HijackThis Handleiding

[Morgothzz]

Er wordt al vaker verwezen bij problemen met je windows om HijackThis te gebruiken.

Dit is een verschrikelijk handig programmatje maar je moet wel weten wat de betekenis van het logfile is. Hieronder een kleine uitleg over de betekenis.

Als je het programma gebruikt maak dan vanuit het programma altijd een backup zodat je altijd je handelingen ongedaan kan maken.

 

 

 

HijackThis handleiding

 

R0 - R1 - R2 - R3: Register sectie - Internet explorer start-/zoekpagina's url's.

Hierin staan de Internet Explorer startpagina, de Internet Explorer zoekfuncties en de Url Search Hooks.

 

Code Uitleg

R0 Internet explorer startpagina en zoekpagina

R1 Internet explorer zoek functies en andere karakteristieken

R2 Een nieuw register waarde

R3 R3 is voor URL Search Hook. Dit is hoogstwaarschijnlijk spyware.

 

Hoe ziet dit eruit:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.com/

R1 - HKLM\Software\Microsoft\Internet explorer\Main,Default_Page_URL=http://www.google.com/

R3 - URLSearchHook: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - C:\Program Files\TV Media\TvmBho.dll

 

Als de url op het einde je zoekpagina of je startpagina is, dan is alles in orde. Als dit niet het geval is, dan selecteer je de sleutel en laat je HijackThis deze repareren.

De R3-items kan je best altijd repareren, tenzij het een programma is dat je kan thuisbrengen.

 

URL search Hook wordt gebruikt wanneer je een adres intikt in de adresbalk zonder http:// of ftp://. Wanneer zo'n adres ingegeven wordt gaat de browser zelf het juiste protocol bepalen, en als het hierin faalt gaat het de UrlSearchHooks gebruiken die in de R3 lijst staan om het adres te zoeken dat je ingetikt hebt.

De gebruikte Registersleutel is:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks

De standaard CLSID hier is {CFBFAE00-17A6-11D0-99CB-00C04FD64497}.

 

Wanneer in de log het woord "Obfuscated" verschijnt, betekent dit dat een bepaald iets moeilijk waar te nemen of te begrijpen is. Een methode die spyware en Hijackers gebruiken om hun aanwezigheid kenbaar te maken. Ze verbergen een entry door de waarden te converteren naar een vorm die het gemakkelijk kan begrijpen, maar moeilijk maakt voor mensen om te verwijderen of te herkennen. Een voorbeeld hiervan zijn de hexadecimale registeringangen.

 

HijackThis verwijdert de registersleutels maar het verwijdert niet de bijbehorende bestanden.

 

Gebruikte registersleutels:

HKLM\Software\Microsoft\Internet Explorer\Main: Start Page

HKCU\Software\Microsoft\Internet Explorer\Main: Start Page

HKLM\Software\Microsoft\Internet Explorer\Main: Default_Page_URL

HKCU\Software\Microsoft\Internet Explorer\Main: Default_Page_URL

HKLM\Software\Microsoft\Internet Explorer\Main: Search Page

HKCU\Software\Microsoft\Internet Explorer\Main: Search Page

HKCU\Software\Microsoft\Internet Explorer\SearchURL: (Default)

HKCU\Software\Microsoft\Internet Explorer\Main: Window Title

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: ProxyOverride

HKCU\Software\Microsoft\Internet Connection Wizard: ShellNext

HKCU\Software\Microsoft\Internet Explorer\Main: Search Bar

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks

HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch

HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch

HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant

 

 

F0 - F1: Ini-files - Automatisch geladen programma's.

 

De F0 en de F1 combinaties omvatten de programma's die geladen worden van de ini-bestanden win.ini en system.ini. Voor Windows 2000 en Windows XP zijn dit de F2 en de F3 entries. Deze staan opgeslagen in het register.

 

Code Uitleg

F0 Een veranderde INI-file waarde

F1 Een nieuwe INI-file waarde

F2 Automatisch geladen programma's

F3 Automatisch geladen programma's

 

Hoe ziet dit eruit:

F0 - system.ini: Shell=Explorer.exe Openme.exe

F0 - system.ini: Shell=Explorer.exe C:\WINDOWS\System32\cmd32.exe

F1 - win.ini: run=hpfsched

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe

 

F0 komt overeen met de Shell= verwijzing in het bestand system.ini. De Shell= verwijzing in system.ini wordt door Windows 9.x gebruikt om aan te duiden welk programma moet optreden als de shell voor het besturingssysteem. De Shell is het programma dat oa je desktop laadt, windows beheer afhandelt en zorgt voor de wisselwerking tussen de gebruiker en het systeem.

Elk programma dat achter deze shell verwijzing staat, wordt geladen wanneer windows opstart. Windows 95 en 98 gebruiken Explorer.exe als standaard shell.

De F0-items zijn meestal slecht, en kan je best laten repareren door HijackThis.

F1 komt overeen met de Run= of Load= entry in het bestand win.ini. Alle programma's die volgen na run= of load= zullen geladen worden wanneer Windows opgestart wordt.

De run= verwijzing werd vroeger veel gebruikt, de huidige programma's maken hier geen gebruik meer van. Nu wordt deze nog behouden voor backwards compatibility met oudere programma's. De load= verwijzing werd gebruikt om drivers voor de hardware te laden.

De F1-items moeten afzonderlijk bekeken worden. Het zijn meestal oude en veilige programma's. Zoek wat meer info over de filenaam om te kijken of ze kwaadaardig zijn.

De F2 en de F3 entries komen overeen met de F0 en de F1 entries, maar worden gebruikt in Windows 2000 en Windows XP en staan in het register. Windows 2000 en Windows XP maken gewoonlijk geen gebruik van de bestanden system.ini en win.ini.

Een F2-waarde die je vaak ziet is: F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe

Deze komt overeen met de volgende registersleutel:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit.

Deze sleutel bepaalt welke programma's er opgestart moeten worden wanneer de gebruiker inlogt. Het standaard programma voor deze sleutel is C:\windows\system32\userinit.exe.

Userinit.exe is een programma dat je profiel terugplaatst.

Er kunnen ook andere programma's toegevoegd worden. Deze worden dan gescheiden door een komma.

Voorbeeldje: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit =C:\windows\system32\userinit.exe,c:\windows\programs.exe. Op deze manier worden beide programma's (userinit.exe en programs.exe) uitgevoerd bij het opstarten. Een handig plaatsje voor malware om mee op starten.

Wanneer bestanden zijn toegevoegd na de userinit.exe, verwijdert HijackThis de registersleutel maar niet het bijbehorende bestand.

Sommige bestanden achter de userinit.exe blijven verborgen in een HijackThislog. Je ziet dan wel een F2-sleutel verschijnen in de log.

 

Gebruikte registersleutels:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

"run"=""

"load"=""

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping

 

 

Gebruikte bestanden:

C:\Windows\system.ini

C:\Windows\win.ini

Als je de F-items fixt met HijackThis worden de bestanden niet verwijderd.

 

 

N1 - N2 - N3 - N4: Mozilla en Netscape start-/zoekpagina url's

Dit zijn de Mozilla en Netscape start- en zoekpagina's.

 

Code Uitleg

N1 Netscape 4 startpagina en zoekpagina

N2 Netscape 6 startpagina en zoekpagina

N3 Netscape 7 startpagina en zoekpagina

N4 Mozilla startpagina en zoekpagina

 

Hoe ziet dit eruit:

N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)

N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)

N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)

 

Mozilla en Netscape start- en zoekpagina's zijn meestal veilig. Ze worden zelden gehijacked. Zie je toch een url die niet je start- of zoekpagina is, dan laat je deze best repareren door HijackThis.

 

Gebruikte bestanden: prefs.js

 

O1: Hostfiles

Dit zijn wijzigingen aan je hosts file. Je hosts file wordt gebruikt om van namen, adressen te maken die je PC begrijpt. Meestal moet deze file leeg zijn (op een aantal regel commentaar en een "localhost" entry na), tenzij je hier zelf iets ingezet hebt.

 

Code Uitleg

O1 Een entry in de hosts file

 

Hoe ziet dit eruit:

O1 - Hosts: 216.177.73.139 auto.search.msn.com

O1 - Hosts: 216.177.73.139 search.netscape.com

O1 - Hosts: 216.177.73.139 ieautosearch

O1 - Hosts: 207.44.240.65 ads.x10.com

 

Deze hijack verbindt het adres rechts opnieuw met het IP-adres links. Als het IP niet toebehoort aan dit adres, wordt je telkens opnieuw doorverbonden naar een verkeerde site, elke keer je dit adres gebruikt of ingeeft.

Heb je deze entry er zelf ingezet, dan kan je ze laten staan. Anders laat je ze repareren door HijackThis.

 

Hosts kan je standaard vinden op de volgende plaats:

Windows 3.1 / 95 / 98 / ME C:\WINDOWS\HOSTS

Windows NT / 2000 C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS

Windows XP / 2003 C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

De plaats waar het bestand Hosts zich bevind kan je wijzigen in het register. Voor Windows NT, Windows 2000 en Windows XP is dit de volgende registersleutel:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\: DatabasePath

 

Bevindt het bestand Hosts zich niet op de standaard locatie, en je hebt de plaats niet zelf gewijzigd, dan is de kans groot dat je een infectie opgelopen hebt. Laat HijackThis dit dan repareren.

Wanneer je merkt dat het bestand Hosts zich bevindt op C:\Windows\Help\hosts, ben je geïnfecteerd door CoolWebSearch.

Wil je terug beschikken over het standaard Hosts-bestand, dan kan je de Hoster downloaden. Unzip het programma, run het, klik op Restore Original Hosts, klik op OK en sluit het programma af.

 

 

O2 Browser Helper Objects

Browser Helper Objects zijn programma's die zich in je internet browser nestelen, om daar nuttige, en minder nuttige taken uit te voeren. Meestal worden BHO's geïnstalleerd door andere programma's.

 

Code Uitleg

O2 Een Browser Helper Object

 

Hoe ziet dit eruit:

O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL

O2 - BHO: (no name) - {ABC6E7B5-9839-E1A7-3F27-B46EA0DAEBBF} - C:\WINDOWS\system32\kuydznif.dll

O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)

O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL

 

Wanneer je een Browser Helper Object (BHO) niet onmiddellijk herkent, kan je de CLSID-List gebruiken van Tony Klein. Hier kan je de class ID opzoeken om te zien of deze kwaadaardig is of niet.

Wordt de BHO aangeduid met een X dan is het spyware. Een L betekent dat het een veilig object is.

Wanneer je de O2-items repareert met Hijackthis, tracht het programma het bijbehorende bestand te verwijderen. Het kan zijn dat het bestand op dat moment nog in gebruik is. Heeft Hijackthis het bestand niet kunnen verwijderen, dan start je de computer in veilige modus en verwijder je het bestand.

 

Gebruikte registersleutel: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

 

 

03 - Internet Explorer Toolbars

De toolbars zijn een onderdeel van je Internet Explorer.

 

Code Uitleg

O3 Een IE toolbar

 

Hoe ziet dit eruit:

O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL

O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)

O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\2.bin\MYBAR.DLL

O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL

 

Ook van de toolbars kan je meer info bekomen, door de CLSID op te zoeken in de CLSID-List .

Als de CLSID niet in de lijst staat, en de naam is een samenraapsel van allerlei karakters en deze is gelokaliseerd in de map Application Data (zoals het laatste voorbeeld), dan kan je stellen dat deze spyware is. Laat hem repareren door HijackThis.

HijackThis verwijdert niet het bijbehorende bestand.

 

Gebruikte registersleutel:

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar

 

 

O4 - Automatisch startende programma's

Dit omvat de programma's die automatisch geladen worden wanneer Windows opstart. Hiervoor wordt gebruik gemaakt van bepaalde registersleutels en van de map opstarten.

 

Code Uitleg

O4 Automatisch startende programma's

 

Hoe ziet dit eruit:

O4 - HKLM\..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

 

Wanneer in een O4-regel het woord Startup voorkomt, verwijst dit naar een programma dat geladen wordt omdat het geplaatst is in de map Opstarten van de gebruiker. Deze map bevindt zich in C:\Documents and Settings\Login\Menu Start\Programma's\.

Global Startup verwijst naar een programma dat geladen wordt omdat het geplaatst is in de map Opstarten van Alle Gebruikers. Deze map bevindt zich in C:\Documents and Settings\All Users\Menu Start\Programma's.

 

Gebruikte registersleutels:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

 

Gebruikte directories:

C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten

C:\Documents and Settings\Login\Menu Start\Programma's\Opstarten

 

Wanneer je met HijackThis de O4-items laat repareren, zullen de bestanden die bij dit item horen, niet verwijderd worden door HijackThis. Dit zul je nadien zelf moeten doen, bij voorkeur na een reboot in veilige modus.

Voor de Startup en de Gobal Startup items werkt het iets anders. HijackThis verwijdert de snelkoppelingen in de map Opstarten naar het bestand, maar het bestand zelf verwijdert HijackThis niet, tenzij het bestand zich effectief in de map Opstarten bevindt.

 

Pac Man's Startup Program List geeft je meer informatie over het programma dat opstart. Je kunt controleren of deze kwaad- of goedaardig is. Let wel op: sommige opstart-items kunnen zowel goed als slecht zijn. Goed interpreteren en kijken waar het zich bevindt….

 

O5 - Internet Explorer opties verborgen in configuratiescherm

Code Uitleg

O5 Internet Explorer opties verborgen in configuratiescherm

 

Hoe ziet dit eruit:

O5 - control.ini: inetcpl.cpl=no

 

Als deze sleutel er tussen staat wil dit zeggen dat 'Internet Opties' verborgen is in het configuratiescherm. Als je deze instelling niet zelf gemaakt hebt, kan je deze selecteren en dit laten repareren door HijackThis. Zie ook dit Microsoft Knowledge Base Article.

 

Gebruikte registersleutel:

HKEY_CURRENT_USER\Control Panel\don't load

 

Gebruikt bestand:

C:\Windows\control.ini

 

 

O6 - Internet opties ingesteld door de Administrator

Als deze sleutel er tussen staat, betekent het dat jij geen wijzigingen aan kan brengen in Internet Explorer - Extra - Internetopties. Spybot Search & Destroy heeft de mogelijkheid om dit aan te zetten (Tools - IE Tweaks - "'Lock homepage from changes").

 

Code Uitleg

O6 IE opties beperkt door de Administrator

 

Als je Internet Explorer settings wilt kunnen blijven wijzigen, dan moet je dit laten repareren door HijackThis.

 

Gebruikte registersleutels:

HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions

HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel

 

07 - Regedit is uitgeschakeld

Als deze sleutel er tussen staat, betekent het dat je het programma 'regedit' niet op mag starten. Deze instelling wordt normaal gebruikt op een bedrijfs netwerk om te voorkomen dat je dingen wijzigt die je niet mag wijzigen.

 

Code Uitleg

O7 Regedit is uitgeschakeld

 

Hoe ziet dit eruit:

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, Disable Regedit=1

 

Als je deze melding op een prive PC krijgt, kan je Hijackthis dit met gemak laten fixen door het te selecteren.

 

 

O8 - Extra items in rechtsklikmenu van Internet Explorer

Dit zijn programma's die beschikbaar zijn in Internet Explorer als je met de rechter muisknop klikt op een gedeelte van een webpagina. Sommige toolbars maken gebruik van deze optie.

 

Code Uitleg

O8 Extra opties in het rechtsklik menu van IE

 

Hoe ziet dit eruit:

O8 - Extra context menu item: &Google Search - <a href="res://C:\WINDOWS\DOWNLOADED" target="_blank">res://C:\WINDOWS\DOWNLOADED</a> PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html

O8 - Extra context menu item: Add A Page Note - C:\Program Files\CommonName\AddressBar\createnote.htm

O8 - Extra context menu item: Yahoo! Search - <a href="file:///C:\Program" target="_blank">file:///C:\Program</a> Files\Yahoo!\Common/ycsrch.htm

O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm

O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm

 

Als je het item in het rechtsklik-menu je niet bekend voorkomt, laat je dit repareren door HijackThis.

HijackThis verwijdert niet het bijbehorende bestand.

 

Gebruikte registersleutel:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt

 

 

O9 - Extra knoppen in IE -toolbar en extra items in Menu-Extra-Opties.

Dit zijn programma's die beschikbaar zijn in Internet Explorer in de standaard toolbar (degene met de knoppen als "Stop", "Refresh" en "Forward" en "Back", of de programma's die in het "Tools" of "Extra" menu staan.

 

Code Uitleg

O9 Extra knoppen in je toolbar, en extra opties in het "Tools" / "Extra" menu

 

Hoe ziet dit eruit:

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Messenger (HKLM)

O9 - Extra button: AIM (HKLM)

 

Als je de naam van knop of van het menu-item niet herkent, laat je dit best repareren door HijackThis.

HijackThis verwijdert niet het bijbehorende bestand.

 

Gebruikte registersleutels:

Tools: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions

Button: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\CmdMapping

 

 

O10 - Winsock hijackers

Sommige programma's vestigen zich tussen je internetprogramma (browser) en je internetverbinding (ADSL, kabel) om zo de bepaalde websites te veranderen of om passwoorden te stelen.

Deze sectie wordt ook wel LSP (Layered Service Provider) genoemd. LSP's zijn een manier om een stukje software te ketenen aan je Winsock.

LSP's worden aan elkaar geketend wanneer Winsock wordt gebruikt. De data wordt getransporteerd door alle LSP's in de ketting. Als spyware of hijackers zich hier genesteld hebben, dan kunnen ze alle verkeer waarnemen.

 

Code Uitleg

O10 Winsock Hijackers

 

Hoe ziet dit eruit:

O10 - Hijacked Internet access by New.Net

O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing

O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll

 

Dit soort trojans zijn een groot probleem. Je kunt het probleem best oplossen met het programma LSP-Fix. Meer informatie vind je hier . Het programma Download LSPFix .

Een ander programma vind je hier.

 

 

011 - Extra items in IE 'Advanced Options' window

Als je naar Tools (Extra) -> Internet Options (Internet Opties) gaat, om vervolgens het tabblad "Advanced" (Geavanceerd) aan te klikken, zie je een groot aantal opties om Internet Explorer aan te passen. Sommige programma's voegen zichzelf ook hier aan toe.

 

Code Uitleg

O11 Extra items in IE 'Advanced Options' window

 

Hoe zie dit eruit:

O11 - Options group: [CommonName] CommonName

 

De enige kaper die op dit moment bekend is, noemt "Commonname". Als je dit programma liever niet gebruikt, kan je deze sleutels selecteren om het te laten verwijderen.

 

Gebruikte registersleutel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions

 

 

012 - Internet Explorer Plugins

Dit zijn plug-ins die extra functionaliteit toevoegen aan de browser zelf. Ze worden geladen wanneer de browser opstart. Voorbeelden: Flash filmpjes kunnen spelen, PDF documenten kunnen lezen vanuit je browser,….

Code Uitleg

O12 Internet Explorer plugins

 

Hoe ziet dit eruit:

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

 

De meeste zaken die je hier vindt zijn niet schadelijk. Momenteel is Onflow één van de weinige plugins die niet gewenst is.

Wanneer je HijackThis deze items laat repareren, zal ook het bijbehorende bestand verwijderd worden. Soms kan het bestand nog in gebruik zijn, ook al is de browser niet meer actief. Verwijder dan het bestand bij voorkeur in veilige modus.

Gebruikte registersleutel:

HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins

 

 

O13 - IE Default Prefix hijack

Normaal gesproken kan Internet Explorer automatisch een URL aanvullen. Voorbeeld: in de browser tik je in www.google.com en Internet Explorer maakt hier automatisch http://www.google.com van. Standaard voegt Windows het voorvoegsel http:// toe. Wil je dit wijzigen dan kan dit in het register.

 

Code Uitleg

O13 Internet Explorer Default Prefix hijack

 

Hoe ziet dit eruit:

O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=

O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?

O13 - WWW. Prefix: http://ehttp.cc/?

 

CoolWebSearch hijackers wijzigen het standaard voorvoegsel in http://ehttp.cc/?.

Tik je in de adresbalk van je browser in www.google.com, dan kom je terecht op de website van CoolWebSearch: http://ehttp.cc/?www.google.com.

De sleutels die hierin staan, zorgen er voor dat al dit soort links, via een pagina gaan van deze Spyware leverancier.

Is dit deze sleutel CWS-related, dan gebruik je best CWShredder om dit te fixen. Lukt het daar niet mee dan gebruik je HijackThis.

Gebruikte registersleutels:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes

Je kunt deze dus altijd laten repareren door HijackThis.

 

 

014 - Standaard instellingen van Internet Explorer

Als je in Internet Explorer er voor kiest om je Webinstellingen te herstellen (Extra -> Internetopties -> tabblad Programma's -> Webinstellingen herstellen), dan worden deze 'standaard' instellingen geladen vanuit het bestand iereset.inf. Als een hijacker dit bestand aanpast, blijf je ook na het herstellen van je webinstellingen geïnfecteerd, omdat steeds foutieve informatie ingelezen wordt.

 

Code Uitleg

O14 Reset Web Settings hijack

 

Hoe ziet dit eruit:

O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com

O14 - IERESET.INF: START_PAGE_URL=http://192.168.85.85:3128/ken2000.html

O14 - IERESET.INF: SEARCH_PAGE_URL=

O14 - IERESET.INF: START_PAGE_URL=

 

Deze sleutels kan je dus altijd laten repareren door HijackThis. (behalve als dit je Internet Service Provider is)

 

Gebruikt bestand:

C:\Windows\inf\iereset.inf

C:\WINNT\inf\iereset.inf

 

 

015 - Ongewilde websites in de "Trusted" zone van Internet Explorer

Websites die in de "Trusted" zone van Internet Explorer staan, worden door Internet Explorer als betrouwbaar gemarkeerd. Dit betekent dat ze meer mogen dan normale websites.

 

Code Uitleg

O15 Websites in de trusted zone van IE

 

Internet Explorer maakt gebruik van verschillende zones: Deze computer, Internet, Lokaal intranet, Vertrouwde websites en Websites met beperkte toegang. Elke zone heeft zijn beveiligingsinstellingen. Aan de hand van die instellingen wordt bepaald welke scripts of toepassingen kunnen uitgevoerd worden wanneer je een site bezoekt die zich in deze zone bevindt.

Elk van de 5 zones wordt geassocieerd met een nummer.

 

* Deze computer - 0

* Lokaal Intranet - 1

* Internet - 3

* Vertrouwde websites - 2

* Websites met beperkte toegang - 4

 

 

Om connectie te maken met het internet, kunnen verschillende protocollen gebruikt worden. Elk protocol wordt gelinkt aan één van de hierboven genoemde zones, dmv een geassocieerde nummer (Mapping). De standaardsettings zijn de volgende:

 

Protocol Zone Mapping Zone

http 3 Internet

https 3 Internet

ftp 3 Internet

@ivt 1 Lokaal Intranet

shell 0 Deze computer

 

Het gevaar bestaat wanneer malware deze settings aanpast. Stel dat de standaardzone voor http, het Internet (met waarde 3), wordt aangepast naar de waarde 2 die geassocieerd is met Vertrouwde websites. Dan wordt elke keer dat je een website bezoekt door gebruik te maken van het protocol http, deze website beschouwt als een website uit de Vertrouwde zone.

 

Hoe ziet dit eruit:

O15 - Trusted Zone: http://free.aol.com

O15 - Trusted Zone: *.coolwebsearch.com

O15 - Trusted Zone: *.msn.com

O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone

 

Als je hier websites ziet staan die je niet vertrouwt, kan je deze selecteren zodat ze verwijderd worden.

Meestal AOL en Coolwebsearch voegen sites toe aan de Trusted zone.

 

Gebruikte registersleutels:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults

 

 

016 - Active X Objects

Hier staan de programma's (ActiveX componenten) die geinstalleerd zijn in je browser. De ActiveX componenten worden opgeslagen in de map C:\Windows\Downloaded Program Files.

 

Code Uitleg

O16 Active X object

 

Hoe ziet dit eruit:

O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} -

http://imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.6.cab

O16 - DPF: {2ABE804B-4D3A-41BF-A172-304627874B45} - http://akamai.downloadv3.com/binaries/DialHTML/EGDHTML_XP.cab

 

Als je de naam van het object niet herkent, of de website vanwaar je het gedownload hebt, dan laat je dit best repareren door HijackThis. Als de naam van de url woorden bevat zoals dialer, casino, free_plugin, enz… dan moet je deze altijd laten repareren.

SpywareBlaster bevat een database van slechte ActiveX objecten.

HijackThis verwijdert de bijhorende bestanden van je computer.

Gebruikt bestand:

C:\Windows\Downloaded Program Files

 

 

017 - LOP.com Domain Hijacks

 

Wanneer je naar een webiste surft door gebruik te maken van een hostnaam ipv een IP-adres, gebruikt de computer de DNS-server om de host te vertalen naar een IP-adres. Sommige hijackers veranderen de namen van de DNS servers zodat hun DNS servers gebruikt worden. Op deze manier kunnen ze je door verwijzen naar elke site die ze maar willen.

Internetadressen zonder punt in bestaan eigenlijk niet. Toch werkt het wel als je bv 'google' in je de adresbalk van je browser typt. Internet Explorer probeert automatisch een aantal veel voorkomende fouten te herstellen. Zo kan het van "google" automatisch "www.google.com" maken. Een van de namen die Internet Explorer automatisch probeert, is om de instelling van domeinnaam die je opgegeven hebt, automatisch achter het internetadres te plakken. Als een Spyware programma dit ook aanpast, zullen dit soort links via een website gaan van een Spyware maker.

 

Code Uitleg

O17 LOP.com Domain Hijacks

 

Hoe ziet dit eruit:

O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com

O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gla.ac.uk

O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175

 

Als de domeinnaam niet van ISP is of van je company netwerk, laat HijackThis deze dan repareren. Idem voor SearchList-entries. Voor de NameServer (DNS-server) entries google je op het IP om te zien of dit goed of slecht is.

 

 

O18 - Extra Protocollen en Protocol Hijackers

De standaard protocollen worden gewijzigd door een protocol dat de hijacker gebruikt. Hierdoor krijgt de hijacker controle over bepaalde manieren hoe er informatie uitgewisseld wordt met het internet.

Hijackthis leest de protocols-sectie in het register voor de niet-standaard protocols. Wanneer iets gevonden wordt meldt het de CLSID en de het pad naar het bestand.

Sleutels die hier staan zijn niet altijd te vertrouwen, maar geeft op dit moment te veel "valse positieven" om blind op te vertrouwen.

 

Code Uitleg

O18 Extra protocollen en protocol hijackers

 

Hoe ziet dit eruit:

O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll

O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}

O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

 

Slechts een paar hijackers treden hier op. De gekende slechteriken zijn:

 

* cn (CommonName)

* ayb (Lop.com)

* relatedlinks (Huntbar)

 

Andere zaken die optreden zijn tot nu toe niet bevestigd als veilig of als hijacked (CLSID is veranderd) door spyware. In het laatste geval laten repareren door HijackThis. Hijackthis verwijdert niet de registersleutel en niet het bijbehorende bestand.

 

Gebruikte registersleutels:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter

 

 

019 - User Style sheet hijack

Een style sheet is een sjabloon dat bepaalt hoe een webpagina als geheel, en de verschillende elementen die daarin opgenomen zijn, weergegeven moet worden.

De standaard style sheet wordt door de hijacker overschreven.

 

Code Uitleg

O19 User style sheet hijack

 

Hoe ziet dit eruit:

O19 - User style sheet: c:\WINDOWS\Java\my.css

 

Als de browser trager wordt, of je krijgt regelmatig popups, dan kun je dit best repareren.

Deze zaken worden veroorzaakt door coolwebsearch en je kan deze dan ook best laten repareren door CWShredder. Meer informatie over dit programma kan je hier vinden.

Download CWShredder.

HijackThis verwijdert niet het bijbehorende bestand.

Gebruikte registersleutel:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets

 

 

020 - AppInit_DLLs Register waarde: automatisch startend - Sleutels onder Notify

De waarden die vermeld worden in de registersleutel AppInit_DLLs worden geladen wanneer user32.dll geladen wordt. De meeste uitvoerbare windowsbestanden (exe's) maken gebruik van user32.dll. Dit houdt in dat de dll bestanden die in de registersleutel Appinit_DLLs staan ook geladen zullen worden. Het bestand user32.dll wordt ook gebruikt door processen die automatisch door het systeem gestart worden bij het inloggen. Dit betekent dat bestanden in AppInit_DLLs zeer vroeg geladen worden.

De bestanden die geladen worden via AppInit_DLL's blijven in het geheugen geladen tot de gebruiker weer uitlogt.

 

Code Uitleg

O20 AppInit_DLLs Register waarde: automatisch startend

O20 Sleutels onder Winlogon\Notify

 

Hoe ziet dit eruit:

O20 - AppInit_DLLs: msconfd.dll

O20 - Winlogon Notify: Setup - C:\WINDOWS\system32\f40o0ed3eh0.dll

 

AppInit_DLLs: Een paar legitieme programma's maken er gebruik van (Norton CleanSweep gebruikt APITRAP.DLL), maar meestal wordt dit gebruikt door trojans of agressieve browserkapers (oa CoolWebSearch).

De DLL bestanden die hier vermeld worden bevinden zich meestal in de system32-map. De reden hiervoor is dat alleen de eerste 32 karakters van deze registersleutel door het systeem gelezen worden en als deze bestanden in de system32-map staan moet niet het volledige pad ingegeven worden.

De bestanden zijn niet zichtbaar via Windows verkenner.

Wanneer je dit item laat repareren door HijackThis, wordt het bijbehorende bestand niet verwijderd.

 

Notify: Sinds versie 1.99.1 verschijnen in een HijackThislog onder de combinatie O20, ook de extra sleutels onder Notify. HijackThis maakt hiervoor gebruik van een Whitelist. Standaardsleutels onder Notify met bijbehorende .dll zijn:

 

* crypt32chain (c:\windows\system32\crypt32.dll)

* cryptnet (c:\windows\system32\cryptnet.dll

* cscdll (c:\windows\system32\cscdll.dll)

* ScCertProp (c:\windows\system32\wlnotify.dll)

* Schedule (c:\windows\system32\wlnotify.dll)

* Sclgntfy (c:\windows\system32\sclgntfy.dll)

* SensLogn (c:\windows\system32\WlNotify.dll)

* Termsrv (c:\windows\system32\wlnotify.dll

* wlballoon (c:\windows\system32\wlnotify.dll)

 

HijackThis verwijdert de registersleutel, maar niet het bijbehorende bestand.

Een infectie die gebruik maakt van deze methode is [color:"red"]VX2[/color].

Niet alle sleutels die onder Notify verschijnen zijn kwaadaardig.

 

Gebruikte registersleutels:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows: AppInit_DLLs

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

 

 

O21 - ShellServiceObjectDelayLoad

 

Code Uitleg

O21 ShellServiceObjectDelayLoad

 

Hoe ziet dit eruit:

O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll

 

Dit is een autorun methode die normaal door slechts een aantal Windows system componenten gebruikt wordt. De items die staan in het register op HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad worden door Explorer geladen wanneer Windows start. Explorer.exe is de shell van je computer. Deze wordt altijd geladen, en dus ook de bestanden die onder ShellServiceObjectDelayLoad staan.

HijackThis maakt gebruik van een white list met de meest voorkomende (gebruikelijke) SSODL items. Als er dus een item verschijnt in de HijackThislog, is deze ongekend en waarschijnlijk van kwaadaardige oorsprong. Toch moet je deze met de nodige voorzichtigheid behandelen.

Behoren momenteel tot de 'white list':

 

* "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}" ( %SystemDir%\Shell32.dll)

* "CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}" (%SystemDir%\SHELL32.dll)

* "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" (%SystemDir%\webcheck.dll)

* "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}" (%SystemDir%\stobject.dll)

* "AUHook" ="{11566B38-955B-4549-930F-7B7482668782}" (%SystemDir%\auhook.dll)

* "Network.ConnectionTray"="{7007ACCF-3202-11D1-AAD2-00805FC1270E}" (%SystemDir%\netshell.dll)

* "UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}" (%SystemDir%\upnpui.dll)

 

HijackThis verwijdert niet het bijbehorende bestand.

 

Gebruikte registersleutel:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

 

 

O22 - SharedTaskScheduler

 

Code Uitleg

O22 SharedTaskScheduler

 

Hoe ziet dit eruit:

O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll

 

Een autorun functie die enkel geldt voor Windows 2000 en Windows XP. Deze wordt heel zelden gebruikt. Voorlopig is de enige die hiervan gebruik maakt CWS.Smartfinder. (Deze kan verwijderd worden met CWShredder.)

Toch met de nodige voorzichtigheid behandelen.

HijackThis verwijdert de SharedTaskScheduler waarde die met deze entry verbonden is, maar niet de bijbehorende CLSID en het bijbehorende bestand.

 

Gebruikte registersleutel:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

 

 

O23 - NT Services

 

Code Uitleg

O23 Services

 

Hoe ziet dit eruit:

O23 - Service: NOD32 Kernel Service - Unknown - C:\Program Files\Eset\nod32krn.exe

 

HijackThis toont je een overzicht van alle actieve niet-microsoft-services op je computer.

Getoond wordt de weergave-naam en het pad naar het uitvoerbaar bestand. Tussen haakjes verschijnt de servicenaam zoals deze in het register voorkomt.

Meer info vind je hier.

 

Gebruikte registersleutels:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

 

 

[color:"blue"]------------------------------------------------------------------------------------------------------- [/color]

 

 

[color:"red"]VX2[/color]

 

VX2, Look2Me, is een zeer lastig te verwijderen infectie. Deze malware wordt zonder medeweten van de computergebruiker geïnstalleerd. VX2 kan zorgen voor een onstabiele browser. Het update zich zonder toestemming van de gebruiker, zorgt voor pop-ups, opent ongewenste en ongevraagde websites, het controleert je surfgedrag en het installeert ook "3rd party software".

VX2 maakt verbinding met een bepaalde server om informatie uit te wisselen.

 

Sinds kort is er een nieuwe VX2-infectie.

In een hijackthislog zie je dit:

O1 - Hosts: 69.20.16.183 auto.search.msn.com

O1 - Hosts: 69.20.16.183 search.netscape.com

O1 - Hosts: 69.20.16.183 ieautosearch

 

Soms zie je ook deze sleutel opduiken in een hijackthislog:

O4 - HKLM\..\Run: [ntsmod] C:\WINDOWS\system32\ntsmod.exe

 

Deze zorgt dat de infectie opnieuw plaats vindt.

 

Indien je last hebt van deze infectie kunnen er ook problemen zijn met de prullenbak.

 

Deze infectie maakt gebruikt van willekeurige bestanden en een willekeurig gekozen sleutel onder HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

 

Dit zijn de standaard subkeys onder Notify:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon

 

Sommige andere programma's plaatsen ook een sleutel onder Notify. Indien je twijfelt of deze sleutel legitiem is kan je altijd gaan zoeken op het bestand dat vermeld wordt bij DLLname.

Voorbeeld van een andere legale subsleutel is:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent

 

De niet-standaard sleutels onder Notify zie je sinds versie 1.99.1 ook verschijnen in een hijackthislog onder de O20 kombinatie.

 

Dit is de standaardsleutel voor User Agent onder XP SP2

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform

"SV1"=""

 

Hoe verwijderen:

Download L2mFix.(Dit programma is gemaakt door Shadowwar en OSC.)

Plaats het bestand op je buroblad. Klik op l2mfix.exe.

Klik op "Accept". Zorg dat de l2mfix-map op je bureaublad geplaatst wordt. Klik op "Install".

Op je bureaublad open je de map l2mfix.

Klik op l2fix.bat.

Klik op "1" om optie te 1 selecteren: Run Find Log.

Dit gaat even duren. Na een tijdje wordt er een kladblokbestand geopend.

 

Controleer of er een sleutel staat onder Notitfy die niet standaard is en niet legit. Indien je twijfelt zoek je meer informatie op over het dll bestand bij DLLName.

Staat er bij User Agent iets anders ingevuld (bv een CLSID) dan heb je waarschijnlijk last van deze infectie en kan je verder gaan met de volgende stap.

Vb: (CLSID is willekeurig):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

"{985D932F-C1C8-4410-ADBB-4ADA2B3543F8}"=""

 

Sluit alle openstaande programma's.

Dubbelklik op l2mfix.bat.

Klik op "2" om optie 2 te selecteren: Run Fix.

Druk op Enter.

Druk op een toets om de computer opnieuw te starten wanneer dit gevraagd wordt.

Na de reboot verschijnen de ikonen op je desktop. Deze zullen weer verdwijnen. (dat is normaal).

L2mfix gaat je computer scannen.

Wanneer het klaar is wordt er een nieuw kladblokbestand geopend.

 

De willekeurig gekozen subsleutel onder Notify en de willekeurige CLSID bij de User Agent String zouden nu verdwenen moeten zijn.

Fix de O1 entries met hijackthis.

Herstart de computer.

Indien in een hijackthislog de O4-sleutel verschijnt die hierboven genoemd wordt, zoek je en verwijder je ook de volgende bestanden:

C:\WINDOWS\system32\mplay32.dll 126976 bytes

C:\WINDOWS\system32\ntec32.exe 26112 bytes

C:\WINDOWS\system32\ntsmod.exe 28672 bytes

C:\WINDOWS\system32\sysdebug32.exe 28672 bytes

C:\WINDOWS\system32\msts32.exe

 

Symantec heeft ook een tooltje gemaakt om deze infectie te verwijderen: Info.

 

 

Voor de oudere varianten kan je dit proberen:

 

Methode 1: Ad-Aware

Ad-Aware heeft een plugin om deze malware op te sporen en te verwijderen: de VX2Cleaner.

Hoe deze plugin gebruiken?

Sluit Ad-aware en Ad-watch.

Download en installeer de VX2Cleaner..

Start Ad-aware.

Klik op de knop "Add-ons".

Selecteer de VX2 Cleaner en klik op de knop "Uitvoeren".

Als de computer niet geïnfecteerd is met deze malware, klik je op de knop "Close".

Als de computer wel geïnfecteerd is doe je het volgende:

Klik op de knop "Clean System".

Start de computer opnieuw.

Scan de computer met een geupdate Ad-Aware.

Verwijder alle VX2 objecten die gevonden worden.

Start de computer opnieuw.

Gebruik opnieuw de VX2 Cleaner om te controleren of alle bestanden verwijderd zijn.

 

Methode 2: VX2-Finder

Om de VX2-infectie op te sporen en te verwijderen kan je ook de VX2-Finder gebruiken.

 

VX2-FINDER WINDOWS XP

Download VX2Finder..

Plaats het bestand op je bueaublad.

Start VX2-finder door erop dubbel te klikken.

Onderaan klik je op de knop Click to Find VX2 Betterinternet.

Als het programma klaar is klik je op Make log.

Worden er bij "Files Found" bestanden opgenoemd dan ga je naar de knop Delete these files. Je krijgt de melding dat 1 bestand verwijderd moet worden na de computer opnieuw gestart te hebben.

Terug in Windows, start je VX2-finder nog een keer.

In het rechts venster klik je op User agent, Guardian.reg, en tenslotte op Restore policy.

Sluit af en herstart de computer.

Staan bij "Files Found" geen bestand vermeld, dan is de computer niet geïnfecteerd met VX2.

 

VX2-FINDER WINDOWS 9.X

Download VX2Finder..

Start het programma.

Klik op de knop "Click to find VX2 Betterinternet".

Worden er bij "Files Found" bestanden opgenoemd dan Selecteer je alle files en klik je op "Delete".

Daarna klik je op "User Agent$".

Daarna klik je op "Restore Desktop".

Klik op "Import Reg".

Sluit VX2-Finder.

Scan nadien met een geupdate Ad-Aware.

Reboot de computer. Scan opnieuw met VX2-finder.

 

Note:

Versie 126 van VX2 maakt geen gebruik meer van de Guardian-sleutel maar maar neemt een naam uit het register en kopieert deze onder "Notify". Deze registersleutel wordt gebruikt: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

Versie 126 van VX2-Finder detecteert alleen de geupdate Look2Me bestanden. Zie je in de log van VX2-finder 126 onder "Notify" toch een Guardian#### sleutel maar geen bestanden bij "Files Found", dan gebruik je best de oudere versie van VX2-finder.

 

[Alventali]

Mooie handleiding

 

Maar gezien de lengte heb ik 'm maar ff gekopieerd en als word bestand opgeslagen.

 

En ook maar ff toegevoegd als bijlage

1017023-handleidingHijackthis.doc

[Morgothzz]

De bijlage is inderdaad handig, je was alleen ff wat te snel want het hele VX2 verhaal hoort er eigenlijk ook bij.

Dit is zeker de laatste tijd in opkomst.

[Gast]

Kun jij ook een beknopte uitleg geven als je deze tekst begrijpt?

[Morgothzz]

pfffffff die bestaat eigenlijk niet, het is een bijzonder krachtig programma waarbij je moet weten wat je doet. Een poging..........

 

HijackThis is een programma dat geschreven is om o.a. startpagina-kapers en soortgelijke programma's op te sporen. Het programma hoeft niet geïnstalleerd te worden.

Het verschil tussen HijackThis en Spybot Search & Destroy zit hem voornamelijk in de techniek. Spybot detecteert allerlei soorten spyware. HijackThis richt zich voornamelijk op spyware/maleware etc. die zich in de browser verstopt en wat automatisch opstart. Verder gebruikt HijackThis een scantechniek die mogelijk meer valse positieven oplevert, maar daardoor ook objecten kan vinden die door andere spyware-scanners nog niet gevonden worden.

 

HijackThis toont je na de scan een overzicht van mogelijke spyware op je systeem. De verkregen informatie wordt aan de hand van een letter- en cijfercombinatie onderverdeeld in categorieën.

Het verwijderen van deze objecten is een keuze die je zelf zal moeten maken.

 

Onderstaande lijst geeft je een overzicht van de verschillende cijfer- en lettercombinaties.

 

R0 Internet explorer startpagina en zoekpagina

R1 Internet explorer zoek functies en andere karakteristieken

R2 Register Info

R3 URL Search Hook

F0 INI Files

F1 INI Files

N1 Netscape/Mozilla start/zoek pagina's url's

N2 Netscape/Mozilla start/zoek pagina's url's

N3 Netscape/Mozilla start/zoek pagina's url's

N4 Netscape/Mozilla start/zoek pagina's url's

O1 Hosts File

O2 Browser Helper Objects (BHO)

O3 IE Toolbars

O4 Automatisch Startende Programma's

O5 IE Control Panel Item hidden in Control Panel

O6 Internet opties ingesteld door de Administrator

O7 RegEdit disabled

O8 Extra opties in het rechtsklik menu van IE

O9 Extra knoppen in je toolbar, en extra opties in het "Tools" / "Extra" menu

O10 Winsock Hijackers

O11 Extra items in "Advanced Options" settings

O12 Internet Explorer Plugins

O13 IE Default Prefix hijack

O14 Standaard Instellingen van IE

O15 Websites in de "Trusted" zone van IE

O16 ActiveX Objects

O17 LOP.com DomeinHijacks

O18 Extra Protocollen en Protocol Hijackers

O19 User Style sheet hijack

O20 AppInit_DLLs Register waarde: automatisch startend - Sleutels onder Notify

O21 ShellServiceObjectDelayLoad

O22 SharedTaskScheduler

O23 NT Services

 

 

Eigenlijk is het zo als je het programma niet begrijpt en je leest niet graag gebruik het dan niet. <img src="/forums/images/graemlins/loldev.gif" alt="" />

[Morgothzz]

Er zitten nog meer functies in HijackThis die ik kort zal beschrijven.

 

Hulpmiddelen in Hijackthis.

 

Start Hijackthis. Ga naar Config - Misc Tools. Hier vind je een aantal hulpmiddelen die je meer info kunnen bezorgen of die je kunnen helpen bij het verwijderen van malware, of restanten ervan.

 

Startuplist: Toont een uitgebreide log van allerlei startupsleutels en geeft wat meer info dan een Hijackthislog.

Processmanager: Geeft je de mogelijkheid om actieve processen te beëindigen of om nieuwe processen te starten. De processmanger biedt je ook de mogelijkheid om te controleren welke .dll bestanden geladen worden door een proces. Je kan ook de eigenschappen opvragen van de actieve processen of de geladen .dll bestanden.

Hosts file manager: Een kleine editor om wijzigingen in het hosts bestand aan te brengen.

Delete a file on reboot: Dit geeft je de mogelijkheid om een bestand op de computer te verwijderen. Het bestand wordt verwijderd na een reboot.

Delete een NT Service: Deze is enkel voor Windows NT4/2000/XP/2003 en geeft je de mogelijkheid om een service uit het register te verwijderen.

Beeïndig eerst de service met Hijackthis of via het Services configuratiescherm. Geef de Servicenaam in zoals deze verschijnt tussen de haakjes achter de Weergavenaam in de hijackthislog. Na een reboot is de service uit het register verwijderd.

ADS Spy: Sommige malware maakt gebruik van ADS: Alternate Data Streams. Met ADS Spy kan je deze opsporen en verwijderen.

Uninstall Manager: Biedt de mogelijkheid om de items te verwijderen die voorkomen in de softwarelijst via Configuratiescherm - Software - Programma's wijzigen en verwijderen.

[Alventali]

 

De bijlage is ondertussen aangepast.

[paardengek]

Bedankt voor de uitleg. Ik zal het één en ander even bestuderen. <img src="/forums/images/graemlins/xyxthumbs.gif" alt="" />

 

Met vriendelijke groet, paardengek

[Gast]

Hier ook nog een kleine uitleg over HijackThis.