AllesPC

[Gismo1]

Spyware, of beter nog malware, is momenteel een zeer vervelend probleem geworden.
Steeds meer en meer computergebruikers worden er mee geconfronteerd:
popups, browserkapers, trojans, ongewenste werkbalken...

In dit sticky een overzicht van hoe je een geïnfecteerde computer weer clean kunt krijgen
en welke maatregelen je kan nemen om een nieuwe infectie te voorkomen.

1. Controleer via Windows Update of er essentiële updates beschikbaar zijn en installeer ze.
2. Update je virusscanner en scan je pc op virussen.
3. Scan op Spyware met Ad-Aware.
4. Scan op Spyware met Spybot Search & Destroy.
5. Controleer op CoolWebSearch met CWShredder.
6. Maak een HiJackThisLog.

Een kleine opmerking over het gebruik van HijackThis:

Wees voorzichtig als je met HijackThis gaat werken.
Het is een krachtig programma dat geen onderscheid maakt tussen wat goed is, en wat kwaad is.
Dit is een keuze die jezelf zal moeten bepalen.

Onoordeelkundig gebruik van HijackThis kan er voor zorgen
dat bepaalde programma's niet meer werken, of zelfs dat je pc niet meer opstart...

In dit sticky worden de bovenvermelde programma's besproken.

Gismo

[Gismo1]

Ad-Aware SE

Configutatie van Ad-Aware SE

Klik op het tandwieltje, nadat je Ad-Aware SE hebt opgestart:



In het venster dat nu verschijnt klik je links op General.
Selecteer wat in de onderstaande afbeelding aangeduid staat:

1. Automatically save logfile
2. Automatically quarantine objects prior to removal
3. Safe Mode (always request confirmation)



Klik nu links op de Scanning knop onder General
Selecteer wat aangeduid staat in onderstaande afbeelding:

1. Scan Within Archives
2. Scan Active Processes
3. Scan Registry
4. Deep Scan Registry
5. Scan my IE favorites for banned URL’s
6. Scan my Hosts file



Hier kan je de schijven/partities aanduiden (in dit geval heb ik enkel mijn
systeempartitie aangevinkt - je mag ze allemaal aanvinken)



Klik nu op de Advanced knop en vink aan

1. Include additional object information
2. Include negligible objects information
3. Include environment information

Zie onderstaande afbeelding:



Klik nu op de Tweak knop en selecteer het onderstaande:
bij het gedeelte Scanning Engine:

1. Unload recognized processes & modules during scan
2. Include additional Ad-aware settings in logfile



bij het gedeelte Cleaning Engine

1. Let Windows remove files in use at next reboot



Klik nu op de Proceed knop om deze configuratie op te slaan.



Nu kan je door Ad-Aware de scan laten uitvoeren door op Start te klikken.



Pas nu ook het scantype aan: Use custom scanning options.
Druk vervolgens op Next



Na de scan zal je een samenvatting krijgen.
Klik vervolgens op Next



Nu zie je een lijst met verdachte dingen die gevonden werden op je PC.
Aanvinken en op Next kliken en vervolgens op OK om te bevestigen:





Vervolgens moet je je PC opnieuw opstarten. Zo wordt de spyware definitief verwijderd.

De nieuwe versie van Ad-Aware SE kan je hier downloaden.

[Gismo1]

Tussen de spyware programma's die hier besproken worden, bijkomende
andere tooltjes die je ook kunnen helpen, maar blijkbaar minder bekend
zijn.

Bijkomende programma's:

Sommige programma's willen steeds opstarten. Dit gebeurt bij sommige
programma's die door de gebruiker zelf worden geïnstalleerd, maar de
meeste programma's die opstarten zijn programma's die tijdens het
surfen ongemerkt geïnstalleerd worden. (Spyware voor 99%)

Om op de hoogte te blijven van wat er zoal allemaal wil opstarten, en dat
ook nog te kunnen controleren/wijzigen zijn de volgende 2 gratis tooltjes
interessant en komen van dezelfde maker:

StartUpMonitor en
StartUp Control Panel

StartUpMonitor verwittigt je direkt als er een bepaald programma wil opstarten,
bij de volgende keer dat je Windows opstart. Je kan dan zelf beslissen of je dit al dan niet wil.

Om je een bijkomende installatie te besparen, kan je dit exe bestand downloaden van m'n webspace.

Voorwaarde: je steekt dit exe bestand in een willekeurige map.
Via de verkenner kopieer je dit bestand naar
de opstartmap:



Documents and SettingsJe naamMenu StartProgramma'sOpstarten

StartupMonitor.exe

Het andere tooltje is een .cpl bestand. (configuratiebestanden) Op de site
van de maker kan je meer info lezen.
Het komt erop neer, dit StartUp.cpl bestand in je system32 map te steken
(Win2k/XP) of de system map (Win 9x).

Je kan het ook downloaden van m'n webspace en je mag het direkt in de bovenvermelde map steken.
Er moet dus niets geïnstalleerd worden.

Startup.cpl

Als je nu je PC heropstart, tref je in het configuratiescherm een nieuw icoon aan:



Dit kan je vergelijken met msconfig, wat eigenlijk niets waard is in vergelijking met dit cpl bestand.

Persoonlijk zijn dit tooltjes die iedereen op zijn/haar PC zou moeten hebben,
omdat je zo op de hoogte blijft van wat er zoal allemaal tijdens een sessie wil opstarten.

Groetjes,
Gismo

[Gismo1]

Spybot Search & Destroy v 1.3


Spybot Search & Destroy, hierna Spybot genoemd, is een goede aanvulling voor Ad-Aware.

Zaken die Ad-Aware eventueel niet vindt, worden door Spybot toch gevonden.

De nieuwste versie van Spybot kan je hier downloaden.

Na de download dubbelklik je op het bestand en je krijgt het taalmenu voor de setup te zien.
Zoals je ziet is het ook bij dit programma mogelijk, het Nederlands te gebruiken.

Na deze keuze krijgen we de installatiewizard van Spybot.

Volg hier gewoon de instrukties.

Als je aan dit venster komt, en je vinkt de onderste optie
aan, vergeet dan niet dat dit programma mee opstart met Windows.

Als de installatiewizard voltooid is, laat je het programma direkt opstarten.
Laat dus het vinkje staan.

Bij een nieuwe installatie, zoals in dit geval, verschijnen de eerste keer de
twee volgende venstertjes:

Afbeelding 1 en Afbeelding 2

waar je een vinkje voorzet en op OK klikt om te bevestigen.

De nu volgende berichten verschijnen allemaal de eerste keer na een nieuwe
installatie van Spybot. Je zal deze vensters dus niet meer zien bij dagelijks gebruik:

Je kan de eerste keer een register-backup maken. Je beslist zelf wat je wil doen.

Hierna verschijnt het venster dat vraagt om updates te zoeken en te downloaden.
Dit doe je eerst, zodanig dat het programma direkt up-to-date is.

Vergeet niet regelmatig zelf up te daten als je het programma gebruikt.

Voor de meeste Spyware programma's, en zeker voor degenen hier vermeldt,
kan je in dit sticky steeds terecht voor update nieuws.
Er was trouwens een laatste update voor dit programma van 16 juni.

Eigenaardig genoeg is het Nederlandse menu van Spybot niet volledig correct,
want de wizard stelt de volgende vraag in het Engels.

Screen

Je mag hier klikken op Immunize this system en dan op Volgende

Vanaf nu verschijnt het venster dat je altijd zal te zien krijgen, als je de
volgende keren het programma gebruikt:

Opstarten Spybot

Je klikt hier dus gewoon op de knop Controleer alles en de scan begint.

Na de scan krijg je het resultaat te zien en zoals je kan zien werden hier
enkele zaken gevonden.
Je klikt op Repareer problemen.
Alles staat automatisch al aangevinkt.

Als je op de knop Repareer problemen hebt geklikt, krijg je ter
bevestiging nog eens een venster met een vermelding voor de gerepareerde problemen.

Screen

Opmerking:

misschien is dit programma voor sommigen kinderspel, er zijn
vele mensen die van deze programma's nooit hebben gehoord, tot ze met
problemen te maken krijgen en hulp vragen op fora.

Daarom is de uitleg zo eenvoudig mogelijk gehouden, ook voor alle andere
programma's hier beschreven.

Gismo

[Gismo1]

CWShredder


CWShredder is een programma dat scant op één bepaalde spyware: CoolWebSearch.

Dit programma vindt en vernietigt alle sporen van CoolWebSearch (CWS) hijackers.

Dit houdt in:

1. Doorlinken naar CoolWebSearch gerelateerde pagina's
2. Doorlinken bij foutief ingetypte URL's
3. Doorlinken bij een bezoek aan Google
4. Trager wordende Internet Explorer wanneer je typt
5. Websites die je zelf niet in de trusted zone van Internet Explorer geplaatst hebt
6. Popups in Google en Yahoo wanneer je zoekt
7. Errors bij het opstarten die verwijzen naar WIN.INI of IEDLL.EXE
8. In Internet Explorer opties is het onmogelijk items te zien of te veranderen
9. Geen toegang tot opties in Internet Explorer

Momenteel zijn er verschillende vormen/varianten van coolwebsearch gekend.

Meer info over CWS vind je op deze site.

Gebruik

Download eerst CWShredder en deze download is de laatste versie (1.59.0.1).
Ik heb steeds de laatste versie op m'n webspace staan, net zoals HijackThis,
omdat de normale downloadlinken niet altijd even rap werken.

Run het programma, klik op de Fix-knop.



CWShredder gaat nu scannen op alle gekende varianten van CoolWebSearch.

Wanneer het programma klaar is start je de computer opnieuw.

Wanneer het programma de foutmelding geeft "A required dll, MSVBVM60.DLL, was not found",
download je eerst de Visual Basic 6 runtime libraries van Microsoft.
Bij Windows XP is dit niet nodig, echter wel eventueel bij Windows 98.

Installeer deze en run nadien CWShredder opnieuw.

Opmerking

Als het programma zonder enige melding meteen weer afsluit,
heb je te maken hebben met een agressieve variant van CoolWebSearch.

Download eerst de CoolWWWSearch.SmartKiller removal tool.

Run deze tool eerst, en run dan CWShredder opnieuw.
Een database met alle CWS-varianten die door CWShredder gefixt worden vind je hier

Wil je verder op de hoogte blijven van de ontwikkelingen van Cool Web Search:
veel info is bij Marc te vinden.

Ik bedank hem voor de handleidingen, die ik heb aangepast om te mogen gebruiken op fora.

[Gismo1]

Hijack This

HijackThis is een programma dat geschreven is om startpagina-kapers en soortgelijke programma's op te sporen.
Het programma moet niet geïnstalleerd worden.

Het verschil tussen HijackThis en Spybot Search & Destroy, hierboven beschreven, zit hem voornamelijk in de techniek.

Spybot detecteert allerlei soorten spyware.
HijackThis richt zich voornamelijk op spyware die zich in de browser verstopt.

Verder gebruikt HijackThis een scantechniek die mogelijk meer valse positieven oplevert, maar daardoor ook objecten kan vinden die door andere spyware-scanners nog niet gevonden worden.

Let wel op dat je de nieuwste versie van HijackThis gebruikt: oudere versies kunnen voor problemen zorgen op Windows 9.x systemen.

Je kan de laatste versie steeds downloaden van m'n webspace omdat de linken niet altijd werken.

Download HijackThis versie 1.98.2

Huidige versie: 1.98.2 sinds 02 juli

Gebruik van Hijack This

Unzip het programma in een eigen map.
Dus niet op je desktop en niet in je temp-map.

HijackThis maakt namelijk backups en misschien heb je deze in de toekomst nog nodig.


Klik op het bestand HijackThis.exe. Je krijgt dan het volgende te zien:



Voor je gaat scannen ga je naar "Config..." en controleer je of er een vinkje staat voor:

"Make backups before fixing items" en klik dan op de knop "Back"



Klik op de knop "Scan".
Na het scannen veranderd de "Scan"-knop in een "Save log"-knop.
Klik nu op "Save Log" om het log op te slaan.

Hijackt This toont je na de scan een overzicht van mogelijke spyware op je systeem.
De verkregen informatie wordt aan de hand van een letter- en cijfercombinatie onderverdeeld in categorieën.

Het verwijderen van deze objecten is een keuze die je zelf zal moeten maken.


Onderstaande lijst geeft je een overzicht van de verschillende cijfer- en lettercombinaties.

R0: Register Info
R1: Register Info
R2: Register Info
R3: Register Info

F0: INI Files
F1: INI Files

N1: Netscape/Mozilla start/zoek pagina's url's
N2: Netscape/Mozilla start/zoek pagina's url's
N3: Netscape/Mozilla start/zoek pagina's url's
N4: Netscape/Mozilla start/zoek pagina's url's

O1 Hosts File
O2 Browser Helper Objects (BHO)
O3 IE Toolbars
O4 Automatisch Startende Programma's
O5 IE Control Panel Item hidden in Control Panel
O6 Internet opties ingesteld door de Administrator
O7 RegEdit disabled
O8 Extra opties in het rechtsklik menu van IE
O9 Extra knoppen in je toolbar, en extra opties in het "Tools" / "Extra" menu
O10 Winsock Hijackers
O11 Extra items in "Advanced Options" settings
O12 Internet Explorer Plugins
O13 IE Default Prefix hijack
O14 Standaard Instellingen van IE
O15 Websites in de "Trusted" zone van IE
O16 ActiveX Objects
O17 LOP.com DomeinHijacks
O18 Extra Protocollen en Protocol Hijackers
O19 User Style sheet hijack
O20 AppInit_DLLs Register waarde: automatisch startend
O21 ShellServiceObjectDelayLoad
O22 SharedTaskScheduler

[Gismo1]

Hijack This - HANDLEIDING (deel 1)


R0 - R1 - R2 - R3: Register sectie - Internet explorer start-/zoekpagina's url's.

Deze registerwaarden worden vergeleken met hoe het register er uitziet na een propere installlatie.


Code en Uitleg

R0 = Een veranderde registerwaarde
R1 = Een nieuw register key
R2 = Een nieuw register waarde
R3 = Een nieuw register waarde. Dit is hoogstwaarschijnlijk spyware

Hoe ziet dit eruit:

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page=http://www.google.com/
R1 - HKLMSoftwareMicrosoftInternet explorerMain,Default_Page_URL=http://www.google.com/
R3 - Default URLSearchHook is missing

Als de url op het einde je zoekpagina of je startpagina is, dan is alles in orde.
Als dit niet het geval is, dan selecteer je de sleutel en laat je HijackThis deze repareren.
De R3-items kan je best altijd repareren, tenzij het een programma is dat je kan thuisbrengen.


F0 - F1: Ini-files - Automatisch geladen programma's.

Dit zijn programma's die automatisch opstarten terwijl je systeem ook opstart.


Code en Uitleg

F0 = Een veranderde INI-file waarde
F1 = Een nieuwe INI-file waarde

Hoe ziet dit eruit:

F0 - system.ini: Shell=Explorer.exe Openme.exe
F0 - system.ini: Shell=Explorer.exe C:WINDOWSSystem32cmd32.exe
F1 - win.ini: run=hpfsched

De F0-items zijn altijd slecht, en kan je best laten repareren door HijackThis.
De F1-items moeten afzonderlijk bekeken worden. Het zijn meestal oude en veilige programma's.
Zoek wat meer info over de filenaam om te kijken of ze kwaadaardig zijn.


N1 - N2 - N3 - N4: Mozilla en Netscape start-/zoekpagina url's

Hoe ziet dit eruit:

N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:Program FilesNetscapeUsersdefaultprefs.js)
N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:Documents and SettingsUserApplication DataMozillaProfilesdefaulto9t1tfl.sltprefs.js)

N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:Documents and SettingsUserApplication DataMozillaProfilesdefaulto9t1tfl.sltprefs.js)

Mozilla en Netscape start- en zoekpagina's zijn meestal veilig.
Ze worden zelden gehijacked.
Zie je toch een url die niet je start- of zoekpagina is, dan laat je deze best repareren door Hijack This.


O1: Hostfiles

Dit zijn wijzigingen aan je hosts file. Je hosts file (deze kan je terugvinden onder: "%Systemroot%System32driversetchosts" of "C:WindowsSystem32hosts") wordt gebruikt om van namen, adressen te maken die je PC begrijpt. Meestal moet deze file leeg zijn (op een aantal regel commentaar en een "localhost" entry na), tenzij je hier zelf iets ingezet hebt.

Code en Uitleg

O1 = Een entry in de hosts file


Hoe ziet dit eruit:

O1 : Hosts: 216.177.73.139 auto.search.msn.com
O1 : Hosts: 216.177.73.139 search.netscape.com
O1 : Hosts: 216.177.73.139 ieautosearch
O1 : Hosts: 207.44.240.65 ads.x10.com

Deze hijack verbindt het adres rechts opnieuw met het IP-adres links. Als het IP niet toebehoort aan dit adres, wordt je telkens opnieuw doorverbonden naar een verkeerde site, elke keer je dit adres gebruikt of ingeeft.
Heb je deze entry er zelf ingezet, dan kan je ze laten staan. Anders laat je ze repareren door HijackThis.

O2: Browser Helper Objects

Browser Helper Objects zijn programma's die zich in je internet browser nestelen, om daar nuttige, en minder nuttige taken uit te voeren.
Meestal worden BHO's geïnstalleerd door andere programma's.

Code en Uitleg

O2 = Een Browser Helper Object


Hoe ziet dit eruit:

O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:PROGRAM FILESYAHOO!COMPANIONYCOMP5_0_2_4.DLL
O2 - BHO: (no name) - {ABC6E7B5-9839-E1A7-3F27-B46EA0DAEBBF} - C:WINDOWSsystem32kuydznif.dll
O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:PROGRAM FILESPOPUP ELIMINATORAUTODISPLAY401.DLL (file missing)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:PROGRAM FILESMEDIALOADS ENHANCEDME1.DLL

Wanneer je een Browser Helper Object (BHO) niet onmiddellijk herkent, kan je de BHO-list gebruiken van Tony Klein.
Hier kan je de class ID opzoeken om te zien of deze kwaadaardig is of niet.

Mirror BHO-list

Wordt de BHO aangeduid met een X dan is het spyware.
Een L betekent dat het een veilig object is.


O3 - Internet Explorer Toolbars
De toolbars zijn een onderdeel van je Internet Explorer.

Code en Uitleg

O3 = Een IE Toolbar - (Lijst CLSID)

Hoe ziet dit eruit:

O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:PROGRAM FILESYAHOO!COMPANIONYCOMP5_0_2_4.DLL
O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:PROGRAM FILESPOPUP ELIMINATORPETOOLBAR401.DLL (file missing)
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:Program FilesMyWaymyBar2.binMYBAR.DLL
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:WINDOWSAPPLICATION DATACKSTPRLLNQUL.DLL

Ook van de toolbars bestaat er een lijst waarin je aan de hand van de CLSID kan opzoeken of de toolbar spyware is of niet.

Als de CLSID niet in de lijst staat, en de naam is een samenraapsel van allerlei karakters en deze is gelokaliseerd in de map Application Data (zoals het laatste voorbeeld), dan kan je stellen dat deze spyware is. Laat hem repareren door HijackThis.


O4 - Automatisch startende programma's
Veel spyware wordt automatisch opgestart als de computer wordt aangezet.

Code en Uitleg

O4 = Automatisch startende programma's

Hoe ziet dit eruit:

O4 - HKLM..Run: [ScanRegistry] C:WINDOWSscanregw.exe /autorun
O4 - HKLM..Run: [SystemTray] SysTray.Exe
O4 - HKLM..Run: [ccApp] "C:Program FilesCommon FilesSymantec SharedccApp.exe"
O4 - Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOfficeOSA9.EXE

Op http://www.sysinfo.org/startupinfo.htmlkan je meer informatie krijgen over het programma dat opstart.
Je kunt controleren of deze kwaad- of goedaardig is.

Let wel op: sommige opstart-items kunnen zowel goed als slecht zijn.
Goed interpreteren en kijken waar het zich bevindt….
Een andere site waar je ook een aantal opstartitems kunt controleren is de volgende:

http://www.liutilities.com/products/wintaskspro/processlibrary/


O5 - Internet Explorer opties verborgen in configuratiescherm

Code en Uitleg

O5 = Internet Explorer opties verborgen in configuratiescherm

Hoe ziet dit eruit:

O5 - control.ini: inetcpl.cpl=no

Als deze sleutel er tussen staat wil dit zeggen dat 'Internet Opties' verborgen is in het configuratiescherm.
Als je deze instelling niet zelf gemaakt hebt, kan je deze selecteren en dit laten repareren door HijackThis.
Zie ook dit Microsoft Knowledge Base Article.


O6 - Internet opties ingesteld door de Administrator

Als deze sleutel er tussen staat, betekent het dat jij geen wijzigingen aan kan brengen in Internet Explorer - Extra - Internetopties. Spybot Search & Destroy heeft de mogelijkheid om dit aan te zetten (onder de "'Lock homepage from changes" optie).

Code en Uitleg

O6 = IE opties beperkt door de Administrator

Als je Internet Explorer settings wilt kunnen blijven wijzigen, dan moet je dit laten repareren door HijackThis.

Gismo

[Gismo1]

Hijack This - HANDLEIDING (deel 2)

O7 - Regedit is uitgeschakeld

Als deze sleutel er tussen staat, betekent het dat je het programma 'regedit' niet op mag starten.
Deze instelling wordt normaal gebruikt op een bedrijfs netwerk om te voorkomen dat je dingen wijzigt die je niet mag wijzigen.

Code en Uitleg

Hoe ziet dit eruit:

O7 - HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem, Disable Regedit=1

Als je deze melding op een prive PC krijgt, kan je Hijackthis dit met gemak laten fixen door het te selecteren.


O8 - Extra items in rechtsklikmenu van Internet Explorer

Dit zijn programma's die beschikbaar zijn in Internet Explorer als je met de rechter muisknop klikt op een gedeelte van een webpagina. Sommige toolbars maken gebruik van deze optie.

Code en Uitleg

O8 = Extra opties in het rechtsklik menu van IE

Hoe ziet dit eruit:

O8 - Extra context menu item: &Google Search - res://C:WINDOWSDOWNLOADED PROGRAM FILESGOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html
O8 - Extra context menu item: Add A Page Note - C:Program FilesCommonNameAddressBarcreatenote.htm
O8 - Extra context menu item: Yahoo! Search - file:///C:Program FilesYahoo!Common/ycsrch.htm
O8 - Extra context menu item: Zoom &In - C:WINDOWSWEBzoomin.htm
O8 - Extra context menu item: Zoom O&ut - C:WINDOWSWEBzoomout.htm

Als je het item in het rechtsklik-menu je niet bekend voorkomt, laat je dit repareren door HijackThis.


O9 - Extra knoppen in IE -toolbar en extra items in Menu-Extra-Opties.

Dit zijn programma's die beschikbaar zijn in Internet Explorer in de standaard toolbar (degene met de knoppen als "Stop", "Refresh" en "Forward" en "Back", of de programma's die in het "Tools" of "Extra" menu staan.

Code en Uitleg

O9 = Extra knoppen in IE -toolbar en extra items in Menu-Extra-Opties

Hoe ziet dit eruit:

O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger(HKLM)
O9 - Extra button: AIM (HKLM)

Als je de naam van knop of van het menu-item niet herkent, laat je dit best repareren door HijackThis.


O10 - Winsock Hijackers

Sommige programma's vestigen zich tussen je internetprogramma (browser) en je internetverbinding (ADSL, kabel) om zo de bepaalde websites te veranderen of om passwoorden te stelen.

Code en Uitleg

O10 = Winsock Hijackers

Hoe ziet dit eruit:

O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'c:progra~1common~2 oolbarcnmib.dll' missing
O10 - Unknown file in Winsock LSP: c:program files
ewton knowsvmain.dll

Dit soort trojans zijn een groot probleem. Je kunt het probleem best oplossen met het programma LSP-Fix.

Meer informatie vind je hier. Het programma:Download LSPFix. Een ander programma vind je hier


O11 - Extra items in IE "Advanced Options" window

Als je naar Tools (Extra) -> Internet Options (Internet Instellingen) gaat, om vervolgens het tabblad "Advanced" (Geavanceerd) aan te klikken, zie je hier een groot aantal opties om je Internet Explorer volledig aan te passen aan je wensen. Sommige programma's voegen zichzelf ook hier aan toe.

Code en Uitleg

O11 = Extra items in IE "Advanced Options" window

Hoe ziet dit eruit:

O11 - Options group: [CommonName] CommonName

De enige kaper die op dit moment bekend is, noemt "Commonname". Als je dit programma liever niet gebruikt, kan je deze sleutels selecteren om het te laten verwijderen.

O12 - Internet Explorer Plugins

Dit zijn plug-ins die extra functionaliteit toevoegen aan de browser zelf. Om bijvoorbeeld Flash filmpjes af te kunnen spelen, PDF documenten te kunnen lezen vanuit je browser,…

Code en Uitleg

O12 = Internet Explorer Plugins

Hoe ziet dit eruit:

O12 - Plugin for .spop: C:Program FilesInternet ExplorerPluginsNPDocBox.dll
O12 - Plugin for .PDF: C:Program FilesPLUGINS
ppdf32.dll

Normaal gesproken staat hier niets tussen wat schadelijk is.
Alleen Onflow is een plugin die niet gewenst

O13 - IE Default Prefix hijack

Normaal gesproken kan Internet Explorer automatisch een URL aanvullen. Voorbeeld: in de browser tik je in www.google.be en Internet Explorer maakt hier automatisch http://www.google.be van. De sleutels die hierin staan, zorgen er voor dat al dit soort links, via een pagina gaan van deze Spyware leverancier.

Code en Uitleg

O13 = Internet Explorer Default Prefix hijack

Hoe ziet dit eruit:

O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: http://ehttp.cc/?

Je kunt deze dus altijd laten repareren door Hijack This.


O14 - Standaard instellingen van Internet Explorer

Als je in Internet Explorer er voor kiest om alles weer op standaard instellingen te zetten (Tools -> Options -> Use Default), dan worden deze 'standaard' instellingen geladen vanuit een bestand genaamd "iereset.inf". Als een Spyware programma deze zo aanpast dat de Spyware geladen blijft, blijf je altijd op de Spyware uitkomen.

Code en Uitleg

O14 = Reset Web Settings hijack

Hoe ziet dit eruit:

O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com
O14 - IERESET.INF: START_PAGE_URL=http://192.168.85.85:3128/ken2000.html
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

Deze sleutels kan je dus altijd laten repareren door HijackThis. (behalve als dit je Internet Service Provider is)


O15 - Ongewilde websites in de "Trusted" zone van Internet Explorer

Websites die in de "Trusted" zone van Internet Explorer staan, worden door Internet Explorer als betrouwbaar gemarkeerd. Dit betekent dat ze meer dingen mogen dan normale websites.

Code en Uitleg

O15 = Websites in de trusted zone van IE

Hoe ziet dit eruit:
O15 - Trusted Zone: http://free.aol.com
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.msn.com

Als je hier websites ziet staan die je niet vertrouwd, kan je deze selecteren zodat ze verwijderd worden.
Meestal AOL en Coolwebsearch voegen sites toe aan de Trusted zone.


O16 - Active X Objects

Code en Uitleg

O16 = Active X object

Hoe ziet dit eruit:

O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} -
http://imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.6.cab
O16 - DPF: {2ABE804B-4D3A-41BF-A172-304627874B45} - http://akamai.downloadv3.com/binaries/DialHTML/EGDHTML_XP.cab

Als je de naam van het object niet herkent, of de website vanwaar je het gedownload hebt, dan laat je dit best repareren door HijackThis.
Als de naam van de url woorden bevat zoals dialer, casino, free_plugin, enz… dan moet je deze altijd laten repareren.


O17 - LOP.com Domain Hijacks

Internetadressen zonder punt in bestaan eigenlijk niet. Toch werkt het wel als je bv 'google' in je de adresbalk van je browser typt. Internet Explorer probeert automatisch een aantal veel voorkomende fouten te herstellen. Zo kan het van "google" automatisch "www.google.com" maken. Een van de namen die Internet Explorer automatisch probeert, is om de instelling van domeinnaam die je opgegeven hebt, automatisch achter het internetadres te plakken. Heb jij bijvoorbeeld localnet opgegeven als domeinnaam, dan probeert Internet Explorer bij een zoekopdracht om "google" op te lossen, automatisch "google.localnet". Als een Spyware programma dit ook aanpast, zullen dit soort links via een website gaan van een Spyware maker.

Code en Uitleg

O17 = LOP.com Domain Hijacks

Hoe ziet dit eruit:

O17 - HKLMSystemCCSServicesVxDMSTCP: Domain = aoldsl.net
O17 - HKLMSystemCCSServicesTcpipParameters: Domain = W21944.find-quick.com
O17 - HKLMSoftware..Telephony: DomainName = W21944.find-quick.com
O17 - HKLMSystemCCSServicesTcpip..{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
O17 - HKLMSystemCS1ServicesTcpipParameters: SearchList = gla.ac.uk
O17 - HKLMSystemCS1ServicesVxDMSTCP: NameServer = 69.57.146.14,69.57.147.175

Als de domeinnaam niet van ISP is of van je company netwerk, laat HijackThis deze dan repareren. Idem voor SearchList-entries. Voor de NameServer (DNS-server) entries google je op het IP om te zien of dit goed of slecht is.


O18 - Extra Protocollen en Protocol Hijackers

Sleutels die hier staan zijn niet altijd te vertrouwen, maar geeft op dit moment te veel "valse positieven" om blind op te vertrouwen.

Code en Uitleg

O18 = Extra protocollen en protocol hijackers

Hoe ziet dit eruit:

O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:PROGRA~1COMMON~1MSIETSmsielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Slechts een paar hijackers treden hier op. De gekende boosdoeners zijn:

1. cn (CommonName)
2. ayb (Lop.com)
3. relatedlinks (Huntbar)

Andere zaken die optreden zijn tot nu toe niet bevestigd als veilig of als hijacked (CLSID is veranderd) door spyware. In het laatste geval laten repareren door HijackThis.


O19 - User Style sheet hijack

Code en Uitleg

O19 = User style sheet hijack

Hoe ziet dit eruit:

O19 - User style sheet: c:WINDOWSJavamy.css

Als de browser trager wordt, of je krijgt regelmatig popups, dan kun je dit best repareren.
Deze zaken worden veroorzaakt door coolwebsearch en je kan deze dan ook best laten repareren door CWShredder.

Meer informatie over dit programma kan je hier vinden.


O20 - AppInit DLLs Register waarde: automatisch startend

Code en Uitleg

O20 = AppInit_DLLs Register waarde: automatisch startend

Hoe ziet dit eruit:

De waarde AppInit_DLLs in HKEY_LOCAL_MACHINESoftwareMicrosoftWindows, laadt een DLL-file in het geheugen, wanneer de gebruiker inlogt. Deze DLL blijft in het geheugen geladen tot de gebruiker weer uitlogt. Een paar legitieme programma's maken er gebruik van (Norton CleanSweep gebruikt APITRAP.DLL), maar meestal wordt dit gebruikt door trojans of agressieve browserkapers.


O21 - ShellServiceObjectDelayLoad

Code en Uitleg

O21 = ShellServiceObjectDelayLoad

Hoe ziet dit eruit:

O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:WINDOWSSystemauhook.dll

Dit is een autorun methode die normaal door slechts een aantal Windows system componenten gebruikt wordt. De items die staan in het register op HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion ShellServiceObjectDelayLoad worden door Explorer geladen wanneer Windows start.
HijackThis maakt gebruik van een white list met de meest voorkomende (gebruikelijke) SSODL items. Als er dus een item verschijnt in de HijackThislog, is deze ongekend en waarschijnlijk van kwaadaardige oorsprong. Toch moet je deze met de nodige voorzichtigheid behandelen.
Behoren momenteel tot de 'white list':

1. "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}" ( %SystemDir%Shell32.dll)
2. "CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}" (%SystemDir%SHELL32.dll)
3. "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" (%SystemDir%webcheck.dll)
4. "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}" (%SystemDir%stobject.dll)
5. "AUHook" ="{11566B38-955B-4549-930F-7B7482668782}" (%SystemDir%auhook.dll)
6. "Network.ConnectionTray"="{7007ACCF-3202-11D1-AAD2-00805FC1270E}" (%SystemDir%
etshell.dll)
7. "UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}" (%SystemDir%upnpui.dll)


O22 - SharedTaskScheduler

Code en Uitleg

O22 = SharedTaskScheduler

Hoe ziet dit eruit:

O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:windowssystem32mtwirl32.dll

Een autorun functie die enkel geldt voor Windows 2000 en Windows XP. Deze wordt heel zelden gebruikt. Voorlopig is de enige die hiervan gebruik maakt CWS.Smartfinder.
Toch met de nodige voorzichtigheid behandelen.

Aangepast op 19.08 voor de nieuwe versie van Hijack This.

Gismo

[Gismo1]

Ondertussen is hier al veel gesproken over BHO.

Een complete lijst vind je in onderstaande link.
Tevens kan je hier nog andere sites vinden die spyware behandelen.

Dit is echter wel in het Engels.

http://www.generation.net/~hleboeuf/bho_a_d.htm

Gismo

Mocht het zijn dat eventuele linken niet (meer) zouden werken, stuur dan een PM.

Bedankt.