Un semplice strumento dalle molteplici funzionalità grazie al quale chiunque, con pochi click del mouse, può accorgersi di eventuali infezioni del PC ed eliminarle. Parte 6/8.
ZEUS News.
www.zeusnews.it.
05-04-2006.
8. Interpretazione delle voci del log:
Quando si esegue la scansione con Hijackthis, il log riporta molte voci che vengono associate ad una specifica categoria (R1, R3, 04, 020, 023) in base alle modalità con cui sono caricate all'avvio. Vediamo in dettaglio il significato delle singole voci.
R0, R1, R2, R3 Queste voci indicano che sono state cambiate le impostazioni predefinite di Internet Explorer: la pagina iniziale e i motori di ricerca utilizzati per restituire un indirizzo in caso che quello cercato non venga trovato. Le voci sono da fixare se non si riconosce la propria home page. La voce R3 quando compare riporta la voce "Default URLSearchHook is missing". In questo caso va premuto sicuramente "Fix". Il Search Hook listato in HKEY_CURRENT_USER \Software\Microsoft \Internet Explorer \URLSearchHooks permette al browser di "capire" gli indirizzi dei quali non si è digitato il protocollo: http o ftp.
Con il fix vengono ripristinate le chiavi di registro alle impostazioni iniziali (possono essere cambiate dal pannello principale (par. 7).
F0, F1, F2, F3 In questo gruppo sono elencati i programmi che si avviano dai file ini di Windows (system.ini e win.ini). Normalmente gli F0 sono sempre da cancellare: si riferiscono a programmi avviati come shell in system.ini; quelli legittimi sono ormai tutti in disuso, come ad esempio Progman.exe in Windows 3.x. Anche gli F1 sono quasi sempre da cancellare in quanto solo applicazioni ormai molto datate partono con il file win.ini. Le locazioni F2 e F3 corrispondono a F0 e F1 nei sistemi NT dove in luogo dei due file system.ini e win.ini possono venir caricati altri file ini con nomi a scelta elencati nella chiave HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \CurrentVersion \IniFileMapping. In F2 viene classificata anche questa chiave del registro HKLM \Software \Microsoft \Windows NT \CurrentVersion \Winlogon \Userinit che di default deve contenere solo il valore userinit.exe (eventualmente seguito da nddeagent.exe). Se invece compare nel log seguita da un eseguibile differente è sicuramente da fixare.
Con il fix vengono ripristinate le chiavi di registro alle impostazioni iniziali.
N1, N2, N3, N4 Questa sezione riporta gli stessi valori per i browser Netscape e Mozilla che sono elencati nella Sezione R per Internet Explorer. Valgono quindi le stesse raccomandazioni.
Sezione 01:
Sono elencate le voci differenti da "127.0.0.1" individuate nel file hosts. Per ulteriori informazioni consultare la sezione "Open Hosts file manager" al paragrafo 6. Con il fix viene cancellata dal file hosts la linea selezionata.
Sezione 02:
Questa sezione elenca i BHO (Browser Helper Objects): Si tratta di plugin che aumentano/cambiano le funzionalità del browser e che vengono eseguiti virtualmente con diritti illimitati nel PC. Sono elencati nella chiave "HKLM \SOFTWARE \Microsoft \Windows \CurrentVersion \Explorer \Browser.
Helper Objects":
Questa sezione è una delle preferite dai malware, ma si trovano anche molti BHO legittimi molto diffusi: Spybot, Acrobat e Google toolbar tanto per citarne alcuni. Un lungo elenco dei BHO (28469 alla data odierna) si può consultare a questo indirizzo:
http://castlecops.com/CLSID.html.
Con il fix viene cancellato il CLSID dal registro e cancellata la dll corrispondente dal sistema.
Sezione 03:
Questa sezione è associata alle toolbar di Internet Explorer (ad esempio la Toolbar&Radio msdxm.ocx). Fare riferimento allo stesso elenco dei BHO per le voci eventualmente trovate.
Con il fix viene cancellata la chiave dal registro del sistema (il file va cancellato manualmente).
Sezione 04:
Questa sezione raccoglie tutte le applicazioni che sono caricate all'avvio del sistema operativo da chiavi di registro (\RunervicesOnce, \RunServices, Run, \RunOnce, \RunOnceEx) sia sotto "HKLM \Software \Microsoft \Windows \CurrentVersion \ che HKCU \Software \Microsoft \Windows \CurrentVersion \". Sono contemplati anche gli avvi previsti dalle cartelle "Esecuzione automatica". Eventuali voci trovate in questa sezione vanno confrontate con quelle raccolte in database disponibili su internet. Molto completi sono quelli di Castlecops (12441 voci alla data odierna) e Sysinfo (12070 voci).
Sezione 05:
questa sezione controlla che non ci siano righe aggiuntive nel file control.ini che mpediscano di visualizzare correttamente qualche elemento del sistema nel pannello di controllo.
Con il fix viene eliminato la riga di blocco dal file control.ini.
Sezione 06:
questa riga indica che sono state imposte delle restrizioni alle impostazioni di Internet Explorer. Generalmente le restrizioni sono fatte a scopo amministrativo all'interno di società, ma anche dall'uso di Spybot Search & Destroy selezionando le opzioni specifiche nella sezione Immunize. Restrizioni di questo tipo impediscono di modificare la pagina iniziale di Internet Explorer o altre sue impostazioni.
Con il fix viene eliminata la chiave che applica le restrizioni (O6 - "HKCU \Software \Policies \Microsoft \Internet Explorer \Restrictions") dal registro di sistema.
Sezione 07:
se compare questa riga significa che l'uso dell'editor del registro di sistema (regedit.exe) è disabilitato. La chiave interessata è "HKCU \Software\Microsoft \Windows \CurrentVersion \Policies \System".
Con il fix viene eliminata la voce DisableRegedit=1.
Alessia Righi.
Per tornare all'indice, premi alt piu' freccia sinistra.