anonimato e privacy
 User Password
[ Registrazione ] [ Password dimenticata ]

  Le News di Oggi NoTrace Journal

Guida Hijackthis - Pulizia del sistema con Hijackthis - NoTrace

Guida Hijackthis

Pulizia del sistema con Hijackthis


Un piccolo programma in grado di raccogliere le informazioni più significative sulle aree di sistema  attaccate dalla maggior parte dei malware. Questo potente software  è in grado di rilevare le cause di comportamenti sospetti del browser e dei malfunzionamenti dovuti a componenti pericolosi con la possibilità di rimozione dei problemi rilevati. Una volta lanciato il programma (Do a System scan and save logfile) restituisce un file di log che riporta molte voci che vengono associate ad una precisa categoria (R1,R3,01,020, 023 ecc.) nella sequenza in cui vengono caricate all’avvio. L’analisi di questo file, che a primo impatto disorienta un po’, permette di individuare la presenza dei componenti maligni e la loro eliminazione detta Fixaggio (fix checked).
IMPORTANTE: NON CANCELLARE GLI ELEMENTI PER I QUALI NON SI CONOSCA L’ESATTO SIGNIFICATO, POTRESTE CAUSARE DANNI ALSISTEMA.

INSTALLAZIONE
Una volta scaricato il programma HJK HijackThis v2.00  DownLoad
è necessario metterlo in una cartella dedicata es. C:\programmi\Hijackthis questa operazione è molto importante per un corretto funzionamento di un eventuale ripristino di voci fixate. Fate quindi partire il programma e create il file di log (clik su Do a System scan and save logfile  il file ottenuto in formato testo verrà automaticamente salvato nella cartella del programma.

Voci presenti nel file di log.
R - Registry, StartPage/SearchPage changes
    R0 - Changed registry value
    R1 - Created registry value
    R2 - Created registry key
    R3 - Created extra registry value where only one should be
 F - IniFiles, autoloading entries
    F0 - Changed inifile value
    F1 - Created inifile value
    F2 - Changed inifile value, mapped to Registry
    F3 - Created inifile value, mapped to Registry
 N - Netscape/Mozilla StartPage/SearchPage changes
    N1 - Change in prefs.js of Netscape 4.x
    N2 - Change in prefs.js of Netscape 6
    N3 - Change in prefs.js of Netscape 7
    N4 - Change in prefs.js of Mozilla
 O - Other, several sections which represent:
    O1 - Hijack of auto.search.msn.com with Hosts file
    O2 - Enumeration of existing MSIE BHO's
    O3 - Enumeration of existing MSIE toolbars
    O4 - Enumeration of suspicious autoloading Registry entries
    O5 - Blocking of loading Internet Options in Control Panel
    O6 - Disabling of 'Internet Options' Main tab with Policies
    O7 - Disabling of Regedit with Policies
    O8 - Extra MSIE context menu items
    O9 - Extra 'Tools' menuitems and buttons
    O10 - Breaking of Internet access by New.Net or WebHancer
    O11 - Extra options in MSIE 'Advanced' settings tab
    O12 - MSIE plugins for file extensions or MIME types
    O13 - Hijack of default URL prefixes
    O14 - Changing of IERESET.INF
    O15 - Trusted Zone Autoadd
    O16 - Download Program Files item
    O17 - Domain hijack
    O18 - Enumeration of existing protocols and filters
    O19 - User stylesheet hijack
    O20 - AppInit_DLLs autorun Registry value, Winlogon Notify Registry keys
    O21 - ShellServiceObjectDelayLoad (SSODL) autorun Registry key
    O22 - SharedTaskScheduler autorun Registry key
    O23 - Enumeration of NT Services
    O24 - Active Desktop components

ANALISI DEL FILE DI LOG.
Logfile of HijackThis v2.00
Scan saved at 19.04.43, on 06/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
c:\cpqapps\Aclient\Aclient.exe
C:\Programmi\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\system32\NMSSvc.exe
C:\Programmi\Dantz\Retrospect\retrorun.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\service32.exe
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Roxio\Easy Media Creator 7\Drag to Disc\DrgToDsc.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\WINDOWS\system32\spoolsvc.exe
C:\cpqapps\Aclient\AClntUsr.EXE
C:\WINDOWS\system32\sescmgr.exe
C:\WINDOWS\system32\dcomcfg.exe
C:\PROGRA~1\HEWLET~1\Toolbox\STATUS~1\STATUS~1.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Hewlett-Packard\Toolbox\jre\bin\javaw.exe
C:\Documents and Settings\s1\Desktop\HijackThis.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\HPBPRO.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =www.1987324.com?301
F2 - REG:system.ini: Shell=explorer.exe
O1 - Hosts: 216.69.164.90 auto.search.msn.com #NETVISION
O1 - Hosts: 200.73.174.154 STORAGE.HOSTANCE.NET
O1 - Hosts: 200.73.174.154 STORAGE-TASP.COM
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} -C:\Documents and Settings\s1\Desktop\10313311.dll (file missing)
O2 - BHO: Duplex - {4D8603D1-E19F-4DB9-B841-CF0B3AECF967} -C:\WINDOWS\system32\apparat.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -c:\programmi\google\googletoolbar1.dll
O2 - BHO: FastRX - {E09962E7-A39E-4F60-8003-66D57BED27B7} -C:\WINDOWS\system32\fastRX.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI ControlPanel\atiptaxx.exe
O4 - HKLM\..\Run: [SetRefresh] C:\Programmi\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programmi\Roxio\Easy Media Creator7\Drag to Disc\DrgToDsc.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\SymantecShared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\system32\\spoolsvc.exe
O4 - HKLM\..\Run: [AClntUsr] c:\cpqapps\Aclient\AClntUsr.EXE
O4 - HKLM\..\Run: [sctrlmgr] C:\WINDOWS\system32\sescmgr.exe
O4 - HKLM\..\Run: [TomcatStartup 2.5]C:\Programmi\Hewlett-Packard\Toolbox\hpbpsttp.exe
O8 - Extra context menu item: &Cerca con Google -res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano -res://c:\programmi\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Link a ritroso -res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili -res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina -res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console -{08B0E5C0-4FCB-11CF-AAA5-00401C608501} -C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: www.1987324.com
O15 - Trusted Zone: *.aflashcounter.com
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Altiris Client Service (AClient) - Altiris, Inc. -c:\cpqapps\Aclient\Aclient.exe
O23 - Service: Ati HotKey Poller - Unknown owner -C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - SymantecCorporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exeO23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation -C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - SymantecCorporation - C:\Programmi\Symantec AntiVirus\DefWatch.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard DevelopmentCompany, L.P. - C:\Programmi\HPQ\Shared\hpqwmi.exe
O23 - Service: Lexar SG20 (LxrSG20s) - Unknown owner -C:\WINDOWS\SYSTEM32\LxrSG20s.exe
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation -C:\WINDOWS\system32\NMSSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz DevelopmentCorporation - C:\Programmi\Dantz\Retrospect\retrorun.exe
O23 - Service: Retrospect Helper - Dantz Development Corporation -C:\Programmi\Dantz\Retrospect\rthlpsvc.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programmi\SymantecAntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - SymantecCorporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) -Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation -C:\Programmi\Symantec AntiVirus\Rtvscan.exe


Analisi  intestazione
Logfile of HijackThis v2.00 - versione programma
Scan saved at 19.04.43, on 06/10/2006-   data e ora scansione
Platform: Windows XP SP2 (WinNT 5.01.2600)  - versione sistema operativo   
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)  - versione internet explorer

Processi in esecuzione
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe

c:\cpqapps\Aclient\Aclient.exe
C:\Programmi\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\system32\NMSSvc.exe

C:\Programmi\Dantz\Retrospect\retrorun.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\service32.exe
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Roxio\Easy Media Creator 7\Drag to Disc\DrgToDsc.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\WINDOWS\system32\spoolsvc.exe
C:\cpqapps\Aclient\AClntUsr.EXE
C:\WINDOWS\system32\sescmgr.exe
C:\WINDOWS\system32\dcomcfg.exe
C:\PROGRA~1\HEWLET~1\Toolbox\STATUS~1\STATUS~1.EXE
C:\WINDOWS\system32\wscntfy.exe

C:\Programmi\Hewlett-Packard\Toolbox\jre\bin\javaw.exe
C:\Documents and Settings\s1\Desktop\HijackThis.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\HPBPRO.EXE

Questi sono I processi ed I programmi in esecuzione per i quali è conveniente una disamina attenta al fine di individuare eseguibili sospetti o sconosciuti. Per effettuare questo controllo è consigliabile una verifica Web con un buon motore di ricerca ed utilizzare anche siti di controllo come Answersthatwork o Processlibrary

R0, R1, R2, R3 - IE Start & Search page pagina iniziale e di ricerca predefinita di I.E
R0 = Indica la pagina iniziale di Internet
R1 = Indica la pagina di ricerca predefinita
R2 = Attualmente non è ancora usato da HijackThis
R3 = Indica gli URL Search Hook
chiavi di registro interessate:

HKLM\Software\Microsoft\Internet Explorer\Main,Start Page
HKCU\Software\Microsoft\Internet Explorer\Main: Start Page
HKLM\Software\Microsoft\Internet Explorer\Main: Default_Page_URL
HKCU\Software\Microsoft\Internet Explorer\Main: Default_Page_URL
HKLM\Software\Microsoft\Internet Explorer\Main: Search Page
HKCU\Software\Microsoft\Internet Explorer\Main: Search Page
HKCU\Software\Microsoft\Internet Explorer\SearchURL: (Default)
HKCU\Software\Microsoft\Internet Explorer\Main: Window Title
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: ProxyOverride
HKCU\Software\Microsoft\Internet Connection Wizard: ShellNext
HKCU\Software\Microsoft\Internet Explorer\Main: Search Bar
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks
HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch
HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.google.com/
R2 - (non ancora usato da Hijack)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

Le voci precedenti appartengono alla pagina iniziale di IE e a quella della ricerca predefinita, è necessario prestare attenzione agli indirizzi internet presenti, se non corrispondono è necessario fixare queste righe. La voce R3 quando compare riporta la voce "Default URLSearchHook is missing". In questo caso va premuto sicuramente "Fix". Il Search Hook listato in HKEY_CURRENT_USER \Software \Microsoft \Internet Explorer \URLSearchHooks è richiamato dal browser quando esso non pùo determinare  il protocollo di un indirizzo URL(http o ftp).

Esempi di legittimi
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

Esempi di voci modificate e da fixare:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =www.1987324.com?301
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://best-search.cc/index.php?v=6&aff=3412714
R3 - Default URLSearchHook is missing

F0, F1, F2, F3- Autoloading programs from INI files
In questo gruppo sono elencati i programmi che si avviano dai file ini di Windows (system.ini e win.ini). Normalmente gli F0 sono sempre da cancellare: si riferiscono a programmi avviati come shell in system.ini quasi  tutti in disuso. Anche gli F1 sono quasi sempre da cancellare si riferiscono a programmi molto vecchi (stringhe Load= e Run= del file win.ini) Le locazioni F2 e F3 corrispondono a F0 e F1 nei sistemi NT dove in luogo dei due file system.ini e win.ini possono venir caricati altri file ini con nomi a scelta elencati nella chiave HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \CurrentVersion \IniFileMapping. In F2 viene classificata anche questa chiave del registro HKLM \Software \Microsoft \Windows NT \CurrentVersion \Winlogon \Userinit che di default deve contenere solo il valore userinit.exe

F2 - REG:system.ini: Shell=explorer.exe
F2 - REG:system.ini: UserInit=d:\windows\system32\userinit.exe,,"d:\windows\corelflash.exe",

N1, N2, N3, N4 - Netscape/Mozilla Start & Search page
-
N1 = Pagina iniziale e di ricerca predefinita di Netscape 4
- N2 = Pagina iniziale e di ricerca predefinita di Netscape 6
- N3 = Pagina iniziale e di ricerca predefinita di Netscape 7
- N4 = Pagina iniziale e di ricerca predefinita di Mozilla

Questa sezione riporta gli stessi valori per i browser Netscape e Mozilla Tali dati sono memorizzati di solito nel file prefs.js, contenuto nella cartella del browser. I ragionamenti fatti per Internet Explorer, relativamente alle voci R0,R1,R3, valgono anche per altri browser (Netscape e Mozilla), anche se meno vulnerabili a  questo tipo di hijack.

O1 - Hostsfile redirections
Reindirizzi nel file HOSTS. Il file HOSTS permette di associare un particolare URL mnemonico (es. www.google.it) ad uno specifico indirizzo IP: Per costringere un utente a visitare certi siti internet viene utilizzata la tecnica dei Reindirizzi nel file HOSTS.
Esempi di reindirizzi da fixare
O1 - Hosts: 200.73.174.154 STORAGE-TASP.COM
O1 - Hosts: 216.69.164.90 auto.search.msn.com #NETVISION
O1 - Hosts: 200.73.174.154 STORAGE.HOSTANCE.NET

O2 - Browser Helper Objects
Gli elementi di questo gruppo fanno riferimento ad  oggetti BHO, applicazioni che ne fanno uso possono interfacciarsi con Internet Explorer. 
La chiave di registro relativa ai BHO è HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
Abbastanza agevole riconoscere subito i componenti maligni tramite verifica dell’identificativo alfanumerico (CLSID) racchiuso tra parentesi graffe, con un controllo presso il sito CastleCops

alcune delle voci note:
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper -{9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

È consigliabile, oltre il fixaggio, di eliminare anche la dll corrispondente.
O2 - BHO: FastRX - {E09962E7-A39E-4F60-8003-66D57BED27B7} -C:\WINDOWS\system32\fastRX.dll
O2 - BHO: Duplex - {4D8603D1-E19F-4DB9-B841-CF0B3AECF967} -C:\WINDOWS\system32\apparat.dll
O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\Documents and Settings\s1\Desktop\10313311.dll (file missing)

O3 - IE toolbars
Barre degli strumenti aggiuntive per Internet Explorer Molti programmi aggiungono delle barre su internet Explorer per integrare funzionalità aggiuntive come un filtro per finestre pop up o altre funzionalità.
Chiave di registro: HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar
Per capire quali voci sono sospette o pericolose è possibile consultare un database di toolbars o Fare riferimento allo stesso elenco dei BHO per le voci eventualmente trovate.
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} -C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -
C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O4 - Autoloading programs from Registry & Startup group
Riporta tutti i programmi avviati automaticamente ad ogni ingresso in Windows. Queste sono le chiavi di registro verificate dal programma:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit


verificare agli indirizzi Sysinfo.org e ComputerCops.biz, Castlecops se i vari eseguibili elencati nel gruppo O4 siano maligni o meno
esempio di 04 legittimi:
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [Outpost Firewall] "C:\Programmi\Agnitum\Outpost Firewall 1.0\outpost.exe" /waitservice
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programmi\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [WinPatrol] C:\Programmi\BillP Studios\WinPatrol\winpatrol.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: ASUS ChkMail.lnk = C:\Programmi\Asus\Asus ChkMail\ChkMail.exe
O4 - Global Startup: Hotkey.lnk = C:\Programmi\Asus\ASUS Hotkey\Hotkey.exe

Per l’eliminazione è consigliato, otre il fix, di rimuovere manualmente il file associato
O4 - HKLM\..\Run: [notepad.exe] C:\WINDOWS\dllmanger.exe
O4 - HKLM\..\Run: [Notepad] notepad.exe
O4 - HKLM\..\Run: [msdev] msdev.exe
O4 - HKLM\..\RunServices: [Auto updat] crsrs.exe
O4 - HKLM\..\RunServices: [Notepad] notepad.exe

O5 - IE Options not visible in Control Panel
Opzioni Internet nascoste nel Pannello di Controllo Esistono delle Opzioni Internet nascoste nel Pannello di Controllo; se la modifica  non è stata fatta volontariamente è necessario fixare la riga.

O6 - IE Options access restricted by Administrator
Questa voce è presente in caso di restrizioni apportate dall’amministratore di sistema.
Chiave di registro:
HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions

esempio
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - Regedit access restricted by Administrator

Windows mette a disposizione una particolare impostazione che permette di disabilitare l'accesso al registro di sistema
O7 - HKCU\Software\Microsoft\Windows ::CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra items in IE right-click menu
questa voce elenca i contenuti aggiuntivi della chiave
"HKCU \Software \Microsoft \Internet Explorer \MenuExt".
Sono quelle voci visualizzabili quando in Internet Explorer si clicca con il tasto destro sopra una pagina internet.

O8 - Extra context menu item: &Google Search - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Collegamenti a ritroso - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\MICROS~1\Office10\EXCEL.EXE/3000

Se all'interno del gruppo "O8", però, alcuni elementi vi sono del tutto sconosciuti è possibile che siano parte integrante di spyware e malware da rimuovere subito mediante la pressione del pulsante Fix di HijackThis.
Con il fix viene solo eliminata la chiave di registro. E' consigliabile riavviare in modalità provvisoria e cancellare il file corrispondente dal sistema
O9 - Extra buttons on main IE toolbar, or extra items in IE 'Tools' menu
se compare questa voce significa che sono stati trovati oggetti aggiuntivi nella barra degli strumenti di Internet Explorer o nel menù "Strumenti". La chiave interessata è "HKLM \SOFTWARE \Microsoft \Internet Explorer \Extensions". Anche qui vanno eliminati i valori non riconosciuti
Con il fix viene solo eliminata la chiave di registro. E' quindi consigliabile cancellare il file corrispondente dal sistema

Alcuni esempi di elementi "inoffensivi":
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)

O10 - Winsock hijackers
in questa sezione sono elencati gli LSP (Layered Service Provider) che modificano le impostazioni Winsock di Windows.
Tutti gli elementi raggruppati in "O10" sono solitamente maligni tuttavia, in questo caso, è bene procedere con estrema cautela se non si vogliono danneggiare i componenti software di Windows che gestiscono la connessione Internet.

L'uso del pulsante Fix di HijackThis, per gli elementi del gruppo O10 è assolutamente sconsigliato.
Per correggere queste voci è preferibile usare programmi appositi, ecco quali , LSPFix e SpyBot Search&Destroy.

O11 - Extra group in IE 'Advanced Options' window in questo gruppo vengono inseriti tutti gli eventuali elementi aggiuntivi di software di terze parti nella scheda Avanzate di Internet Explorer (Strumenti, Opzioni Internet...). Gli elementi di questo gruppo vengono inseriti nel registro di sistema nella chiave seguente: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions

voce attualmente consentita
O11 - Options group: [INTERNATIONAL] International*
O12 - IE plugins
Questa sezione riporta i plugins di Internet Explorer (come quello per i file pdf) elencati nella chiave "HKLM \software \microsoft \internet explorer \plugins". Raramente queste voci possono essere associate a spyware; solamente OnFlow aggiunge un plugin da correggere (.ofb). è preferibile fare qualche ricerca in Rete, con Google, per verificare l'identità di ogni file classificato come appartenente a questo gruppo.
O13 - IE DefaultPrefix hijack
Il "prefisso di default" è un'impostazione di Windows che regola il modo con cui vengono trattati gli indirizzi Internet (URL) non preceduti dall'identificativo del protocollo da usare (es.: http://, ftp://, e così via).se compare questa sezione significa che un hijacker ha modificato la chiave di sistema
"HKLM \SOFTWARE \Microsoft \Windows \CurrentVersion \URL \DefaultPrefix\".

Alcuni esempi di elementi maligni del gruppo O13
O13 - WWW. Prefix: http://ehttp.cc/?
O13 - DefaultPrefix: http://www.pix pox. com/cgi- bin/click.pl?url=
O13 - WWW Prefix: http://pro livation. com/cgi- bin/r.cgi?

O14 - 'Reset Web Settings' hijack

Nel pc c’è un file che Internet Explorer utilizza per "resettare" tutte le sue impostazioni ai valori predefiniti  Il file si chiama \windows\inf\iereset.inf e contiene tutti i parametri che verranno ripristinati in caso di "reset" del browser Componenti maligni possono modificare il file iereset.inf  in modo tale che, in caso di reset il browser, Internet Explorer leggerà tutti i parametri impostati dal malware nel file di configurazione! Ecco un esempio:

O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com
O15 - Unwanted site in Trusted Zone
Qui sono elencati i "Siti Attendibili" per i quali viene impostata dal browser la protezione bassa In questo riga viene evedenziato il tentativo di eseguire un redirect della pagina iniziale di Internet Explorer
Chiavi di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
KEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges

A meno che non si siano specificati manualmente siti attendibili od indirizzi IP specifici

O15 - Trusted Zone: *.msn.com
è bene premere il pulsante Fix per tutte le voci appartenenti a questo gruppo. Per riparare la Trusted Zone modificata è consigliabile l’utilizzo del programma : Deldomain.info
O15 - Trusted Zone: www.1987324.com
O16 - ActiveX Objects (aka Downloaded Program Files)
questa sezione riporta i controlli ActiveX presenti nella cartella C:\$WINDIR$\Downloaded Program Files. Gli ActiveX sono notevolmente utilizzati da malware per far danni sul personal computer Se in lista vedete nomi od indirizzi che non conoscete, suggeriamo di fare una ricerca con Google Con il fix ,normalmente,si elimina dal registro il CLSID corrispondente al controllo selezionato e anche il file validi
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...b?1093169223213
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/active...free/asinst.cab

O17 - Lop.com domain hijackers
Questa voce riporta gli indirizzi IP dei DNS (Domain Name Server) utilizzati dal nostro PC per convertire gli indirizzi formato testo in indirizzi IP. Se nel gruppo O17 non riconoscete IP appartenenti al vostro provider fixate.In caso non siate in grado di riconoscerli effettuate una ricerca Whois tramite l’indirizzo IP

O17 - HKLM\System\CCS\Services\Tcpip\..\ {3C89339C-B609-4295-AF21-AA8BE68F319E}: NameServer = 85.37.17.49 85.38.28.91

O18 - Extra protocols and protocol hijackers
Protocolli Extra o Modificati
Chiavi di registro
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter

quando compare questa voce significa o che è stato installato un driver di protocollo addizionale rispetto a quelli standard di Windows o che gli stessi sono stati modificati ad esempio nelle regole di filtering, un malware può così assumere il controllo sulle modalità con le quali il vostro sistema invia e riceve informazioni in Rete. Suggeriamo di fare delle ricerche in Rete, con Google, per verificare i vari file presenti in O18 o sul sito CastleCops. Con il fix viene cancellata dal registro di sistema la voce selezionata.
Voce consentita: O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O19 - User style sheet hijack
Chiave di registro HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets
Gli "style sheets" o fogli di stile consentono di impostare una sorta di modello per la visualizzazione di una pagina web. Alcuni malware modificano il foglio di stile Poichè solo CoolWebSearch usa per ora questo tipo di hijack è possibile usare il programma  Cwshredder per risolvere il problema.
O19 - User style sheet: c:\WINDOWS\Java\my.css
O20 - AppInit_DLLs Registry value autorun
La stringa AppInit_DLLs contenuta nel registro di sistema contiene generalmente delle librerie che devono essere inizializzate all'avvio di Windows. Alcuni maleware utilizzano questa possibilità per caricare la proprie dll ad ogni avvio.

Chiavi interessate
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
Il fixaggio con il programma HJT non è in grado di eliminare il problema, normalmente si cancellano i file manualmente in mod. provvisoria.
Esempi  di voci valide:
O20 - Winlogon Notify: WgaLogon -C:\WINDOWS\SYSTEM32\WgaLogon.dll
verifica della genuinità del sistema operativo(per poter scaricare dal sito della Microsoft aggiornamenti e programmi.
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll

Esempi di voci alterate:
 O20 - Winlogon Notify: Hints - C:\WINDOWS\system32\enl6l13s1.dll (file missing)
O20 - Winlogon Notify: H323TSP - C:\WINDOWS\system32\ennql1551.dll
O20 - Winlogon Notify: wineij32 - C:\WINDOWS\SYSTEM32\wineij32.dll
O21 - ShellServiceObjectDelayLoad
In quest'area vengono raggruppati i file inizializzati ad ogni avvio di Windows mediante l'uso della chiave ShellServiceObjectDelayLoad del registro di sistema. HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\ CurrentVersion\ShellServiceObjectDelayLoad
Pochissimi componenti di sistema di windows lo utilizzano, HijackThis incorpora un whitelist di componenti, quindi se qualcosa compare nel log è probabile che sia nociva.Con il fix HijacThis cancella la chiave dal registro di sistema, ma non il file dall'hard-disk che va rimosso manualmente .

022 SharedTaskScheduler autorun Registry key
Elenco dei file caricati ad ogni ingresso in Windows tramite il valore SharedTaskScheduler del registro di sistema.
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\ Windows\CurrentVersion \Explorer\SharedTaskScheduler
Alcune varianti di CoolWebSearch utilizzano questo sistema per "autoeseguirsi" all'avvio del sistema operativo.Bisogna avere cautela nel rimuovere gli elementi visualizzati nella sezione O22 di HijackThis perché molti di essi possono essere assolutamente necessari per il corretto funzionamento del sistema. Ricerche in questo senso si possono fare sul sito di CastleCorps.

O23 – NTServices
Questa sezione riporta i servizi (windows NT, 200o e XP) caricati all'avvio di Windows e sconosciuti al programma. Si trovano in genere applicazioni importanti per il PC quali firewall e antivirus, ma è anche una delle sezioni preferite dai malware. E' opportuno quindi prestare molta attenzione a cosa si cancella chiavi di registro:
HKLM\SYSTEM\ControlSet00X (dove X=1,2,3,..)\Enum\Root\LEGACY_Nomedelservizio
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Nomedelservizio
HKLM\SYSTEM\ ControlSet00X (dove X=1,2,3,..)\Services\Nomedelservizio
HKLM\SYSTEM\CurrentControlSet\Services\Nomedelservizio

Il pulsante Fix di HijackThis disabilita l'avvio automatico per il servizio selezionato, ferma il servizio stesso e richiede di riavviare il Pc, HijackThis, però, non elimina "fisicamente" il servizio. E' anche possibile eliminare il servizio attraverso HijackThis, per farlo, aprite il programma, cliccate su “open the misc tools section” clic su “dolete an NT service” immettete il nome del servizio
O23 - Service: SrvYzo - Unknown owner - \\?\C:\Programmi\File comuni\Services\lpt1.exe (file missing)
O23 - Service: WebIgq - Unknown owner - \\?\C:\Programmi\File comuni\System\com1.exe (file missing)


024 - Active Desktop components
Componenti Active X della scrivania, I componenti Active desktop sono implementati tramite file Htlm in remoto o in locale direttamente nel desk ed agiscono in background. Alcuni maleware utilizzano questo metodo per inserire direttamente , messaggi,immagini o pagine web. Programmi come Smitfraud, AVGold, TopAntispyware ed altri rougue(falsi antispyware) utilizzano proprio i componenti Active desktop per aprire finestre di allarme fasulle.
la chiave di registro interessata è: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components
il fix con HJT elimina la chiave infetta mentre l'eventuale file associato va eliminato manualmente.
esempio di segnalazione maleware:
O24 - Desktop Component 0: (no name) - http:// www .np-mljet .hr/images/mljet- np_o_parku. jpg
O24 - Desktop Component 1: (no name) - http:// www .np-mljet .hr /upoznajte_ np-mljet.html?
O24 - Desktop Component 0: (no name) - C:\Program Files\MSN Gaming Zone\rtene.html
O24 - Desktop Component 2: Everybody! Everybody! - http:// www. homestarrunner. com/

IMPORTANTE: L' operazione di diagnosi e identificazione delle righe da correggere è molto difficile e non andrebbe mai sottovalutata per non danneggiare il sistema, consiglio quindi in caso di dubbi o anche solo per conferme di postare il vostro LOG (dopo averlo salvato) in un forum specializzato dove possiate trovare persone più esperte che sappiano consigliarvi.

Indirizzi utili:
Identificazione di processi e dll: (sono in genere suddivisi tra processi di sistema, processi legittimi non di sistema e processi appartenenti a malware):
http://www.iamnotageek.com/a/file_info.php
http://www.liutilities.com/products/wintaskspro/processlibrary/
http://www.neuber.com/taskmanager/process/

Processi eseguiti all'avvio:
http://castlecops.com/StartupList.html
http://startup.iamnotageek.com/
http://www.sysinfo.org/startuplist.php

Identificazione di servizi:
http://service.iamnotageek.com/

Browser Helper Objects e Toolbars: (viene indicato anche il codice CLSID che identifica l'oggetto, utile per fare ricerche indipendenti del nome del file)
http://castlecops.com/CLSID.html
http://www.sysinfo.org/bholist.php

Elementi specifici appartenenti ad alcune categorie di Hijackthis:
[O9]    Lista dei pulsanti aggiuntivi di Internet Explorer
[O18]  Protocolli aggiuntivi e hijacker di protocollo
[O20]  AppInit_DLLs e Winlogon Notify
[O21]  ShellServiceObjectDelayLoad
[O22]  Shared Task Scheduler
[O23]  Lista dei servizi di Windows XP/NT

Guida aggiornata il 15/01/2007

di Vanx - Mattia; Michal - Michele Aldini, lunedý 13 febbraio 2006


Guida Hijackthis
Pulizia del sistema con Hijackthis

Rank: 4,31Rank 4,31/5 Vota

Translate Guida Hijackthis in English Translate in English


Articoli Correlati

Guida Hijackthis
Hijackthis Ŕ uno strumento utile ad analizzare i processi e quali programmi sono aperti sul computer. Come leggere i file di log di HJK


DownLoad Correlati

Infoprocess Anti-Hook ver. 3.0
Software per il rilevamento e prevenzione delle potenziali minacce del sistema i...
Software Freeware Lingua software Italiano

System Safety Monitor ver. 2.1.15.592
Software che controlla i processi, i servizi e le applicazioni e ci consentono ...
Software Freeware Lingua software Italiano

Hijack This ver. 2.0.2
Strumento utile per verificare quali processi e quali programmi sono aperti sul ...
Software Freeware Lingua software Italiano

Visualizza altri Programmi


Termini Correlati

Access: Programma per la gestione di database relazionali sviluppato da Microsoft. i fil...

Accesso: Collegamento ad un computer o ad una rete per il reperimento di informazioni...

ActiveX: controlli ActiveX sono moduli software basati sull'architettura Component Objec...

AD: Administrative Domain, insieme di host e router e rete interattiva gestiti da u...




NewsLetter @ Sicurezza


Resta Informato con la Newsletter di NoTrace Security

Codice di Sicurezza
clicca per ricaricare il codice di sicurezza 
Ricarica Codice
Iscrivimi Cancellami
 
Iscrizione Gratuita 100% Privacy

 




Copyright © 1999/2017 Nazzareno Schettino Tutti i diritti riservati - NoTrace Sicurezza Informatica - Contatti
privacy e sicurezza dati