8. Interpretazione delle voci del log

Quando si esegue la scansione con Hijackthis, il log riporta molte voci che vengono associate ad una specifica categoria (R1, R3, 04, 020, 023) in base alle modalità con cui sono caricate all'avvio. Vediamo in dettaglio il significato delle singole voci.

R0, R1, R2, R3 Queste voci indicano che sono state cambiate le impostazioni predefinite di Internet Explorer: la pagina iniziale e i motori di ricerca utilizzati per restituire un indirizzo in caso che quello cercato non venga trovato. Le voci sono da fixare se non si riconosce la propria home page. La voce R3 quando compare riporta la voce "Default URLSearchHook is missing". In questo caso va premuto sicuramente "Fix". Il Search Hook listato in HKEY_CURRENT_USER \Software \Microsoft \Internet Explorer \URLSearchHooks permette al browser di "capire" gli indirizzi dei quali non si è digitato il protocollo: http o ftp
Con il fix vengono ripristinate le chiavi di registro alle impostazioni iniziali (possono essere cambiate dal pannello principale (par. 7)

F0, F1, F2, F3 In questo gruppo sono elencati i programmi che si avviano dai file ini di Windows (system.ini e win.ini). Normalmente gli F0 sono sempre da cancellare: si riferiscono a programmi avviati come shell in system.ini; quelli legittimi sono ormai tutti in disuso, come ad esempio Progman.exe in Windows 3.x. Anche gli F1 sono quasi sempre da cancellare in quanto solo applicazioni ormai molto datate partono con il file win.ini. Le locazioni F2 e F3 corrispondono a F0 e F1 nei sistemi NT dove in luogo dei due file system.ini e win.ini possono venir caricati altri file ini con nomi a scelta elencati nella chiave HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \CurrentVersion \IniFileMapping. In F2 viene classificata anche questa chiave del registro HKLM \Software \Microsoft \Windows NT \CurrentVersion \Winlogon \Userinit che di default deve contenere solo il valore userinit.exe (eventualmente seguito da nddeagent.exe). Se invece compare nel log seguita da un eseguibile differente è sicuramente da fixare.
Con il fix vengono ripristinate le chiavi di registro alle impostazioni iniziali

N1, N2, N3, N4 Questa sezione riporta gli stessi valori per i browser Netscape e Mozilla che sono elencati nella Sezione R per Internet Explorer. Valgono quindi le stesse raccomandazioni

Sezione O1 Sono elencate le voci differenti da "127.0.0.1" individuate nel file hosts. Per ulteriori informazioni consultare la sezione "Open Hosts file manager" al paragrafo 6. Con il fix viene cancellata dal file hosts la linea selezionata.

Sezione O2 Questa sezione elenca i BHO (Browser Helper Objects): Si tratta di plugin che aumentano/cambiano le funzionalità del browser e che vengono vengono eseguiti virtualmente con diritti illimitati nel PC. Sono elencati nella chiave "HKLM \SOFTWARE \Microsoft \Windows \CurrentVersion \Explorer \Browser Helper Objects". Questa sezione è una delle preferite dai malware, ma si trovano anche molti BHO legittimi molto diffusi: Spybot, Acrobat e Google toolbar tanto per citarne alcuni. Un lungo elenco dei BHO (28469 alla data odierna) si può consultare a questo indirizzo.
Con il fix viene cancellato il CLSID dal registro e cancellata la dll corrispondente dal sistema

Sezione O3 Questa sezione è associata alle toolbar di Internet Explorer (ad esempio la Toolbar&Radio msdxm.ocx). Fare riferimento allo stesso elenco dei BHO per le voci eventualmente trovate.
Con il fix viene cancellata la chiave dal registro del sistema (il file va cancellato manualmente)

Sezione O4 Questa sezione raccoglie tutte le applicazioni che sono caricate all'avvio del sistema operativo da chiavi di registro ( \RunervicesOnce, \RunServices, Run, \RunOnce, \RunOnceEx) sia sotto "HKLM \Software \Microsoft \Windows \CurrentVersion \ che HKCU \Software \Microsoft \Windows \CurrentVersion \". Sono contemplati anche gli avvi previsti dalle cartelle "Esecuzione automatica". Eventuali voci trovate in questa sezione vanno confrontate con quelle raccolte in database disponibili su internet. Molto completi sono quelli di Castlecops (12441 voci alla data odierna) e Sysinfo (12070 voci).

Sezione O5 questa sezione controlla che non ci siano righe aggiuntive nel file control.ini che mpediscano di visualizzare correttamente qualche elemento del sistema nel pannello di controllo.
Con il fix viene eliminato la riga di blocco dal file control.ini

Sezione O6 questa riga indica che sono state imposte delle restrizioni alle impostazioni di Internet Explorer. Generalmente le restrizioni sono fatte a scopo amministrativo all'interno di società, ma anche dall'uso di Spybot Search & Destroy selezionando le opzioni specifiche nella sezione Immunize. Restrizioni di questo ipo impediscono di modificare la pagina iniziale di Internet Explorer o altre sue impostazioni.
Con il fix viene eliminata la chiave che applica le restrizioni (O6 - "HKCU \Software \Policies \Microsoft \Internet Explorer \Restrictions") dal registro di sistema

Sezione O7 se compare questa riga significa che l'uso dell'editor del registro di sistema (regedit.exe) è disabilitato. La chiave interessata è "HKCU \Software \Microsoft \Windows \CurrentVersion \Policies \System"
Con il fix viene eliminata la voce DisableRegedit=1

Guida HijackThis parte 1°: installazione e avvio
Guida HijackThis parte 2°: scansione e rimozione dei valori infetti
Guida HijackThis parte 3°: ripristino delle chiavi cancellate e white list
Guida HijackThis parte 4°: Process e Hosts manager, cancellazione al boot
Guida HijackThis parte 5°: Alternate Data Streams, cancellazione dei servizi e uninstall manager
Guida HijackThis parte 6°: interpretazione del log da R0 a 09
Guida HijackThis parte 7°: interpretazione del log da 08 a 015
Guida HijackThis parte 8°: interpretazione del log da 016 a 023

Hai a disposizione ancora caratteri. Per inserire commenti più lunghi (e senza CAPTCHA), iscriviti.
Il tuo nome:		La tua email: