Guida HijackThis parte 7°

Un semplice strumento dalle molteplici funzionalità grazie al quale chiunque, con pochi click del mouse, può accorgersi di eventuali infezioni del PC ed eliminarle. Parte 7/8



[ZEUS News - www.zeusnews.it - 05-04-2006]

Sezione O8 questa voce elenca i contenuti aggiuntivi della chiave "HKCU \Software \Microsoft \Internet Explorer \MenuExt". Sono quelle voci visualizzabili quando in Internet Explorer si clicca con il tasto destro sopra una pagina internet. Comune è "Esporta in Excel" o "Zoom in /Zoom out". Vanno eliminati i riferimenti a programmi sconosciuti.
Con il fix viene solo eliminata la chiave di registro. E' consigliabile riavviare in modalità provvisoria e cancellare il file corrispondente dal sistema

Sezione O9 se compare questa voce significa che sono stati trovati oggetti aggiuntivi non presenti di default nella barra degli strumenti di Internet Explorer o nel menù "Strumenti". La chiave interessata è "HKLM \SOFTWARE \Microsoft \Internet Explorer \Extensions". Anche qui vanno eliminati i valori non necessari o non riconosciuti
Con il fix viene solo eliminata la chiave di registro. E' quindi consigliabile riavviare in modalità provvisoria e cancellare il file corrispondente dal sistema

Sezione 10 in questa sezione sono elencati gli LSP (Layered Service Provider) che modificano le impostazioni Winsock di Windows. Un Winsock hijacker (ad esempio New.net) può controllare tutto il traffico internet, dato che gli LSP sono tutti concatenati tra loro. La errata rimozione (come spesso succede dopo una scansione antivirus) di un Hijacker in questa voce può causare la perdita della connessione internet. In questo caso dopo il fix della voce 010 conviene utilizzare tool specifici quali LSPFIX. Anche Spybot Search & Destroy ha una opzione per ripristinare le impostazioni del Winsock al valore corretto.

Sezione 11 questa voce compare in pratica solo dopo un'infezione di CommonName. Viene aggiunta una voce alle opzioni presenti nel tab "Avanzate" sotto il menu "Strumenti\Opzioni Internet" di Internet Explorer. La chiave interessata dalle modifiche è "HKLM \SOFTWARE \Microsoft \Internet Explorer \AdvancedOptions". Questa voce si può quasi sicuramente eliminare.

Sezione 12 Questa sezione riporta i plugins di Internet Explorer (come quello per i file pdf) elencati nella chiave "HKLM \software \microsoft \internet explorer \plugins". Un malware che si registri come plugin viene reinstallato automaticamente quando con Internet Explorer si cerca di aprire un file a lui associato.
Con il fix viene solo eliminata la chiave dal registro di sistema.

Sezione 13 se compare questa sezione significa che un hijacker ha modificato la chiave di sistema "HKLM \SOFTWARE \Microsoft \Windows \CurrentVersion \URL \DefaultPrefix\". Il prefisso di default che viene per primo automaticamente premesso dal browser ad un indirizzo digitato in maniera incompleta è "http://". Coolwebsearch ad esempio modifica il prefisso facendo in modo che la navigazioni passi sui propri siti.
Con il fix viene ripristinata la chiave di registro al valore predefinito. Conviene anche utilizzare un tool specifico per rimuovere Coolwebsearch come CWShredder

. Sezione 14 questa voce compare quando è presente un valore alterato nel file %windir$\inf\iereset.inf che è usato da Internet Explorer per reimpostare la Home page quando si clicca sul pulsante "Ripristina impostazioni Web" (tab "Programmi" del menu "Strumenti\Opzioni Internet"). Spesso il valore è modoficato all'interno delle società dagli amministratori di sistema. La voce va eliminata se non riconosciuta.
Con il fix viene ripristinato il contenuto del file al valore predefinito.

Sezione 15 qui sono elencati i "Siti Attendibili" (tab "Protezione" delle opzioni di Internet Explorer) e l'assegnazione del livello di sicurezza di default ai vari protocolli (http,https,ftp=Internet; shell=mio computer; @ivt=intranet) . Per i siti attendibili viene impostata dal browser la protezione bassa di default per cui tutti i controlli di protezione sugli script e ActiveX sono praticamente disabilitati. Possono venir messi in questa zona i siti aziendali o del proprio provider, ma è comunque meglio eliminarli dalla lista.
Con il fix si eliminano i valori selezionati dal registro di sistema. Al termine è comunque consigliabile scaricare il file Deldomains.inf e selezionarlo con il tasto destro premendo dal menu "Installa". Vengono in questo modo ripristinate correttamente le zone di protezione di Internet Exlorer.

Guida HijackThis parte 1°: installazione e avvio
Guida HijackThis parte 2°: scansione e rimozione dei valori infetti
Guida HijackThis parte 3°: ripristino delle chiavi cancellate e white list
Guida HijackThis parte 4°: Process e Hosts manager, cancellazione al boot
Guida HijackThis parte 5°: Alternate Data Streams, cancellazione dei servizi e uninstall manager
Guida HijackThis parte 6°: interpretazione del log da R0 a 09
Guida HijackThis parte 7°: interpretazione del log da 08 a 015
Guida HijackThis parte 8°: interpretazione del log da 016 a 023

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Alessia Righi - Olimpo Informatico

Commenti all'articolo (ultimi 5 di 13)


Shea89
HijackThis è vramente utilssimo!!!!!!11 :lol:
5-4-2007 12:11

chemicalbit
{andrea964lago}, registrati [/url]al forum di ZeusNews, Olimpo Informatico (l'iscrizione è gratuita e non è invasiva come richieste di dati personali), altrimenti non è possibile aiutarti: Sarebbe molto scomodo se non impossbile discutere e cercare di aiutare nella rimozione di malaware senza una comoda e facile possibilità di... Leggi tutto
2-4-2007 09:19
{andrea964lago}
test con hijackthis ----chi mi aiuta?!---- Leggi tutto
2-4-2007 00:37

Gateo
In attesa che il sommo Zeus valuti la richiesta, potresti installarti il pdfcreator (free e opensource) e stamparti direttamente i pdf della guida.
16-8-2006 12:01
{kilang}
Scaricare questa guida.. Leggi tutto
15-8-2006 15:31
Leggi gli altri 8 commenti nel forum Olimpo Informatico
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Estate!
D'estate che cos'è più importante per te?
Il frigorifero
Il ventilatore
Il condizionatore
L'antizanzare
La connessione a Internet anche in vacanza

Mostra i risultati (3163 voti)
Maggio 2025
n. 3939 del 28-05-2025
Amazon, la IA ha trasformato la programmazione in una catena di montaggio
n. 3938 del 28-05-2025
Lidar nelle auto: utile per la guida, letale per le fotocamere
n. 3937 del 26-05-2025
Azienda IA in tribunale per il suicidio di un adolescente
n. 3936 del 22-05-2025
Non è proprio legale... ma le sanzioni sono irrisorie
n. 3935 del 21-05-2025
Pirateria, multati in Italia anche gli utenti finali
n. 3934 del 19-05-2025
Bancomat da attivare e complessità digitale
n. 3933 del 17-05-2025
Un ''diritto a riparare'' piccolo, virtuoso e originale
n. 3932 del 15-05-2025
Siti per adulti, la verifica dell'età non avverrà tramite SPID
n. 3931 del 14-05-2025
Gli hard disk in ceramica praticamente indistruttibili di Western Digital
n. 3930 del 13-05-2025
Spagna, prove generali di apocalisse?
n. 3929 del 12-05-2025
LibreOffice agli utenti: è ora di abbandonare OpenOffice
n. 3928 del 10-05-2025
Il progetto che salva i vecchi PC insegnando a installare Linux
n. 3927 del 08-05-2025
Android 16 e lo smartphone diventa un PC
n. 3926 del 06-05-2025
Apocalisse Bitcoin
n. 3925 del 05-05-2025
Da Asus la scheda video col giroscopio per prevenire il sagging
Tutti gli Arretrati
Vecchi articoli
Accadde oggi - 29 maggio
2025
Da OpenAI e Jony Ive un dispositivo senza schermo per rivoluzionare l'IA
2024
Chatbot, fallimenti a ripetizione
2023
Venti di tecnocontrollo in Spagna
2022
La Rete esce da TIM: nasce la Open Access italiana
2021
USB-C, la nuova revisione arriva a 240 Watt
2020
Altro che Immuni: il Bluetooth va tenuto spento!
2018
Incidente mortale in Tesla in Svizzera: analisi sul posto
2017
Cappa e spada minacciano Android
2015
CharlieCharlieChallenge
2014
Hackerata Cinavia, la protezione di BluRay e DVD
2013
Google porta il Wi-Fi in Africa coi dirigibili
2012
Flame, dal Medio Oriente un malware pericolosissimo
2011
Carcerati costretti a giocare a World of Warcraft
2009
Altro phishing su Facebook
2008
Il meglio dal Forum "Voip"
2007
L'altoparlante ad acqua
2006
Mettiti comodo tra due cuscini
2005
Tronchetti Provera e i dipendenti delle telco
2003
Un Mp3 che ti controlla il cuore
2002
Browser vulnerabili, stavolta tocca a Opera
2001
Alla ricerca del nulla
Olimpo Informatico


 
web metrics