Guida HijackThis parte 7°
Un semplice strumento dalle molteplici funzionalità grazie al quale chiunque, con pochi click del mouse, può accorgersi di eventuali infezioni del PC ed eliminarle. Parte 7/8
[ZEUS News - www.zeusnews.it - 05-04-2006]
Sezione O8 questa voce elenca i contenuti aggiuntivi della chiave "HKCU \Software \Microsoft \Internet Explorer \MenuExt". Sono quelle voci visualizzabili quando in Internet Explorer si clicca con il tasto destro sopra una pagina internet. Comune è "Esporta in Excel" o "Zoom in /Zoom out". Vanno eliminati i riferimenti a programmi sconosciuti.
Con il fix viene solo eliminata la chiave di registro. E' consigliabile riavviare in modalità provvisoria e cancellare il file corrispondente dal sistema
Sezione O9 se compare questa voce significa che sono stati trovati oggetti aggiuntivi non presenti di default nella barra degli strumenti di Internet Explorer o nel menù "Strumenti". La chiave interessata è "HKLM \SOFTWARE \Microsoft \Internet Explorer \Extensions". Anche qui vanno eliminati i valori non necessari o non riconosciuti
Con il fix viene solo eliminata la chiave di registro. E' quindi consigliabile riavviare in modalità provvisoria e cancellare il file corrispondente dal sistema
Sezione 10 in questa sezione sono elencati gli LSP (Layered Service Provider) che modificano le impostazioni Winsock di Windows. Un Winsock hijacker (ad esempio New.net) può controllare tutto il traffico internet, dato che gli LSP sono tutti concatenati tra loro. La errata rimozione (come spesso succede dopo una scansione antivirus) di un Hijacker in questa voce può causare la perdita della connessione internet. In questo caso dopo il fix della voce 010 conviene utilizzare tool specifici quali LSPFIX. Anche Spybot Search & Destroy ha una opzione per ripristinare le impostazioni del Winsock al valore corretto.
Sezione 12 Questa sezione riporta i plugins di Internet Explorer (come quello per i file pdf) elencati nella chiave "HKLM \software \microsoft \internet explorer \plugins". Un malware che si registri come plugin viene reinstallato automaticamente quando con Internet Explorer si cerca di aprire un file a lui associato.
Con il fix viene solo eliminata la chiave dal registro di sistema.
Sezione 13 se compare questa sezione significa che un hijacker ha modificato la chiave di sistema "HKLM \SOFTWARE \Microsoft \Windows \CurrentVersion \URL \DefaultPrefix\". Il prefisso di default che viene per primo automaticamente premesso dal browser ad un indirizzo digitato in maniera incompleta è "http://". Coolwebsearch ad esempio modifica il prefisso facendo in modo che la navigazioni passi sui propri siti.
Con il fix viene ripristinata la chiave di registro al valore predefinito. Conviene anche utilizzare un tool specifico per rimuovere Coolwebsearch come CWShredder
.
Sezione 14 questa voce compare quando è presente un valore alterato nel file %windir$\inf\iereset.inf che è usato da Internet Explorer per reimpostare la Home page quando si clicca sul pulsante "Ripristina impostazioni Web" (tab "Programmi" del menu "Strumenti\Opzioni Internet"). Spesso il valore è modoficato all'interno delle società dagli amministratori di sistema. La voce va eliminata se non riconosciuta.
Con il fix viene ripristinato il contenuto del file al valore predefinito.
Sezione 15 qui sono elencati i "Siti Attendibili" (tab "Protezione" delle opzioni di Internet Explorer) e l'assegnazione del livello di sicurezza di default ai vari protocolli (http,https,ftp=Internet; shell=mio computer; @ivt=intranet) . Per i siti attendibili viene impostata dal browser la protezione bassa di default per cui tutti i controlli di protezione sugli script e ActiveX sono praticamente disabilitati. Possono venir messi in questa zona i siti aziendali o del proprio provider, ma è comunque meglio eliminarli dalla lista.
Con il fix si eliminano i valori selezionati dal registro di sistema. Al termine è comunque consigliabile scaricare il file Deldomains.inf e selezionarlo con il tasto destro premendo dal menu "Installa". Vengono in questo modo ripristinate correttamente le zone di protezione di Internet Exlorer.
Guida HijackThis parte 1°: installazione e avvio
Guida HijackThis parte 2°: scansione e rimozione dei valori infetti
Guida HijackThis parte 3°: ripristino delle chiavi cancellate e white list
Guida HijackThis parte 4°: Process e Hosts manager, cancellazione al boot
Guida HijackThis parte 5°: Alternate Data Streams, cancellazione dei servizi e uninstall manager
Guida HijackThis parte 6°: interpretazione del log da R0 a 09
Guida HijackThis parte 7°: interpretazione del log da 08 a 015
Guida HijackThis parte 8°: interpretazione del log da 016 a 023
|
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News
ti consigliamo di iscriverti alla Newsletter gratuita.
Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui
sotto, inserire un commento
(anche anonimo)
o segnalare un refuso.
© RIPRODUZIONE RISERVATA |
|
|
Commenti all'articolo (ultimi 5 di 13)
5-4-2007 12:11
2-4-2007 09:19
16-8-2006 12:01
Inserisci un commento - anche se NON sei registrato
|
|
||
|
- Aiuto per i forum / La Posta di Zeus / Regolamento:
Cancellazione account. - Al caffe' dell'Olimpo:
[GIOCO] L'utente dopo di me - Pc e notebook:
Il portatile fa rumore da tosaerba... - Il salotto delle Muse:
Consigli per giovani scrittori - Tablet e smartphone:
Blackview BV6200Pro: come prendere la root ? - Programmazione:
Come creare un documento .odt formattato - Al Caffe' Corretto:
SHEIN TEMU (-) La Certezza dello Sfruttamento
& INQUINAMENTO - La cucina dell'Olimpo:
Vini di qualità - Software - generale:
PDF Editor - Linux:
Linux Mint vede la stampante ma non stampa
Shea89