ParlandoSparlando

Cerca nel sito
Homepage  /  Computer  /  Manuali

Collegamenti sponsorizzati:

 

Links della pagina:

HiJackThis

Si chiama "Hijacking" (si pronuncia "ai-gieching") ed e' una delle pratiche di violazione della privacy piu' diffuse e fastidiose.

Un "hijacker" e' un programma malevolo, spesso paragonato ad un virus, che si installa sul sistema veicolato da altri applicativi (mimetizzato da sponsor o da plug-in per il browser) oppure sfruttando alcune debolezze del sistema: una volta dentro, modifica la pagina iniziale del vostro navigatore, e non permette di ripristinare lo stato iniziale delle cose.

"HijackThis" e' un programma molto interessante che si occupa appunto di ripulire il sistema da questi programmi indesiderati.

Per prima cosa effettuiamo il download di HijackThis.exe

Una volta avviato il programma vi appare questa schermata, una sorta di pannello di controllo con le principali opzioni possibili.
Se mettete il flag su "Don’t show this frame again when I start Hijackthis" al prossimo avvio del programma passera' direttamente alla schermata successiva.

Cliccate quindi su "Do a system scan only" (per effettuare una scansione del sistema) oppure su "Do a system scan and save a logfile" (per effettuare una scansione del sistema e salvare il risultato su un file) e vi appare il risultato della scansione.

Prima di rimuovere qualche cosa premete "Save log" (se avete precedentemente cliccato su "Do a system scan only") e vi viene proposto di salvare un file chiamato hijackthis.log, che poi potrete aprire con Blocco note o un qualsiasi editor di testo.

Avvertenza importante: quando usate questo programma NON CANCELLATE subito quello che trova, molte di quelle cose che mostra la scansione sono "giuste" e devono rimanere.
Una mano la potete trovare nel sito www.liutilities.com dove si troveranno tutte le WinTasks Process Library

Se avete dei dubbi cercate nei forum su internet come HijackThis.de Supportforum (in inglese).
Per ammissione stessa del suo creatore, HijackThis e' ancora altamente imperfetto ed e' altamente raccomandabile discutere su forum tematici i risultati prima di agire.

Oppure usate il comodissimo e automatizzato "Analisi log file di HijackThis", dove, una procedura automatizzata effettuera' un'analisi in tempo reale del file di log che HijackThis vi ha rilasciato dopo la scansione.

Una volta individuate le voci "non adatte", mettete il flag nella casella corrispondente, quindi premete "Fix checked".
Vi chiedera' conferma dell’eliminazione

Nel caso venisse eliminata qualche voce di troppo basta portarsi su "Config..." (in basso a destra) e quindi, nella finestra che si apre, su "Backups" e troverete la lista di quello che avete eliminato, premete "Restore" e ritornera' al suo posto.
Oppure, se l’eliminazione di quella voce ha risolto il vostro problema, con "Delete" eliminate anche il file di backup.

Questo e' il significato di tutte le voci che potrebbero uscire dalla scansione:
R - Registry, StartPage/SearchPage changes
R0 - Changed registry value
R1 - Created registry value
R2 - Created registry key
R3 - Created extra registry value where only one should be
F - IniFiles, autoloading entries
F0 - Changed inifile value
F1 - Created inifile value
F2 - Changed inifile value, mapped to Registry
F3 - Created inifile value, mapped to Registry
N - Netscape/Mozilla StartPage/SearchPage changes
N1 - Change in prefs.js of Netscape 4.x
N2 - Change in prefs.js of Netscape 6
N3 - Change in prefs.js of Netscape 7
N4 - Change in prefs.js of Mozilla
O - Other, several sections which represent:
O1 - Hijack of auto.search.msn.com with Hosts file
O2 - Enumeration of existing MSIE BHO's
O3 - Enumeration of existing MSIE toolbars
O4 - Enumeration of suspicious autoloading Registry entries
O5 - Blocking of loading Internet Options in Control Panel
O6 - Disabling of 'Internet Options' Main tab with Policies
O7 - Disabling of Regedit with Policies
O8 - Extra MSIE context menu items
O9 - Extra 'Tools' menuitems and buttons
O10 - Breaking of Internet access by New.Net or WebHancer
O11 - Extra options in MSIE 'Advanced' settings tab
O12 - MSIE plugins for file extensions or MIME types
O13 - Hijack of default URL prefixes
O14 - Changing of IERESET.INF
O15 - Trusted Zone Autoadd
O16 - Download Program Files item
O17 - Domain hijack
O18 - Enumeration of existing protocols and filters
O19 - User stylesheet hijack
O20 - AppInit_DLLs autorun Registry value
O21 - ShellServiceObjectDelayLoad (SSODL) autorun Registry key
O22 - SharedTaskScheduler autorun Registry key
O23 - Enumeration of NT Services

Alcune delle piu' importanti sono R0, R1, R2, R3 dove si nascondono tutti i reindirizzamenti a pagine e siti che non sono quelli che abbiamo impostato noi.
Tutte le righe invece che iniziano con 01,010,015 sono da verificare e nel caso eliminare con hijackthis.
Nel 01 potrebbero esserci alcune impostazioni della vostra rete lan, soprattutto il vostro proxy con cui accedete ad internet.
O2 e 03 dove si annidano gli Spyware piu' resistenti, di solito toolbar di vario genere.
04 mostra tutti i programmi (virus e dialer compresi) che vengono caricati in esecuzione automatica all’avvio del pc.

HijackThis log tutorial by Merijn.org
HijackThis log tutorial by Aumha.org


Questo e' un esempio di Log su un pc pulito

Logfile of HijackThis v1.99.0
Scan saved at 10.42.54, on 18/12/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOW\Ssystem32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Internet\Sygate\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Common Framework\FrameworkService.exe
C:\Programmi\Mcafee\Mcshield.exe
C:\Programmi\Mcafee\VsTskMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Mcafee\SHSTAT.EXE
C:\Programmi\Common Framework\UpdaterUI.exe
C:\Programmi\File comuni\Network Associates\TalkBackTBMon.exe
C:\PROGRA˜1\ANTISP˜1\Ad-Aware\Ad-Watch.exe
d:\Documenti\Downloads\HijackThis.exe
C:\Programmi\Mozilla Firefox\firefox.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page =
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Utilita'\Acrobat 6.0\ReaderActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA˜1\Internet\SPYBOT˜1\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA˜1\Internet\FlashGetjccatch.dll
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA˜1\Internet\STARDO˜1\SDIEInt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA˜1\Internet\FlashGet\fgiebar.dll
O4 - HKLM..Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM..Run: [ShStatEXE] "C:\Programmi\Mcafee\SHSTAT.EXE" /STANDALONE
O4 - HKLM..Run: [McAfeeUpdaterUI] "C:\Programmi\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM..Run: [Network Associates Error Reporting Service] "C:\Programmi\File comuni\Network Associates\TalkBackTBMon.exe"
O4 - HKLM..Run: [SmcService] C:\PROGRA˜1\Internet\Sygate\smc.exe -startgui
O4 - HKLM..Run: [AWMON] "C:\PROGRA˜1\ANTISP˜1\Ad-Aware\Ad-Watch.exe"
O4 - HKLM..Run: [Logon Loader Random] "C:\Programmi\Utilita'\Logon Loader\LogonLoader.exe" -random
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel present
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:PROGRA˜1MICROS˜2OFFICE11EXCEL.EXE/3000
O8 - Extra context menu item: Salva oggetto con Star Downloader - C:\PROGRA˜1\Internet\STARDO˜1\sdie.htm
O8 - Extra context menu item: Scarica con FlashGet - C:\Programmi\Internet\FlashGetjc_link.htm
O8 - Extra context menu item: Scarica tutto con FlashGet - C:\Programmi\Internet\FlashGetjc_all.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA˜1\Internet\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA˜1\Internet\FlashGet\flashget.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094811426578
O23 - Service: Servizio di framework di McAfee - Network Associates, Inc. - C:\Programmi\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield - Network Associates, Inc. - C:\Programmi\Mcafee\Mcshield.exe
O23 - Service: Network Associates Task Manager - Network Associates, Inc. - C:\Programmi\Mcafee\VsTskMgr.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\vsvc32.exe
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programmi\Internet\Sygatesmc.exe


Config... (opzione in basso a destra)
Scegliete "Config..." e controllate che nelle opzioni "Main" sia abilitato "Make backups before fixing items" (sia quindi presente un segno di spunta) in modo da salvare quello che cancellate e poterlo recuperare in caso di vostro errore.
Nella "Ignorelist" si possono inserire le voci sicure che non saranno controllate nuovamente alla prossima scansione.
Basta selezionare una voce quando si fa la scansione, e poi premere "Add checked to ignorelist".
La scansione e' pero' talmente veloce che l’utilizzo di questa funzione e' abbastanza inutile.


Misc Tools
Nei "Misc Tools" troviamo alcune funzioni piuttosto importanti.

Con "Generate StartupList log" e mettendo anche il flag su "List also minor section (full)" si puo' avere un dettagliato rapporto su tutti i processi e i servizi attivi sul vostro computer.

Con "Open process manager" potete avere un sostituto del Task manager di Windows con cui terminare applicazioni pericolose che devono essere eliminate da Hijackthis.
Dove, se premete "Kill process", vi chiede la conferma e scegliete Si per chiudere l’applicazione.
Una mano la potete trovare nel sito www.liutilities.com dove si troveranno tutte le WinTasks Process Library

Con "Open hosts file manager", potrete andare a modificare il vostro file hosts che contiene in sostanza, un elenco di nomi e indirizzi, alcuni buoni, altri utilizzati da siti di solito di genere pornografico, per reindirizzare la vostra navigazione verso di loro.

Aprendo il file Hosts su un pc pulito l'unica voce che troveremo, oltre ai commenti riconoscibili dal simbolo # ad inizio riga, e':
127.0.0.1 Localhost
Se ci sono altre voci che non sono state inserite da voi potrete tranquillamente eliminarle.

Con "Delete file on reboot" sara' possibile selezionare un file da cancellare al prossimo riavvio del pc, molto utile quando avete dei file in uso da windows che non e' possibile cancellare.


Maggiori informazioni sono disponibili sul sito www.megalab.it, da cui e' stata tratta questa guida.

15/01/2005
Copyright © 2000-2008 Parlandosparlando



English version site