Security Tips&Tools Guida all’utilizzo di Hijackthis

[Asterix]

Guida all’utilizzo di Hijackthis


Attenzione HijackThis va usato solamente nel caso in cui il vostro browser o computer, anche dopo l’utilizzo con esito positivo di tools per la rimozione di Spyware/Hijacker, presentano ancora dei problemi di funzionamento.

HijackThis è un tool che richiede una conoscenza avanzata del S.O. Windows per il suo corretto utilizzo.
Si precisa che se si procede con la cancellazione delle voci presenti nel log da lui generato senza conoscere a cosa si riferiscono, si può andare incontro a problemi molto più gravi rispetto ad una infezione di tipo malware, infatti un suo scorretto utilizzo può compromettere il funzionamento del vostro browser e nel peggiore dei casi può causare problemi di stabilità e/o funzionamento del vostro S.O.

Come già detto in precedenza è consigliato l’utilizzo di Hijacthis solo dopo aver effettuato tentativi di pulizia attraverso software mirati; questo per il semplice motivo che il tool modifica o cancella gli items da lui rilevati correndo il rischio di lasciare sul pc dei file infetti da Spyware / Hijacker, una volta effettuato queste modifiche con il suddetto tool i file infetti non verranno più rilevati nelle future scansione da parte dei tools specializzati.

Introduzione

HijackThis è un tool che permette l’identificazione di spyware, malware, hijackers del browser, trojan e virus worm nel proprio PC. Il programma raccoglie le informazioni più importanti sulla configurazione delle aree del sistema operativo maggiormente attaccate da parte di componenti dannosi, come spyware, hijackers e "malware" in generale. HijackThis ha una fuzione integrata per la memorizzazione in un file log di tutti i dati relativi allo stato del sistema.

Come usare Hijackthis

Innanzitutto, va precisato che il programma non necessita di installazione, a questo punto si consiglia di creare una cartella nel vostro PC dove depositare l’eseguibile del programma. Es. C:\Programmi\Hijackthis.
Il programma può essere scaricato dal seguente link Hijackthis Download
Una volta terminato il dl si procede con la scompattazione del file .zip nella cartella precedentemente creata. Dopo l’operazione sopraccitata andanda a sfogliare la cartella da noi creata troveremo il file HijackThis.exe, ora per comodità creiamo un collegamento da mettere nel desktop attraverso il tasto dx del mouse nel sottomenù invia a Desktop (crea collegamento).

Per avviare il programma doppio click sul collegamento appena creato.
All’apertura comparirà una schermata simile alla figura qui sotto.

Hijackthis startup

Come potete notare nella figura precedente l’ultima voce da la possibilità di decidere se continuare a visualizzare questa schermata ad ogni riavvio di hijackthis oppure no. Nel caso di attivazione al riavvio del tool comparirà una schermata simile alla figura qui sotto.

Figura 1. Starting Screen di HijackThis

Per prima cosa andiamo nel menu di configurazione premendo sul tasto config e impostiamo le opzioni come rappresentato nella figura 2. Per comodità ho evidenziato nel riquadro le opzioni da verificare.

Figura 2. HijackThis Opzioni di Configurazione

Una volta terminata la configurazione premete sul tasto Back ritornando così nella schermata principale rappresentata nella figura 1.
Per avviare la scansione del vostro computer premete sul tasto Scan . A questo punto inizierà la scansione del vostro PC e vi sarà presentata una schermata con tutti gli items trovati dal tool come da figura 3

Figura 3. Risultati Scan

A questo punto, avete un elenco con tutti gli items trovati da HijackThis. Per effettuare un salvataggio del log appena generato potete premere sul pulsante Save log evidenziato nel riquadro.
Ora potete optare per analizzare il log attraverso il tool messo a disposizione attraverso questo link oppure postare il vosto log nel forum
Hijackthis offre inoltre la possibilità di avere ulteriori informazioni sulle voci riscontrate durante la scansione, per ottenere tutto questo basta selezionare la voce interessata e premere sul pulsante Info on selected item… vi comparirà una schermata simile alla figura 4:

Figura 4. Informazioni aggiuntive oggetto

Una volta appurato che una voce è da eliminare, in quanto ritenuta pericolosa o appartenete a qualche malware, si procede con la selezione tramite il flag come da figura 5

Figura 5. Selezionare item da rimuovere

Una volta che avete selezionato gli items che vorreste rimuovere, premete il tasto FIX, prima di procedere con la rimozione vi verrà richiesta un’ulteriore conferma.

Come ristabilire gli items cancellati erroneamente

HijackThis prevede anche una procedura di restore al fine di rimediare a cancellazioni errate. Se in fase di configurazione di HijackThis avete impostato le opzioni come suggerito non dovreste riscontrare alcun problema nel ripristino delle voci erroneamente cancellate. Faccio notare che questa procedura di restore non sempre funziona in quanto se si procede con il Fix da modalità provvisoria e poi si ritorna in modalità di normale tale procedura non funzionerà in quanto i file di backup verranno persi durante il cambio di modalità, al contrario se la procedura di fix avviene in modalità provvisoria e subito ci accorgiamo di aver effettuato un errore senza riavviare la macchina sarà possibile effettuare un restore, nel caso che l’operazione di fix venga effettuata in modalità di lavoro da tale modalità sarà sempre possibile effettuare un restore.
Per procedere con il restore una volta aperto Hijackthis premere sul pulsante Config e poi Backup come da schermata figura 6.
Vi sarà presentato una lista di items che avete riparato in precedenza attraverso il tasto fix ed avrete la possibilità di ripristinarli, una volta ripristinato alla successiva operazione di scan vi verrà ripresentato nel log.

Figura 6. Restore

A restore terminato potete chiudere l’applicazione.

Come generare l’elenco di startup

Hijackthis ha inoltre la possibilità di creare un file contente la lista dei programmi che partono nello startup del pc. Tale funzione può tornare utile in fase di richiesta di aiuto e per verificare se qualche processo malware parte all’avvio del PC .
Per generare tale elenco aprire il programma hijackthis premere sul pulsante Config e selezionare Misc Tools a questo punto compare una schermata simile ala figura 7

Figura 7. Generare la StartupList

Per procedere con la generazione del log di startup premere sul pulsante Generate StartupList Log Una volta lanciata l’applicazione il programma aprirà automaticamente un foglio notepad con l’elenco di tutte le applicazioni che partono in via automatica del vostro PC.

Come usare il Process Manager

HijackThis include anche una sorta di Task Manager dando la possibilità all’utente di terminare processi considerati Malware. Per accedere al Process Manager si deve entrare nel menu configurazione andare nella scheda Misc Tools e premere sul pulsante Open process manager. Ora dovreste vedere una schermata simile alla figura 8.

Figura 8. HijackThis Process Manager

Questa finestra elencherà tutti processi attivi presenti sulla vostra macchina, posizionandovi su un processo potete determinarne la chiusura utilizzando il tasto Kill Process
Se voleste terminare più processi in simultanea potete farlo tenendo premuto il tasto CTRL della tastiera e selezionando con il mouse i vari processi da terminare, una volta effettuata la scelta si preme il tasto Kill Process.
Se voleste vedere quali DLL vengono caricate da un determinato processo, lo potete fare attivando la funzione Show DLLs come da figura 8.

Come usare Hosts File Manager

Tra i vari tools di HijackThis c’è anche Hosts File Manager, attraverso questo praticissimo tool possiamo verificare la struttura del nostro file Host e a necessità modificarlo direttamente da hijackthis. Per accedere al tools premere sul pulsante Config andare nella scheda Misc Tools premere sul pulsante Open host file Manager a questo punto dovrebbe comparire una schermata simile alla figura

Figura 9: Hosts File Manager

Come potete vedere nella finestra raffigurata nella figura 9 compariranno tutte le righe del vostro file Host , ora per cancellare una riga del file procedete nel seguente modo: selezionate la riga da cancellare e premete il tasto Delete line(s), per eliminare più righe in simultanea basta selezionare le righe tenendo premuto il tasto CTRL e poi premete il tasto Delete line(s). Un’altra utile funzione presente in questo Misc tools si ottiene premendo il tasto Toggle line(s), questo pulsante aggiunge il seguente simbolo # all’inizio della linea o linee evidenziate, il simbolo # all’inizio di riga sta ad indicare che si tratta di un commento e come tale non verrà considerato dal S.O.

Come usare il Cancella file al riavvio

Alcune volte possiamo incontrare dei file la cui cancellazione attraverso i mezzi convenzionali ci viene negata in quanto utilizzati, a tale proposito Hijckthis ha un funzione che permette la cancellazione di questi file al riavvio del S.O. prima che esse venga impegnato nuovamente. Per attivare la seguente proceduta necessita seguire i seguenti passi:

1. Aprire Hijackthis
2. Entrare nel menù di configurazione attraverso il tato Config
3. selezionare la scheda Misc Tools
4. premere il pulsante Dolete a file on Reboot
5. a questo punto vi comparirà una schermata simile alla figura 10 dove sarà possibile selezionare il file da eliminare al prossimo riavvio.
6. una volta selezionato il file da cancellare vi verrà richiesto se procedere ora con il riavvio e un un secondo momento come da figura 11.

Figura 10: Scelta file per il Delete al reboot

Figura 11: Conferma riavvio S.O.

Come usare ADS Spy

...................... In fase di creazione ......................

Come usare Uninstall Manager

Questo modulo permette di controllare le entry dei programmi presenti nella lista Add/Remove del pannello di controllo. Può accadere che durante la pulizia di un malware alcune entry presenti nel Add/Remove non vengano rimosse. Molti utenti gradiscono avere una lista pulita di programmi di Add/Remove e spesso si trovano ad avere delle difficoltà nel rimuovere le entry errate, ora attraverso questo tools si possono rimuovere tranquillamente ed avere così una lista pulita.
Per attivare la seguente proceduta necessita seguire i seguenti passi:
1. Aprire Hijackthis
2. Entrare nel menù di configurazione attraverso il tato Config
3. selezionare la scheda Misc Tools
4. premere il pulsante Open Uninstall Manager
5. a questo punto vi comparirà una schermata simile alla figura 14 dove sarà possibile selezionare la voce da eliminare.
La videata che vi si presenterà sarà simile alla figura sotto riportata:

Figura 14: Uninstall Manager




Questo/a opera è pubblicato sotto una Licenza Creative Commons.

[Kirk78]

Ciao Asterix
Noto che adesso TrendMicro non ha più un file da spostare in una cartella ma un file HiJackThis.msi (Installer). Insomma niente portable .
Inoltre vedo che c'è un link sul nostro mitico P2P Forum Italia: sarebbe interessante mettere una disussione simile anche quì su CT che tratta del controllo dei log, che ne dici? Comunque va cambiato il link, magari se vuoi non dimenticare, come me lo sono un sentimentale, metterci questa copia .

[Clairvoyant]

Nel frattempo HJT è diventato Open Source, e come tale sono stati anche rilasciati i sorgenti.
Potete trovarlo qui.

[Kirk78]

E' un sacco di tempo che volevo aggiornare la discussione ... fortuna che ci hai pensato tu Clairvoyant .

Mi sono anche chiesto se è buono oppure no... se i "cattivi" conoscono esattamente come funziona Hijackthis, non vorrei che escogitassero un modo per raggirarlo. Avendo il sorgente...

[Clairvoyant]

Ciao Kirk.

Ehm, i "cattivi" lo aggiravano già da un bel pò, e sui sistemi a 64bit ha (e probabilmente avrà, se non viene completamente riscritto) più di un problema.

Purtroppo da quando è passato a TrendMicro il software è stato lasciato un pò andare, e di fatto attualmente è poco utile per cercare dove si annida il malware.
Non a caso ormai praticamente tutti i fora che si occupano di rimozione malware utilizzano DDS e/o OTL + GMER per le scansioni, ed io stesso non lo utilizzavo più nel vecchio forum da almeno il 2008, visto che poi dovevo far scansionare anche con DSS.
Un vero peccato, era un ottimo strumento e l'avrò fatto usare centinaia di volte nei tempi che furono.

Il rilascio del codice però potrebbe avere dei risvolti positivi e non tutto sarebbe perduto.
Intanto qualcuno potrebbe usarne delle parti per poter sviluppare propri strumenti di rimozione o altro, in secondo luogo non è detto che un giorno altri si cimentino in una riscrittura in un altro linguaggio compatibile con i SO 64bit e magari inserisca altre funzionalità che all'epoca non erano richieste.

Staremo a vedere.

[Eres]

Avevo visto sul sito di HT che c'è anche una versione nuova in fase beta, ma il programma è stato abbandonato? sto ancora usando la versione 2.0.4 su W7x64

[Kirk78]

Ciao Clairvoyant

Intanto qualcuno potrebbe usarne delle parti per poter sviluppare propri strumenti di rimozione o altro, in secondo luogo non è detto che un giorno altri si cimentino in una riscrittura in un altro linguaggio compatibile con i SO 64bit e magari inserisca altre funzionalità che all'epoca non erano richieste.

Sicuramente per poter fare un proprio software con un minimo di protezione in più va bene, che però può essere anche un'arma a doppio taglio.

Personalmente penso che un software per la sicurezza OpenSource (e con sorgenti disponibili) deve essere sviluppato costantemente per immetere le correzioni velocemente, altrimenti è inutile . Un esempio: Ubuntu.

E' proprio vero è un peccato che sia stato abbandonato e spero che sia "rigenerato".

@Eres, come dice anche Clairvoyant, sui 64 in molti dicono che ci sono un po' di problemi. Ricordiamo comunque che:

IMPORTANT: HijackThis does not determine what is good or bad. Do not make any changes to your computer settings unless you are an expert computer user.

[Clairvoyant]

@ Kirk
TrendMicro sembra non abbia mai investito troppe risorse sul progetto, e probabilmente in questi tempi di crisi piuttosto che tenerselo lì ad ammuffire avrà pensato di liberarsene affinchè almeno chi ne ha la possibilità e la voglia possa farci qualcosa.
Per quanto riguarda il discorso OpenSource, non so se per HJT possa valere il discorso del "doppio taglio", cosa che sarebbe invece probabilmente vera per software con protezioni in real-time (a quel punto vincerebbe chi arriva prima ).

Per il discorso Ubuntu, che è tutt'altra cosa e sul quale non sono ferrato, presumo sia una scelta aziendale volta alla stabilità della distribuzione.
Altre distro sono delle rolling release ma potrebbero per questo risultare meno stabili.

@ Eres

Avevo visto sul sito di HT che c'è anche una versione nuova in fase beta, ma il programma è stato abbandonato?

C'è la 2.0.5, ma a vedere dal numero credo che si tratti di qualche bugfix minore più che una nuova versione.
Per quanto riguarda l'abbandono, diciamo che virtualmente ora non lo è più, visto che il codice è stato reso disponibile anche per ulteriori sviluppi.

sto ancora usando la versione 2.0.4 su W7x64

E non ti sei accorto che manca almeno qualcosa?
HJT è un applicazione 32bit, scritta in VB6 se non erro, che dovrebbe cercare dati su un SO 64bit.

[Eres]

@Eres, come dice anche Clairvoyant, sui 64 in molti dicono che ci sono un po' di problemi. Ricordiamo comunque che:

No ma HT lo conosco bene lo uso da anni sia su Vista 32 che su 7x64, sul x64 ha qualche problema nella giusta interpretazione dei servizi, ma fondamentalmente funziona bene.
Quello che volevo sapere è se è ancora affidabile la versione ormai datata 2.0.4 e se in futuro ci saranno nuove versioni, le novità dell'ultima beta 2.0.5 e se sia utilizzabile

[Clairvoyant]

Ciao Eres.

Le risposte alle tue domande mi pare siano già nel post #5, cmq

Quello che volevo sapere è se è ancora affidabile la versione ormai datata 2.0.4

È affidabile per quel che riesce ancora a vedere, che nel panorama odierno è poco.

e se in futuro ci saranno nuove versioni, le novità dell'ultima beta 2.0.5 e se sia utilizzabile

Le novità della 2.0.5 beta non sono note, o almeno io un changelog non l'ho trovato, però a vederla mi pare uguale alla 2.0.4.
Per quanto riguarda le nuove versioni, al momento la risposta la risposta di TrendMicro, a mio avviso sibillina, è questa

Trend Micro will still maintain a copy of the original source code and update the code at times to ensure developers can always get access to the Trend Micro version.