HijackThis : Interpretare il Log
Quando programmi come Ad-Aware o Spybot falliscono nel rimuovere determinati spyware o dialer è necessario intervenire manualmente.
HijackThis effettua una scansione dell'intero sistema e mostra tutte le chiavi ed elementi caricati all'avvio. Gli elementi mostrati non sono tutti dannosi sono anche chiavi importanti del sistema, bisogna essere utenti esperti per decidere cosa rimuovere. In questo articolo vengono spiegate le varie voci presenti in un potenziale log del programma per far comprenderne il significato.

Dimensione : 180kbyte
Licenza : Freeware
Download : HijackThis http://www.spywareinfo.com/~merijn/downloads.html

Osservando per la prima volta il file log del programma è possibile trovarsi disorientati, ma se si ha una minima conoscenza informatica è possibile imparare a "leggere" il contenuto.

La stessa analisi fatta manualmente è possibile farla in automatico utilizzando un servizio freeware sul web. Per l'uso basta copiare/incollare il log del programma nel modulo presente : HijackThis log file analysis

Analisi del file log

E' importante sapere come intervenire perché in caso di errore si potrebbero creare instabilità nel pc o creare problemi all'avvio.

Nota : L'analisi seguente è una traduzione della versione originale presente nel sito del produttore

R0, R1, R2, R3 - IE Homepage & Search

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.google.com/
R2 - (non ancora usato da Hijack)
R3 - Default URLSearchHook is missing

Le voci precedenti appartengono alla pagina iniziale di IE e a quella della ricerca predefinita, è necessario prestare attenzione agli indirizzi internet presenti, se non corrispondono è necessario correggere queste righe. 

F0, F1, F2, F3 - Autoloading programs dai files INI

F0 - system.ini: Shell=Explorer.exe Openme.exe
F1 - win.ini: run=hpfsched

I file system.ini e win.ini sono file di sistema usati per avviare automaticamente determinati file, se il log mostra la voce F0 è necessario correggere la linea mentre se compare F1 non è sempre necessario poiché potrebbe appartenere a programmi non recentissimi.
Per essere sicuri è possibile consultare un
database online.


N1, N2, N3, N4 - Netscape/Mozilla Homepage & Search

N1 - Netscape 4: user_pref("browser.startup.homepage, "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)

N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)

N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src\"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)

I ragionamenti fatti per Internet Explorer, relativamente alle voci R0,R1,R3, valgono anche per altri browser (Netscape e Mozilla), anche se meno vulnerabili a  questo tipo di hijack.

O1 - Reindirizzi nel file HOSTS

O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
O1 - Hosts file is located at C:\Windows\Help\hosts

Per costringere un utente a visitare certi siti internet viene utilizzata la tecnica dei Reindirizzi nel file HOSTS. Se il reindirizzamento nel file hosts non è stato fatto spontaneamente è necessario correggere queste righe.

O2 - Browser Helper Objects

O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL

O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)

O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL

I Browser Helper Objects sono funzionalità aggiuntive per il proprio browser come bottoni aggiunti per richiamare altri programmi. A volte però sono aggiunti da spyware oppure permettono la comparsa di finestre pop up.
E' necessario controllare questi oggetti ed eliminare quelli riconosciuti come pericolosi; per essere sicuri della pericolosità è possibile consultare il
database BHO.

O3 - Barre degli Strumenti di Internet Explorer

O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL

O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)

O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL

Molti programmi aggiungono delle barre su internet Explorer per integrare funzionalità aggiuntive come un filtro per finestre pop up o altre funzionalità. Per capire quali voci sono sospette o pericolose è possibile consultare un database di toolbars

O4 - Autoloading programs from Registry or Startup group

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ccApp] \"C:\Program Files\Common Files\Symantec Shared\ccApp.exe\"
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: winlogon.exe


L'elenco precedente mostra tutti i programmi che vengono caricati dal registro o dall' esecuzione automatica all'avvio. Non è quindi escluso che sia possibile trovare voci  appartenenti a spyware perciò è consigliabile, in caso di dubbi, consultare la lista degli startups ed eliminare le voci riconducibili a spyware. Nel caso della voce Global Startup è necessario terminarne il processo in esecuzione prima che hjackthis sia capace di correggere la voce.

O5 - Opzioni Internet nascoste nel Pannello di Controllo

O5 - control.ini: inetcpl.cpl=no

Esistono delle Opzioni Internet nascoste nel Pannello di Controllo; se la modifica  non è stata fatta volontariamente dall'amministratore del vostro sistema è necessario correggete la riga.

O6 - Restrizioni di Accesso a Opzioni Internet

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present


Esistono delle restrizioni per accedere alla modifica delle opzioni di Internet Explorer; se non sono state attivate dall'amministratore è possibile correggere queste righe.

O7 - Restrizione di Accesso a Regedit

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1


Anche in questo caso vale il discorso precedente

O8 - Funzioni Extra col tastro destro in IE

O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html

O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm
O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm

Se non viene riconosciuto il programma che ha installato queste nuove funzionalità è necessario correggere il problema

O9 - Pulsanti Extra nelle Barre, o Oggetti Extra in Strumenti, in IE

O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: AIM (HKLM)

Anche qui è necessario riconoscere il programma che ha installato queste funzionalità, se è sconosciuto o sospetto è possibile correggere il problema

O10 - Winsock hijackers

O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll'missing
O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll


In questo caso
è consigliabile usare programmi specifici come LSPFix,  SpyBot.
 

O11 - Funzioni Extra in Opzioni Avanzate di IE

O11 - Options group: [CommonName] CommonName

Esiste un unico Spyware (CommonName) che interviene in questa voce aggiungendo una sua funzionalità; In questo caso è possibile intervenire senza problemi.


O12 - Internet Explorer plugins

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll


Raramente queste voci possono essere associate a spyware; solamente OnFlow aggiunge un plugin da correggere (.ofb).

O13 - IE DefaultPrefix hijack

O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: http://ehttp.cc/?


La presenza di queste righe è sempre di cattivo segno; E' necessario correggere il problema.

Reset Web Settings' hijack

O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com

La riga precedente mostra il tentativo di eseguire un redirect della pagina iniziale di Internet Explorer; se l'indirizzo internet è sconosciuto, è necessario correggere la voce.


O15 - Siti ritenuti Sicuri

O15 - Trusted Zone: http://free.aol.com
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.msn.com

Le Trusted Zone sono indirizzi internet considerati sicuri e inseriti senza nessuna restrizione; questa situazione potrebbe essere utilizzata con cattive intenzioni (CoolWebSearch). E' necessario controllare questi indirizzi ed eliminare quelli sconosciuti.


O16 - ActiveX Objects (aka Downloaded Program Files)

O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab


La lista precedente mostra gli  oggetti activeX scaricati da internet e installati; potrebbero comparire diversi spyware tra questi oggetti activex. Le parole più frequenti da ricercare sono dialer e casino. Per prevenire l'installazione di questi oggetti si consiglia l'uso di SpywareBlaster


O17 - Lop.com domain hijacks

O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gla.ac.uk
O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175


Questa sezione mostra i tentativi di reindirizzamento dei domini di rete; se queste voci non appartengono al proprio provider o sono sconosciute è possibile correggerle. Nel caso della voce 'NameServer' è possibile cercare l'indirizzo IP con Google e assicurarsi della destinazione.


O18 - Protocolli Extra o Modificati

O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll

O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}


Pochissimi spyware modificano queste voci; solitamente sono 'cn' (CommonName), 'ayb' (Lop.com) e 'relatedlinks' (Huntbar).


O19 - User style sheet hijack

O19 - User style sheet: c:\WINDOWS\Java\my.css


Poichè
solo CoolWebSearch usa per ora questo tipo di hijack è possibile usare il programma  Cwshredder per risolvere il problema. La chiusura inaspettata di Internet Explorer o la comparsa delle finestre pop up indicano la presenza di questo hijack.


O20 - AppInit_DLLs Registry value autorun

O20 - AppInit_DLLs: msconfd.dll


Le voci del registro HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows NT\CurrentVersion\Windows, caricano le DLL al Login dell'utente; pochi programmi attualmente le utilizzano (Norton CleanSweep usa APITRAP.DLL), mentre nuovi trojan e hijacker ne fanno uso. La presenza (precedute) del carattere  ‘|’ indicano le DLL nascoste.


O21 - ShellServiceObjectDelayLoad

O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll


La voce del registro HKEY_LOCAL_MACHINE\ Software\Microsoft\ Windows\ CurrentVersion\ ShellServiceObjectDelayLoad è un metodo di avvio automatico non documentato; pochi componenti di sistema di windows utilizzano questo metodo.  HijackThis dispone di un lista di componenti permessi, quindi se qualcosa compare nel log del programma è possibile che sia sospetto.


O22 - SharedTaskScheduler

O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll


Attualmente solo CWS.Smartfinder ne fa uso; prestare attenzione.