Versione Stampabile della

Guida a HijackThis


Versione completa: guida a hijackthis di tweakness.net

Questa guida si basa sul tutorial ufficiale in inglese di merijn riguardante l'uso di HijackThis (mirror1) , potente utility di diagnostica e correzione contro gli spywares più difficili, con l'intento di rendere questo programma più comprensibile.
Vi consiglio la lettura di queste altre due guide in inglese:
HijackThis Log Tutorial e How to use HijackThis to remove Browser Hijackers & Spyware

Da qualche giorno inoltre è disponibile in rete un tool che permete una auto-analisi del log Log file analysis fornito da hijackthis.de.(basterà copiare/incollare il log del programma nel modulo).

Prima di tutto vi consiglio di creare una cartella precisa dove spostare l' eseguibile del programma sia per una questione di ordine sia per permettervi un successivo semplice ripristino di eventuali errori nella correzione.

Fate quindi partire il programma ed eseguite uno SCAN.

Qui sotto trovate una lista dettagliata di ogni tipo di riga che potrete trovare nel LOG generato che vi sarà indispensabile per l' analisi degli eventuali problemi.




R0, R1, R2, R3 - IE Homepage & Search

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/
R2 - (non ancora usato da Hijack)
R3 - Default URLSearchHook is missing

Sono le voci dei registri che riguardano la pagina iniziale di IE e quella di ricerca predefinita, fate attenzione quindi agli indirizzi con cui terminano queste stringhe, se non corrispondono alla vostra homepage o al vostro motore di ricerca dovreste correggere queste righe.

 

F0, F1, F2, F3 - Autoloading programs dai files INI

F0 - system.ini: Shell=Explorer.exe Openme.exe
F1 - win.ini: run=hpfsched

Sono le voci inserite nei file sistema (INI) per avviare automaticamente col sistema determinati eseguibili.
Gli F0 sono sempre dannosi quindi correggeteli.
Gli F1 potrebbero essere programmi obsoleti, consultate sempre un database online per assicurarvene.


N1, N2, N3, N4 - Netscape/Mozilla Homepage & Search

N1 - Netscape 4: user_pref("browser.startup.homepage, "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)

N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)

N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src\"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)

Lo stesso che per R0,R1,R3, questa volta per altri browser (Netscape e Mozilla), che più raramente subiscono questo tipo di hijack.


O1 - Reindirizzi nel file HOSTS

O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
O1 - Hosts file is located at C:\Windows\Help\hosts

Spesso i vari spyware utilizzano questo metodo per costringervi a visitare alcuni siti, basta infatti reindirizzare la URL alla destra delle righe verso l' IP alla sinistra. Se non avete inserito voi il reindirizzamento nel file hosts fixate queste righe (l' ultima nell 'esempioè aggiunta spesso da CoolWebSearch, noto hijacker).


O2 - Browser Helper Objects

O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL

O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)

O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL

Qui bisogna controllare questi oggetti e rimuovere quelli riconosciuti dannosi e malevoli, per farlo consultate quest 'ottimo database BHO.



O3 - Barre degli Strumenti di Internet Explorer

O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL

O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)

O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL

Queste sono le barre installate per Internet explorer (come quella di Google), anche qui aiutatevi con il database di toolbars per riconoscere il vostro problema.



O4 - Autoloading programs from Registry or Startup group

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ccApp] \"C:\Program Files\Common Files\Symantec Shared\ccApp.exe\"
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: winlogon.exe

L' elenco dei programmi che vengono autocaricati dal registro o da esecuzione automatica. Spesso troveremo qui chiamate ai nostri spyware quindi usiamo la lista degli startups e eliminiamo le voci scorrette.
Notate che se dobbiamo eliminare una voce tipo Global Startup è necessario terminarne il processo in esecuzione prima che hjackthis sia in grado di farlo.


O5 - Opzioni Internet nascoste nel Pannello di Controllo


O5 - control.ini: inetcpl.cpl=no

Questa voce si riferisce a Opzioni Internet che in questo caso sono state nascoste nel Pannello di Controllo per impedirne la modifica

Se questo non è stato fatto volontariamente dall 'amministratore del vostro sistema, correggete la riga.



O6 - Restrizioni di Accesso a Opzioni Internet

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

Queste sono le restrizioni presenti per accedere alla modifica delle opzioni di Internet Explorer, quindi se non sono state attivate dall'amministratore o da qualche programma antispy (Spybot Search&Destroy), fixate queste righe.



O7 - Restrizione di Accesso a Regedit

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Di nuovo, questa riga significa che è stato impedito l'accesso a regedit, se l'amministratore non ne sa nulla correggete pure.



O8 - Funzioni Extra col tastro destro in IE

O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html

O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm
O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm

Anche qui se non riconoscete il programma che dovrebbe aver installato la nuova funzionalità nel menu contestuale, correggete


O9 - Pulsanti Extra nelle Barre, o Oggetti Extra in Strumenti, in IE

O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: AIM (HKLM)

Nuovi pulsanti nelle barre degli strumenti e nuove voci nel menu strumenti, anche qui tentate di riconoscere il programma che ha installato tali funzionalità, altrimenti correggete.




O10 - Winsock hijackers

O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll'missing
O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll

Per correggere queste voci è preferibile usare programmi appositi, ecco quali , LSPFix e SpyBot Search&Destroy.




O11 - Funzioni Extra in Opzioni Avanzate di IE

O11 - Options group: [CommonName] CommonName

Si conosce un unico Spyware che aggiunge una sua funzione in Opzioni Avanzate di IE, CommonName, quindi potete correggere in sicurezza.



O12 - Internet Explorer plugins

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

Raramente queste voci appartengono a spyware, si conosce solo OnFlow aggiunge una plugin da correggere (.ofb).



O13 - IE DefaultPrefix hijack

O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: http://ehttp.cc/?

La presenza di queste righe è sempre nociva, selezionatele e fixatele tutte.


'Reset Web Settings' hijack

O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com

In questo riga viene evedenziato il tentativo di eseguire un redirect della pagina iniziale di Internet Explorer, se l'indirizzo non appartiene al vostro provider, correggete.



O15 - Siti ritenuti Sicuri

O15 - Trusted Zone: http://free.aol.com
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.msn.com

Qui ci sono i siti ritenuti sicuri e aggiunti ad una lista senza restrizione alcuna, questo potrebbe a volte essere fatto con cattive intenzioni (CoolWebSearch), quindi controllate gli indirizzi e eliminate quelli che non conoscete.



O16 - ActiveX Objects (aka Downloaded Program Files)

O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Qui ci sono gli oggetti activeX scaricati da internet e installati.
Ci potrebbero essere molti spywares tra questi quindi controllateli bene, a volte basterà cercare parole particolari come Dialer o Casino.
Per proteggersi da queste infezioni si consiglia l'uso di SpywareBlaster



O17 - Lop.com domain hijacks

O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gla.ac.uk
O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175

Questo hijack tenta di reindirizzare i domini di rete, se questi non appartengono al vostro provider o non li riconoscete, correggete. Per quanto riguarda 'NameServer' cercate l'IP con google e assicuratevi della destinazione.


O18 - Protocolli Extra o Modificati


O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll

O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Solo pochi spyware usano questo tipo di hijack, 'cn' (CommonName), 'ayb' (Lop.com) e 'relatedlinks' (Huntbar).
Controllate e in caso di dubbi usate google, poi correggete.



O19 - User style sheet hijack


O19 - User style sheet: c:\WINDOWS\Java\my.css

Solo CoolWebSearch usa per ora questo tipo di hijack, quindi sarebbe consigliabile usare il programma Cwshredder.
I sintomi comuni per questa infezioni sono la chiusura inaspettata di Internet Explorer e la comparsa di fastidiosi popup.



O20 - AppInit_DLLs Registry value autorun

O20 - AppInit_DLLs: msconfd.dll

Le voci del registro HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows NT\CurrentVersion\Windows, caricano DLL al Login dell'utente, pochi programmi le utilizzano (Norton CleanSweep usa APITRAP.DLL), molti invece nuovi trojans e hijackers. Se precedute da ‘|’ indicano delle DLL nascoste.



O21 - ShellServiceObjectDelayLoad

O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll

Le voci del registro HKEY_LOCAL_MACHINE\ Software\Microsoft\ Windows\ CurrentVersion\ ShellServiceObjectDelayLoad, un metodo di autorun non documentato. Pochissimi componenti di sistema di windows lo utilizzano, HijackThis incorpora un whitelist di componenti, quindi se qualcosa compare nel log è probabile che sia nociva.



O22 - SharedTaskScheduler

O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll

Non documentata, solo CWS.Smartfinder è noto usarle sino ad ora. Cautela!.


O23 - NTServices

O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\System32\vmnat.exe

I servizi in Windows NT4, Windows 2000, Windows XP and Windows 2003 sono programmi particolari generalmente relativi al sistema e importanti. Partono prima del logon utente e sono protetti da Windows. Un ottimo nascondiglio per i malwares. Fixandoli i servizi saranno disabilitati e dopo necessario il riavvio del sistema.

Nota: Il parassita Ms4Hd rootkit crasha HijackThis durante lo scan di NT Services . Per completare il log usate HijackThis 1.98.2

.



Dovete quindi selezionare tutte le righe "sospette" che fanno capo alla infezione da spyware presente sul vostro sistema, selezionare FIX per poterle correggere e riavviate il sistema.

IMPORTANTE:
L' operazione di diagnosi e identificazione delle righe da correggere è molto difficile e non andrebbe mai sottovalutata per non danneggiare il sistema, consiglio quindi in caso di dubbi o anche solo per conferme di postare il vostro LOG (dopo averlo salvato) in un forum specializzato dove possiate trovare persone più esperte che sappiano consigliarvi.

I forums che vi consiglio (specializzati nell 'analisi dei LOGs) sono quelli di
SpywareInfo e TomCoyote entrambi in inglese, se invece volete un aiuto in italiano troverete sempre validi consigli nel FORUM di questo sito nella sezione apposita TWEAK - SICUREZZA o nel forum Antivirus e Sicurezza di HWUpgrade.it.