Gruppo R0, R1, R2, R3. Si tratta di aree del sistema spesso prese di mira dagli hijackers che spesso sostituiscono indirizzi Internet di siti web a carattere pornografico, pubblicitario, illegale, osceno alla home page ed ai motori di ricerca impostati sul sistema.

Esempi di valori validi sono i seguenti:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/

Queste due voci compaiono, per esempio, qualora si sia deciso di impostare il motore di ricerca Google come pagina iniziale di Internet Explorer. Quello che segue è invece un esempio di un comune hijacker (un malware che modifica la pagina iniziale di Internet Explorer):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\jheckb.dll/sp.html (obfuscated)

In questi casi è bene prendere nota del nome del file indicato, riavviare il sistema in modalità provvisoria, eliminare manualmente il file quindi selezionare la casella corrispondente in HijackThis e premere il pulsante Fix.

Per quanto riguarda gli elementi indicati come R3, è necessario verificare se sono riferibili a programmi che si sono installati (es.: Copernic) per nostra volontà, sul sistema. In caso contrario, è necessario eliminare le voci sospette usando il pulsante Fix.


Gruppo F0, F1, F2, F3. Si tratta di programma che vengono avviati automaticamente da system.ini o win.ini, file di inizializzazione del sistema utilizzati ampiamente nelle versioni più vecchie di Windows (i.e. Windows 3.1x e Windows 9x). Come suggerito anche dagli sviluppatori, gli elementi in F0 sono generalmente nocivi e devono essere neutralizzati con il pulsante Fix. Tutte le voci qui visualizzate (eccetto explorer.exe) sono da ritenersi altamente sospette). Se comunque, dopo la voce explorer.exe si trova il riferimento ad un altro file eseguibile, si tratta quasi certamente di un malware da eliminare.

Gli oggetti del gruppo F1 si riferiscono a programmi molto vecchi (stringhe Load= e Run= del file win.ini): è bene ricercare in Rete informazioni su di essi prima di provvedere ad un'eventuale eliminazione (pulsante Fix di HijackThis).

Suggeriamo, a tal proposito di fare riferimento alla pagina a questa pagina ed a questo indirizzo per scoprire se trattasi di malware o meno. Qualora non si dovessero reperire informazioni in questo sito web, è caldamente consigliato effettuare una ricerca con Google basata sul nome del file eseguibile indicato in F1.

Le voci contenute nei gruppi indicati con F2 e F3 vengono anch'esse caricate all'avvo di Windows, ma non si poggiano sulle vetuste fondamenta delle precedenti versioni del sistema operativo (win.ini / system.ini). Piuttosto, in questo, caso vengono utilizzate le seguenti chiavi del registro di Windows NT/2000/XP:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\IniFileMapping
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

La prima chiave del registro è mantenuta in Windows NT/2000/XP per questioni di compatibilità con Windows 9x mentre la seconda contiene informazioni su eventuali applicazioni da eseguire dopo il login dell'utente. USERINIT.EXE è un file di sistema memorizzato nella cartella di sistema di Windows (generalmente \WINDOWS\SYSTEM32 o \WINNT\SYSTEM32). Se, dopo il riferimento a userinit.exe, si trova un file eseguibile sconosciuto, potrebbe trattarsi con buona probabilità di un trojan o comunque di un malware. Un esempio:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit =[**]\system32\userinit.exe,[**]\nomedelmalware.exe


Gruppo N1, N2, N3, N4. Questi elementi fanno riferimento alla pagina iniziale di Netscape 4, 6, 7 e Mozilla. Tali dati sono memorizzati di solito nel file prefs.js, contenuto nella cartella del browser. Anche in questo caso, qualora si identificassero elementi sospetti è necessario servirsi del pulsante Fix di HijackThis.

Gruppo O1. Molti hijackers/malware modificano il file HOSTS di Windows con lo scopo di reindirizzarvi, durante la navigazione, su siti web specifici. Per esempio, potrebbe capitare, digitando l'URL del motore di ricerca preferito, di un famoso portale e così via, di essere stranamente "proiettati" verso siti web che non avete assolutamente richiesto. Il file HOSTS può essere memorizzato in locazioni differenti a seconda della specifica versione di Windows che state utilizzando. In Windows NT/2000/XP/2003 è in genere salvato nella cartella \SYSTEM32\DRIVERS\ETC.
Il file HOSTS permette di associare un particolare URL mnemonico (es. www.google.it) ad uno specifico indirizzo IP: un pò quello che fa il server DNS del provider Internet.
Se l'associazione IP - indirizzo web mnemonico visualizzata in O1 non è corretta, è possibile che ciò sia dovuto all'attività di un malware: usare il pulsante Fix per risolvere il problema.

Gruppo O2. Gli elementi di questo gruppo fanno riferimento ad oggetti BHO (Browser Helper Objects): le applicazioni che ne fanno uso possono interfacciarsi con Internet Explorer controllandone il comportamento ed aggiungendo nuove funzionalità. Tali oggetti (poiché non richiedono alcuna autorizzazione per essere installati) sono spesso impiegati da applicazioni maligne per raccogliere informazioni sulle vostre abitudini e per rubare dati che vi riguardano.

In questo caso è di solito abbastanza agevole riconoscere subito i componenti benigni: oltre ad un lungo identificativo alfanumerico (CLSID) racchiuso tra parentesi graffe, è solitamente indicato il percorso del file (in genere una libreria DLL) usata dal BHO. Per esempio, se si vede c:\Acrobat 5.0\Reader\... è ovvio che, con buona probabilità, trattasi di un componente benigno.

Quelli che seguono sono alcuni esempi di BHO assolutamenti benigni (il primo fa riferimento ad Acrobat Reader 5.0, il secondo a SpyBot S&D, il terzo al software di desktop searching di Google, il quarto alla toolbar di Google):

O2 - BHO: (not name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Desktop Search Capture - {7c1ce531-09e9-4fc5-9803-1c2956615786} - C:\Programmi\Google\Google Desktop Search\GoogleDesktopIE.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll

Se si hanno dubbi sull'identità di un BHO, suggeriamo di far riferimento alle pagine seguenti (il primo database è in genere più aggiornato del secondo):

- ComputerCops CLSID
- Sysinfo.org BHO List

Qui, indicando l'indentificativo alfanumerico (CLSID), è possibile ottenere tutte le informazioni del caso. Ad esempio, digitando 06849E9F-C8D7-4D59-B87D-784B7D6BE0B3 e premendo il pulsante Search si avrà un'ulteriore conferma che il BHO è riferibile a Adobe Acrobat Reader 5.

In entrambi i casi, gli oggetti BHO indicati con una "X" sono da eliminare immediatamente perché parte di malware o comunque di componenti pericolosi.


Gruppo O3. Contiene riferimenti a barre degli strumenti aggiuntive per Internet Explorer. Molti programmi "benigni" ne fanno uso. Per esempio, Google permette di installare una propria toolbar per Internet Explorer, Adobe Acrobat inserisce un pulsante per la generazione e gestione di file PDF e così via...
Altre volte, invece, la presenza di barre degli strumenti indesiderate è dovuta ad oggetti BHO maligni (rif. gruppo "O2").
Anche in questo caso è bene verificare agli URL indicati al gruppo "O2", se trattasi di componenti benigni o meno (in tal caso è necessario far uso del pulsante Fix).