HijackThis uitgelegd !

[Gast]

HijackThis Downloaden: http://www.merijn.org/files/hijackthis.zip (laatste versie 1.99.1)

 

Unzip het programma in een eigen map. Niet op je desktop en niet in je temp-map. HijackThis maakt namelijk backups en misschien heb je deze in de toekomst nog nodig.

Klik op het bestand HijackThis.exe. Voor je gaat scannen ga je naar Config... en controleer je of er een vinkje staat voor 'Make backups before fixing items'. Klik op de knop Back.

Klik op de Scan. Na het scannen verandert de Scan knop in een Save log knop. Klik op Save log om het log op te slaan.

 

De gebruikers van McAfee Antivirus kunnen een melding krijgen bij het unzippen van deze versie van HijackThis: W32/Generic.worm!p2p

Dit is echter een valse melding...

 

[color:"blue"] Betekenis Hijackthis-codes:

[/color]

 

R0 --> : Start- en zoekpaginas Internet-Explorer

R1 --> : Zoekfuncties e.d. Internet Explorer

R3 --> : URL Search Hook

F0-F1 --> : Automatische startende programmas (System.ini&Win.ini)

F2-F3 --> : Automatische startende programmas (Windows 2000/XP)

N1-N4 --> : Start -en zoekpagina’s Netscape/Mozilla

01 --> : Hosts-bestand

02 --> : Browser Helper Objects( BHO)

03 --> : Werkbalken Internet-Explorer

04 --> : Automatische startende programmas

05 --> : Internet-opties zijn verborgen in configuratiescherm

06 --> : Internet-opties ingesteld door de Administrator

07 --> : Programma Regedit mag niet opstarten

08 --> : Extra opties in rechtsklikmenu Internet-Explorer

09 --> : Extra knoppen in werkbalk of extra opties in Extra-menu

010 --> : Winsock-kapers

011 --> : Extra items in geavanceerde instellingen Internet-Explorer

012 --> : Plugins Internet Explorer

013 --> : Prefixkapers Internet Explorer (http://is zo een prefix)

014 --> : Standaardinstellingen van Internet Explorer

015 --> : Vertrouwde websites in Internet Explorer

016 --> : ActiveX-componeten

017 --> : LOP.com DomeinHijacks

018 --> : Extra Protocollen en protocolkapers

019 --> : User stylesheetkapers

020 --> : Applnit_DLLs registerwaarde: automatisch startend

021 --> : ShellServiceObjectDelayLoad

022 --> : SharedTaskSheduler

 

[color:"blue"]Start en Zoekprogrammas : [/color]

 

De codes R0,R1 en R3 geven informatie over de start -en zoekpagina's van Internet Explorer.

Deze regels zijn alleen in orde als u zelf bewust andere start -en zoekpagina's hebt opgegeven en u de genoemde links herkent.

Zo niet, dan kunt u met HijackThis de regels verwijderen.

Regels die beginnen met R3, zijn vrijwel altijd spyware, tenzij u het programma anders kan duiden.

De codes N1 tot en met N4 referen aan de start-en zoekpagina's van Nestcape en Mozilla.

Deze zijn meestal veilig, omdat ze zelden worden gekaapt.

 

[color:"blue"]Automatisch startende programma's :[/color]

 

Verschillende categorieën hebben betrekking op programma's die automatisch door Windows worden gestart.

F0 en F1 duiden op programma's die middels Shell-,run-of Load-commando's in de bestanden system.ini en win.ini worden geladen.

F0-items zijn vaak spyware, F1-items zijn meestal oude (veilige) programma's.

In Windows 9X worden deze commando's gebruikt om programma's te laden, maar recente programma's en drivers maken hier geen gebruik meer van.

F2 en F3 zijn vergelijkbaar met F0 en F1, maar worden in Windows 2000 XP opgeslagen in het register.Controleer goed of hier geen verdachte zaken bij zitten.

04-items komen veel vaker voor.Ze refereren aan programma's die geladen worden via een aantal registersleutels (bijvoorbeeld Run of RunOnce).

Ook kunnen ze via een snelkoppeling in de map Opstarten worden geladen; dit is het geval als in het 04-item de term (Global) Startup staat. Om te ontdekken of een automatisch startend programma goed of slecht is, kunt u de websites raadplegen.

HijackThis verwijdert niet de programmabestanden waar de F - en 0 -regels aan refereren.

Desgewenst kunt u ze handmatig verwijderen, bij voorkeur in de veilige modus.

 

[color:"blue"]Host-bestand : [/color]

 

01 geeft wijzigingen in het hosts-bestand aan.

Standaard bevat dit bestand alleen een verwijzing naar adres 127.0.0.1 van de naam 'localhost'.

Hebt u zelf niets toegevoegd aan dit bestand, dan verwijdert u deze regels.Mogelijk bevindt het Hosts-bestand zich ook niet op de standaardlocatie.hebt u deze locatie niet zelf gewijzigd, dan laat u dit repareren.Zo verplaatst een CoolWebSearch-infectie het Hosts-bestand naar C:\Windows\Help\hosts.

 

[color:"blue"]Bho 's en werkbalken : [/color]

 

Browser Helper Objects of BHO 's (code 02)zijn programma 's die zich in de browser nestelen, om daar bepaalde taken uit te voeren.Meestal worden BHO 's door andere programma 's geïnstalleerd.Onschadelijke voorbeelden hiervan zijn Acrobat reader en de Google Toolbar.

In het logbestand staat tussen accolades een uniek identificatienummer, bijvoorbeeld {13F537F0-A F09-11d6-9029-0002B31F9E59}, dat ieder BHO identificeert.

De BHO-lijst van Tony Klein http://sysinfo.org/bholist.php helpt u met de identifatie: X is spyware, L is veilig.ook de werkbalken (code 03) van Internet Explorer hebben zo 'n unieke ID.

HijackThis zal proberen de bestanden van BHO 's te verwijderen.

Is het bestand nog in gebruik ? Start dan uw pc op in de veilige modus en verwijder het bestand handmatig.

 

[color:"blue"]Diverse Opties : [/color]

 

Code 05 houdt in dat het pictogram voor de internet-opties in het internet Explorer is verborgen in het configuratiescherm, terwijl code 06 betekent dat u in de internet-opties geen wijzigingen kunt aanbrengen.

Dit laatste is mogelijk het gevolg van een instelling in Spybot Search&Destroy.

Code 07 houdt in dat u het programma Regedit niet kan opstarten, wat voorkomt in sommige bedrijfsnetwerken.

Code 08 verwijst naar extra opties in het rechterklikmenu van Internet Explorer, en 09 naar extra knoppen in het menu en de werkbalk van Internet Explorer.

Code 011 betreft programma' s, al dan niet kwaadaardig, die zich nestelen in de Geavanceerde Internet-Opties van Internet Explorer.Voor al deze items geldt:

laat ze repareren als u deze instelling niet zelf hebt gemaakt of niet herkent.

HijackThis verwijdert dus NIET de bijbehorende bestanden.

 

[color:"blue"]Winsock-kapers : [/color]

 

Sommige programma 's (010) nestelen zich tussen uw browser en internetverbinding om zo bepaalde websites te veranderen of wachtwoorden te stelen.

Deze categorie wordt ook wel LSP (Layered Service Provider) genoemd.

Spyware of hijackers die zich hier genesteld hebben, kunnen al het verkeer waarnemen.

Dit sort Trojans zijn een groot problem.

U kunt ze het beste verwijderen met het programma LSP-Fix http://www.cexx.org/lspfix.htm

 

[color:"blue"]Internet Explorer-Plugins : [/color]

 

Plugins (012) voegen meestal extra functionaliteit toe aan de browser.

Onschadelijke voorbeelden zijn te vinden in Acrobat Reader en Macromedia Flash Player.

Plugins worden geladen als de browser wordt gestart.Over het algemeen zijn ze niet schadelijk.Maar als u met HijackThis bijvoorbeeld een verwijzing weghaalt, wordt ook het respectieve bestand verwijderd. Soms is het bestand nog in gebruik.Verwijder het dan in de veilige modus.

 

[color:"blue"] Prefixkaper : [/color]

 

Wanneer u in de browser www.google.be intikt, voegt internet Explorer hier standaard het voorvoegsel http:// aan toe. De zogenoemde prefixkapers (013) zorgen ervoor dat dit soort links verwijzen naar een pagina van de spywaremaker. Zo wijzigen CoolWebSearch-kapers in het register het voorvoegsel in (http://ehttp.cc/?).

Wie dan www.google.be intikt, komt terecht op de website van CoolWebSearch: (http://ehttp.cc/?www.google.be).

Als een gevonden item een CoolWebSearch-variant is, kunt u dit het beste eerst verwijderen net CWShredder.

 

[color:"blue"]IE-Standaardinstellingen : [/color]

 

Herstelt u in Internet Explorer de webinstellingen --> Internet-Opties --> programma's --> Webinstellingen herstellen), dan worden deze standaardinstellingen geladen

vanuit het bestand iereset.inf.

Maar als dit bestand door spyware is aangepast, wordt steeds foutieve informatie ingelezen.

Items met code 014 kunt u altijd laten verwijderen.

 

[color:"blue"]Vertrouwde websites : [/color]

 

Code 015 betreft alle vertrouwde websites in internet explorer. Sommige spyware voegt hier achter uw rug gevaarlijke websites aan toe.

Verwijder alle websites die u niet herkent of vertrouwt.

 

[color:"blue"]ActiveX-componenten : [/color]

 

Alle ActiveX-componenten die in uw browser zijn geïnstalleerd, zijn voorzien van code 016.

Verwijder alle items waarvan u de naam of de website van het component niet herkent.

Zeker als de naam of url dubieuze verwijzingen bevat, zoals dialer, casino, freeplugin, enz.

 

[color:"blue"]Lop.com : [/color]

 

Sommige kapers (zoals Lop.com) veranderen de DNS-serveradressen die u gebruikt in die van hun eigen DNS-servers, zodat zij u kunnen doorverwijzen

naar elke site die ze maar willen.

Verder voorkomt Internet Explorer veelvoorkomende bij het typen van adressen door bijvoorbeeld (.com) achter google te plakken.

Spyware maakt hier misbruik van. Komt u domeinnamen met code 017 tegen, die niet van uw internetaanbieder zijn, laat HijackThis dan de situatie herstellen.

Hetzelfde geldt voor SearchList-items. Controleer of de juiste DNS-servers worden gebruikt.

 

[color:"blue"]Protocol -en stylesheetkapers : [/color]

 

Over items met code 018 bestaat nog veel onduidelijkheid. Het is mogelijk dat de respectieve spyware de instellingen van een bepaalde protocol wijzigt om zo controle te krijgen over de informatie-uitwisseling met internet.

Code 018 kan zowel goede als slechte items bevatten. Verwijder dus pas iets als u zeker weet dat het om Spyware gaat.

Code 019 schijnt vooral door CoolWebSearch te worden gebruikt: het standaardstylesheet wordt door de kaper overschreven, zodat het bijvoorbeeld eigen popups kan tonen.

Gebruik bij voorkeur CWShredder om dit te verhelpen.

HijackThis verwijdert niet het bijbehorende bestand.

 

[color:"blue"]Nieuwe codes : [/color]

 

De codes 020, 021 en 022 duiden op drie verschillende registersleutels om automatisch programma 's of dll 's te laden.

Voor de codes 021 en 022 geldt dat slechts een paar legitieme programma 's hiervan gebruikmaken.

De kans op misbruik door spyware is veel groter.

Voor de code 021 gebruikt HijackThis een white list met legitieme items die het meest voorkomen. Komt u code 021 tegen in het logbestand, dan is deze vermelding dus onbekend en waarschijnlijk van kwaadaardige oorsprong. Maar dan is het raadzaam niet overhaast te handelen.

 

[color:"blue"]Backups herstellen : [/color]

 

Hebt u HijackThis per ongeluk iets laten verwijderen dat toch essentieel bleek te zijn voor uw systeem, dan gaat u vanuit het hoofdvenster naar Config/Backups.

Iedere verwijderde regel is voorzien van een datum- en tijdcode en kan apart worden hersteld.

 

[color:"blue"]Liever voorkomen : [/color]

 

Het cliché voorkomen is beter dan genezen gaat nog steeds op. Dat we af en toe op een verkeerde pagina belanden, is bijna onvermijdelijk, zelfs als we de grootste boosdoeners (websites met illegale software, muziek e.d.) zorgvuldig vermijden.

Gebruikt u internet Explorer als uw standaard browser, dan is het cruciaal dat u deze goed beveiligt en alle patches installeert. Nog veiliger is het gebruik van een alternatieve browser, die niet zomaar allerlei ActiveX-componenten afspeelt, zoals bijvoorbeeld Opera (aanrader), of Firefox.

Wees terughoudend met het installeren van software waarvan u de fabrikant niet kent.

Zelfs in programma 's die zich voordoen als anti-spywaresoftware, blijkt soms juist spyware verborgen te zitten.

 

 

[color:"blue"]

("`-´´-/").__..--´´"`-._

`6_ 6 ) `-. ( ).`-.__.`)

(_Y_.)´ ._ ) `._ `.``-..-´

(il),-´´ (li),´ ((!.-´

[/color]

 

BJ