Telefonino.net network
 
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. NEI PREFERITI .:: | RSS Forum | RSS News | NEWS web | NEWS software |
| PUBBLICITA' | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | CERCA nel FORUM » |

Torna indietro   WinTricks Forum > WinTricks > Guide

Notices

Rispondi
 
Strumenti discussione
Vecchio 10-07-2014, 22.13.50   #1
Alexsandra
Senior Member
WT Expert
 
L'avatar di Alexsandra
 
Registrato: 19-05-2007
Loc.: Verona
Messaggi: 1.167
Alexsandra è un gioiello raroAlexsandra è un gioiello raroAlexsandra è un gioiello raroAlexsandra è un gioiello raro
Interpretazione del log di Hijackthis

Hijackthis: Guida all’Interpretazione del log

Capire quali sono le chiavi da rimuovere in un log di Hijackthis è un compito per utenti esperti, con questa guida cerchiamo di far conoscere come identificare e riconoscere i vari processi e farvi comprenderne il significato. HijackThis se usato correttamente ci consente di riconoscere e rimuovere processi dannosi creati da Spyware, Worm, Dialer, Trojan ed altre applicazioni

Premessa: Innanzi tutto specifichiamo che HijackThis non è un software da usare come Antivirus, in quanto non dispone di un proprio database di firme virali aggiornabili per poter riconoscere eventuali infezioni nel nostro pc, ma effettua una scansione dell'intero sistema e mostra tutti i processi che vengono caricati all'avvio del Sistema Operativo, le varie chiavi riportate permettono di capire quali processi sono legittimi del Sistema e quali invece dovuti ad una azione esterna dannosa. Pertanto usato correttamente ci consente di riconoscere e rimuovere processi dannosi creati da Spyware, Worm, Dialer, Trojan ed altre applicazioni, solo i rootkit sono immuni all'azione di HijackThis. Se notiamo dei malfunzionamenti al nostro sistema, prima di usare subito Hijackthis è opportuno seguire una procedura di pulizia preventiva del sistema con il vostro antivirus. Capire quali sono le chiavi da rimuovere è un compito per utenti esperti, con questa guida cerchiamo di spiegare come identificare e riconoscere i vari processi e farvi comprenderne il significato.


Gruppo: R0 - R1 - R2 - R3
Queste voci sono legate alla pagina iniziale di Internet Explorer e a quella della ricerca predefinita vediamole in dettaglio

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.google.com/
R3 - Default URLSearchHook is missing
R0 = Indica la pagina iniziale di Internet
R1 = Indica la pagina di ricerca predefinita
R2 = Attualmente non è ancora usato da HijackThis
R3 = Indica gli URL Search Hook


Queste voci sono da Fixare se non è presente la home page che abbiamo scelto e le chiavi del registro vengono ripristinate alle impostazioni iniziali. L'Url Search Hook permette al browser di trovare un indirizzo senza specificarne il protocollo http oppure ftp quando questo viene omesso digitando un indirizzo, verrà utilizzato l'UrlSearchHook presente nella voce R3. Può essere che in una chiave di questo gruppo compaia come ultimo valore Obfuscated allora è probabile che un elemento esterno dannoso (Spyware o Hijacker) abbia convertito la chiave in una forma che HijackThis non riesce ad interpretare.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\jheckb.dll/sp.html (obfuscated)

Per risolvere situazioni del genere si deve prendere nota del nome del file e procedere alla rimozione manuale, riavviando il sistema in modalità provvisoria, cercare ed eliminare il file e successivamente selezionare la voce in HijackThis e premere il pulsante Fix. Anche per la voce R3 possono presentarsi dei problemi, se notate che termina con il simbolo _ (Underscore) difficilmente verranno rimosse col tasto Fix, ma si deve agire anche sul registro di configurazione e cancellare la voce dalla chiave

R3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497}_ - (no file)

Queste sono le chiavi del registro di configurazione interessate a questo gruppo:

HKLM\Software\Microsoft\Internet Explorer\Main,Start Page
HKCU\Software\Microsoft\Internet Explorer\Main: Start Page
HKLM\Software\Microsoft\Internet Explorer\Main: Default_Page_URL
HKCU\Software\Microsoft\Internet Explorer\Main: Default_Page_URL
HKLM\Software\Microsoft\Internet Explorer\Main: Search Page
HKCU\Software\Microsoft\Internet Explorer\Main: Search Page
HKCU\Software\Microsoft\Internet Explorer\SearchURL: (Default)
HKCU\Software\Microsoft\Internet Explorer\Main: Window Title
HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings: ProxyOverride
HKCU\Software\Microsoft\Internet Connection Wizard: ShellNext
HKCU\Software\Microsoft\Internet Explorer\Main: Search Bar
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks
HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch
HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant


Se un utente non ha molta dimestichezza, è utile per la correzione dei problemi sopra esposti l'utilizzo di CWShredder un buon software che molte volte corregge gli errori in questo gruppo evitando operazioni manuali


Gruppo: F0 - F1 - F2 - F3

F0 - system.ini: Shell=Explorer.exe Openme.exe
F1 - win.ini: run=hpfsched


Questo gruppo viene utilizzato dai programmi che vengono avviati dai file .ini di Windows (System.ini e Win.ini), generalmente le voci F0 e F1 sono sempre da rimuovere, le prime si riferiscono a programmi avviati con il comando Shell = (run o load) eseguito nel file System.ini e quelli legittimi non sono più utilizzati, mentre le seconde si riferiscono ad applicazioni che partono nel file Win.ini. Le voci F2 e F3 corrispondono alle F0 e F1 in sistemi NT e al posto di caricare programmi dai file System.ini e Win.ini utilizzano la funzione IniFileMapping che carica i valori dei file .ini direttamente in chiavi del registro di configurazione

HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \CurrentVersion \IniFileMapping.
HKLM \Software \Microsoft \Windows NT \CurrentVersion \Winlogon \Userinit


Pertanto fixando queste voci al riavvio del sistema vengono ripristinate le chiavi di registro alle impostazioni iniziali. Facciamo attenzione al file Userinit.exe il suo compito è quello di impostare il profilo, i colori, i caratteri, etc. in base al profilo dell'utente loggato, è un processo legittimo quando si presenta da solo come riportato sopra, se invece è seguito da una virgola e di seguito accompagnato da un altro file completo di percorso, allora vengono eseguiti contestualmente tutti e due i file.

HKLM\Software\Microsoft\WindowsNT\CurrentVersion\W inlogon\Userinit
C:\windows\system32\userinit.exe,c:\windows\trojan .exe


Questa è una strategia usata da Trojans, Hijackers, e Spyware, unica eccezione dopo Userinit.exe è da considerare legittima la presenza del file nddeagnt.exe, inoltre, quando vengono fixate queste voci viene eliminata la voce di registro, ma non il file associato, per cui si deve eseguire la rimozione manuale del file, per essere certi di quello che ci apprestiamo a fare è consigliato verificare le voci consultando questo database


Gruppo: N1 - N2 - N3 - N4

N1 - Netscape 4: user_pref(browser.startup.homepage, 'www.google.com); (C:\ProgramFiles\Netscape\Users\default\prefs.js)
N2 - Netscape 6: user_pref('browser.startup.homepage, http://www.google.com); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)


Queste voci si riferiscono alla pagina iniziale di Netscape 4, 6, 7 e Mozilla, vediamole in dettaglio:

N1 = Pagina iniziale e di ricerca predefinita di Netscape 4
N2 = Pagina iniziale e di ricerca predefinita di Netscape 6
N3 = Pagina iniziale e di ricerca predefinita di Netscape 7
N4 = Pagina iniziale e di ricerca predefinita di Mozilla

Quanto abbiamo sopra citato riferito a Internet Explorer alle voci R0 - R1 - R3 vale anche per questo gruppo l'unico vantaggio è che sono meno vulnerabili i browers che utilizzano questo gruppo.


Gruppo O1: Reindirizzi nel file Hosts

O1 - Hosts: 127.0.0.3 onedayoffer.biz

Viene spesso usata la tecnica di reindirizzamento per costringere un utente a visitare un determinato sito internet, vari Hijackers e Malware modificano il vostro file Hosts per indirizzarvi, durante la navigazione, su altri siti web, si risolve il problema fixando la voce incriminata


Gruppo O2: Oggetti BHO (Browser Helper Objects)

BHO: Intense - {FB47056B-B34D-410E-819A-E8A51CC8E2EB} - C:\WINDOWS\system32\Kaboom.dll

I BHO sono piccoli programmi o funzioni aggiuntive per il proprio browser come bottoni aggiuntivi e si eseguono automaticamente ogni volta che si apre il browser questi oggetti non richiedono nessuna autorizzazione per essere installati e sono spesso usati da applicazioni maligne per raccogliere informazioni sulle vostre abitudini, per rubare i vostri dati personali oppure per far comparire finestre pop up. Importante effettuare un controllo di questi oggetti ed eliminare quelli pericolosi, per controllarne l'attendibilità ci si può servire di un database Online di BHO

Una chiave BHO può entrare in conflitto con altri programmi, può nascondere Ad-Ware o Spyware e monitorare i nostri spostamenti in rete memorizzando i siti visitati e inviare queste informazioni ai loro creatori. Un BHO si presenta come l'esempio sopra esposto (è un componente maligno) ed è composto da un identificativo alfanumerico (CLSID) racchiuso tra parentesi graffe, e di seguito è specificato il percorso del file (in genere una libreria DLL), per verificare l'identità di una chiave BHO, si può consultare anche questo Sito

La chiave di registro relativa ai BHO è

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects

Fixando le voci BHO, HijackThis tenterà di rimuovere anche il file associato, ma a volte il tentativo fallisce in quanto questi file possono essere in uso, e pertanto non potranno essere cancellati; in questi casi sarà necessario riavviare il Pc in modalità provvisoria e cancellarlo manualmente utilizzando BHODemon


Gruppo O3: Barre degli strumenti di Internet Explorer

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll

Contiene i riferimenti a barre degli strumenti aggiuntive, molti programmi aggiungono delle barre su Internet Explorer, Google permette di installare una propria Toolbar per Internet Explorer, Adobe Acrobat inserisce un pulsante per generare file PDF etc. Possiamo però trovare delle barre indesiderate e questo è dovuto ad oggetti BHO (Vedi gruppo 02). Fixando queste voci HijackThis non cancella il file associato, pertanto si dovrà ricorrere alla rimozione manuale dalla modalità provvisoria. La chiave di registro relativa a questi oggetti è

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar

La verifica delle voci è possibile effettuarla consultando lo stesso elenco per le chiavi BHO oppure su questo Database di Toolbars


Gruppo O4: Applicazioni caricate all'avvio del sistema operativo

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: winlogon.exe


Questo gruppo elenca le applicazioni che vengono caricate all'avvio del Sistema Operativo in base al profilo dell'utente che effettua il login all'avvio di Windows, queste sono allocate in alcune chiavi di registro e nelle cartelle di Startup e Global Startup (o esecuzione automatica). E’ possibile in questo gruppo trovare voci create da Spyware perciò è consigliabile, verificare le voci dubbie consultando questa Lista degli startups oppure Questo Sito per eliminare le voci collegabili agli Spyware. Per la voce Global Startup è necessario terminarne il processo in esecuzione prima che HijackThis sia in grado di correggere la voce. Le chiavi di registro dove risiedono le applicazioni sono:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run ServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\Run ServicesOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
HKCU\Software\Microsoft\Windows\CurrentVersion\Run Services
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once
HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once
HKLM\Software\Microsoft\Windows\CurrentVersion\Run OnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\Run
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit


Mentre la cartella di Startup ha questo percorso: C:\documents and settings\Nome_utente\menu avvio\programmi\esecuzione automatica, la cartella di Global Startup, si riferisce alle applicazioni che partono automaticamente indipendentemente dall'utente che effettua il login e si trova in questo percorso:
C:\documents and settings\allusers\menu avvio\programmi\esecuzione automatica

E' possibile verificare sul sito Sysinfo.org se i vari file eseguibili elencati nel gruppo siano maligni o meno (il sito contrassegna con una ''X'' i componenti dannosi da eliminare immediatamente). Se ai link segnalati non trovate delle risposte sicure sui vostri file presenti in questo gruppo, effettuate una ricerca in rete tramite Google specificando come termine da cercare il nome del file eseguibile (es.: Soundman.exe). Per l'eliminazione delle voci, teniamo presente che HijackThis non cancellerà il file associato ma rimuoverà solo la chiave nel registro di configurazione, solo in presenza delle voci Startup e Global Startup cancellerà i file associati ma generalmente sono collegamenti per cui è necessario controllare ed eventualmente rimuovere manualmente il file associato


Gruppo O5: Opzioni Internet nascoste nel pannello di controllo

O5 - control.ini: inetcpl.cpl=no

Generalmente le ''Opzioni Internet'' di Internet Explorer sono accessibili dal Pannello di controllo di Windows. E' tuttavia possibile nascondere l'icona ''Opzioni Internet'' aggiungendo uno speciale parametro (inetcpl= no) all'interno del file di configurazione control.ini, generalmente memorizzato nella cartella d'installazione di Windows. Se questa modifica non è stata fatta dall'amministratore del sistema, è meglio correggerla in quanto potrebbe essere stata fatta da un'applicazione maligna per rendere difficile, la modifica delle impostazioni del browser. Per rimuovere questa restrizione, basta selezionarla e premere il pulsante Fix di HijackThis.


Gruppo O6: Restrizione di accesso alle Opzioni Internet

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present


In questo gruppo vengono impostate le restrizioni alle impostazioni di Internet Explorer, queste possono essere effettuate dall'amministratore del sistema per bloccare la possibili modifiche alle impostazioni di Internet Explorer, oppure se l'utente ha utilizzato le funzioni di SpyBot S&D o altra utility simile, che permettono di bloccare le impostazioni del browser, HijackThis visualizzerà qualcosa di simile: Se non è stato l'amministratore del sistema ad applicare le restrizioni è meglio correggere le righe presenti premendo il Fix di HijackThis in quanto queste modifiche potrebbero essere state effettuate da Spyware o Malware per rendere difficili eventuali interventi risolutori da parte dell'utente. La chiave di registro interessata:

HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions


Gruppo O7: Restrizione di accesso a Regedit

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1

E' possibile con Windows usare una particolare impostazione che permette di disabilitare l'accesso al registro di sistema. Se non è opera vostra o dell'amministratore del sistema selezionare la voce e premete il pulsante Fix


Gruppo O8: Funzioni extra col tasto destro in Internet Explorer

O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows LiveToolbar\msntb.dll/search.htm

In questo gruppo vengono elencate le voci che appaiono nel menù contestuale quando si clicca col pulsante destro del mouse su una pagina di Internet Explorer. Se vengono installate diverse applicazioni che interagiscono con Internet Explorer è possibile trovare in questo gruppo diverse voci, gran parte di esse sono legittime, ma se trovate delle voci a voi sconosciute è possibile che siano parte integrante di Spyware o Malware. In questo caso vanno rimosse selezionando la voce interessata e premendo il pulsante Fix anche in questo caso Hijackthis rimuove il valore nella chiave di registro ma non il file associato pertanto per la sua rimozione è necessario il riavvio in provvisoria e la rimozione manuale dello stesso la chiave di registro interessata è la seguente:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt


Gruppo O9: Pulsanti extra nelle barre o oggetti extra in Internet Explorer

O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263}C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBA R.DLL
09 - Extra button: Messenger (HKLM)


In questo gruppo vengono inseriti da HijackThis tutti gli oggetti aggiuntivi non presenti di default con Internet Explorer e che sono stati aggiunti nella barra degli strumenti del browser oppure nel suo menù ''Strumenti''. Anche in questo caso, vanno eliminati i valori non necessari o non riconosciuti, elementi sconosciuti possono essere componenti di Spyware o Malware e vanno rimossi selezionando la voce interessata e premendo il pulsante Fix anche in questo caso Hijackthis rimuove il valore nella chiave di registro ma non il file associato pertanto per la sua rimozione è necessario il riavvio in provvisoria e la rimozione manuale dello stesso. La chiave di registro interessata è la seguente:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions registry key


Gruppo O10: Winsock Hijackers

010 - Hijacked Internet access by New.Net
010 - Broken Internet access because of LSP provider c:\progra~1\common~2\toolbar\cnmib.dll missing


Tutte le voci presenti in questo gruppo sono solitamente maligni In questa sezione sono elencati gli LSP (Layered Service Provider) che modificano le impostazioni Winsock di Windows. Un Winsock hijacker (ad esempio New.net) può controllare tutto il traffico Internet, dato che gli LSP sono tutti concatenati tra loro. Un LSP ha accesso ad ogni dato in entrata o in uscita dal computer, al punto di poter modificare questi dati. Hijackers e Malware, possono installarsi come LSP per spiare e registrare indisturbati tutto quello che fate in rete. E' sconsigliato Fixare queste voci Per rimuovere i componenti maligni in questo gruppo è necessario servirsi dell'ultima versione di SpyBot S&D disponibile, assicurandosi di aggiornarla, o in alternativa, è possibile usare il programma LSPfix (consigliato).

Sempre in questo gruppo potreste trovare anche componenti di software antivirus: in questo caso, non fate nessuna azione di correzione in quanto è normale la loro presenza, se il vostro antivirus opera a livello Winsock, inoltre molti antivirus effettuano scansioni anche a livello di Winsock. Il problema più grande è che, dopo aver eliminato un LSP maligno, questi possono ricreare gli LSP (ma legittimi) in un ordine diverso, Hijackthis lo rileva in questo modo

O10 - Broken Internet access because of LSP provider spsublsp.dll missing

Non Fixate queste voci anche se Internet continua a funzionare normalmente e non presenta problemi particolari, togliere queste voci può compromettere il funzionamento della vostra connessione. Si richiede molta attenzione nell'operare su questo gruppo


Gruppo O11: Funzioni extra in Opzioni Avanzate di Internet Explorer

O11 - Options group: [CommonName] CommonName

Se HijackThis riporta questa voce visualizza tutti gli elementi aggiunti inseriti da software di terze parti nella scheda Avanzate di Internet, al momento, esiste un solo Spyware che aggiunge un suo elemento nella scheda Avanzate e sarebbe il solo ''CommonName'' in questo caso è possibile Fixare la voce senza problemi. La chiave di registro interessata è la seguente:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions


Gruppo O12: Internet Explorer Plugins

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll


Di solito gli elementi qui contenuti in questo gruppo sono benigni. Si tratta di ''plug-in'' installati da applicazioni sviluppate da terze parti per estendere le funzionalità di Internet Explorer, un malware che si registri come plugin viene reinstallato automaticamente quando con Internet Explorer si cerca di aprire un file a lui associato,per ora sembra che il solo ''OnFlow'' aggiunga una entry (.ofb). Fixando la voce HijackThis eliminerà la chiave del registro e tenterà anche la rimozione del file associato se dovesse fallire la rimozione và fatta manualmente dalla provvisoria. La chiave di registro interessata è la seguente:

HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins


Gruppo O13: Internet Explorer default prefix Hijack

O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?

Internet Explorer default prefix hijack è il ''prefisso di default'' cioè un'impostazione di Windows che stabilisce il modo in cui vengono trattati gli indirizzi Internet (URL) che digitiamo senza protocollo di identificazione (http://, ftp://, etc..). Il prefisso di default che viene anteposto in automatico dal browers ad un indirizzo digitato in maniera incompleta è http:// Il più diffuso Hijacker che compie queste modifiche è CoolWebSearch il quale modifica il prefisso di default sostituendolo con http:// e http.cc/? E l'utente verrà reindirizzato al sito di riferimento di CoolWebSearch. La chiave di riferimento e:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\URL\DefaultPrefix\

Prima di usare il pulsante Fix, è opportuno rimuovere tutte le varianti di CoolWebSearch servendoci di CWShredder dopo la rimozione è possibile eseguire nuovamente HijackThis e selezionare le voci nel gruppo e premere il pulsante Fix


Gruppo O14: Web Settings Hijack

O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com

Avrete notato che è possibile resettare le impostazioni web ai valori predefiniti da Pannello di controllo - Opzioni Internet - Programmi - Ripristina impostazioni Web. Questo è possibile richiamando il file iereset.inf che memorizza tutte le impostazioni web del nostro Pc e viene utilizzato da Internet Explorer ''resettare'' tutte le sue impostazioni ai valori predefiniti configurati al momento dell'installazione del Sistema Operativo. Il file si trova in C:\windows\inf\iereset.inf, componenti maligni modificano il file in modo da impedire il ripristino del browser alle impostazioni iniziali. Questo valore può essere modificato anche dall'amministratore del sistema, se la modifica risulta sconosciuta selezionare la voce e premere il tasto Fix per risolvere il problema


Gruppo O15: Siti ritenuti sicuri

O15 - Trusted Zone: http://free.aol.com
O15 - Trusted Zone: *.msn.com


In questo gruppo sono elencati i siti sicuri denominata Trusted Zone da: Pannello di controllo - Opzioni Internet - Protezione 'Siti Attendibili'. Seguendo questo percorso è possibile assegnare il livello di sicurezza per i vari tipi di protocolli, purtroppo la Trusted Zone ha impostato il livello di sicurezza più basso di conseguenza scripts o applicazioni presenti in questo gruppo possono essere eseguite senza il consenso dell'utente e a sua completa insaputa, in quanto il controllo sugli scripts e sugli ActiveX è praticamente disabilitato. Le chiavi del registro interessate sono:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Internet Settings\ZoneMap\Domains
KEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curren tVersion\Internet Settings\ZoneMap\Domains
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Internet Settings\ZoneMap\Ranges
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Internet Settings\ZoneMap\Ranges


Per difendersi si possono adottare queste soluzioni
  • Disabilitare in Internet Explorer l'esecuzione di controlli ActiveX, applet Java, Visual Basic Script
  • Installare un personal firewall in grado di monitorare e filtrare i contenuti web potenzialmente pericolosi
  • Abbandonare Internet Explorer e passare ad un browser web alternativo

Selezionando le voci e premere il tasto Fix vengono eliminati i valori dal registro di sistema. Al termine è comunque opportuno scaricare il file Deldomains.inf e selezionarlo con il tasto destro premendo dal menu 'Installa'. Vengono in questo modo ripristinate correttamente le zone di protezione di Internet Explorer


Gruppo O16: ActiveX Objects

O16 - DPF: {12398DD6-40AA-4C40-AEC-A42CFC0DE797} (Installer Class) - http://www.xxxto*lbar.com/ist/softwa...06_regular.cab

In questo gruppo vengono mostrati gli ActiveX scaricati e installati da Internet, questi vengono inseriti in C:\windows\Downloaded Program Files. Sono comunque accessibili da: Pannello di controllo - Opzioni Internet - Generale - Impostazioni - Visualizza Oggetti. Questi hanno anche riferimenti nel registro, le cui voci sono identificabili dal CLSID, un oggetto ActiveX è un programma sviluppato con tecnologia Microsoft che permette di estendere le funzionalità del browser aggiungendo nuove possibilità. Se nella lista trovate delle voci o degli indirizzi che non conoscete, fate una ricerca con Google incollando l'indirizzo che compare nella voce comunque, è opportuno eliminare subito gli ActiveX contenenti i termini sex, porn, dialer, free, casino, adult etc. E' possibile prevenire l'insediamento degli ActiveX installando Spyware Blaster che ha un ampio database di ActiveX maligni, e che ne previene l'installazione, selezionando le voci e premendo il tasto Fix HijackThis eliminerà le chiavi nel registro di configurazione e generalmente riesce anche a rimuovere gli oggetti ActiveX se dovesse fallire l'operazione di rimozione degli ActiveX sarà necessaria la rimozione manuale degli stessi dalla provvisoria


Gruppo O17: Lop.com domain Hijacks

O17 - HKLM\System\CCS\Services\Tcpip\..\{44E2E0DD-8F4A-41D0-B12B-20BB79632B6F}: NameServer = 193.70.152.15 193.70.152.25

In questo gruppo vengono riportati gli indirizzi IP dei DNS (Domain Name Server) utilizzati dal Pc per convertire gli indirizzi da formato testo in indirizzo IP, alcuni hijackers modificano, intervenendo sul registro di sistema, il server DNS predefinito sostituendo quello da voi scelto con uno proprietario. In questo modo, qualunque URL digitiate nel browser, il DNS dell'hijackers può ridirezionarvi verso il sito che crede. Se in questo gruppo trovate delle voci che non appartengono al vostro DNS selezionatele e premete il tasto Fix. E' possibile effettuare una ricerca per verificare l'autenticità del DNS consultando il servizio Whois su questo Sito


Gruppo O18: Protocolli extra o modificati

O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82

Quando compare questa voce indica che è stato installato un driver di protocollo addizionale rispetto a quelli usati da Windows, oppure che sono stati modificati nelle regole di filtering. Agendo su alcune chiavi del registro di Windows, un malware può modificare i driver standard che vengono usati dal sistema operativo per la gestione dei vari servizi di rete. Sostituendoli con i propri, può così prendere il controllo del vostro sistema su come vengono inviate e ricevute informazioni. I componenti maligni che più comunemente si servono di questi espedienti sono CoolWebSearch, Lop.com e Related Links. Le chiavi di registro interessate sono:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Hand ler
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filt er


Fixando le voci viene cancellata la voce di registro, ma non il file collegato che dovrà essere cancellato manualmente dalla provvisoria


Gruppo O19: User style sheet Hijack

O19 - User style sheet: c:\WINDOWS\Java\my.css

Questo gruppo è riferito agli 'style sheets' o fogli di stile che consentono di impostare una sorta di modello per la visualizzazione di una pagina web. Un foglio di stile contiene informazioni sui colori da usare in una pagina html, sulle fonti di carattere scelte, sull'allineamento del testo e così via. Alcuni malware modificano il foglio di stile sviluppato specificamente per le persone diversamente abili causando la comparsa di numerose finestre pop up ed un drastico calo delle performance durante la navigazione in Rete. La chiave di registro interessata è

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets

Queste voci sono eliminabili selezionando la voce e premendo il pulsante Fix, HijackThis non elimina però i file presenti in questo gruppo, una volta cliccato sul pulsante Fix: è consigliabile riavviare il sistema in modalità provvisoria ed eliminare i file manualmente.


Gruppo O20: AppInit_DLLs Registry value autorun

O20 - AppInit_DLLs: C:\WINDOWS\System32\winifhi.dll
O20 - Winlogon Notify: Extensions - C:\WINDOWS\system32\i042laho1d4c.dll


Questo gruppo corrisponde alle librerie dll che vengono caricate al login dell'utente dal Sistema Operativo, questo gruppo può riportare 2 voci : AppInit_DLLs contenuta nel registro di sistema e alle sottochiavi Winlogon Notify AppInit_DLL In particolare il valore di registro AppInit_DLL contiene una lista delle dll che verranno caricate al momento in cui verrà caricata la libreria user32.dll, questo rende difficile la rimozione di queste dll che verranno caricate ed utilizzate da diversi processi, alcuni dei quali non potranno essere fermati senza causare instabilità all'intero sistema. Il file user32.dll viene anche utilizzato dai processi che vengono avviati automaticamente nel momento in cui ci si logga nel sistema; questo significa che i file elencati nel valore di registro AppInit_DLL saranno caricati nella fase di Startup di Windows permettendo alle dll di nascondersi e proteggersi prima che l'utente possa avere accesso al sistema. Questo metodo viene utilizzato da alcune varianti del CoolWebSearch, e l'infezione può essere visualizzata solo ed esclusivamente con un click destro sul valore e selezionando la voce modifica dati binari, oppure utilizzando un editor di registro chiamato Registrar Lite La chiave di registro interessata è:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows

Ci sono pochi programmi che usano legittimamente questa chiave di registro, ma in ogni caso è necessario procedere con cautela prima di rimuovere queste voci, Fixando queste voci, HijackThis non cancella il file incriminato, e quindi si dovrà farlo manualmente in modalità provvisoria. Winlogon Notify La chiave Winlogon Notify viene generalmente utilizzata dalle infezioni Look2Me. HijackThis elencherà tutte le chiavi Winlogon Notify non standard in modo che si potranno facilmente individuare quelle probabilmente infette. E' possibile riconoscere le chiavi dell'infezione Look2Me in quanto saranno caratterizzate da una dll con un nome casuale situato nella cartella %SYSTEM%. Questa è la chiave di registro interessata

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

Anche in questo caso Fixando queste voci, HijackThis non cancellerà il file incriminato, e quindi si dovrà farlo manualmente in modalità provvisoria in questo caso conviene affiancare ad HijackThis anche Look2me Destroyer.


Gruppo O21: ShellServiceObjectDelayLoad

O21 - SSODL: System - {3CE8EED5-112D-4E37-B671-74326D12971E} - C:\WINDOWS\system32\system32.dll

In questo gruppo vengono raggruppati i file inizializzati ad ogni avvio di Windows mediante l'uso della chiave ShellServiceObjectDelayLoad del registro di sistema. Questa è la chiave di registro interessata

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad

I file in questa chiave di registro vengono automaticamente caricati da Explorer.exe quando il Pc viene avviato. Explorer.exe è la shell del computer, verrà caricato ad ogni avvio e caricherà tutti i file presenti nella relativa chiave di registro. Questi file vengono caricati molto presto durante il processo di startup, prima che ogni intervento umano possa essere eseguito sul computer. HijackThis è a conoscenza dei componenti 'benigni' che fanno uso della chiave ShellServiceObjectDelayLoad: tali elementi non vengono visualizzati in questo gruppo, se HijackThis mostra uno o più elementi all'interno di questo gruppo è quindi altamente probabile che si tratti di componenti pericolosi. Un piccolo elenco di Hijacker che potete trovare in questo gruppo lo potete consultare su questo sito. Fixando queste voci, HijackThis non cancella il file incriminato, e quindi si dovrà farlo manualmente in modalità provvisoria.


Gruppo O22: SharedTaskScheduler

O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll

Questo gruppo mostra l'elenco dei file caricati ad ogni ingresso in Windows mediante il valore SharedTaskScheduler del registro di sistema. Questa è la chiave di registro interessata

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\SharedTaskScheduler

Alcune varianti di CoolWebSearch utilizzano questo espediente per auto-eseguirsi all'avvio del sistema operativo. Agite comunque con estrema cautela nel rimuovere gli elementi visualizzati in questo gruppo di HijackThis perché molti di essi possono essere assolutamente necessari per il corretto funzionamento del sistema. E' possibile trovare molte informazioni in merito in questo Sito, o altrimenti effettuate ricerche con google per stabilire se ciascun elemento sia da considerarsi nocivo o meno. Hijackthis cancellerà il valore associato alla chiave SharedTaskScheduler, ma non cancellerà il CLSID a cui punta, ed il file al quale la sottochiave del CLSID chiamata Inprocserver32 a sua volta punta. Di conseguenza si dovrà eliminare tale file manualmente in modalità provvisoria


Gruppo O23: Lista dei servizi di sistema

Questo gruppo mostra la lista dei servizi di sistema (Windows NT/2000/XP/2003) che il programma non conosce. E' tuttavia possibile fare in modo che HJT elenchi tutti i servizi flaggando la casella 'ihatewhitelists'. Gran parte di essi sono servizi installati da parte di applicazioni assolutamente benigne: software antivirus, firewall, utility di terze parti vengono spesso configurate come servizi di Windows (automaticamente eseguiti ad ogni avvio del sistema operativo). Prima di eliminare elementi visualizzati in questo gruppo, è bene informarsi sul significato e sulla natura degli stessi. Per farlo visitate questi siti spywareaid fbeej.dk o effettuate una ricerca con Google. Il pulsante Fix di HijackThis disabilita l'avvio automatico per il servizio selezionato, ferma il servizio stesso e richiede di riavviare il Pc, HijackThis, però, non elimina 'fisicamente' il servizio. Un servizio collegabile all'azione di un software malware deve poi essere successivamente eliminato in modo manuale servendosi del comando seguente (da inserire al Prompt dei comandi DOS): sc delete nome_del_servizio
Dove nome_del_servizio va sostituito con il nome del servizio che si intende eliminare definitivamente dal proprio sistema. E' anche possibile eliminare il servizio attraverso HijackThis, per farlo, aprite il programma, cliccate su config, poi su misc tools, ed infine su delete an NT service. A questo punto inserite il nome del servizio e premete su OK. I servizi indesiderati possono essere eliminati anche dal registro di sistema. Ecco le chiavi interessate:

HKLM\SYSTEM\ControlSet00X (dove X=1,2,3,..)\Enum\Root\LEGACY_Nomedelservizio
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Nom edelservizio
HKLM\SYSTEM\ ControlSet00X (dove X=1,2,3,..)\Services\Nomedelservizio
HKLM\SYSTEM\CurrentControlSet\Services\Nomedelserv izio



Gruppo O24: Active Desktop Component

Questa voce verrà visualizzata solo se state usando la versione Trend Micro di Hijackthis. Essa corrisponde ai componenti di Windows Active Desktop che non sono altro che dei file integrati direttamente nel vostro Desktop. La Chiave di registro interessata è

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components.

Fixando questa voce si elimina la chiave, ma non il file associato che deve essere rimosso manualmente. Nella speranza di aver chiarito come usare ed interpretare il log di HijackThis rimanendo sempre in tema di sicurezza se non riuscite a risolvere i vostri problemi postate il log di HijackThis, sul forum che frequentate di solito, inoltre esponete in maniera chiara i problemi del vostro Pc e le operazioni che avete già fatto
___________________________________

- Il primo fondamento della sicurezza non e' la tecnologia, ma l'attitudine mentale -

Ultima modifica di VincenzoGTA : 27-04-2015 alle ore 22.54.22
Alexsandra non è collegato   Rispondi citando
Rispondi


Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)
 
Strumenti discussione

Regole di scrittura
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is ON
Gli smilies sono ON
[IMG] è ON
Il codice HTML è OFF

Vai al forum

Discussioni simili
Discussione Autore discussione Forum Risposte Ultimo messaggio
Windows 8 RP: guida all'installazione Redazione News dal WEB 3 01-06-2012 21.46.18
HijackThis 1.99 Gervy Archivio News Software 1 15-12-2004 18.39.46
Guida a HijackThis Billow Archivio News Web 7 12-11-2004 20.10.25
Guida Sicurezza informatica Gigi75 Sicurezza&Privacy 3 16-09-2004 16.33.02

Orario GMT +2. Ora sono le: 13.02.04.


E' vietata la riproduzione, anche solo in parte, di contenuti e grafica.
Copyright © 1999-2017 Edizioni Master S.p.A. p.iva: 02105820787 • Tutti i diritti sono riservati
L'editore NON si assume nessuna responsabilità dei contenuti pubblicati sul forum in quanto redatti direttamente dagli utenti.
Questi ultimi sono responsabili dei contenuti da loro riportati nelle discussioni del forum
Powered by vBulletin - 2010 Copyright © Jelsoft Enterprises Limited.