HijackThis

Da T-WIKI.

Guida a HijackThis

Questa guida si basa sul tutorial ufficiale in inglese di merijn riguardante l'uso di HijackThis (mirror1) , potente utility di diagnostica e correzione contro gli spyware più difficili, con l'intento di rendere questo programma più comprensibile. Si consiglia la lettura di queste altre due guide in inglese: HijackThis Log Tutorial e How to use HijackThis to remove Browser Hijackers & Spyware. In rete sono disponibili anche alcuni tool per auto-analisi del log (basterà copiare/incollare il log del programma nel modulo):

  1. HijackThis.de Security (consigliato)
  2. HijackThis! Log Auto Analyzer V2

Per utilizzare HijackThis prima di tutto è necessario creare una cartella apposita dove spostare l'eseguibile del programma, sia per una questione di ordine sia per permettervi un successivo semplice ripristino di eventuali errori nella correzione. Basterà quindi far partire il programma ed eseguire uno SCAN.

Qui sotto trovate una lista dettagliata di ogni tipo di riga che potrete trovare nel LOG generato che vi sarà indispensabile per l'analisi degli eventuali problemi. Dovete quindi selezionare tutte le righe "sospette" che fanno capo alla infezione da spyware presente sul vostro sistema, selezionare FIX per poterle correggere e riavviate il sistema.

HijackThis Main Menu.jpg

NOTE IMPORTANTI:

  • L' operazione di diagnosi e identificazione delle righe da correggere è molto difficile e non andrebbe mai sottovalutata per non danneggiare il sistema, si consiglia quindi, in caso di dubbi o anche solo per conferme, di postare il vostro LOG (dopo averlo salvato) in un forum specializzato dove possiate trovare persone più esperte che sappiano consigliarvi. I forum consigliati (specializzati nell 'analisi dei LOG) sono: SpywareInfo e TomCoyote entrambi in inglese, se invece volete un aiuto in italiano troverete sempre validi consigli nel FORUM di questo sito nella sezione apposita TWEAK - SICUREZZA o nel forum Antivirus e Sicurezza di HWUpgrade.it.
  • L'autore di HijackThis ha venduto il sofware all'azienda di sicurezza Trend Micro che ha già acquisito dallo stesso autore l'altro popolare programma CWShredder). Una nuova versione beta di HijackThis è scaricable dal questo indirizzo: Trend Micro HijackThis 2.00 beta. Il nuovo prodotto include tutte le modifiche, gli aggiornamenti e i fix pianificati originaraimente dall'autore per la release v1.99.2. Trend Micro ha anche reso disponibile una Quick Start Guide e una FAQ per il nuovo prodotto. L'azienda di sicurezza ha anche pubblicato una pagina (accessibile dal programma - Send Log to Trend Micro) che offre una raccolta di forum di invio log e guide per il programma.



R0, R1, R2, R3 - IE Homepage & Search

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/
R2 - (non ancora usato da Hijack)
R3 - Default URLSearchHook is missing

Sono le voci dei registri che riguardano la pagina iniziale di IE e quella di ricerca predefinita, fate attenzione quindi agli indirizzi con cui terminano queste stringhe, se non corrispondono alla vostra homepage o al vostro motore di ricerca dovreste correggere queste righe.

F0, F1, F2, F3 - Autoloading programs dai files INI

F0 - system.ini: Shell=Explorer.exe Openme.exe
F1 - win.ini: run=hpfsched

Sono le voci inserite nei file sistema (INI) per avviare automaticamente col sistema determinati eseguibili.

Gli F0 sono sempre dannosi quindi correggeteli. Gli F1 potrebbero essere programmi obsoleti, consultate sempre un database online per assicurarvene.

N1, N2, N3, N4 - Netscape/Mozilla Homepage & Search

N1 - Netscape 4: user_pref("browser.startup.homepage, "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)

N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)

N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src\"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)

Lo stesso che per R0,R1,R3, questa volta per altri browser (Netscape e Mozilla), che più raramente subiscono questo tipo di hijack.

O1 - Reindirizzi nel file HOSTS

O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
O1 - Hosts file is located at C:\Windows\Help\hosts

Spesso i vari spyware utilizzano questo metodo per costringervi a visitare alcuni siti, basta infatti reindirizzare la URL alla destra delle righe verso l' IP alla sinistra. Se non avete inserito voi il reindirizzamento nel file hosts fixate queste righe (l' ultima nell 'esempioè aggiunta spesso da CoolWebSearch, noto hijacker).

O2 - Browser Helper Objects

O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL

Qui bisogna controllare questi oggetti e rimuovere quelli riconosciuti dannosi e malevoli, per farlo consultate quest 'ottimo database BHO.

O3 - Barre degli Strumenti di Internet Explorer

O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL

Queste sono le barre installate per Internet explorer (come quella di Google), anche qui aiutatevi con il database di toolbars per riconoscere il vostro problema.

O4 - Autoloading programs from Registry or Startup group

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ccApp] \"C:\Program Files\Common Files\Symantec Shared\ccApp.exe\"
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: winlogon.exe

L' elenco dei programmi che vengono autocaricati dal registro o da esecuzione automatica. Spesso troveremo qui chiamate ai nostri spyware quindi usiamo la lista degli startups e eliminiamo le voci scorrette. Notate che se dobbiamo eliminare una voce tipo Global Startup è necessario terminarne il processo in esecuzione prima che hjackthis sia in grado di farlo.

O5 - Opzioni Internet nascoste nel Pannello di Controllo

O5 - control.ini: inetcpl.cpl=no

Questa voce si riferisce a Opzioni Internet che in questo caso sono state nascoste nel Pannello di Controllo per impedirne la modifica

Se questo non è stato fatto volontariamente dall 'amministratore del vostro sistema, correggete la riga.

O6 - Restrizioni di Accesso a Opzioni Internet

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

Queste sono le restrizioni presenti per accedere alla modifica delle opzioni di Internet Explorer, quindi se non sono state attivate dall'amministratore o da qualche programma antispy (Spybot Search&Destroy), fixate queste righe.

O7 - Restrizione di Accesso a Regedit

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Di nuovo, questa riga significa che è stato impedito l'accesso a regedit, se l'amministratore non ne sa nulla correggete pure.

O8 - Funzioni Extra col tastro destro in IE

O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html
O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm
O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm

Anche qui se non riconoscete il programma che dovrebbe aver installato la nuova funzionalità nel menu contestuale, correggete

O9 - Pulsanti Extra nelle Barre, o Oggetti Extra in Strumenti, in IE

O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: AIM (HKLM)

Nuovi pulsanti nelle barre degli strumenti e nuove voci nel menu strumenti, anche qui tentate di riconoscere il programma che ha installato tali funzionalità, altrimenti correggete.

O10 - Winsock hijackers

O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll'missing
O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll

Per correggere queste voci è preferibile usare programmi appositi, ecco quali , LSPFix e SpyBot Search&Destroy.

O11 - Funzioni Extra in Opzioni Avanzate di IE

O11 - Options group: [CommonName] CommonName

Si conosce un unico Spyware che aggiunge una sua funzione in Opzioni Avanzate di IE, CommonName, quindi potete correggere in sicurezza.

O12 - Internet Explorer plugins

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

Raramente queste voci appartengono a spyware, si conosce solo OnFlow aggiunge una plugin da correggere (.ofb).

O13 - IE DefaultPrefix hijack

O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: http://ehttp.cc/?

La presenza di queste righe è sempre nociva, selezionatele e fixatele tutte.

'O14 - Reset Web Settings' hijack

O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com

In questo riga viene evedenziato il tentativo di eseguire un redirect della pagina iniziale di Internet Explorer, se l'indirizzo non appartiene al vostro provider, correggete.

O15 - Siti ritenuti Sicuri

O15 - Trusted Zone: http://free.aol.com
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.msn.com

Qui ci sono i siti ritenuti sicuri e aggiunti ad una lista senza restrizione alcuna, questo potrebbe a volte essere fatto con cattive intenzioni (CoolWebSearch), quindi controllate gli indirizzi e eliminate quelli che non conoscete.

O16 - ActiveX Objects (aka Downloaded Program Files)

O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Qui ci sono gli oggetti activeX scaricati da internet e installati. Ci potrebbero essere molti spywares tra questi quindi controllateli bene, a volte basterà cercare parole particolari come Dialer o Casino. Per proteggersi da queste infezioni si consiglia l'uso di SpywareBlaster

O17 - Lop.com domain hijacks

O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gla.ac.uk
O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175

Questo hijack tenta di reindirizzare i domini di rete, se questi non appartengono al vostro provider o non li riconoscete, correggete. Per quanto riguarda 'NameServer' cercate l'IP con google e assicuratevi della destinazione.

O18 - Protocolli Extra o Modificati

O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Solo pochi spyware usano questo tipo di hijack, 'cn' (CommonName), 'ayb' (Lop.com) e 'relatedlinks' (Huntbar). Controllate e in caso di dubbi usate google, poi correggete.

O19 - User style sheet hijack

O19 - User style sheet: c:\WINDOWS\Java\my.css

Solo CoolWebSearch usa per ora questo tipo di hijack, quindi sarebbe consigliabile usare il programma Cwshredder.

I sintomi comuni per questa infezioni sono la chiusura inaspettata di Internet Explorer e la comparsa di fastidiosi popup.

O20 - AppInit_DLLs Registry value autorun

O20 - AppInit_DLLs: msconfd.dll

Le voci del registro HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows NT\CurrentVersion\Windows, caricano DLL al Login dell'utente, pochi programmi le utilizzano (Norton CleanSweep usa APITRAP.DLL), molti invece nuovi trojans e hijackers. Se precedute da ‘|’ indicano delle DLL nascoste.

O21 - ShellServiceObjectDelayLoad

O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll

Le voci del registro HKEY_LOCAL_MACHINE\ Software\Microsoft\ Windows\ CurrentVersion\ ShellServiceObjectDelayLoad, un metodo di autorun non documentato. Pochissimi componenti di sistema di windows lo utilizzano, HijackThis incorpora un whitelist di componenti, quindi se qualcosa compare nel log è probabile che sia nociva.

O22 - SharedTaskScheduler

O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll

Non documentata, solo CWS.Smartfinder è noto usarle sino ad ora. Cautela!.

O23 - NTServices

O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\System32\vmnat.exe

I servizi in Windows NT4, Windows 2000, Windows XP and Windows 2003 sono programmi particolari generalmente relativi al sistema e importanti. Partono prima del logon utente e sono protetti da Windows. Un ottimo nascondiglio per i malwares. Fixandoli i servizi saranno disabilitati e dopo è necessario il riavvio del sistema. Nota: Il parassita Ms4Hd rootkit crasha HijackThis durante lo scan di NT Services . Per completare il log usate HijackThis 1.98.2.