HijackThis

HijackThis è un programma di piccole dimensioni, che non necessita di nessuna installazione, che analizza tutti i processi in background in esecuzione nel sistema operativo in quel determinato momento. E’ uno strumento molto utile, se non quasi essenziale, per la rimozione di alcuni malware/spyware spesso non riconosciuti ed eliminati dai piu comuni antivirus.

Innanzitutto prima scarichiamo il programma
Ecco la schermata principale di questo programma:

Innanzi tutto per fare partire la scansione clicchiamo su “Do a system scan and save a log file”
La scansione durera’ pochi secondi, e subito dopo vi apparirà il log:

Ora in quel log avete tutti i processi in esecuzioni nel vostro computer, suddivisi in gruppi, i quali verranno poi specificati in seguito.

Ora ci troviamo incontro a due scelte: quella di salvare il log file o di copiarne semplicemente il contenuto: la scelta sta a noi 😀
Visto che per conoscere le varie stringhe infette e dannose ci vorrebbe una conoscenza medio-alta, HijackThis mettte a disposizione nel proprio sito un log analyzer.

www.hijackthis.de

Per chi ha preferito salvarsi il log dell’analisi vada infondo alla pagina e tramite il pulsante “Sfoglia“.
Per chi invece ha preferito fare un bel “Copia” del file di testo copi direttamente il testo nel campo che si presenta subito in primo piano.

La cosa in comune è che dovete cliccare sul pulsante “Analizza”

Dopo pochi istanti verra mostrato il risultato della scansione

La prima colonna “Actions” vi illustra le varie caratteristiche specifiche di ogni file e i commenti degli utenti, a volte molto utili.

La seconda vi mostra il file controllato e la sua relativa path.

La terza vi mostra la “Diagnosi“.
La diagnosi rappresenta come è identificato il pericolo:
–Sicuro : il processo non è dannoso e quindi non è da elimiare.
–Dannoso : il processo è dannoso per il sistema, è quindi da eliminare.
–Sospetto o sconosiuti : il processo non è stato riconosciuto durante la scansione, quindi il mio consiglio è vedere se conoscete questo processo, magari cercando su google oppure guardando i commenti, e se non lo conoscete di eliminarlo.

La quarta colonna, “Voto dei visitatori” , serve per vedere, come poi è facilmente intuibile, il voto dato dai visitatori al rispettivo processo xD.

La quinta vi da informazioni in piu riguardo al processo.

Dopo aver controllato tutti questi processi ci occupiamo di selezionarli nella form di HijackThis, sia quelli dannosi che quelli sconosciuti da noi non identificati, e cliccare su “Fix checked“.
A questo punto HijackThis cerca di rimuovere i processi dannosi da noi selezionati.
Dopo la loro rimozione consiglio di rifare la scansione per vedere se i processi dannosi per caso permangano.

E’ buona norma eliminare il backup che fa HijackThis nel caso uno commetta qualche errore nell’eliminare i processi: per eliminare questo backup basta apire HijackThis e cliccare su “View the list of Backups“. Dopo verranno mostrati i vari file di backup salvati, basta selezionali e cliccare sul pulsante a fianco “Delete” o “Delete All”. In caso invece vi siate sbagliati a cancellare qualche processo utilizzate il comando “Restore”

Ogni stringa del log caricato sul sito ha un suo significato e cliassifica i vari processi:

R – Registry, StartPage/SearchPage changes
R0 – Changed registry value
R1 – Created registry value
R2 – Created registry key
R3 – Created extra registry value where only one should be
F – IniFiles, autoloading entries
F0 – Changed inifile value
F1 – Created inifile value
F2 – Changed inifile value, mapped to Registry
F3 – Created inifile value, mapped to Registry
N – Netscape/Mozilla StartPage/SearchPage changes
N1 – Change in prefs.js of Netscape 4.x
N2 – Change in prefs.js of Netscape 6
N3 – Change in prefs.js of Netscape 7
N4 – Change in prefs.js of Mozilla
O – Other, several sections which represent:
O1 – Hijack of auto.search.msn.com with Hosts file
O2 – Enumeration of existing MSIE BHO’s
O3 – Enumeration of existing MSIE toolbars
O4 – Enumeration of suspicious autoloading Registry entries
O5 – Blocking of loading Internet Options in Control Panel
O6 – Disabling of ‘Internet Options’ Main tab with Policies
O7 – Disabling of Regedit with Policies
O8 – Extra MSIE context menu items
O9 – Extra ‘Tools’ menuitems and buttons
O10 – Breaking of Internet access by New.Net or WebHancer
O11 – Extra options in MSIE ‘Advanced’ settings tab
O12 – MSIE plugins for file extensions or MIME types
O13 – Hijack of default URL prefixes
O14 – Changing of IERESET.INF
O15 – Trusted Zone Autoadd
O16 – Download Program Files item
O17 – Domain hijack
O18 – Enumeration of existing protocols and filters
O19 – User stylesheet hijack
O20 – AppInit_DLLs autorun Registry value, Winlogon Notify Registry keys
O21 – ShellServiceObjectDelayLoad (SSODL) autorun Registry key
O22 – SharedTaskScheduler autorun Registry key
O23 – Enumeration of NT Services
O24 – Active Desktop components
Questa guida è finita per ora, magari in futuro ci saranno ritocchi e vari miglioramenti 😉

Spero sia stata utile 🙂 e come sempre sono disponibile per ulteriori spiegazioni

Mustang