giorno settimanamesegiorno

Sono passati 356 giorni dall'inizio dell'anno che corrispondono a 51 settimane

Saremo tutti onesti saremo tutti buoni dicono i manifesti in tempo di elezioni



* Chattina

Aggiorna Storia
  • mar: :resistere:
    Febbraio 15, 2022, 19:44:48
  • mar: Non mi ricordavo di essere un global moderator wauuuu Ok Prof ti lascio restaurare in pace!
    Febbraio 15, 2022, 19:43:56
  • mar: :Cartelli70:
    Febbraio 15, 2022, 19:41:14
  • mar: ad cazzum pure qui?
    Febbraio 15, 2022, 19:41:02
  • mar: ciaoooo sono in perlistrazione
    Febbraio 15, 2022, 19:40:44
  • mar: :okkey:
    Febbraio 15, 2022, 19:40:20
  • Loretta/Nina: ciao a tutti
    Ottobre 04, 2021, 19:23:02
  • Loretta/Nina: :tuffarsi:
    Settembre 21, 2021, 07:08:03
  • Loretta/Nina: Buon autunno a tutti
    Settembre 21, 2021, 07:01:35
  • nuvolotta: avventure testuali
    Luglio 06, 2020, 23:26:08
  • _jan_: ...gli ultimo però....!!
    Gennaio 14, 2019, 14:45:09
  • _jan_: vedi gli ultimi post in fondo.
    Novembre 24, 2018, 19:10:00
  • mar: Trovato :Amm9:
    Novembre 24, 2018, 18:57:51
  • mar: Chi cerca trova non vi trovo! :Cartelli2:
    Novembre 24, 2018, 18:57:05
  • mar: Vado a vedere le cartoline!
    Novembre 24, 2018, 18:52:38
  • mar: :Amore145:
    Novembre 24, 2018, 18:52:21
  • mar: :Amore178:
    Novembre 24, 2018, 18:52:07
  • _jan_: Welcome Visitor.  :Party133:
    Novembre 15, 2018, 10:03:24
  • Loretta/Nina: Benvenuto ligi  :Cartelli37:
    Ottobre 09, 2018, 13:19:25
  • nuvolotta: Cucù...  :Amore20:
    Settembre 16, 2018, 01:16:47
  • Loretta/Nina: :Party133:
    Settembre 01, 2018, 17:05:30
  • _jan_: Ciao ai visitors!!
    Settembre 01, 2018, 17:02:31
  • Loretta/Nina: :fischio: :979:
    Agosto 28, 2018, 16:20:48
  • ketty: ah beh, meno male. ora il tempo e' un po' brutto
    Agosto 26, 2018, 13:27:36
  • _jan_: No, no, soqquà. Ci passo ma....... non c'è mai nessuno. Ammiro Nuvolotta, solitaria e presente.
    Agosto 25, 2018, 10:34:41
  • ketty: ma Jan è andato in vacanza? :Cartelli70:
    Agosto 24, 2018, 20:51:59
  • ketty: ciao a tutti.
    Agosto 24, 2018, 20:50:12
  • nuvolotta: :faccina_fiore: ciao ragazzioli/ole...
    Agosto 19, 2018, 23:03:49
  • Loretta/Nina: :ciao: :Party133:
    Agosto 19, 2018, 20:24:28
  • _jan_: :Felici13:
    Agosto 04, 2018, 15:30:40
  • nuvolotta: Ferie... già fatte....
    Agosto 04, 2018, 09:54:58
  • _jan_: Auguri di buon onomastico a tutti gli Alfonso....
    Agosto 01, 2018, 11:10:21
  • _jan_: chiusp per ferie?
    Luglio 30, 2018, 19:50:58
  • _jan_: Buon onomastico a Donatella Seconda........ e la prima? :Shok145:
    Luglio 30, 2018, 06:59:38
  • _jan_: Buon onomastico a tutte le Marta.  :Amore20:
    Luglio 29, 2018, 07:44:31
  • _jan_: Ci sono altre nuove iscritte viste il 26 luglio 2018..... (mica saranno monache)....  :approva:
    Luglio 26, 2018, 18:39:04
  • _jan_: Oggi, 26 luglio 2018, abbiamo una nuova iscritta "Francesca".....Benvenuta Francesca.  :Party133:
    Luglio 26, 2018, 15:49:24
  • _jan_: Buon onomastico anche a tutte le Anna!!! .....
    Luglio 26, 2018, 10:30:21
  • _jan_: Auguri di Buon Onomastico a TUO..... (ogni giorno, credo)..... :sm269:
    Luglio 26, 2018, 10:28:52
  • ketty: ma.... quando è il tuo?
    Luglio 25, 2018, 19:52:19

* Emoticon aggiuntive e link al portale


Autore Topic: Tutorial Hijackthis - parte seconda  (Letto 3104 volte)

0 Utenti e 2 Visitatori stanno visualizzando questo topic.

Offline bloum

  • Amici del NEL-web forum
  • Sottocapo di 1° classe scelto (S.P.E.)
  • *
  • Post: 1620
  • Sesso: Femmina
    • 4 + 1 gatti per un maremmano
  • Onomastico: 19 Ottobre
Tutorial Hijackthis - parte seconda
« il: Giugno 08, 2009, 14:07:18 »
R0, R1, R2, R3 Queste voci indicano che sono state cambiate le impostazioni predefinite di Internet Explorer: la pagina iniziale e i motori di ricerca utilizzati per restituire un indirizzo in caso che quello cercato non venga trovato. Le voci sono da fixare se non si riconosce la propria home page. La voce R3 quando compare riporta la voce "Default URLSearchHook is missing". In questo caso va premuto sicuramente "Fix". Il Search Hook listato in HKEY_CURRENT_USER \Software \Microsoft \Internet Explorer \URLSearchHooks permette al browser di "capire" gli indirizzi dei quali non si è digitato il protocollo: http o ftp
Con il fix vengono ripristinate le chiavi di registro alle impostazioni iniziali

F0, F1, F2, F3 In questo gruppo sono elencati i programmi che si avviano dai file ini di Windows (system.ini e win.ini). Normalmente gli F0 sono sempre da cancellare: si riferiscono a programmi avviati come shell in system.ini; quelli legittimi sono ormai tutti in disuso, come ad esempio Progman.exe in Windows 3.x. Anche gli F1 sono quasi sempre da cancellare in quanto solo applicazioni ormai molto datate partono con il file win.ini. Le locazioni F2 e F3 corrispondono a F0 e F1 nei sistemi NT dove in luogo dei due file system.ini e win.ini possono venir caricati altri file ini con nomi a scelta elencati nella chiave HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \CurrentVersion \IniFileMapping. In F2 viene classificata anche questa chiave del registro HKLM \Software \Microsoft \Windows NT \CurrentVersion \Winlogon \Userinit che di default deve contenere solo il valore userinit.exe (eventualmente seguito da nddeagent.exe). Se invece compare nel log seguita da un eseguibile differente è sicuramente da fixare.
Con il fix vengono ripristinate le chiavi di registro alle impostazioni iniziali

N1, N2, N3, N4 Questa sezione riporta gli stessi valori per i browser Netscape e Mozilla che sono elencati nella Sezione R per Internet Explorer. Valgono quindi le stesse raccomandazioni

Sezione O1 Sono elencate le voci differenti da "127.0.0.1" individuate nel file hosts. Con il fix viene cancellata dal file hosts la linea selezionata.

Sezione O2 Questa sezione elenca i BHO (Browser Helper Objects): Si tratta di plugin che aumentano/cambiano le funzionalità del browser e che vengono vengono eseguiti virtualmente con diritti illimitati nel PC. Sono elencati nella chiave "HKLM \SOFTWARE \Microsoft \Windows \CurrentVersion \Explorer \Browser Helper Objects". Questa sezione è una delle preferite dai malware, ma si trovano anche molti BHO legittimi molto diffusi: Spybot, Acrobat e Google toolbar tanto per citarne alcuni. Un lungo elenco dei BHO (28469 alla data odierna) si può consultare a Non sei autorizzato a vedere i links. Registrati o Login.
Con il fix viene cancellato il CLSID dal registro e cancellata la dll corrispondente dal sistema

Sezione O3 Questa sezione è associata alle toolbar di Internet Explorer (ad esempio la Toolbar&Radio msdxm.ocx). Fare riferimento allo stesso elenco dei BHO per le voci eventualmente trovate.
Con il fix viene cancellata la chiave dal registro del sistema (il file va cancellato manualmente)

Sezione O4 Questa sezione raccoglie tutte le applicazioni che sono caricate all'avvio del sistema operativo da chiavi di registro ( \RunervicesOnce, \RunServices, Run, \RunOnce, \RunOnceEx) sia sotto "HKLM \Software \Microsoft \Windows \CurrentVersion \ che HKCU \Software \Microsoft \Windows \CurrentVersion \". Sono contemplati anche gli avvi previsti dalle cartelle "Esecuzione automatica". Eventuali voci trovate in questa sezione vanno confrontate con quelle raccolte in database disponibili su internet. Molto completi sono quelli di Non sei autorizzato a vedere i links. Registrati o Login  e Non sei autorizzato a vedere i links. Registrati o Login

Sezione O5 questa sezione controlla che non ci siano righe aggiuntive nel file control.ini che mpediscano di visualizzare correttamente qualche elemento del sistema nel pannello di controllo.
Con il fix viene eliminato la riga di blocco dal file control.ini

Sezione O6 questa riga indica che sono state imposte delle restrizioni alle impostazioni di Internet Explorer. Generalmente le restrizioni sono fatte a scopo amministrativo all'interno di società, ma anche dall'uso di Spybot Search & Destroy selezionando le opzioni specifiche nella sezione Immunize. Restrizioni di questo ipo impediscono di modificare la pagina iniziale di Internet Explorer o altre sue impostazioni.
Con il fix viene eliminata la chiave che applica le restrizioni (O6 - "HKCU \Software \Policies \Microsoft \Internet Explorer \Restrictions") dal registro di sistema

Sezione O7 se compare questa riga significa che l'uso dell'editor del registro di sistema (regedit.exe) è disabilitato. La chiave interessata è "HKCU \Software \Microsoft \Windows \CurrentVersion \Policies \System"
Con il fix viene eliminata la voce DisableRegedit=1

Sezione O8 questa voce elenca i contenuti aggiuntivi della chiave "HKCU \Software \Microsoft \Internet Explorer \MenuExt". Sono quelle voci visualizzabili quando in Internet Explorer si clicca con il tasto destro sopra una pagina internet. Comune è "Esporta in Excel" o "Zoom in /Zoom out". Vanno eliminati i riferimenti a programmi sconosciuti.
Con il fix viene solo eliminata la chiave di registro. E' consigliabile riavviare in modalità provvisoria e cancellare il file corrispondente dal sistema

Sezione O9 se compare questa voce significa che sono stati trovati oggetti aggiuntivi non presenti di default nella barra degli strumenti di Internet Explorer o nel menù "Strumenti". La chiave interessata è "HKLM \SOFTWARE \Microsoft \Internet Explorer \Extensions". Anche qui vanno eliminati i valori non necessari o non riconosciuti
Con il fix viene solo eliminata la chiave di registro. E' quindi consigliabile riavviare in modalità provvisoria e cancellare il file corrispondente dal sistema

Sezione 10 in questa sezione sono elencati gli LSP (Layered Service Provider) che modificano le impostazioni Winsock di Windows. Un Winsock hijacker (ad esempio New.net) può controllare tutto il traffico internet, dato che gli LSP sono tutti concatenati tra loro. La errata rimozione (come spesso succede dopo una scansione antivirus) di un Hijacker in questa voce può causare la perdita della connessione internet. In questo caso dopo il fix della voce 010 conviene utilizzare tool specifici quali Non sei autorizzato a vedere i links. Registrati o Login. Anche Spybot Search & Destroy ha una opzione per ripristinare le impostazioni del Winsock al valore corretto.

Sezione 11 questa voce compare in pratica solo dopo un'infezione di CommonName. Viene aggiunta una voce alle opzioni presenti nel tab "Avanzate" sotto il menu "Strumenti\Opzioni Internet" di Internet Explorer. La chiave interessata dalle modifiche è "HKLM \SOFTWARE \Microsoft \Internet Explorer \AdvancedOptions". Questa voce si può quasi sicuramente eliminare.

Sezione 12 Questa sezione riporta i plugins di Internet Explorer (come quello per i file pdf) elencati nella chiave "HKLM \software \microsoft \internet explorer \plugins". Un malware che si registri come plugin viene reinstallato automaticamente quando con Internet Explorer si cerca di aprire un file a lui associato.
Con il fix viene solo eliminata la chiave dal registro di sistema.

Sezione 13 se compare questa sezione significa che un hijacker ha modificato la chiave di sistema "HKLM \SOFTWARE \Microsoft \Windows \CurrentVersion \URL \DefaultPrefix\". Il prefisso di default che viene per primo automaticamente premesso dal browser ad un indirizzo digitato in maniera incompleta è "http://". Coolwebsearch ad esempio modifica il prefisso facendo in modo che la navigazioni passi sui propri siti.
Con il fix viene ripristinata la chiave di registro al valore predefinito. Conviene anche utilizzare un tool specifico per rimuovere Coolwebsearch come Non sei autorizzato a vedere i links. Registrati o Login

. Sezione 14 questa voce compare quando è presente un valore alterato nel file %windir$\inf\iereset.inf che è usato da Internet Explorer per reimpostare la Home page quando si clicca sul pulsante "Ripristina impostazioni Web" (tab "Programmi" del menu "Strumenti\Opzioni Internet"). Spesso il valore è modoficato all'interno delle società dagli amministratori di sistema. La voce va eliminata se non riconosciuta.
Con il fix viene ripristinato il contenuto del file al valore predefinito.

Sezione 15 qui sono elencati i "Siti Attendibili" (tab "Protezione" delle opzioni di Internet Explorer) e l'assegnazione del livello di sicurezza di default ai vari protocolli (http,https,ftp=Internet; shell=mio computer; @ivt=intranet) . Per i siti attendibili viene impostata dal browser la protezione bassa di default per cui tutti i controlli di protezione sugli script e ActiveX sono praticamente disabilitati. Possono venir messi in questa zona i siti aziendali o del proprio provider, ma è comunque meglio eliminarli dalla lista.
Con il fix si eliminano i valori selezionati dal registro di sistema. Al termine è comunque consigliabile scaricare il file Non sei autorizzato a vedere i links. Registrati o Login e selezionarlo con il tasto destro premendo dal menu "Installa". Vengono in questo modo ripristinate correttamente le zone di protezione di Internet Exlorer.

b>Sezione 16 questa sezione riporta i controlli ActiveX presenti nella cartella C:\$WINDIR$\Downloaded Program Files e accessibili da Internet Explorer premendo i pulsanti "Impostazioni"\"Visualizza oggetti raggiungibili dal menu "Strumenti\Opzioni Internet", tab "Generale").
Con il fix si elimina dal registro il CLSID corrispondente al controllo selezionato e anche il file dal disco rigido. Può essere necessario farlo da modalità provvisoria.

Sezione 17 questa voce riporta gli indirizzi IP dei DNS (Domain Name Server) utilizzati dal nostro PC per convertire gli indirizzi formato teso in indirizzi IP. I DNS sono conservati nel registro di sistema in diverse sottochiavi di "HKLM \System \CXX \Services\" dove al posto di XX si troverà CS (CCS-->CurrentControlSet); S1 (CS1-->ControlSet1); S2.... Alcuni Hijacker (lop.com) inseriscono i loro DNS in questa voce forzando quindi gli utenti a collegarsi a siti differenti da quelli attesi. Questa voce riporta quasi sempre l'indirizzo IP del DNS della propria compagnia o del proprio Provider Internet (Alice, Tiscali...). Si può verificare la legittimità degli IP che compaiono in questa vode del log con un semplice Non sei autorizzato a vedere i links. Registrati o Login. In caso siano di compagnie sconosciute vanno eliminati.
Con il fix viene cancellata dal registro di sistema la voce selezionata

Sezione 18 quando compare questa voce significa o che è stato installato un driver di protocollo addizionale rispetto a quelli standard di Windows o che gli stessi sono stati modificati ad esempio nelle regole di filtering. Con questa tecnica un hijacker è in grado di analizzare in parte le informazioni trasmesse in internet dal PC. Le sottochiavi interessate dalle modifiche sono "\handler" e "\filter" in HKLM\ SOFTWARE\ Classes\ PROTOCOLS\. Accanto a numerosi add on per Internet explorer legittimi, ci sono diversi Hijacker che installano i loro protocolli, ad esempio Coolwebsearch (vedi anche sezione 13), lop.com, CommonName. Un loro elenco può essere trovato Non sei autorizzato a vedere i links. Registrati o Login
Con il fix viene cancellata dal registro di sistema la voce selezionata

Sezione 19 se compare questa voce significa che nella chiave "HKCU\ Software\ Microsoft\ Internet Explorer\ Styles\"è stato impostato un foglio di stile personalizzato per Internet Explorer, che sostituisce quello predefinito. Se non è stato impostato di proposito, ad esempio per aumentare la visibilità delle pagine internet per i portatori di handicap, la voce va rimossa.

Sezione 20 questa sezione può riportare due voci:
AppInit_DLLs in questo caso nella chiave "HKLM\ SOFTWARE\ Microsoft\ Windows NT \CurrentVersion \Windows \AppInit_DLLs" è indicata una (o più) DLL che viene caricata nelle prime fasi dell'avvio del sistema operativo insieme a user32.dll. Questo significa che la dll riportata da questa voce sarà molto difficile da rimuovere perchè caricata da numerosi processi di sistema. Questo metodo di hijacking è utilizzato ad esempio da alcune varianti di CoolWebSearch (vedi anche sezione 13). Con il Fix Hijackthis (da usare in modalità provvisoria) azzera la chiave selezionata, ma non la elimina. In caso di insuccesso occorre avviare l'editor del registro di sistema (regedit.exe), spostarsi manualmente sulla chiave incriminata ed eliminarla manualmente. Occorre ricordarsi anche di cercare e cancellare manualmente il file dll
Winlogon Notify questa voce è associata alla presenza di dll non standard nella chiave "HKLM\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon\ Notify". Hijackthis è in grado di eliminare la chiave, ma non cancella la dll dall'hard-disk, operazione che va fatta manualmente. Spesso le dll in questa voce hanno dei nomi random e questo è sintomo di infezione da Look2Me. In questo caso conviene affiancare ad HijackThis anche Non sei autorizzato a vedere i links. Registrati o Login
Un elenco abbastanza aggiornato delle dll che si possono trovare nella sezione 020 è consultabile Non sei autorizzato a vedere i links. Registrati o Login

Sezione 21 questa sezione elenca i moduli non standard elencati nella chiave "HKLM\ Software\Microsoft\ Windows\ CurrentVersion\ ShellServiceObjectDelayLoad" che vengono caricati all'avvio di Explorer.exe. I moduli sono identificati dal loro CLSID. Se compare questa voce nel log è quasi sicuramente da eliminare. Un piccolo elenco degli hijacker che possono essere trovati in questa sezione è consultabile Non sei autorizzato a vedere i links. Registrati o Login
Con il fix HijacThis cancella la chiave dal registro di sistema, ma non il file dall'hard-disk che va rimosso manualmente dalla modalità provvisoria.

Sezione 22 questa sezione riporta i moduli caricati dalla voce di registro "HKLM\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Explorer\ SharedTaskScheduler" identificati dal loro CLSID. Al momento sono stati trovati pochi hijacker che sfruttano questa voce (Non sei autorizzato a vedere i links. Registrati o Login un piccolo elenco).
Con il fix viene azzerato il valore dal SharedTaskScheduler, ma non cancellato il CLSID che richiama e il file che deve essere eliminato manualmente dalla modalità provvisoria.

Sezione 23 questa sezione riporta i servizi (windows NT, 200o e XP) caricati all'avvio di Windows. Si trovano in genere di applicazioni importanti per il PC quali firewall e antivirus, ma è anche una delle sezioni preferite dai malware. E' opportuno quindi prestare molta attenzione a cosa si cancella. Un lungo esempio di servizi che possono essere trovati in questa voce si può consultare Non sei autorizzato a vedere i links. Registrati o Logini. L'elenco dei servizi attivi in windows può essere visualizzato digitando dalla finestra della shell (Start\Esegui) services.msc e premendo invio. Si apre una finestra simile a questa dove sono riconosciili i servizi attivi perchè hanno lo stato di "Avviato":

Per cancellare un servizio sicuramente nocivo si può agire in diversi modi:

1) con HijackThis dalla modalità provvisoria selezionare la voce del log e premere "fix" come al solito. Poi dall'elenco dei tool di Hijackthis, raggiungibili dalla schermata iniziale da "Open the Misc Tools Section" selezionare "Delete a NT service". Può essere necessario scaricarlo prima dalla memoria, per cui è sempre bene aprire prima la finestra dei servizi e controllare se risulta elencato tra quelli attivi. In caso affermativo basta selezionarlo e premere "Termina" come in figura, poi cliccare su "proprietà" e dal tab "generale" che si aprirà segliere la voce "Disattivato" nel menu a tendina "Tipo di avvio"
(esempio) e poi confermare con "OK".

2) Con i comandi di Windows. Leggere il nome del servizio riportato tra le parentesi tonde nel log (nomeservizio) e poi da una finestra della shell (DOS) digitare in successione :
sc stop nomeservizio (invio)
sc delete nomeservizio (invio).

3) Dal registro di sistema. Aprire il registro di sistema (regedit.exe) e navigare nelle sottochiavi "\Enum\Root" e "\Services" in "HKLM\ SYSTEM\ CurrentControlSet" e "HKLM\ SYSTEM\ ControlSet00X" (dove x=1,2,3...). Cercare in queste chiavi il riferimento al servizio nocivo ed eliminarle. Ad esempio se il servizio si chiama nomeservizio occorrerà eliminare la sottochiave "legacy_nomeservizio" da "\Enum\Root" e la sottochiave "nomeservizio" da "\Services"

Fate molta attenzione e se non siete sicuri, chiedete aiuto a qualche vostro amico più esperto di voi o qui sul forum a me

Non sei autorizzato a vedere i links. Registrati o Login..... a presto
« Ultima modifica: Giugno 12, 2009, 16:37:06 da bloum »
Non c'è niente di più forte della gentilezza e niente di più gentile della vera forza.