|
Handleiding HijackThis
Hoe gebruik je HijackThis om Browser Hijackers en
Spyware te verwijderen.
Inhoudsopgave:
1. Waarschuwing.
2. Introductie.
3. Hoe gebruik je HijackThis.
4. Hoe zet je items terug die per ongeluk verwijderd
zijn.
5. Hoe maak je een Startup lijst.
6. Hoe gebruik je de Proces Manager.
7. Hoe gebruik je de Hosts File Manager.
8. Hoe gebruik je de functie Delete on reboot.
9. Hoe gebruik je ADS Spy.
10. Hoe gebruik je de Uninstall Manager.
11. Hoe interpreteer je de logfile.
12. Hoofdstuk R0 - ,R1 - ,R2 - en R3 - items.
13. Hoofdstuk F0 - ,F1 -,F2 - en F3 - items.
14. Hoofdstuk N1 - ,N2 - ,N3 - en N4 - Sectie.
15. Hoofdstuk O1 - items.
16. Hoofdstuk O2 - items.
17. Hoofdstuk O3 - items.
18. Hoofdstuk O4 - items.
19. Hoofdstuk O5 - items.
20. Hoofdstuk O6 - items.
21. Hoofdstuk O7 - items.
22. Hoofdstuk O8 - items.
23. Hoofdstuk O9 - items.
24. Hoofdstuk O10 - items.
25. Hoofdstuk O11 - items.
26. Hoofdstuk O12 - items.
27. Hoofdstuk O13 - items.
28. Hoofdstuk O14 - items.
29. Hoofdstuk O15 - items.
30. Hoofdstuk O16 - items.
31. Hoofdstuk O17 - items.
32. Hoofdstuk O18 - items.
33. Hoofdstuk O19 - items.
34. Hoofdstuk O20 - items.
35. Hoofdstuk O21 - items.
36. Hoofdstuk O22 - items.
37. Hoofdstuk O23 - items.
38. Hoofdstuk O24 - items.
39. Conclusie
40. Credit
1. Waarschuwing:
HijackThis moet alleen gebruikt worden als de browser of computer nog
steeds problemen ondervindt nadat Spybot Search & Destroy, Ad-Aware SE
of een ander anti-spyware scanner gebruikt zijn.
HijackThis is een geavanceerd programma en vereist daarom geavanceerde
kennis van Windows en besturingssystemen in het algemeen.
Als er items verwijderd worden zonder dat je weet wat het is, kan dit
leiden tot andere problemen, zoals het niet meer werken van het internet of
problemen met Windows zelf.
Je zult eerst alle andere mogelijkheden moeten gebruiken om
Spyware/Hijackers of Trojans te verwijderen voordat HijackThis gebruikt
wordt.
Als je objecten met HijackThis verwijderd voordat een removal tool je
computer heeft gescand zullen de files van de Hijacker/Spyware op de pc
blijven staan en nadien gebruikte removal tools niet meer in staat zijn om
deze ingangen te vinden.
Als je geen geavanceerde kennis hebt van computers moet je de objecten niet
herstellen voordat een expert je advies heeft gegeven.
Als je reeds Spybot Search & Destroy en Ad-Aware SE hebt gebruikt en er
blijven problemen bestaan, lees dan deze handleiding door en plaats een
HijackThis log op een forum met gedetailleerde vermelding van de problemen
en wat je gedaan hebt.
Je zult dan zo snel mogelijk advies krijgen wat je moet herstellen.
2. Introductie:
HijackThis is een stukje gereedschap dat een lijst laat zien van bepaalde
configuraties die op je pc gevonden zijn.
HijackThis scant je register en andere bestanden op ingangen die door
Spyware of Hijackers achtergelaten kunnen worden.
Het interpreteren van deze resultaten kan moeilijk zijn omdat er veel
legitieme programma’s zijn die geïnstalleerd worden op dezelfde
manier als de Hijackers.
Daarom moet je extreem voorzichtig zijn als HijackThis gebruikt wordt om de
problemen te herstellen.
Er kan niet met genoeg nadruk gewezen worden op de waarschuwing hierboven.
Er zijn momenteel twee handleidingen op het internet, maar geen van beiden
leggen uit wat elke sectie nu eigenlijk betekent zodat een leek het kan
begrijpen.
Deze handleiding, die laat zien hoe HijackThis gebruikt moet worden, geeft
daarnaast ook uitleg in details over de secties en wat ze eigenlijk
betekenen.
Er is geen reden waarom je niet zou begrijpen wat je hersteld, wanneer de
experts je log onderzoeken en je vertellen wat je moet doen.
Als je eerst een handleiding wilt lezen hoe je Spybot Search & Destroy
moet gebruiken, klik dan hier:
http://www.bleepingcomputer.com/forums/tutorial43.html (Engels)
We gaan nu verder met de handleiding over het gebruik van HijackThis.
Als je een normale afmeting van de screenshots wilt zien kun je er op
klikken, bedenk wel dat er een nieuwe venster zal openen.
Als je een pop-up blokker gebruikt kan deze het openen van deze vensters
tegengaan.
3. Hoe gebruik je HijackThis:
De eerste stap is om HijackThis te downloaden naar een locatie op je
computer waarvan je weet dat je deze terug kunt vinden.
Dit programma heeft geen installer, je zult je dus moeten herinneren waar
het programma op je computer staat om het in de toekomst te kunnen starten.
Je kunt HijackThis hier downloaden: http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
Dubbelklik op HJTInstall.exe, en aanvaard de standaard installatie
locatie.
Het is belangrijk dat HijackThis naar een eigen map wordt uitpakt
omdat deze map ook gebruikt wordt als HijackThis backups maakt
bij het repareren van problemen.
Wanneer je HijackThis geïnstalleerd hebt, vind je een snelkoppeling
op je Bureaublad, of navigeer met behulp van Windows Verkenner
of Mijn Computer naar de installatie locatie en dubbelklik op
het icoon voor HijackThis.exe, wanneer je het voor de eerste keer
start zul je een scherm zien zoals in onderstaand figuur.
HijackThis start scherm als deze voor de eerste keer gestart wordt
Plaats geen vinkje in de checkbox die blauw omlijnd is genaamd: Show this window when I start HijackThis, omdat de meeste
instructies die gegeven worden niet voor dit scherm gelden.
Nadat je nagezien hebt dat de checkbox is afgevinkt, klik dan op de button (rode kader) None
of the above, just start the program.
Je zult dan het scherm krijgen zoals in figuur 1 (hieronder) weergegeven
is.
Figuur 1: Start scherm van HijackThis
Je zult nu eerst op de knop Config moeten klikken, welke is
aangegeven door het blauwe kader in figuur 1, om te controleren of de
instellingen kloppen met de instellingen zoals in figuur 2 aangegeven.
De opties die aangevinkt moeten worden zijn aangegeven door het rode kader.
Figuur 2: HijackThis configuratie opties
Wanneer je klaar bent met het instellen van deze opties druk dan op de Back
knop en vervolg de rest van deze handleiding.
Om met HijackThis je computer te scannen op mogelijke Hijackers moet je op
de door een rode kader omgeven Scan knop klikken, zoals aangegeven
in figuur 1.
Je krijgt dan een scherm met alle items die het programma gevonden heeft
zoals aangegeven in figuur 3.
Figuur 3: Scan resultaten
Op dit punt heb je nu een lijst met alle items die door HijackThis gevonden
zijn.
Als hetgeen je ziet verwarrend en ontmoedigend is, klik dan op de Save
Log knop, aangegeven in het rode kader, en schrijf de log weg naar een
locatie op de computer welke je later makkelijk kunt terugvinden.
Om het log te openen en het naar een forum te kopiëren moet je de
volgende stappen volgen:
1. Klik op Start > Uitvoeren, type in
het venster Notepad en klik op OK. Notepad zal nu op je computer
geopend worden.
2. Klik op Bestand en Open, navigeer naar
de directory waar je de logfile naar toe weggeschreven hebt.
3. Als je de logfile gevonden hebt moet je er op
dubbelklikken. Het logbestand zal nu in Notepad geopend worden, in de
nieuwste versies van HijackThis wordt dit automatisch gedaan.
4. Klik op Bewerken en daarna op Alles
Selecteren, alle tekst zal nu geselecteerd zijn.
5. Klik op Bewerken en daarna op Kopiëren,
alles zal nu naar het klembord gekopieerd worden.
6. Ga naar het forum en maak een nieuw bericht.
7. Geef het de naam van je probleem (korte beschrijving).
8. Rechtsklik op de plaats waar je normaal begint met je
bericht te typen en klik op de Plakken optie. De van te voren
geselecteerde tekst zal nu in het bericht verschijnen.
9. Klik op Toevoegen.
Als je meer informatie wilt over enig item in de lijst, selecteer dan een
item, en klik op de Info on selected item knop, je krijgt nu een
scherm zoals aangegeven in figuur 4 hieronder.
Figuur 4: Object informatie
Wanneer je klaar bent met het bekijken van de verschillende informatie, en
je het gevoel hebt dat je het voldoende begrijpt om verder te gaan, blader
dan door de items en selecteer de items die je wilt verwijderen door het
aanvinken van het hokje naast het te verwijderen item zoals aangegeven in
figuur 5.
Aan het eind van deze handleiding staan enkele basis beginselen om de
informatie te kunnen interpreteren zoals ze in de logfile staan.
In geen geval is deze informatie uitgebreid genoeg om alle beslissingen af
te dekken, maar kan je helpen om te bepalen wat legitiem is en wat niet.
Figuur 5: Een item selecteren om te verwijderen
Als je de items geselecteerd hebt die je wilt verwijderen, klik dan op de
Fix Checked knop, zoals aangegeven in figuur 5.
HijackThis zal dan een herinnering geven of je daadwerkelijk deze items
wilt verwijderen.
Klik dan Yes of No, afhankelijk van wat je keuze is.
4. Hoe zet je items terug die per ongeluk verwijderd zijn:
HijackThis heeft een backup en herstel functie voor het geval er een
verkeerde ingang verwijderd is die in werkelijkheid legitiem is.
Als je HijackThis geconfigureerd hebt zoals al eerder in deze handleiding
aangegeven is, ben je in staat om ingangen die je per ongeluk hebt
verwijderd te herstellen.
Indien je HijackThis start vanuit een temporary directory zal de herstel
procedure mogelijk niet werken.
Indien je HijackThis direct vanuit het zipbestand hebt gestart, zal de
herstel procedure helemaal niet werken.
Als de configuratie instelling Make backups before fixing items is
aangevinkt, zal HijackThis een backup maken van elke ingang welke je
gefixed hebt in de directory genaamd Backups welke in dezelfde
locatie staat als Hijackthis.exe.
Indien je HijackThis start, op Config klikt en daarna op de Backup
knop krijg je een scherm zoals aangegeven in figuur 6.
Hier krijg je een lijst van alle items die je eerder gefixed hebt met de
mogelijkheid deze te herstellen.
Als je eenmaal een items herstelt hebt welke in dit scherm staan zullen
deze bij een nieuwe scan met HijackThis weer weergegeven worden.
Figuur 6: Terugzetten van een reeds verwijderde ingang
Indien je klaar bent met het herstellen van de ingangen die je per ongeluk
hebt verwijderd kun je HijackThis sluiten.
5. Hoe maak je een StartupList log:
Indien je een logfile op een forum plaatst voor assistentie kunnen de
mensen die je helpen vragen om een StartupList log te maken van alle
programma’s die automatisch op je computer starten.
HijackThis heeft een ingebouwde functie die je in staat stelt om zo’n
lijst te maken.
Om een StartupList log te maken klik je nadat HijackThis gestart is op Config
(blauw aangegeven in figuur 1), klik daarna bovenaan op Misc Tools.
Er verschijnt nu een scherm zoals hier beneden aangegeven in figuur 7.
Figuur 7: Opstartlijst maken
Vink het vakje voor List also minor sections (full) aan.
Klik op Generate StartupList log, zoals in het rode kader is
aangegeven in figuur 7.
HijackThis zal nu automatisch Notepad openen met daarin de startup items
van je computer.
Kopieer en plak deze lijst naar een forum.
Hopelijk zul je met je eigen kennis en hulp van anderen in staat zijn om je
computer schoon te maken.
Als je meer wilt leren aangaande wat nu precies elke sectie in een logfile
betekent, ga dan verder met lezen.
6. Hoe gebruik je de Process Manager:
HijackThis heeft een ingebouwde proces manager die gebruikt kan worden om
processen te stoppen en om te kijken welke DLL’s er bij dat proces
ingeladen worden.
Om bij de proces manager te komen klik je op Config en daarna op Misc
tools.
Je krijgt nu een nieuw scherm met op één van de knoppen de
tekst Open Process Manager.
Als je op die knop klikt krijg je een nieuw scherm die eruit ziet zoals in
figuur 8 is aangegeven.
Figuur 8: Process Manager
Dit scherm geeft alle open processen aan die op je computer draaien.
Je kunt op een proces klikken om het te selecteren, en daarna op de Kill
Process knop klikken zoals aangegeven in het rode kader van figuur 8,
dit zorgt ervoor dat het proces dat op je computer draait gestopt wordt.
Als je meerdere processen tegelijk wilt stoppen houdt je de control
toets van je toetsenbord ingedrukt en selecteer je de processen die je wilt
stoppen.
Zolang je de control toets ingedrukt houdt ben je in staat om
meerdere processen in één keer te selecteren.
Als je alle processen die je wilt beëindigen geselecteerd hebt, klik
dan op de Kill Process knop.
Als je wilt zien welke DLL’s in de geselecteerde processen geladen
worden kun je een vinkje zetten in het vakje Show DLL’s,
aangegeven door het blauwe kader in figuur 8.
Het proces scherm zal nu in twee secties gesplitst worden.
De eerste sectie zal de processen laten zien zoals voorheen, maar als je nu
op een speciaal proces klikt zal in de onderste sectie een lijst te zien
zijn welke DLL’s er door dat proces geladen zijn.
Om de proces manager te sluiten dien je twee keer op de Back knop te
klikken om weer in het hoofdscherm terecht te komen.
7. Hoe gebruik je de Hosts File Manager:
HijackThis heeft ook een rudimentair Hosts file manager.
Met deze manager kun je de hosts bestanden bekijken en regels verwijderen
of aan en uit zetten.
Om toegang te krijgen tot de Hosts file manager moet je klikken op Config
en daarna op Misc tools.
Je zult nu een nieuw scherm zien met op één van de knoppen Hosts
File Manager.
Als je op die knop klikt zie je weer een nieuw scherm zoals aangegeven in
figuur 9.
Figuur 9: Hosts File Manager
Dit scherm laat de inhoud van je Hosts bestand zien.
Om een lijn te verwijderen in je hosts bestand moet je op de regel klikken
zoals aangegeven in het blauwe kader in figuur 9, de tekstregel zal dan
geselecteerd worden.
Je kunt de regel verwijderen door te klikken op Delete line(s),
zoals aangegeven in het rode kader of deze regel aan- of uit te schakelen
door te klikken op Toggle line(s), zoals aangegeven in het groene
kader.
Het is mogelijk om meerdere regels te selecteren met behulp van de control
en shift toetsen of met de muis te slepen over de regels die je wilt
bewerken.
Indien je de regels verwijdert zullen ze uit je Hosts bestand verwijderd
worden.
Als je de regels wilt uitschakelen zal HijackThis een # voor de regel
plaatsen, zodat Windows deze niet zal gebruiken.
Als je niet zeker weet wat je doet is het altijd veiliger om de regel uit
te schakelen zodat er een # verschijnt.
Als je browser tijdens het veranderen van de ‘hosts file’
aanstond, zul je deze moeten herstarten voordat het de veranderingen
bemerkt.
Om naar het hoofdmenu terug te keren moet je twee keer op de back
knop klikken.
8. Hoe gebruik je de functie Delete on Reboot:
Soms heb je te maken met een hardnekkig bestand die op de normale manier
niet te verwijderen valt.
HijackThis introduceerde in versie 1.98.2 een methode om Windows het bestand
te laten verwijderen tijdens het opstarten voordat dat bestand de kans
krijgt geladen te worden.
Om dit te doen moet je de volgende stappen uitvoeren.
1. Start HijackThis
2. Klik op de Config knop
3. Klik op de Misc Tools knop
4. Klik op de knop genaamd Delete a file on
reboot…
5. Een nieuw venster wordt geopend waarin gevraagd wordt
om het bestand te selecteren wat je tijdens de herstart wilt verwijderen.
Navigeer naar dat bestand en klik er éénmaal op, klik daarna
op de Open knop.
Indien het bestand niet zichtbaar is kun je de
bestandsnaam ook met de hand intikken.
6. Je zult nu gevraagd worden de computer te herstarten
om het bestand te laten verwijderen. Klik op de Yes knop als je nu
wilt herstarten, anders op de No knop klikken om later te
herstarten.
9. Hoe gebruik je ADS Spy:
Er bestaat een bijzondere infectie genaamd Home Search Assistant of CWS_NS3
die soms gebruik maakt van bestanden verborgen in de zogenaamde
“Alternate Data Stream” van Windows 2000 of XP om je computer
te blijven besmetten.
Dit soort bestanden kan niet op de normale wijze gedetecteerd of verwijderd
worden.
ADS Spy is ontworpen om te helpen bij het verwijderen van dit soort
bestanden.
Voor degene die geïnteresseerd zijn, je kunt meer te weten komen over
Alternate Data Streams en Home Search Assistant door het lezen van de
volgende artikelen:
Windows Alternate Data Streams.
http://www.bleepingcomputer.com/forums/tutorial25.html
Home Search Assistant Analysis.
http://www.bleepingcomputer.com/forums/topict3141.html
Om de ADS Spy functie te gebruiken start je HijackThis en klik op de Config
knop, klik daarna op de Misc Tools knop en als laatste klik op de ADS
Spy knop.
Wanneer de ADS Spy functie wordt geopend zul je het scherm te zien krijgen
zoals aangegeven in figuur 10.
Figuur 10: ADS Spy
Klik op de scan knop (zie rode kader) en het programma zal de Windows
mappen gaan scannen op Alternate Data Streams bestanden.
Als deze gevonden worden zullen ze getoond worden zoals in figuur 11.
Figuur 11: Lijst van Alternate Data Streams
Om een getoond ADS bestand te verwijderen moet je het betreffende bestand
aanvinken en op de Remove selected knop klikken (zie blauwe kader).
Wanneer je gereed bent klik dan net zo vaak op de back knop (rechts
van de Remove selected knop) totdat je terug bent in het hoofdscherm.
10. Hoe gebruik je de Uninstall Manager:
De Uninstall Manager stelt je in staat gebruik te maken van de
softwarelijst die aanwezig is in het controle paneel van Software
Toevoegen/Verwijderen.
Wanneer malware verwijderd wordt van een computer zullen er soms ingangen
in de Software Toevoegen/Verwijderen lijst onveranderd blijven staan.
Veel gebruikers willen graag een opgeschoonde Software
Toevoegen/Verwijderen lijst hebben en hebben problemen met het verwijderen
van die nutteloze ingangen.
Met behulp van de Uninstall Manager kun je deze ingangen uit de
softwarelijst verwijderen.
Om gebruik te maken van de Uninstall Manager moet je het volgende doen:
1. Start HijackThis
2. Klik op de Config knop
3. Klik op de Misc Tools knop
4. Klik op de Open Uninstall Manager knop
Je krijgt nu een scherm te zien zoals aangegeven in figuur 12.
Figuur 12: HijackThis Uninstall Manager
Om een ingang te verwijderen kun je gewoon op de ingang klikken van wat je
wilt verwijderen en daarna klikken op de Delete this entry knop.
Als je het programma wilt veranderen waarmee deze ingang geassocieerd wordt
kun je klikken op de Edit uninstall command knop en het pad naar het
programma ingeven dat moet starten als je dubbelklikt op de ingang in de
Toevoegen/Verwijder lijst.
Deze laatste functie moet je alleen gebruiken als je weet wat je doet.
Als er gevraagd wordt om deze lijst op te slaan om op een forum te posten
zodat iemand het kan onderzoeken om je advies te geven wat je kunt
verwijderen klik je op de Save list knop en geef je aan waar je het
bestand weg wilt schrijven.
Als je op de Save list knop klikt zal notepad openen met de inhoud
van het bestand.
Kopieer de inhoud van dit notepad bestand en plak het daarna in de topic
waarin je geholpen wordt.
11. Hoe interpreteer je de logfile:
Dit hoofdstuk helpt je om een diagnose te kunnen stellen van het resultaat
van een HijackThis scan.
Als je niet zeker weet wat je moet doen, of een ander wilt vragen om de log
te lezen plaats de logfile dan op een forum.
Elke regel op de scan lijst van HijackThis start met een sectie naam.
Sectie naam: Beschrijving:
R0, R1, R2, R3 Internet Explorer
Start/Search pagina’s URL’s
F0, F1, F2, F3 Automatisch
geladen programma’s
N1, N2, N3, N4 Netscape/Mozilla Start/Search
pagina’s URL’s
O1
Hosts bestand redirection
O2
Browser Helper Objects
O3
Internet Explorer toolbars
O4
Automatisch geladen programma’s vanuit het register
O5
IE Opties niet zichtbaar in het Controle Paneel
O6
Gebruik van IE Opties beperkt door de
Administrator
O7
Gebruik van register beperkt door de Administrator
O8
Extra items in context menu van IE
O9
Extra knoppen in IE werkbalk of in IE
‘Tools’ menu
O10
Winsock hijacker
O11
Extra groepen in het IE venster ‘Geavanceerde opties’
O12
IE plugins
O13
IE default Prefix hijack
O14
‘Reset Web Instellingen’ hijack
O15
Ongewenste site in Vertrouwde Websites
O16
ActiveX Objects (aka Downloaded Program Files)
O17
Lop.com/Domain Hijackers
O18
Extra protocols en protocols hijackers
O19
User style sheet hijack
O20
Applnit_DLLs Register waarde Autostart
O21
ShellServiceObjectDelayLoad
O22
SharedTaskScheduler
O23
Windows XP/NT/2000 Services
Het is belangrijk op te merken dat sommige secties een interne ‘witte
lijst’ gebruiken zodat HijackThis geen bekende legitieme bestanden
laat zien.
Om deze ‘witte lijst’ uit te schakelen kun je HijackThis op
deze manier starten:
hijackthis.exe /ihatewhitelists.
In elk hoofdstuk zullen we proberen het in begrijpelijke termen uit te
leggen wat het allemaal betekend.
We zullen ook vertellen welke register sleutels en/of bestanden er
gewoonlijk gebruikt worden.
Uiteindelijk zullen er aanbevelingen gegeven worden wat te doen met de
ingangen.
12. Hoofdstuk R0 -, R1 - , R2 - en R3 - items:
Dit hoofdstuk behandeld de Internet Explorer Start Page, Home Page en
URLSearchHooks.
R0 is voor gewijzigde Internet Explorer startpagina en
zoekpagina’s.
R1 is voor extra aangemaakte Internet Explorer startpagina’s
en/of zoekpagina’s.
R2 wordt momenteel niet gebruikt.
R3 is voor de URLSearchHook.
Een URLSearchHook wordt gebruikt wanneer je een adres intypt in het
adresveld van de browser, maar geen gebruik maakt van een protocol zoals
http:// of ftp:// in het adres.
Wanneer je zo’n adres gebruikt zal de browser proberen het juiste
protocol te vinden, maar als de browser dit niet kan vinden zal de
UrlSearchHook , die weergegeven staat in de R3 sectie, gebruikt worden om
de locatie te vinden die ingegeven is.
Enige Register Sleutels:
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page
HKCU\Software\Microsoft\Internet Explorer\Main: Start Page
HKLM\Software\Microsoft\Internet Explorer\Main: Default_Page_URL
HKCU\Software\Microsoft\Internet Explorer\Main: Default_Page_URL
HKLM\Software\Microsoft\Internet Explorer\Main: Search Page
HKCU\Software\Microsoft\Internet Explorer\Main: Search Page
HKCU\Software\Microsoft\Internet Explorer\SearchURL: (Default)
HKCU\Software\Microsoft\Internet Explorer\Main: Window Title
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings:
ProxyOverride
HKCU\Software\Microsoft\Internet Connection Wizard: ShellNext
HKCU\Software\Microsoft\Internet Explorer\Main: Search Bar
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks
HKLM\Software\Microsoft]Internet Explorer\Search, CustomizeSearch=
HKCU\Software\Microsoft]Internet Explorer\Search, CustomizeSearch
HKLM\Software\Microsoft]Internet Explorer\Search, SearchAssistant
Voorbeeld: R0 – HKCU\Software\Microsoft\Internet
Explorer\Main. Start Page =
http://www.google.com/
Een veel gestelde vraag is, wat betekent het wanneer het woord
`obfuscated’ achter één van deze ingangen staat.
Wanneer iets obfuscated is betekent het dat het moeilijk gemaakt is waar te
nemen of te begrijpen.
In Spyware termen betekend dit dat de Spyware of Hacker een ingang verbergt
door de waarden om te zetten in een andere vorm die het makkelijk begrijpt,
maar waarmee mensen moeite hebben om het te herkennen, zoals het toevoegen
van ingangen in het register met Hexadecimale waarden.
Dit is één van de methoden om de aanwezigheid te verbergen en
het moeilijk maakt om te verwijderen.
HijackThis decodeert deze obfuscated waarden automatisch.
Als je de website niet herkend waarnaar de R0 en R1 sectie naar verwijzen,
en je wilt deze veranderen, dan kun je deze met HijackThis veilig
verwijderen, omdat ze niet schadelijk zijn voor de Internet Explorer
installatie.
Als je wilt zien welke sites het zijn, dan kun je naar die site toegaan, en
als er veel popups en links zijn, kun je deze bijna altijd verwijderen.
Het is belangrijk om te weten dat wanneer een R0/R1 naar een bestand
verwijst, en je hersteld de ingang met HijackThis, HijackThis dit
bijzondere bestand niet zal verwijderen en je dit met de hand zal moeten
doen.
Er zijn bepaalde R3 ingangen die aan het eind eindigen met een underscore
(_).
Een voorbeeld hiervan:
R3 – URLSearchHook: (no name) –
{CFBFAE00-17A6-11D0-99CB-00C04FD64497}_- (no file)
Let op de CLSID (de nummers tussen de {} accolades), heeft een _ aan het
eind en deze zijn soms moeilijk met HijackThis te verwijderen
Om dit te herstellen moet je de bijzondere register ingang met de hand
verwijderen door naar de volgende sleutel te gaan:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks
Verwijder de CLSID ingang eronder die je zou willen verwijderen.
Laat de CLSID met rust, CFBFAE00-17A6-11D0-99CB-00C04FD64497, als het de
juiste begin waarde heeft.
Tenzij je de software herkent die gebruik maakt van de URLSearchHook, in
het algemeen zul je verder onderzoek moeten doen door bijvoorbeeld gebruik
te maken van Google, kun je HijackThis gebruiken om het te herstellen.
13. Hoofdstuk F0 -, F1 -, F2 - en F3 - items:
Dit hoofdstuk behandelt de toepassingen die geladen worden door de .INI
bestanden; system.ini en win.ini of gelijkwaardige plaatsen in het
register.
F0 komt overeen met de Shell= statement in System.ini.
De Shell= statement in de system.ini wordt gebruikt in Windows 3.x, 95, 98
en ME om aan te wijzen welk programma als de shell handelt voor het
besturingssysteem.
De Shell is het programma dat je desktop laad, het window management
behandelt en de gebruiker toestaat met het systeem te werken.
Elk programma dat in de regels van shell statement staat zal geladen worden
als Windows start, en handelt als de standaard shell.
Er zijn programma’s die handelen als geldige vervangingen van de
shell, maar deze worden over het algemeen niet meer gebruikt. (Bijvoorbeeld
LiteStep of DesktopX)
Windows 95, 98 en ME gebruiken Explorer.exe als hun standaard shell.
Windows 3.x gebruikt Progman.exe als zijn shell.
Het is ook mogelijk om andere programma’s in de lijst te zetten die
gestart worden in dezelfde Shell= regel als Windows geladen wordt, zoals
Shell=explorer.exe badprogram.exe.
Deze regel zorgt ervoor dat beide programma’s gestart worden als
Windows geladen wordt.
F1 komt overeen met de Run= of Load= ingang in win.ini.
Elk programma dat in de regel staat na run= of load= zal worden geladen als
Windows gestart wordt.
Deze run= statement werd meestal gebruikt in de periode van Windows 3.x,
95, 98 en ME is blijven bestaan om compatibel te blijven met oudere
programma’s.
De meeste moderne programma’s gebruiken deze ini instelling niet
meer, en als je geen oudere programma’s meer gebruikt kun je met
recht alert zijn.
De load= statement werd gebruikt om drivers te laden voor de hardware.
F2 en F3 ingangen komen overeen met gelijkwaardige
locatie’s als in F0 en F1, maar zijn in plaats daarvan opgeslagen in
de registers van Windows XP, 2000 en NT.
Deze versies van Windows gebruiken over het algemeen niet de system.ini en
win.ini bestanden.
In plaats van achterwaarts compatibel te zijn gebruiken ze een functie die
IniFileMapping genoemd wordt.
IniFileMapping plaatst de gehele inhoud van een .ini bestand in het
register, met sleutels voor elke regel die gevonden werd in de daar
opgeslagen .ini sleutel.
Wanneer je een programma start die normaal de instellingen van een .ini
bestand leest zal eerst gekeken worden in de register sleutel;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping,
voor een .ini mapping, en indien gevonden van daaruit de instellingen
inlezen.
Je kunt zien dat deze sleutel verwijst naar het register als het REG bevat
en daarna het .ini bestand waar IniFileMapping naartoe verwijst.
Een andere algemene ingang die gevonden wordt in F2 is de UserInit ingang
welke overeenkomt met de sleutel, HKLM\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\Userinit, welke wordt gevonden in Windows NT,
2000, XP en 2003.
Deze sleutel geeft aan welk programma zal worden gestart vlak nadat een
gebruiker in Windows aanlogt.
Het standaard programma voor deze sleutel is
C:\windows\system32\userinit.exe.
Userinit.exe is een programma dat je profiel hersteld, fonts, kleuren
etc… voor je gebruikersnaam.
Het is mogelijk om andere programma’s toe te voegen die vanaf deze
sleutel starten door de programma’s te scheiden door middel van een
komma.
Voorbeeld: HKLM\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\Userinit =
C:\windows\system32\userinit.exe,c:\windows\badprogram.exe.
Deze regel zorgt ervoor dat beide programma’s gestart worden wanneer
je inlogt en is een gemeenschappelijke plaats voor trojans, hijackers en
spyware om vandaar te starten.
Register Sleutels:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\IniFileMapping,
Gebruikte bestanden:
c:\windows\system.ini
c:\windows\win.ini
Voorbeelden:
F0 – system.ini: Shell=Exporer.exe Something.exe
F2 – REG:system.ini: UserInit=userinit,nddeagnt.exe
F2 – REG:system.ini: Shell=explorer.exe beta.exe
Als je in F0 een statement ziet zoals Shell=Explorer.exe something.exe,
moet je het absoluut verwijderen.
Je kunt deze ingangen over het algemeen verwijderen, maar moet eerst Google
en de aangegeven sites hieronder raadplegen.
Voor de F1 ingangen moet je Google raadplegen om te bepalen of deze
ingangen legitieme programma’s zijn.
Je kunt ook op de hieronder aangegeven sites zoeken om te kijken wat deze
ingangen doen.
Voor F2, als je UserInit=userinit.exe, ziet, met of zonder nddeagnt.exe,
als in bovenstaande voorbeeld, dan kun je die ingang laten staan.
Als je UserInit=userinit.exe (zonder komma) is het ook goed en moet je het
laten staan.
Als je een andere ingang ziet met userinit.exe, dan zou dat een trojan of
andere malware kunnen zijn.
Hetzelfde geldt voor F2 Shell =; als je alleen explorer.exe ziet staan,
zoals in bovenstaand voorbeeld, is het goed, als dat niet zo is kan het een
mogelijke trojan of malware zijn.
Over het algemeen kun je deze ingangen verwijderen, maar eerst zul je
Google en onderstaande sites dienen te raadplegen.
Wees er op bedacht dat wanneer je deze ingangen hersteld met HijackThis,
dit niet het bestand verwijdert waar het mee overeenkomt.
Je zult deze met de hand moeten verwijderen.
Sites om deze ingangen te onderzoeken.
Answers
that work: http://www.answersthatwork.com/Tasklist_pages/tasklist.htm
Greatis Startup Application Database:
http://www.greatis.com/appdata/index.html
Pacman’s Startup Programs List:
http://www.sysinfo.org/startuplist.php
Pacman’s startup Lists for Offline Reading:
http://www.pacs-portal.co.uk/startup_content.php#THE_PROGRAMS
Kephyr File Database: http://www.kephyr.com/filedb/index.php
Wintasks Process Library: http://www.liutilities.com/products/wintaskspro/processlibrary/
14. Hoofdstuk N1 -, N2 -,
N3 - en N4 - items:
Dit hoofdstuk is bedoeld voor Netscape en mozilla Browser start en
standaard zoek pagina’s.
Deze ingangen zijn opgeslagen in de prefs.js bestanden welke op
verschillende plaatsen opgeslagen zijn in C:\Documents and
settings\Gebruikersnaam\Application Data Folder.
Netscape 4’s ingangen zijn opgeslagen in de prefs.js bestanden in de
programma directory welke over het algemeen, DriveLetter:\Program
files\Netscape\Users\default\prefs.js, is.
N1 komt overeen met de Netscape 4’s start pagina en standaard
zoek pagina.
N2 komt overeen met de Netscape 6’s start pagina en standaard
zoek pagina.
N3 komt overeen met de Netscape 7’s start pagina en standaard
zoek pagina.
N4 komt overeen met Mozilla’s start pagina en standaard zoek
pagina.
Gebruikte bestanden: prefs.js
Omdat de meeste spyware Internet Explorer als doel hebben zijn deze
gewoonlijk veilig.
Als je hier websites in ziet staan die je niet zelf ingesteld hebt kun je
HijackThis gebruiken om deze te herstellen.
Er is één site bekend die deze instellingen verandert en dat
is Lop.com, welke hier behandeld wordt:
http://www.doxdesk.com/parasite/lop.html
15. Hoofdstuk O1 - items:
Dit hoofdstuk behandelt Host file Redirection.
Het hosts bestand bevat lijsten voor hostnamen naar IP adressen.
Voorbeeld: als ik in mijn host bestand intyp:
127.0.0.1 www.bleepingcomputer.com
en je probeert naar deze site te gaan, zal het host bestand gecontroleerd
worden, de ingang worden gevonden en omgezet naar het IP adres 127.0.0.1 in
plaats van naar het juiste adres, wat normaal door de DNS server van je ISP
gegeven wordt.
Host file redirection is, wanneer een hijacker je host bestand verandert en
je pogingen om een website te bereiken omleid naar een andere website.
Als iemand een ingang toevoegt zoals:
127.0.0.1 www.google.com
en je probeert naar google te gaan, zul je in plaats daarvan omgeleid
worden naar 127.0.0.1 hetgeen je eigen computer is.
Voorbeeld: O1 – Hosts: 192.168.1.1 www.google.com
Gebruikt bestand: Het hosts bestand is een tekst bestand dat kan
worden bewerkt door elke tekstbewerker en is standaard opgeslagen op de
volgende plaatsen:
Besturingssysteem: Lokatie:
Windows 3.1
C:\WINDOWS\HOSTS
Windows 95
C:\WINDOWS\HOSTS
Windows 98
C:\WINDOWS\HOSTS
Windows ME
C:\WINDOWS\HOSTS
Windows XP
C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
Windows NT
C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS
Windows 2000
C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS
Windows 2003
C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
De lokatie van het Hosts bestand voor Windows NT/2000/XP kan veranderd
worden door het aanpassen van de volgende registersleutel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\:
DatabasePath
Als je ingangen ziet zoals in bovenstaand voorbeeld, en ze staan er niet om
een speciale reden waarvan je van afweet, kun je ze veilig verwijderen.
Als je ziet dat een ingang van een Hosts bestand staat bij
C:\Windows\Help\hosts, betekent dit dat je geïnfecteerd bent met
CoolWebSearch.
Als het hosts bestand op een lokatie staat welke niet de standaard locatie
is voor je besturingssyteem, zie de lijst hierboven, dan moet je dit met
HijackThis fixen omdat dit zeer waarschijnlijk is veroorzaakt door een
infectie.
Je kunt ook het programma Hoster downloaden, dit programma geeft je de
mogelijkheid om het standaard host bestand op je computer te herstellen.
Om dit te doen, download het Hoster programma en draai het.
Wanneer het opent, klik dan op de Restore Original Hosts knop en
sluit Hoster daarna af.
16. Hoofdstuk O2 - items:
Dit hoofdstuk behandelt de Browser Helper Objects (BHO).
Browser Helper Objects zijn plugin’s voor je browser om de
mogelijkheden uit te breiden.
Deze kunnen zowel door spyware als legitieme programma’s zoals Google
toolbar en Adobe Acrobat reader gebruikt worden.
Je zult eerst onderzoek moeten doen alvorens te besluiten om ze wel of niet
te verwijderen omdat sommige legitiem zijn.
Registersleutel:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper
Objects.
Voorbeeld:
O2 – BHO: NAV Helper – {BDF3E430-B101-42AD-A544-FADC6B084872}
– C:\Program Files\Norton Antivirus\NavShExt.dll
Er bestaat een uitstekende lijst van bekende CSLID’s die verbonden
zijn met Browser Helper Objects en Toolbars, gemaakt door Tony Klein: CLSID
lijst, http://castlecops.com/CLSID.html
Wanneer je de lijst raadpleegt, maak dan gebruik van het nummer tussen de {
}.
De CLSID in de lijst verwijst naar de register ingangen welke informatie
bevatten over de Browser Helper objects en Toolbars.
Wanneer je dit soort ingangen hersteld met hijackThis, zal HijackThis
proberen het bewuste bestand te verwijderen.
Het kan zijn dat het bestand in gebruik is, zelfs als Internet Explorer
afgesloten is.
Als het bestand nog steeds aanwezig is nadat je het met HijackThis hersteld
hebt is het aanbevolen om de computer te herstarten in veilige modus en dan
het agressieve bestand te verwijderen.
17. Hoofdstu:k O3 – items:
Dit hoofdstuk behandelt de Internet Explorer toolbars.
Dit zijn de toolbars die onderaan je navigatie balk en in menu zitten van
Internet Explorer.
Registersleutel: HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar
Voorbeeld:
O3 – Toolbar: Norton Antivirus –
{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton
Antivirus\NavShExt.dll
Er bestaat een uitstekende lijst van bekende CSLID’s die verbonden
zijn met Browser Helper Objects en Toolbars, gemaakt door Tony klein: CLSID
lijst, http://castlecops.com/CLSID.html
Wanneer je de lijst raadpleegt, maak dan gebruik van het nummer tussen de {
}.
De CLSID in de lijst verwijst naar de register ingangen welke informatie
bevatten over de Browser Helper objects en Toolbars.
Wanneer deze ingangen hersteld worden, HijackThis verwijdert het agressieve
bestand niet, is het aanbevolen om de computer te herstarten in veilige
modus en dan het agressieve bestand te verwijderen.
18. Hoofdstuk O4 - items:
Dit hoofdstuk behandelt de toepassingen die voorkomen in bepaalde sleutels
in het register en de opstart mappen en worden automatisch geladen wanneer
Windows wordt opgestart.
De register sleutels die hier getoond worden zijn van toepassing op alle
Windows versies, behalve de laatste welke alleen van toepassing is op
Windows NT, 2000, XP en 2003.
Mochten ze aan een andere toepassing toebehoren laat het me dan weten.
Als het op een registersleutel lijkt, zal het weergegeven worden als
één van de sleutels zoals getoond in onderstaande
registersleutel tabel.
Startup: Deze items verwijzen naar toepassingen die geladen worden als ze
geregistreerd zijn in de Opstarten groep van het Start Menu van de
gebruiker.
Global Startup: Deze items verwijzen naar toepassingen die geladen worden
indien ze in de “alle gebruikers” Opstarten groep staan.
Opstart Registersleutels:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Opmerking: HKLM staat voor HKEY_LOCAL_MACHINE
HKCU staat voor HKEY_CURRENT_USER
Een complete lijst van opstart locaties en waar ze voor gebruikt worden kun
je hier vinden,
Windows Program Automatic startup Locations:
http://www.bleepingcomputer.com/forums/tutorial44.html
Gebruikte directory’s:
Startup: c:\documents and
settings\USERNAME\start menu\programs\startup
Global: c:\documents and
settings\All Users\start menu\programs\startup
Voorbeeld: O4 – HKLM\..\Run: [nwiz] nwiz.exe
/install
Indien je O4 ingangen hersteld zal Hijackthis niet de bestanden verwijderen
die naar deze ingang verwijzen, je zult deze achteraf met de hand moeten
verwijderen.
Indien het bestand in een object actief is (geladen) zal HijackThis dit
eerst proberen te stoppen.
Meestal zal dit in veilige modus moeten gebeuren.
De Global Startup en Startup ingangen werken iets anders.
HijackThis verwijdert de snelkoppelingen die in deze ingangen gevonden
worden, maar niet het bestand waarnaar ze verwijzen.
Als er daadwerkelijk een executable in de Global Startup of Startup
directory verblijft zal het agressieve bestand, als het gestopt kan worden,
verwijderd worden.
Hoewel veel legitieme programma’s op deze manier opstarten kan een
ingang er veel op lijken en toch kwaadwillig zijn.
Je zal onderstaande lijsten moeten raadplegen voor de O4 ingangen:
Answer that work: http://www.answersthatwork.com/Tasklist_pages/tasklist.htm
Greatis startup Application Database:
http://www.greatis.com/appdata/index.html
Pacman’s Startup Programs List:
http://www.sysinfo.org/startuplist.php
Pacman’s Startup Lists for Offline Reading:
http://www.pacs-portal.co.uk/startup_content.php#THE_PROGRAMS
Kephyr File Database: http://www.kephyr.com/filedb/index.php
Wintasks Process Library:
http://www.liutilities.com/products/wintaskspro/processlibrary/
Windows Startup Online Database:
http://www.windowsstartup.com/wso/search.php
19. Hoofdstuk O5 - items:
Dit hoofdstuk behandelt hoe je de Internet Explorer bediening laat zien in
het Configuratiescherm.
Het is mogelijk om in het Configuratiescherm een bedieningsfunctie niet
meer weer te geven door het toevoegen van een ingang in het bestand
control.ini welke zich bevind in (in ieder geval voor Windows XP)
c:\windows\control.ini.
Vanuit dat bestand kun je aangeven welk specifieke bedieningsfuncties niet
zichtbaar mogen zijn.
File User: control.ini
Voorbeeld: O5 – control.ini: inetcpl.cpl=no
Als je een regel ziet zoals hier boven is aangegeven, kan het zijn dat een
stukje software probeert het je moeilijk te maken om je instellingen te
veranderen.
Tenzij het er staat om een specifiek bekende reden, zoals het beleid van
een administrator of ingesteld met TweakUI of Spybot Search & Destroy,
kun je het herstellen met HijackThis.
20. Hoofdstuk O6 - items:
Dit hoofdstuk behandelt het beveiligen van Internet Explorer tegen
het veranderen van de opties of startpagina, door wijzigen van bepaalde
instellingen in het register.
Registersleutel: HKCU\Software\Policies\Microsoft\Internet
Explorer\Restrictions
Voorbeeld: O6 - HKCU\Software\Policies\Microsoft\Internet
Explorer\Restrictions
Deze opties zullen alleen verschijnen als je administrator ze met een bepaald
doel heeft ingesteld, of door Spybot Search & Destory als je gebruik
maakt van de “Home Page and Option Lock down” functie welke bij
Immunize ingesteld kan worden.
21. Hoofdstuk O7 - items:
Dit hoofdstuk behandelt hoe je Regedit niet laat toestaan om te starten bij
het veranderen van een ingang in het register.
Registersleutel:
HKCU\Software\Microsoft\Windows\currentVersion\Policies\System
Voorbeeld: O7 -
HKCU\Software\Microsoft\Windows\currentVersion\Policies\System:
DisableRegedit=1
Wees er op bedacht dat veel Administrators van kantoren dit met een bepaald
doel instellen, zodat het herstellen met HijackThis een inbreuk kan zijn op
het collectieve beleid.
Als je een administrator bent en dit is ingesteld zonder je toestemming
laat je dit fixen door HijackThis.
22. Hoofdstuk O8 - items:
Dit hoofdstuk behandelt de extra items die gevonden kunnen worden in het
context menu van Internet Explorer.
Dit betekent dat je deze opties zult zien als je met de muis rechtsklikt op
de webpagina die je op dat moment met je browser bekijkt.
Registersleutel: HKEY_CURRENT_USER\Software\Microsoft\Internet
explorer\MenuExt
Voorbeeld:
O8 – Extra context menu item: &Google Search –
res://c:\windows\GoogleToolbar1.dll\cmsearch.html
De lijst van deze ingangen zal laten zien wat er getoond wordt in het menu
wanneer je rechtsklikt, en welk programma er gebruikt wordt als je
daadwerkelijk op die optie klikt.
Sommigen, zoals “Browser PAL” moeten altijd verwijderd worden,
en de rest zal onderzocht moeten worden met gebruik van Google.
Een voorbeeld van een legitiem programma wat je daar kan vinden is de
Google Toolbar.
Wanneer deze ingangen hersteld worden, HijackThis verwijderd het agressieve
bestand niet, is het aanbevolen om de computer te herstarten in veilige
modus en dan het agressieve bestand te verwijderen.
23. Hoofdstuk O9 - items:
Dit hoofdstuk behandelt de knoppen op de hoofd Internet explorer Toolbar en
items in het Internet Explorere ‘Tools’ menu welke geen deel
uitmaken van de standaard installatie.
Registersleutel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions registry
key.
Voorbeeld: O9 – Extra Button: AIM (HKLM)
Als je deze knoppen of menu items niet nodig hebt of je herkent ze als
malware kun je ze veilig verwijderen.
Wanneer deze ingangen hersteld worden, HijackThis verwijdert het agressieve
bestand niet, is het aanbevolen om de computer te herstarten in veilige
modus en dan het agressieve bestand te verwijderen.
24. Hoofdstuk O10 - items:
Dit hoofdstuk behandelt de Winsock Hijackers ook wel bekend als LSP
(Layered Service Provider).
LSPs is een manier om een stukje software aan je Winsock 2 implementatie op
je computer vast te knopen.
Aangezien de LSPs als een keten aan elkaar gekoppeld zijn, zal wanneer
Winsock gebruikt wordt, de data ook getransporteerd worden naar elke LSP
van de keten.
Spyware en Hijackers kunnen de LSPs gebruiken om al het verkeer via je
internetverbinding te bekijken.
Je moet enorm voorzichtig zijn wanneer je deze elementen verwijdert, wanneer
het verwijderd wordt zonder de ontbrekende link in de keten te herstellen
kun je de internetverbinding kwijtraken.
Voorbeeld: O10 – Broken Internet access because of LSP provider
‘spsublsp.dll’ missing
Veel Virus Scanners beginnen met scannen voor Virussen, Trojan’s etc
op Winsock level.
Het probleem is dat veel Virus scanners niet de LSPs repareren nadat het
agressieve LSP is verwijderd.
Dit kan veroorzaken dat HijackThis een probleem constateert en een
waarschuwing geeft, zoals het voorbeeld hierboven, terwijl de
internetverbinding gewoon werkt.
Je zult daarom advies moeten vragen aan een ervaren gebruiker wanneer je
deze fouten herstelt.
Het is tevens aan te raden om LSPFix te gebruiken, zie de link hieronder,
om deze te herstellen.
Spybot Search & destroy kan dit over het algemeen herstellen maar zorg
er wel voor dat je de laatste versie hebt omdat de oudere versies hier
problemen mee hebben.
Er is een tool ontworpen speciaal voor dit soort problemen welke je beter
kunt gebruiken, genaamd LSPFix http://www.cexx.org/lspfix.htm.
Voor een goede lijst over LSP en of ze geldig zijn kun je Zupe’s LSP List Page bezoeken.
25. Hoofdstuk O11- items:
Dit hoofdstuk behandelt een groep opties die niet standaard zijn en welke
zijn toegevoegd aan de Advanced Options Tab in Internet Options van
IE.
Als je de Internet Opties van Internet Explorer bekijkt zul je een Advanced
options tab zien.
Het is mogelijk om een ingang toe te voegen aan een registersleutel zodat
er een nieuwe groep zal verschijnen.
Registersleutel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet
Explorer\AdvancedOptions
Voorbeeld: O11 – Options group: [CommonName] CommonName
Overeenstemmend met Merijn, van HijackThis, is er slechts één
bekende Hijacker die dit gebruikt en dat is CommonName.
Als je CommonName in de lijst ziet kun je deze veilig verwijderen.
Als het een andere ingang betreft zul je onderzoek moeten doen met Google.
26. Hoofdstuk O12 – items:
Dit hoofdstuk behandelt de Internet Explorer Plugins.
Internet Explorer Plugins zijn stukjes software die worden geladen als
Internet Explorer start om extra functies toe te voegen aan de browser.
Er zijn vele legitieme plugins beschikbaar zoals het bekijken van PDF en
niet standaard image viewers.
Registersleutel: HKEY_LOCAL_MACHINE\software\microsoft\internet
explorer\plugins
Voorbeeld: O12 - Plugin for .PDF: C:\Program Files\Internet
Explorer\PLUGINS\nppdf32.dll
De meeste plugins zijn legitiem, daarom zul je op Google moeten zoeken naar
degene die je niet herkend voordat je deze verwijdert.
Eén bekende plugin welke je moet verwijderen is de Onflow plugin met
de extensie .OFB
Wanneer je dit soort ingangen hersteld met hijackThis, zal HijackThis
proberen het bewuste bestand te verwijderen.
Het kan zijn dat het bestand in gebruik is, zelfs als Internet Explorer
afgesloten is.
Als het bestand nog steeds aanwezig is nadat je het met HijackThis hersteld
hebt is het aanbevolen om de computer te herstarten in veilige modus en dan
het agressieve bestand te verwijderen.
27. Hoofdstuk O13 – items:
Dit hoofdstuk behandelt de IE defaultPrefix hijack.
De standaard prefix is een instelling in Windows dat specificeert hoe er
omgegaan moet worden met URL’s die niet vooraf gegaan worden door
http://, ftp://, etc…
Het is mogelijk dit te veranderen naar een standaard prefix van je keuze
door het register te bewerken.
De Hijacker die bekend is als CoolWebSearch doet dit door de standaard
prefix te veranderen naar http://ehttp.cc/?.
Dat betekent dat wanneer je verbinding maakt met een url zoals
www.google.com, je daadwerkelijk naar http://ehttp.cc/?www.google.com gaat,
hetgeen de website van CoolWebSearch is.
Registersleutel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\
Voorbeeld: O13 – WWW. Prefix: http://ehttp.cc/?
Als je problemen hebt zoals in bovenstaand voorbeeld moet je CWShredder
draaien.
Dit programma wordt gebruikt om alle bekende variaties van CoolWebSearch
die op je computer kunnen zitten te verwijderen.
Je kunt hier een handleiding lezen hoe je CWShredder moet gebruiken:
How to remove CoolWebSearch with CoolWeb Shredder:
http://www.bleepingcomputer.com/forums/tutorial47.html
Indien CWShredder het probleem niet kan vinden en herstellen, moet je
altijd die ingang door HijackThis laten herstellen wanneer deze gevonden
is.
28. Hoofdstuk O14 – items:
Dit hoofdstuk behandelt een ‘reset web Settings’ hijack.
Er staat een bestand op je computer die door Internet Explorer wordt
gebruikt wanneer je opties reset naar de standaard instelling van Windows.
Wanneer je een instelling reset, zal het dit bestand lezen en de bijzondere
instelling veranderen naar de instelling die in dat bestand aangegeven is.
Als een hijacker de informatie in dat bestand verandert zul je opnieuw
geinfecteerd worden wanneer je die instelling reset, omdat het de verkeerde
informatie leest van het iereset.inf bestand.
Voorbeeld: O14 – IERESET.INF:
START_PAGE_URL=http://www.searchalot.com
Wees je ervan bewust dat het mogelijk is dat deze instelling legitiem
veranderd kan zijn door een Computer Fabrikant of de administrator van de
computer.
Als je het adres niet herkend, dan zul je het moeten herstellen.
29. hoofdstuk O15 – items:
Dit hoofdstuk behandelt websites of IP adressen in de Internet Explorer
Trusted Zone en Protocol Standaarden.
Trusted zone:
De veiligheid van Internet Explorer is gebaseerd op een set van zones.
Elke zone heeft verschillende veiligheidsregels zoals wat voor scripts en
toepassingen er gestart mogen worden van een site uit die zone.
Er is een veiligheids zone die de Trusted Zone genoemd wordt.
Deze zone heeft de laagste beveiligingsinstellingen en staat toe om scripts
en toepassingen te starten van sites die zich in die zone bevinden zonder
je medeweten.
Daarom is het een populaire plaats voor malware sites om te gebruiken zodat
toekomstige infecties gemakkelijk op je computer uitgevoerd kunnen worden
zonder je medeweten, omdat deze sites zich in de Trusted Zone bevinden.
Registersleutels:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet
Settings\ZoneMap\Domains
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet
Settings\ZoneMap\Domains
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet
Settings\ZoneMap\Ranges
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet
Settings\ZoneMap\Ranges
Voorbeeld: O15 – Trusted Zone:
http://bleepingcomputer.com
O15 – Trusted IP range:
206.161.125.149
O15 – Trusted IP range:
206.161.125.149 (HKLM)
Welke sleutel wordt gebruikt door Internet Explorer, Domains (Domeinen) of
Ranges (Bereik), wordt bepaald door de URL die de gebruiker probeert te
bereiken.
Als de URL een domein naam bevat dan zal het in de ondersleutels van
Domains (Domeinen) zoeken naar een resultaat.
Als het een IP adres bevat zal de URL naar een resultaat zoeken in de
Ranges (bereiken).
Wanneer Domains (Domeinen) toegevoegd worden als een Vertrouwde- of
Beperkte Website wordt er een waarde aan toegewezen om dat te bevestigen.
Als er de waarde a *=4 aan toegewezen wordt, zal dat Domain (Domein)
toegevoegd worden aan de Beperkte Website zone.
Als er de waarde a *=2 aan toegewezen wordt, zal dat Domain (Domein)
toegevoegd worden aan de Vertrouwde Website zone.
Een IP adres toevoegen werkt een beetje anders.
Onder de sleutel SOFTWARE\Microsoft\Windows\CurrentVersion\Internet
Settings\Zonemap\Ranges vind je andere sleutels genaamd ranges1 (bereik1),
ranges2 (bereik2), ranges3 (bereik3), ranges4 (bereik4),...
Elk van deze ondersleutels komt overeen met een speciale veiligheids
zone/protocol.
Als je een IP adres toevoegd aan een veiligheids zone zal Windows een
ondersleutel maken, te beginnen met Ranges 1 (Bereik1), en die ondersleutel
aanwijzen als degene die alle IP adressen bevat van een speciale
veiligheids zone of speciaal protocol.
Voorbeeld: Als je http://192.168.1.1 toevoegd als vertrouwde website, zal
Windows de eerst beschikbare Range (Bereik) sleutel maken Ranges 1 (Bereik
1) en de waarde http=2 toevoegen.
Elk toekomstige vertrouwde http:// IP adressen zullen aan de Range 1
(Bereik 1) sleutel toegevoegd worden.
Als je een IP adres aan de Beperkte websites toevoegd met gebruikmaking van
het http protocol (voorbeeld: http://192.16.1.10), zal Windows een andere
sleutel maken in opeenvolgende volgorde genaamd Range 2 (Bereik 2).
Deze zal een waarde hebben van http=4 en elk toekomstige IP adres die wordt
toegevoegd aan de Beperkte websites zullen in die sleutel geplaatst worden.
Dit gaat door voor elk ingestelde combinatie van protocol en veiligheids
zone.
Als je hier ooit Domains (Domeinen) en IP adressen weergegeven ziet moet je
ze in het algemeen verwijderen tenzij het een herkenbare URL is zoals die
van je bedrijf.
De meest gemeenschappelijke die hier weergegeven wordt welke je kan
herstellen als je wilt is free.aol.com.
Persoonlijk verwijder ik alle ingangen van de Vertrouwde Zone als ze daar
uiteindelijk niet echt nodig zijn.
Protocol Standaarden:
Wanneer je IE gebruikt om verbinding te maken met een website, worden de
verleende veiligheids toestemmingen bepaald door de Zone waarin deze
website staat.
Er zijn 5 zones welke elk geassioceerd worden met een specifiek
indentificatie nummer.
Deze zones met hun bijbehorende nummers zijn:
Zone
Zone Mapping
My
Computer
0
Intranet
1
Trusted
(Vertrouwd) 2
Internet
3
Restricted
(Beperkt) 4
Elk protocol dat je gebruikt om verbinding te maken met een website, zoals
HTTP, FTP, HTTPS, zijn toegewezen aan één van deze zones.
Dit zijn de standaard toewijzingen:
Protocol
Zone Mapping
HTTP
3
HTTPS
3
FTP
3
@ivt
1
shell
0
Voorbeeld:
Als je verbinding maakt met een website met gebruikmaking van http:// wordt
het standaard een onderdeel van de Internet zone.
Dit omdat de standaard zone voor http 3 is welke overeenkomt met de
Internet zone.
De problemen gaan zich voordoen als malware de standaard type zone van een
speciaal protocol verandert.
Voorbeeld:
Als malware de standaard zone voor het http protocol heeft verandert in 2,
zal elke website waarmee je verbinding maakt door middel van http gezien
worden als een deel van de vertrouwde zone.
Tot nu toe is er geen bekende malware die dit veroorzaakt, maar we zien nu
verschillende keren dat HJT deze sleutel laat zien.
Registersleutel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet
Settings\ZoneMap\ProtocolDefaults
Als de standard waarden zijn verandert zul je een HJT ingang zien die
overeenkomt met degene hieronder:
Voorbeeld: O15 – ProtocolDefaults: ‘http’ protocol is in
Trusted Zone, should be Internet
Om deze instellingen terug te zetten naar de standaard waarde kun je dit
simpel herstellen met HJT.
30. Hoofdstuk O16 – items:
Dit hoofdstuk behandelt ActiveX Objects ook wel bekend als Gedownloade
Programma Bestanden.
ActiveX objecten zijn programma’s die van een website gedownload zijn
en worden opgeslagen op je computer.
Deze objecten worden opgeslagen in C:\windows\Downloaded Program files.
Ze worden ook van verwijzingen in het register voorzien door hun CLSID, de
lange nummerreeks tussen de curly braces { } (gekrulde aanhalingstekens).
Er zijn veel legitieme ActiveX controls zoals in het voorbeeld welke van
iPix viewer is.
Voorbeeld:
016 – DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} 9iPix ActiveX
Control) – http://www.ipix.com/download/ipixx.cab
Als je namen en adressen ziet die je niet herkend zul je op Google moeten
zoeken of ze legitiem zijn of niet.
Als je denkt van niet kun je ze laten herstellen.
Door het verwijderen van deze ActiveX objects van je computer zul je geen
problemen krijgen omdat je ze weer opnieuw kunt downloaden.
Wees erop bedacht dat sommige bedrijfs toepassingen gebruik maken van
ActiveX objects, wees dus voorzichtig.
Je moet altijd O16 ingangen verwijderen die woorden bevatten zoals sex,
porn, dialer, free, casino, adult, etc.
Er is een programma genaamd Spywareblaster http://www.javacoolsoftware.com/spywareblaster.html,
die een grote database heeft van kwaadwillige ActiveX objects.
Je kunt dit programma downloaden en de database doorzoeken op bekende
ActiveX objects.
Een handleiding over het gebruik van Spywareblaster kun je hier vinden:
Using Spywareblaster tp protect your computer from Spyware, Hijackers en
Malware.
http://www.bleepingcomputer.com/forums/tutorial49.html
Wanneer je O16 ingangen hersteld, zal HijackThis proberen deze van de harde
schijf te verwijderen.
Normaal gesproken is dit geen probleem, maar het gebeurd weleens dat
HijackThis niet in staat is om het agressieve bestand te verwijderen.
Als dit voorkomt herstart dan in veilige modus en verwijder het.
31. Hoofdstuk O17 – items:
Dit hoofdstuk behandelt Lop.com Domain Hacks (Domein kaping).
Indien je naar een website gaat met gebruikmaking van een hostnaam, zoals
www.bleepingcomputer.com, in plaats van een IP adres, gebruikt je computer
een DNS server om de hostnaam om te zetten naar een IP adres zoals 192.168.1.0.
Wanneer de kaper de DNS servers op je computer verandert naar een punt van
hun eigen server, waarvandaan ze je naar elke website kunnen omleiden die
ze maar willen, spreken we van Domein kaping.
Door Google toe te voegen aan hun DNS server kunnen ze het zo veranderen
dat wanneer je naar www.google.com wilt gaan ze je kunnen omleiden naar een
website van hun keuze.
Voorbeeld:
O17 – HKLM\System\CS1\Services\VxD\MSTCP: NameServer =
69.57.146.14,69.57.147.175
Als je zulke ingangen ziet en je herkent ze niet als het Domein welke bij
je ISP of bedrijf hoort en de DNS servers behoren niet tot die van je ISP
od bedrijf, moet je HijackThis dit laten herstellen.
Je kunt naar Arin gaan, http://www.arin.net/, om een whois uit te voeren
naar de DNS server IP adres om te bepalen van welk bedrijf ze zijn.
32. Hoofdstuk O18 – items:
Dit hoofdstuk behandelt de extra protocollen en protocol kapingen.
Deze methode wordt gebruikt door de standaard protocol drivers, die je
computer gebruikt, te veranderen in die welke door de kaper wordt gebruikt.
Dit stelt de kaper in staat om de controle over te nemen van bepaalde
manieren waarmee je computer informatie verzend en ontvangt.
Registerssleutels:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter
HijackThis leest eerst de protocols sectie van het register op
niet-standaard protocols.
Wanneer HijackThis er één vindt vraagt het de vermelde CLSID
voor informatie van het daar vermelde pad.
Voorbeeld:
O18 – Protocol: relatedlinks –
{5AB65DD4-01FB-44D5-9537-3767AB80F790} –
C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
Veel voorkomende agressieve kapers zijn CoolWebSearch, Related links en
Lop.com.
Als je deze ziet kun je dit door HijackThis laten herstellen.
Gebruik Google om te lijken of de bestanden legitiem zijn.
Je kunt ook FBJ’s O18 List, http://www.fbeej.dk/NewHJTEntries.htm,
raadplegen om de bestanden te controleren.
Het is belangrijk op te merken dat bij het herstellen van deze ingangen het
er niet op lijkt dat de register ingang of het bestand dat ermee
geassioceerd wordt verwijderd is.
De gebruiker zal in veilige modus moeten herstarten en handmatig dit
agressieve bestand dienen te verwijderen.
33. Hoofdstuk O19 – items:
Dit hoofdstuk behandelt het kapen van je gebruikersstijl instellingen.
Een stijl blad is een vast ingegeven instelling hoe je pagina weergave,
kleuren en lettertypes weergegeven worden van een html pagina.
Dit soort kapingen overschrijft de standaard instelling welke ontwikkeld
was voor gehandicapte gebruikers, en veroorzaken grote hoeveelheden pop-ups
en vertragen de computer.
Registersleutel:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User
Stylesheets
Voorbeeld: O19 – User style sheet: c:\WINDOWS\Java\ny.css
Je kunt deze over het algemeen verwijderen tenzij je zelf een
gebruikersstijl voor jezelf hebt ingegeven.
Wanneer je dit soort ingangen hersteld zal HijackThis niet het agressieve
bestand verwijderen.
Het is aanbevolen om te herstarten in veilige modus en dan dit bestand te
verwijderen.
34. Hoofdstuk O20 – items:
AppInit_DLLs
Dit hoofdstuk behandelt de bestanden die geladen worden vanuit het
AppInit_DLLs registerwaarde en de Winlogon Notify ondersleutels.
Het AppInit_DLLs registerwaarde bevat een lijst van dlls die zullen worden
geladen als user32.dll geladen wordt.
Omdat de meeste Windows executables de user32.dll gebruiken betekend dit,
dat elke DLL die in de AppInit_DLLs registersleutel staat ook geladen
wordt.
Dit maakt het erg moeilijk om de DLL te verwijderen omdat het door meerdere
processen geladen wordt, waarvan sommigen niet gestopt kunnen worden zonder
het systeem instabiel te maken.
Het user32.dll bestand wordt ook gebruikt door processen die automatisch
opgestart worden door het systeem wanneer je in logt.
Dit betekent dat de bestanden die geladen worden vanuit AppInit_DLLs heel
vroeg tijdens de Windows start geladen worden en het de DLL toestaat
zichzelf te verbergen voordat we toegang tot het systeem hebben.
Deze methode wordt door een CoolWebSearch variant gebruikt en kan alleen
gezien worden in Regedit door met de rechtermuisknop te klikken op de
waarde, en ‘wijzig binaire gegevens’ te selecteren.
Aan de andere kant heeft “Registrar Lite”,
http://www.resplendence.com/reglite, een makkelijker methode om dit te
zien.
Registersleutel:
HKEY_LOCAL_MACHINES\Software\Microsoft\Windows NT\CurrentVersion\Windows
Voorbeeld: O20 – AppInit_DLLs: C:\Windows\System32\winifhi.dll
Er zijn heel weinig legitieme programma’s die deze Registersleutel
gebruiken, maar je zult toch voorzichtig moeten zijn wanneer je bestanden
verwijdert die hier vermeld staan.
Gebruik Google om te onderzoeken of deze bestanden legitiem zijn.
Je kunt ook FBJ’s O20, O21 & O22 lijst,
http://www.fbeej.dk/NewHJTEntries.htm, gebruiken om te helpen de bestanden
te controleren.
Wanneer je dit soort ingangen hersteld zal HijackThis niet het agressieve
bestand verwijderen.
Het is aanbevolen om te herstarten in veilige modus en dan dit bestand te
verwijderen.
Winlogon Notify
De Winlogon Notify wordt over het algemeen gebruikt door Look2Me
besmettingen.
HijackThis zal alle niet standaard Winlogon Notify sleutels weergeven zodat
je gemakkelijk kunt zien welke daar niet horen.
Je kunt Look2Me besmetting herkennen aan een DLL met een willekeurig
bestandsnaam in de %SYSTEM% directory.
De naam van de Notify sleutel zal een normaal uitziende naam hebben ook al
hoort deze hier niet thuis.
Registersleutel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify
Voorbeeld: O20 – Winlogon Notify: Extensions –
C:\WINDOWS\system32\i042laho1d4c.dll
Als je deze ingang hersteld wordt de sleutel uit het register verwijdert
maar het bestand blijft bestaan.
Je moet het bestand dus handmatig verwijderen.
35. Hoofdstuk O21 – items:
Dit hoofdstuk behandelt de bestanden die worden geladen door de
ShellServiceObjectDelayLoad registersleutel.
Dit Register bevat waarden op een soortgelijke manier als de Run sleutels
hebben.
Het verschil is dat in plaats van te verwijzen naar het bestand zelf, het
verwijst naar de CLSID’s InProcServer, welke informatie bevat over de
bijzondere DLL welke wordt gebruikt.
De bestanden onder deze sleutel worden automatisch door Explorer.exe
geladen wanneer de computer wordt gestart.
Omdat Explorer.exe de shell van je computer is, het zal altijd starten,
worden de bestanden onder deze sleutel ook altijd geladen.
Deze bestanden worden daarvoor geladen in het vroege opstartproces zonder
dat menselijk ingrijpen kan plaatsvinden.
Een kaper die deze methode gebruikt kan herkent worden aan de volgende
ingangen:
Voorbeeld:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
C:\WINDOWS\secure.html
Registersleutel:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
Voorbeeld:
O21 - SSODL: System - {3CE8EED5-112D-4E37-B671-74326D12971E} - C:\WINDOWS\system32\system32.dll
HijackThis gebruikt een interne witte lijst om de gemeenschappelijke
legitieme ingangen onder deze sleutel niet te tonen.
Als je een opsomming hiervan ziet is het niet standaard en dus verdacht.
Doe zoals altijd een onderzoek met Google voor elke dlls die in deze
sleutel weergegeven worden.
Je kunt ook FBJ’s O20, O21 & O22 lijst,
http://www.fbeej.dk/NewHJTEntries.htm, gebruiken om te helpen de bestanden
te controleren.
Wanneer je dit soort ingangen hersteld zal HijackThis niet het agressieve
bestand verwijderen.
Het is aanbevolen om te herstarten in veilige modus en dan dit bestand te
verwijderen.
36. Hoofdstuk O22 – items:
Dit hoofdstuk behandelt bestanden die geladen worden door de
SharedTaskScheduler registerwaarde.
De ingangen in dit register starten automatisch als windows start.
Zover bekent gebruikt alleen CWS.Smartfinder,
http://www.spywareinfo.com/%7Emerijn/cwschronicles.html#smartfinder, dit.
Registersleutel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\currentVersion\Explorer\SharedTaskScheduler
Voorbeeld:
O22 - SharedTaskScheduler: (no name) -
{3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll
Wees voorzichtig met het verwijderen van de weergegeven items omdat
sommigen legitiem zijn.
Je kunt Google gebruiken om te bepalen of ze geldig zijn.
Je kunt ook FBJ’s O20, O21 & O22 lijst,
http://www.fbeej.dk/NewHJTEntries.htm, gebruiken om te helpen de bestanden
te controleren.
37. Hoofdstuk O23 – items:
Dit hoofdstuk behandelt XP, NT, en 2003 services.
Services zijn programma’s die automatisch geladen worden door Windows
tijdens het opstarten.
Sommige van deze services worden hoe dan ook geladen, ongeacht of een
gebruiker wel of niet inlogt op de computer en neigen ertoe om systeembrede
taken zoals Windows operating system eigenschappen, antivirus software of
servers toepassingen uit te voeren.
Sinds kort is er een toenemende trend van malware deze services te
gebruiken om een computer te besmetten.
Het is daarom belangrijk elk van de weergegeven services te onderzoeken
voor degene die niet goed zijn.
Voorkomende malware services die je kunt vinden zijn Home Search Assistant
en de nieuwe Bargain Buddy variant.
Voorbeelden van dit soort besmetingen kun je hieronder vinden.
De meerderheid van de Microsoft services zijn toegevoegd aan de
‘witte lijst’ zodat deze niet weergegeven worden.
Als je deze services wel wilt zien kun je HijackThis opstarten met de
/ihatewhitelists valg.
Legitieme Service Voorbeeld:
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. -
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
Home Search Assistant Voorbeeld:
O23 – Service: Workstation NetLogon Service – Unknown –
C:\WINDOWS\system32\crxu.exe
Bargain buddy Voorbeeld:
O23 - Service: ZESOFT – Unknown – C:\WINDOWS\zeta.exe
O23 – Service: ISEXEng – Unknown –
C:\WINDOWS\System32\angelex.exe
Wanneer je een O23 ingang met HijackThis herstelt zal de opstart voor deze
service verandert worden naar disabled, de service gestopt worden, en de
gebruiker gevraagd worden te herstarten.
HijackThis verwijdert niet de actuele service uit het register of het
bestand waarnaar het verwijst.
Om de service te kunnen verwijderen moet je de service naam weten.
Deze naam is de tekst tussen haakjes.
Als de getoonde naam dezelfde is als de service naam, zal de service naam
niet weergegeven worden.
Er zijn drie manieren die je kunt gebruiken om de service sleutel te
verwijderen.
1. Verwijdering door gebruik te maken van XP’s SC
commando moet je het volgende intypen vanaf een opdracht prompt.
Sc delete servicename
Om de service te verwijderen met gebruikmaking van een registerbestand kun
je het volgende voorbeeld gebruiken:
2. Gebruik een registerbestand om de service te
verwijderen
Onderstaande register bestand is een voorbeeld om Angelex.exe Bargain Buddy
variant te verwijderen.
REGEDIT4
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ISEXENG]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ISEXEng]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ISEXENG]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ISEXEng]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_ISEXENG]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ISEXEng]
3. Gebruik HijackThis om
het te verwijderen.
Je kunt klikken op Config, dan Misc Tools, en daarna op de
knop Delete an NT service.. klikken.
Wanneer het schermpje opent moet je de naam van de service intypen en op OK
klikken.
Wees voorzichtig met het verwijderen van de items die in deze sleutels
weergegeven worden omdat ze voor het grootste gedeelte legitiem zijn.
Om de programma’s, gevonden in de O23 items, te onderzoeken kun je
gebruik maken van deze 023 lijsten.
http://www.spywareaid.com/023l.php
http://www.fbeej.dk/O23s.htm
En natuurlijk Google is een uitstekende manier om te bepalen of het bestand
gevonden in een O23 item geldig is.
38. Hoofdstuk
O24 – items
Dit hoofdstuk behandelt de Windows
Active Desktop Components.
Active Desktop Components zijn lokale of remote HTML-
bestanden, die direct op uw bureaublad als achtergrond worden ingebed.
Infecties gebruiken deze methode om berichten, beelden, of Web-pagina's
direct op een gebruikers' bureaublad in te bedden. Bekende voorbeelden van
infecties, die deze methode gebruiken, zijn de SmitFraud-familie van foute
anti-pywareprogramma's. Deze infecties gebruiken de Active Desktop
Components om valse veiligheidswaarschuwingen als achtergrond op het
bureaublad van een gebruiker af te beelden. Hieronder staan enkele andere
infecties die deze methode gebruiken:
AVGold
Raze
AntiSpyware
AlfaCleaner
TopAntiSpyware
De
registersleutel verbonden aan de Active Desktop Components is
registersleutel: HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Desktop\Components
Elke specifieke component is dan vermeld als numerieke
subkey van de bovengenoemde sleutel om te beginnen met het nummer 0.
Bijvoorbeeld:
HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Desktop\Components\0\
HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Desktop\Components\1\
HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Desktop\Components\2\
Voorbeelden van desktop component-entries die door
SmitFraud varianten worden gebruikt zijn:
O24 - Desktop Component 0: (Security) -
%windir%\index.html
O24 - Desktop Component 1: (no name) -
%Windir%\warnhp.html
Aangezien het mogelijk is dat iemand met opzet een
Active Desktop Components heeft geconfigureerd, wordt geadviseerd bij
onbekende entries de gebruiker te vragen of zij deze zelf heeft ingesteld.
Wanneer de entries met HijackThis gefixt worden, zal
alleen de Desktop Components in het register verwijderd worden. Het
daadwerkelijke HTML- bestand zal niet verwijderd worden. Daarom zal, indien
het een malware-component betreft, het bestand manueel verwijderd moeten
worden.
39. Conclusie:
HijackThis is een erg krachtige stukje gereedschap om uit te vinden wat de
details zijn van je browser en wat er in Windows draait.
Helaas kan het stellen van een diagnose van een scan resultaat ingewikkeld
zijn.
Hopelijk zullen deze aanbevelingen en verklaringen het je enigszins
gemakkelijker maken.
Dit programma moet met zorg gebruikt worden, aangezien het verwijderen van
sommige items problemen kan veroorzaken met legitieme programma’s.
Als je nog vragen hebt kun je ze altijd posten in een spywareforum.
40. Credits:
Deze
handleiding is een vertaling van HijackThis Tutorial - How to use HijackThis to remove Browser Hijackers & Spyware,
door Lawrence Abrams (Bleeping Computers)
This site is © Copyright
hijackthis.nl 2009, All Rights Reserved
|
