HiJackThis+ (Plus) 3.4.0.17

[Dragokas]

Спасибо, добавлю.

 

[Phoenix]

Да что такое, у меня может что не так ?

 

[Dragokas]

Данное приветственное окно запускается на очень ранней стадии, и в целях совместимости не поддерживает Юникод.
Почини реестр после использования программы FMRS. Приложил твик. После чего нужна перезагрузка.
Я уже посоветовал автору больше не пользоваться таким ключом.

 

[Dragokas]

Кстати, попытка прописать туда 65001 - это не самодеятельность, а то же самое, что и галочка "Бета: Юникод" в настройках языка для не-юникодных программ:

которая является полу-мерой, и сами видите на сколько "хорошо" работает. И будет работать так же, даже если там выставить Русский.
В самом HiJackThis в том окне никаких хаков нет, это просто форма VB6 из коробки и обычный текст ANSI, как есть.

 

[Dragokas]

Dragokas обновил(а) ресурс HiJackThis+ (Plus) новой записью:

Обновления

[3.4.0.15 Beta] - 10.01.2025
- Вывод свободного места на системном диске, его стиля разметки (MBR, GPT) и типа технологии хранилища (HDD, SSD).
- Исправлен неточный рассчет RAM, также выводится общий объем памяти, MiB заменены на GiB.
- Добавлено определение Windows Server 2025.
- Пополнение баз O4, O27.
- Более надежный код изменения состояния служб.
- Некоторые оптимизации.

Узнать больше об этом обновлении...

 

[Dragokas]

Dragokas обновил(а) ресурс HiJackThis+ (Plus) новой записью:

Обновления

[3.4.0.16 Beta] - 13.01.2025
- Обновлены базы данных O4, O20, O26.
- Добавлено определение Addin от MS Office. Записи Microsoft и отключенные не отображаются.
- Улучшен порядок поиска исполняемых файлов через CLSID.

Узнать больше об этом обновлении...

 

[Dragokas]

Dragokas обновил(а) ресурс HiJackThis+ (Plus) новой записью:

Обновления

[3.4.0.17 Beta] - 16.01.2025
- Пополнена база данных O4.
- Проверка, если отсутствует или пустой BootExecute.
- Шаг к унификации добавления новых ключей, чтобы их можно было вынести в базу.
- Исправлен баг с невозможностью очистки параметров типа REG_MULTI_SZ, ранее они просто удалялись.

Узнать больше об этом обновлении...

 

[Простопрох]

Здравствуйте. В логе hjt после установки windscrabe vpn появились следующие строки (скриншот)

Некоторые драйвера от kaspersky стали неизвестными как и драйвер виндскрайб. Подобное возникает если установить Nmap. Хотелось бы прояснить причину почему так происходит? если удалить виндскрайб то данные строки исчезают из лога.

 

[Dragokas]

@Простопрох, приветствую!

Да, это нормальная ситуация, когда сервисная группа NDIS содержит службы, подписанные не Майкрософт.
Это позволяет системе выстраивать правильную последовательность автозапуска служб, в частности на NDIS завязано все, что связано с сетевыми интерфейсами.
Ранее, мы хотели добавить эту часть в исключения, но позже решили оставить как есть. Это помогает увидеть в системе службы, которые требуют для своей работы сеть, ничего плохого в этом нет, если только у вас нет подозрений, что какая-то их этих служб выходит в интернет с неправомерными целями.

P.S. Дописал эту информацию в дополнение к руководству.

 

[Простопрох]

Да, это нормальная ситуация, когда сервисная группа NDIS содержит службы, подписанные не Майкрософт

Так в том то и дело что эти строчки, относительно kaspersky premium, лога появляются если установить виндскрайб или nmap с драйверами npcap.
Если удалить виндскрайб то строки в логе относительно что kaspersky неизвестный сервис исчезнут. Вот что непонятно.
При установленном kaspersky без nmap или без виндскрайб строки unknown service в логе отсутствуют. Почему так? hjt не может считать инфу о том подписаны ли дрова или нет?

 

[NickM]

Что-то не могу вспомнить, обсуждалось ли падение утилиты из-за "Microsoft Silverlight"? Сам с этим уже встречался ранее.

Пока система на руках, могу что-нибудь собрать с неё, дамп или ещё что?

Имя сбойного приложения: HiJackThis.exe, версия: 3.4.0.17, отметка времени: 0x6789671d
Имя сбойного модуля: xapauthenticodesip.dll, версия: 4.0.50401.0, отметка времени 0x4bb42ead
Код исключения: 0xc0000005
Смещение ошибки: 0x00002d66
Идентификатор сбойного процесса: 0x13d4
Время запуска сбойного приложения: 0x01dbcae2e57b86e8
Путь сбойного приложения: F:\HiJackThis\HiJackThis.exe
Путь сбойного модуля: C:\Program Files (x86)\Microsoft Silverlight\xapauthenticodesip.dll
Код отчета: 33395ba2-36d6-11f0-b0c1-f46d0482a33b

Чего ждать, сразу и собрал:

C:\ProcDump\procdump64.exe -accepteula -e -w HiJackThis.exe C:\ProcDump\

ProcDump v10.11 - Sysinternals process dump utility
Copyright (C) 2009-2021 Mark Russinovich and Andrew Richards
Sysinternals - www.sysinternals.com

Waiting for process named HiJackThis.exe...

Process: HiJackThis.exe (4388)
Process image:
CPU threshold: n/a
Performance counter: n/a
Commit threshold: n/a
Threshold seconds: n/a
Hung window check: Disabled
Log debug strings: Disabled
Exception monitor: Unhandled
Exception filter: [Includes]
*
[Excludes]
Terminate monitor: Disabled
Cloning type: Disabled
Concurrent limit: n/a
Avoid outage: n/a
Number of dumps: 1
Dump folder: C:\ProcDump\
Dump filename/mask: PROCESSNAME_YYMMDD_HHMMSS
Queue to WER: Disabled
Kill after dump: Disabled


Press Ctrl-C to end monitoring without terminating the process.

[11:39:21] Exception: 4000001F
[11:40:49] Exception: C0000005.ACCESS_VIOLATION
[11:40:49] Unhandled: C0000005.ACCESS_VIOLATION
[11:40:49] Dump 1 initiated: C:\ProcDump\HiJackThis.exe_250522_114049.dmp
[11:40:56] Dump 1 complete: 2 MB written in 7.0 seconds
[11:40:56] Dump count reached.

 

[Dragokas]

Привет, да, сообщалось, но в виду редкости события не стал дальше разбираться, т.к. мне нужно на свой виртуалке воспроизвести, чтобы наверняка починить. Там что-то связано с изменением цепочки системных вызовов, дивным образом вместо обычной последовательности вызовов WinVerifyTrust при наличии SilverLight начинает дёргать функции из этой библиотеки xapauthenticodesip.dll и нарывается на исключение.