Un semplice strumento dalle molteplici funzionalità grazie al quale chiunque, con pochi click del mouse, può accorgersi di eventuali infezioni del PC ed eliminarle. Parte 8/8
[ZEUS News - www.zeusnews.it - 05-04-2006]
b>Sezione 16 questa sezione riporta i controlli ActiveX presenti nella cartella C:\$WINDIR$\Downloaded Program Files e accessibili da Internet Explorer premendo i pulsanti "Impostazioni"\"Visualizza oggetti raggiungibili dal menu "Strumenti\Opzioni Internet", tab "Generale").
Con il fix si elimina dal registro il CLSID corrispondente al controllo selezionato e anche il file dal disco rigido. Può essere necessario farlo da modalità provvisoria.
Sezione 17 questa voce riporta gli indirizzi IP dei DNS (Domain Name Server) utilizzati dal nostro PC per convertire gli indirizzi formato teso in indirizzi IP. I DNS sono conservati nel registro di sistema in diverse sottochiavi di "HKLM \System \CXX \Services\" dove al posto di XX si troverà CS (CCS-->CurrentControlSet); S1 (CS1-->ControlSet1); S2.... Alcuni Hijacker (lop.com) inseriscono i loro DNS in questa voce forzando quindi gli utenti a collegarsi a siti differenti da quelli attesi. Questa voce riporta quasi sempre l'indirizzo IP del DNS della propria compagnia o del proprio Provider Internet (Alice, Tiscali...). Si può verificare la legittimità degli IP che compaiono in questa vode del log con un semplice whois. In caso siano di compagnie sconosciute vanno eliminati.
Con il fix viene cancellata dal registro di sistema la voce selezionata
Sezione 18 quando compare questa voce significa o che è stato installato un driver di protocollo addizionale rispetto a quelli standard di Windows o che gli stessi sono stati modificati ad esempio nelle regole di filtering. Con questa tecnica un hijacker è in grado di analizzare in parte le informazioni trasmesse in internet dal PC. Le sottochiavi interessate dalle modifiche sono "\handler" e "\filter" in HKLM\ SOFTWARE\ Classes\ PROTOCOLS\. Accanto a numerosi add on per Internet explorer legittimi, ci sono diversi Hijacker che installano i loro protocolli, ad esempio Coolwebsearch (vedi anche sezione 13), lop.com, CommonName. Un loro elenco può essere trovato qui
Con il fix viene cancellata dal registro di sistema la voce selezionata
Sezione 20 questa sezione può riportare due voci:
AppInit_DLLs in questo caso nella chiave "HKLM\ SOFTWARE\ Microsoft\ Windows NT \CurrentVersion \Windows \AppInit_DLLs" è indicata una (o più) DLL che viene caricata nelle prime fasi dell'avvio del sistema operativo insieme a user32.dll. Questo significa che la dll riportata da questa voce sarà molto difficile da rimuovere perchè caricata da numerosi processi di sistema. Questo metodo di hijacking è utilizzato ad esempio da alcune varianti di CoolWebSearch (vedi anche sezione 13). Con il Fix Hijackthis (da usare in modalità provvisoria) azzera la chiave selezionata, ma non la elimina. In caso di insuccesso occorre avviare l'editor del registro di sistema (regedit.exe), spostarsi manualmente sulla chiave incriminata ed eliminarla manualmente. Occorre ricordarsi anche di cercare e cancellare manualmente il file dll
Winlogon Notify questa voce è associata alla presenza di dll non standard nella chiave "HKLM\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon\ Notify". Hijackthis è in grado di eliminare la chiave, ma non cancella la dll dall'hard-disk, operazione che va fatta manualmente. Spesso le dll in questa voce hanno dei nomi random e questo è sintomo di infezione da Look2Me. In questo caso conviene affiancare ad HijackThis anche Look2me Deststroyer, un piccolo tool preparato da Atribune
Un elenco abbastanza aggiornato delle dll che si possono trovare nella sezione 020 è consultabile qui
Sezione 21 questa sezione elenca i moduli non standard elencati nella chiave "HKLM\ Software\Microsoft\ Windows\ CurrentVersion\ ShellServiceObjectDelayLoad" che vengono caricati all'avvio di Explorer.exe. I moduli sono identificati dal loro CLSID. Se compare questa voce nel log è quasi sicuramente da eliminare. Un piccolo elenco degli hijacker che possono essere trovati in questa sezione è consultabile qui
Con il fix HijacThis cancella la chiave dal registro di sistema, ma non il file dall'hard-disk che va rimosso manualmente dalla modalità provvisoria.
Sezione 22 questa sezione riporta i moduli caricati dalla voce di registro "HKLM\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Explorer\ SharedTaskScheduler" identificati dal loro CLSID. Al momento sono stati trovati pochi hijacker che sfruttano questa voce (qui un piccolo elenco).
Con il fix viene azzerato il valore dal SharedTaskScheduler, ma non cancellato il CLSID che richiama e il file che deve essere eliminato manualmente dalla modalità provvisoria.
Sezione 23 questa sezione riporta i servizi (windows NT, 200o e XP) caricati all'avvio di Windows. Si trovano in genere di applicazioni importanti per il PC quali firewall e antivirus, ma è anche una delle sezioni preferite dai malware. E' opportuno quindi prestare molta attenzione a cosa si cancella. Un lungo esempio di servizi che possono essere trovati in questa voce si può consultare qui. L'elenco dei servizi attivi in windows può essere visualizzato digitando dalla finestra della shell (Start\Esegui) services.msc e premendo invio. Si apre una finestra simile a questa dove sono riconosciili i servizi attivi perchè hanno lo stato di "Avviato":
Per cancellare un servizio sicuramente nocivo si può agire in diversi modi:
1) con HijackThis dalla modalità provvisoria selezionare la voce del log e premere "fix" come al solito. Poi fare riferimento al paragrafo 6/b di questa guida: "Delete a NT service". Può essere necessario scaricarlo prima dalla memoria, per cui è sempre bene aprire prima la finestra dei servizi e controllare se risulta elencato tra quelli attivi. In caso afermativo basta selezionarlo e premere "Termina" come in figura, poi cliccare su "proprietà" e dal tab "generale" che si aprirà segliere la voce "Disattivato" nel menu a tendina "Tipo di avvio" (qui l'esempio) e poi confermare con "OK".
2) Con i comandi di Windows. Leggere il nome del servizio riportato tra le parentesi tonde nel log (nomeservizio) e poi da una finestra della shell (DOS) digitare in successione :
sc stop nomeservizio (invio)
sc delete nomeservizio (invio).
3) Dal registro di sistema. Aprire il registro di sistema (regedit.exe) e navigare nelle sottochiavi "\Enum\Root" e "\Services" in "HKLM\ SYSTEM\ CurrentControlSet" e "HKLM\ SYSTEM\ ControlSet00X" (dove x=1,2,3...). Cercare in queste chiavi il riferimento al servizio nocivo ed eliminarle. Ad esempio se il servizio si chiama nomeservizio occorrerà eliminare la sottochiave "legacy_nomeservizio" da "\Enum\Root" e la sottochiave "nomeservizio" da "\Services"
Guida HijackThis parte 1°: installazione e avvio
Guida HijackThis parte 2°: scansione e rimozione dei valori infetti
Guida HijackThis parte 3°: ripristino delle chiavi cancellate e white list
Guida HijackThis parte 4°: Process e Hosts manager, cancellazione al boot
Guida HijackThis parte 5°: Alternate Data Streams, cancellazione dei servizi e uninstall manager
Guida HijackThis parte 6°: interpretazione del log da R0 a 09
Guida HijackThis parte 7°: interpretazione del log da 08 a 015
Guida HijackThis parte 8°: interpretazione del log da 016 a 023
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News
ti consigliamo di iscriverti alla Newsletter gratuita.
Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui
sotto, inserire un commento
(anche anonimo)
o segnalare un refuso.
© RIPRODUZIONE RISERVATA |
|
|
||
|
Shea89