Rank: AiutAmico
Iscritto dal : 4/5/2005
Posts: 22,971
|
Non conoscevo, all'inizio HijackThis (le mie prime esperienze circa il combatter le infezioni si sono svolte sotto l'egida di Symantec [all'epoca ero loro cliente e ho avuto modo di impegnarmi in più di una bonifica del mio PC sotto la guida dei loro esperti]). Ho "incontrato" HijackThis proprio su Aiutamici. Mi ha incuriosito subito, sicché mi sono messo a analizzare i LOGs (per conto mio e senza postare, per qualche mese). Dopo di che, confrontavo le mie deduzioni con le risposte che venivan date nel forum (all'epoca, ad esempio, nel forum c'era spesso anche il bravissimo ba_61). Ma, a mano a mano che andavo avanti, un tarlo si faceva avanti nella mia mente: avevo l'impressione che il ricorso "massiccio e aprioristico" ad HijackThis non rispondesse a quelle idee che, riguardo al dare aiuto ad un Utente, avevo elaborato io.
Dopo un periodo di vari mesi in cui non ho potuto venire sul forum (a causa di un contenzioso aperto con Servizio Assistenza italiano di ACER), quando sono tornato mi sono riprovato -come prima- a analizzar dei LOGs (sempre, senza postare le risposte) e confrontarla con chi rispondeva (all'epoca, era molto frequente che rispondesse steven75), anche perché alcuni Utenti avevan scritto dei post chiedendomi di mettermi ad analizzare i LOGs pure io. E proprio in quei mesi, studiando molti LOGs, mi son convinto che non era affatto questa, secondo il modo di veder le cose che m'ero fatto (e ancora possiedo) io, la strada per affrontare il problema. Sicché, dopk aver scritto chiaro e tondo che non ritenevo di poter essere utile agli Utenti come "decifratore di LOGs" (dato che proprio NON credevo all'utilità reale di un tale tipo di intervento), mi sono -da quel momento- quasi completamente disinteressato all'analisi dei LOGs.
Sia chiaro: io considero HijackThis un valido strumento di indagine (e, in seconda battuta, anche di intervento sul Registro di Sistema). Ma a lasciarmi perplesso eran due cose: la prima, di natura essenzialmente pratica, meno importante; la seconda, di natura "filosofica", invece, assolutamente decisiva. La prima era costituita dal fatto che HijackThis, pur avendo indubbi meriti in differenti casi e situazioni, NON serve a gran che laddove l'infezione ci sia, sì, ma portata da VIRUS... A cosa serve, mi chiedevo, "sparare" un LOG di HijackThis se PRIMA non si è già escluso che l'infezione eventuale possa dipendere da un virus?... Meglio cercar di capire, prima, se l'infezione è di tipo virale e, soltanto qualora NON lo sia, tirare in ballo HijackThis! (pressoché inutile in casi di attacco virale)
Ma la ragione più importante (e che -per me- fu e resta ancora, anche da sola, decisiva) è che l'aiuto che vien dato ad un Utente dovrebbe esser dato in modo tale che quell'Utente possa capire facilmente quel che è successo (e l'ha condotto ad infettarsi), quel che sta esattamente facendo adesso (ossia, aver ben chiaro quali strategie e quali azioni sta compiendo per liberarsi dell'infezione) e quel che dovrà fare in avvenire per evitar di ritrovarsi nella medesima situazione...
Ora, a me è sempre parso chiaro che per riuscire ad ottenere un risultato del genere NON serve proprio a niente dire: "fixa questa e quella riga, poi elimina quel file e dai una bella ripulita"... Son istruzioni un poco "tecniche" che non esplican molto (non spiegano perché l'Utente debba fare quel che gli si chiede, né gli fanno capire esattamente in che consista, a cosa punti, come davvero agisca). Si tratta, alla fine dei conti, di una specie di "abracadabra", di "sim-sala-bim" che l'Utente deve semplicemente ripetere "a pappagallo" (pur senza davvero capirlo) al fine di poter raggiungere il risultato agognato di poter ritornare, un domani, ad infettarsi nuovamente nell'identico modo in cui già s'è infettato prima... Anzi, l'idea che passa è che, in fondo, i problemi si posson risolvere "senza bisogno di pensarci tanto sopra" con molta più facilità... semplicemente andando a postar direttamente un LOG sul forum (spesso senza manco specificare niente: né se si ha qualche problema, né dando informazioni sul PC o su quello che ha spinto l'Utente a postare quel LOG [anche perché manco l'Utente, tante volta, sa bene che ragione l'ha spinto a postare il LOG: semplicemente gli par che il PC sia divenuto un po' meno "scattante", per cui posta il suo LOG certo che l'aruspice di turno saprà vedere al volo cosa c'è -ammesso poi che davvero ci sia- che non va, semplicemente leggendo i suoi tarocchi]) nell'idea che "il grande stregone", dopo essersi ingoiato e digerito il LOG, risputerà una qualche formuletta magica che, recitata a pappagallo, un po' come una preghierina in lingua aliena, metterà subito a posto ogni cosa.
Quel che si ottiene, secondo il mio modo di veder le cose, in questa maniera è di mettere in piedi un servizio che tornerà utile, alla fine dei conti, essenzialmente a chi "se la va proprio a cercare", l'infezione (e a ripetizione!), senz'aver voglia alcuna di mettersi ad usare il proprio PC (qualunque cosa poi ci voglia fare) in modo accorto, laddove serve anche prudente e -soprattutto- intelligente.
Sicché, l'impostazione mia è -e questo è un dato di fatto- diametralmente opposta a quella che vien praticata su qualsivoglia sito di "aiuti".
Io penso, difatti, che il promo passo per poter avere aiuto dovrebbe sempre essere di postare nella Sezione "Virus, sicurezza e privacy" indicando le caratteristiche salienti del proprio PC (Processore, RAM, Partizioni) e del proprio SO (Service Packs, browser utilizzato, Firewall e antivirus installati inclusi), descrivere il proprio problema (sia pur sommariamente) dando indicazione di quand'è che è cominciato... e poi aspettar risposta.
Chi si sentirà di rispondere, in base a quel che l'Utente ha postato, potrà stabilire -innanzitutto- se il problema postato potrebbe avere oppure no una probabile causa di natura hardware. Se sì, indirizzerà l'Utente a fare una verifica al riguardo (niente HijackThis!); se no, deciderà -sempre in base a quel che l'Utente ha all'inizio postato- se è facile che si tratti di un virus o se potrebbe esser, più probabilmente un qualche adware, uno spyware, etc... Nel primo caso (probabile virus), indirizzerà l'Utente verso strategie che mirino ad eradicare il virus (niente HijackThis!)... nel secondo caso, invece, gli chiederà di postare un LOG di HijackThis (a questo punto sì, che la cosa ha il suo senso!)...
Insomma, sparare LOGs a destra e a manca come se fossero fuochi artificiali non solo aiuta poco e niente l'Utente (per chi risponde, è più facile, giacché dal LOG può dedurre molte informazioni senza perder tempo con scambi di post; ma questo è un danno per l'Utente, il quale non ha modo di capire esattamente, in base a quali informazioni lo "stregone" ha stabilito quale fosse il "rito giusto da fare"), ma è anche "distorcente", controproducente -nel lungo periodo,- giacché avalla l'idea generale che esista una sorta di "regno misterico superno" cui chi non è invitato (e debitamente "patentato") non può accedere (e nemmeno sognarsi di capire).
In quanto a me, nel leggere un LOG di HijackThis, considero il fattore "esperienza" quello di gran lunga MENO rilevante. Ma è, comunque, il primo a dover entrare in gioco.
Infatti, è proprio l'esperienza che può indicare che il percorso dato per quel certo file NON è quello "regolare" o che quella determinata voce (che hai già visto in altri 437 casi uguali) indica un'infezione in corso. L'esperienza agisce, dunque, per prima. E, dopo qussta prima fase, non smette d'agire, giacché è un parametro che accompagna comunque l'analisi tutta: dal principio alla fine. Io, dopo aver postato il LOG per la "scansione automatica" in Rete (indispensabile, perché, nel risultato che esce dalla scansione automatica, le varie righe del LOG risultan spesso meglio leggibili per l'occhio), cerco di identificare, dunque, innanzitutto, le voci che conosco e so esser "sicure" e le depenno. Dopo di che, cerco di concentrarmi su quelle che pure conosco e mi par sian meno "sicure" (o anche sicuramente "da fixare") delle precedenti. Per ciascuna di esse faccio una qualche ricerca su Internet (perché le conoscenze cambiano, e capita sovente di non essere aggiornati [è proprio questo il limite intrinseco dell'esperienza personale accumulata che, da sola, non garantisce sempre d'essere anche "aggiornata alle ultime nuove"]) e poi mi annoto quel che c'è da "fixare" e perché. Infine, passo ad analizzare (facendo ricerche -se necessario, anche approfondite- in Internet), tutte le voci di cui mi sembra di aver poca o nessuna esperienza: per ciascuna di esse scegliendo se "depennarla" oppure se inserirla nell'elenco di cose da "fixare" (e, in questo caso, appuntandomi anche la ragione di tale scelta).
Fatto tutto ciò, procedo a scrivere il mio post di risposta. Naturalmente mi avvalgo (per le ricerche) anche di un piccolo trucchetto: un'estensione di Firefox che serve proprio ad agevolare un pochettino le ricerche collegate ai LOGs di HijackThis. Ma, in sostanza, la maggior parte del "lavoro di ricerca" è di tipo manuale e prescinde alquanto dal grado d'esperienza accumulata nel corso degli anni dal "cercante".
In quanto a ComboFix (e similari), vale il ragionamento già da me postato sopra parlando di HijackThis: son validi programmi, ma vanno utilizzati solamente quando risultan per davvero INDISPENSABILI (ovvero, solo se tutte le altre vie d'attacco al problema hanno fallito) e certamente non prima. Sbagliato, secondo il mio modo di vedere, farci ricorso come prima cosa, senza neppure che l'Utente abbia spiegato (e con parole proprie) qual'è la sua situazione (hardware e software, sia pur sinteticamente), che problema esattamente riscontra e quand'è che ha, per la prima volta, notato quel problema... Perché sparare sin da subito delle "formulette magiche" non può permettere di capire poi gran che, di quel che gli è accaduto e gli sta capitando, ad un normale Utente (o, peggio ancora, a un principiante)...
|