6. Sezione Miscellaneous Tools

Premendo "Open the Misc Tools section", il quarto pulsante della schermata iniziale di Hijackthis, si accede ad una serie di utili strumenti, suddivisi in due sezioni: Startup list e System tools

La prima sezione, con il pulsante "Generate StartupList log" crea un file di testo (startuplist.txt) che contiene tutto quello che viene caricato all'avvio del sistema. Anche questo log può essere utile per trovare applicativi indesiderati, ma soprattutto può essere conservato da parte e confrontato con quello generato in seguito ad una infezione. La seconda sezione contiene una serie di tool molto utili che andiamo ad analizzare in dettaglio:

"Open Process manager"
Questo pulsante apre un piccolo tool simile al Task Manager di windows, ma con più funzioni.

Oltre ad elencare i processi attivi è possibile visualizzare i moduli (le dll) da essi caricati in memoria selezionando l'opportuna casella "Show DLL's"; accedere rapidamente alla finestra delle loro proprietà (cliccandoci sopra due volte) ed eventualmente salvare il listato in un file di testo. E' possibile ovviamente killare i processi, cioè forzare la loro terminazione. Questa opzione può essere molto utile qualora si cerchi di rimuovere dal registro la chiave di riferimento ad un malware caricato in memoria: il suo processo deve prima essere terminato.

"Open Hosts file manager"
Questo pulsante apre un piccolo editor del file Hosts di windows che si trova nella cartella $windir$ \system32 \drivers \etc. E' un file di testo che solitamente contiene alcune righe di commento e come unica voce la scritta 127.0.0.1 localhost. Per sapere a cosa serve questo file si rimanda a questo articolo, per il momento a noi basta sapere che la parte numerica è l'indirizzo IP al quale punterà il browser quando si digita al suo interno l'indirizzo web corrispondente. Se ad esempio nel file hosts ci fosse scritto 64.233.161.104 zeusnews.com e si cliccasse su un link che porta a Zeus News o si decidesse di digitare zeusnews.com nella barra degli indirizzi, il browser punterebbe inesorabilmente al sito di google. E' un meccanismo sfruttato spesso dai malware che modificando il file hosts riescono a indirizzare gli utenti sui loro siti truffaldini anzichè su quelli legittimi.

Questo piccolo tool permette di editare rapidamente il file hosts ed eventualmente di disabilitare e riabilitare le voci in esso contenute premendo il pulsante "Toggle line(s).
Nota: se non si riesce a navigare su certi siti, verificare in questa sezione se il sito in questione è presente nel file Hosts e reindirizzato a 127.0.0.1.

"Delete a file in reboot..."
Questo pulsante apre una finestra di explorer con la quale è possibile selezionare un file da eliminare al successivo riavvio della macchina. E' utile per quei malware che non possono essere cancellati normalmente perchè hanno attributi di sistema o sola lettura o perchè sono in esecuzione. Può essere usato anche per cancellare quei file che non si riescono a trovare, ma che sembrano presenti dal log di HijackThis: basta digitare nella finestra l'indirizzo completo del file e premere "Apri".
Attenzione a cosa si cancella perchè HijackThis non crea il backup del file

Guida HijackThis parte 1°: installazione e avvio
Guida HijackThis parte 2°: scansione e rimozione dei valori infetti
Guida HijackThis parte 3°: ripristino delle chiavi cancellate e white list
Guida HijackThis parte 4°: Process e Hosts manager, cancellazione al boot
Guida HijackThis parte 5°: Alternate Data Streams, cancellazione dei servizi e uninstall manager
Guida HijackThis parte 6°: interpretazione del log da R0 a 09
Guida HijackThis parte 7°: interpretazione del log da 08 a 015
Guida HijackThis parte 8°: interpretazione del log da 016 a 023

Hai a disposizione ancora caratteri. Per inserire commenti più lunghi (e senza CAPTCHA), iscriviti.
Il tuo nome:		La tua email: