История версий: 1. HiJackThis+ 2. StartupList 3. ADSspy 4. ProcMan ========================================================= ||||| 1. HiJackThis: список изменений ||||| ========================================================= [3.4.0.9 Alpha] - 18.04.2024 - Исправлено ложное срабатывание "User missing" у O22 - Tasks (спасибо picasso). - Улучшен RegJump. [3.4.0.8 Alpha] - 23.03.2024 - Заблокирована возможность "Пофиксить всё" для защиты неопытных пользователей. - Registry Key Unlocker: добавлена возможность указывать SDDL и извлекать его из дескриптора указанного ключа. - Registry Key Unlocker: улучшено форматирование лога, добавлен вывод SDDL до и после исправления. - Добавлена возможность указывать ключи в формате Computer\HKEY... [3.4.0.7 Alpha] - 14.03.2024 - File Unlocker: добавлена возможность указывать SDDL и извлекать его из дескриптора указанной папки (кнопка "Pick from folder"). - File Unlocker и Registry Key Unlocker: галочка "рекурсия" теперь устанавливает флаг "наследование" для всех объектов 2 и ниже уровня иерархии (ранее наследование отключалось и устанавливались явные права). [3.4.0.6 Alpha] - 27.02.2024 - O7 - Policy: Bitcoin wallet address hijacker: Добавлено отображение адреса крипто-кошелька атакующего со ссылкой на blockchain explorer для удобства. [3.4.0.5 Alpha] - 19.02.2024 - Исправлено: проверка ЭЦП .cat файлов проходила неудачно. [3.4.0.4 Alpha] - 08.02.2024 - Максимальная длина строки лога ограничена 3000 символами. - Максимальная длина строки списка результатов увеличена до 600 символов. - Исправлено ухудшение: урезание длинных строк приводило к удалению спец-пометок. - Исправлено ухудшение: обрезанные пункты не удавалось добавить в игнор-лист. - Исправлено ухудшение: иногда неверное раскрывалась цель ярлыков. - Исправлено ухудшение: кнопка "Add Checked to ignore list" ставала неактивной при сохранении лога. - O4 - Startup: пометка "(file missing)" теперь проверяется для цели ярлыка, а не для пути ярлыка. - O4 - Startup: Добавлено раскрытие содержимого скриптов. - Убрано дублирование некоторых пунктов Jump list. - Исправлено: не отображалась иконка при сворачивании программы в область уведомлений. [3.4.0.3 Alpha] - 06.02.2024 - Улучшена процедура восстановления Windows Defender. - Исправлено ухудшение: некоторые пункты не удавалось добавить в игнор-лист. [3.4.0.2 Alpha] - 28.01.2024 - Фикс предыдущего билда. [3.4.0.1 Alpha] - 28.01.2024 - Исправлена уязвимость переполнения буфера списка результатов сканирования. - Исправлена критическая ошибка в функции восстановления из бекапа пунктов HiJackThis: * без обновления к этой версии не рекомендуется пользоваться в v.3.3.0.5 - 3.3.0.11 кнопкой "Restore" бекапа, - это может уничтожить все остальные бекапы; * при этом, можно безопасно откатываться к бекапам, которые были созданы предыдущими версиями HiJackThis. - Улучшения совместимости и исправление BCD при использовании восстановления из бекапа реестра через Autobackup Registry: * ABR обновлён до v1.12 (спасибо D.Kuznetsov). - Исправлен креш по ПКМ на некоторых пунктах результатов сканирования (спасибо de-served за извещение). - O7 - KnownFolder: (folder missing) исправлено ложное срабатывание на легальную переадресацию. Фикс переадресации теперь также включает создание структуры папок (спасибо de-served). - Исправления в поведении UI для Ctrl + F. - Исправлено ухудшение: пункт не отмечался при двойном клике. - Добавлено экранирование www. => vvv. - Улучшена процедура обновления программы при ошибках с сертификатами (спасибо regist). - Пополнены белые списки O22, O23. - Пополнены сертификаты MS (спасибо Sandor). [3.3.0.11 Beta] - 21.12.2023 - O7 - KnownFolder: добавлена проверка на физически отсутствующие папки. - Исправлена ошибка установки HiJackThis. - Инструмент Hosts File Manager вынесен в виде отдельного окна. - Добавлен Anti-BSOD при удалении служб. - Исправлена ошибка, когда стандартный шрифт не подхватывался некоторыми формами. - Добавлена возможность изменить стандартный шрифт UI отдельно от шрифта списков. - Исправлены ошибки совместимости с XP/Vista, проверок минимальных процессов на Win 8+. [3.3.0.10 Alpha] - 18.12.2023 - Разблокирована возможность удалять службы с подписью Microsoft у исполняемого файла. - Добавлен вывод компании и SHA1 хеша для файлов, у которых ЭЦП повреждена, помеченные как "(invalid sign)". - Допустимый размер файла для проверки хеша увеличен до 300 MiB. В случае превышения или неудачи проверки, это будет обозначено в логе. - Улучшена проверка ЭЦП: для Win 8+ выводится вторичная подпись (производителя), если первичная - от Microsoft. - Исправлены ошибки предыдущей сборки. [3.3.0.9 Alpha] - 15.12.2023 - Добавлено обнаружение Null-параметров автозапуска. - Добавлена обновляемая база LolBin файлов на основе сервиса lolbas-project.github.io (спасибо @oddvarmoe, @bohops, @xenosCR, @ConsciousHacker, @liamsomerville, @Wietze, @_josehelps) - Добавлена защита от случайного удаления фиксом LolBin файлов, не прошедших проверку ЭЦП по каким-либо причинам. - Экранирование http => hxxp. - Для неподписанных файлов выводится дополнительная информация: компания из свойств файла и SHA1 хеш файла. - Изменен способ получения путей к процессам - не требует отрытия процесса (спасибо @fafalone). - O7 - TroubleShooting: улучшена проверка %Temp% системных профилей. - Авто-снятие блокировок DACL ключей настроек HJT. - Более надёжная работа с буфером обмена (спасибо @wqweto). - Пополнен список сертификатов MS (спасибо Sandor). - Пополнение белых списков. - Другие исправления. [3.3.0.8 Alpha] - 27.11.2023 - Добавлено экранирование переносов строк и непечатаемых символов. Формат: \x1F, где 1F - код ASCII символа в Hex. - Добавлено запоминание последней открытой папки в различных инструментах. - Исправлено время модификации файла при сборке. - Добавлена дата сборки в заголовок лога. - Обход проблем в Windows, препятствующих запуску HiJackThis. [3.3.0.7 Alpha] - 09.11.2023 - Исправлены нерабочие галочки списков после последнего обновления. [3.3.0.6 Alpha] - 02.11.2023 - Удаление лога перед началом сканирования - Исправлена версия программы [3.3.0.5 Alpha] - 02.11.2023 - Все элементы UI заменены на юникодные аналоги (спасибо Krool и VanGoghGaming). - Исправлена запись за пределы буфера в редких случаях при некорректных ключах реестра. - Исправлен недостаточный контроль с попыткой проверить ЭЦП папки, что могло привести к крашу из-за выключенного редиректора (спасибо Sandor за поддержку). - Исправлено ложное срабатывание Kaspersky на поведение фикса. Чтобы такое не происходило, распаковывайте из архива все файлы утилиты (спасибо akok за уведомление). - Комплексная очистка и "обфускация" кода от примитивных проверок антивирусов и песочниц, по которым они выдают подозрения (спасибо akok за помощь). - Рефакторинг стадии инициализации программы. - Ускорена загрузка главного меню. - Hosts Manager: сброс стандартизирован до дефолтовых хешей hosts файла ванильной ОС, исправлена кнопка "Open in editor". - Дополнены имена редакций ОС. - Улучшена совместимость с Windows XP и Vista. - Изменён ключ хранения настроек. Прежние настройки будут перенесены автоматически. - Удалены лишние базы данных. - Удалены мёртвые ссылки. - Удалена зависимость от Microsoft MSCOMCTL32. - Временно: зависимость от компонента apps\VBCCR17.OCX [3.2.0.2 Alpha] - 09.10.2023 - Исправлена ошибка с отображением имени группы пользователя. - Исправлено зацикливание кода при некоторых перехватах. - Модуль "Hosts file manager" переписан более надёжным кодом; добавлены кнопки "Сброс" и "Обновить"; кнопка "Открыть" теперь запускает редактор по умолчанию. - Заменён стиль кнопок главного меню и унифицирован для одинакового отображения во всех версиях ОС. Кнопки поддерживают темы, но тема нарисована пока только одна (тёмная). - Удалена кнопка "Misc Tools". - Переименована кнопка "Online Guide" - в "Tutorial & Support", и теперь открывает подменю с доступом на выбор к online/offline справке, форумам лечения. - Переименована кнопка "List of Backup" в "Backups". - Переименована кнопка меню "Помощь"-"Поддержка" в "Сообщить об ошибке". - Кнопки "Do a system scan..." больше не отключаются при сканировании; повторное нажатие переключит вас на окно результатов. - Исправлено качество и обрезанный логотип при DPI >= 150 (спасибо за помощь Eduardo и VanGoghGaming). - Удалены посылания на Dr.Web, т.к. компания больше не использует HiJackThis для лечения на форуме. - Мелкие исправления перевода и главной страницы проекта. - Улучшен отладочный режим. [3.2.0.1 Alpha] - 18.09.2023 - [новое] Добавлено определение O7 - Policy: Bitcoin wallet address hijacker is present (без фикса). Выводится, если обнаружен признак подмены адреса крипто-кошелька. - [новое] Добавлена секция O27 - Account и RDP. Описание можно найти в меню Помощь - О программе - Секции. - O7 - Autologon перемещён в O27. - Добавлена пометка "(no fix)" - означает, что фикс элемента не предусмотрен. - Анализатор типа ключей реестра: добавлена настройка "Создать ключ, если не существует" (создаст ключ и сразу удалит его после проверки, если он отсутствовал). - [чистка] O4 - PendingFileRenameOperations (-> DELETE операции) больше не отображаются. - Autobackup registry (ABR) обновлён до версии 1.10. - Удалена рекомендация использовать Uncle Carey's Windows 10 NetFix для фикса O10 - LSP, т.к. утилита стала платной. Для Windows 8.1+ используйте другие средства, например: https://support.kaspersky.ru/common/windows/12378 - Исправлена совместимость с Windows XP. - Windows 2000 более не поддерживается. [3.1.0.2 Alpha] - 19.06.2023 - Инструмент проверки ЭЦП: * добавлены экспертные опции * добавлен фильтр PE EXE (поиск всех файлов, соответствующих формату Portable Executable) - O23 - Driver: Исправлен пропуск сторонних драйверов, подписанных с единственной подписью (от Microsoft). - O23 - Driver: Если сторонний драйвер подписан только Microsoft, к пометке будет добавлено поле "CompanyName" из свойств файла. - Принудительный запуск в режиме "Additional Scan", если до этого использовался HJT v3.1.0.1 или ниже. [3.1.0.1 Alpha] - 17.06.2023 - Добавлено обнаружение O4 - Active Setup (спасибо regist). - Добавлена пометка (+safe mode) для служб и драйверов, которые запускаются в безопасном режиме. - Добавлен вывод в лог имени подписавшего файл; все подробности можно прочитать в доп. справке: https://www.safezone.cc/threads/dopolnenie-v-rukovodstvo-po-hijackthis.27470/post-333487 - Инструмент проверки ЭЦП: * добавлено поле "Root Issuer" - имя издателя корневого сертификата. * добавлено поле "Signer name (friendly)" - имя подписывающего, как оно выглядит в окне свойств explorer. * добавлено поле "API error code" - GetLastError функции верификации. Не стоит полагаться на этот код, как результат проверки. * исправлено множество ошибок. - Оптимизация кода проверки существования файла. - Поддержка Ctrl + A для выделения всего текста в полях ввода. - Исправлено: порча данных во время копирования/вставки текста в поля ввода при отличающейся раскладке клавиатуры. - Исправлено: в O23 - Drivers некоторые пути указывались с неверным переадресатором. - Исправлено: пропущенные -32 префиксы у некоторых секций. - Для O10 LSP Fix под Windows 8+ рекомендуется использовать утилиту Uncle Carey's NetFix. - Пополнен список соответствий хорошо известных DNS адресов для O17. - Заблокировано случайное закрытие окна пользователем в случае подлага (спасибо The Trick). - Установщик: Добавлены ярлыки "Руководство пользователя (дополнение)" и "Registry Key Type Analyzer". - Авто-обновление: доработана установка HiJackThis при поставке с несколькими файлами. - Авто-обновление: исправлено несколько ошибок при установке HJT в другую папку ключом /instDir (спасибо de-served). [3.0.0.6 Alpha] - 04.06.2023 - Борьба с ложными детектами антивирусов: * Зашифрованы строки с ключами Windows Defender * Откат оптимизации CopyBytes, потому что эту функцию не любит Avira :( * Временно переключились на легитимный сертификат, у которого почти истёк срок годности - Релизная ссылка GitHub заменена на статическую к стабильной версии 2.x, которая не будет обновляться. [3.0.0.4 Alpha] - 03.06.2023 - Добавлен таймаут ожидания BitsAdmin (спасибо Sandor) - Улучшена совместимость с ПО AutoLogger (спасибо regist) - Добавлены новые ключи O7 - Policy - Доработан вывод Boot Mode (отображается только, если включено и поддерживается железом и ОС): * добавлено состояние Secure Boot (спасибо Казакевич О.) * добавлено состояние Test Signing * добавлено состояние Debug Mode * добавлено состояние Hypervisor enforced Code Integrity (HVCI) - Добавлено контекстное меню Скопировать => Хеш файла [3.0.0.3 Alpha] - 01.06.2023 - Добавлено определение O7 - Account: UAC - Добавлено O7 - Policy: *\..\Policies\Explorer\DisallowRun: Fix all - фиксит сразу все строки DisallowRun и устанавливает параметр DisallowRun в 0. - Отображение типа аккаунта в AutoLogon. - Исправлено: для потерянных системных файлов не выполнялся SFC. - Исправлено: через контекстное меню не копировалось имя файла, если "File missing". - Исправлено: DisallowRun отображал неверное состояние. - Доработан Regexp в Registry Key Type Checker; поправлена ошибка с выбором полей. - Исправлены ложные срабатывания Additional подсекций. - Поправлена пометка Boot mode: Safe Boot ("с поддержкой сети" или "без" пишется всегда). - Добавлен класс DataChecker, позволяющий проще формировать правила определений. - Смена дизайна: * изменения формата текста * Кнопка "Ничего из этого, просто запустить программу" переименована в "Настройки" * Удалена галочка "Не показывать главное меню после запуска программы" * Поддержка DPI у логотипа [3.0.0.2 Alpha] - 29.05.2023 - Ситуация в Украине: сирены, сирены, сирены == бессонница. - "Дополнительное сканирование" включено в настройки "по-умолчанию". - O7 - Taskbar policy: добавлено NoViewContextMenu, NoSecurityTab - Добавлено отображение типа аккаунта текущего пользователя: Local/Microsoft/ActiveDirectory/AzureAD/Internet (Windows 8 и выше). - Зачистка ключей-симлинков (источника). - Лучше качество иконки панели задач. - Исправлены отсутствующие иконки меню при выборе языка с юникодными символами. - Поддержка юникодного текста для системного меню (пока без контекстного). [3.0.0.1 Alpha] - 26.05.2023 - Всех нахер, манифест на гитхабе: https://github.com/dragokas/hijackthis - Без грёбаного релиза Основное: - Программа переименована в HiJackThis+ (Плюс), чтобы обозначить конкретный продукт, не имея путаницы с другими форками: * запланирован плавный переход от stand-alone exe версии до версии с несколькими файлами * программу больше нельзя будет запускать из архива напрямую * часть модулей запланирована для переноса на C++ с обеспечением многопоточности кода - В связи с нарушением центрами сертификации EU GDPR, не желающими убирать персональные данные из сертификата, чрезмерной стоимостью, а также войной на Украине, сертификат ПО не будет продлён: * при запуске программы имя издателя будет выводиться как "Неизвестно" * программа будет снабжена само-подписанным сертификатом на имя Alex Dragokas * вы можете самостоятельно добавить этот сертификат в корневое хранилище Windows, чтобы продолжать видеть имя издателя в окне UAC. Инструкция: https://github.com/dragokas/hijackthis/wiki/How-to-add-HiJackThis-root-certificate Новое: - Добавлена секция "B" - (Браузеры); в стадии разработки; в данный момент поддерживается вывод/фикс подозрительных расширений Google Chrome. - Добавлен инструмент "Анализатор типа ключей реестра" (можно увидеть симлинки, тип редиректора (наличие WOW компаньона и его тип: Share/Reflected/Обычный ключ), виртуализации, флаги, дату и прочее). Будет полезно исследователям и разработчикам. Функционал: - Добавлены новые пометки: * "(missing)" - отображается у отсутствующей записи реестра, будь то параметр или ключ. * "(access denied)" - отображается в случае отсутствия прав доступа к объекту. * эти пометки планируется расширить для работы во всех секциях, но в данный момент это работает только в O7 [TamperProtection]. - x32 ключи (секции "-32") теперь отображаются с нормализованным путём (указывается \Wow6432Node\, где не сокращённая запись лога). Также, полный ключ можно увидеть через контекстное меню "Прыжок". Баги: - Исправлен Digital Signature Checker: мог выдавать неверные (за-кешированные) данные для некоторых полей из-за ускорения обработки. [2.10.0.31] - 06.05.2023 - Исправлена потенциальная ошибка при получении путей к исполняемым образам на Windows 8.1- из-за бага в ОС (спасибо HackerVlad). - TamperProtection будет показывать код ошибки вместо числа 0, если получен отказ в доступе. - Исправлено подвисание на 15 сек. в Windows 10+ при проверке BITS. [2.10.0.29] - 14.04.2023 - Добавлен O7 - AutoLogon. - O7 - TroubleShooting (EV): для [PathExt] и [PSModulePath] изменён метод проверки на "Missing list", т.е. элемент выводится только, если не хватает системной записи по умолчанию. - Исправлено переполнение в классе таймера (спасибо Mikle Quits). - Исправлен пункт "Найти в Google". - Некоторые оптимизации скорости. [2.10.0.28] - 02.03.2023 - Исправлен баг с прогресс-баром (спасибо @Yashil06 за извещение). [2.10.0.26] - 13.02.2023 - Исправлена перезагрузка системы на Windows 11. [2.10.0.25] - 14.01.2023 - Исправлено зависание при исправлении O7 - TroubleShooting: (EV). - Обновлены белые списки Windows 11. - Добавлено определение политик Windows Defender и восстановление провайдеров AMSI. [2.10.0.24] - 11.01.2023 - Исправлена работа списка игнорирования при включённой опции "Расчёт контрольной суммы" (спасибо Gordon-Dry за извещение). [2.10.0.23] - 03.09.2022 - Контекстное меню: добавлена кнопка "Копировать" - "Аргумент файла". - Поиск: сохранение последней искомой фразы после закрытия программы. - Сканер ADS: исправлена работа кнопки "Обзор" (спасибо Alexyz21 за извещение). - Менеджер деинсталляции программ: исправлено расположение кнопки "Удаление программ". [2.10.0.22] - 29.08.2022 - Инструмент проверки ЭЦП: Новые кнопки "Добавить папку" и "Очистить список". - Поправлены переводы. [2.10.0.21] - 28.08.2022 - Добавлены сведения о свободной физической памяти и общей нагрузке на центральный процессор*. * На слабых процессорах данные о нагрузке могут быть завышены. - Урезаны метаданные иконок, которые обнаруживались правилами Yara (VT). - Исправлены шаблон Hosts и его ACL права до эталонных. - O22 - добавлены префиксы -32 для 32-битных заданий в 64-битной ОС. - Инструменты=>Разблокировать файл/папку: Улучшена рекурсивная процедура сброса прав. [2.10.0.20] - 02.08.2022 - Выполнено несколько исправлений AppLocker (спасибо regist за отчёты, аналитику и поддержку): - O7 - AppLocker: добавлено определение правила "ManagedInstaller". - O7 - AppLocker: исправлено hash правило, которое отображалось в виде одной записи, вместо нескольких. - O7 - Applocker: улучшена процедура "Fix all". [2.10.0.19] - 24.07.2022 - Обновлён белый список служб. - Некоторые корректировки в O4, чтобы охватывать большее число случаев при отображении постфикса "(Microsoft)". - O22 - Tasks_Migrated: добавлено определение мигрированных заданий. - O22 - Tasks: добавлено определение заданий в SysWow64. - O22 - Tasks: исправлено неверное декодирование не-англоязычных символов xml парсером. [2.10.0.18] - 28.05.2022 - Вернули потерянные кнопки в Менеджере Удаления ^^ - Исправлена испорченная функциональность O1 - Hosts (спасибо Boxersteavee за уведомление). - Улучшена скорость чтения Hosts файла. - Улучшена скорость экспорта реестра. - [Бэкап] Улучшена скорость и надёжность расчёта CRC32. [2.10.0.17] - 07.04.2022 - Добавлены новые сертификаты Microsoft. - Files unlocker: Добавлены кнопки "Добавить файл(ы) / папк(и)". [2.10.0.16] - 12.01.2022 - Добавлен перевод на испанский язык (спасибо Andago). - Добавлен ключ /LangSP - принудительный запуск с испанским языком интерфейса. - Поправлены размеры форм для лучшего согласования с переводом. - Небольшие правки переводов на RU/UA/FR. - Обновлена ссылка пожертвования средств для Merijn Bellekom в инструменте StartupList. - StartupList (и HJT): исправлен пункт контекстного меню "Показать файл" - не работал с файлами в System32. [2.10.0.14] - 26.12.2021 - O22 - BITS: Исправлено выбрасывание ошибки при отсутствии URL (Спасибо @Sandor-Helper за отчёт). - Обновлены сертификаты. [2.10.0.13] - 02.12.2021 - Исправлено потенциальное падение из-за неверного размера буфера в перекодировщике (спасибо @thetrik за замечание). - Добавлен отсутствующий перевод. - Исправлен размер шрифта на некоторых контролах. - [Проверка обновлений] Исправлен возвращаемый код ошибки. - Описания системных кодов ошибок теперь будут отображаться на выбранном языке. - [Менеджер деинсталляции] Исправлен двойной юникод в отчёте снимка реестра не некоторых локалях. [2.10.0.12] - 23.11.2021 - Обновлён список сертификатов MS. [2.10.0.11] - 21.11.2021 - Улучшение логирования ошибок. [2.10.0.10] - 14.10.2021 - Добавлено определение Windows 11, Windows Server 2019, Windows Server 2022. - Добавлена DisplayVersion в дополнение к ReleseId, где это возможно. - O22 - Tasks: пополнены белые списки. [2.10.0.9] - Переведён в статус: стабильный релиз. - O26 - Исправлены ложные "file missing". - O7 Policy - добавлено больше ключей для определения DisableTaskMgr. [2.10.0.8 beta] (Nightly) - 16.03.2021 - Ещё больше очистки кода. - Улучшен фильтр по белым спискам O22 - Bits. [2.10.0.7 beta] (Nightly) - 20.02.2021 - Добавлен новый инструмент 'Разблокировка файлов' (см. меню 'Инструменты' (Tools) => Файлы => Разблокировать файл / папку). - Глобальная чистка кода и оптимизация (спасибо LaVolpe и его инструменту 'Project Scanner'). - Исправлены некоторые ошибки. [2.10.0.6 beta] (Nightly) - 12.02.2021 - Исправлено: деинсталляция HJT удаляла не все ключи. - Исправлено: проводник перезапускался в 'Ограниченном режиме' после фикса O21. - Исправлено: ложные срабатывания O26 - Tools. - Горячие клавиши: 'Ctrl' + 'Колесико мыши' для изменения размера шрифта в окне результатов сканирования. - Ещё больше оптимизаций. [2.10.0.5 beta] (Nightly) - 08.02.2021 - Окно поиска: добавлена опция для поиска в режиме фильтрации (только для окна результатов проверки). - Окно поиска: добавлена опция для автоматической пометки всех элементов в режиме фильтрации. - Окно поиска: опции теперь сохраняются по нажатию на кнопку с дискетой. - Исправлено выбрасывание ошибки при выходе из программы после исправления элементов. - Улучшен парсер аргументов пути. - Улучшен сброс прав на файл/папку. [2.10.0.4 beta] (Nightly) - 07.02.2021 - микро-оптимизации. [2.10.0.3 beta] (Nightly) - 05.02.2021 - Все префиксы HKU\.DEFAULT заменены на "HKU\S-1-5-18". - O4 - Run* - теперь также содержит постфикс с именем пользователя и для служебных Sid. - O7 - Policy: исправлена пометка состояния элементов DisallowRun. - Исправлено определение юникодных строк в локали US. - Исправлена отсутствующая функция восстановления из резервной копии ABR. [2.10.0.2 beta] (Nightly) - 03.02.2021 - VirusTotal: добавлена совместимость с Windows XP SP3 (спасибо @wqweto за помощь). - Исправлена ошибка в проверке O21 (спасибо @Sandor-Helper за отчёт). - Исправлен BSOD в фиксе AppLocker, вызванный MS GPUpdate. Вместо него будет предлагаться перезагрузка. - Исправлена ошибка в хешировании резервной копии во время фикса элементов (спасибо regist за тестирование). - Обновлены сертификаты (спасибо @akokSZ за отчёт). - Улучшен сброс ACL, больше не будут использоваться icacls.exe / takeown.exe. - Исправлена возможность восстанавливать элемент, даже если системе резервного копирования не удалось получить хеш файла. [2.10.0.1 beta] (Nightly) - 01.02.2021 Добавлены новые обнаружения: - O4 - некоторые новые места и улучшенные фиксы. - O5 - Applet: определение сторонних и подменённых элементов панели управления. - O7 - AppLocker: * ОБРАТИТЕ ВНИМАНИЕ!!! Applocker по умолчанию находится в режиме белого списка: всё, что явно не разрешено - запрещено. * Если вы удалите правило "(allow)", это конкретное приложение/папка будет заблокирована, пока вы не удалите все правила. * Для удаления всех правил сразу, лучше воспользоваться специальной строкой "O7 - AppLocker: fix all" - O7 - KnownFolder: определение и исправление подменённых расположений "Хорошо известных папок". - O7 - TroubleShooting: добавлены новые переменные. - O22 - BITS Job: определение чужих заданий службы обновления Windows. - O22 - Tasks: (damage) подсекция добавлена для определения повреждённых и мусорных заданий таких типов: * (user missing) - когда пользователь/группа удалены; * (no xml) - когда xml файл задания не существует; * (key missing) - когда ассоциированный ключ реестра не существует; * (no key) - когда отсутствуют ссылающиеся на задание ключи; * (empty) - когда папка задания или ключ содержит пустую запись; * Не проверяются: целостность xml/CRC, параметры "DynamicInfo / Triggers". Интерфейс: - Добавлена возможность помечать сразу несколько элементов для исправления с помощью 'Shift + ЛКМ'. - В контекстное меню результатов проверки добавлена категория "Копировать" с множеством вариантов (спасибо @thetrik за помощь с буфером обмена). - В контекстное меню результатов проверки добавлена категория "VirusTotal" с вариантами проверки файла/URL по хэшу и загрузки файла через SysInternals Autoruns. Отчёт: > Основной: - Сортировка теперь выполняется в правильном алфавитном порядке + увеличена скорость. - O4 - Startup подсекции переименованы для улучшения сортировки. > /Area:Environment: - Добавлен отчёт реестра "User Shell Folders" и "Shell Folders" в дополнение к отчёту на базе CLSID. Почему? Потому что Microsoft не следует их собственным 'Лучшим практикам', описанным на MSDN. > Модули "Check Browsers' LNK" и "ClearLNK": - Убран запрос на "Разрешение закачки...", когда в настройках "Обновлений" выбран тихий режим. - Добавлена функция авто-обновления (каждый раз, когда вы запускаете этот инструмент) - но не чаще 1 раза в месяц. - Введена строгая проверка ЭЦП файла перед его запуском. - Инструменты теперь будут скачиваться в подкаталог \Tools\Scan директории HiJackThis или установочной, если таковая выполнялась. Другое: - O4 - исправлено чтение папки автозапуска других пользователей; добавлен постфикс с именем пользователя в лог. - O25 - исправлена редкая ошибка при подключении к WMI. - Обновлён и улучшен механизм проверки по списку LoLBin. - Улучшены функции работы с реестром. - Исправлено освобождение буфера (ILFree => CoTaskMemFree). - Явно разрешены просроченные сертификаты Microsoft (которые без штампа времени). - Обновлены белые списки O2, O22, O23. - Добавлен ключ командной строки /skipErrors - не отображать ошибки и не записывать предупреждения и ошибки в отчёт. - Добавлен ключ командной строки /sha256 - вычислять SHA256 хэш файлов. - Исправлен прогрессбар для хэша. Инструменты: > Пакетная проверка ЭЦП: - Улучшена скорость, сортировка, добавлены колонки - Сертификат "Действителен с" ("Valid From"), "Действителен до" ("Valid Until"); обмен местами "File Name" и "File Path". > Менеджер деинсталляции программ: - Исправлена кнопка "Деинсталлировать программу" - не всегда работала. > Менеджер процессов: - Кнопка "Сохранить" вызывает авто-обновление списка процессов. Особые благодарности Sandor и regist за образцы, тестирование и предложения. [2.9.0.29] - Oct 23, 2020 - Улучшения безопасности. [2.9.0.27] (Nightly) - 01.09.2020 - [*New*] Добавлена подсекция O26 - Tools: * подмены различных инструментов, запускаемых пользователем вручную, будут обитать там. - [*New*] Добавлено определение Backdoor-а загрузочного экрана (Accessibility tools) - O26. - [*New*] Добавлено определение подмены инструментов в свойствах "Мой Компьютер" (Дефрагментатор, Очистка системы, Резервное копирование) - O26. - [Fix] Исправлена критическая ошибка в работе белого списка для служб в 32-битных ОС (спасибо Sandor за извещение). - [Fix] RegJumper не хотел прыгать к родительскому ключу, если цель не существовала. - Registry Key Unlocker: добавлена кнопка "Открыть в Regedit". - Размер и положение окон каждого инструмента, включая главное окно, теперь сохраняются при выходе из программы. - [Limited user] Исправлено падение программы при обновлении HJT из-под ограниченной учетной записи. - [Limited user] Некоторые функции и инструменты HJT заблокированы для ограниченного пользователя. Запускайте утилиту от имени Админа! - [Limited user] Общее улучшение, предотвращающее ложные срабатывания в результатах проверки из-за отказов в доступе. [2.9.0.26] - 05.08.2020 - Добавлена частичная совместимость при запуске от имени пользователя с ограниченными правами. [2.9.0.25] - 02.08.2020 Базы: - Обновлены базы O22, O23 (также по возможности игнорируются MS Office, MS Visual Studio). - O22 - Добавлена возможность анализа rundll32 заданий Microsoft. - Обновлены названия редакций Windows. - Пополнены списки хорошо известных DNS. - Эталонные IE StartPage, SearchPage, Search & Custom Assistant заменены на msn.com либо убраны в связи с битыми ссылками. Функционал: - Добавлена проверка политик скриптов запуска-завершения работы Windows/пользователя. - Добавлено O18 - Printer Port: определение подозрительных файловых портов для Spooler Shadow Jobs (спасибо Alex Ionescu за статью и NickM за помощь с фиксом). - При запросе восстановления из резервной копии ABR, автоматически создаётся новая резервная копия для возможности отката (в т.ч. из незагружаемого состояния). - Добавлен расчёт SHA1 файлов; можно переключиться между SHA1/MD5 в настройках. - Новый ключ: /sha1 - вычислять SHA1 хэш файлов. - Контекстное меню: добавлен пункт "Отключить / Включить" для служб и задач. Исправления: - O22 - добавлена совместимость с заданиями в кодировке UTF16. - Uninstall Manager: Исправлена работа кнопки "Сохранить список" (спасибо Severnyj за извещение). - Улучшены функции лечения ini-файлов, добавлена обработка формата Unicode. - Улучшены функции резервного копирования реестра, поддержка QWord. - Функция получения размера файла иногда возвращала 0 для файлов из System32. - Контекстное меню теперь не блокируется при ReScan. Интерфейс: - Шрифт для результатов сканирования изменен "10" => "9" (Жирный). - Добавлены отступы по левому и правому краях в окнах меню "О программе...". - "О программе" - "История версий": исправлена обрезка конца текста. - Позиция скроллинга теперь не сбрасывается по окончанию сканирования. - Исправлена прозрачность иконки программы. Другое: - Обновлена внутренняя справка по ключам. - Все интернет-ссылки заменены на https. - В критерии проверки добавлен протокол https. - R4 - PendingFileRenameOperations отключена в режиме /startupscan ввиду ложных срабатываний. [2.9.0.23] (Nightly) - 09.06.2020 - Добавлены новые сертификаты - OSinfo: Windows Embedded теперь детектируется и сообщается в лог - OSinfo: имена редакций Windows дополнены - Жесткое правило проверки собственных ключей ком. строки HJT - Исправлена работа списка игнорирования, который ломался при некоторых обновлениях Windows 10 - Некоторые исправления в логике работы интерфейса, перезагрузки, доступа к файлам, поиску путей, описаниях ошибок, закрытию HJT, завершения процессов, анализе ярлыков - Новые приватные ключи ком. строки HJT для меценатов: * Проверка системы в тихом режиме с использованием сторонних инструментов из состава Sysinternals и NirSoft * Автоматическое удаление элементов с определениями на Virustotal * Избирательные хотфиксы в тихом режиме (вроде очистки Hosts, политик, плохих сертификатов и подобного) * Базовый анти-руткит - Добавлены новые публичные ключи ком. строки HJT: * /noBackup - отключает создание резервных копий во время фикса * /install /autostart d:X - установка в планировщик заданий с задержкой запуска на X сек. * /instDir:"PATH" - альтернативный путь для установки HJT (по умолчанию: "%ProgramFiles(x86)%\HiJackThis Fork"). * /noShortcuts - отключить создание ярлыков при установке через /install * /! - останавливает разбор ключей. Все, что находится после: используется в качестве ключей при автозапуске HJT вместо стандартного /startupscan. - Увеличен лимит вывода строк в интерфейсе HJT для O23 - до 750 элементов (по-умолчанию, для других секций - 250). - Добавлена проверка: ...\Policies\Explorer\DisallowRun - O23 - Service Backup: улучшена функция. - O25 - WMI Revert Backup: исправлена функция. - Windows 7 EOS (и будущий Win 8/8.1 EOS) определения добавлены в O22 - Tasks [2.9.0.18] - 14.01.2019 Исправлена ошибка при загрузке HJT из-за несовместимой иконки для 32-битных ОС. [2.9.0.17] - 13.01.2019 Шрифт по умолчанию для списков заменён на "MS Sans Serif", 10pt. Добавлены горячие клавиши Ctrl + F (поиск), Ctrl + A (выделить всё). Улучшена совместимость с 64-битной ОС при открытии файлов для редактирования и окна свойств (в ProcMan, StartupList, ADS Spy). Небольшие правки в французском переводе. Прочие мелкие правки ошибок и интерфейса. Пополнена база сертификатов Microsoft. [2.9.0.16] - 12.12.2018 Исправлено падение программы при разборе испорченных (зашифрованных) job-файлов из-за ошибки в stream reader. Французский перевод обновлён. [2.9.0.11] - 26.11.2018 Доработан скрипт сборки исходного кода проекта (makefile.cmd): - теперь включает компиляцию зависимостей. - собирает проект Chocolatey. - сборка исходников проверена и гарантирована на чистой Windows XP / 7 / 10. Большинство EXE-файлов (вспомогательные зависимости) было удалено из репозитория GitHub из-за ложных срабатываний. Пополнены базы R4. Обновлена информация о пожертвованиях. Знаки оценки качества от MajorGeeks и Softpedia были добавлены на страницу описания проекта. [2.9.0.10] - 23.11.2018 Улучшен перевод на французский. [2.9.0.8] - 19.11.2018 Добавлен перевод на французский (спасибо Colok { Colok-Traductions.com }). Исправлены проблемы с отображением расширенного набора символов кодировки ANSI. Пополнены базы O22, O23. [2.9.0.7] - 16.11.2018 Исправлены ложные срабатывания (например, O26) из-за проблем с очисткой буфера в операциях с реестром. [2.9.0.6] - 09.11.2018 CSV-отчёты теперь открываются в блокноте, если не указана ассоциация. [2.9.0.5] - 08.11.2018 Ускорен анализ O7 - IPSec. [2.9.0.4] - 07.11.2018 Исправлена критическая ошибка при рекурсивном чтении ключей реестра (падение программы при выполнении некоторых видов резервного копирования). Ускорена работа регулярных выражений. [2.9.0.2] - 06.11.2018 Исправлены случаи сбоев при чтении O23 (ошибка: "Ключ коллекции не уникален"). Исправлены проблемы при копировании в буфер обмена. [2.9.0.1] - 20.10.2018 Лог: v Доработан формат строк лога. v Добавлена пометка "Подозрительных объектов не найдено!", если кол-во записей = 0. v Добавлено отображение режима проверки (Scan mode): если включены "Additional scan", "Environment variables", "Ignore ALL Whitelists" или отключены "Processes", "Hide Microsoft entries". Резервное копирование: v Добавлен резервное копирование/восстановление O23, O25. v Восстановление регистрации библиотек. v Восстановление атрибутов файлов и меток времени. v Восстановление исходных прав на файл / ключ реестра (спасибо Казакевичу Олегу за помощь). v Обновлён ABR от Дмитрия Кузнецова до v1.05 (улучшена совместимость с Win10 build 1803). Основное сканирование: v O5 - 'Blocked IE Options' переименована в 'Hidden Control Panel items' - секция расширена для проверки любых спрятанных элементов панели управления; добавлена совместимость с Vista+ v O7 - Добавлена проверка политик NoViewOnDrive, RestrictRun, DisallowRun, NoControlPanel, LockTaskbar, NoDispCpl, NoDrives, DisableTaskMgr. v O7 - Добавлена проверка привилегий DACL некоторых ключей политик и сертификатов. v O7 - TroubleShooting: (EV) - добавлена проверка присутствия важных системных папок в %PATH%. v O10 - LSP: белый список удалён. Проверка осуществляется по ЭЦП. v O10 - LSP: теперь отображает все повреждения цепи и неизвестные провайдеры, а не останавливается на первом найденном. v O18 - Protocols/Filters: критерий проверки заменён на ЭЦП; добавлена проверка подразделов реестра. v O22, O23 - временно добавлены в белый список записи Windows Defender. v O26 - Добавлено обнаружение отладчиков UWP-приложений. Дополнительное сканирование ("Additional scan"): v Добавлена подсекция O23 - Drivers: - список загруженных драйверов. v Добавлена подсекция O23 - Dependency: (экспериментальная), состоит из 3 групп: - Microsoft Service 'X' depends on unknown service: 'Y' - если запуск легитимной службы 'X' зависит от неизвестной службы 'Y' - Microsoft Service 'X' depends on mixed group: 'Y' - если запуск легитимной службы 'X' зависит от "смешанной" сервисной группы 'Y', в которую могут входить как службы Microsoft, так и сторонние. - Microsoft Service Group 'X' contains unknown service: 'Y' - если в состав легитимной сервисной группы 'X' входит неизвестная служба 'Y' (Примечание: некоторые сторонние службы могут вполне легально добавлять свои записи в сервисную группу Microsoft) Сканирование переменных ("Environment variables"): v Добавлен список специальных папок. v Переменные окружения дополнены и разбиты на категории "[User]", "[System]", "[Current process]". Фиксы: v O22 - добавлено удаление исполняемого файла задания (если он не принадлежит Microsoft). v O23 - Добавлена зачистка зависимостей легитимных служб от удаляемой службы. Совместимость: v Добавлена совместимость с DBCS-системами (локале-независимость). v Добавлена совместимость при запуске из контекста Local System: - также в лог будет выводится пометка "<=== Attention! ('Local System' account)". - часть инструментов в этом режиме отключена для безопасности. v Понижена нагрузка на ЦП в режиме "Сканирование при автозагрузке системы". v Диалоговые окна выбора файлов теперь поддерживают x64 битные папки (c:\Windows\System32). v Проверка доступа на запись для нового лога заменена на AccessCheck() API, чтобы предотвратить конфликты с антивирусами. v Улучшена защита от BSOD. Ошибки: v Баг: Исправлены случаи на Win8/10, когда строка O4 помечалась как StartupApproved (отключённая) вместо Run\Run32. v Баг: Исправлено падение при завершении HiJackThis, запущенного из архива. v Баг: Исправлена проблема с логом размером 0 байт, если до этого был запущен StartupList. v Баг: Исправлен отказ в доступе при чтении некоторых заданий (спасибо Sandor за тесты). v Баг: Устранён отказ в работе некоторых функций при установке специфического формата даты в системе. v Баг: Исправлена ошибка с выводом бинарных данных в логе LSP. v Доработано меню "Jump to Registry/File" для O23 и других секций. v StartupList: добавлено отслеживание ошибок в режиме /debug, исправлены ошибки с вылетом (спасибо @Hostn4me за тесты). Проверка обновлений: v Баг: Исправлена проверка обновлений. Программа отвязана от github из-за проблем с https на XP и теперь скачивается с dragokas.com. v Добавлена поддержка прокси (примечание: Socks5 не поддерживается) (спасибо Sandor за тесты). v Добавлена опция "Update to test versions" (Обновлять до тестовых версий - если вы желаете получать самые свежие обновления, не дожидаясь стабильного релиза). v Добавлена опция "Update in silent mode" (Обновлять в тихом режиме - программа автоматически обновится и перезапустится с исходными ключами командной строки). Интерфейс: v Добавлена возможность выбора шрифта (всего интерфейса либо только списков результатов сканирования и полей ввода). v Улучшена навигация по интерфейсу во время сканирования. v Убрана автопрокрутка списка результатов сканирования. v Горизонтальная полоса прокрутки добавляется до завершения сканирования. Перевод: - Завершён перевод на русский язык списка изменений индивидуальных инструментов из 'Misc Tools'. - Добавлен список изменений ProcMan. - Нидерландская часть переведена на английский. - Исправлена орфография украинского перевода. - Обновлён английский текст с проверкой орфографических и грамматических ошибок (спасибо Tanner Helland). Инструменты: v В меню ПУСК добавлены ярлыки на отдельные инструменты и плагины (при установке HiJackThis). v Соответственно, добавлены ключи командной строки: - /tool+StartupList - /tool+UninstMan - /tool+DigiSign - /tool+RegUnlocker - /tool+ADSSpy - /tool+Hosts - /tool+ProcMan - /tool+CheckLNK - /tool+ClearLNK v Uninstall manager (Менеджер удаления программ) обновлён до v.2.0: - изменён интерфейс и формат строк лога. - улучшена поддержка x64. - добавлена метка "Hidden" для программ, которые нельзя удалить через стандартную оснастку в Панели управления. - добавлена метка (no Uninstall command) для программ, у которых отсутствует строка вызова деинсталлятора. - добавлена метка (User: имя пользователя) для программ, деинсталляция которых требует входа от имени другого пользователя. - добавлен прыжок к ветке реестра. - добавлен фильтр по HKCU / HKLM / HKU / Hidden / No uninstall command / Common Software. v Digital Signature Checker (Инструмент проверки цифровых подписей): - Исправлены ошибки "Отказ в доступе" при проверке некоторых файлов, защищённых DACL. - Ускорена проверка системной папки. - Исправлена проблема с отказом работы на Windows 7x64 SP0 и при некоторых других условиях. - Добавлена возможность проверки и отображения стороннего производителя драйверов для Vista+. v ProcMan: добавлена возможность перечислять модули 64-битных процессов. v ADS Spy: добавлена кнопка "Save log..." (сохранить отчёт). v ADS Spy: добавлена поддержка файловой системы ReFS. Руководство: v Завершена работа над обновлённым руководством на русском для форка и для v2.0.5: https://regist.safezone.cc/hijackthis_help/hijackthis.html (спасибо regist) v Обновлена краткая справка для форка (на русском, английском и украинском), доступна внутри программы => "Help" => "About HJT" => "Sections". На английском доступна на сайте: http://dragokas.com/tools/help/hjt_tutorial.html Ключи командной строки: v Добавлены и видоизменены ключи командной строки /Area (старый вариант останется работать для обратной совместимости): - /Area:Processes заменён на /Area+Processes. - /Area:Modules заменён на /Area+Modules. - /Area:Environment заменён на /Area+Environment. - /Area:Additional заменён на /Area+Additional. - Добавлен ключ: /Area+Modules - добавляет список модулей, загруженных процессами. При этом в списке процессов отображаются их PID. - Добавлены ключи: /Area-Processes, /Area-Modules, /Area-Environment, /Area-Additional - принудительно исключают из лога соответствующую секцию, даже если она включена пользовательскими настройками. - Ключи /Area имеют наибольший приоритет перед остальными. v Добавлен ключ /saveLog "Путь" (или /saveLog "Путь\Файл.log") - сохраняет отчёт в указанную папку (и под указанным именем, если расширение указано как .log). v Ключ /silentautolog теперь отображает окно в миниатюрном виде. v Синтаксис всех ключей расширен и теперь позволяет указывать их через дефис, например: -autolog Другое: v Установка HiJackThis Fork теперь доступна из-под командной строки (Chocolatey): 'choco install hijackthis' v Лимит максимального объёма файлов при расчёте MD5 поднят до 100 МБ. Добавлен расчёт MD5 в секциях, где он был упущен. v Пополнены белые списки R4, O4, O7 - Untrusted certificates, O22, O23. [2.8.0.4] - 05.02.2018 Добавлен перевод на украинский язык. [2.8.0.3] - 03.02.2018 Убран вывод отключённых элементов O7 - IPSEC. Улучшена работа опций "Ignore Microsoft entries" и "Ignore All whitelists" при переключении галочки в состояние не по умолчанию. O22 - Task: исправлена ошибка в выводе статуса "(disabled)". [2.8.0.2] - 02.02.2018 Логи: Лог "Environment variables" заменён на вывод полностью всех переменных окружения текущего процесса. O7 - Policy: [Untrusted Certificate] Удалён черный список сертификатов и атрибут "Well-Known cert." Добавлена опция "Additional scan" (по умолчанию, отключена). Включается через настройки File -> Settings Проверка: O4 - PendingFileRenameOperations (перенесёно в "Additional scan") O4 - Autorun.inf (добавлено в "Additional scan") O4 - MountPoints2 (добавлено в "Additional scan") O22 - Task: добавлен атрибут "(activation)" для заданий активации системы. O22 - Task: добавлен атрибут "(update)" для заданий GWX ("Get Windows 10"). O23 - Service: добавлен вывод аргументов. Ошибки: Исправлена ошибка, приводящая к отсутствию списка процессов в XP. Исправлена ошибка при работе с коллекциями, которая могла привести к краху программы. Исправлено несколько ошибок, когда в O23 не попадали вредоносные записи. Исправлено падение программы при попытке закрыть её раньше, чем закончит работу StartupList2. Исправлена работа галочки "Сразу отмечать для исправления всё найденное в ходе проверки" Исправлена ошибка при попытке добавить HJT в автозапуск, если он запущен через меню Пуск, а также на системах XP/2k. Защита: Улучшена защита от удаления системных файлов, если повреждён механизм проверки ЭЦП. Добавлена защита от завершения критически важных системных процессов. Фиксы: O21: добавлен перезапуск Explorer. O4: добавлена заморозка процессов. O22: добавлено завершение задачи. Интерфейс и прочее: Добавлены иконки для инструментов и удалены лишние из ресурсов. Добавлено многоязычное описание в свойства файла (DE/FR/EN/RU). Реорганизовано меню "Misc Tools" (Дополнительные инструменты): - дополнительные настройки перенесены в меню основных настроек; - добавлена секция "Plugins"; - добавлены кнопки "Registry Keys Unlocker" и "Digital signature checker". Основные настройки разделены на категории: - Scan area - Scan options - Fix & Backup - Interface Настройка "Ignore Microsoft files" переименована в "Ignore Microsoft entries" Настройка "Ignore non-standard but safe domains in IE (e.g. msn.com, microsoft.com)" поглощена настройкой "Ignore Microsoft entries". Добавлены всплывающие подсказки к некоторым галочкам. HiJackThis.exe при запуске из архива теперь запрашивает распаковку не в корень рабочего стола, а в его подкаталог "HiJackThis". Ускорена работа программы на сильно загруженных системах в режиме /silentautolog. Добавлены ключи командной строки: /Area:Process - включить в отчёт список процессов /Area:Environment - включить в отчёт переменные окружения /Area:Additional - выполнять "Дополнительное сканирование" (Additional scan) Обновлены белые списки. [2.7.0.29] - 19.01.2018 Унифицированы все секции лога к единому шаблону "Префикс секции-разрядность" - "опционально, имя секции": "улей\..\ключ": "опционально, подраздел" [параметр] = значение "Сжат" лог O7 - IPSec: если в системе несколько идентичных правил. Удалён признак O7 - TroubleShoot: [EV] (environment value is altered) Добавлен признак O7 - TroubleShoot: [EV] (folder is not exist) Добавлен признак O1 - Hosts: is damaged (contains NUL characters only) Попытка фикса строки с легитимным файлом теперь будет вызывать SFC для него. Разбиты на несколько строк с возможностью раздельных фиксов: - O4 - HKLM\..\Session Manager: [BootExecute] - O17 - ... Parameters: [NameServer] (доработан) - O20 - HKLM\..\Windows: [AppInit_DLLs] - O26 - IFEO (global). Добавлен запрет программе на перезагрузку серверных ОС с запросом к пользователю сделать это вручную. Исправлено определение некоторых редакций серверных ОС. Добавлен вывод окна HJT на передний план, как только сканирование завершится. Улучшен поиск файлов по путям %PATH%. [2.7.0.28] - 01.01.2018 Исправлен вылет программы при её завершении. Обновлён и улучшен скрипт запроса нового дампа падения программы: https://dragokas.com/tools/debug/GetHJT_dump.zip [2.7.0.27] - 25.12.2017 O7 - Исправлен вывод имени владельца сертификата. O7 - Добавлен вывод имени владельца для сертификатов, которых нет в базе HJT. O7 - Добавлен пункт "Policy: [Untrusted Certificate] Fix all items from the log", для фикса всех сразу сертификатов в логе, если строк > 10. [2.7.0.26] - 23.12.2017 Пополнен список DNS. O4 - Добавлен вывод папок в каталогах Автозапуска. O2, O3 - исправлена эвристическая чистка. Секция R4 - DefaultScope объединена с R4 - SearchScopes. Мелкие оптимизации скорости работы утилиты. [2.7.0.25] - 17.12.2017 Пополнен список сертификатов XP. [2.7.0.24] - 15.12.2017 Устранена ошибка, когда лог создавался урезанным из-за NUL символов. Удалён Uptime. Завершен перевод списка обновлений на английский язык. Списки обновлений программ HJT, StartupList и ADSSpy добавлены на вкладку меню "Помощь" -> О программе -> История. R4 - SearchScopes: Изменён формат строки лога. [2.7.0.23] - 10.12.2017 O22 - Task: Добавлен разбор файлов .job O7 - Policy: [Untrusted Certificate] - добавлена проверка списка ненадёжных сертификатов цифровой подписи и их анализ. [2.7.0.22] - 09.12.2017 Пополнены белые списки. O17 - Удалён ControlSet[x], на который ссылается CurrentControlSet. [2.7.0.21] - 07.12.2017 Пополнены белые списки. Добавлена полоса горизонтальной прокрутки к окну списка игнорирования. O4 - HKLM\..\FileRenameOperations: отключён вывод записей с отложенным удалением. O22 - Task: добавлена пометка "(telemetry)" для заданий, связанных со сбором статистики и передачи на сервера Microsoft (телеметрия). O22 - Task: убраны пометки "(Microsoft)" у заданий, которые запускаются через хост-процесс (cmd.exe, schtasks.exe и т.п.) Ключ /ihatewhitelists - исправлена работа. Добавлен ключ /default - загрузить настройки по-умолчанию (полезно вместе с /silentautolog на случай, если пользователь самостоятельно изменил настройки). Это не действует на список игнорирования. Добавлен ключ /skipIgnoreList - не загружать список игнорирования Добавлен ключ /timeout:sec, где 'sec' - это кол-во секунд, которое разрешается работать HiJackThis в режиме /silentautolog до аварийного завершения (по-умолчанию, 180 сек.); 0 - чтобы отключить. Добавлено отображение временной зоны. Исправление ошибок в модуле резервного копирования. [2.7.0.20] - 04.12.2017 /silentautolog - исправлена ошибка, когда не создавался лог. O22 - Task: Переработан. Убрана зависимость от службы планировщика заданий. O22 - Task: Добавлена поддержка вывода в лог множества действий для 1 задания. O22 - Task: Добавлена проверка подлинности ComHandler-заданий. O22 - Task: Вывод состояния задания (Running / Ready / Queued) упразднён, оставлено только состояние "Disabled". O22 - Task: Добавлена возможность удалять повреждённые задания. Удалена секция O4 - Autorun.inf: Удалена секция O4 - MountPoints2: [2.7.0.19] - 02.12.2017 Добавлен новый хэш корневого сертификата Microsoft. [2.7.0.18] - 25.11.2017 Добавлена проверка типа виртуализации ключей реестра. Больше не будет дублирующих ключей в логе, если ключ имеет тип 'Shared'. Добавлена универсальная итерация ульев реестра. Теперь все ульи: HKLM / HKCU / HKU (default, SID служб и др. загруженных пользователей) будут проверяться в каждой секции. Добавлен O4 - Win9x BAT: C:\Windows\System32\Batinit.bat Добавлен O4 - Win9x BAT: C:\Windows\WinStart.bat Добавлен O4 - Win9x BAT: C:\Windows\DosStart.bat Добавлен O4 - Win9x BAT: C:\AutoExec.bat Добавлен O4 - WinNT BAT: C:\Windows\System32\AutoExec.nt Добавлен O4 - WinNT BAT: C:\Windows\System32\Config.nt Добавлен O4 - AlternateShell (SafeBoot): Добавлен O4 - ScreenSaver: Добавлен O4 - RunOnceEx: Добавлен O4 - RunServicesOnceEx: Добавлен O4 - Autorun.inf: Добавлен O4 - MountPoints2: Добавлен O7 - Taskbar policy: O16 - Trusted Zone и Trusted IP range: добавлена проверка протокола https. O16 - ProtocolDefaults: добавлена проверка протоколов ldap, news, nntp, oecmd, snews, knownfolder. Добавлен O21 - ShellExecuteHooks: Введён новый постфикс "(folder missing)". Добавлено выделение пункта меню в результатах сканирования по правой кнопке мыши. [2.7.0.17] - 21.11.2017 Добавлена возможность скачать и запустить программы проверки и лечения ярлыков (Check Browsers' LNK & ClearLNK) через меню Tools -> Shortcuts. Ускорено создание больших и отладочных логов (оптимизирован класс конкатенации строк StringBuilder). Ускорено создание больших логов в режиме /silentautolog (записи больше не добавляются в ListBox). Устранёно падение из-за переполнения ListBox в режиме /silentautolog. [2.7.0.16] - 06.11.2017 O17 - DHCP DNS: исправлена ошибка, когда не отображается DNS (кривой код от Microsoft :)). [2.7.0.15] - 03.11.2017 Окна инструментов больше не теряют фокус при наведении мыши на некоторые элементы главного окна. F0, F1 не работал после 2.7.0.1 (исправлено). F0, F1 теперь показывает полный путь к файлу. O1 - ускорен фикс. R1 - для ProxyServer добавлено отображение статуса (enabled / disabled) R1 fix для ProxyServer добавлено отключение прокси. O3 fix - добавлен фикс ключей WebBrowser и ShellBrowser. [2.7.0.14] - 27.10.2017 R3 - Default URLSearchHook is missing: добавлен фикс CLSID R3 - Исправлена ошибка с редиректором. O2 - добавлена проверка ключей HKCU O3 - добавлена проверка ключей HKCU O3 - удалены некоторые белые списки. O3 - добавлена проверка \Software\Microsoft\Internet Explorer\Explorer Bars O8 - добавлена проверка ключей HKLM Улучшена совместимость с Windows 2k. [2.7.0.13] - 25.10.2017 Добавлена анимация прогрессбара в панели задач во время сканирования. Исправлена работа списка игнорирования. Добавлен O4 - HKLM\..\BootExecute Добавлен O4 - HKLM\..\FileRenameOperations Проверка запуска из папки %temp% теперь игнорируется для параметра /silentautolog и других аргументов. Добавлена возможность установить программу в папку 'Program Files' и меню 'Пуск' (File -> Install HJT). Восстановлена функция автозапуска сканирования HJT после загрузки ОС. Добавлена кнопка контекстного меню "Добавить ВСЁ в игнор-лист". Добавлен ключ командной строки /install - установить HJT. Добавлен ключ командной строки /autostart - автозапуск сканирования HJT после загрузки ОС (используйте вместе с /install) Добавлено предупреждение, если у системы устаревший Service Pack. Добавлен прыжок к файлу или записи реестра из меню результатов сканирования (см. по ПКМ, Контекстное меню => Jump to Registry / File). [2.7.0.12] - 07.10.2017 Добавлено определение Revision версии ОС. [2.7.0.11] - 06.10.2017 ЭЦП: исправлена критическая ошибка в работе системы кеширования. Теперь программа всегда будет запускаться с главного меню, если не поставлена галочка "Do not show this menu after starting the program". Раньше 2-й запуск программы приводил к переходу к окну результатов сканирования. [2.7.0.3 - 2.7.0.10] v Добавлено полное резервное копирование реестра: (!) выполняется перед нажатием "Fix Checked" не чаще 1 раза в неделю (!) сохраняется в папку C:\Windows\ABR\<Дата> (!) используется утилита ABR от Дмитрия Кузнецова, так что резервные копии совместимы с UVs. (!) восстановление из резервной копии доступно несколькими способами: - через HiJackThis: Main Menu => List of Backups => выбрать пункт "<Дата>: REGISTRY BACKUP" => Restore. - запустить файл C:\Windows\ABR\<Дата>\restore.exe - через UVs v.4.0.8+ => Меню "Файл" => Восстановить реестр из каталога ... => выбрать нужную резервную копию => Восстановить. - через Windows RE: В командной строке среды восстановления ввести <диск>:\Windows\ABR\<Дата>\restore <диск>: (!) восстановление из резервной копии вызовет перезагрузку ОС без предупреждения. (!) Деинсталляция HJT приведёт к удалению резервных копий из папки C:\Windows\ABR, если они были созданы через HJT. (!) Все резервные копии, старше 28 дней, удаляются автоматически при создании новой резервной копии. (!) Если на диске осталось меньше 1 ГБ свободного места, резервные копии не создаются (!). Вы увидите уведомление в секции O7 - TroubleShoot: Free disk space on C: is too low = NNN MB. [2.7.0.10] - 30.09.2017 Ускорена работа программы на сильно-загруженных системах по ЦП (вследствие майнеров и т.п.) Исправлено падение (clsStringBuilder) [2.7.0.9] - 27.09.2017 Реорганизовано меню, добавлены иконки. Добавлен вывод версии ОС, вшитой в NTDLL.dll, если она отличается от версии, полученной стандартным способом. Добавлен вывод Uptime (длительность работы ОС). Добавлен вывод метки "FirstRun" (yes, если сканирование выполнено первый раз после перезагрузки). Добавлен вывод сообщения, если нарушена целостность программы (например, вследствие заражения файловым вирусом или скачивания сборки HiJackThis с неофициального источника). O7 - TroubleShoot: добавлена проверка наличия на системном диске не менее 1 ГБ свободного места. Фикс вызовет исполнение утилиты Microsoft CleanMgr. O7 - TroubleShoot: [Network] добавлена проверка на пустое имя компьютера, что может привести к неполадкам в сети. Batch digital signature checker: в CSV отчёт добавлено поле "Has internal signature?". [2.7.0.4] - 14.09.2017 Добавлено отображение браузера по умолчанию (для протокола http). [2.7.0.3] - 02.09.2017 O25 - WMI: починены белые списки. O7 - IPSEC: переработан. O17 - Добавлен белый список хорошо известных DNS. R4 - детализация имён параметров; проверка дополнена. ЭЦП: исправлена проверка на Win 7 SP0. Безопасное получение переменных окружения. [2.7.0.1] - 17.08.2017 Программа переведена в статус Pre-Alpha. Значительная реорганизация кода (рефакторинг). Удалён модуль резервного копирования в связи с процессом его полной замены. v Добавлена проверка наличия обновлений через интернет: (!) вызывается из меню "Help" или "Misc Tools" (!) доступна новая опция "Проверять обновления автоматически при запуске программы". v Список игнорирования: ранее нельзя было добавить запись с русскими или юникодными символами. v Добавлены защиты ASLR, DEP. v Ускорено: - проверка ЭЦП. - сохранение огромных отчётов. - O1 - Hosts: если записей больше, чем 40, то в лог попадут все, а в окно результатов скана только первые 20 и последние 20 + пункт "Reset contents to default" - навигация по интерфейсу. v Batch digital signature checker: в CSV отчёт добавлены новые поля: - is PE (является ли файл форматом PE EXE) - Signer name (имя подписанта) - Signer email (адрес электронной почты подписанта) - Catalog path (путь к каталогу безопасности, в котором найден хэш файла) - PE hash (Portable Executable хэш файла) - Algorithm of certificate hash (алгоритм хэша сертификата) - Algorithm of signature digest (алгоритм выборки подписи) - Time Stamp (отпечаток времени подписания файла) v Смена шифрования: - Настройки программы теперь хранятся в HKLM\Software\TrendMicro\HiJackThisFork v O26 - Image File Execution Options: - добавлено детектирование AVRF Hook/DoubleAgent - добавлена проверка улья HKCU и Wow64. v Улучшена совместимость: - Windows Server с Terminal services. - Проверка версии ОС. v Улучшена безопасность: - Заблокировано удаление служб Майкрософт. (!) Теперь системные службы можно удалить только через меню "Tools" => "Delete Service". (!) "Tools" => "Delete Service" теперь позволяет ввести отображаемое имя службы. (!) HTTP ссылки заменены на HTTPS. v Заменены гиперссылки и разбиты по языкам: - для кнопки "Analyze report" - для отправки сообщений об ошибках - списка обновлений - Online Guide в главном меню - Помощь => Поддержка v Добавлены меню: - Help => Support - Help => Users' Manual => Sections' description - Help => Users' Manual => Command line keys v Обновлены GitHub Wiki pages: https://github.com/dragokas/hijackthis/wiki v Открыта общая тема обсуждения для англоязычных пользователей: https://github.com/dragokas/hijackthis/issues/4 v Размер программы: - HiJackThis.exe теперь не упакован в UPX в виду того, что UPX ломает бинарную совместимость при анализе Crash-дампов. [2.6.4.24] - 24.04.2017 Улучшен механизм удаления файла. Добавлена секция O26 - Image File Execution Options [2.6.4.23] - 24.04.2017 Добавлена версия-полиморф. [2.6.4.22] - 23.04.2017 Завершен перевод на русский язык. Завершена ревизия и дополнение во внутреннюю справку программы (Помощь => О программе => Секции). Исправлена ошибка при запуске на носителе, заблокированном от записи. [2.6.4.21] - 17.04.2017 R4 - новый механизм проверки по белому списку Bing. R4 - улучшен fix. O4 - Startup other users: ранее всегда отображалось одинаковое имя папки пользователя. O21 - добавлена проверка ShellIconOverlayIdentifiers. O21 - добавлена проверка ЭЦП для предустановленных dll Microsoft. O7 - TroubleShoot: Новая группа. Выводит повреждённые настройки системы, которые могут приводить к нарушению функционирования ОС. O7 - TroubleShoot: внесена проверка переменных окружения %TEMP%, %TMP%. O2,O3,O22: Улучшена совместимость с x64. Добавлена блокировка интерфейса на время сканирования из автологгера (влияет ключ /silentautolog) [2.6.4.17] - 05.04.2017 Добавлена подсекция R4 - провайдеры поиска (DefaultScope, SearchScopes). Добавлена пометка (lnk is corrupted) для повреждённых ярлыков. Исправлен баг с символом NUL в списке процессов. Проверка ЭЦП дополнена файлами, в описании которых указано, что они принадлежат Microsoft. Bug fix: O22 (file missing), когда запускается через рабочий каталог, или неполный путь в CLSID. Пополнены белые списки O22, O23. [2.6.4.16] - 05.04.2017 Исправлены случаи, когда не удалялись файлы во время фиксов. O22 - Task: Backup временно отключён. [2.6.4.15] - 25.03.2017 O22, O23 - Уменьшено число проверок ЭЦП до минимума, проверка выполняется только для файлов, имеющихся в базе. Служба Windows Defender в лог выводится БУДЕТ. O22 - добавлен вывод пути к файлу для заданий типа ComHandler. O8 - исправлено "file missing" для записей с префиксом file:// Добавлена базовая совместимость с Windows 2000. [2.6.4.14] - 19.03.2017 O2 - не работала проверка х32-битных ключей. O3 - не работала проверка х32-битных ключей. O2, O3 - улучшена зачистка. O23 - FindOnPath R0 - UnQuote R1 - proxy, добавлена HKU\.DEFAULT [2.6.4.13] - 16.03.2017 Усилен вывод отладочной информации. Добавлен ключ /debugtofile - вывод трассировки в файл HiJackThis_debug.log Ключ /debug теперь пишет параллельный лог трассировки в файл HiJackThis_debug.log [2.6.4.12] - 15.03.2017 Добавлено раскрытие переменных окружения для всех секций. [2.6.4.11] - 03.03.2017 O22, O23 - Убраны названия ЭЦП из лога. [2.6.4.10] - 10.03.2017 O22, O23 - возвращены префиксы. O23 - вернул вывод в лог описания службы (когда оно не совпадает с её названием) Процессы - убрана проверка ЭЦП. O8, O12 - строки с "no file" не выводились в лог; также добавлено "file missing". Для всех секций добавлен принудительный перевод формата пути/имени файла 8.3 в полный. Hosts File Editor: починена кнопка "Open in editor" [2.6.4.9] - 03.03.2017 O22 - изменён формат лога: убран префикс; имя файла задания объединёно с путём. O23 - изменён формат лога: убран префикс и описание службы. O23 - добавлена проверка ServiceDll. O23 и процессы: для файлов, не имеющих ЭЦП или чья ЭЦП не проходит проверку, выводится пометка "not signed". Поправлены размеры всех меню с учётом перевода на Русский. Теперь состояние 4 дополнительных настроек на вкладке "Инструменты" будет сохраняться (это: включить в отчёт переменные окружения, рассчитать MD5, игнорировать белые списки и файлы MS). О программе: вкладки "Назначение" и "Авторы" объединены. Проект HiJackThis переименован, убраны все упоминания о Trend Micro, кроме заметки в разделе "Авторские права". [2.6.4.7] - 26.02.2017 ЭЦП: пополнен список центров сертификации Microsoft (спасибо Akok). ЭЦП: В O22 - ScheduledTask добавлен вывод имени, кому выдана ЭЦП, если она легитимна. ЭЦП: К спискам процессов дописывается подтверждённое имя получателя ЭЦП. FS: Полная ревизия файловых редиректоров. Некоторые функции не могли получить доступ к Windows\System32; часть утечек могли влиять на отказ проверки ЭЦП. FS: Минимизировано кол-во вызовов файлового редиректора. Добавлено раскрытие цели LNK для O4 - MSConfig\startupfolder Изменён формат вывода O23 - Отображаемое имя службы - HKLM\..\имя ключа - путь к файлу (имя, кому выдана ЭЦП, если она легитимна) (file missing, если файл отсутствует на диске) Изменён способ проверки присутствия файла на диске. "File missing" не будет отображаться для файлов, к которым заблокирован доступ. Добавлено кеширование проверки присутствия файла на диске. Исправлен порядок поиска исполняемых файлов. Добавлен режим записи трассировки выполнения функций в лог - запускается переименованием файла в HiJackThis_debug.exe или ключом /debug Инфо об ОС: для win10 добавлен вывод ReleaseID. Во внутреннюю справку "Help -> About program -> Section" добавлен вывод подробного описания каждой секции. ADS Spy: добавлена частичная поддержка юникодных имён ADS Spy: исправлена циклическая проверка на симлинках ADS Spy: добавлена поддержка х64 битных ОС ADS Spy: добавлен вывод содержимого потока по двойному клику ADS Spy: исправлена ошибка с открытием файла для просмотра потока ADS Spy: пополнен белый список [2.6.4.6] - 22.02.2017 O18 - исправлено получение пути к файлу. O23 - не всегда раскрывалось отображаемое имя службы при чтении из ресурса dll. [2.6.4.5] - 16.02.2017 Исправлены ошибки в модуле проверки ЭЦП. Программа могла зависать (в основном на XP). Убраны пометки <-- Attention у заданий с отсутствующим объектом. Более детализированный прогрессбар. [2.6.4.4] - 12.02.2017 [O22] Секция "задания" дополнена проверкой ЭЦП. [O22] Исправлена ошибка с белым списком заданий. Процессы Microsoft помечаются после успешной проверки ЭЦП. [O4] Строки с не-системными SID дополняются расшифровками реального имени пользователя. [O4] Добавлены пометки "file missing". [O4] Исправлен баг с проверкой пустых массивов. [2.6.4.3] - 31.01.2017 [R3] Исправлен баг при проверке URLSearchHook. Улучшена поддержка юникодных путей. Исправлена ошибка при фиксе O4 - \..\StartupApproved\StartupFolder [O2] Добавлен запрос принудительного завершения процесса IExplore.exe Добавлена процедура 'мягкого' завершения процесса. [O4] Правка бага получения даты. [O22] Правка в выводе состояния службы для повреждённых заданий. [O22] Повреждённые задания или задания, для которых отсутствует запускаемый файл, будут помечены меткой <==== ATTENTION Улучшена процедура заморозки процесса. [O22] Завершение процесса заменено на заморозку. [O22] Фикс переведён в silent-режим (ошибки не отображаются). [O22] Пополнена база для Windows 10. [2.6.4.0] - 24.07.2016 ADSspy заменён на версию 1.12 Process Manager теперь работает в отдельном окне. Исправлена ошибка при проверке O4 - BootVerificationProgram Расширено описание программы при нажатии кнопки меню Help -> About и Info... в окне сканирования. Теперь разбито на вкладки "Секции", "Ключи", "О программе", "Автора", "История". O17 - Fix: Добавлен сброс кеша DNS. Через внешние языковые файлы теперь можно изменить практически любой текст. Поправлен перевод на русский язык. Добавлена коррекция CRC лога. Правки ошибок при переходе между меню, и других визуальных проблем. O12 Fix - убрано предупреждение закрыть Internet Explorer, если нет ни одного процесса iexplore. O4 - добавлен вывод аргументов цели ярлыка. [2.6.3.0] - 14.07.2016 O14 - iereset.inf Fix портил файл. Исправлено. R3 - добавлены ключи для HKLM, HKU\.Default *New: добавлена функция сворачивания программы в значок в область уведомления (см. настройку в меню Misc Tools -> Main). Меню 'Unlock Registry Key' переименовано в 'Registry Key Unlocker' Кнопка 'Generate StartupList Log' переименована в 'StartupList Scan' Параметры командной строки теперь не зависят от регистра символов. Режим /silentautolog теперь показывает окно с прогрессбаром в процессе сканирования. Добавлен ключ командной строки /noGUI - не отображать окно программы в процессе сканирования. Добавлен ключ командной строки /md5 - подсчитывать MD5 хэш файлов. Добавлен ключ командной строки /StartupList - запускает сканирование StartupList Добавлен ключ командной строки /SysTray - запускает программу свёрнутой в область уведомления. StartupList заменен на версию 2.10. Все ключи командной строки заменены: /showempty - Показывать пустые секции /showcmts - Показывать комментарии в .bat файлах /noshowclsids - Скрыть идентификаторы классов /noshowprivate - Скрыть имена пользователей и имя компьютера /noshowusers - Скрыть записи других пользователей /noshowhardware - Скрыть записи прочих конфигураций оборудования /showlargehosts - Показывать файл hosts даже, если в нём более 1000 строк /showlargezones - Показывать Интернет зоны даже, если в них более 1000 доменов /autosave - Запустить StartupList в скрытом режиме, автоматически сохранить отчет и выйти из программы /autosavepath: - Указать путь к для сохранения отчёта при использовании ключа /autosave. Используйте обрамляющие кавычки для путей со знаками пробела. StartupList: библиотека istrusted.dll заменена на внутренние функции проверки ЭЦП. StartupList: библиотека MSComCtl.dll помещена в ресурсы. Её больше не требуется скачивать отдельно. StartupList: теперь показывает полный список процессов. StartupList: устранен крэш программы при проверке LSP, доработано получение путей к провайдерам. [2.6.2.0] - 09.07.2016 O1 - Hosts: улучшена функция чтения Hosts на системах с активной защитой от записи. O7 - IPSec добавлена (описание ниже). O25 - WMI Events: упрощена и урезана до поиска только актуальной malware (описание обновлено); добавлен whitelist. O22 - Tasks: пополнены белые списки для OS Win XP/Vista/7/8/8.1/10. O4 - убраны ложные записи, которые могли относится к отключенным эл-там автозапуска на Win 8+ O4 - добавлены подсекции: ..\StartupApproved\Run ..\StartupApproved\Run32 ..\StartupApproved\StartupFolder Это аналог MSConfig для Win 8+ (отключённые элементы автозапуска). Общее описание доступно ниже. O4 - добавлена проверка ключей HKCU/HKLM/HKU для: ..\Software\Microsoft\Windows\CurrentVersion\Run- ..\Software\Microsoft\Windows\CurrentVersion\RunServices- ..\Software\Microsoft\Windows\CurrentVersion\RunOnce- ..\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce- ..\Software\Microsoft\Command Processor -> AutoRun O4 - Startup other users: (новая подсекция) - проверка папки "Автозапуск" других пользователей. O4 - MSConfig: переименована в MSConfig\startupreg. O4 - MSConfig\startupfolder: добавлена (отключённые элементы папки "Автозагрузка" WinXP). Убрано мерцание рабочего стола во время скана на некоторых ОС (баг v.1.19). F3 Fix: не работал (баг v.1.20) ALT+TAB теперь переключает к окну активного инструмента HJT вместо главного окна. Добавлен инструмент пакетной проверки ЭЦП и Windows Protected Files. Устранена проблема, когда проверка ЭЦП приводила к подключению к сети Интернет. Упрощена проверка ярлыков. Прогрессбар сделан по всей ширине. Добавлены отсутствующие иконки программы. Убрана информация об OS Product Type и OS Suite Mask. Все упоминания об улье HKUS заменены на HKU. Префиксы -64 удалены. Добавлены префиксы -32 (означает, что ключ находится под переадресацией, т.е. 32-битный ключ в 64-битной ОС). Список резервных копий отсортирован в обратном порядке (начиная от наиболее свежего). Напомню, что в Alpha версии резервными копиями лучше пока не пользоваться, т.к. ревизия этого кода будет проведена только в бета-версии (перед релизом). Fix O2, Fix O3: дополнены удалением ключей HKCU/HKLM для: ..\Software\Microsoft\Internet Explorer\Extension Compatibility\{CLSID} ..\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{CLSID} ..\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{CLSID} ..\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{CLSID} ..\Software\Microsoft\Internet Explorer\ApprovedExtensionsMigration\{CLSID} ..\Software\Microsoft\Internet Explorer\ApprovedExtensionsMigration{CLSID} ..\Software\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID -> {CLSID} [2.6.1.25] - 11.06.2016 O22 - Tasks. Добавлено сканирование вглубь на основе белых списков. O25 - правка ошибок. O4 - для ярлыков автозапуска добавлено распознавание подмены на PE EXE. O4 - переработан (рефакторинг), убран баг с дублированием строк, добавлен ключ: SYSTEM\CurrentControlSet\Control\BootVerificationProgram Улучшена работа со списком игнорирования, исправлены баги, в лог выводится кол-во записей в списке игнорирования, если они присутствуют. В окно сканирования добавлено контекстное меню: Fix checked, Info on selected, Add to ignore list, Search on Google, ReScan. В лог строки будут попадать в юникодном виде (ранее были знаки '?'). [2.6.1.23] - 01.06.2016 Исправлен баг с получением имени компании PE EXE. O4 - теперь отображает полный путь к файлу ярлыка. O23 - добавлен вывод состояния службы. [RS|01234]. S - остановлена. R - любое другое состояние (запущена, в процессе запуска/остановки, защищена). Тип запуска: 0 - загрузочная, 1 - системная, 2 - Автоматически, 3 - Вручную, 4 - Отключена (не отображаются в логе). O23 - исправлен баг, когда не отображался путь к файлу службы. Добавлены настройки: 1. Ignore all whitelists, 2. Ignore Microsoft files (включена по умолчанию). Удалены дополнительные префиксы -32. O17 Check - частично не работал (баг v.1.20) R - добавлен ключ HKLM\SYSTEM\ControlSet001\services\NlaSvc\Parameters\Internet\ManualProxies R - добавлен ключ HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command R - устранено дублирование из-за х64 переадресатора. O1 hosts - поддержка нестандартных переносов строк (спасибо Sandor) Добавлен прогрессбар процесса фикса, а также звуковое оповещение об окончании фикса. [2.6.1.22] - 31.05.2016 Исправлен баг с созданием резервных копий [2.6.1.21] - 30.05.2016 Исправлен конфликт при запуске HJT в системе, где уже работала старая версия (несовместимость криптографического модуля). Исправлен баг с функцией удаления HJT. [2.6.1.20] - 29.05.2016 O4 (msconfig) - улучшено получение даты отключения эл-та автозагрузки. Завершено введение юникода во все функции реестра. Зашифрованы значения в реестре настроек Default Start Page / Default Search Page / Default Search Assistant / Default Search Customize. Эти строки подключены к проверке / фиксу O14 (хотя, в справке было написано, что они уже подключены). Добавлена версия браузера Edge. Скан с расчётом MD5 ограничен файлами размером до 10 МБ, ускорено вычисление MD5, поддержка путей x64. Восстановлена работа прогрессбара / редизайн. Баг: устранен неверный расчёт таймаута ожидания работы процессов, что могло привести к зависанию. Некоторые правки механизма резервного копирования для совместимости с x64. Исправлены баги в O6 Fix, O7 Check. Введены "-32" префиксы (32-битные ключи на 64-битных ОС). R (Check/Fix) - добавлена поддержка x32/x64 ключей, подключена проверка HKUS\.Default, добавлены новые ключи. F2 (Check/Fix) - добавлена поддержка x32/x64 ключей. O9 (Check/Fix) - добавлена поддержка x32/x64 ключей. O11 (Check/Fix) - добавлена поддержка x32/x64 ключей. O12 (Check/Fix) - добавлена поддержка x32/x64 ключей. O13 (Check/Fix) - добавлена поддержка x32/x64 ключей. O15 (Check/Fix) - добавлена поддержка x32/x64 ключей. O16 (Check/Fix) - добавлена поддержка x32/x64 ключей. O17 (Check/Fix) - добавлена поддержка x32/x64 ключей. O19 (Check/Fix) - добавлена поддержка x32/x64 ключей. O20 (Check/Fix) - добавлена поддержка x32/x64 ключей. O21 (Check/Fix) - добавлена поддержка x32/x64 ключей. На текущий момент все секции имеют поддержку скана и фикса ключей обеих разрядностей. Работа резервных копий не гарантируется. [2.6.1.19] - 18.05.2016 С HiJackThis.exe удалена ЭЦП. [2.6.1.18] - 17.05.2016 Добавлена поддержка проверки ЭЦП по SHA256 (Windows 8+), более надежный фильтр в O23. [2.6.1.16] - 11.05.2016 O25 - WMI Events. Добавлено обнаружение постоянных потребителей событий WMI (Check / Fix). Исправлено несколько багов (связанных с сохранением лога, получением свойств файла, заданиями планировщика, интерфейсом, ...) Улучшено завершение процессов. Установлена защита от случайного удаления системных файлов. [2.6.1.15] - 10.05.2016 O1 - улучшена поддержка x64. O1 - отключена сортировка лога. O1 - добавлена обработка Hosts.ICS. Новый префикс: "O1 - Hosts.ICS: ". O1 - добавлено обнаружение подмены DNSApi.dll. Новый префикс "O1 - DNSApi: File is patched - ". Fix производится через подсистему SFC. O1 - добавлена строка лога "O1 - Hosts: Reset contents to default". Появляется в логе при кол-ве записей в Hosts >= 10, либо если размер файла = 0 байт. Сбрасывает содержимое Hosts к стандартному шаблону. Это применимо только к Hosts в папке по-умолчанию. O1 Check - добавлена проверка файла Hosts в папке по-умолчанию. Новый префикс - "O1 - Hosts default: ". Это необходимо, когда путь к Hosts подменён, чтобы не фиксить 2 раза. O1 Check - отключено автоисправление в файле Hosts нестандартных переносов строки при проверке. O1 Fix - добавлены шаблоны стандартного содержимого Hosts (XP / Vista / 7+) O1 Fix - добавлена очистка кеша сопоставителя DNS. O1 Bug: если не закрыть HJT, после фикса пути к Hosts, повторный скан показывал старый путь. O2 Check/Fix - добавлена поддержка x32/x64 ключей. O3 Check/Fix - добавлена поддержка x32/x64 ключей. O2,O3 Fix - Добавлена обработка ключей HKLM\SOFTWARE\Microsoft\Internet Explorer\Extension Compatibility\ LSP Fix - рекомендация использовать LSP-Fix заменена на WinSockReset. R3 Fix - исправлена ошибка, когда нельзя было пофиксить "Default URLSearchHook is missing". [2.6.1.14] - 25.04.2016 Починил O20 (file missing). Починил R3 - Default URLSearchHook is missing. Удален O4 - HKUS\.DEFAULT, т.к. всегда является симлинком для O4 - HKUS\S-1-5-18. Удалена большая часть старого списка белых доменов (R0, R1, O15). Добавлен новый белый список. Добавлены белые списки F2, O9, O11, O18, O1. Улучшена функция получения путей защищенных процессов. Серьёзно пересмотрены все функции работы с реестром, но пока еще не подключены ко всем секциям (в функции создания / изменения/ удаления добавлен сброс прав, исправлены баги, повреждение стека). Во всех секциях (кроме фиксов и резервных копий) жестко установлена разрядность (пока так, скан обеих разрядностей сделаю позже). Исправлен баг с проверкой ЭЦП на XP x64. Исправлены ошибки при запуске программы с переименованным расширением, а также из корня диска. Некоторые сообщения теперь будут на языке, выбранном в системе как язык для диалогов, не зависимо от выбранного в настройках программы (исключение: запуск программы с ключом форсирования выбора языка). В окно с отображаемой ошибкой добавлена галочка "Больше не показывать это сообщение" (Do not show this message again). Такая же галочка добавлена в настройки. Улучшено сохранение настроек. [2.6.1.13] - 22.04.2016 HJT больше не будет останавливаться на первом поврежденном задании планировщика. HJT будет показывать в секции отладки все поврежденные задания (с проверкой вглубь). При ручном запуске сканирования с сохранением лога любые ошибки больше не отображаются на экране (только в логе). [2.6.1.12] - 21.04.2016 Добавлено меню Tools -> Unlock Registry Key O23 Services - Fix починил. Похоже, он в половине случаев вообще никогда и не работал ни в одной версии. Улучшена функция удаления служб. Устранен редкий баг с парсером LNK. Заменен парсер URL. Удален неиспользованный логотип. Добавлена иконка программы для режимов просмотра папки "Крупные значки" и "Огромные значки". [2.6.1.11] - 19.04.2016 O4-64 - теперь показывает 64-битные ветви реестра. O4 всегда показывает 32-битные ветви. O4-64 - добавлена возможность фикса. Улучшена функция разблокировки прав на файл. Добавлена поддержка юникода в имени. Исправлена ошибка, связанная с файловым редиректором на x64. Функции "Delete File on Reboot.." и "Unlock and delete File..." теперь не вызывают диалогового окна, т.к. оно не поддерживает x64. Путь необходимо вводить вручную. [2.6.1.10] - 17.04.2016 Исправлена ошибка с получением списка ключей реестра (функция работала не так, как описано в MSDN). Исправлена ошибка с получением списка задач Планировщика заданий. Добавлен вывод ошибки, если не включена служба Планировщика заданий. [2.6.1.9] - 13.04.2016 Ключ /accepteula - добавлена обратная совместимость со старыми версиями HJT. Починил отображение версии Internet Explorer (сломал, когда первый раз улучшал это в v1.0). Функции удаления файлов теперь усилены сбросом привилегий. Добавлено меню File -> Settings Добавлено меню Tools -> Delete File -> Unlock & Delete File... [2.6.1.8] - 05.04.2016 Добавлены определения редакций Windows 10, SuiteMask (SM), ProductType (PT). Добавлены сведения о языке установки ОС, языке для отображения в диалогах, языке для программ, не поддерживающих юникод. Добавлена информация о наличии повышенных привилегий (Elevation). Добавлено имя пользователя, который запустил процесс HJT (а также группу в которой он состоит) и имя компьютера. Удалены белые списки O17 DNS DHCP. Добавлено меню быстрого доступа - File, Tools, Help Отключена сортировка O1 - Hosts. [2.6.1.7] - 03.04.2016 O2 Fix - предупреждение о необходимости закрыть IE больше не выводится, если он не запущен. O2 Fix - добавлена поддержка систем x64. O2 Check - иногда выдавал "(file missing)", если файл существовал. O9 Fix - улучшен + добавлена поддержка x64. Исправлена ошибка с файловым редиректором. [2.6.1.6] - 02.04.2016 Улучшен парсер командной строки Убраны фильтры DNS DCHP по маске 192.168.*.* (белые только - 192.168.0.1 и 192.168.1.1) [2.6.1.4] - 10.12.2015 O23 - Fix дополнен удалением службы. O23 - усилен обработчик ошибок. O23 - белый список проверки по описанию файла заменен на проверку через ЭЦП. В Silent-режиме ошибки больше не будут помещаться в буфер обмена. Добавлена в лог секция с отладочной информацией. Просьба сообщать о них автору. Добавлено в лог время, затраченное на проверку. [2.6.1.3] - 08.11.2015 O22 - SheduledTasks - Убийство процесса перед удалением задачи. Изменены надписи на некоторых кнопках. Онлайн руководство открывается в зависимости от выбранного языка. O17 - DHCP DNS не будет отображаться, если он передан не через DHCP, а настроен локально. O17 - разбит на первичный/вторичный и т.д. DNS. N1, N2, N3, N4 - отключены. Интерфейс: исправлено наложение надписи в гл. меню/ меню скана. Интерфейс: Отключен автофокус при наведении на текстбоксы. Интерфейс: убран паразитный фокус на кнопке "Проверить" при нажатии на другие кнопки. Интерфейс: 'Менеджер Удаления программ', 'Менеджер Hosts', 'Диспетчер задач' - размеры контролов и др. артефакты исправлены. Расшифрована база данных HJT. Зашифрован список игнорирования HJT. Изменения в окне списка игнорирования теперь сразу записываются в реестр. При удалении HJT также чистится список игнора. Отображение версий модулей StartupList и ADS Spy. Логи части утилит теперь открываются в редакторе по умолчанию. [2.6.1.2] - 31.10.2015 Исправлен баг "Отказано в доступе" в режиме /silentautolog Исправлен крэш при получении DNS роутера Исправлены крякозябры в буфере обмена при отправке репортов об ошибках. O4 - MSConfig - Добавлено лечение (удаление). O4 - MSConfig - Добавлены пометки "(no file)" O4 - Автозапуск - Улучшено удаление O4 - Ярлыки - Улучшено удаление O23 - Добавлено раскрытие имени службы, заданной как строковой ресурс системного файла O22 - SheduledTasks - добавлена совместимость с Windows Vista и выше (проверка задач только в корневом каталоге) [2.6.1.1] - 29.10.2015 - Исправлена возможная ошибка при старте сканирования. Усилен обработчик ошибок. - App paths\HiJackThis больше не будет создаваться. - Отключены стили у CheckBox в Windows XP - Получение DNS Router не работало в XP x64. Была проблема с файловым редиректором. - "Корпорация Майкрософт" добавлено в белый список служб (признак - слова в описании службы). Может, в дальнейшем добавить проверку по цифровой подписи? [v2.6.1.0 Alpha (первый форк от Dragokas)] - 12.10.2015 - основан на официальной невыпущенной в релиз версии 2.0.6 Beta - https://sourceforge.net/p/hjt/code/HEAD/tree/beta/2.0.6/ ---- Больше не будет внутренних ошибок доступа при чтении/записи файлов. Добавлены визуальные стили. Частичная поддержка юникодных путей. Юникодное окно MsgBox. Добавлен переключатель языков в главное меню (английский язык - по-умолчанию; русский и др. языки в виде файлов .lng можно выбрать вручную переключателем) Добавлены ключи командной строки: /langEN - принудительный выбор английского языка интерфейса и /langRU (русского). Также Вы можете переименовать файл программы в "HiJackThis_EN.exe" или "HiJackThis_RU.exe". Эффект будет аналогичен ключам. Добавлен ключ /acepteula - не отображать соглашение EULA (для администраторов). Удален ключ /history модуля StartupList (история изменений перенесена в файл "readme.txt"). Список процессов отсортирован. Одинаковые процессы суммируются -> кол-во выводится в 1-м столбце. Список теперь полный (получение через функцию ядра). Частичный рефакторинг. Значительные улучшения функций получения информации об ОС, окружения, механизма поиска по путям PATH, файлового переадресатора. O4 - частично переработан, добавлен список отключённых элементов MSConfig. O16 - почищен белый список. Улучшения проверки на запуск из-под временной папки. Исправлена ошибка распознавания WOW служб, как x64. Ускорен расчёт MD5. Значительно улучшен менеджер удаления программ. ProcMan - добавлено сохранение списка модулей, загруженных каждым из процессов. Добавлена привилегия отладчика процесса. Полностью переработаны реализации функций работы с реестром. Исправлено множество ошибок, в т.ч. с неверной типизацией данных либо её отсутствием. Улучшены функции получения цели ярлыков LNK/PIF. Улучшено получение информации о версии браузеров IE, Chrome, Firefox, Opera. Добавлены функции разблокировки ACL прав доступа к файлам. Внутрисекционная сортировка отчёта. Добавлена поддержка скроллинга мышью во множестве окон. Центрирование главной формы. ========== Все последующие версии - это Форк от Dragokas ============= [v2.0.6 Beta (r35) - официальная (невышедшая)] - 10.07.2013 * Добавлен O4-64 - Автозапуск через ключи реестра Wow64 * Добавлена проверка версии Opera * Добавлена горизонтальная полоса прокрутки на экран результатов * Исправлено получение версии Chrome в XP/Win7 (modUtils) * Корректное определение версии Windows * Изменён URL, к которому обращается окно креша * Удалён ADS Spy * Удалена проверка URL при нажатии 'Analyze this' * Удалён код проверки версии SpyBot и AdAware [v2.0.5 Beta (r21) - официальная] - 17.05.2013 * Исправлено "No internet connection available", когда нажимаешь кнопку Analyze This * Исправлена ссылка на сайт обновления, теперь направляет вас на проект sourceforge.net * Исправлено отображение полосы прокрутки в безопасном режиме и при низком разрешении * 'стандартный' hosts файл для восстановления не включал записи адресов ipv6 * поддержка новейших версий FireFox [v2.0.4 (r10) - официальная] - 09.05.2013 * Исправлены проблемы с парсером winlogon notify * Исправлены проблемы с обработкой некоторых переменных окружения * Переименование HJT создаёт полный отчёт проверки [v2.00.0 - официальная] * AnalyzeThis добавлен к статистике отчёта * Определение Windows Vista и IE7 * Исправлено несколько ошибок в методе O23 * Исправлена ошибка в методе O22 (SharedTaskScheduler) * Сделал несколько твиков в формате лога * Исправлен и улучшен ADS Spy * Улучшен Itty Bitty Procman (процессы замораживаются перед их убийством) * Добавлено перечисление автозапуска O4 других пользователей * Добавлено перечисление политик элементов автозапуска в методе O4, используемых трояном SmitFraud * Добавлен параметр /silentautolog для системных администраторов * Добавлен параметр /deleteonreboot [файл] для системных администраторов * Добавлено перечисление O24 - ActiveX Desktop Components * Добавлены зоны конфигурации усиленной безопасности (ESC Zones) к проверке безопасных зон O15 [v1.99.1 - официальная] * Добавлены ключи Winlogon Notify в перечисление O20 * Исправлено падение на определённых системах Win2000 и WinXP в перечислении O23 * Исправлено огромное число ошибок 'unexpected error' * Исправлено множество ошибок с неверной работой (например, вещи, которые не работали) * Добавлена функция 'Удалить службу NT' в секцию Misc Tools * Добавлено ProtocolDefaults в перечисление O15 * Исправлено неработающее хэширование MD5 * Исправлен случай, когда не исправлялись записи автозапуска 'ISTSVC' с мусорными данными * Исправлен случай, когда не создавалась/обновлялась запись деинсталляции HijackThis в новых версиях * Добавлен Uninstall Manager в Misc Tools, чтобы управлять списком 'Добавить/Удалить программы' * Добавлена настройка для проверки системы во время запуска, затем отображения результата и выхода, если ничего не было найдено [v1.99 - официальная] * Добавлен O23 (Службы NT) в свете появления новых троянов * В секцию Misc Tools интегрирован ADS Spy * Добавлено 'Действие HiJackThis' в 'Информацию о выбранном пункте' [v1.98 - официальная] * Полная поддержка для японской/китайской/корейской систем * Добавлен O20 (AppInit_DLLs) в свете появления новых троянов * Добавлен O21 (ShellServiceObjectDelayLoad, SSODL) в свете появления новых троянов * Added O22 (SharedTaskScheduler) в свете появления новых троянов * Резервные копии исправляемых элементов теперь сохраняются в отдельной папке * HijackThis теперь проверяет, запущен ли он из временной папки * Добавлен маленький менеджер процессов (в секции Misc Tools) [v1.96 - официальная] * Множество исправлений ошибок и мелких улучшений! Среди прочего: * Исправление для японской панели инструментов IE * Исправление для трюка с фейковым searchwww.com CLSID в панелях инструментов IE и BHO * Атрибуты для Hosts файла теперь будут возвращаться во время проверки/исправления/восстановления. * Добавлено несколько файлов в белый список LSP * Исправлено несколько неполадок с некорректным повторным шифрованием данных, делающим R0/R1 недетектируемыми до перезагрузки * Все сайты из безопасной зоны теперь отображаются за исключением тех, что находятся в списке нестандартных, но безопасных доменов [v1.95 - официальная] * Добавлен к проверке новый параметр от подмены Whazit (Start Page_bak). * Исключён из определения панелей инструментов твик на изменение логотипа IE (BrandBitmap и SmBrandBitmap). * Новое в отчёте: Запущенные процессы во время сканирования. * Галочки для запуска StartupList в режимах /full и /complete в интерфейсе HijackThis. * Новый метод O19 для проверки подмены Datanotary пользовательского стиля. * Google.com IP добавлен в белый список проверки Hosts файла. [v1.94 - официальная] * Исправлена ошибка в функции проверки обновлений, которая могла повредить загрузку на определённых системах. * Исправлена ошибка в перечислении панелей инструментов (Панели Lop теперь отображаются!). * В безопасный список LSP добавлены imon.dll, drwhook.dll и wspirda.dll. * Исправлена ошибка, когда DPF нельзя было удалить. * Исправлена глупая ошибка в перечислении автозапускаемых ярлыков. * Исправлена информация о Netscape 6/7 и Mozilla, где показывалось '%shitbrowser%' (упс). * Исправлена ошибка, когда файл отчёта не открывался автоматически на системах, где не зарегистрировано расширение .log. * Добавлена поддержка резервного копирования для элементов F0 и F1 (ой!). [v1.93 - официальная] * К безопасному списку LSP добавлены mclsp.dll (McAfee), WPS.DLL (Sygate Firewall), zklspr.dll (Zero Knowledge) и mxavlsp.dll (OnTrack). * Исправлена ошибка в ветке LSP для Win95. * Улучшен порядок переключения через tab. * Исправлена ошибка в резервном копировании/восстановлении плагинов IE. * Добавлено определение подмены методом UltimateSearch в O17 (Я думаю). * Исправлена ошибка с определением/удалением BHO, отключённых через BHODemon. * Также исправлена ошибка в StartupList (теперь версия 1.52.1). [v1.92 - официальная] * Исправлены две глупые ошибки в функции восстановления из резервной копии. * DiamondCS файл добавлен в безопасный список LSP. * Добавлено ещё больше элементов в безопасный список протоколов. * Лог теперь открывается сразу после сохранения. * Из списка NSBSD удалён rd.yahoo.com (спамеры начали использовать его, несомненно, авторы шпионских программ последуют этому). * Обновлён интегрированный StartupList до версии 1.52. * В свете SpywareNuker/BPS Spyware Remover, все строки, связанные с реверс-инжинерингом теперь зашифрованы. * Рудиментарная поддержка прокси для функции проверки обновлений. [v1.91 - официальная] * rd.yahoo.com добавлен в список нестандартных, но безопасных доменов. * Добавлено 8 новых протоколов к безопасному списку проверки протоколов, а также отображение файла, который обрабатывает протокол (O18). * В Startup folders (O4) добавлено перечисление программ/ссылок. * Исправлена кнопка 'Check for Update' - не определялась новая версия. [v1.9 - официальная] * Добавлена проверка Lop.com подмены 'Domain' (O17). * Исправление ошибки в URLSearchHook (R3). * Улучшена проверка O1 (Hosts файл). * Переписан код для удаления BHO, исправлено действительно неприятная ошибки с мусорными ключами BHO. * Добавлены проверки AutoConfigURL и proxyserver (R1). * Теперь также определяются расширения IE (Кнопки/элементы меню Tools) в HKEY_CURRENT_USER. * Добавлена проверка дополнительных протоколов (O18). [v1.81 - официальная] * Добавлено настройка 'игнорирования нестандартных, но безопасных доменов'. * Улучшено определение подмены в Winsock LSP. * Интегрированный StartupList обновлён до версии 1.4. [v1.8 - официальная] * Исправлено несколько ошибок. * Добавлено определение free.aol.com в Безопасной Зоне. * Добавлена проверка ключа URLSearchHooks, который должен содержать только одно значение. * Добавлено перечисление/удаление Download Program Files. * StartupList интегрирован в новую секцию 'Misc Tools' экрана настроек! [v1.71 - официальная] * Улучшены определения в O6. * Некоторые внутренние изменения/улучшения. [v1.7 - официальная] * Добавлена функция резервного копирования! Ура! * Добавлена проверка URL префикса по-умолчанию * Добавлена проверка изменений в IERESET.INF * Добавлена проверка изменения домашней страницы и поискового движка по-умолчанию для Netscape/Mozilla [v1.61 - официальная] * Исправление ошибок времени выполнения, когда Hosts файл пуст [v1.6 - официальная] * Добавлено перечисление плагинов MSIE * Добавлена проверка дополнительных опций во вкладках 'Advanced' в 'Настройках обозревателя'. [v1.5 - официальная] * Добавлены функции 'Uninstall & Exit' и 'Проверить обновления онлайн'. * Расширено перечисление автозагружаемых записей реестра (теперь также проверяет .vbs, .js, .dll, rundll32 и службы) [v1.4 - официальная] * Добавлено восстановление сломанного доступа к Интернет (известного как Winsock или фикс LSP) из-за New.Net/WebHancer * Несколько исправлений ошибок/улучшений [v1.3 - официальная] * Добавлено определение элементов дополнительных контекстных меню MSIE * Добавлено определение дополнительных элементов меню 'Tools' и дополнительных кнопок * Добавлена галочка 'Подтверждать удаление/игнорирование элементов' [v1.2 - официальная] * Добавлены функции 'Ignorelist' и 'Info' [v1.1 - официальная] * Поддержка BHO, некоторые изменения в URL по-умолчанию [v1.0 - официальная] * Оригинальный релиз ================================================================== |||||||| 2. StartupList: список изменений ||||||||||| ================================================================== [v.2.10 (первый форк от Dragokas)] * WinTrustVerifyChildNodes. Исправлена ошибка с появлением пустых веток. * istrusted.dll заменена на внутреннюю функцию проверки подписи. * список процессов теперь полный * библиотека MSComCtl.dll помещена в ресурсы * исправлено падение программы при проверке LSP, исправлено получение путей до NS провайдеров. ========== Все последующие версии - это Форк от Dragokas ============= [v2.02] * appinit_dlls в ключе Windows, а не Winlogon * возможность указывать путь для лога через /autosave [v2.01] * текст помощи для ICQ / mIRC * сохранение дерева ноды на диск * mirc для автозапуска сторонних программ * перечисление процессов в winnt4 не работало * текст помощи для: wininit.bak * корневые зоны (мой компьютер / локальный интранет) пустые для других пользователей * зона 0 в перечислении зон * отображение лога предупреждений * кнопка обновления * больше информации об ошибках * прогрессбар для больших hosts / зон * mnuPopupCopyTree * пропускать большие файлы hosts и зоны, ключ командной строки * улучшена работа контекстного меню ноды [v2.00] * Проверено, чтобы все вещи можно было увидеть при bShowEmpty * Пользовательские Software \ DisabledEnums \ Zones являются пустыми, должно работать (win98) * Кнопка для прерывания проверки / сохранения лога? * HKLM \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal и Network (службы) * HKLM \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot, AlternateShell * службы VxD для других конфигураций оборудования * Если wmi не работает -> вместо имени пользователя будет SID * Версии Windows в modHelp.bas для секций * Отслеживание принтеров * Перечисление XP Security для других пользователей * Перечисление политик для других пользователей * Перечисление зон: корневые значения ZoneMap \ Domains * Центр безопасности Windows XP * SOFTWARE \ Microsoft \ Security Center * Software \ Microsoft \ Windows NT \ CurrentVersion \ systemrestore * исправлена ошибка при перечислении зон, когда отсутствовал ключ ZoneMap (HKCU / HKLM / HKUS) * Исправлен случай, когда Win2003 Small Biz распознавался как WinXP 64-бит * дубликаты процессов / записи модулей в win9x * отключённые элементы контекстного меню * dll модули, загруженные запущенными процессами? * использовал код marcin-а для прыжка к реестру * прыжок к реестру - иногда не работает? * Подразделы политик? * Текст со справкой * Triage [v1.52] * Исправлена глупая ошибка 'Bad filename or number' в автозагрузке (надеюсь) * Исправлено две ошибки в функции, которая читает настройки из .ini файлов * Добавлено ещё два файла в безопасный список проверки LSP files (Сетевой экран MS и DiamondCS) * Исправлена ошибка, когда не определялась модификация строки Shell в XP (среди прочего, эта БОЛЬШАЯ ошибка затронула два раздела * Добавлено перечисление значений в ключе ShellServiceObjectDelayLoad [v1.51] * Добавлен ключ: /full, который будет показывать некоторые менее важные секции, ранее остававшиеся скрытыми: Stub Paths, проверка Explorer, Config.sys, Dosstart.bat, суперскрытые расширения, Regedit.exe, службы WinNT, службы VxD в Win9x * Строки в BAT файлах с 'ECHO' и '>' теперь отображаются * скрипты Logon/logoff в Windows NT теперь перечисляются (новая секция) * Рудиментарная проверка PendingFileRenameOperations в NT, расположенная в секции выше. Также проверка BootExecute перемещена в эту секцию [v1.5] * Добавлено больше файлов в безопасный список проверки LSP * строки с REM/ECHO в .bat файлах перечисляются только с ключом /complete * Проверка Policies\System\Shell= а SYSTEM.INI * Добавлено перечисление служб Windows NT/2000/XP (только с ключом /full) * Также перечисление служб Vxd в Windows 9x (только с ключом /full) [v1.4] * Добавлено перечисление провайдеров Winsock LSP * Исправлена ошибка с загрузкой ключа в NT [v1.35] * Исправлена ошибка, когда некоторые элементы не появлялись в NT/2000/XP. * Проверка Regedit сделана более гибкой. [v1.34] * Добавлено перечисление строк drivers= из system.ini * Немного больше секций теперь прячется, если там нет ничего интересного * В перечислении Stub Paths теперь отображаются отключённые элементы * Исправлено несколько ошибок * Обход проблемы с ошибкой в Atguard 'From:' :) [v1.33] * Исправлены некоторые неверные ошибки. * Добавлено отображение версии MSIE. [v1.32] * Исправлено несколько ошибок. Вот собственно и всё. :) [v1.31] * Наконец-то добавлен альтернативный (и лучший) метод для перечисления процессов в Windows NT/2000/XP (для NT4 нужен PSAPI.DLL) * Улучшено извлечение имени файла из ярлыков - StartupList не имеет возможности извлекать имена со 100% гарантией * Дата создания теперь отображается для Wininit.ini и Wininit.bak * Добавлена проверка Regedit * Добавлено перечисление BHO * Добавлено перечисление задач Планировщика заданий * Добавлено перечисление 'Download Program Files' (также известных как объекты ActiveX) [v1.3] * Добавлен параметр /html, для отчёта в формате HTML * Множество оптимизаций производительности, более читабельный код (как ты заботишься :) * Также некоторые мелкие обновления/твики [v1.23] * Теперь также перечисляет WININIT.BAK (последний WININIT.INI) [v1.22] * Проверка System.ini сделана платформо-независимой (была только для Win9x) * Целевой файл и путь теперь извлекается из перечисления ярлыков * Исправлена серьёзная ошибка - GetWindowsVersion не запоминалась, подставлялась WinNT [v1.21] * Исправлены некоторые ошибки для WinNT * Немного улучшена проверка Explorer.exe в WinNT [v1.2] * Добавлен автозапуск "только WinNT" * Добавлена проверка версии Windows * Добавлены параметры командной строки /verbose, /complete, /force9x, /forcent и /forceall [v1.1] * Добавлено перечисление RunOnceEx [v1.0] * Исходный релиз ================================================================== |||||||| 3. ADSspy: список изменений ||||||||||| ================================================================== [v1.13] (первый форк от Dragokas) * Добавлена частичная поддержка юникода * Исправлен бесконечный цикл при проверке симлинков * Добавлена проверка 64-битных ОС * Добавлено отображение содержимого файловых потоков при двойном нажатии на них * Исправлена ошибка 'cannot open file' при попытке чтения содержимого потока * белый список пополнен потоками :Win32App_1:$DATA и :favicon:$DATA ========== Все последующие версии - это Форк от Dragokas ============= [v1.12] * Добавлен Q30lsldxJoudresxAaaqpcawXc в безопасный список. [1.11] - 05.02.2006 * Исправлена ошибка, когда можно было найти только максимально 72 потока на один файл, а остальные игнорировались. Увеличен буфер, чтобы позволить обработку максимум 7000 потоков. [v1.10] - 17.12.2005 * Немного изменён интерфейс. Добавлена настройка для проверки только выбранной папки. [v1.09.2] - 30.11.2005 * Корневая папка не проверялась на потоки. Добавлено. [v1.09.1] - 14.08.2005 * Исправлена ошибка, когда GetVolumeInformation возвращала неверную информацию, если в пути к диску отсутствовал обратный слеш. [v1.09] - 15.07.2005 * Исправлена ошибка, когда ADS Spy отказывался запускаться, когда дисковый том с Windows был не NTFS, даже если остальные тома были NTFS. [v1.08] - 11.01.2005 * ? [v1.07] - ??.09.2004 * Номер версии теперь отображается в заголовке окна. Кнопка проверки теперь изменяется на 'abort scan' во время проверки. [v1.06] - 05.09.2004 * Добавлена правильная обработка скрытых потоков, которые не удаётся удалить. [v1.05] - 03.09.2004 * В список игнорирования добавлен ':Zone.Identifier:'. Этот поток присутствует в файлах, загруженных через IE6 SP2 на системах XP SP2 и предоставляет для них информацию о зоне безопасности. [v1.04] - 29.08.2004 * Улучшено отображение потоков с бинарной информацией (знаки NULL удаляются, однако, это не влияет на сохранение потока на диск). * Сохранение содержимого на диск теперь выполняется напрямую из потока вместо копирования отображаемого содержимого в файл. * Добавлена настройка для расчёта контрольной суммы MD5 содержимого потока в списке результатов проверки (по умолчанию, отключена). * Изменено диалоговое окно фильтра 'save contents' и включает 'Бинарные файлы (*.bin)' по умолчанию, вместо 'Текстовые файлы (*.txt)'. [v1.03] - 28.08.2004 * Изменена галочка для исключения потоков ':encryptable:' и ':SummaryInformation:' и переименована в 'ignore system info streams'. * Исправлена ошибка при отображении потока, который содержит бинарные данные (добавлено предупреждение). * Папки теперь также проверяются на предмет скрытых потоков. :) [v1.02] - 28.08.2004 * Добавлена опция в контекстное меню результатов проверки для сохранения результатов на диск и отображения их содержимого, копирования потока, сохранения и редактирования в Wordpad. * Добавлена галочка для игнорирования потоков ':encryptable:'. * ADS Spy добавлен в секцию загрузок на Merijn.org. [v1.01] - 27.08.2004 * Добавлена опция 'быстрая проверка', если пункт не выбран, ADS Spy проверяет весь диск. [v1.00] - 27.08.2004 * Первый релиз. ================================================================== |||||||| 4. ProcMan: список изменений ||||||||||| ================================================================== [v1.06] (первый форк от Dragokas) * Функция перечисления процессов заменена на Nt версию. ========== Все последующие версии - это Форк от Dragokas ============= [v1.05] * Обновлён список dll при пролистывании списка процессов клавиатурой. [v1.04] * Процессы, которые не удалось убить, теперь снова возобновляются. [v1.03] * Исправлено убийство множества процессов. * Добавлена функция остановки процесса к ветке убийства :D (исключая себя). * В листбоксы добавлено контекстное меню. * Исправлено падение при чтении свойства "CompanyName" файла RAdmin.exe. [v1.02] * Добавлены номера PID к списку процессов. [v1.01.1] * Исправлено падение в form_resize, добавлен номер версии во фрейм [v1.01] * Добавлена надпись для dll и горячие клавиши [v1.00] * Первый релиз, позднее добавлена кнопка копирования в буфер обмена