| Home | Articoli | D.P.S Sicurezza | Test Sicurezza | Pishing | Forum | Autore del Sito | Pubblicità su Sicurezza In Rete |  
   
   
   
   
   
   

   | Sicurezza Wireless | Sicurezza VoIP | WhitePaper Sicurezza | Libri sulla Sicurezza | Manuali | Problemi Frequenti |

 

 

  
 
 
Google
 
     
Anonimato & Privacy
Antivirus
AntiSpam
AntiSpyware
AntiTrojan
AntiDialer
Crittografia
Firewall & Port Monitor 
Filtri Web
Scanner Sicurezza 
Tool rimozione Virus
   
   
   
  Software Consigliato
     
   
     
  GFI LANguard Network Scanner analizza e rimuove in modo facile e veloce le vulnerabilità presenti nel vostro Network  
     
  Scaricate oggi la vostra versione gratuita di prova!  
     
     
 


   
 
  Acunetix Web Vulnerability Scanner
Scaricate oggi la vostra versione gratuita di prova! Controllate il vostro sito internet alla ricerca di possibili vulnerabilità da Cross Site Scripting - Gratis!
 
 
     

HijackThis : Interpretare il Log

Quando programmi come Ad-Aware o Spybot falliscono nel rimuovere determinati spyware o dialer è necessario intervenire manualmente. HijackThis effettua una scansione dell'intero sistema e mostra tutte le chiavi ed elementi caricati all'avvio. Gli elementi mostrati non sono tutti dannosi sono anche chiavi importanti del sistema, bisogna essere utenti esperti per decidere cosa rimuovere. In questo articolo vengono spiegate le varie voci presenti in un potenziale log del programma per far comprenderne il significato.

Dimensione : 180kbyte
Licenza : Freeware
Download : HijackThis

Osservando per la prima volta il file log del programma è possibile trovarsi disorientati, ma se si ha una minima conoscenza informatica è possibile imparare a "leggere" il contenuto.

La stessa analisi fatta manualmente è possibile farla in automatico utilizzando un servizio freeware sul web. Per l'uso basta copiare/incollare il log del programma nel modulo presente : HijackThis log file analysis

Analisi del file log

E' importante sapere come intervenire perché in caso di errore si potrebbero creare instabilità nel pc o creare problemi all'avvio.

Nota : L'analisi seguente è una traduzione della versione originale presente nel sito del produttore

R0, R1, R2, R3 - IE Homepage & Search

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.google.com/
R2 - (non ancora usato da Hijack)
R3 - Default URLSearchHook is missing

Le voci precedenti appartengono alla pagina iniziale di IE e a quella della ricerca predefinita, è necessario prestare attenzione agli indirizzi internet presenti, se non corrispondono è necessario correggere queste righe.

 

F0, F1, F2, F3 - Autoloading programs dai files INI

F0 - system.ini: Shell=Explorer.exe Openme.exe
F1 - win.ini: run=hpfsched

I file system.ini e win.ini sono file di sistema usati per avviare automaticamente determinati file, se il log mostra la voce F0 è necessario correggere la linea mentre se compare F1 non è sempre necessario poiché potrebbe appartenere a programmi non recentissimi.
Per essere sicuri è possibile consultare un database online.


N1, N2, N3, N4 - Netscape/Mozilla Homepage & Search

N1 - Netscape 4: user_pref("browser.startup.homepage, "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)

N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)

N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src\"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)


I ragionamenti fatti per Internet Explorer, relativamente alle voci R0,R1,R3, valgono anche per altri browser (Netscape e Mozilla), anche se meno vulnerabili a  questo tipo di hijack.


O1 - Reindirizzi nel file HOSTS

O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
O1 - Hosts file is located at C:\Windows\Help\hosts

Per costringere un utente a visitare certi siti internet viene utilizzata la tecnica dei Reindirizzi nel file HOSTS. Se il reindirizzamento nel file hosts non è stato fatto spontaneamente è necessario correggere queste righe.


O2 - Browser Helper Objects

O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL

O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)

O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL

I Browser Helper Objects sono funzionalità aggiuntive per il proprio browser come bottoni aggiunti per richiamare altri programmi. A volte però sono aggiunti da spyware oppure permettono la comparsa di finestre pop up.
E' necessario controllare questi oggetti ed eliminare quelli riconosciuti come pericolosi; per essere sicuri della pericolosità è possibile consultare il database BHO.



O3 - Barre degli Strumenti di Internet Explorer

O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL

O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)

O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL

Molti programmi aggiungono delle barre su internet Explorer per integrare funzionalità aggiuntive come un filtro per finestre pop up o altre funzionalità. Per capire quali voci sono sospette o pericolose è possibile consultare un database di toolbars


 

Pagina Precedente

  

Indice Articoli

   Pagina Successiva

 



Home | Autore del sito | Forum | E-mail | Supportaci |