Riconoscere le voci del Log
Vediamo ora una lista descrittiva delle varie voci, derivata dalla guida originale in inglese di Merijn.
Codice:
R0, R1, R2, R3 - IE Homepage & Search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/
R2 - (non ancora usato da Hijack)
R3 - Default URLSearchHook is missing
Queste voci sono relative alla pagina iniziale di IE e al motore di ricerca predefinito.Prestate attenzione agli indirizzi contenuti, e se non corrispondono alla vostra Homepage o motore di ricerca, ranzate via queste righe
Codice:
F0, F1, F2, F3 - Autoloading programs dai files INI
F0 - system.ini: Shell=Explorer.exe clickme.exe
F1 - win.ini: run=hpfsched
Voci relative ai files sistema ( I famosi .ini) che si occupano di avviare automaticamente determinati eseguibili.Gli F0 sono sempre dannosi, perciò fissateli, mentre gli F1 sono da controllare tramite appositi DATABASE online.
http://www.sysinfo.org/startuplist.php
Codice:
N1, N2, N3, N4 - Netscape/Mozilla Homepage & Search
N1 - Netscape 4: user_pref("browser.startup.homepage, "www.google.com");
(C:\ProgramFiles\Netscape\Users\default\prefs.js)
N2 Netscape6:user_pref("browser.startup.homepage","http://www.google.com");
(C:\DocumentsandSettings\User\ApplicationData\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
N2 - Netscape 6: user_pref("browser.search.defaultengine",
"engine://C:\Program Files\Netscape\Csearchplugins\CSBWeb_02.src");
(C:\Program FilesDocumentsandSettings\UserApplication
Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
Stesso discorso delle voci R0-R1-R3, ma per Browser alternativi come Firefox od Opera.
Codice:
O1 - Reindirizzi nel file HOSTS
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
O1 - Hosts file is located at C:WindowsHelphosts
Voci inserite spesso dagli Spyware, come l'Hijacker CoolWebSearch, per deviare la vostra navigazione su siti poco affidabili. Se il reindirezzamento non lo avete inserito voi nel file host, correggete le righe incriminate.
Codice:
O2 - Browser Helper Objects
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file)
E questi cosa sono? BHO… No, non intendo che non lo so, ma che sono proprio dei BHO, cioè Browser Helper Objects. Consultate il DATABASE BHO online per riconoscere quelli dannosi.
http://www.sysinfo.org/bholist.php
Codice:
O3 - Barre degli Strumenti di Internet Explorer
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} -C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL
Barre installate per IE. Non è detto che sia stata installata volutamente. Controllate nel solito DATABASE online le Toolbars.
http://www.sysinfo.org/bholist.php
Codice:
O4 - Autoloading programs from Registry or Startup group
O4 - HKLM..Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM..Run: [SystemTray] SysTray.Exe
O4 - HKLM..Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: winlogon.exe
Eliminerete i processi maligni, aiutandovi con una lista per le voci di startup.
Ricordate che determinati processi devono essere terminati, per poter essere eliminati;ecco uno dei perché l'opera di "pulitura"" risulta più facile ed efficace in modalità provvisoria.
Codice:
O5 - Opzioni Internet nascoste nel Pannello di Controllo
O5 - control.ini: inetcpl.cpl=no
Riferita alle Opzioni di IE, voce nascosta per impedirne la modifica. Se non viene fatta volontariamente, va corretta.
Codice:
O6 - Restrizioni di Accesso a Opzioni Internet
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
Sono le restrizioni presenti per l'accesso alle modifiche delle opzioni di IE. Se non sono state attivate dall'Admin, o da programmi tipo Spybot, fissatele.
Codice:
O7 - Restrizione di Accesso a Regedit
O7 HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Impedisce l'accesso a "regedit.Fissare se non lo ha fatto l'admin
Codice:
O8 - Funzioni Extra col tastro destro in IE
O8 - Extra context menu item: &Google Searchres://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html
O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Zoom &In - C:WINDOWSWEBzoomin.htm
Se non conoscete il programma che ha inserito le funzioni nel menù del tasto destro, fissate.
Codice:
O9 - Pulsanti Extra nelle Barre, o Oggetti Extra in Strumenti, in IE
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: AIM (HKLM)
Come sopra.
Codice:
O10 - Winsock hijackers
O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll'missing
O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll
Voci inserite dagli Hijacker. Per eliminare il problema di queste voci,è preferibile usare programmi come Spybot.
Codice:
O11 - Funzioni Extra in Opzioni Avanzate di IE
O11 - Options group: [CommonName] CommonName
Se trovate questa voce, avete uno spyware chiamato appunto "CommonName". Fissate pure.
Codice:
O12 - Internet Explorer plugins
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
Voci sicure, relative ai plugin per IE. L'unico plugin eventualmente da correggere è uno con estensione .ofb relativo allo spyware OnFlow.
Codice:
O13 - IE DefaultPrefix hijack
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: http://ehttp.cc/?
Sono dei malware, sempre! Ranzate via.
Codice:
014 - Reset Web Settings' hijack
O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com
Significa che c'è stato un tentativo di reindirizzamento. Se non è del vostro provider, fissate.
Segnalibri