|
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. | NEI PREFERITI | .:: | RSS Forum | RSS News | NEWS web | NEWS software | |
| PUBBLICITA' | | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | | CERCA nel FORUM » | |
10-07-2014, 23.13.50 | #1 |
Senior Member
WT Expert
Registrato: 19-05-2007
Loc.: Verona
Messaggi: 1.302
|
Interpretazione del log di Hijackthis
Capire quali sono le chiavi da rimuovere in un log di Hijackthis è un compito per utenti esperti, con questa guida cerchiamo di far conoscere come identificare e riconoscere i vari processi e farvi comprenderne il significato. HijackThis se usato correttamente ci consente di riconoscere e rimuovere processi dannosi creati da Spyware, Worm, Dialer, Trojan ed altre applicazioni Premessa: Innanzi tutto specifichiamo che HijackThis non è un software da usare come Antivirus, in quanto non dispone di un proprio database di firme virali aggiornabili per poter riconoscere eventuali infezioni nel nostro pc, ma effettua una scansione dell'intero sistema e mostra tutti i processi che vengono caricati all'avvio del Sistema Operativo, le varie chiavi riportate permettono di capire quali processi sono legittimi del Sistema e quali invece dovuti ad una azione esterna dannosa. Pertanto usato correttamente ci consente di riconoscere e rimuovere processi dannosi creati da Spyware, Worm, Dialer, Trojan ed altre applicazioni, solo i rootkit sono immuni all'azione di HijackThis. Se notiamo dei malfunzionamenti al nostro sistema, prima di usare subito Hijackthis è opportuno seguire una procedura di pulizia preventiva del sistema con il vostro antivirus. Capire quali sono le chiavi da rimuovere è un compito per utenti esperti, con questa guida cerchiamo di spiegare come identificare e riconoscere i vari processi e farvi comprenderne il significato. Gruppo: R0 - R1 - R2 - R3 Queste voci sono legate alla pagina iniziale di Internet Explorer e a quella della ricerca predefinita vediamole in dettaglio R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.google.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.google.com/ R3 - Default URLSearchHook is missing R0 = Indica la pagina iniziale di Internet R1 = Indica la pagina di ricerca predefinita R2 = Attualmente non è ancora usato da HijackThis R3 = Indica gli URL Search Hook Queste voci sono da Fixare se non è presente la home page che abbiamo scelto e le chiavi del registro vengono ripristinate alle impostazioni iniziali. L'Url Search Hook permette al browser di trovare un indirizzo senza specificarne il protocollo http oppure ftp quando questo viene omesso digitando un indirizzo, verrà utilizzato l'UrlSearchHook presente nella voce R3. Può essere che in una chiave di questo gruppo compaia come ultimo valore Obfuscated allora è probabile che un elemento esterno dannoso (Spyware o Hijacker) abbia convertito la chiave in una forma che HijackThis non riesce ad interpretare. R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\jheckb.dll/sp.html (obfuscated) Per risolvere situazioni del genere si deve prendere nota del nome del file e procedere alla rimozione manuale, riavviando il sistema in modalità provvisoria, cercare ed eliminare il file e successivamente selezionare la voce in HijackThis e premere il pulsante Fix. Anche per la voce R3 possono presentarsi dei problemi, se notate che termina con il simbolo _ (Underscore) difficilmente verranno rimosse col tasto Fix, ma si deve agire anche sul registro di configurazione e cancellare la voce dalla chiave R3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497}_ - (no file) Queste sono le chiavi del registro di configurazione interessate a questo gruppo: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page HKCU\Software\Microsoft\Internet Explorer\Main: Start Page HKLM\Software\Microsoft\Internet Explorer\Main: Default_Page_URL HKCU\Software\Microsoft\Internet Explorer\Main: Default_Page_URL HKLM\Software\Microsoft\Internet Explorer\Main: Search Page HKCU\Software\Microsoft\Internet Explorer\Main: Search Page HKCU\Software\Microsoft\Internet Explorer\SearchURL: (Default) HKCU\Software\Microsoft\Internet Explorer\Main: Window Title HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings: ProxyOverride HKCU\Software\Microsoft\Internet Connection Wizard: ShellNext HKCU\Software\Microsoft\Internet Explorer\Main: Search Bar HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant Se un utente non ha molta dimestichezza, è utile per la correzione dei problemi sopra esposti l'utilizzo di CWShredder un buon software che molte volte corregge gli errori in questo gruppo evitando operazioni manuali Gruppo: F0 - F1 - F2 - F3 F0 - system.ini: Shell=Explorer.exe Openme.exe F1 - win.ini: run=hpfsched Questo gruppo viene utilizzato dai programmi che vengono avviati dai file .ini di Windows (System.ini e Win.ini), generalmente le voci F0 e F1 sono sempre da rimuovere, le prime si riferiscono a programmi avviati con il comando Shell = (run o load) eseguito nel file System.ini e quelli legittimi non sono più utilizzati, mentre le seconde si riferiscono ad applicazioni che partono nel file Win.ini. Le voci F2 e F3 corrispondono alle F0 e F1 in sistemi NT e al posto di caricare programmi dai file System.ini e Win.ini utilizzano la funzione IniFileMapping che carica i valori dei file .ini direttamente in chiavi del registro di configurazione HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \CurrentVersion \IniFileMapping. HKLM \Software \Microsoft \Windows NT \CurrentVersion \Winlogon \Userinit Pertanto fixando queste voci al riavvio del sistema vengono ripristinate le chiavi di registro alle impostazioni iniziali. Facciamo attenzione al file Userinit.exe il suo compito è quello di impostare il profilo, i colori, i caratteri, etc. in base al profilo dell'utente loggato, è un processo legittimo quando si presenta da solo come riportato sopra, se invece è seguito da una virgola e di seguito accompagnato da un altro file completo di percorso, allora vengono eseguiti contestualmente tutti e due i file. HKLM\Software\Microsoft\WindowsNT\CurrentVersion\W inlogon\Userinit C:\windows\system32\userinit.exe,c:\windows\trojan .exe Questa è una strategia usata da Trojans, Hijackers, e Spyware, unica eccezione dopo Userinit.exe è da considerare legittima la presenza del file nddeagnt.exe, inoltre, quando vengono fixate queste voci viene eliminata la voce di registro, ma non il file associato, per cui si deve eseguire la rimozione manuale del file, per essere certi di quello che ci apprestiamo a fare è consigliato verificare le voci consultando questo database Gruppo: N1 - N2 - N3 - N4 N1 - Netscape 4: user_pref(browser.startup.homepage, 'www.google.com); (C:\ProgramFiles\Netscape\Users\default\prefs.js) N2 - Netscape 6: user_pref('browser.startup.homepage, http://www.google.com); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js) Queste voci si riferiscono alla pagina iniziale di Netscape 4, 6, 7 e Mozilla, vediamole in dettaglio: N1 = Pagina iniziale e di ricerca predefinita di Netscape 4 N2 = Pagina iniziale e di ricerca predefinita di Netscape 6 N3 = Pagina iniziale e di ricerca predefinita di Netscape 7 N4 = Pagina iniziale e di ricerca predefinita di Mozilla Quanto abbiamo sopra citato riferito a Internet Explorer alle voci R0 - R1 - R3 vale anche per questo gruppo l'unico vantaggio è che sono meno vulnerabili i browers che utilizzano questo gruppo. Gruppo O1: Reindirizzi nel file Hosts O1 - Hosts: 127.0.0.3 onedayoffer.biz Viene spesso usata la tecnica di reindirizzamento per costringere un utente a visitare un determinato sito internet, vari Hijackers e Malware modificano il vostro file Hosts per indirizzarvi, durante la navigazione, su altri siti web, si risolve il problema fixando la voce incriminata Gruppo O2: Oggetti BHO (Browser Helper Objects) BHO: Intense - {FB47056B-B34D-410E-819A-E8A51CC8E2EB} - C:\WINDOWS\system32\Kaboom.dll I BHO sono piccoli programmi o funzioni aggiuntive per il proprio browser come bottoni aggiuntivi e si eseguono automaticamente ogni volta che si apre il browser questi oggetti non richiedono nessuna autorizzazione per essere installati e sono spesso usati da applicazioni maligne per raccogliere informazioni sulle vostre abitudini, per rubare i vostri dati personali oppure per far comparire finestre pop up. Importante effettuare un controllo di questi oggetti ed eliminare quelli pericolosi, per controllarne l'attendibilità ci si può servire di un database Online di BHO Una chiave BHO può entrare in conflitto con altri programmi, può nascondere Ad-Ware o Spyware e monitorare i nostri spostamenti in rete memorizzando i siti visitati e inviare queste informazioni ai loro creatori. Un BHO si presenta come l'esempio sopra esposto (è un componente maligno) ed è composto da un identificativo alfanumerico (CLSID) racchiuso tra parentesi graffe, e di seguito è specificato il percorso del file (in genere una libreria DLL), per verificare l'identità di una chiave BHO, si può consultare anche questo Sito La chiave di registro relativa ai BHO è HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects Fixando le voci BHO, HijackThis tenterà di rimuovere anche il file associato, ma a volte il tentativo fallisce in quanto questi file possono essere in uso, e pertanto non potranno essere cancellati; in questi casi sarà necessario riavviare il Pc in modalità provvisoria e cancellarlo manualmente utilizzando BHODemon Gruppo O3: Barre degli strumenti di Internet Explorer O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll Contiene i riferimenti a barre degli strumenti aggiuntive, molti programmi aggiungono delle barre su Internet Explorer, Google permette di installare una propria Toolbar per Internet Explorer, Adobe Acrobat inserisce un pulsante per generare file PDF etc. Possiamo però trovare delle barre indesiderate e questo è dovuto ad oggetti BHO (Vedi gruppo 02). Fixando queste voci HijackThis non cancella il file associato, pertanto si dovrà ricorrere alla rimozione manuale dalla modalità provvisoria. La chiave di registro relativa a questi oggetti è HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar La verifica delle voci è possibile effettuarla consultando lo stesso elenco per le chiavi BHO oppure su questo Database di Toolbars Gruppo O4: Applicazioni caricate all'avvio del sistema operativo O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: winlogon.exe Questo gruppo elenca le applicazioni che vengono caricate all'avvio del Sistema Operativo in base al profilo dell'utente che effettua il login all'avvio di Windows, queste sono allocate in alcune chiavi di registro e nelle cartelle di Startup e Global Startup (o esecuzione automatica). E’ possibile in questo gruppo trovare voci create da Spyware perciò è consigliabile, verificare le voci dubbie consultando questa Lista degli startups oppure Questo Sito per eliminare le voci collegabili agli Spyware. Per la voce Global Startup è necessario terminarne il processo in esecuzione prima che HijackThis sia in grado di correggere la voce. Le chiavi di registro dove risiedono le applicazioni sono: HKLM\Software\Microsoft\Windows\CurrentVersion\Run ServicesOnce HKCU\Software\Microsoft\Windows\CurrentVersion\Run ServicesOnce HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services HKCU\Software\Microsoft\Windows\CurrentVersion\Run Services HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once HKLM\Software\Microsoft\Windows\CurrentVersion\Run OnceEx HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\Run HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit Mentre la cartella di Startup ha questo percorso: C:\documents and settings\Nome_utente\menu avvio\programmi\esecuzione automatica, la cartella di Global Startup, si riferisce alle applicazioni che partono automaticamente indipendentemente dall'utente che effettua il login e si trova in questo percorso: C:\documents and settings\allusers\menu avvio\programmi\esecuzione automatica E' possibile verificare sul sito Sysinfo.org se i vari file eseguibili elencati nel gruppo siano maligni o meno (il sito contrassegna con una ''X'' i componenti dannosi da eliminare immediatamente). Se ai link segnalati non trovate delle risposte sicure sui vostri file presenti in questo gruppo, effettuate una ricerca in rete tramite Google specificando come termine da cercare il nome del file eseguibile (es.: Soundman.exe). Per l'eliminazione delle voci, teniamo presente che HijackThis non cancellerà il file associato ma rimuoverà solo la chiave nel registro di configurazione, solo in presenza delle voci Startup e Global Startup cancellerà i file associati ma generalmente sono collegamenti per cui è necessario controllare ed eventualmente rimuovere manualmente il file associato Gruppo O5: Opzioni Internet nascoste nel pannello di controllo O5 - control.ini: inetcpl.cpl=no Generalmente le ''Opzioni Internet'' di Internet Explorer sono accessibili dal Pannello di controllo di Windows. E' tuttavia possibile nascondere l'icona ''Opzioni Internet'' aggiungendo uno speciale parametro (inetcpl= no) all'interno del file di configurazione control.ini, generalmente memorizzato nella cartella d'installazione di Windows. Se questa modifica non è stata fatta dall'amministratore del sistema, è meglio correggerla in quanto potrebbe essere stata fatta da un'applicazione maligna per rendere difficile, la modifica delle impostazioni del browser. Per rimuovere questa restrizione, basta selezionarla e premere il pulsante Fix di HijackThis. Gruppo O6: Restrizione di accesso alle Opzioni Internet O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present In questo gruppo vengono impostate le restrizioni alle impostazioni di Internet Explorer, queste possono essere effettuate dall'amministratore del sistema per bloccare la possibili modifiche alle impostazioni di Internet Explorer, oppure se l'utente ha utilizzato le funzioni di SpyBot S&D o altra utility simile, che permettono di bloccare le impostazioni del browser, HijackThis visualizzerà qualcosa di simile: Se non è stato l'amministratore del sistema ad applicare le restrizioni è meglio correggere le righe presenti premendo il Fix di HijackThis in quanto queste modifiche potrebbero essere state effettuate da Spyware o Malware per rendere difficili eventuali interventi risolutori da parte dell'utente. La chiave di registro interessata: HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions Gruppo O7: Restrizione di accesso a Regedit O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1 E' possibile con Windows usare una particolare impostazione che permette di disabilitare l'accesso al registro di sistema. Se non è opera vostra o dell'amministratore del sistema selezionare la voce e premete il pulsante Fix Gruppo O8: Funzioni extra col tasto destro in Internet Explorer O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows LiveToolbar\msntb.dll/search.htm In questo gruppo vengono elencate le voci che appaiono nel menù contestuale quando si clicca col pulsante destro del mouse su una pagina di Internet Explorer. Se vengono installate diverse applicazioni che interagiscono con Internet Explorer è possibile trovare in questo gruppo diverse voci, gran parte di esse sono legittime, ma se trovate delle voci a voi sconosciute è possibile che siano parte integrante di Spyware o Malware. In questo caso vanno rimosse selezionando la voce interessata e premendo il pulsante Fix anche in questo caso Hijackthis rimuove il valore nella chiave di registro ma non il file associato pertanto per la sua rimozione è necessario il riavvio in provvisoria e la rimozione manuale dello stesso la chiave di registro interessata è la seguente: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt Gruppo O9: Pulsanti extra nelle barre o oggetti extra in Internet Explorer O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263}C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBA R.DLL 09 - Extra button: Messenger (HKLM) In questo gruppo vengono inseriti da HijackThis tutti gli oggetti aggiuntivi non presenti di default con Internet Explorer e che sono stati aggiunti nella barra degli strumenti del browser oppure nel suo menù ''Strumenti''. Anche in questo caso, vanno eliminati i valori non necessari o non riconosciuti, elementi sconosciuti possono essere componenti di Spyware o Malware e vanno rimossi selezionando la voce interessata e premendo il pulsante Fix anche in questo caso Hijackthis rimuove il valore nella chiave di registro ma non il file associato pertanto per la sua rimozione è necessario il riavvio in provvisoria e la rimozione manuale dello stesso. La chiave di registro interessata è la seguente: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions registry key Gruppo O10: Winsock Hijackers 010 - Hijacked Internet access by New.Net 010 - Broken Internet access because of LSP provider c:\progra~1\common~2\toolbar\cnmib.dll missing Tutte le voci presenti in questo gruppo sono solitamente maligni In questa sezione sono elencati gli LSP (Layered Service Provider) che modificano le impostazioni Winsock di Windows. Un Winsock hijacker (ad esempio New.net) può controllare tutto il traffico Internet, dato che gli LSP sono tutti concatenati tra loro. Un LSP ha accesso ad ogni dato in entrata o in uscita dal computer, al punto di poter modificare questi dati. Hijackers e Malware, possono installarsi come LSP per spiare e registrare indisturbati tutto quello che fate in rete. E' sconsigliato Fixare queste voci Per rimuovere i componenti maligni in questo gruppo è necessario servirsi dell'ultima versione di SpyBot S&D disponibile, assicurandosi di aggiornarla, o in alternativa, è possibile usare il programma LSPfix (consigliato). Sempre in questo gruppo potreste trovare anche componenti di software antivirus: in questo caso, non fate nessuna azione di correzione in quanto è normale la loro presenza, se il vostro antivirus opera a livello Winsock, inoltre molti antivirus effettuano scansioni anche a livello di Winsock. Il problema più grande è che, dopo aver eliminato un LSP maligno, questi possono ricreare gli LSP (ma legittimi) in un ordine diverso, Hijackthis lo rileva in questo modo O10 - Broken Internet access because of LSP provider spsublsp.dll missing Non Fixate queste voci anche se Internet continua a funzionare normalmente e non presenta problemi particolari, togliere queste voci può compromettere il funzionamento della vostra connessione. Si richiede molta attenzione nell'operare su questo gruppo Gruppo O11: Funzioni extra in Opzioni Avanzate di Internet Explorer O11 - Options group: [CommonName] CommonName Se HijackThis riporta questa voce visualizza tutti gli elementi aggiunti inseriti da software di terze parti nella scheda Avanzate di Internet, al momento, esiste un solo Spyware che aggiunge un suo elemento nella scheda Avanzate e sarebbe il solo ''CommonName'' in questo caso è possibile Fixare la voce senza problemi. La chiave di registro interessata è la seguente: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions Gruppo O12: Internet Explorer Plugins O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll Di solito gli elementi qui contenuti in questo gruppo sono benigni. Si tratta di ''plug-in'' installati da applicazioni sviluppate da terze parti per estendere le funzionalità di Internet Explorer, un malware che si registri come plugin viene reinstallato automaticamente quando con Internet Explorer si cerca di aprire un file a lui associato,per ora sembra che il solo ''OnFlow'' aggiunga una entry (.ofb). Fixando la voce HijackThis eliminerà la chiave del registro e tenterà anche la rimozione del file associato se dovesse fallire la rimozione và fatta manualmente dalla provvisoria. La chiave di registro interessata è la seguente: HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins Gruppo O13: Internet Explorer default prefix Hijack O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?= O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi? Internet Explorer default prefix hijack è il ''prefisso di default'' cioè un'impostazione di Windows che stabilisce il modo in cui vengono trattati gli indirizzi Internet (URL) che digitiamo senza protocollo di identificazione (http://, ftp://, etc..). Il prefisso di default che viene anteposto in automatico dal browers ad un indirizzo digitato in maniera incompleta è http:// Il più diffuso Hijacker che compie queste modifiche è CoolWebSearch il quale modifica il prefisso di default sostituendolo con http:// e http.cc/? E l'utente verrà reindirizzato al sito di riferimento di CoolWebSearch. La chiave di riferimento e: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\URL\DefaultPrefix\ Prima di usare il pulsante Fix, è opportuno rimuovere tutte le varianti di CoolWebSearch servendoci di CWShredder dopo la rimozione è possibile eseguire nuovamente HijackThis e selezionare le voci nel gruppo e premere il pulsante Fix Gruppo O14: Web Settings Hijack O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com Avrete notato che è possibile resettare le impostazioni web ai valori predefiniti da Pannello di controllo - Opzioni Internet - Programmi - Ripristina impostazioni Web. Questo è possibile richiamando il file iereset.inf che memorizza tutte le impostazioni web del nostro Pc e viene utilizzato da Internet Explorer ''resettare'' tutte le sue impostazioni ai valori predefiniti configurati al momento dell'installazione del Sistema Operativo. Il file si trova in C:\windows\inf\iereset.inf, componenti maligni modificano il file in modo da impedire il ripristino del browser alle impostazioni iniziali. Questo valore può essere modificato anche dall'amministratore del sistema, se la modifica risulta sconosciuta selezionare la voce e premere il tasto Fix per risolvere il problema Gruppo O15: Siti ritenuti sicuri O15 - Trusted Zone: http://free.aol.com O15 - Trusted Zone: *.msn.com In questo gruppo sono elencati i siti sicuri denominata Trusted Zone da: Pannello di controllo - Opzioni Internet - Protezione 'Siti Attendibili'. Seguendo questo percorso è possibile assegnare il livello di sicurezza per i vari tipi di protocolli, purtroppo la Trusted Zone ha impostato il livello di sicurezza più basso di conseguenza scripts o applicazioni presenti in questo gruppo possono essere eseguite senza il consenso dell'utente e a sua completa insaputa, in quanto il controllo sugli scripts e sugli ActiveX è praticamente disabilitato. Le chiavi del registro interessate sono: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Internet Settings\ZoneMap\Domains KEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curren tVersion\Internet Settings\ZoneMap\Domains HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Internet Settings\ZoneMap\Ranges HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Internet Settings\ZoneMap\Ranges Per difendersi si possono adottare queste soluzioni
Selezionando le voci e premere il tasto Fix vengono eliminati i valori dal registro di sistema. Al termine è comunque opportuno scaricare il file Deldomains.inf e selezionarlo con il tasto destro premendo dal menu 'Installa'. Vengono in questo modo ripristinate correttamente le zone di protezione di Internet Explorer Gruppo O16: ActiveX Objects O16 - DPF: {12398DD6-40AA-4C40-AEC-A42CFC0DE797} (Installer Class) - http://www.xxxto*lbar.com/ist/softwa...06_regular.cab In questo gruppo vengono mostrati gli ActiveX scaricati e installati da Internet, questi vengono inseriti in C:\windows\Downloaded Program Files. Sono comunque accessibili da: Pannello di controllo - Opzioni Internet - Generale - Impostazioni - Visualizza Oggetti. Questi hanno anche riferimenti nel registro, le cui voci sono identificabili dal CLSID, un oggetto ActiveX è un programma sviluppato con tecnologia Microsoft che permette di estendere le funzionalità del browser aggiungendo nuove possibilità. Se nella lista trovate delle voci o degli indirizzi che non conoscete, fate una ricerca con Google incollando l'indirizzo che compare nella voce comunque, è opportuno eliminare subito gli ActiveX contenenti i termini sex, porn, dialer, free, casino, adult etc. E' possibile prevenire l'insediamento degli ActiveX installando Spyware Blaster che ha un ampio database di ActiveX maligni, e che ne previene l'installazione, selezionando le voci e premendo il tasto Fix HijackThis eliminerà le chiavi nel registro di configurazione e generalmente riesce anche a rimuovere gli oggetti ActiveX se dovesse fallire l'operazione di rimozione degli ActiveX sarà necessaria la rimozione manuale degli stessi dalla provvisoria Gruppo O17: Lop.com domain Hijacks O17 - HKLM\System\CCS\Services\Tcpip\..\{44E2E0DD-8F4A-41D0-B12B-20BB79632B6F}: NameServer = 193.70.152.15 193.70.152.25 In questo gruppo vengono riportati gli indirizzi IP dei DNS (Domain Name Server) utilizzati dal Pc per convertire gli indirizzi da formato testo in indirizzo IP, alcuni hijackers modificano, intervenendo sul registro di sistema, il server DNS predefinito sostituendo quello da voi scelto con uno proprietario. In questo modo, qualunque URL digitiate nel browser, il DNS dell'hijackers può ridirezionarvi verso il sito che crede. Se in questo gruppo trovate delle voci che non appartengono al vostro DNS selezionatele e premete il tasto Fix. E' possibile effettuare una ricerca per verificare l'autenticità del DNS consultando il servizio Whois su questo Sito Gruppo O18: Protocolli extra o modificati O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82 Quando compare questa voce indica che è stato installato un driver di protocollo addizionale rispetto a quelli usati da Windows, oppure che sono stati modificati nelle regole di filtering. Agendo su alcune chiavi del registro di Windows, un malware può modificare i driver standard che vengono usati dal sistema operativo per la gestione dei vari servizi di rete. Sostituendoli con i propri, può così prendere il controllo del vostro sistema su come vengono inviate e ricevute informazioni. I componenti maligni che più comunemente si servono di questi espedienti sono CoolWebSearch, Lop.com e Related Links. Le chiavi di registro interessate sono: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Hand ler HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filt er Fixando le voci viene cancellata la voce di registro, ma non il file collegato che dovrà essere cancellato manualmente dalla provvisoria Gruppo O19: User style sheet Hijack O19 - User style sheet: c:\WINDOWS\Java\my.css Questo gruppo è riferito agli 'style sheets' o fogli di stile che consentono di impostare una sorta di modello per la visualizzazione di una pagina web. Un foglio di stile contiene informazioni sui colori da usare in una pagina html, sulle fonti di carattere scelte, sull'allineamento del testo e così via. Alcuni malware modificano il foglio di stile sviluppato specificamente per le persone diversamente abili causando la comparsa di numerose finestre pop up ed un drastico calo delle performance durante la navigazione in Rete. La chiave di registro interessata è HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets Queste voci sono eliminabili selezionando la voce e premendo il pulsante Fix, HijackThis non elimina però i file presenti in questo gruppo, una volta cliccato sul pulsante Fix: è consigliabile riavviare il sistema in modalità provvisoria ed eliminare i file manualmente. Gruppo O20: AppInit_DLLs Registry value autorun O20 - AppInit_DLLs: C:\WINDOWS\System32\winifhi.dll O20 - Winlogon Notify: Extensions - C:\WINDOWS\system32\i042laho1d4c.dll Questo gruppo corrisponde alle librerie dll che vengono caricate al login dell'utente dal Sistema Operativo, questo gruppo può riportare 2 voci : AppInit_DLLs contenuta nel registro di sistema e alle sottochiavi Winlogon Notify AppInit_DLL In particolare il valore di registro AppInit_DLL contiene una lista delle dll che verranno caricate al momento in cui verrà caricata la libreria user32.dll, questo rende difficile la rimozione di queste dll che verranno caricate ed utilizzate da diversi processi, alcuni dei quali non potranno essere fermati senza causare instabilità all'intero sistema. Il file user32.dll viene anche utilizzato dai processi che vengono avviati automaticamente nel momento in cui ci si logga nel sistema; questo significa che i file elencati nel valore di registro AppInit_DLL saranno caricati nella fase di Startup di Windows permettendo alle dll di nascondersi e proteggersi prima che l'utente possa avere accesso al sistema. Questo metodo viene utilizzato da alcune varianti del CoolWebSearch, e l'infezione può essere visualizzata solo ed esclusivamente con un click destro sul valore e selezionando la voce modifica dati binari, oppure utilizzando un editor di registro chiamato Registrar Lite La chiave di registro interessata è: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows Ci sono pochi programmi che usano legittimamente questa chiave di registro, ma in ogni caso è necessario procedere con cautela prima di rimuovere queste voci, Fixando queste voci, HijackThis non cancella il file incriminato, e quindi si dovrà farlo manualmente in modalità provvisoria. Winlogon Notify La chiave Winlogon Notify viene generalmente utilizzata dalle infezioni Look2Me. HijackThis elencherà tutte le chiavi Winlogon Notify non standard in modo che si potranno facilmente individuare quelle probabilmente infette. E' possibile riconoscere le chiavi dell'infezione Look2Me in quanto saranno caratterizzate da una dll con un nome casuale situato nella cartella %SYSTEM%. Questa è la chiave di registro interessata HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify Anche in questo caso Fixando queste voci, HijackThis non cancellerà il file incriminato, e quindi si dovrà farlo manualmente in modalità provvisoria in questo caso conviene affiancare ad HijackThis anche Look2me Destroyer. Gruppo O21: ShellServiceObjectDelayLoad O21 - SSODL: System - {3CE8EED5-112D-4E37-B671-74326D12971E} - C:\WINDOWS\system32\system32.dll In questo gruppo vengono raggruppati i file inizializzati ad ogni avvio di Windows mediante l'uso della chiave ShellServiceObjectDelayLoad del registro di sistema. Questa è la chiave di registro interessata HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad I file in questa chiave di registro vengono automaticamente caricati da Explorer.exe quando il Pc viene avviato. Explorer.exe è la shell del computer, verrà caricato ad ogni avvio e caricherà tutti i file presenti nella relativa chiave di registro. Questi file vengono caricati molto presto durante il processo di startup, prima che ogni intervento umano possa essere eseguito sul computer. HijackThis è a conoscenza dei componenti 'benigni' che fanno uso della chiave ShellServiceObjectDelayLoad: tali elementi non vengono visualizzati in questo gruppo, se HijackThis mostra uno o più elementi all'interno di questo gruppo è quindi altamente probabile che si tratti di componenti pericolosi. Un piccolo elenco di Hijacker che potete trovare in questo gruppo lo potete consultare su questo sito. Fixando queste voci, HijackThis non cancella il file incriminato, e quindi si dovrà farlo manualmente in modalità provvisoria. Gruppo O22: SharedTaskScheduler O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll Questo gruppo mostra l'elenco dei file caricati ad ogni ingresso in Windows mediante il valore SharedTaskScheduler del registro di sistema. Questa è la chiave di registro interessata HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\SharedTaskScheduler Alcune varianti di CoolWebSearch utilizzano questo espediente per auto-eseguirsi all'avvio del sistema operativo. Agite comunque con estrema cautela nel rimuovere gli elementi visualizzati in questo gruppo di HijackThis perché molti di essi possono essere assolutamente necessari per il corretto funzionamento del sistema. E' possibile trovare molte informazioni in merito in questo Sito, o altrimenti effettuate ricerche con google per stabilire se ciascun elemento sia da considerarsi nocivo o meno. Hijackthis cancellerà il valore associato alla chiave SharedTaskScheduler, ma non cancellerà il CLSID a cui punta, ed il file al quale la sottochiave del CLSID chiamata Inprocserver32 a sua volta punta. Di conseguenza si dovrà eliminare tale file manualmente in modalità provvisoria Gruppo O23: Lista dei servizi di sistema Questo gruppo mostra la lista dei servizi di sistema (Windows NT/2000/XP/2003) che il programma non conosce. E' tuttavia possibile fare in modo che HJT elenchi tutti i servizi flaggando la casella 'ihatewhitelists'. Gran parte di essi sono servizi installati da parte di applicazioni assolutamente benigne: software antivirus, firewall, utility di terze parti vengono spesso configurate come servizi di Windows (automaticamente eseguiti ad ogni avvio del sistema operativo). Prima di eliminare elementi visualizzati in questo gruppo, è bene informarsi sul significato e sulla natura degli stessi. Per farlo visitate questi siti spywareaid fbeej.dk o effettuate una ricerca con Google. Il pulsante Fix di HijackThis disabilita l'avvio automatico per il servizio selezionato, ferma il servizio stesso e richiede di riavviare il Pc, HijackThis, però, non elimina 'fisicamente' il servizio. Un servizio collegabile all'azione di un software malware deve poi essere successivamente eliminato in modo manuale servendosi del comando seguente (da inserire al Prompt dei comandi DOS): sc delete nome_del_servizio Dove nome_del_servizio va sostituito con il nome del servizio che si intende eliminare definitivamente dal proprio sistema. E' anche possibile eliminare il servizio attraverso HijackThis, per farlo, aprite il programma, cliccate su config, poi su misc tools, ed infine su delete an NT service. A questo punto inserite il nome del servizio e premete su OK. I servizi indesiderati possono essere eliminati anche dal registro di sistema. Ecco le chiavi interessate: HKLM\SYSTEM\ControlSet00X (dove X=1,2,3,..)\Enum\Root\LEGACY_Nomedelservizio HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Nom edelservizio HKLM\SYSTEM\ ControlSet00X (dove X=1,2,3,..)\Services\Nomedelservizio HKLM\SYSTEM\CurrentControlSet\Services\Nomedelserv izio Gruppo O24: Active Desktop Component Questa voce verrà visualizzata solo se state usando la versione Trend Micro di Hijackthis. Essa corrisponde ai componenti di Windows Active Desktop che non sono altro che dei file integrati direttamente nel vostro Desktop. La Chiave di registro interessata è HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components. Fixando questa voce si elimina la chiave, ma non il file associato che deve essere rimosso manualmente. Nella speranza di aver chiarito come usare ed interpretare il log di HijackThis rimanendo sempre in tema di sicurezza se non riuscite a risolvere i vostri problemi postate il log di HijackThis, sul forum che frequentate di solito, inoltre esponete in maniera chiara i problemi del vostro Pc e le operazioni che avete già fatto
___________________________________
- Il primo fondamento della sicurezza non e' la tecnologia, ma l'attitudine mentale - Ultima modifica di VincenzoGTA : 27-04-2015 alle ore 23.54.22 |
Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti) | |
|
|
Discussioni simili | ||||
Discussione | Autore discussione | Forum | Risposte | Ultimo messaggio |
Windows 8 RP: guida all'installazione | Redazione | News dal WEB | 3 | 01-06-2012 22.46.18 |
HijackThis 1.99 | Gervy | Archivio News Software | 1 | 15-12-2004 19.39.46 |
Guida a HijackThis | Billow | Archivio News Web | 7 | 12-11-2004 21.10.25 |
Guida Sicurezza informatica | Gigi75 | Sicurezza&Privacy | 3 | 16-09-2004 17.33.02 |