hi = new Array();
hi[0] = "R0, R1, R2, R3 - IE Homepage & Search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/
R2 - (non ancora usato da Hijack)
R3 - Default URLSearchHook is missing
Sono le voci dei registri che riguardano la pagina iniziale di IE e quella di ricerca predefinita, fate attenzione quindi agli indirizzi con cui terminano queste stringhe, se non corrispondono alla vostra homepage o al vostro motore di ricerca dovreste correggere queste righe.";
hi[1] = "F0, F1, F2, F3 - Autoloading programs dai files INI
F0 - system.ini: Shell=Explorer.exe Openme.exe
F1 - win.ini: run=hpfsched
Sono le voci inserite nei file sistema (INI) per avviare automaticamente col sistema determinati eseguibili.
Gli F0 sono sempre dannosi quindi correggeteli.
Gli F1 potrebbero essere programmi obsoleti, consultate sempre un database online per assicurarvene.";
hi[2] = "N1, N2, N3, N4 - Netscape/Mozilla Homepage & Search
N1 - Netscape 4: user_pref(\"browser.startup.homepage\, \"www.google.com\"); (C:\\\Program Files\\Netscape\\Users\\default\\prefs.js)
N2 - Netscape 6: user_pref(\"browser.startup.homepage\", \"http://www.google.com\"); (C:\\\Documents and Settings\\User\\Application Data\\Mozilla\\Profiles\\defaulto9t1tfl.slt\\prefs.js)
N2 - Netscape 6: user_pref(\"browser.search.defaultengine\", \"engine://C:\\\Program Files\\Netscape\\Csearchplugins\\CSBWeb_02.src\"); (C:\\\Program FilesDocuments and Settings\\User\Application Data\\Mozilla\\Profiles\\defaulto9t1tfl.slt\\prefs.js)
Lo stesso che per R0,R1,R3, questa volta per altri browser (Netscape e Mozilla), che più raramente subiscono questo tipo di hijack.";
hi[3] = "O1 - Reindirizzi nel file HOSTS
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
O1 - Hosts file is located at C:\Windows\Help\hosts
Spesso i vari spyware utilizzano questo metodo per costringervi a visitare alcuni siti, basta infatti reindirizzare la URL alla destra delle righe verso l'IP alla sinistra. Se non avete inserito voi il reindirizzamento nel file hosts fixate queste righe (l'ultima nell'esempio è aggiunta spesso da CoolWebSearch, noto hijacker).";
hi[4] = "O2 - Browser Helper Objects
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\\\PROGRAM FILES\\YAHOO!\\COMPANION\\YCOMP5_0_2_4.DLL
O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\\\PROGRAM FILES\\POPUP ELIMINATOR\\AUTODISPLAY401.DLL (file missing)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\\PROGRAM FILES\\MEDIALOADS ENHANCED\\ME1.DLL
Qui bisogna controllare questi oggetti e rimuovere quelli riconosciuti dannosi e malevoli, per farlo consultate quest'ottimo database BHO.
";
hi[5] = "O3 - Barre degli Strumenti di Internet Explorer
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\\\PROGRAM FILES\\YAHOO!\\COMPANION\\YCOMP5_0_2_4.DLL
O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\\\PROGRAM FILES\\POPUP ELIMINATOR\\PETOOLBAR401.DLL (file missing)
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\\\WINDOWS\\APPLICATION DATA\\CKSTPRLLNQUL.DLL
Queste sono le barre installate per Internet explorer (come quella di Google), anche qui aiutatevi con il database di toolbars per riconoscere il vostro problema.";
hi[6] = "O4 - Autoloading programs from Registry or Startup group
O4 - HKLM\..\Run: [ScanRegistry] C:\\\WINDOWS\\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ccApp] \"C:\\\Program Files\\Common Files\\Symantec Shared\\ccApp.exe\"
O4 - Startup: Microsoft Office.lnk = C:\\\Program Files\\Microsoft Office\\Office\\OSA9.EXE
O4 - Global Startup: winlogon.exe
L'elenco dei programmi che vengono autocaricati dal registro o da esecuzione automatica. Spesso troveremo qui chaimate ai nostri spyware quindi usiamo la lista degli startups e eliminiamo le voci scorrette.
Notate che se dobbiamo eliminare una voce tipo Global Startup è necessario terminarne il processo in esecuzione prima che hjackthis sia in grado di farlo.
";
hi[7] = "O5 - Opzioni Internet nascoste nel Pannello di Controllo
O5 - control.ini: inetcpl.cpl=no
Questa voce si riferisce a Opzioni Internet che in questo caso sono state nascoste nel Pannello di Controllo per impedirne la modifica
Se questo non è stato fatto volontariamente dall'amministratore de lvostro sistema, correggete la riga.";
hi[8] = "O6 - Restrizioni di Accesso a Opzioni Internet
O6 - HKCU\\Software\\Policies\\Microsoft\\Internet Explorer\\Restrictions present
Queste sono le restrizioni presenti per accedere alla modifica delle opzioni di Internet Explorer, quindi se non sono state attivate dall'amministratore o da qualche programma antispy (Spybot Search&Destroy), fixate queste righe.
";
hi[9] = "O7 - Restrizione di Accesso a Regedit
O7 - HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System, DisableRegedit=1
Di nuovo, questa riga significa che è stato impedito l'accesso a regedit, se l'amministratore non ne sa nulla correggete pure.
";
hi[10] = "O8 - Funzioni Extra col tastro destro in IE
O8 - Extra context menu item: &Google Search - res://C:\\\WINDOWS\\DOWNLOADED PROGRAM FILES\\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html
O8 - Extra context menu item: Yahoo! Search - file:///C:\\\Program Files\\Yahoo!\\Common/ycsrch.htm
O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm
O8 - Extra context menu item: Zoom O&ut - C:\\\WINDOWS\\WEB\\zoomout.htm
Anche qui se non riconoscete il programma che dovrebbe aver installato la nuova funzionalitą nel menu contestuale, correggete.";
hi[11] = "O9 - Pulsanti Extra nelle Barre, o Oggetti Extra in Strumenti, in IE
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: AIM (HKLM)
Nuovi pulsanti nelle barre degli strumenti e nuove voci nel menu strumenti, anche qui tentate di riconoscere il programma che ha installato tali funzionalità, altrimenti correggete.
";
hi[12] = "O10 - Winsock hijackers
O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'c:\\\progra~1\\common~2\\toolbar\\cnmib.dll'missing
O10 - Unknown file in Winsock LSP: c:\\\program files\\newton knows\\vmain.dll
Per correggere queste voci è preferibile usare programmi appositi, ecco quali , LSPFix e SpyBot Search&Destroy.";
hi[13] = "O11 - Funzioni Extra in Opzioni Avanzate di IE
O11 - Options group: [CommonName] CommonName
Si conosce un unico Spyware che aggiunge una sua funzione in Opzioni Avanzate di IE, CommonName, quindi potete correggere in sicurezza.";
hi[14] = "O12 - Internet Explorer plugins
O12 - Plugin for .spop: C:\\\Program Files\\Internet Explorer\\Plugins\\NPDocBox.dll
O12 - Plugin for .PDF: C:\\\Program Files\\Internet Explorer\\PLUGINS\\nppdf32.dll
Raramente queste voci appartengono a spyware, si conosce solo OnFlow aggiunge una plugin da correggere (.ofb).";
hi[15] = "O13 - IE DefaultPrefix hijack
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: http://ehttp.cc/?
La presenza di queste righe è sempre nociva, selezionatele e fixatele tutte.";
hi[16] = "'Reset Web Settings' hijack
O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com
In questo riga viene evedenziato il tentativo di eseguire un redirect della pagina iniziale di Internet Explorer, se l'indirizzo non appartiene al vostro provider, correggete.";
hi[17] = "O15 - Siti ritenuti Sicuri
O15 - Trusted Zone: http://free.aol.com
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.msn.com
Qui ci sono i siti ritenuti sicuri e aggiunti ad una lista senza restrizione alcuna, questo potrebbe a volte essere fatto con cattive intenzioni (CoolWebSearch), quindi controllate gli indirizzi e eliminate quelli che non conoscete.";
hi[18] = "O16 - ActiveX Objects (aka Downloaded Program Files)
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Qui ci sono gli oggetti activeX scaricati da internet e installati.
Ci potrebbero essere molti spywares tra questi quindi controllateli bene, a volte basterà cercare parole particolari come Dialer o Casino.
Per proteggersi da queste infezioni si consiglia l'uso di SpywareBlaster";
hi[19] = "O17 - Lop.com domain hijacks
O17 - HKLM\\System\\CCS\\Services\\VxD\\MSTCP: Domain = aoldsl.net
O17 - HKLM\\System\\CCS\\Services\\Tcpip\\Parameters: Domain = W21944.find-quick.com
O17 - HKLM\\Software\\..\\Telephony: DomainName = W21944.find-quick.com
O17 - HKLM\\System\\CCS\\Services\\Tcpip\\..\\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
O17 - HKLM\\System\\CS1\\Services\\Tcpip\\Parameters: SearchList = gla.ac.uk
O17 - HKLM\\System\\CS1\\Services\\VxD\\MSTCP: NameServer = 69.57.146.14,69.57.147.175
Questo hijack tenta di reindirizzare i domini di rete, se questi non appartengono al vostro provider o non li riconoscete, correggete.
Per quanto riguarda 'NameServer' cercate l'IP con google e assicuratevi della destinazione. ";
hi[20] = "O18 - Protocolli Extra o Modificati
O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\\\PROGRA~1\\COMMON~1\\MSIETS\\msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
Solo pochi spyware usano questo tipo di hijack, 'cn' (CommonName), 'ayb' (Lop.com) e 'relatedlinks' (Huntbar).
Controllate e in caso di dubbi usate google, poi correggete. ";
hi[21] = "O19 - User style sheet hijack
O19 - User style sheet: c:\\\WINDOWS\\Java\\my.css
Solo CoolWebSearch usa per ora questo tipo di hijack, quindi sarebbe consigliabile usare il programma Cwshredder.
I sintomi comuni per questa infezioni sono la chiusura inaspettata di Internet Explorer e la comparsa di fastidiosi popup.";
hi[22] = "O20 - AppInit_DLLs Registry value autorun
O20 - AppInit_DLLs: msconfd.dll
Le voci del registro HKEY_LOCAL_MACHINE\\Software\\Microsoft\\ Windows NT\\CurrentVersion\\Windows, caricano DLL al Login dell'utente, pochi programmi le utilizzano (Norton CleanSweep usa APITRAP.DLL), molti invece nuovi trojans e hijackers. Se precedute da ‘|’ indicano delle DLL nascoste.
";
hi[23] = "O21 - ShellServiceObjectDelayLoad
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\\\WINDOWS\\System\\auhook.dll
Le voci del registro HKEY_LOCAL_MACHINE\\ Software\\Microsoft\\ Windows\\ CurrentVersion\\ ShellServiceObjectDelayLoad, un metodo di autorun non documentato. Pochissimi componenti di sistema di windows lo utilizzano, HijackThis incorpora un whitelist di componenti, quindi se qualcosa compare nel log è probabile che sia nociva.";
hi[24] = "O22 - SharedTaskScheduler
O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\\\windows\\system32\\mtwirl32.dll
Non documentata, solo CWS.Smartfinder è noto usarle sino ad ora. Cautela!.";
hi[25] = "O23 - NT Services
O23 - Service: VMware NAT Service - VMware, Inc. - C:\\\WINDOWS\\System32\\vmnat.exe
I servizi in Windows NT4, Windows 2000, Windows XP and Windows 2003 sono programmi particolari generalmente relativi al sistema e importanti. Partono prima del logon utente e sono protetti da Windows. Un ottimo nascondiglio per i malwares. Fixandoli i servizi saranno disabilitati e dopo č necessario il riavvio del sistema.
Nota: Il parassita Ms4Hd rootkit crasha HijackThis durante lo scan di NT Services . Per completare il log usate HijackThis 1.98.2
";