Capire quali sono le chiavi da rimuovere è un compito per utenti esperti, con questa guida cerchiamo di spiegare come identificare e riconoscere i vari processi e farvi comprenderne il significato.
Gruppo : R0 - R1 - R2 - R3
Queste voci sono legate alla pagina iniziale di Internet Explorer e a quella della ricerca predefinita vediamole in dettaglio
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.google.com/
R3 - Default URLSearchHook is missing
R0 = Indica la pagina iniziale di Internet
R1 = Indica la pagina di ricerca predefinita
R2 = Attualmente non è ancora usato da HijackThis
R3 = Indica gli URL Search Hook
Queste voci sono da Fixare se non è presente la home page che abbiamo scelto e le chiavi del registro vengono ripristinate alle impostazioni iniziali. L’Url Search Hook permette al browser di trovare un indirizzo senza specificarne il protocollo http:// oppure ftp:// quando questo viene omesso digitando un indirizzo, verrà utilizzato l’UrlSearchHook presente nella voce R3
Può essere che in una chiave di questo gruppo compaia come ultimo valore Obfuscated allora è probabile che un elemento esterno dannoso (Spyware o Hijacker) abbia convertito la chiave in una forma che HijackThis non riesce ad interpretare.
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\jheckb.dll/sp.html (obfuscated)
Per risolvere situazioni del genere si deve prendere nota del nome del file e procedere alla rimozione manuale, riavviando il sistema in modalità provvisoria, cercare ed eliminare il file e successivamente selezionare la voce in HijackThis e premere il pulsante Fix.
Anche per la voce R3 possono presentarsi dei problemi, se notate che termina con il simbolo _ (Underscore) difficilmente verranno rimosse col tasto Fix, ma si deve agire anche sul registro di configurazione e cancellare la voce dalla chiave
R3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497}_ - (no file)
Queste sono le chiavi del registro di configurazione interessate a questo gruppo:
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page
HKCU\Software\Microsoft\Internet Explorer\Main: Start Page
HKLM\Software\Microsoft\Internet Explorer\Main: Default_Page_URL
HKCU\Software\Microsoft\Internet Explorer\Main: Default_Page_URL
HKLM\Software\Microsoft\Internet Explorer\Main: Search Page
HKCU\Software\Microsoft\Internet Explorer\Main: Search Page
HKCU\Software\Microsoft\Internet Explorer\SearchURL: (Default)
HKCU\Software\Microsoft\Internet Explorer\Main: Window Title
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: ProxyOverride
HKCU\Software\Microsoft\Internet Connection Wizard: ShellNext
HKCU\Software\Microsoft\Internet Explorer\Main: Search Bar
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks
HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch
HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant
Se un utente non ha molta dimestichezza, è utile per la correzione dei problemi sopra esposti l’utilizzo di CWShredder un buon software che molte volte corregge gli errori in questo gruppo evitando operazioni manuali
Gruppo : F0 - F1 - F2 - F3
F0 - system.ini: Shell=Explorer.exe Openme.exe
F1 - win.ini: run=hpfsched
Questo gruppo viene utilizzato dai programmi che vengono avviati dai file .ini di Windows (System.ini e Win.ini), generalmente le voci F0 e F1 sono sempre da rimuovere, le prime si riferiscono a programmi avviati con il comando Shell = (run o load) eseguito nel file System.ini e quelli legittimi non sono più utilizzati, mentre le seconde si riferiscono ad applicazioni che partono nel file Win.ini.
Le voci F2 e F3 corrispondono alle F0 e F1 in sistemi NT e al posto di caricare programmi dai file System.ini e Win.ini utilizzano la funzione IniFileMapping che carica i valori dei file .ini direttamente in chiavi del registro di configurazione
HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \CurrentVersion \IniFileMapping.
HKLM \Software \Microsoft \Windows NT \CurrentVersion \Winlogon \Userinit
Pertanto fixando queste voci al riavvio del sistema vengono ripristinate le chiavi di registro alle impostazioni iniziali.
Facciamo attenzione al file Userinit.exe il suo compito è quello di impostare il profilo, i colori, i caratteri, etc. in base al profilo dell’utente loggato, è un processo legittimo quando si presenta da solo come riportato sopra, se invece è seguito da una virgola e di seguito accompagnato da un altro file completo di percorso, allora vengono eseguiti contestualmente tutti e due i file.
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit=C:\windows\system32\userinit.exe,c:\windows\trojan.exe
Questa è una strategia usata da Trojans, Hijackers, e Spyware, unica eccezione dopo Userinit.exe è da considerare legittima la presenza del file nddeagnt.exe, inoltre, quando vengono fixate queste voci viene eliminata la voce di registro, ma non il file associato, per cui si deve eseguire la rimozione manuale del file.
Gruppo : N1 - N2 - N3 - N4
N1 - Netscape 4: user_pref(”browser.startup.homepage, “www.google.com”); (C:\ProgramFiles\Netscape\Users\default\prefs.js)
N2 - Netscape 6: user_pref(”browser.startup.homepage”, “http://www.google.com”); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
Queste voci si riferiscono alla pagina iniziale di Netscape 4, 6, 7 e Mozilla, vediamole in dettaglio:
° N1 = Pagina iniziale e di ricerca predefinita di Netscape 4
° N2 = Pagina iniziale e di ricerca predefinita di Netscape 6
° N3 = Pagina iniziale e di ricerca predefinita di Netscape 7
° N4 = Pagina iniziale e di ricerca predefinita di Mozilla
Quanto abbiamo sopra citato riferito a Internet Explorer alle voci R0 - R1 - R3 vale anche per questo gruppo l’unico vantaggio è che sono meno vulnerabili i browers che utilizzano questo gruppo.
Gruppo O1 : Reindirizzi nel file Hosts
O1 - Hosts: 127.0.0.3 onedayoffer.biz
Viene spesso usata la tecnica di reindirizzamento per costringere un utente a visitare un determinato sito internet, vari Hijackers e Malware modificano il vostro file Hosts per indirizzarvi, durante la navigazione, su altri siti web, si risolve il problema fixando la voce incriminata, per approfondire il reindirizzamento tramite il file Hosts consultate questa guida o questo approfondimento
Gruppo O2 : Oggetti BHO (Browser Helper Objects)
BHO: Intense - {FB47056B-B34D-410E-819A-E8A51CC8E2EB} - C:\WINDOWS\system32\Kaboom.dll
I BHO sono piccoli programmi o funzioni aggiuntive per il proprio browser come bottoni aggiuntivi e si eseguono automaticamente ogni volta che si apre il browser questi oggetti non richiedono nessuna autorizzazione per essere installati e sono spesso usati da applicazioni maligne per raccogliere informazioni sulle vostre abitudini, per rubare i vostri dati personali oppure per far comparire finestre pop up.
E’ importante effettuare un controllo di questi oggetti ed eliminare quelli pericolosi, per controllarne l’attendibilità ci si può servire di un database Online di BHO.
Una chiave BHO può entrare in conflitto con altri programmi, può nascondere Ad-Ware o Spyware e monitorare i nostri spostamenti in rete memorizzando i siti visitati e inviare queste informazioni ai loro creatori. un BHO si presenta come l’esempio sopra esposto (è un componente maligno) ed è composto da un identificativo alfanumerico (CLSID) racchiuso tra parentesi graffe, e di seguito è specificato il percorso del file (in genere una libreria DLL).La chiave di registro relativa ai BHO è
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
Fixando le voci BHO, HijackThis tenterà di rimuovere anche il file associato, ma a volte il tentativo fallisce in quanto questi file possono essere in uso, e pertanto non potranno essere cancellati; in questi casi sarà necessario riavviare il Pc in modalità provvisoria e cancellarlo manualmente.
Gruppo O3 : Barre degli strumenti di Internet Explorer
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
Contiene i riferimenti a barre degli strumenti aggiuntive, molti programmi aggiungono delle barre su Internet Explorer, Google permette di installare una propria Toolbar per Internet Explorer, Adobe Acrobat inserisce un pulsante per generare file PDF etc.. possiamo però trovare delle barre indesiderate e questo è dovuto ad oggetti BHO (Vedi gruppo 02). Fixando queste voci HijackThis non cancella il file associato, pertanto si dovrà ricorrere alla rimozione manuale dalla modalità provvisoria. La chiave di registro relativa a questi oggetti è
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar
Gruppo O4 : Applicazioni caricate all’avvio del sistema operativo
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: winlogon.exe
Questo gruppo elenca le applicazioni che vengono caricate all’avvio del Sistema Operativo in base al profilo dell’utente che effettua il login all’avvio di Windows,queste sono allocate in alcune chiavi di registro e nelle cartelle di Startup e Global Startup (o esecuzione automatica)
Per la voce Global Startup è necessario terminarne il processo in esecuzione prima che HijackThis sia in grado di correggere la voce. Le chiavi di registro dove risiedono le applicazioni sono:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Mentre la cartella di Startup ha questo percorso:
C:\documents and settings\Nome_utente\menu avvio\programmi\esecuzione automatica
La cartella di Global Startup, si riferisce alle applicazioni che partono automaticamente indipendentemente dall’utente che effettua il login e si trova in questo percorso:
C:\documents and settings\allusers\menu avvio\programmi\esecuzione automatica
Per l’eliminazione delle voci, teniamo presente che HijackThis non cancellerà il file associato ma rimuoverà solo la chiave nel registro di configurazione, solo in presenza delle voci Startup e Global Startup cancellerà i file associati ma generalmente sono collegamenti per cui è necessario controllare ed eventualmente rimuovere manualmente il file associato
Gruppo O5 : Opzioni Internet nascoste nel pannello di controllo
O5 - control.ini: inetcpl.cpl=no
Generalmente le “Opzioni Internet” di Internet Explorer sono accessibili dal Pannello di controllo di Windows. E’ tuttavia possibile nascondere l’icona “Opzioni Internet” aggiungendo uno speciale parametro (inetcpl= no) all’interno del file di configurazione control.ini, generalmente memorizzato nella cartella d’installazione di Windows.
Se questa modifica non è stata fatta dall’amministratore del sistema, è meglio correggerla in quanto potrebbe essere stata fatta da un’applicazione maligna per rendere difficile , la modifica delle impostazioni del browser. Per rimuovere questa restrizione, basta selezionarla e premere il pulsante Fix di HijackThis.
Gruppo O6 : Restrizione di accesso alle Opzioni Internet
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
In questo gruppo vengono impostate le restrizioni alle impostazioni di Internet Explorer, queste possono essere effettuate dall’amministratore del sistema per bloccare la possibili modifiche alle impostazioni di Internet Explorer, oppure se l’utente ha utilizzato le funzioni di SpyBot S&D o altra utility simile ,che permettono di bloccare le impostazioni del browser, HijackThis visualizzerà qualcosa di simile:
Se non è stato l’amministratore del sistema ad applicare le restrizioni è meglio correggere le righe presenti premendo il Fix di HijackThis in quanto queste modifiche potrebbero essere state effettuate da Spyware o Malware per rendere difficili eventuali interventi risolutori da parte dell’utente. La chiave di registro interessata:
HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions
Gruppo O7 : Restrizione di accesso a Regedit
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
E’ possibile con Windows usare una particolare impostazione che permette di disabilitare l’accesso al registro di sistema. Se non è opera vostra o dell’amministratore del sistema selezionare la voce e premete il pulsante Fix
Gruppo O8 : Funzioni extra col tasto destro in Internet Explorer
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows LiveToolbar\msntb.dll/search.htm
In questo gruppo vengono elencate le voci che appaiono nel menù contestuale quando si clicca col pulsante destro del mouse su una pagina di Internet Explorer. Se vengono installate diverse applicazioni che interagiscono con Internet Explorer è possibile trovare in questo gruppo diverse voci, gran parte di esse sono legittime , ma se trovate delle voci a voi sconosciute è possibile che
siano parte integrante di Spyware o Malware. In questo caso vanno rimosse selezionando la voce interessata e premendo il pulsante Fix anche in questo caso Hijackthis rimuove il valore nella chiave di registro ma non il file associato pertanto per la sua rimozione è necessario il riavvio in provvisoria e la rimozione manuale dello stesso la chiave di registro interessata è la seguente:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt
Gruppo O9 : Pulsanti extra nelle barre o oggetti extra in Internet Explorer
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263}C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger (HKLM)
In questo gruppo vengono inseriti da HijackThis tutti gli oggetti aggiuntivi non presenti di default con Internet Explorer e che sono stati aggiunti nella barra degli strumenti del browser oppure nel suo menù “Strumenti”. Anche in questo caso, vanno eliminati i valori non necessari o non riconosciuti, elementi sconosciuti possono essere componenti di Spyware o Malware e vanno rimossi selezionando la voce interessata e premendo il pulsante Fix anche in questo caso Hijackthis rimuove il valore nella chiave di registro ma non il file associato pertanto per la sua rimozione è necessario il riavvio in provvisoria e la rimozione manuale dello stesso
La chiave di registro interessata è la seguente:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions registry key
Gruppo O10 : Winsock Hijackers
010 - Hijacked Internet access by New.Net
010 - Broken Internet access because of LSP provider ‘c:\progra~1\common~2\toolbar\cnmib.dll’missing
Tutte le voci presenti in questo gruppo sono solitamente maligni In questa sezione sono elencati gli LSP (Layered Service Provider) che modificano le impostazioni Winsock di Windows. Un Winsock hijacker (ad esempio New.net) può controllare tutto il traffico internet, dato che gli LSP sono tutti concatenati tra loro.
Un LSP ha accesso ad ogni dato in entrata o in uscita dal computer, al punto di poter modificare questi dati. Hijackers e Malware, possono installarsi come LSP per “spiare” e registrare indisturbati tutto quello che fate in rete
E’ sconsigliato Fixare queste voci
Per rimuovere i componenti maligni in questo gruppo è necessario servirsi dell’ultima versione di SpyBot S&D disponibile, assicurandosi di aggiornarla, o in alternativa.Sempre in questo gruppo potreste trovare anche componenti di software antivirus: in questo caso, non fate nessuna azione di correzione in quanto è normale la loro presenza, se il vostro antivirus opera a livello Winsock, inoltre molti antivirus effettuano scansioni anche a livello di Winsock. Il problema più grande è che, dopo aver eliminato un LSP maligno, questi possono ricreare gli LSP (ma legittimi) in un ordine diverso, Hijackthis lo rileva in questo modo
O10 - Broken Internet access because of LSP provider ’spsublsp.dll’ missing
Non Fixate queste voci anche se Internet continua a funzionare normalmente e non presenta problemi particolari, togliere queste voci può compromettere il funzionamento della vostra connessione.
Gruppo O11 : Funzioni extra in Opzioni Avanzate di Internet Explorer
O11 - Options group: [CommonName] CommonName
Se HijackThis riporta questa voce visualizza tutti gli elementi aggiunti inseriti da software di terze parti nella scheda Avanzate di Internet, al momento, esiste un solo Spyware che aggiunge un suo elemento nella scheda Avanzate e sarebbe il solo “CommonName” in questo caso è possibile Fixare la voce senza problemi.
La chiave di registro interessata è la seguente:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions
Gruppo O12 : Internet Explorer Plugins
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
Di solito gli elementi qui contenuti in questo gruppo sono benigni. Si tratta di “plug-in” installati da applicazioni sviluppate da terze parti per estendere le funzionalità di Internet Explorer, un malware che si registri come plugin viene reinstallato automaticamente quando con Internet Explorer si cerca di aprire un file a lui associato,per ora sembra che il solo “OnFlow” aggiunga una entry (.ofb). Fixando la voce HijackThis eliminerà la chiave del registro e tenterà anche la rimozione del file associato se dovesse fallire la rimozione và fatta manualmente dalla provvisoria. La chiave di registro interessata è la seguente:
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins
Gruppo O13 : Internet Explorer default prefix Hijack
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
Internet Explorer default prefix hijack è il “prefisso di default” cioè un’impostazione di Windows che stabilisce il modo in cui vengono trattati gli indirizzi Internet (URL) che digitiamo senza protocollo di identificazione ( http://, ftp://, etc..). Il prefisso di default che viene anteposto in automatico dal browers ad un indirizzo digitato in maniera incompleta è http://. Il più diffuso Hijacker che compie queste modifiche è CoolWebSearch il quale modifica il prefisso di default sostituendolo con http://ehttp.cc/? E l’utente verrà reindirizzato al sito di riferimento di CoolWebSearch. La chiave di riferimento e:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\
Prima di usare il pulsante Fix, è opportuno rimuovere tutte le varianti di CoolWebSearch servendoci di CWShredder dopo la rimozione è possibile eseguire nuovamente HijackThis e selezionare le voci nel gruppo e premere il pulsante Fix
Gruppo O14 : Web Setting’s Hijack
O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com
Avrete notato che è possibile resettare le impostazioni web ai valori predefiniti da
Pannello di controllo > Opzioni Internet > Programmi > “Ripristina impostazioni Web”
Questo è possibile richiamando il file iereset.inf che memorizza tutte le impostazioni web del nostro Pc e viene utilizzato da Internet Explorer “resettare” tutte le sue impostazioni ai valori predefiniti configurati al momento dell’installazione del Sistema Operativo. Il file si trova in C:\windows\inf\iereset.inf , componenti maligni modificano il file in modo da impedire il ripristino del browser alle impostazioni iniziali.
Questo valore può essere modificato anche dall’amministratore del sistema, se la modifica risulta sconosciuta selezionare la voce e premere il tasto Fix per risolvere il problema
Gruppo O15 : Siti ritenuti sicuri
O15 - Trusted Zone: http://free.aol.com
O15 - Trusted Zone: *.msn.com
In questo gruppo sono elencati i siti sicuri denominata Trusted Zone da:
Pannello di controllo > Opzioni Internet > Protezione “Siti Attendibili”
Seguendo questo percorso è possibile assegnare il livello di sicurezza per i vari tipi di protocolli, purtroppo la Trusted Zone ha impostato il livello di sicurezza più basso di conseguenza scripts o applicazioni presenti in questo gruppo possono essere eseguite senza il consenso dell’utente e a sua completa insaputa, in quanto il controllo sugli scripts e sugli ActiveX è praticamente disabilitato.
Le chiavi del registro interessate sono:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
KEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges
Per difendersi si possono adottare queste soluzioni
° Disabilitare in Internet Explorer l’esecuzione di controlli ActiveX, applet Java, Visual Basic Script
° Installare un “personal firewall” in grado di monitorare e filtrare i contenuti web potenzialmente pericolosi
° Abbandonare Internet Explorer e passare ad un browser web “alternativo”
Selezionando le voci e premere il tasto Fix vengono eliminati i valori dal registro di sistema. Al termine è comunque opportuno scaricare il file Deldomains.inf e selezionarlo con il tasto destro premendo dal menu “Installa”. Vengono in questo modo ripristinate correttamente le zone di protezione di Internet Explorer
Gruppo O16 : ActiveX Objects
O16 - DPF: {12398DD6-40AA-4C40-AEC-A42CFC0DE797} (Installer Class) - http://www.xxxto*lbar.com/ist/softwares/v4.0/0006_regular.cab
In questo gruppo vengono mostrati gli ActiveX scaricati e installati da Internet, questi vengono inseriti in C:\windows\Downloaded Program Files. Sono comunque accessibili da:
Pannello di controllo > Opzioni Internet > Generale > Impostazioni > Visualizza Oggetti
Questi hanno anche riferimenti nel registro, le cui voci sono identificabili dal CLSID, un oggetto ActiveX è un programma sviluppato con tecnologia Microsoft che permette di estendere le funzionalità del browser aggiungendo nuove possibilità.
Se nella lista trovate delle voci o degli indirizzi che non conoscete, fate una ricerca con Google incollando l’indirizzo che compare nella voce comunque, è opportuno eliminare subito gli ActiveX contenenti i termini sex, porn, dialer, free, casino, adult etc..
E’ possibile prevenire l’insediamento degli ActiveX installando Spyware Blaster che ha un ampio database di ActiveX maligni, e che ne previene l’installazione, selezionando le voci e premendo il tasto Fix HijackThis eliminerà le chiavi nel registro di configurazione e generalmente riesce anche a rimuovere gli oggetti ActiveX se dovesse fallire l’operazione di rimozione degli ActiveX sarà necessaria la rimozione manuale degli stessi dalla provvisoria
Gruppo O17 : Lop.com domain Hijacks
O17 - HKLM\System\CCS\Services\Tcpip\..\{44E2E0DD-8F4A-41D0-B12B-20BB79632B6F}: NameServer = 193.70.152.15 193.70.152.25
In questo gruppo vengono riportati gli indirizzi IP dei DNS (Domain Name Server) utilizzati dal Pc per convertire gli indirizzi da formato testo in indirizzo IP, alcuni hijackers modificano, intervenendo sul registro di sistema, il server DNS predefinito sostituendo quello da voi scelto con uno proprietario. In questo modo, qualunque URL digitiate nel browser, il DNS dell’hijackers può ridirezionarvi verso il sito che crede. Se in questo gruppo trovate delle voci che non appartengono al vostro DNS selezionatele e premete il tasto Fix
Gruppo O18 : Protocolli extra o modificati
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82
Quando compare questa voce indica che è stato installato un driver di protocollo addizionale rispetto a quelli usati da Windows, oppure che sono stati modificati nelle regole di filtering. Agendo su alcune chiavi del registro di Windows, un malware può modificare i driver standard che vengono usati dal sistema operativo per la gestione dei vari servizi di rete. Sostituendoli con i propri, può così prendere il controllo del vostro sistema su come vengono inviate e ricevute informazioni.
I componenti maligni che più comunemente si servono di questi espedienti sono CoolWebSearch, Lop.com e Related Links.
le chiavi di registro interessate sono:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter
Gruppo O19 : User style sheet Hijack
O19 - User style sheet: c:\WINDOWS\Java\my.css
Questo gruppo è riferito agli “style sheets” o fogli di stile che consentono di impostare una sorta di modello per la visualizzazione di una pagina web. Un foglio di stile contiene informazioni sui colori da usare in una pagina html, sulle fonti di carattere scelte, sull’allineamento del testo e così via. Alcuni malware modificano il foglio di stile sviluppato specificamente per le persone diversamente abili causando la comparsa di numerose finestre pop up ed un drastico calo delle performance durante la navigazione in Rete.
La chiave di registro interessata è
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets
Queste voci sono eliminabili selezionando la voce e premendo il pulsante Fix, HijackThis non elimina però i file presenti in questo gruppo, una volta cliccato sul pulsante Fix: è consigliabile riavviare il sistema in modalità provvisoria ed eliminare i file manualmente.
Gruppo O20 : AppInit_DLLs Registry value autorun
O20 - AppInit_DLLs: C:\WINDOWS\System32\winifhi.dll
O20 - Winlogon Notify: Extensions - C:\WINDOWS\system32\i042laho1d4c.dll
Questo gruppo corrisponde alle librerie dll che vengono caricate al login dell’utente dal Sistema Operativo, questo gruppo può riportare 2 voci :
AppInit_DLLs contenuta nel registro di sistema e alle sottochiavi Winlogon Notify
AppInit_DLL
In particolare il valore di registro AppInit_DLL contiene una lista delle dll che verranno caricate al momento in cui verrà caricata la libreria user32.dll, questo rende difficile la rimozione di queste dll che verranno caricate ed utilizzate da diversi processi, alcuni dei quali non potranno essere fermati senza causare instabilità all’intero sistema.
Il file user32.dll viene anche utilizzato dai processi che vengono avviati automaticamente nel momento il cui ci si logga nel sistema; questo significa che i file elencati nel valore di registro AppInit_DLL saranno caricati nella fase di Startup di Windows permettendo alle dll di nascondersi e proteggersi prima che l’utente possa avere accesso al sistema.
Questo metodo viene utilizzato da alcune varianti del CoolWebSearch, e l’infezione può essere visualizzata solo ed esclusivamente con un click destro sul valore e selezionando la voce modifica dati binari, oppure utilizzando un editor di registro chiamato Registrar Lite La chiave di registro interessata è:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
Ci sono pochi programmi che usano legittimamente questa chiave di registro, ma in ogni caso è necessario procedere con cautela prima di rimuovere queste voci, Fixando queste voci, HijackThis non cancella il file incriminato, e quindi si dovrà farlo manualmente in modalità provvisoria.
Winlogon Notify
La chiave Winlogon Notify viene generalmente utilizzata dalle infezioni Look2Me. HijackThis elencherà tutte le chiavi Winlogon Notify non standard in modo che si potranno facilmente individuare quelle probabilmente infette. E’ possibile riconoscere le chiavi dell’infezione Look2Me in quanto saranno caratterizzate da una dll con un nome casuale situato nella cartella %SYSTEM%. Questa è la chiave di registro interessata
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
Anche in questo caso Fixando queste voci, HijackThis non cancellerà il file incriminato, e quindi si dovrà farlo manualmente in modalità provvisoria.
Gruppo O21 : ShellServiceObjectDelayLoad
O21 - SSODL: System - {3CE8EED5-112D-4E37-B671-74326D12971E} - C:\WINDOWS\system32\system32.dll
In questo gruppo vengono raggruppati i file inizializzati ad ogni avvio di Windows mediante l’uso della chiave ShellServiceObjectDelayLoad del registro di sistema. Questa è la chiave di registro interessata
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
I file in questa chiave di registro vengono automaticamente caricati da Explorer.exe quando il Pc viene avviato. Explorer.exe è la shell del computer, verrà caricato ad ogni avvio e caricherà tutti i file presenti nella relativa chiave di registro. Questi file vengono caricati molto presto durante il processo di startup, prima che ogni intervento umano possa essere eseguito sul computer.
HijackThis è a conoscenza dei componenti “benigni” che fanno uso della chiave ShellServiceObjectDelayLoad: tali elementi non vengono visualizzati in questo gruppo, se HijackThis mostra uno o più elementi all’interno di questo gruppo è quindi altamente probabile che si tratti di componenti pericolosi. Un piccolo elenco di Hijacker che potete trovare in questo gruppo lo potete consultare su questo sito. Fixando queste voci, HijackThis non cancella il file incriminato, e quindi si dovrà farlo manualmente in modalità provvisoria.
Gruppo O22 : SharedTaskScheduler
O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll
Questo gruppo mostra l’elenco dei file caricati ad ogni ingresso in Windows mediante il valore SharedTaskScheduler del registro di sistema. Questa è la chiave di registro interessata
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
Alcune varianti di CoolWebSearch utilizzano questo espediente per “auto-eseguirsi” all’avvio del sistema operativo.
Agite comunque con estrema cautela nel rimuovere gli elementi visualizzati in questo gruppo di HijackThis perché molti di essi possono essere assolutamente necessari per il corretto funzionamento del sistema. E’ possibile trovare molte informazioni in merito in questo Sito, o altrimenti effettuate ricerche con google per stabilire se ciascun elemento sia da considerarsi nocivo o meno
Hijackthis cancellerà il valore associato alla chiave SharedTaskScheduler, ma non cancellerà il CLSID a cui punta, ed il file al quale la sottochiave del CLSID chiamata Inprocserver32 a sua volta punta. Di conseguenza si dovrà eliminare tale file manualmente in modalità provvisoria
Gruppo O23 : Lista dei servizi di sistema
Questo gruppo mostra la lista dei servizi di sistema (Windows NT/2000/XP/2003) che il programma non conosce. E’ tuttavia possibile fare in modo che HJT elenchi tutti i servizi flaggando la casella “ihatewhitelists”. Gran parte di essi sono servizi installati da parte di applicazioni assolutamente benigne: software antivirus, firewall, utility di terze parti vengono spesso configurate come servizi di Windows (automaticamente eseguiti ad ogni avvio del sistema operativo).
Prima di eliminare elementi visualizzati in questo gruppo, è bene informarsi sul significato e sulla natura degli stessi. Per farlo visitate questi siti spywareaid fbeej.dk o effettuate una ricerca con Google. Il pulsante Fix di HijackThis disabilita l’avvio automatico per il servizio selezionato, ferma il servizio stesso e richiede di riavviare il Pc, HijackThis, però, non elimina “fisicamente” il servizio.
Un servizio collegabile all’azione di un software malware deve poi essere successivamente eliminato in modo manuale servendosi del comando seguente (da inserire al Prompt dei comandi DOS):
sc delete nome_del_servizio
dove nome_del_servizio va sostituito con il nome del servizio che si intende eliminare definitivamente dal proprio sistema.
E’ anche possibile eliminare il servizio attraverso HijackThis, per farlo, aprite il programma, cliccate su config, poi su misc tools, ed infine su delete an NT service. A questo punto inserite il nome del servizio e premete su OK. I servizi indesiderati possono essere eliminati anche dal registro di sistema. Ecco le chiavi interessate:
HKLM\SYSTEM\ControlSet00X (dove X=1,2,3,..)\Enum\Root\LEGACY_Nomedelservizio
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Nomedelservizio
HKLM\SYSTEM\ ControlSet00X (dove X=1,2,3,..)\Services\Nomedelservizio
HKLM\SYSTEM\CurrentControlSet\Services\Nomedelservizi
1 commento:
Sei un grande miky
Posta un commento