Controlla le impostazioni modificate dai malware con HiJackthis

Come usare HijackThis, il miglior programma per fare la scansione dei software caricati all'accensione del computer e individuare malware

Hiackthis è stato per molti anni uno dei programmi più importanti e più noti per PC Windows, di cui avevo già parlato diversi anni fa, ancora oggi utilizzato per liberare manualmente il computer da software dannoso come i rootkit ed altre minacce nascoste.
Non essendo un programma che fa le cose in modo automatico, rimane consigliato per chi è più esperto e conosce da quali componenti è formato Windows ossia processi, servizi, programmi, driver, chiavi di registro ecc.
Vale la pena, ancora oggi, parlare di HijackThis con una guida all'uso perchè è un peccato rinunciare ad uno strumento così preciso e tutto sommato semplice che ci aiuta a sapere tutto, ma proprio tutto, sui software che sono caricati dal computer dal momento in cui viene acceso.
Grazie a questo programma è possibile individuare e verificare le impostazioni e opzioni interne del sistema che sono state modificate da virus e malware, compresi i rootkit, ossia i componenti che vengono caricati all'avvio e che poi spariscono dalla memoria (per esempio i driver sono rootkit).

HiJackThis Fork, progetto open source derivato dal vecchio progetto HijackThis, si può scaricare gratis nella sua ultima versione (2022) dal sito Github.
HiJackThis Fork è un'utilità gratuita per Windows che esegue la scansione del computer alla ricerca di impostazioni modificate da adware, spyware, malware e altri programmi indesiderati.
Senza bisogno di installazione, si deve però eseguire il file scaricato come amministratore.
Per farlo, cliccare sul file HijackThis.exe con il tasto destro del mouse e poi scegliere di eseguirlo come amministratore.
Una volta aperta la prima schermata, si può premere il tasto per fare System Scan, con o senza file di log (il file dove viene registrato il report della scansione).
La scansione mostrerà un gran numero di elementi in un ordine che sembra casuale ed in un'interfaccia sicuramente non molto amichevole.
Anche senza essere esperti, l'importante è sapere che quello che si sta vedendo con Hijackthis è praticamente ogni riferimento di Windows ai software eseguiti dal computer dopo l'avvio.
Partendo dall'alto troviamo elencati:
- HKCU e HKLM, che sono chiavi di registro
- BHO, estensioni aggiunte al browser di Windows (Internet Explorer)
- Toolbar
- Extra Context menu e Extra Button sono le opzioni aggiunte da alcuini programmi esterni al menu contestuale che appare premendo il tasto destro del mouse su un file.
- Protocol
- Service, ossia i servizi avviati.

Queste voci sono precedute da una lettera che può essere R, F, N, O e significano:
R - Componenti e impostazioni di Internet Explorer
F - Programmi che si caricano da soli
N - Mozilla Firefox ricerca e pagine iniziali
O - Componenti del sistema operativo Windows.

Per capire questa lista e saperla usare in modo produttivo, si può pensare ad ogni elemento come il riferimento ad un programma esterno.
Siccome la maggior parte dei malware apporta modifiche al sistema operativo, modificando il registro, installando software aggiuntivo o modificando le impostazioni nel browser, da questa schermata di Hijackthis è possibile individuare queste modifiche, se si trovano nomi strani, sconosciuti o elementi anomali.
HijackThis non giudica ciò che trova ed a differenza di altri software antivirus tradizionali non è in grado di dirci se c'è software dannoso oppure no.
Molti degli elementi trovati dalla scansione di HJT sono fondamentali per il corretto funzionamento del PC quindi rimuoverle potrebbe compromettere il funzionamento del computer.
Se quindi non si sa cosa significhi quello che si legge in HiJackthis, meglio chiudere il programma e lasciarlo stare.

Se invece siamo consapevoli di quello che vediamo, possiamo leggere le varie righe per individuare elementi dannosi ed anche mancanti (File Missing) che probabilmente andrebbero corretti.

Per correggere i riferimenti sbagliati, mancanti o relativi a malware bisogna selezionarli col quadratino alla sinistra e poi premere il tasto Fix Checked.
Ancora una volta bisogna ribadire di fare attenzione a quello che si seleziona, perchè il fix è di fatto una rimozione quindi se si fa un errore potrebbero esserci problemi.
Per fortuna, ogni Fix fatto viene registrato nella scheda che compare premendo il tasto dei backup nel menù principale.
Nella lista delle modifiche fatte, è possibile ripristinare quello che è stato rimosso.

Visto che l'analisi può essere difficile da fare, ci vengono in aiuto alcuni forum dove è possibile incollare il contenuto intero del file di log generato dalla scansione di Hijackthis per avere un parere automatico su quanto trovato.
Si potranno quindi esaminare gli elementi a rischio e quelli sconosciuti, escludendo invece quelli che sicuramente vanno bene.

L'ultima versione di HijackThis ha, nel menù principale, anche una sezione di Misc Tools, ossia di strumenti aggiuntivi.
Si possono quindi trovare un gestore di processi, l'analisi dell'avvio automatico, l'apertura del file Hosts ed altri tools utili.

Nel caso in cui si cercasse un programma simile, ma più semplice da usare, dovremmo guardare a una combinazione: dal lato sicurezza ai tool per eliminare virus Rootkit nascosti dal PC, che sono automatici, dall'altro lato, per un'analisi dei software caricati dal computer, ai programmi per gestire l'avvio automatico di Windows.