Rootkit
La piaga del nuovo millennio.
Come riconoscerli e come eliminarli
Il rootkit piu insidioso dell'anno 2006. Come riconoscerlo e come rimuoverlo
Analisi e rimozione

Interpretazione del log hijackthis

Questa pagina ha come scopo quello di aiutarvi a fare un analisi sul risultato dello scan di Hijackthis.
Cominciamo nell'ordine ;

Intestazione

Logfile of HijackThis v1.99.1 > Versione del programma
Scan saved at 20.06.16, on 02/01/2007 > Ora e data della scansione
Platform: Windows XP SP2 (WinNT 5.01.2600) > Nome e versione Sistema
MSIE: Internet Explorer v7.00 (7.00.6000.16441) > Versione del browser

Processi in esecuzione

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\windows\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\windows\system32\ctfmon.exe
C:\Program Files\Opera\Opera.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\Documents and Settings\steve\Bureau\HiJackThis_v2\HiJackThis_v2.exe
Voci R0,R1,R2,R3

Queste voci riguardano le pagine di avvio e ricerca di Internet Explorer e di UrlSearchHooks
R0 riguarda pagina di avvio e assistente di ricerca sempre di IE.
R1 riguarda le funzioni di ricerca di IE.
R2 Non presente.
R3 riguarda 'UrlSearchHook'.

Un 'UrlSearchHook' viene utilizzato solo quando digitate un URL senza indicare il protocollo dell'indirizzo (http:// ou ftp:// ) In questo caso il browser cercherà da solo di scoprire in automatico il protocollo richiesto,e in caso di errore andrà ad utilizzare 'UrlSearchHook' presente nella voce R3 per ritrovare il sito ricercato.

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.esempio.com

Voci F0, F1, F2, F3

Queste voci corrispondono alle applicazioni che sono lanciate dai file con estensione .INI come, System.ini e Win.ini o da locazioni equivalenti del registro.

F0 corrisponde all'istruzione Shell in System.ini.Quest'istruzione è utilizzata da Windows 95/98/Me.
La Shell è il programma che si occupa di caricare il desktop, gestire le pagine, e permettere all'utente di interagire con il sistema. Tutti i programmi listati dopo l'istruzione Shell saranno avviati insieme al sistema

F1 corrisponde agli elementi RUN o LOAD in Win.ini.Anche tutti i programmi listati dietro ai due elementi saranno caricati all'avvio del sistema.
Quest'istruzione era principalmente utilizzata da Windows 95/98 ed é stata integrata poi dopo solo per la compatibiltà dei vecchi programmi, infatti i nuovi programmi non utilizzano piu il parametro ini.

F2 e F3 corrispondono alle due voci viste sopra (FO / F1) ma sono collocate nel registro e sono utilizzate da XP/2000/NT le quali non utilizzano i file .INI.
Quindi per conservare la compatibilità con i vecchi programmi utilizzano la funzione IniFileMapping la quale si occupa di piazzare nel registro tutto il contenuto dei file INI (IniFileMapping).

Chiave di registro corrispondente:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping

Un'altro elemento che ritroverete spesso nella voce F2 é l'elemento Userinit

Chiave di registro corrispondente:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
(Integrata in Windows NT, 2000, XP e 2003).

Di defaut questa chiave (C:\windows\system32\userinit.exe) si occupa di ristabilire profilo, colori,polices etc... ma si occupa anche di precisare quale programma deve essere lanciato subito dopo l'apertura di sessione da parte di un utente.

***NOTA*** é possibile aggiungere dei programmi supplementari a questa chiave separandoli con una virgola. Per esempio
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit =C:\windows\system32\userinit.exe,c:\windows\malware.exe
Cosi facendo i due programmi si lanceranno insieme quando aprirete una sessione.... Ci sono molti malware che fanno questa modifica per assicurarsi l'avvio ad ogni apertura di sessione,quindi attenzione

Voci 01

Queste voci corrispondono ad una modifica effettuata al file hosts. Il file HOSTS contiene la mappatura e gli indirizzi IP. Per esempio se aggiungete nel file HOSTS :
127.0.0.1 www.miosito.com
e poi cercate di andare sul sito in questione,il browser farà un controllo nel file HOSTS e quando leggerà la riga contenente quel sito il nome di dominio sarà trasformato in indirizzo IP 127.0.0.1.
Molti pirati fanno un sabotaggio di questo file per reindirizzarvi su siti web infetti.

Il file HOSTS é un file di testo posizionato di defaut a seconda del sistema utilizzato e puo essere modificato con qualunque editore di testo.

Sistema Operativo   Posizione
Windows 95 C:\WINDOWS\HOSTS
Windows 98 C:\WINDOWS\HOSTS
Windows ME C:\WINDOWS\HOSTS
Windows 2000 C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS
Windows XP C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
Windows 2003 C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
Windows NT C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS

Se il file HOSTS è collocato da un'altra parte , quasi sicuramente siete vittima di un infezione....In questo caso scaricate HostsXpert il quale vi permetterà di ripristinare il file HOSTS come di defaut.

Voce 02

Le voci presenti in questa sezione corrispondo ai Browser Helper Objects (BHO)
I BHO sono delle estensioni che servono per aiutare il browser nella visualizzazione di certi formati di file che altrimenti non potrebbero interpretare.

Chiave di registro corrispondente:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Voce 03

Queste voci corrispondono alle barre degli strumenti di Internet Explorer .

Chiave di registro corrispondente:

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar

Voci 04

Le voci 04 corrispondono alle applicazioni che vengono caricate automaticamente all'avvio del sistema.

Chiavi di registro corrispondenti:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

Cartelle corrispondenti:
C:\documents and settings\[nome utente]\Menu Start\Programmi\Avvio
C:\documents and settings\All Users\Menu Start\Programmi\Avvio

Voci 05

Queste voci segnano l'accesso al pannello di controllo di IE
Aggiungendo una voce al file control.ini situato in C:\Windows è possibile nascondere un icona del pannello di controllo

Voce 06

Questa sezione corrisponde a una restrizione della pagina di avvio di IE attuata tramite alcuni parametri del registro.
Chiave diregistro corrispondente:

HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions

Voce 07

Questa voce se presente stà ad indicare il blocco del registro di sistema attuato mediante la modifica di una chiave del registro stesso.
Chiave di registro corrispondente:

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System

Se non siete gli autori della modifica,molto probabilmente essa è dovuta alla presenza di malware nel sistema.

Voce 08

Questa voce corrisponde alle voci supplementari trovate nel menu contestuale (Tx destro nella pagina) di InternetExplorer
Chiave di registro corrispondente;

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt

***NOTA:Se appariranno delle voci infette in questa posizione, dopo aver fixato la voce con HJT, andate ad eliminare manualmente il file da essa richiamato


Voce 09

Questa voce corrisponde ai tasti situati nella toolbar principale di IE, o alle opzioni del menu strumenti dello stesso IE.
Chiave di registro orrispondente;

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ExtensionsExemple

Se non avete bisogno di questi bottoni potete tranquillamente fixare le voci ed eliminare manulamente i file da esse richiamati (cosa che HJT non fà)

Voce 010

Questa sezione corrisponde al dirottamento del Winsock, chiamato anche LSP (Layered Service Provider) Le LSP servono ad incatenare frammenti di programmi all'applicazione Winsock2 sul vostro sistema, e quindi i dati vengono trasportati attraverso ogni LSP della catena, Quindi i malware possono utilizzare gli LSP per leggere tutto il traffico della vostra connessione.

***Se eliminate una di queste voci,fate attenzione perchè saranno eliminate senza ristabilire correttamente la catena di valori, e quindi potreste ritrovarvi con problemi di accesso alla rete.
Per eliminare le voci presenti in questa posizione, è consigliato l'uso del tool LSPfix


Voce 011

Questa sezione corrisponde alle opzioni supplementari che sono state aggiunte nel tab "Avanzate" negli strumenti di IE. (IE / Strumenti / Opzioni Internet / Avanzate)

Chiave di registro corrispondente:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions

Modificando suddetta chiave si possono aggiungere/eliminare gruppi di opzioni supplementari

Una delle uniche infezioni che utilizza questa voce é CommonName ,quindi se apparirà una voce come quella in esempio, eliminatela senza scrupoli.

O11 - Options group: [CommonName] CommonName

Voce 012

Questa voce corrisponde alle estensioni (Plugins) d''InternetExplorer Le estensioni di Internet Explorer sono dei piccoli programmi che vengono caricati all'avvio del browser e che aggiungono delle funzioni a quest'ultimo.

Chiave di registro corrispondente:

HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins

***NOTA***Spesso dei malware aggiungono delle entrate in queste locazioni, quindi fixatele e assicuratevi che il file venga eliminato, anche perchè a volte HJT non riesce ad eliminarlo in quanto quest'ultimo è in esecuzione. (Anche con IE chiuso)


Voce 013

Questa voce corrisponde al DefautPrefix (Prefisso di defaut) di IE
IL DefuatPrefix non è altro che un parametro del sistema che indica al browser come gestire gli URL senza digitare per l'appunto il prefisso http://, ftp://,
Windows di defaut metterà il prefisso http:// all'inizio dell'URL, ma é possibile modificare questa regola andando ad agire in una chiave del registro. Questa modifica viene usata anche nocivamente dal famoso dirottatore di browser CoolWebSearch , il quale andrà a modificare il prefisso dell'URL in modo da reindirizzarvi su un sito infetto. Ad esempio se digitate www.google.it, il malware vi reindirizzerà verso http://ehttp.cc/?www.google.it, che non è altro che un sito infetto.

Chiave di registro corrispondente:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix

Per ripulire il sistema da questo tipo di infezioni, potete affidarvi all'ottimo tool CWShredder

Voce 014

Questa voce corrisponde alla modifica dell'opzione "Ristabilire i parametri Web di Defaut" Questi valori sono scritti in un file di Windows (c:\windows\inf\iereset.inf) e sono letti da IE che lo utilizza per ripristinare i valori di defaut .
Se un piarata và a modificare le informazioni scritte nel file, ogni volta che andrete a ristabilire questi parametri, sarete automaticamente reinfettati, in quanto le informazioni contenute nel file iereset.inf sono inesatte, ma il browser non è in alcun caso capace di rendersene conto.

Voce 015

Questa voce corrisponde ai siti o agli indirizzi IP aggiunti nella "Zona attendibile" di IE.

I siti che andrete ad aggiungere nella zona attendibile, hanno l'autorizzazione di eseguire script o altro a vostra insaputa, quindi potete immaginare che questa zona è molto ambita dai siti infetti propio per la libertà di azione che gli viene concessa,allora attenzione alle voci che appariranno in queste voci senza il vostro consenso.

Chiavi di registro corrispondenti:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges

Internet Explorer in base agli URL digitati, utilizza diversi Dominii, Ranges, o chiavi .
Per esempio se l'URL contiene un nome di dominio il browser farà una ricerca nelle sottochiavi "Domains" ,se invece contiene un indirizzo IP la ricerca sarà fatta nelle sottochiavi "Ranges" e via discorrendo ...

Inoltre quando vi connetterete ad un sito, IE autorizzerà quest'ultimo in base alla zona di appartenenza.
Esistono 5 zone tutte associate a dei numeri di identificazione:

Zone Mappature
My Computer    0
Intranet    1
Trusted    2
Internet    3
Restricted    4

Queste zone sono direttamente collegate con i protocolli che andrete ad utilizzare per connettervi ad un sito (HTTP - FTP etc..)

Di defaut le mappature dei protocolli sono;

Protocolli Mappature
HTTP    3
FTP    3
HTTPS    3
@IVT    1
SHELL    0


Quindi se andrete a connetervi ad un sito FTP per esempio, esso farà parte di defaut della Zona Internet, in quanto la zona di defaut per per l'FTP é 3, il quale corrisponde alla zona Internet.

Fin qui sembra tutto in regola, ma il problema si presenta quando un malware và a modificare il tipo di zona di defauts per un protocollo. In quel caso se il malware ha cambiato il tipo di zona di defaut del protocollo FTP a 2 per esempio, tutti i siti ci quali andrete a connettervi utilizzando il prefisso FTP, sarà considerato come appartenente ai siti attendibili.

Chaivi di registro corrispondenti;

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults

Una voce come da esempio;

O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone

stà a significare che i paramentri di defauts sono stati modificati, quindi corregete la voce via HJT.

Voce 016

Questa voce corrisponde ai controlli Activex installati in "Downloaded Program Files" I controlli activex sono dei piccoli programmi che vengono scaricati da un sito web e vengono stoccati sul vostro computer per l'appunto in C:\Downloaded Program Files e collocati anche nel registro tramite la CLSID

I controlli Activex piu usati nell'ambito sicurezza, sono quelli degli scan online, ma ne esistono anche molti maligni, quindi attenzione a queste voci e se non riconoscete il sito richiamato, fixate la voce senza scrupoli.

***NOTA***Per impedire l'installazione della maggior parte dei controlli Activex maligni, potete affidarvi al programma SpywareBlaster


Voce 017

Questa voce corrisponde al dirottamento di un dominio.
Quando andate su un sito come per esempio www.steven.altervista.org, invece di utilizzare un indirizzo IP il vostro sistema utilizzerà un server DNS (Domaine Name System) per trasformare il nome del sito in indirizzo IP.
Il dirottamento di questo dominio si produce quando un pirata modifica gli indirizzi del server DNS , in modo che puntino tutti verso il sito infetto di loro scelta.
Quindi occhio agli IP presenti in queste voci.

Chiave di registro corrispondente:

HKLM\System\CurrentControlSet1\Services\VxD\MSTCP

Voce 018

Questa voce appartiene ai protocolli aggiuntivi che in alcuni casi vengono sfruttati da Hijackers i quali vanno a cambiare i piloti dei protocolli standard con dei piloti preparati ad hoc in modo da poter controllare le informazioni inviate / ricevute dal computer.

Chiavi di registro corrispondenti;

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter
Le infezioni piu note che svolgono queste modifiche sono;
CoolWebSearch e Lop.com

Voce 019

Questa voce corrisponde al sabotaggio del foglio di stile (CSS) dell'utente (colori,font etc...) e se modificato provoca dei rallentamenti oltre ad una marea di popups.

Chiave di registro corrispondente:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles

HJT puo corregere questo tipo di problemi nel caso vi fosse un sabotaggio di questa voce , ma non riuscirà in alcun caso ad eliminare il file da essa richiamato, quindi dovrete procedere manualmente.

Voce 020

Questa chiave corrisponde ai file che vengono caricati via il valore di registro AppInit_DLLs e via la sottochiave WinlogonNotify
Il valore AppInit_DLLs contiene la lista delle librerie DLL che sono caricate quando viene avviato user32.dll ,quindi qualunque DLL scritta nella chiave AppInit_DLLs sarà anch'essa caricata.
Se si tratta di una DLL infetta sarà quindi molto difficile da eliminare in quanto viene caricata in molteplici processi,alcuni dei quali se fermati portano all'instabilità del sistema.
Il file user32.dll viene utilizzato anche da alcuni processi avviati in automatico ad ogni apertura di sessione da parte del sistema ,cio vuol dire che la DLL sarà caricata prima che l'utente abbia accesso al sistema, permettendo a quest'ultima di nascondersi e di proteggersi da un eventuale eliminazione.

Chiave di registro corrispondente:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

***NOTA*** Se eliminate questa voce via HJT, ricordatevi di andare ad eliminare manualmente il file da essa richiamato,cosa che HJT non farà in alcun caso.


Per quanto riguarda la sottochiave Winlogon Notify di cui parlavamo sopra, c'è da dire che viene spesso presa di mira dai malware , ed in particolar modo dal malware Look2Me, ma quest'ultimo sarà facilmente riconoscibile in quanto HJT visualizzerà tutte le entrate non standard , tra le quali appariranno anche le voci del Look2Me le quali punteranno ad una dll collocata in C:\Windows\System32.

Esempio:

O20 - Winlogon Notify: Extensions - C:\WINDOWS\system32\e204lbho1d3b.dll

Chiave di registro corrispondente:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

Da notare che anche in questo caso, fixando solo la voce con HJT,il file non sarà eliminato , quindi bisognerà farlo manualmente e preferibilmente dalla modalità provvisoria.

L2Mfix,tool consigliato per l'eliminazione del malware Look2Me

Voce 021

Questa sessione corrisponde ai file appartenenti alla chiave di registro ShellServiceObjectDelayLoad. Questa chiave contiene dei valori molto simili alla chiave Run, la sola differenza é che invece di puntare sul file stesso essa punta al valore InProcServer del CLSID, il quale si incarica di leggere le info riguardanti le DLL utilizzate. Anche in questo caso come per la voce 020, i file contenuti in questa chiave saranno caricati duramte il processo di avvio del sistema da Explorer.exe e quindi prima che sia possibile qualunque intervento da parte dell'utente.

Chiave di registro corrispondenete:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad [HKEY_CLASSES_ROOT\CLSID\{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}\InProcServer32]

Ultimamente ha fatto apparizione photoalbunm.zip il malware di MSN (W32/IRCBot-VR), il quale per avviarsi e per rendere difficile la sua eliminazione và a collocarsi proprio in questa chiave

O21 - SSODL: rdihost - {77346362-72F4-48E9-B076-A921E28DC0F2} - rdihost.dll

aggiungendo quindi le seguenti entrate nel registro;

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad rdshost = {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}
HKEY_CLASSES_ROOT\CLSID\{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}\InProcServer32 @= rdshost.dll

Fortunatamente anche in questo caso sarà "facile" riconoscere la voce sopsetta , in quanto HJT andrà a listare per l'appunto solo le voci non standard ,tra le quali appariranno quelle infette.
Anche qui HJT non sarà in alcun caso in grado di eliminare il file richiamto, quindi dopo aver fixato la voce 021 andate manualmente ad eliminare il file in questione.

Voce 022

Questa chiave corrisponde ai file caricati via la chiave di registro SharedTaskScheduler. Visto che anche gli elementi collocati in questa posizione vengono avviati automaticamente con il sistema, la chiave è spesso utilizzata dai malware ed in particolare modo dal malware SmitFraud. La sua presenza la si avverte in quanto esso cerca di farsi passare per un programma di sicurezza visualizzando dei falsi allarmi in modo da indurre l'utente a scaricare dei falsi programmi di sicurezza i quali non faranno altro che scaricare altro malware nel sistema.

Chiave di registro corrispondente:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
SharedTaskScheduler

Se andrete a correggere questo problema con HJT, assicuratevi di eliminare manualmente il file al quale punta la CLSID e la chiave Inprocserver32 dello stesso.

Voce 023

Questa chiave corrisponde ai servizi di 2000/NT/XP/2003.
Ultimamente si vedono sempre piu malware che aggiungono dei servizi per infettare il sistema e assicurarsi di essere avviati all'avvio di Windows. Infatti questi servizi partono all'avvio e sono utilizzati per gestire delle operazioni importanti del Sistema Operativo, dei soft di sicurezza etc..

Quindi se non conscete i servizi listati da HJT,ricercateli su google o chiedete aiuto nel forum per identificarli e se necessario eliminarli.

Chiavi di registro corrispondenti;

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root

Anche in questo caso HJT non sarà in nessun caso capace di eliminare il servizio in questione,ma fortunatamente esistono molti altri metodi per farlo.
Ne elenco qualcuno;

Il piu usato è sicuramente il comando SC di XP, basta digitare il comando
sc delete nomeservizio in start / esegui.

Altrimenti si puo passare per il comando Delete NT service di Hijackthis che ho spiegato nella prima parte della guida.

Volendo potrete servirvi anche dell'ottimo tool PSERV

Voce 024

Questa voce verrà visualizzata solo se state usando la versione Trend Micro di HJT.
Essa corrisponde ai componenti di Windows Active Desktop che non sono altro che dei file integrati direttamente nel vostro Desktop.

Chiave di registro corrispondente;

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components.

Considerazioni finali:

Hijackthis è un tool senza rivali , ma bisogna usarlo con le dovute precauzioni, quindi se non siete estremamente sicuri delle manovre da eseguire, non esitate a chiedere consigli nella sezione nel forum.

Vai su
Welcome:
Mi chiamo Maurizio ed ho 29 anni. Ho fatto questo piccolo e semplice sito per aiutare gli amici e per chiunque ne volesse usufruire . Non sono un professionista , la mia è pura passione , quindi mi scuso in anticipo per gli eventuali piccoli errori,o omissioni presenti nelle guide
Buona navigazione !!!
Guide
Risorse Utili per Hijackthis

  • Merijn.org
  • Castlecops
  • MalwareHelp
  • SpywareInfo


    • Risorse Utili per malware/spyware

  • Wikipedia
  • SicurezzaInformatica
  • Cexx.org
  • TrendLabs
  • Malware Analysis
  • Malware by Kaspersky
  • Malware Removal
  • Malware by Kaspersky
















    •