Guida all'uso di HijackThis

bonovox767 · 10-07-2008, 21.51.21

PREMESSA

Questa guida ha lo scopo di aiutarVi a capire le varie voci del Log di Hijackthis, e va usata attentamente caso per caso.
Quando siete particolarmente dubbiosi sul da farsi, è meglio sottoporre il vostro Log ai forumisti di SwZone più esperti, per un responso maggiormente personalizzato, ma solo nel caso abbiate dei reali problemi sul vostro Pc, e non tanto per fare un CheckUp di controllo.

E come sempre, ricordate che il primo Antivirus ed AntiSpyware siete Voi.

************************************************** ********
Installazione ed uso di HijackThis

Hijackthis è un programma standalone che ci consente di rilevare e correggere (fissare) la presenza di Spyware, malware, hijacker e quant'altro, liberamente scaricabile dal sito ufficiale della Trend Secure:

http://free.antivirus.com/hijackthis/

Questo link risulta attivo per il download alla data del 22 Aprile 2010.
Se nel frattempo il ink fosse diventato irraggiungibile, affidatevi al database di SwZone dalla Home Page, o fate una rapida ricerca con Google.
La versione attuale è la 2.0.4.

Una volta scaricato l'eseguibile, posizionatelo in una sua cartella specifica, che avrete creato in precedenza, ad esempio in C:\Programmi. Questo perché se non ha una sua cartella dedicata, non riesce a creare un backup delle voci rimosse prima di effettuare la pulizia.
Ora lanciate il programma cliccando l’eseguibile e avviate lo Scan, scegliendo la voce "Do a system scan and save a logfile"

Di default, il logfile verrà salvato nella cartella di Hijackthis (per brevità HJT).

Vi ritroverete una lista con tutti i processi attivi del vostro Pc.
Ora il problema è interpretare il log, che è il risultato “scritto” della scansione effettuata.
Una delle possibilità è ricorrere all'analisi automatica online offerta dal sito Hijackthis.de incollando o caricando il log che avete ottenuto in precedenza.
Per fare questo, dopo aver fatto la scansione con HJT e salvato il log, andate sul sito http://www.hijackthis.de/it

Potrete scegliere se copiare ed incollare il testo del log (Voce 1), o se inserirlo direttamente tramite il comando “Sfoglia” (Voce 2).
Lasciate la spunta a “Mostra i voti dei visitatori” (Voce 3) che vi può dare qualche indicazione di massima sulle varie voci, in base all’esperienza degli altri visitatori, che offre così già una prima scrematura tra voci pericolose e non.
Premete quindi su analizza ed attendete il responso.

In breve vi verrà visualizzata un'analisi del vostro log, con la descrizione dei vari processi e la loro effettiva o presunta pericolosità.
Tutto così semplice? Non proprio. L'analisi è attendibile fino ad un certo punto, perché potrebbero essere ritenuti pericolosi, o sconosciuti, processi che non sono inseriti nel database di HJT, ed ecco perché è meglio sapere a cosa corrispondono le varie voci, prima di fissare allegramente tutto ciò che ci sembra sospetto.
Dopotutto non dimentichiamoci che quello che viene modificato in alcuni casi è il registro di sistema!

bonovox767 · 10-07-2008, 21.52.18

Riconoscere le voci del Log

Vediamo ora una lista descrittiva delle varie voci, derivata dalla guida originale in inglese di Merijn.

Codice:

R0, R1, R2, R3 - IE Homepage & Search

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/ 
R2 - (non ancora usato da Hijack) 
R3 - Default URLSearchHook is missing

Queste voci sono relative alla pagina iniziale di IE e al motore di ricerca predefinito.Prestate attenzione agli indirizzi contenuti, e se non corrispondono alla vostra Homepage o motore di ricerca, ranzate via queste righe

Codice:

F0, F1, F2, F3 - Autoloading programs dai files INI

F0 - system.ini: Shell=Explorer.exe clickme.exe
F1 - win.ini: run=hpfsched

Voci relative ai files sistema ( I famosi .ini) che si occupano di avviare automaticamente determinati eseguibili.Gli F0 sono sempre dannosi, perciò fissateli, mentre gli F1 sono da controllare tramite appositi DATABASE online.
http://www.sysinfo.org/startuplist.php

Codice:

N1, N2, N3, N4 - Netscape/Mozilla Homepage & Search

N1 - Netscape 4: user_pref("browser.startup.homepage, "www.google.com");
(C:\ProgramFiles\Netscape\Users\default\prefs.js)
N2 Netscape6:user_pref("browser.startup.homepage","http://www.google.com");
(C:\DocumentsandSettings\User\ApplicationData\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
N2 - Netscape 6:  user_pref("browser.search.defaultengine",
 "engine://C:\Program  Files\Netscape\Csearchplugins\CSBWeb_02.src"); 
(C:\Program  FilesDocumentsandSettings\UserApplication  
Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)

Stesso discorso delle voci R0-R1-R3, ma per Browser alternativi come Firefox od Opera.

Codice:

O1 - Reindirizzi nel file HOSTS

O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
O1  - Hosts file is located at C:WindowsHelphosts

Voci inserite spesso dagli Spyware, come l'Hijacker CoolWebSearch, per deviare la vostra navigazione su siti poco affidabili. Se il reindirezzamento non lo avete inserito voi nel file host, correggete le righe incriminate.

Codice:

O2 - Browser Helper Objects

O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O2  - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM  FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file)

E questi cosa sono? BHO… No, non intendo che non lo so, ma che sono proprio dei BHO, cioè Browser Helper Objects. Consultate il DATABASE BHO online per riconoscere quelli dannosi.
http://www.sysinfo.org/bholist.php

Codice:

O3 - Barre degli Strumenti di Internet Explorer

O3  - Toolbar: &Yahoo! Companion -  {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM  FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O3 - Toolbar: Popup  Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM  FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)
O3 - Toolbar:  rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} -C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL

Barre installate per IE. Non è detto che sia stata installata volutamente. Controllate nel solito DATABASE online le Toolbars.
http://www.sysinfo.org/bholist.php

Codice:

O4 - Autoloading programs from Registry or Startup group

O4 - HKLM..Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM..Run: [SystemTray] SysTray.Exe
O4 - HKLM..Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4  - Global Startup: winlogon.exe

Eliminerete i processi maligni, aiutandovi con una lista per le voci di startup.
Ricordate che determinati processi devono essere terminati, per poter essere eliminati;ecco uno dei perché l'opera di "pulitura"" risulta più facile ed efficace in modalità provvisoria.

Codice:

O5 - Opzioni Internet nascoste nel Pannello di Controllo

O5  - control.ini: inetcpl.cpl=no

Riferita alle Opzioni di IE, voce nascosta per impedirne la modifica. Se non viene fatta volontariamente, va corretta.

Codice:

O6 - Restrizioni di Accesso a Opzioni Internet

O6  - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions  present

Sono le restrizioni presenti per l'accesso alle modifiche delle opzioni di IE. Se non sono state attivate dall'Admin, o da programmi tipo Spybot, fissatele.

Codice:

O7 - Restrizione di Accesso a Regedit

O7  HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System,  DisableRegedit=1

Impedisce l'accesso a "regedit.Fissare se non lo ha fatto l'admin

Codice:

O8 - Funzioni Extra col tastro destro in IE

O8  - Extra context menu item: &Google Searchres://C:\WINDOWS\DOWNLOADED PROGRAM  FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html
O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Zoom &In - C:WINDOWSWEBzoomin.htm

Se non conoscete il programma che ha inserito le funzioni nel menù del tasto destro, fissate.

Codice:

O9 - Pulsanti Extra nelle Barre, o Oggetti Extra in Strumenti, in IE

O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: AIM (HKLM)

Come sopra.

Codice:

O10 - Winsock hijackers

O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll'missing
O10  - Unknown file in Winsock LSP: c:\program files\newton  knows\vmain.dll

Voci inserite dagli Hijacker. Per eliminare il problema di queste voci,è preferibile usare programmi come Spybot.

Codice:

O11 - Funzioni Extra in Opzioni Avanzate di IE

O11  - Options group: [CommonName] CommonName

Se trovate questa voce, avete uno spyware chiamato appunto "CommonName". Fissate pure.

Codice:

O12 - Internet Explorer plugins

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12  - Plugin for .PDF: C:\Program Files\Internet  Explorer\PLUGINS\nppdf32.dll

Voci sicure, relative ai plugin per IE. L'unico plugin eventualmente da correggere è uno con estensione .ofb relativo allo spyware OnFlow.

Codice:

O13 - IE DefaultPrefix hijack

O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: http://ehttp.cc/?

Sono dei malware, sempre! Ranzate via.

Codice:

014 - Reset Web Settings' hijack

O14  - IERESET.INF: START_PAGE_URL=http://www.searchalot.com

Significa che c'è stato un tentativo di reindirizzamento. Se non è del vostro provider, fissate.

bonovox767 · 10-07-2008, 21.53.01

Codice:

O15 - Siti ritenuti Sicuri

O15 - Trusted Zone: http://free.aol.com
O15 - Trusted Zone: *.coolwebsearch.com
O15  - Trusted Zone: *.msn.com

La lista dei siti considerati sicuri. Controllateli attentamente, ed eliminate quelli che non conoscete, come ad esempio "CoolWebSearch.com" che è un classico…

Codice:

O16 - ActiveX Objects (aka Downloaded Program Files)

O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16  - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object)  -  http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Lista degli ActiveX installati. Potrebbero esserci degli spyware. Controllateli attentamente, facendo attenzione alle parole che spesso indicano Spyware, come dialer, casino, sex ecc.
Potete prevenire usando programmi del tipo "SpywareBlaster".

Codice:

O17 - Lop.com domain hijacks

O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gla.ac.uk
O17  - HKLM\System\CS1\Services\VxD\MSTCP: NameServer =  69.57.146.14,69.57.147.175

Hijack che tenta un redirect. Se non appartiene al vostro provider, correggete. Per la voce "NameServer", cercate l'IP in rete con Google, e controllate la destinazione.

Codice:

O18 - Protocolli Extra o Modificati

O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18  - Protocol hijack: http -  {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Generalmente sicuro, in quanto non viene spesso usato dagli spyware. Nel dubbio, controllate con Google.

Codice:

O19 - User style sheet hijack

O19 - User style  sheet: c:\WINDOWS\Java\my.css

Se avete questa voce, è molto probabile che siate in compagnia di "CoolWebSearch", specie se vi capita che IE si chiuda all'improvviso, o che siate disturbati dai popup.
Potete usare "Cwshredder" per risolvere il problema.
http://us.trendmicro.com/us/products...der/index.html

Codice:

O20 - AppInit_DLLs Registry value autorun

O20 -  AppInit_DLLs: msconfd.dll

Queste voci di registro non sono usate da molti programmi noti e sicuri, mentre spesso da trojans e hijackers. Sono da verificare.

Codice:

O21 – ShellServiceObjectDelayLoad

O21  - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} -  C:\WINDOWS\System\auhook.dll

Come sopra, è usato raramente da Windows. Se nel log trovate qualche voce riferita alle “021”,vuol dire che non è compresa nella WhiteList di Hijackthis, quindi quasi sicuramente nociva.

Codice:

O22 – SharedTaskScheduler

O22 -  SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F}  - c:\windows\system32\mtwirl32.dll

Voce da verificare attentamente.

Codice:

O23 - NT Services

O23 - Service: VMware NAT  Service - VMware, Inc. - C:\WINDOWS\System32\vmnat.exe

Sono programmi particolari generalmente relativi al sistema e importanti. Partono prima del logon utente e sono protetti da Windows. Un ottimo nascondiglio per i malwares. Fissandoli i servizi verranno disabilitati e sarà necessario il riavvio del sistema.

************************************************** *************************
Ora avete una mezza idea su cosa siano queste voci incomprensibili che circolano nel vostro Computer.
Nel casi si siano riscontrate voci pericolose e le si vogliano eliminare ( Fissare) basterà spuntare le voci relative e premere il tasto “Fix Checked”

A questo punto basterà riavviare il Pc, per concludere correttamente
l’operazione.

bonovox767 · 10-07-2008, 21.56.33

Le altre voci di Hijackthis

Sebbene piuttosto intuibili, vediamo velocemente le altre opzioni presenti

Save log: non ci crederete, ma salva il vostro log sul vostro Pc.
Fix checked: è il comando che rimuove le voci selezionate/spuntate, come visto sopra.
Info on selected item:apre un popup che spiega velocemente la natura della voce presa in esame.
Analyze this: vi trasporta sul sito di HJT per sottoporre il vostro log al forum (in inglese)
Upload to/Send log TrendSecure: per inviare il log a TrendSecure
Main Menu: per tornare alla schermata principale
Info: informazioni sulla versione di HJT e breve spiegazione delle voci della scansione
Config: per configurare il programma
Add checked to ignore list: per ignorare nella scansione voci che voi ritenete assolutamente sicure

The Misc Tools Section

Hijackthis offre ancora delle funzionalità, oltre a quella più famosa, accessibili dal Main Menu tramite il tasto Open the Misc tool section

Generate StartupList log: Genera una lista di tutti i processi che partono all’avvio del vostro Pc. Utile, ma esiste il programma Autoruns di Windows, che oltre a mostrarvi i processi, ve li lascia anche disabilitare in maniera sicura e reversibile.
Open process manager: è il corrispondente del Task Manager
Open hosts file manager: vi mostra il vostro file hosts, file di testo con una lista di indirizzi IP e i loro rispettivi nomi di dominio.
Delete a file on reboot: forse la funzione più interessante di questa sezione. Quando non riuscite ad eliminare in nessun modo un file dal vostro Pc, filmato, mp3 o cartella che sia, usate questo tool, che provvederà ad eliminarlo al riavvio del Pc. Basta selezionarlo dalla finestra che vi si apre.
Delete an NT service: dimenticate questa voce. Quello che eliminerste non sarebbe recuperabile, ma non avete nemmeno bisogno di questa utility.
Open ADS Spy: cerca i Data Stream nascosti
Open uninstall manager: per rimuovere programmi dal vostro Pc. Preferibile usare sempre l’uninstaller del programma stesso.

Allegare un log in formato testo nel forum

Ora che sapete a cosa corrispondano le varie voci, non è detto che sappiate autonomamente cosa fare.
In questo caso può essere utile sottoporre il vostro log a gente più esperta, per risolvere il problema che vi affligge.
Per fare questo ci si deve NECESSARIAMENTE ricordare che è vietato copiare ed incollare in un post il contenuto, ma allegarlo in formato testo.
Il log viene salvato da HJT come “hijackthis.log”.

Abilitate, se non lo è già, la visualizzazione delle estensioni dei files conosciuti:
http://windowshelp.microsoft.com/Win...389da1040.mspx

Rinominate l’estensione da .log a .txt
A questo punto potrete allegare nel vostro post il log ottenuto.

************************************************** ***************************
*Lo Staff di SwZone, ed io stesso in qualità di autore della guida, non ci riterremo responsabili per malfunzionamenti al Vs Sistema Operativo,causati da un uso improprio o a cuor leggero di Hijackthis.

Manlio aka Bonovox767

About SWZ Forum