Un semplice strumento dalle molteplici funzionalità grazie al quale chiunque, con pochi click del mouse, può accorgersi di eventuali infezioni del PC ed eliminarle. Parte 4/8
[ZEUS News - www.zeusnews.it - 03-05-2006]
6. Sezione Miscellaneous Tools
Premendo "Open the Misc Tools section", il quarto pulsante della schermata iniziale di Hijackthis, si accede ad una serie di utili strumenti, suddivisi in due sezioni: Startup list e System tools
"Open Process manager"
Questo pulsante apre un piccolo tool simile al Task Manager di windows, ma con più funzioni.
Oltre ad elencare i processi attivi è possibile visualizzare i moduli (le dll) da essi caricati in memoria selezionando l'opportuna casella "Show DLL's"; accedere rapidamente alla finestra delle loro proprietà (cliccandoci sopra due volte) ed eventualmente salvare il listato in un file di testo. E' possibile ovviamente killare i processi, cioè forzare la loro terminazione. Questa opzione può essere molto utile qualora si cerchi di rimuovere dal registro la chiave di riferimento ad un malware caricato in memoria: il suo processo deve prima essere terminato.
"Open Hosts file manager"
Questo pulsante apre un piccolo editor del file Hosts di windows che si trova nella cartella $windir$ \system32 \drivers \etc. E' un file di testo che solitamente contiene alcune righe di commento e come unica voce la scritta 127.0.0.1 localhost. Per sapere a cosa serve questo file si rimanda a questo articolo, per il momento a noi basta sapere che la parte numerica è l'indirizzo IP al quale punterà il browser quando si digita al suo interno l'indirizzo web corrispondente. Se ad esempio nel file hosts ci fosse scritto 64.233.161.104 zeusnews.com e si cliccasse su un link che porta a Zeus News o si decidesse di digitare zeusnews.com nella barra degli indirizzi, il browser punterebbe inesorabilmente al sito di google. E' un meccanismo sfruttato spesso dai malware che modificando il file hosts riescono a indirizzare gli utenti sui loro siti truffaldini anzichè su quelli legittimi.
Questo piccolo tool permette di editare rapidamente il file hosts ed eventualmente di disabilitare e riabilitare le voci in esso contenute premendo il pulsante "Toggle line(s).
Nota: se non si riesce a navigare su certi siti, verificare in questa sezione se il sito in questione è presente nel file Hosts e reindirizzato a 127.0.0.1.
"Delete a file in reboot..."
Questo pulsante apre una finestra di explorer con la quale è possibile selezionare un file da eliminare al successivo riavvio della macchina. E' utile per quei malware che non possono essere cancellati normalmente perchè hanno attributi di sistema o sola lettura o perchè sono in esecuzione. Può essere usato anche per cancellare quei file che non si riescono a trovare, ma che sembrano presenti dal log di HijackThis: basta digitare nella finestra l'indirizzo completo del file e premere "Apri".
Attenzione a cosa si cancella perchè HijackThis non crea il backup del file
Guida HijackThis parte 1°: installazione e avvio
Guida HijackThis parte 2°: scansione e rimozione dei valori infetti
Guida HijackThis parte 3°: ripristino delle chiavi cancellate e white list
Guida HijackThis parte 4°: Process e Hosts manager, cancellazione al boot
Guida HijackThis parte 5°: Alternate Data Streams, cancellazione dei servizi e uninstall manager
Guida HijackThis parte 6°: interpretazione del log da R0 a 09
Guida HijackThis parte 7°: interpretazione del log da 08 a 015
Guida HijackThis parte 8°: interpretazione del log da 016 a 023
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News
ti consigliamo di iscriverti alla Newsletter gratuita.
Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui
sotto, inserire un commento
(anche anonimo)
o segnalare un refuso.
© RIPRODUZIONE RISERVATA |
|
|
||
|
Shea89