Guida all’uso di Hijackthis 2.0

Premessa

HijackThis è un software diagnostico, pertanto non è un software da usare come Antivirus, in quanto non dispone di un proprio database di firme virali aggiornabili per poter riconoscere eventuali infezioni nel nostro pc, usato correttamente ci consente di riconoscere e rimuovere processi dannosi creati da Spyware, Worm, Dialer, Trojan ed altre applicazioni, solo i rootkit sono immuni all’azione di HijackThis.

E’ composto da un file eseguibile che non necessita di installazione ed effettua una scansione dell’intero sistema e mostra tutti i processi che vengono caricati all’avvio del Sistema Operativo, le varie chiavi riportate ci permettono di capire quali sono i processi legittimi e quali invece dovuti ad una azione esterna dannosa.

HijackThis è un tool che richiede una buona conoscenza del Sistema Operativo in quanto se si cancellano delle voci riportate nel log che genera senza conoscere a cosa si riferiscono, si può andare incontro a problemi molto gravi, uno scorretto utilizzo del tools può compromettere il funzionamento o la stabilità del vostro Sistema Operativo

Si consiglia l’utilizzo di Hijackthis solo dopo aver effettuato le “Operazioni Preliminari” di pulizia attraverso software mirati che abbiamo potuto constatarne l’efficacia nella rimozione della maggioranza delle infezioni comuni e che potete trovare a Questo link

Installazione

Scarichiamo il software al seguente Link indichiamo come percorso del download il nostro desktop, e una volta effettuato troveremo sul nostro desktop un file in formato Zip di pochi KB.

All’interno del file Zip è collocato l’eseguibile Hijackthis.exe, a questo punto dobbiamo estrarlo facendo doppio clic sul file Zip e l’unico accorgimento che dobbiamo seguire è quello di estrarre il file exe dall’archivio compresso e salvarlo in una cartella a lui dedicata nella cartella principale ad esempio C:\Hijackthis\.
Questa operazione è importante perchè il software crea una cartella di backup, in cui và a salvare le modifiche che apportiamo al sistema, che in caso di errore possono essere ripristinate.

Avvio ed uso del software

Prima di avviare il software possiamo creare un collegamento sul desktop per agevolare la ricerca quando vogliamo effettuare una scansione del sistema, basta cliccare sull’eseguibile col tasto destro del mouse e nel menù che ci appare scegliere la voce “Invia a” e scegliamo “Desktop”.

A questo punto abbiamo il collegamento ad Hijackthis sul desktop e per avviare il software ed eseguire un log dobbiamo fare doppio clic sull’icona dell’omino rosso e si aprirà una finestra con una serie di pulsanti e opzioni, vediamo ora con questa guida di spiegarne le potenzialità che offre, partendo da come generare un log e spiegando le altre opzioni che abbiamo a disposizione.

La finestra che ci viene mostrata all’avvio del programma è come quella sotto riportata.

Fig. 1

Come potete vedere ci sono vari pulsanti, quello che useremo di più saraà il prino ” Do a system scan and save a log file”, ma anche gli altri riportano a funzioni integrate di Hijackthis che sono molto utili in caso di pulizia da applicazioni nocive o anche solo per sempli controllo.

Notare l’ultima voce (quella bordata di rosso) questa consente di poter visualizzare la schermata che vedete in Fig. 1 ad ogni avvio di hijackthis, mettendo la spunta a questa voce ad ogni avvio del tool non comparirà la figura sopra esposta ma una schermata come da figura sotto riportata

Fig. 2

In ogni caso è possibile ritornare alla visualizzazione della Fig. 1 premendo sul tasto “Main menù“

Configurazione di Hijackthis

Hijackthis non necessita di particolari configurazioni, ma prima di procedere ulteriormente entriamo nella sezione di configurazione premendo sul tasto “Config..” e verifichiamo nella maschera che ci appare che il settaggio del programma sia come da figura sotto riportata (Fig.3)

Fig. 3

Accertatevi che siano spuntate le voci presenti nella bordatura rossa e poi premete sul tasto Back ritornando così nella schermata principale come da Fig. 1.
A questo punto abbiamo fatto una rapida panoramica di una parte delle funzionalità di Hijackthis e siamo pronti ad effettuare la scansione del computer, che può essere fatta in 2 modalità.

1) effettuare la scansione del sistema e salvarla in un file .log

2) effettuare la scansione diretta delle voci di avvio.

La scansione al punto 1 è generalmente quella più usata, possiamo vedere tutti i processi in avvio e le chiavi di regedit.
Per poter effettuare questa scansione cliccate sul tasto “Do a system scan and save a log file” in questo modo verrà scansionato il sistema e salvata l’analisi in un file .Log ci apparirà come in figura sotto riportata (Fig.4)

Fig. 4

Da notare sulla finestra il nome del file (hijakthis.log) se vogliamo postare il nostro log in qualche forum o inviarlo a qualcuno per un’analisi lo dobbiamo convertire in *.Txt. Per fare questo dobbiamo procedere dal menu File > Salva con nome (Fig.5)

Fig. 5

E di seguito nella finestra che ci compare scegliamo il nome del file e premiamo su Salva (Fig.6)

Fig. 6

In questo modo abbiamo salvato il nostro log nel file Log Hijackthis.txt (che è il nome che abbiamo digitato noi) sul desktop
Per la scansione diretta del punto 2 basta premere sul tasto “Do a sistem scan only” e la schermata che ci appare è come quella rappresentata in Fig. 2 per ottenere il log basta premere sul tasto Scan. A questo punto inizierà la scansione del vostro PC e vi sarà presentata una schermata con tutti gli items trovati dal tool come da Fig. 7

Fig. 7

Come potete vedere vengono riportate delle voci con un quadrettino sul lato sinistro, facendo clic su una voce il quadrettino viene spuntato e la voce selezionata. A questo punto possiamo vedere gli altri pulsanti a cosa servono:

Fix checked : è il tasto più “pericoloso” nel senso che selezionate le voci che non servono o che veicolano un’applicazione pericolosa premendo su questo tasto vengono cancellate. Attenzione che Hijackthis in questa fase rimuove la sola chiave di registro, per rimuovere il file presente nel nostro Hard Disk dobbiamo seguirne il percorso riportato e tramite esplora risorse cercarlo e cancellarlo manualmente.
Se questa operazione ci viene negata è perché il file risulta in uso dal sistema, in questo caso possiamo agire direttamente da Hijackthis per fermare il processo (in gergo definito Killare) che vedremmo più avanti.

Info on selected item : vi riporta delle informazioni sulla voce selezionata nel nostro caso compare una finestra del genere

Fig. 8

Analize This : Vi riporta ad una schermata web in cui viene analizzato il vostro log, in ogni caso per effettuare un’analisi On line del log è consigliabile usare altri link come :
Hijackthis.de oppure networktechs.com/ per analizzare on line il vostro log in questi link è necessario copiare tutto il log, dal menu di Notepad Modifica > seleziona tutto, poi ancora Modifica > copia oppure una volta selezionato tutto il log basta premere contemporaneamente i tast CTRL + V (Control + V : il segno + non và digitato è solo un simbolo per indicare una concatenazione)

Add Checked to ignore list :questo tasto serve per ignorare degli items dalla scansione, basta selezionare (la 1° volta) delle voci che vengono escluse nelle prossime scansioni un esempio lo potete vedere nella figura 9 sotto riportata

Fig. 9

Basta cliccare sul tasto SI e la voce selezionata verrà esclusa
Per poter vedere le voci che abbiamo deciso di escludere basta cliccare sul pulsante Config e nella schermata che ci appare ci troveremo già nella sezione delle voci escluse e vedremmo le voci che abbiamo deciso di escludere dalle future scansioni.
La schermata delle voci escluse è come quella rappresentata nella figura 10 sotto riportata

Fig. 10

In ogni caso possiamo togliere le voci che abbiamo inserito in quelle da ignorare tramite i pulsanti sul lato destro della finestra Delete che cancella una singola voce e Delete all che cancella tutte le voci presenti nell’elenco (consigliato)
È sempre meglio vedere un log completo di tutte le sue voci, un worm o un virus potrebbero modificare o manomettere anche i file dei software di difesa e con un log completo saremmo in grado di riconoscerli

Rimanendo sempre sulla figura 10 potete vedere ci sono altri tasti, vediamo il loro compito

Backup :Ogni item fixato viene salvato e tramite questa opzione in caso di errore nel fix è possibile ripristinare le voci cancellate

Misc Tools :riporta un insieme di tools presenti in Hijackthis

Vediamo ora la sezione Misc Tools che reputo molto interessante in quanto direttamente da Hijakthis possiamo compiere numerose operazioni senza ricorrere a software esterni o operazioni manuali. Premiamo allora il tasto Misc Tools di Fig. 10 e ci comparirà una finestra come quella sotto riportata.

Fig. 11

Vediamo ora di illustrare i vari pulsanti come possono esserci utili e cosa rappresentano.

Generate StartupList log : cliccando su questo pulsante viene generata una lista di programmi o prcessi che vengono avviati all’avvio del sistema, questa lista ci viene riportata in una finestra come quella sotto riportata.

Fig. 12

A fianco del pulsante Generate StartupList log sono presenti 2 caselline di opzione, se mettiamo la spunta alla voce “List also minor section(full)” otterremo una scansione completa di tutte le chiavi di registro, mentre spuntando la voce “List empty sections (complete) otterremo un log delle varie chiavi di avvio che compaiono vuote.
Questa funzione può essere utile per cotrollare quali processi compaiono nelle chiavi di avvio senza dover aprire il regedit con i comandi manuali

Open Host file manager : Altra interessante funzione, ci apre il nostro file host, molti worm o malware modificano il contenuto di questo prezioso file, per ora non fornirò una spiegazione tecnica del file host di cosa fa e a cosa serve, ma nel proseguo in questa sezione ne troverete un’ampia spiegazione con questa funzione ci apparirà una finestra come quella sotto riportata

Fig.13

Come potete vedere basta cliccarci sopra ed evidenziamo la riga interessata, a questo punto è possibile cancellarla tramite il pulsante Delete line oppure possiamo aprire tutto in file Host in notepad sotto forma di file .*Txt.
Per ritornare alla maschera precedente basta premere sul tasto Back

Delete an NT service :Viene utilizzata per disabilitare e cancellare servizi inutili o servizi che vengono generati da applicazioni nocive, premendo su questo tasto ci apparirà una finestra come la seguente

Fig.14

Basta solo scrivere il nome del servizio da cancellare e premere su Ok, è la stessa operazione che possiamo ottenere da Start > Esegui e nel box che appare digitare sc delete nome_del_servizio, usandola da Hijackthis è molto più veloce e pratica

Open ADS spy:cliccando sul pulsante ci appare una finestra come la seguente

Fig.15

Cliccando su Scan viene eseguita una scansione per verificare la presenza di ADS (Alternate Data Stream) nel nostro pc. Gli ADS sono i file nascosti, fate attenzione a questa procedura, non sempre un ADS rappresenta una minaccia, anche gli Antivirus usano ADS, in ogni caso se notate di avere degli ADS postateli nel forum per un’analisi più approffondita.

Delete a file on reebot :Molto utile anche questa funzione, se abbiamo individuato tramite la scansione e fixato la chiave di registro, possiamo con questa utility cancellare anche il file ad essa associato, basta solo selezionarlo e riavviare il sistema. Questa funzione ci mostra la classica finestra di windows per aprire i file

< Fig.16

cerchiamo il file che ci interessa nelle varie cartelle e cliccandoci sopra verrà selezionato, quindi premiamo sul pulsante Apri e ci apparirà una finestra come la seguente

Fig.17

Ora possiamo decidere se riavviare subito il computer o finire altre operazioni di pulizia, al riavvio del Pc il file selezionato verrà cancellato

Open unistall Manager :Mostra l’elenco delle applicazioni installate, possiamo disintallarle o modificarne la linea di comando per lanciare l’applicazione stessa la finestra che ci appare è la seguente

Fig.18

Basta solo selezionare la riga del programma che vogliamo rimuovere e toglieremo la voce dal menu di disinstallazione.
Attenzione che non rimuove il software completo, per questa operazione dovete procedere dal menu di Installazione applicazioni, questa funzionalità toglie le voci di software già rimossi ma che compaiono nella lista di installazione applicazioni.

Open process Manager :è come il Task Manager di window. Viene presentato come da questa figura

Fig.19

Ci vengono riportati tutti i processi che sono avviati nel nostro conputer, inoltre se selezioniamo un processo e mettiamo la spunta alla voce “Show DLLs” la finestra si divide in 2 e per ogni processo possiamo vedere le dll che vengono depositate e usate.
Premendo il tasto Kill il processo selezionato verrà terminato e con il tasto Refresh aggiornata la lista. Una funzione moto utile per gli “appassionati” della materia, se individuiamo un processo di un’applicazione nociva possiamo vedere anche quali dll usa e una volta killato il processo eliminare le dll ad esso associato.
Fate attenzione a questa operazione perché molte possono essere condivise da altri programmi, la loro eliminazione compromette la funzionalità degli stessi.

Spero con questa guida di avervi illustrato al meglio le potenzialità e funzionalità di Hijackthis, in ogni caso usatelo con cura, togliere una voce legittima comporta il mancato funzionamento di programmi installati e/o del sistema stesso