Handleiding HijackThis

R0 – R1 – R2 – R3: Register sectie – Internet explorer start-/zoekpagina’s url’s.
Hierin staan de Internet Explorer startpagina, de Internet Explorer zoekfuncties en de Url Search Hooks.
R0 Internet startpagina en zoekpagina
R1 Internet explorer zoek functies en andere karakteristieken
R2 Een nieuw register waarde
R3 R3 is voor URL Search Hook. Dit is hoogstwaarschijnlijk spyware.
Hoe ziet dit eruit:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.be
R1 - HKLM\Software\Microsoft\Internet explorer\Main,Default_Page_URL=http://www.google.be
R3 - URLSearchHook: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - C:\Program Files\TV Media\TvmBho.dll

Als de url op het einde je zoekpagina of je startpagina is, dan is alles in orde. Als dit niet het geval is, dan selecteer je de sleutel en laat je HijackThis deze repareren.
De R3-items kan je best altijd repareren, tenzij het een programma is dat je kan thuisbrengen.

URL search Hook wordt gebruikt wanneer je een adres intikt in de adresbalk zonder http:// of ftp://. Wanneer zo’n adres ingegeven wordt gaat de browser zelf het juiste protocol bepalen, en als het hierin faalt gaat het de UrlSearchHooks gebruiken die in de R3 lijst staan om het adres te zoeken dat je ingetikt hebt.
De gebruikte Registersleutel is:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks
De standaard CLSID hier is {CFBFAE00-17A6-11D0-99CB-00C04FD64497}.

Wanneer in de log het woord “Obfuscated” verschijnt, betekent dit dat een bepaald iets moeilijk waar te nemen of te begrijpen is. Een methode die spyware en Hijackers gebruiken om hun aanwezigheid kenbaar te maken. Ze verbergen een entry door de waarden te converteren naar een vorm die het gemakkelijk kan begrijpen, maar moeilijk maakt voor mensen om te verwijderen of te herkennen. Een voorbeeld hiervan zijn de hexadecimale registeringangen.

HijackThis verwijdert de registersleutels maar het verwijdert niet de bijbehorende bestanden.

Gebruikte registersleutels:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
“Start Page”
“Default_Page_URL”
“Search Bar”
“Start Page”
“Default_Search_URL”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
“SearchAssistant”
“CustomizeSearch”

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchUrl]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchUrl\\default]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
“Start Page”
“Default_Page_URL”
“Search Page”
“Search Bar”
“Default_Search_URL”
“Window Title”

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl\\default]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
“ProxyOverride”
“AutoConfigURL”

[HKEY_CURRENT_USER\Software\Microsoft\Internet Connection Wizard]
“ShellNext”

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer]
“SearchAssistant”
“CustomizeSearch”

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
“LinksFolderName”=

F0 – F1: Ini-files – Automatisch geladen programma’s.
De F0 en de F1 combinaties omvatten de programma’s die geladen worden van de ini-bestanden win.ini en system.ini. Voor Windows 2000 en Windows XP zijn dit de F2 en de F3 entries. Deze staan opgeslagen in het register.

Code Uitleg
F0 Een veranderde e
F1 Een nieuwe INI-file waarde
F2 Automatisch geladen programma's
F3 Automatisch geladen programma's

Hoe ziet dit eruit:
F0 – system.ini: Shell=Explorer.exe Openme.exe
F0 – system.ini: Shell=Explorer.exe C:\WINDOWS\System32\cmd32.exe
F1 – win.ini: run=hpfsched
F2 – REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe

F0 komt overeen met de Shell= verwijzing in het bestand system.ini. De Shell= verwijzing in system.ini wordt door Windows 9.x gebruikt om aan te duiden welk programma moet optreden als de shell voor het besturingssysteem. De Shell is het programma dat oa je desktop laadt, windows beheer afhandelt en zorgt voor de wisselwerking tussen de gebruiker en het systeem.
Elk programma dat achter deze shell verwijzing staat, wordt geladen wanneer windows opstart. Windows 95 en 98 gebruiken Explorer.exe als standaard shell.
De F0-items zijn meestal slecht, en kan je best laten repareren door HijackThis.
F1 komt overeen met de Run= of Load= entry in het bestand win.ini. Alle programma’s die volgen na run= of load= zullen geladen worden wanneer Windows opgestart wordt.
De run= verwijzing werd vroeger veel gebruikt, de huidige programma’s maken hier geen gebruik meer van. Nu wordt deze nog behouden voor backwards compatibility met oudere programma’s. De load= verwijzing werd gebruikt om drivers voor de hardware te laden.
De F1-items moeten afzonderlijk bekeken worden. Het zijn meestal oude en veilige programma’s. Zoek wat meer info over de filenaam om te kijken of ze kwaadaardig zijn.
De F2 en de F3 entries komen overeen met de F0 en de F1 entries, maar worden gebruikt in Windows 2000 en Windows XP en staan in het register. Windows 2000 en Windows XP maken gewoonlijk geen gebruik van de bestanden system.ini en win.ini.
Een F2-waarde die je vaak ziet is: F2 – REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
Deze komt overeen met de volgende registersleutel:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit.
Deze sleutel bepaalt welke programma’s er opgestart moeten worden wanneer de gebruiker inlogt. Het standaard programma voor deze sleutel is C:\windows\system32\userinit.exe.
Userinit.exe is een programma dat je profiel terugplaatst.
Er kunnen ook andere programma’s toegevoegd worden. Deze worden dan gescheiden door een komma.
Voorbeeldje: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit =C:\windows\system32\userinit.exe,c:\windows\programs.exe. Op deze manier worden beide programma’s (userinit.exe en programs.exe) uitgevoerd bij het opstarten. Een handig plaatsje voor malware om mee op starten.
Wanneer bestanden zijn toegevoegd na de userinit.exe, verwijdert HijackThis de registersleutel maar niet het bijbehorende bestand.
Sommige bestanden achter de userinit.exe blijven verborgen in een HijackThislog. Je ziet dan wel een F2-sleutel verschijnen in de log.

Gebruikte registersleutels:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
“run”=””
“load”=””
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping

Gebruikte bestanden:
C:\Windows\system.ini
C:\Windows\win.ini
Als je de F-items fixt met HijackThis worden de bestanden niet verwijderd.

N1 – N2 – N3 – N4: Mozilla en Netscape start-/zoekpagina url’s
Dit zijn de Mozilla en Netscape start- en zoekpagina’s.

Code Uitleg
N1 Netscape 4 startpagina en zoekpagina /> N2 Netscape 6 startpagina en zoekpagina
N3 Netscape 7 startpagina en zoekpagina
N4 Mozilla startpagina en zoekpagina

Hoe ziet dit eruit:
N1 – Netscape 4: user_pref(“browser.startup.homepage”, “www.google.com”); (C:\Program Files\Netscape\Users\default\prefs.js)
N2 – Netscape 6: user_pref(“browser.startup.homepage”, “http://www.google.com”); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
N2 – Netscape 6: user_pref(“browser.search.defaultengine”, “engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src”); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)

Mozilla en Netscape start- en zoekpagina’s zijn meestal veilig. Ze worden zelden gehijacked. Zie je toch een url die niet je start- of zoekpagina is, dan laat je deze best repareren door HijackThis.

Gebruikte bestanden: prefs.js

O1: Hostfiles
Dit zijn wijzigingen aan je hosts file. Je hosts file wordt gebruikt om van namen, adressen te maken die je PC begrijpt. Meestal moet deze file leeg zijn (op een aantal regel commentaar en een “localhost” entry na), tenzij je hier zelf iets ingezet hebt.

Code Uitleg
O1 Een entry in de hosts file

Hoe ziet dit eruit:
O1 – Hosts: 216.177.73.139 auto.search.msn.com
O1 – Hosts: 216.177.73.139 search.netscape.com
O1 – Hosts: 216.177.73.139 ieautosearch
O1 – Hosts: 207.44.240.65 ads.x10.com

Deze hijack verbindt het adres rechts opnieuw met het IP-adres links. Als het IP niet toebehoort aan dit adres, wordt je telkens opnieuw doorverbonden naar een verkeerde site, elke keer je dit adres gebruikt of ingeeft.
Heb je deze entry er zelf ingezet, dan kan je ze laten staan. Anders laat je ze repareren door HijackThis.

Hosts kan je standaard vinden op de volgende plaats:
Windows 3.1 / 95 / 98 / ME C:\WINDOWS\HOSTS
Windows NT / 2000 C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS
Windows XP / 2003 C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
Windows Vista C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
De plaats waar het bestand Hosts zich bevind kan je wijzigen in het register. Voor Windows NT, Windows 2000 en Windows XP is dit de volgende registersleutel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\: DatabasePath

Bevindt het bestand Hosts zich niet op de standaard locatie, en je hebt de plaats niet zelf gewijzigd, dan is de kans groot dat je een infectie opgelopen hebt. Laat HijackThis dit dan repareren.
Wanneer je merkt dat het bestand Hosts zich bevindt op C:\Windows\Help\hosts, ben je geïnfecteerd door CoolWebSearch.
Wil je terug beschikken over het standaard Hosts-bestand, dan kan je de Hoster downloaden. Unzip het programma, run het, klik op Restore Original Hosts, klik op OK en sluit het programma af.

O2 Browser Helper Objects
Browser Helper Objects zijn programma’s die zich in je internet browser nestelen, om daar nuttige, en minder nuttige taken uit te voeren. Meestal worden BHO’s geïnstalleerd door andere programma’s.

Code Uitleg
O2 Een Browser Helper Object

Hoe ziet dit eruit:
O2 – BHO: Yahoo! Companion BHO – {13F537F0-AF09-11d6-9029-0002B31F9E59} – C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O2 – BHO: (no name) – {ABC6E7B5-9839-E1A7-3F27-B46EA0DAEBBF} – C:\WINDOWS\system32\kuydznif.dll
O2 – BHO: (no name) – {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} – C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)
O2 – BHO: MediaLoads Enhanced – {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} – C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL

Wanneer je een Browser Helper Object (BHO) niet onmiddellijk herkent, kan je de CLSID-list gebruiken van Tony Klein. Hier kan je de CLSID opzoeken om te zien of deze kwaadaardig is of niet.
Wordt de BHO aangeduid met een X dan is het spyware. Een L betekent dat het een veilig object is.
Wanneer je de O2-items repareert met Hijackthis, tracht het programma het bijbehorende bestand te verwijderen. Het kan zijn dat het bestand op dat moment nog in gebruik is. Heeft Hijackthis het bestand niet kunnen verwijderen, dan start je de computer in veilige modus en verwijder je het bestand.

Gebruikte registersleutel: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

03 – Internet Explorer Toolbars
De toolbars zijn een onderdeel van je Internet Explorer.

Code Uitleg
O3 Een IE toolbar

Hoe ziet dit eruit:
O3 – Toolbar: &Yahoo! Companion – {EF99BD32-C1FB-11D2-892F-0090271D4F88} – C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O3 – Toolbar: Popup Eliminator – {86BCA93E-457B-4054-AFB0-E428DA1563E1} – C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)
O3 – Toolbar: &SearchBar – {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} – C:\Program Files\MyWay\myBar\2.bin\MYBAR.DLL
O3 – Toolbar: rzillcgthjx – {5996aaf3-5c08-44a9-ac12-1843fd03df0a} – C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL

Ook van de toolbars kan je meer info bekomen, door de CLSID op te zoeken in de CLSID-list.
Als de CLSID niet in de lijst staat, en de naam is een samenraapsel van allerlei karakters en deze is gelokaliseerd in de map Application Data (zoals het laatste voorbeeld), dan kan je stellen dat deze spyware is. Laat hem repareren door HijackThis.
HijackThis verwijdert niet het bijbehorende bestand.

Gebruikte registersleutel:/span>
HHKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar

O4 – Automatisch startende programma’s
Dit omvat de programma’s die automatisch geladen worden wanneer Windows opstart. Hiervoor wordt gebruik gemaakt van bepaalde registersleutels en van de map opstarten.

Code Uitleg
O4 Automatisch startende programma's

Hoe ziet dit eruit:
O4 – HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 – HKLM\..\Run: [SystemTray] SysTray.Exe
O4 – HKLM\..\Run: [ccApp] “C:\Program Files\Common Files\Symantec Shared\ccApp.exe”
O4 – Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

Wanneer in een O4-regel het woord Startup voorkomt, verwijst dit naar een programma dat geladen wordt omdat het geplaatst is in de map Opstarten van de gebruiker. Deze map bevindt zich in C:\Documents and Settings\Login\Menu Start\Programma’s\.
Global Startup verwijst naar een programma dat geladen wordt omdat het geplaatst is in de map Opstarten van Alle Gebruikers. Deze map bevindt zich in C:\Documents and Settings\All Users\Menu Start\Programma’s.

Gebruikte registersleutels:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

Gebruikte directories:
C:\Documents and Settings\All Users\Menu Start\Programma’s\Opstarten
C:\Documents and Settings\Login\Menu Start\Programma’s\Opstarten

Wanneer je met HijackThis de O4-items laat repareren, zullen de bestanden die bij dit item horen, niet verwijderd worden door HijackThis. Dit zul je nadien zelf moeten doen, bij voorkeur na een reboot in veilige modus.
Voor de Startup en de Gobal Startup items werkt het iets anders. HijackThis verwijdert de snelkoppelingen in de map Opstarten naar het bestand, maar het bestand zelf verwijdert HijackThis niet, tenzij het bestand zich effectief in de map Opstarten bevindt.

Pac Man’s Startup Program List geeft je meer informatie over het programma dat opstart. Je kunt controleren of deze kwaad- of goedaardig is. Let wel op: sommige opstart-items kunnen zowel goed als slecht zijn. Goed interpreteren en kijken waar het zich bevindt….

Andere sites waar je meer informatie kan krijgen over de opstart-items zijn:
Answers that work
Greatis Startup Application Database
Kephyr File Database
Windows Startup Online
Windows Process Library
SystemLookUp

O5 – Internet Explorer opties verborgen in configuratiescherm

Code Uitleg
O5 Internet Explorer opties verborgen in configuratiescherm

Hoe ziet dit eruit:
O5 – control.ini: inetcpl.cpl=no

Als deze sleutel er tussen staat wil dit zeggen dat ‘Internet Opties’ verborgen is in het configuratiescherm. Als je deze instelling niet zelf gemaakt hebt, kan je deze selecteren en dit laten repareren door HijackThis. Zie ook dit Microsoft Knowledge Base Article.

Gebruikte registersleutel:
HKEY_CURRENT_USER\Control Panel\don’t load

Gebruikt bestand:
C:\Windows\control.ini

O6 – Internet opties ingesteld door de Administrator
Als deze sleutel er tussen staat, betekent het dat jij geen wijzigingen aan kan brengen in Internet Explorer – Extra – Internetopties. Spybot Search & Destroy heeft de mogelijkheid om dit aan te zetten (Tools – IE Tweaks – “‘Lock homepage from changes”).

Code Uitleg
O6 IE opties beperkt door de Administrator

Als je Internet Explorer settings wilt kunnen blijven wijzigen, dan moet je dit laten repareren door HijackThis.

Gebruikte registersleutels:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel

07 – Regedit is uitgeschakeld
Als deze sleutel er tussen staat, betekent het dat je het programma ‘regedit’ niet op mag starten. Deze instelling wordt normaal gebruikt op een bedrijfs netwerk om te voorkomen dat je dingen wijzigt die je niet mag wijzigen.

Code Uitleg
O7 Regedit is uitgeschakeld

Hoe ziet dit eruit:
O7 – HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, Disable Regedit=1
O7 – HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Als je deze ziet staan op in een hijackthislog van een privé-computer, kan je Hijackthis dit laten fixen door het te selecteren.

Gebruikte registersleutels:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
“DisableRegistryTools”=
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
“DisableRegistryTools”=

O8 – Extra items in rechtsklikmenu van Internet Explorer
Dit zijn programma’s die beschikbaar zijn in Internet Explorer als je met de rechter muisknop klikt op een gedeelte van een webpagina. Sommige toolbars maken gebruik van deze optie.

Code Uitleg
O8 Extra opties in het rechtsklik menu van IE

Hoe ziet dit eruit:
O8 – Extra context menu item: &Google Search – res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html
O8 – Extra context menu item: Add A Page Note – C:\Program Files\CommonName\AddressBar\createnote.htm
O8 – Extra context menu item: Yahoo! Search – file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 – Extra context menu item: Zoom &In – C:\WINDOWS\WEB\zoomin.htm
O8 – Extra context menu item: Zoom O&ut – C:\WINDOWS\WEB\zoomout.htm

Als je het item in het rechtsklik-menu je niet bekend voorkomt, laat je dit repareren door HijackThis.
HijackThis verwijdert niet het bijbehorende bestand.

Gebruikte registersleutel:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt

O9 – Extra knoppen in IE -toolbar en extra items in Menu-Extra-Opties.
Dit zijn programma’s die beschikbaar zijn in Internet Explorer in de standaard toolbar (degene met de knoppen als “Stop”, “Refresh” en “Forward” en “Back”, of de programma’s die in het “Tools” of “Extra” menu staan.

Code Uitleg
O9 Extra knoppen in je toolbar, en extra opties in het "Tools" / "Extra" menu

Hoe ziet dit eruit:
O9 – Extra button: Messenger (HKLM)
O9 – Extra ‘Tools’ menuitem: Messenger (HKLM)
O9 – Extra button: AIM (HKLM)

Als je de naam van knop of van het menu-item niet herkent, laat je dit best repareren door HijackThis.
HijackThis verwijdert niet het bijbehorende bestand.
Meer info kan je vinden in deze database.

Gebruikte registersleutels:
Tools: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions
Button: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\CmdMapping

O10 – Winsock hijackers
Sommige programma’s gaan vestigen zich tussen je internetprogramma (browser) en je internetverbinding (ADSL, kabel) om zo de bepaalde websites te veranderen of om passwoorden te stelen.
Deze sectie wordt ook wel LSP (Layered Service Provider) genoemd. LSP’s zijn een manier om een stukje software te ketenen aan je Winsock.
LSP’s worden aan elkaar geketend wanneer Winsock wordt gebruikt. De data wordt getransporteerd door alle LSP’s in de ketting. Als spyware of hijackers zich hier genesteld hebben, dan kunnen ze alle verkeer waarnemen.

Code Uitleg
O10 Winsock Hijackers

Hoe ziet dit eruit:
O10 – Hijacked Internet access by New.Net
O10 – Broken Internet access because of LSP provider ‘c:\progra~1\common~2\toolbar\cnmib.dll’ missing
O10 – Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll

Dit soort trojans zijn een groot probleem. Je kunt het probleem best oplossen met het programma LSP-Fix. Meer informatie vind je hier. Het programma Download LSPFix.
Een ander programma vind je hier.
Wil je weten of de gevonden LSP’s goed of kwaadaardig zijn, dan kan je deze database raadplegen.

011 – Extra items in IE ‘Advanced Options’ window
Als je naar Tools (Extra) -> Internet Options (Internet Opties) gaat, om vervolgens het tabblad “Advanced” (Geavanceerd) aan te klikken, zie je een groot aantal opties om Internet Explorer aan te passen. Sommige programma’s voegen zichzelf ook hier aan toe.

Code Uitleg
O11 Extra items in IE 'Advanced Options' window

Hoe zie dit eruit:
O11 – Options group: [CommonName] CommonName

De enige kaper die op dit moment bekend is, noemt “Commonname”. Als je dit programma liever niet gebruikt, kan je deze sleutels selecteren om het te laten verwijderen.

Gebruikte registersleutel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions

012 – Internet Explorer Plugins
Dit zijn plug-ins die extra functionaliteit toevoegen aan de browser zelf. Ze worden geladen wanneer de browser opstart. Voorbeelden: Flash filmpjes kunnen spelen, PDF documenten kunnen lezen vanuit je browser,….

Code Uitleg
O12 Internet Explorer plugins

Hoe ziet dit eruit:
O12 – Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 – Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

De meeste zaken die je hier vindt zijn niet schadelijk. Momenteel is Onflow één van de weinige plugins die niet gewenst is.
Wanneer je HijackThis deze items laat repareren, zal ook het bijbehorende bestand verwijderd worden. Soms kan het bestand nog in gebruik zijn, ook al is de browser niet meer actief. Verwijder dan het bestand bij voorkeur in veilige modus.

Gebruikte registersleutel:
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins

O13 – IE Default Prefix hijack
Normaal gesproken kan Internet Explorer automatisch een URL aanvullen. Voorbeeld: in de browser tik je in www.google.be en Internet Explorer maakt hier automatisch http://www.google.be van. Standaard voegt Windows het voorvoegsel http:// toe. Wil je dit wijzigen dan kan dit in het register.

Code Uitleg
O13 Internet Explorer Default Prefix hijack

Hoe ziet dit eruit:
O13 – DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 – WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 – WWW. Prefix: http://ehttp.cc/?

CoolWebSearch hijackers wijzigen het standaard voorvoegsel in http://ehttp.cc/?.
Tik je in de adresbalk van je browser in www.google.com, dan kom je terecht op de website van CoolWebSearch: http://ehttp.cc/?www.google.com.
De sleutels die hierin staan, zorgen er voor dat al dit soort links, via een pagina gaan van deze Spyware leverancier.
Is dit deze sleutel CWS-related, dan gebruik je best CWShredder om dit te fixen. Lukt het daar niet mee dan gebruik je HijackThis.

Gebruikte registersleutels:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes
Je kunt deze dus altijd laten repareren door HijackThis.

014 – Standaard instellingen van Internet Explorer
Als je in Internet Explorer er voor kiest om je Webinstellingen te herstellen (Extra -> Internetopties -> tabblad Programma’s -> Webinstellingen herstellen), dan worden deze ‘standaard’ instellingen geladen vanuit het bestand iereset.inf. Als een hijacker dit bestand aanpast, blijf je ook na het herstellen van je webinstellingen geïnfecteerd, omdat steeds foutieve informatie ingelezen wordt.

Code Uitleg
O14 Reset Web Settings hijack

Hoe ziet dit eruit:
O14 – IERESET.INF: START_PAGE_URL=http://www.searchalot.com
O14 – IERESET.INF: START_PAGE_URL=http://192.168.85.85:3128/ken2000.html
O14 – IERESET.INF: SEARCH_PAGE_URL=
O14 – IERESET.INF: START_PAGE_URL=

Deze sleutels kan je dus altijd laten repareren door HijackThis. (behalve als dit je Internet Service Provider is)

Gebruikt bestand:
C:\Windows\inf\iereset.inf
C:\WINNT\inf\iereset.inf

015 – Ongewilde websites in de “Trusted” zone van Internet Explorer
Websites die in de “Trusted” zone van Internet Explorer staan, worden door Internet Explorer als betrouwbaar gemarkeerd. Dit betekent dat ze meer mogen dan normale websites.

Code Uitleg
O15 Websites in de trusted zone van IE

Internet Explorer maakt gebruik van verschillende zones: Deze computer, Internet, Lokaal intranet, Vertrouwde websites en Websites met beperkte toegang. Elke zone heeft zijn beveiligingsinstellingen. Aan de hand van die instellingen wordt bepaald welke scripts of toepassingen kunnen uitgevoerd worden wanneer je een site bezoekt die zich in deze zone bevindt.
Elk van de 5 zones wordt geassocieerd met een nummer.

Deze computer – 0
Lokaal Intranet – 1
Internet – 3
Vertrouwde websites – 2
Websites met beperkte toegang – 4

Om connectie te maken met het internet, kunnen verschillende protocollen gebruikt worden. Elk protocol wordt gelinkt aan één van de hierboven genoemde zones, dmv een geassocieerde nummer (Mapping). De standaardsettings zijn de volgende:

Protocol Zone Mapping Zone
http 3 Internet
https 3 Internet
ftp 3 Internet
@ivt 1 Lokaal Intranet
shell 0 Deze computer

Het gevaar bestaat wanneer malware deze settings aanpast. Stel dat de standaardzone voor http, het Internet (met waarde 3), wordt aangepast naar de waarde 2 die geassocieerd is met Vertrouwde websites. Dan wordt elke keer dat je een website bezoekt door gebruik te maken van het protocol http, deze website beschouwt als een website uit de Vertrouwde zone.

Hoe ziet dit eruit:
O15 – Trusted Zone: http://free.aol.com
O15 – Trusted Zone: *.coolwebsearch.com
O15 – Trusted Zone: *.msn.com
O15 – ProtocolDefaults: ‘http’ protocol is in Trusted Zone, should be Internet Zone

Als je hier websites ziet staan die je niet vertrouwt, kan je deze selecteren zodat ze verwijderd worden.
Meestal AOL en Coolwebsearch voegen sites toe aan de Trusted zone.

Gebruikte registersleutels:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults

016 – Active X Objects
Hier staan de programma’s (ActiveX componenten) die geinstalleerd zijn in je browser. De ActiveX componenten worden opgeslagen in de map C:\Windows\Downloaded Program Files.

Code Uitleg
O16 Active X object

Hoe ziet dit eruit:
O16 – DPF: Yahoo! Chat – http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 – DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) – http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 – DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} –
http://imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.6.cab
O16 – DPF: {2ABE804B-4D3A-41BF-A172-304627874B45} – http://akamai.downloadv3.com/binaries/DialHTML/EGDHTML_XP.cab

Als je de naam van het object niet herkent, of de website vanwaar je het gedownload hebt, dan laat je dit best repareren door HijackThis. Als de naam van de url woorden bevat zoals dialer, casino, free_plugin, enz… dan moet je deze altijd laten repareren.
SpywareBlaster bevat een database van slechte ActiveX objecten.
HijackThis verwijdert de bijhorende bestanden van je computer.
Gebruikt bestand:
C:\Windows\Downloaded Program Files

Meer info over de activeX componenten vind je hier.

017 – LOP.com Domain Hijacks
Wanneer je naar een webiste surft door gebruik te maken van een hostnaam ipv een IP-adres, gebruikt de computer de DNS-server om de host te vertalen naar een IP-adres. Sommige hijackers veranderen de namen van de DNS servers zodat hun DNS servers gebruikt worden. Op deze manier kunnen ze je door verwijzen naar elke site die ze maar willen.
Internetadressen zonder punt in bestaan eigenlijk niet. Toch werkt het wel als je bv ‘google’ in je de adresbalk van je browser typt. Internet Explorer probeert automatisch een aantal veel voorkomende fouten te herstellen. Zo kan het van “google” automatisch “www.google.com” maken. Een van de namen die Internet Explorer automatisch probeert, is om de instelling van domeinnaam die je opgegeven hebt, automatisch achter het internetadres te plakken. Als een Spyware programma dit ook aanpast, zullen dit soort links via een website gaan van een Spyware maker.

Code Uitleg
O17 LOP.com Domain Hijacks

Hoe ziet dit eruit:
O17 – HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O17 – HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
O17 – HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
O17 – HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
O17 – HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gla.ac.uk
O17 – HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175

Als de domeinnaam niet van ISP is of van je company netwerk, laat HijackThis deze dan repareren. Idem voor SearchList-entries. Voor de NameServer (DNS-server) entries google je op het IP om te zien of dit goed of slecht is.
Voorbeeld van een infectie die hiervan gebruik maakt is deze.

Gebruikte registersleutels:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
“NameServer”=
“Domain”=
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{CLSID}]
“NameServer”=
“Domain”=
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

O18 – Extra Protocollen en Protocol Hijackers
De standaard protocollen worden gewijzigd door een protocol dat de hijacker gebruikt. Hierdoor krijgt de hijacker controle over bepaalde manieren hoe er informatie uitgewisseld wordt met het internet.
HijackThis leest de protocols-sectie in het register voor de niet-standaard protocols. Wanneer iets gevonden wordt meldt het de CLSID en de het pad naar het bestand.
Sleutels die hier staan zijn niet altijd te vertrouwen, maar geeft op dit moment te veel “valse positieven” om blind op te vertrouwen.

Code Uitleg
O18 Extra protocollen en protocol hijackers

Hoe ziet dit eruit:
O18 – Protocol: relatedlinks – {5AB65DD4-01FB-44D5-9537-3767AB80F790} – C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
O18 – Protocol: mctp – {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 – Protocol hijack: http – {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Slechts een paar hijackers treden hier op. De gekende slechteriken zijn:
cn (CommonName)
ayb (Lop.com)
relatedlinks (Huntbar)
about:blank hijackers

Andere zaken die optreden zijn tot nu toe niet bevestigd als veilig of als hijacked (CLSID is veranderd) door spyware. In het laatste geval laten repareren door HijackThis. HijackThis verwijdert niet de registersleutel en niet het bijbehorende bestand.
Meer info vind je hier.

Gebruikte registersleutels:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filterbr /> HHKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID

019 – User Style sheet hijack
Een style sheet is een sjabloon dat bepaalt hoe een webpagina als geheel, en de verschillende elementen die daarin opgenomen zijn, weergegeven moet worden.
De standaard style sheet wordt door de hijacker overschreven.

Code Uitleg
O19 User style sheet hijack

Hoe ziet dit eruit:
O19 – User style sheet: c:\WINDOWS\Java\my.css

Als de browser trager wordt, of je krijgt regelmatig popups, dan kun je dit best repareren.
Deze zaken worden veroorzaakt door coolwebsearch en je kan deze dan ook best laten repareren door CWShredder. Meer informatie over dit programma kan je hier vinden.
Download CWShredder.
HijackThis verwijdert niet het bijbehorende bestand.

Gebruikte registersleutel:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets

020 – AppInit_DLLs Register waarde: automatisch startend – Sleutels onder Notify
Appinit_DLLs:
Onder de registersleutel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSes\Control\Session Manager\KnownDLLs
worden een aantal .dll bestanden vermeld waar tijdens het opstarten eerst wordt naar gezocht.
Deze .dll bestanden worden in een gedeelte van het geheugen geladen en hun integriteit wordt gecontroleerd.
Eén van deze bestanden is het bestand user32.dll.
Bestanden die vermeld worden onder de AppInit_DLLs worden geladen door een functie in user32.dll.
De meeste uitvoerbare windowsbestanden (exe’s) maken gebruik van user32.dll.
Dit houdt in dat de dll bestanden die in de registersleutel Appinit_DLLs staan, ook geladen zullen worden. Het bestand user32.dll wordt ook gebruikt door processen die automatisch door het systeem gestart worden bij het inloggen. Dit betekent dat bestanden in AppInit_DLLs zeer vroeg geladen worden.
De bestanden die geladen worden via AppInit_DLL’s blijven in het geheugen geladen tot de gebruiker weer uitlogt.

Code Uitleg
O20 automatisch startend
O20 Sleutels onder Winlogon\Notify

Hoe ziet dit eruit:
O20 – AppInit_DLLs: msconfd.dll
O20 – AppInit_DLLs: repairs.dll
O20 – Winlogon Notify: Setup – C:\WINDOWS\system32\f40o0ed3eh0.dll
O20 – Winlogon Notify: avpe32 – C:\WINDOWS\SYSTEM32\avpe32.dll
O20 – Winlogon Notify: satdll – C:\WINDOWS\SYSTEM32\satdll.dll

AppInit_DLLs: Een paar legitieme programma’s maken er gebruik van (vb Google Desktop Search, Norton CleanSweep, Comodo Firewall), maar meestal wordt dit gebruikt door trojans of agressieve browserkapers (oa CoolWebSearch).
De DLL bestanden die hier vermeld worden, bevinden zich meestal in de system32-map. De reden hiervoor is dat alleen de eerste 32 karakters van deze registersleutel door het systeem gelezen worden en als deze bestanden in de system32-map staan moet niet het volledige pad ingegeven worden.
De bestanden zijn niet zichtbaar via Windows verkenner.
Wanneer je dit item laat repareren door HijackThis, wordt het bijbehorende bestand niet verwijderd.
Meer info vind je hier.

Notify: Sinds versie 1.99.1 verschijnen in een HijackThislog onder de combinatie O20, ook de extra sleutels onder Notify. HijackThis maakt hiervoor gebruik van een Whitelist. Standaardsleutels onder Notify met bijbehorende .dll zijn:

crypt32chain (c:\windows\system32\crypt32.dll)
cryptnet (c:\windows\system32\cryptnet.dll
cscdll (c:\windows\system32\cscdll.dll)
ScCertProp (c:\windows\system32\wlnotify.dll)
Schedule (c:\windows\system32\wlnotify.dll)
Sclgntfy (c:\windows\system32\sclgntfy.dll)
SensLogn (c:\windows\system32\WlNotify.dll)
Termsrv (c:\windows\system32\wlnotify.dll
wlballoon (c:\windows\system32\wlnotify.dll)

HijackThis verwijdert de registersleutel, maar niet het bijbehorende bestand.
Infecties die gebruik maakt van deze methode zijn VX2, vundo, Haxdoor, goldun, en sommige delfvarianten.
Niet alle sleutels die onder Notify verschijnen zijn kwaadaardig.
Windows Vista maakt geen gebruik meer van de Notify sleutel.

Gebruikte registersleutels:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows: AppInit_DLLs
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

O21 – ShellServiceObjectDelayLoad

Code Uitleg
O21 ShellServiceObjectDelayLoad

Hoe ziet dit eruit:
O21 – SSODL – AUHOOK – {11566B38-955B-4549-930F-7B7482668782} – C:\WINDOWS\System\auhook.dll
O21 – SSODL: UpperHost – {523455E4-ABCD-ABCD-1114-D709ADD3DDAB} – C:\WINDOWS\System32\UpperHost.dll

Dit is een autorun methode die normaal door slechts een aantal Windows system componenten gebruikt wordt. De items die staan in het register op HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad worden door Explorer geladen wanneer Windows start. Explorer.exe is de shell van je computer. Deze wordt altijd geladen, en dus ook de bestanden die onder ShellServiceObjectDelayLoad staan.
HijackThis maakt gebruik van een white list met de meest voorkomende (gebruikelijke) SSODL items. Als er dus een item verschijnt in de HijackThislog, is deze ongekend en waarschijnlijk van kwaadaardige oorsprong. Toch moet je deze met de nodige voorzichtigheid behandelen.
Behoren momenteel tot de ‘white list’:

“PostBootReminder”=”{7849596a-48ea-486e-8937-a2a3009f31a9}” ( %SystemDir%\Shell32.dll)
“CDBurn”=”{fbeb8a05-beee-4442-804e-409d6c4515e9}” (%SystemDir%\SHELL32.dll)
“WebCheck”=”{E6FB5E20-DE35-11CF-9C87-00AA005127ED}” (%SystemDir%\webcheck.dll)
“SysTray”=”{35CEC8A3-2BE6-11D2-8773-92E220524153}” (%SystemDir%\stobject.dll)
“AUHook” =”{11566B38-955B-4549-930F-7B7482668782}” (%SystemDir%\auhook.dll)
“Network.ConnectionTray”=”{7007ACCF-3202-11D1-AAD2-00805FC1270E}” (%SystemDir%\netshell.dll)
“UPnPMonitor”=”{e57ce738-33e8-4c51-8354-bb4de9d215d1}” (%SystemDir%\upnpui.dll)

HijackThis verwijdert niet het bijbehorende bestand.
Meer info vind je hier.

Gebruikte registersleutel:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

O22 – SharedTaskScheduler

Code Uitleg
O22 SharedTaskScheduler

Hoe ziet dit eruit:
O22 – SharedTaskScheduler: (no name) – {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} – c:\windows\system32\mtwirl32.dll
O22 – – SharedTaskScheduler: (araca) – {8068bf35-3711-4dce-a2f3-f008cecfe894} – c:\windows\system32\afzdbl.dll

Een autorun functie die enkel geldt voor Windows 2000 en Windows XP en Windows Vista.
Momenteel wordt deze methode vrij vaak gebruikt door de Zlobvarianten (rogue-anti-malwarescanners) om hun product aan te prijzen.
HijackThis verwijdert de SharedTaskSchedulerwaarde die met deze entry verbonden is, maar niet de bijbehorende CLSID en het bijbehorende bestand.
Meer info vind je hier.

Gebruikte registersleutel:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

O23 – NT Services
Een service is een programma dat op de achtergrond systeemtaken verricht. Bij het opstarten worden door Windows alle services geladen waarvan het opstarttype niet op “handmatig” of op “Uitgeschakeld” staat.

Code Uitleg
O23 Services

Hoe ziet dit eruit:
O23 – Service: NOD32 Kernel Service – Unknown – C:\Program Files\Eset\nod32krn.exe

HijackThis toont je een overzicht van alle actieve niet-microsoft-services op je computer.
Getoond wordt de weergavenaam en het pad naar het uitvoerbaar bestand. Tussen haakjes verschijnt de servicenaam zoals deze in het register voorkomt.
Database van gekende services vind je hier.
Meer info over services vind je hier.

Gebruikte registersleutels:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

O24 – Windows actieve desktop componenten
Dit zijn html-documenten die op je bureaublad getoond worden.
De html-documenten die getoond worden kunnen lokaal op de computer opgeslagen zijn, maar ze kunnen zich ook op het internet bevinden.
Smitfraudvarianten plaatsen op deze manier fake waarschuwingen op je bureaublad, die melden dat de computer geïnfecteerd is.

Code Uitleg
O24 Windows actieve desktop componenten

Hoe ziet dit eruit:
O24 – Desktop Component 1: (no name) – http://ww.google.be/

Gebruikte registersleutels:
Elk component wordt weergegeven als een genummerde subsleutel van deze registersleutel:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components
vbn:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\2
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\3
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\4

HijackThis verwijdert de registersleutel, maar verwijdert niet het bijbehorende bestand indien dit lokaal (op de computer) opgeslagen is.
Een reboot is nodig om het component ook van je bureaublad te doen verdwijnen.

Manueel verwijderen kan ook:
Ga naar Start – Configuratiescherm – Beeldscherm – tabblad Bureaublad.
Klik op de knop “Bureaublad aanpassen” en dan op het tabblad Website.
Vink hier alles uit wat je vindt en klik op verwijderen. (Mijn introductiepagina kan eventueel blijven staan)