движок 3/5 найденных на VT. Это будет гораздо проверка по сигнатурному .
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?