Risultati da 1 a 4 di 4
  1. #1
    Software Zone Fanatic L'avatar di bonovox767
    Data Registrazione
    20-04-2004
    Località
    ...in_Rainbows
    Messaggi
    20.372

    Guida all'uso di HijackThis

    PREMESSA

    Questa guida ha lo scopo di aiutarVi a capire le varie voci del Log di Hijackthis, e va usata attentamente caso per caso.
    Quando siete particolarmente dubbiosi sul da farsi, è meglio sottoporre il vostro Log ai forumisti di SwZone più esperti, per un responso maggiormente personalizzato,
    ma solo nel caso abbiate dei reali problemi sul vostro Pc, e non tanto per fare un CheckUp di controllo.


    E come sempre, ricordate che il primo Antivirus ed AntiSpyware siete Voi.


    ************************************************** ********
    Installazione ed uso di HijackThis


    ATTENZIONE: Ricordo che Hijackthis non è compatibile con i sistemi operativi a 64 Bit

    Hijackthis è un programma standalone che ci consente di rilevare e correggere (fissare) la presenza di Spyware, malware, hijacker e quant'altro, liberamente scaricabile dal sito ufficiale della Trend Secure:

    http://sourceforge.net/projects/hjt/

    Questo link risulta attivo per il download alla data del 14 Agosto 2012.
    Se nel frattempo il ink fosse diventato irraggiungibile, affidatevi al database di SwZone dalla Home Page, o fate una rapida ricerca con Google.
    La versione attuale è la 2.0.4.

    Una volta scaricato l'eseguibile, posizionatelo in una sua cartella specifica, che avrete creato in precedenza, ad esempio in C:\Programmi. Questo perché se non ha una sua cartella dedicata, non riesce a creare un backup delle voci rimosse prima di effettuare la pulizia.
    Ora lanciate il programma facendo click con il tasto destro sull’eseguibile, scegliete la voce Esegui come Amministratore ed avviate lo Scan, scegliendo la voce "Do a system scan and save a logfile"




    Di default, il logfile verrà salvato nella cartella di Hijackthis (per brevità HJT).

    Vi ritroverete una lista con tutti i processi attivi del vostro Pc.
    Ora il problema è interpretare il log, che è il risultato “scritto” della scansione effettuata.
    Una delle possibilità è ricorrere all'analisi automatica online offerta dal sito Hijackthis.de incollando o caricando il log che avete ottenuto in precedenza.
    Per fare questo, dopo aver fatto la scansione con HJT e salvato il log, andate sul sito http://www.hijackthis.de/it



    Potrete scegliere se copiare ed incollare il testo del log (Voce 1), o se inserirlo direttamente tramite il comando “Sfoglia” (Voce 2).
    Lasciate la spunta a “Mostra i voti dei visitatori” (Voce 3) che vi può dare qualche indicazione di massima sulle varie voci, in base all’esperienza degli altri visitatori, che offre così già una prima scrematura tra voci pericolose e non.
    Premete quindi su analizza ed attendete il responso.

    In breve vi verrà visualizzata un'analisi del vostro log, con la descrizione dei vari processi e la loro effettiva o presunta pericolosità.
    Tutto così semplice? Non proprio. L'analisi è attendibile fino ad un certo punto, perché potrebbero essere ritenuti pericolosi, o sconosciuti, processi che non sono inseriti nel database di HJT, ed ecco perché è meglio sapere a cosa corrispondono le varie voci, prima di fissare allegramente tutto ciò che ci sembra sospetto.
    Dopotutto non dimentichiamoci che quello che viene modificato in alcuni casi è il registro di sistema!
    Ultima modifica di bonovox767; 14-08-2012 alle 13.08.41

  2. #2
    Software Zone Fanatic L'avatar di bonovox767
    Data Registrazione
    20-04-2004
    Località
    ...in_Rainbows
    Messaggi
    20.372
    Riconoscere le voci del Log

    Vediamo ora una lista descrittiva delle varie voci, derivata dalla guida originale in inglese di Merijn.

    Codice:
    R0, R1, R2, R3 - IE Homepage & Search
    
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/ 
    R2 - (non ancora usato da Hijack) 
    R3 - Default URLSearchHook is missing
    Queste voci sono relative alla pagina iniziale di IE e al motore di ricerca predefinito.Prestate attenzione agli indirizzi contenuti, e se non corrispondono alla vostra Homepage o motore di ricerca, ranzate via queste righe

    Codice:
    F0, F1, F2, F3 - Autoloading programs dai files INI
    
    F0 - system.ini: Shell=Explorer.exe clickme.exe
    F1 - win.ini: run=hpfsched
    Voci relative ai files sistema ( I famosi .ini) che si occupano di avviare automaticamente determinati eseguibili.Gli F0 sono sempre dannosi, perciò fissateli, mentre gli F1 sono da controllare tramite appositi DATABASE online.
    http://www.sysinfo.org/startuplist.php


    Codice:
    N1, N2, N3, N4 - Netscape/Mozilla Homepage & Search
    
    N1 - Netscape 4: user_pref("browser.startup.homepage, "www.google.com");
    (C:\ProgramFiles\Netscape\Users\default\prefs.js)
    N2 Netscape6:user_pref("browser.startup.homepage","http://www.google.com");
    (C:\DocumentsandSettings\User\ApplicationData\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
    N2 - Netscape 6:  user_pref("browser.search.defaultengine",
     "engine://C:\Program  Files\Netscape\Csearchplugins\CSBWeb_02.src"); 
    (C:\Program  FilesDocumentsandSettings\UserApplication  
    Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js) 
    Stesso discorso delle voci R0-R1-R3, ma per Browser alternativi come Firefox od Opera.
    Codice:
    O1 - Reindirizzi nel file HOSTS
    
    O1 - Hosts: 216.177.73.139 auto.search.msn.com
    O1 - Hosts: 216.177.73.139 search.netscape.com
    O1 - Hosts: 216.177.73.139 ieautosearch
    O1  - Hosts file is located at C:WindowsHelphosts
    Voci inserite spesso dagli Spyware, come l'Hijacker CoolWebSearch, per deviare la vostra navigazione su siti poco affidabili. Se il reindirezzamento non lo avete inserito voi nel file host, correggete le righe incriminate.

    Codice:
    O2 - Browser Helper Objects
    
    O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
    O2  - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM  FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file) 
    E questi cosa sono? BHO… No, non intendo che non lo so, ma che sono proprio dei BHO, cioè Browser Helper Objects. Consultate il DATABASE BHO online per riconoscere quelli dannosi.
    http://www.sysinfo.org/bholist.php

    Codice:
    O3 - Barre degli Strumenti di Internet Explorer
    
    O3  - Toolbar: &Yahoo! Companion -  {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM  FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
    O3 - Toolbar: Popup  Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM  FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)
    O3 - Toolbar:  rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} -C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL
    Barre installate per IE. Non è detto che sia stata installata volutamente. Controllate nel solito DATABASE online le Toolbars.
    http://www.sysinfo.org/bholist.php

    Codice:
    O4 - Autoloading programs from Registry or Startup group
    
    O4 - HKLM..Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
    O4 - HKLM..Run: [SystemTray] SysTray.Exe
    O4 - HKLM..Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O4  - Global Startup: winlogon.exe
    Eliminerete i processi maligni, aiutandovi con una lista per le voci di startup.
    Ricordate che determinati processi devono essere terminati, per poter essere eliminati;ecco uno dei perché l'opera di "pulitura"" risulta più facile ed efficace in modalità provvisoria.

    Codice:
    O5 - Opzioni Internet nascoste nel Pannello di Controllo
    
    O5  - control.ini: inetcpl.cpl=no
    Riferita alle Opzioni di IE, voce nascosta per impedirne la modifica. Se non viene fatta volontariamente, va corretta.



    Codice:
    O6 - Restrizioni di Accesso a Opzioni Internet
    
    O6  - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions  present
    Sono le restrizioni presenti per l'accesso alle modifiche delle opzioni di IE. Se non sono state attivate dall'Admin, o da programmi tipo Spybot, fissatele.

    Codice:
    O7 - Restrizione di Accesso a Regedit
    
    O7  HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System,  DisableRegedit=1
    Impedisce l'accesso a "regedit.Fissare se non lo ha fatto l'admin

    Codice:
    O8 - Funzioni Extra col tastro destro in IE
    
    O8  - Extra context menu item: &Google Searchres://C:\WINDOWS\DOWNLOADED PROGRAM  FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html
    O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
    O8 - Extra context menu item: Zoom &In - C:WINDOWSWEBzoomin.htm
    Se non conoscete il programma che ha inserito le funzioni nel menù del tasto destro, fissate.

    Codice:
    O9 - Pulsanti Extra nelle Barre, o Oggetti Extra in Strumenti, in IE
    
    O9 - Extra button: Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: Messenger (HKLM)
    O9 - Extra button: AIM (HKLM) 
    Come sopra.

    Codice:
    O10 - Winsock hijackers
    
    O10 - Hijacked Internet access by New.Net
    O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll'missing
    O10  - Unknown file in Winsock LSP: c:\program files\newton  knows\vmain.dll
    Voci inserite dagli Hijacker. Per eliminare il problema di queste voci,è preferibile usare programmi come Spybot.

    Codice:
    O11 - Funzioni Extra in Opzioni Avanzate di IE
    
    O11  - Options group: [CommonName] CommonName
    Se trovate questa voce, avete uno spyware chiamato appunto "CommonName". Fissate pure.

    Codice:
    O12 - Internet Explorer plugins
    
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O12  - Plugin for .PDF: C:\Program Files\Internet  Explorer\PLUGINS\nppdf32.dll
    Voci sicure, relative ai plugin per IE. L'unico plugin eventualmente da correggere è uno con estensione .ofb relativo allo spyware OnFlow.

    Codice:
    O13 - IE DefaultPrefix hijack
    
    O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
    O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
    O13 - WWW. Prefix: http://ehttp.cc/?
    Sono dei malware, sempre! Ranzate via.

    Codice:
    014 - Reset Web Settings' hijack
    
    O14  - IERESET.INF: START_PAGE_URL=http://www.searchalot.com
    Significa che c'è stato un tentativo di reindirizzamento. Se non è del vostro provider, fissate.
    Ultima modifica di bonovox767; 10-07-2008 alle 22.50.11

  3. #3
    Software Zone Fanatic L'avatar di bonovox767
    Data Registrazione
    20-04-2004
    Località
    ...in_Rainbows
    Messaggi
    20.372
    Codice:
    O15 - Siti ritenuti Sicuri
    
    O15 - Trusted Zone: http://free.aol.com
    O15 - Trusted Zone: *.coolwebsearch.com
    O15  - Trusted Zone: *.msn.com
    La lista dei siti considerati sicuri. Controllateli attentamente, ed eliminate quelli che non conoscete, come ad esempio "CoolWebSearch.com" che è un classico…

    Codice:
    O16 - ActiveX Objects (aka Downloaded Program Files)
    
    O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
    O16  - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object)  -  http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    Lista degli ActiveX installati. Potrebbero esserci degli spyware. Controllateli attentamente, facendo attenzione alle parole che spesso indicano Spyware, come dialer, casino, sex ecc.
    Potete prevenire usando programmi del tipo "SpywareBlaster".

    Codice:
    O17 - Lop.com domain hijacks
    
    O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
    O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gla.ac.uk
    O17  - HKLM\System\CS1\Services\VxD\MSTCP: NameServer =  69.57.146.14,69.57.147.175
    Hijack che tenta un redirect. Se non appartiene al vostro provider, correggete. Per la voce "NameServer", cercate l'IP in rete con Google, e controllate la destinazione.

    Codice:
    O18 - Protocolli Extra o Modificati
    
    O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
    O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
    O18  - Protocol hijack: http -  {66993893-61B8-47DC-B10D-21E0C86DD9C8}
    Generalmente sicuro, in quanto non viene spesso usato dagli spyware. Nel dubbio, controllate con Google.

    Codice:
    O19 - User style sheet hijack
    
    O19 - User style  sheet: c:\WINDOWS\Java\my.css
    Se avete questa voce, è molto probabile che siate in compagnia di "CoolWebSearch", specie se vi capita che IE si chiuda all'improvviso, o che siate disturbati dai popup.
    Potete usare "Cwshredder" per risolvere il problema.
    http://us.trendmicro.com/us/products...der/index.html

    Codice:
    O20 - AppInit_DLLs Registry value autorun
    
    O20 -  AppInit_DLLs: msconfd.dll
    Queste voci di registro non sono usate da molti programmi noti e sicuri, mentre spesso da trojans e hijackers. Sono da verificare.

    Codice:
    O21 – ShellServiceObjectDelayLoad
    
    O21  - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} -  C:\WINDOWS\System\auhook.dll
    Come sopra, è usato raramente da Windows. Se nel log trovate qualche voce riferita alle “021”,vuol dire che non è compresa nella WhiteList di Hijackthis, quindi quasi sicuramente nociva.

    Codice:
    O22 – SharedTaskScheduler
    
    O22 -  SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F}  - c:\windows\system32\mtwirl32.dll
    Voce da verificare attentamente.

    Codice:
    O23 - NT Services
    
    O23 - Service: VMware NAT  Service - VMware, Inc. - C:\WINDOWS\System32\vmnat.exe
    Sono programmi particolari generalmente relativi al sistema e importanti. Partono prima del logon utente e sono protetti da Windows. Un ottimo nascondiglio per i malwares. Fissandoli i servizi verranno disabilitati e sarà necessario il riavvio del sistema.

    ************************************************** *************************
    Ora avete una mezza idea su cosa siano queste voci incomprensibili che circolano nel vostro Computer.
    Nel casi si siano riscontrate voci pericolose e le si vogliano eliminare ( Fissare) basterà spuntare le voci relative e premere il tasto “Fix Checked”



    A questo punto basterà riavviare il Pc, per concludere correttamente
    l’operazione.
    Ultima modifica di bonovox767; 10-07-2008 alle 22.50.58

  4. #4
    Software Zone Fanatic L'avatar di bonovox767
    Data Registrazione
    20-04-2004
    Località
    ...in_Rainbows
    Messaggi
    20.372
    Le altre voci di Hijackthis

    Sebbene piuttosto intuibili, vediamo velocemente le altre opzioni presenti



    • Save log: non ci crederete, ma salva il vostro log sul vostro Pc.
    • Fix checked: è il comando che rimuove le voci selezionate/spuntate, come visto sopra.
    • Info on selected item:apre un popup che spiega velocemente la natura della voce presa in esame.
    • Analyze this: vi trasporta sul sito di HJT per sottoporre il vostro log al forum (in inglese)
    • Upload to/Send log TrendSecure: per inviare il log a TrendSecure
    • Main Menu: per tornare alla schermata principale
    • Info: informazioni sulla versione di HJT e breve spiegazione delle voci della scansione
    • Config: per configurare il programma
    • Add checked to ignore list: per ignorare nella scansione voci che voi ritenete assolutamente sicure


    The Misc Tools Section

    Hijackthis offre ancora delle funzionalità, oltre a quella più famosa, accessibili dal Main Menu tramite il tasto Open the Misc tool section



    • Generate StartupList log: Genera una lista di tutti i processi che partono all’avvio del vostro Pc. Utile, ma esiste il programma Autoruns di Windows, che oltre a mostrarvi i processi, ve li lascia anche disabilitare in maniera sicura e reversibile.
    • Open process manager: è il corrispondente del Task Manager
    • Open hosts file manager: vi mostra il vostro file hosts, file di testo con una lista di indirizzi IP e i loro rispettivi nomi di dominio.
    • Delete a file on reboot: forse la funzione più interessante di questa sezione. Quando non riuscite ad eliminare in nessun modo un file dal vostro Pc, filmato, mp3 o cartella che sia, usate questo tool, che provvederà ad eliminarlo al riavvio del Pc. Basta selezionarlo dalla finestra che vi si apre.
    • Delete an NT service: dimenticate questa voce. Quello che eliminerste non sarebbe recuperabile, ma non avete nemmeno bisogno di questa utility.
    • Open ADS Spy: cerca i Data Stream nascosti
    • Open uninstall manager: per rimuovere programmi dal vostro Pc. Preferibile usare sempre l’uninstaller del programma stesso.



    Allegare un log in formato testo nel forum

    Ora che sapete a cosa corrispondano le varie voci, non è detto che sappiate autonomamente cosa fare.
    In questo caso può essere utile sottoporre il vostro log a gente più esperta, per risolvere il problema che vi affligge.
    Per fare questo ci si deve NECESSARIAMENTE ricordare che è vietato copiare ed incollare in un post il contenuto, ma allegarlo in formato testo.
    Il log viene salvato da HJT come “hijackthis.log”.

    Abilitate, se non lo è già, la visualizzazione delle estensioni dei files conosciuti:
    http://windowshelp.microsoft.com/Win...389da1040.mspx

    Rinominate l’estensione da .log a .txt
    A questo punto potrete allegare nel vostro post il log ottenuto.

    ************************************************** ***************************
    *Lo Staff di SwZone, ed io stesso in qualità di autore della guida, non ci riterremo responsabili per malfunzionamenti al Vs Sistema Operativo,causati da un uso improprio o a cuor leggero di Hijackthis.
    Ultima modifica di bonovox767; 03-01-2012 alle 12.26.12

Segnalibri

Permessi di Scrittura

  • Tu non puoi inviare nuove discussioni
  • Tu non puoi inviare risposte
  • Tu non puoi inviare allegati
  • Tu non puoi modificare i tuoi messaggi
  •