Het spyware topic

Ik zie weer mensen die last hebben van spyware en denk laat ik maar een groot topic openen dan hoef er niet elke keer weer hetzelfde.. ok:

[SPYWARE: wat is het en wat doet het?]

Spyware zijn kleine programma's (DLLs/executables) die tijdens de installatie van sommige stukken software ongevraagd worden meegeïnstalleerd (ook al staat het meestal wel vermeld in de readme/EULA). Ook kunnen dit soort programma's op je PC komen als je tijdens het surfen op "bepaalde" sites te snel op "OK" klikt, of de beveiligingsinstellingen van Internet Explorer 🇮🇪 te laag hebt staan.

Eenmaal geïnstalleerd verzamelt het programma gegevens (naar welke websites je surft bijvoorbeeld) en zend die via internet naar de softwarefabrikant. Naast de privacyproblemen die je hiermee hebt, gebeurt het vaak dat er om de haverklap reclame in beeld komt, je Internet Explorer vastloopt of erg traag wordt. Ook wil het regelmatig voorkomen dat je een extra "zoekbalk" in beeld krijgt:



Daarnaast kan het er voor zorgen dat je bij niet gevonden internetpagina's wordt omgeleid naar de webpagina van de spyware makers.

De meeste spyware is te verwijderen met behulp van: Ad-aware en Spybot Search & Destroy. Deze programma's hebben (netzoals een virusscanner) een update-functie om de nieuwste spyware te herkennen, gebruik deze dan ook vóór je op spyware gaat scannen. Als je niet precies weet wat je wel en niet moet doen, kan je dit topic doorlezen of je vragen stellen.

Ook zijn er online scanners, namelijk PestScan en Spywareinfo's online scanner. Beide werken alleen onder Internet Explorer, zie voor meer info:

http://www.pestscan.com/
http://www.spywareinfo.com/xscan.php

Mochten Ad-aware en Spybot S&D het niet weghalen, dan kan je ook nog het programma HijackThis gebruiken. Pas hier wel mee op! HijackThis ziet niet het verschil tussen wat wel en niet op je pc hoort.

Met deze twee programma's kan je kijken wat er allemaal opgestart wordt als je je PC aan zet, en er zo misschien achterkomen wat je PC heeft geïnfecteerd. HijackThis kan ook een log maken, deze zou je eventueel hier kunnen posten of mailen als je er niet uit komt. Als je niet weet wat een bepaald proces doet, kan je de bestandsnaam even inkloppen op Google. Zo kom je er bijvoorbeeld achter dat smss.exe gewoon thuishoort op je PC.

Voorkomen is beter dan genezen natuurlijk!
Druk daarom nooit overal klakkeloos op "Ja" bij dit soort vensters:



Zelfs als je altijd op "nee" drukt, kan het toch voorkomen dat je geinfecteerd word door spyware. Dit komt meestal door lekken in Internet Explorer, update je windows dan ook regelmatig via:

http://windowsupdate.microsoft.com/


[Hoe de programma's werken?]

Ad-aware
Een simpel programma waarmee de niet al te hardnekige spyware mee verwijderd kan worden.

1.) Downloaden

http://www.download.com/Ad-Aware-SE-Personal-Edition/3000-8022-10319876.html?tag=lst-0-4

2.) Installeren & Lavasoft Ad-aware opstarten

3.) Web-update uitvoeren (zodat hij ook de nieuwste spyware etc kan detecteren)



4.) Scannen via de standaardopties



5.) Na het scannen op "next" drukken.



6.) Uitvinken wat je wilt bewaren.
Je kunt dubbelklikken op een gevonden item om te kijken wat het inhoud. Als de beschrijving als "troep" eruit ziet (bijv. malware) dan moet je het gewoon aangevinkt laten staan, zodat het bij de volgende stap wordt verwijdert.

Opmerking:
Het kan zijn dat programma's als Kazaa niet meer werken nadat je je pc hebt "schoongemaakt" met ad-aware. Kazaa is namelijk meestal de grootste veroorzaker van spyware. Advies: gebruik daarom K-lite (de variant van Kazaa zonder spyware).

7.) Verwijderen die hap! (met enter of next/doorgaan)

8.) KLAAR!

(evt. je PC opnieuw starten om de wijzigingen in werking te laten treden)


SpyBot Search and Destroy

1.) Downloaden

http://www.download.com/Spybot-Search-Destroy/3000-8022-10289035.html

2.) Open spybot - Sear & Destroy

3.) Kijk eerst of er updates zijn voor dit programma via de knop "zoek naar updates"



4.) Als er updates zijn selecteer dan alle updates en klik op "download updates"

5.) klik op "check for problems".



En klik dan op "controleer alles" en het scannen begint.



6.) Als hij klaar is druk je op "Fix selected problems" en start je PC opnieuw op.



Opmerking:
Het kan ook zijn dat spybot 1 of meerdere problemen niet kon oplossen, doordat de bestanden in gebruik zijn. Dan wordt er gevraagd om opnieuw op te starten.


[OVERIGE TOOLS om spyware mee te verwijderen]

HijackThis

Een simpele, maar destructieve tool.. Met HijackThis kan je zien wat er allemaal automatisch word opgestart als je computer aanzet..

1.) Downloaden

http://computercops.biz/downloads-file-328.html

2.) Open HijackThis en druk op scan. (Ga niet zomaar dingen lopen verwijderen!)

3.) Klik op save log en post je log hier..

LET OP!:
Nooit zelf zomaar dingen aanvinken! HijackThis ziet namelijk NIET wat goed en slecht is! (wat ernstige consequenties kan hebben)


CWShredder

1.) Downloaden

http://computercops.biz/downloads-file-349.html

2.) Sluit alle openstaande Internet Explorer pagina's

3.) Start CWShredder

4.) Druk op fix (Er zal een venster verschijnen, klik daar gewoon op OK)

5.) Het scannen begint, druk op next en vervolgens exit.

[HANDIGE LINKS]

Handleiding - simpel en doeltreffend:
http://users.pandora.be/majoorke/Ad%20aware.htm

Handleiding - meer uitleg: [url]http://www.breekpunt.nl/artikel.asp?Artikel=782&art=Yes[/url]

Meer info over spyware:
http://gathering.tweakers.net/forum/list_messages/843971

dus als je het niet lukt drop het hier dan kijken we er wel naar..

Nieuw handige tool om spyware te verwijderen.. (mede ook door danie)

Hitman Pro:

Wat is Hitman Pro?

Hitman Pro is de ultieme spyware removal tool. Het is een schil voor een aantal gevestigde spyware en adware schoonmaak- en beschermingsprogramma's. De gebruiker hoeft slechts het bedieningsoppervlak van Hitman Pro te bedienen waarna de externe programma's automatisch door Hitman Pro worden aangestuurd. Hitman Pro bevat ook een aantal eenvoudige passieve beschermingsopties waarmee het lastiger wordt om wederom door spyware besmet te raken.
Hitman Pro is daarom een ideale tool voor iedere computergebruiker.



Download het hier:
http://members.home.nl/mloman/setup.exe

ok, C:\WINDOWS\Downloaded Program Files heb ik leeggehaald


ok dat autorun progje, maar verder gene idee wat ik dan moet doen ...

kheb weer een nieuw beestje ondekt

hij is taai

Ik heb nu eindelijk een nieuwe virusscanner van Norton de corporation versie voor sservers istie vooral..Maar deze kan die niet temme nog.

Misschien dat ieman dit probleem kent en hem al heeft opgelost



alvast bedankt

Maak een screenshot en plaats hier de link.

Gewoon "Bazooka Spyware scanner" downloaden...

Geen fratsen dat scheelt...

ik zelf gebruik spysweeper dus, al die proggies doen hetzelfde

ik denk dat ik de oplossing heb gevonden

GIANT Anti spyware

.....

je bent er stil van he

neej hij was weer weg dus moet weer bovengezet worden..

Owja dat doe ik ook wel eens met mijn topic

weer een dag verder..

Misschien moeten we dit topic nieuwe leven inblazen en er steeds info opzetten over nieuwe spyware em virussen die opduiken?

Ja goed idee
meer tips!!

oke doen we dat..

een tip die ik al kan geven is antivirus.pagina.nl

kan je ook up to date blijven

dus het lijkt me handig dat iedereen die iets tegenkomt er hier iets over post+selution als het kan..

effe voorbeeldje.

Ja maak en sp2 cd http://www.neowin.net/forum/index.php?showtopic=188337 en doe dan en verse install.

Waarom omdat gewoon normaal sp2 problemen kan geven doordat je spyware op je pc hebt.

dankje

ik heb sp2 sinds kort ook al

AND lift off!! omhoog met het topic.. lol

Soorten spyware

Adware

Dit is meestal een programma dat je gratis kan gebruiken, in ruil voor het vertonen van reclame in het programma zelf, soms ook wel "sponsored mode" genoemd.
Adware is een extra code in software die ervoor zorgt dat de makers reclame kunnen tonen als je die software gebruikt. Reclame kan in het venster van die software, maar ook als popup venster worden getoond. Tevens kan Adware ook informatie verzamelen en naar de makers sturen.

Malware

Verandert systeem settings en voert verschillende taken op het systeem uit.

Hijacker

verandert je internet startpagina.

Trojan Horse
Zoekt op aanvraag contact met het internet (Remote Procedure Call) om gegevens naar de software maker te sturen.

Dialer
Linkt ongemerkt de internetverbinding door naar een betaalde site (dure inbelnummer).

Collectware
Verzamelt informatie over de gebruiker en zijn surfgedrag.

erg handig om te weten

Ik heb een vraag wat betreft spyware, ik ga geen topic over openen, want ik zal hier mijn antwoord krijgen

Op mijn werk bij de kinder opvang, waar kids soms lekker zit te internetten, krijgen we soms porno reclame (pop-up) en er is een soort programma geïnstaleerd (porn-nog iets ofzo).
Ook al verwijder ik die, ut komt terug. Ik heb al spybot search and destroy erop gezet en zowel alles mee gedaan, maar tervergeefs.
Ook is er een startpagina, die de hele dag blijft.
wat moet ik doen, desnoods een zware (hoeft niet gratis te zijn) programma die wellicht bijna alles blokkeerd of uuuh, pfff andere suggesties???

1. post een hijackthis log..
2. ga in software kijken en deinstalleer de dingen die niet thuis horen..
3. zet die hele inhoud in je nieuwe post en ik ga dan na welke je kan aanvinken en fixen.. wel dat .exe bestandje in een nieuwe map doen en niet op het bureaublad zetten maar bijv. in program files.. map hijackthis..

De kinderen niet meer met Internet Explorer laten surfen maar met firefox.


Dit topic doorlezen heeft ook wel zin wat je nog niet gedaan hebt.

of met linux.. lol

2 prototype

adware downloaden ... zie hierboven in het topic

??? Te moielijk op dit tijstip

ik ga nu pas lezen

Die startpagina, dat is zeker about:blank?? die hebbik ook! ben er aan gewend maar ik heb ook nog spysweeper en dat programma zet iedere keer je orginele startpage terug bijv. google.nl

Misschien kan je even zeggen hoe dat porn ding heet dan zoek ik effe op internet voor je..het is waarschijnlijk een alias van een virus.

Laatste virus bedreigingen:

Trojan.Tannick

W97M.Kamal

Trojan.Comxt

Trojan.AdRmove

W32.Fili@mm

W32.Bagz.B@mm

@ ThaOdie op dit forum kun je handleiding ook plaatsen als je wil tenminste ander doe ik het.

http://www.computerveilig.nl/forum/

Het hoe en wat met HiJackThis..

HijackThis

HijackThis is een programma dat geschreven is om startpagina-kapers en soortgelijke programma's op te sporen. Het programma moet niet geïnstalleerd worden.
Het verschil tussen HijackThis en Spybot Search & Destroy zit hem voornamelijk in de techniek. Spybot detecteert allerlei soorten spyware. HijackThis richt zich voornamelijk op spyware die zich in de browser verstopt. Verder gebruikt HijackThis een scantechniek die mogelijk meer valse positieven oplevert, maar daardoor ook objecten kan vinden die door andere spyware-scanners nog niet gevonden worden.
Let wel op dat je de nieuwste versie van HijackThis gebruikt, oudere versies kunnen voor problemen zorgen op Windows 9.x systemen.

Gebruik:
Download HijackThis. (mirror)
Unzip het programma in een eigen map. Niet op je desktop en niet in je temp-map. HijackThis maakt namelijk backups en misschien heb je deze in de toekomst nog nodig.
Klik op het bestand HijackThis.exe. Voor je gaat scannen ga je naar Config... en controleer je of er een vinkje staat voor 'Make backups before fixing items'. Klik op de knop Back.
Klik op de Scan knop. Na het scannen verandert de Scan knop in een Save log knop. Klik op Save log om het log op te slaan.

HijackThis toont je na de scan een overzicht van mogelijke spyware op je systeem. De verkregen informatie wordt aan de hand van een letter- en cijfercombinatie onderverdeeld in categorieën.
Het verwijderen van deze objecten is een keuze die je zelf zal moeten maken.

Onderstaande lijst geeft je een overzicht van de verschillende cijfer- en lettercombinaties.

R0 Internet explorer startpagina en zoekpagina
R1 Internet explorer zoek functies en andere karakteristieken
R2 Register Info
R3 URL Search Hook
F0 INI Files
F1 INI Files
N1 Netscape/Mozilla start/zoek pagina's url's
N2 Netscape/Mozilla start/zoek pagina's url's
N3 Netscape/Mozilla start/zoek pagina's url's
N4 Netscape/Mozilla start/zoek pagina's url's
O1 Hosts File
O2 Browser Helper Objects (BHO)
O3 IE Toolbars
O4 Automatisch Startende Programma's
O5 IE Control Panel Item hidden in Control Panel
O6 Internet opties ingesteld door de Administrator
O7 RegEdit disabled
O8 Extra opties in het rechtsklik menu van IE
O9 Extra knoppen in je toolbar, en extra opties in het "Tools" / "Extra" menu
O10 Winsock Hijackers
O11 Extra items in "Advanced Options" settings
O12 Internet Explorer Plugins
O13 IE Default Prefix hijack
O14 Standaard Instellingen van IE
O15 Websites in de "Trusted" zone van IE
O16 ActiveX Objects
O17 LOP.com DomeinHijacks
O18 Extra Protocollen en Protocol Hijackers
O19 User Style sheet hijack
O20 AppInit_DLLs Register waarde: automatisch startend
O21 ShellServiceObjectDelayLoad
O22 SharedTaskScheduler

Bron:HIERZO

en de wat meer gedetaieerde.. voor wie dat wil lezen..

HijackThis handleiding

R0 - R1 - R2 - R3: Register sectie - Internet explorer start-/zoekpagina's url's.
Hierin staan de Internet Explorer startpagina, de Internet Explorer zoekfuncties en de Url Search Hooks.

Code Uitleg
R0 Internet explorer startpagina en zoekpagina
R1 Internet explorer zoek functies en andere karakteristieken
R2 Een nieuw register waarde
R3 R3 is voor URL Search Hook. Dit is hoogstwaarschijnlijk spyware.

Hoe ziet dit eruit:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet explorer\Main,Default_Page_URL=http://www.google.com/
R3 - URLSearchHook: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - C:\Program Files\TV Media\TvmBho.dll

Als de url op het einde je zoekpagina of je startpagina is, dan is alles in orde. Als dit niet het geval is, dan selecteer je de sleutel en laat je HijackThis deze repareren.
De R3-items kan je best altijd repareren, tenzij het een programma is dat je kan thuisbrengen.

URL search Hook wordt gebruikt wanneer je een adres intikt in de adresbalk zonder http:// of ftp://. Wanneer zo'n adres ingegeven wordt gaat de browser zelf het juiste protocol bepalen, en als het hierin faalt gaat het de UrlSearchHooks gebruiken die in de R3 lijst staan om het adres te zoeken dat je ingetikt hebt.
De gebruikte Registersleutel is:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks
De standaard CLSID hier is {CFBFAE00-17A6-11D0-99CB-00C04FD64497}.

Wanneer in de log het woord "Obfuscated" verschijnt, betekent dit dat een bepaald iets moeilijk waar te nemen of te begrijpen is. Een methode die spyware en Hijackers gebruiken om hun aanwezigheid kenbaar te maken. Ze verbergen een entry door de waarden te converteren naar een vorm die het gemakkelijk kan begrijpen, maar moeilijk maakt voor mensen om te verwijderen of te herkennen. Een voorbeeld hiervan zijn de hexadecimale registeringangen.

Gebruikte registersleutels:
HKLM\Software\Microsoft\Internet Explorer\Main: Start Page
HKCU\Software\Microsoft\Internet Explorer\Main: Start Page
HKLM\Software\Microsoft\Internet Explorer\Main: Default_Page_URL
HKCU\Software\Microsoft\Internet Explorer\Main: Default_Page_URL
HKLM\Software\Microsoft\Internet Explorer\Main: Search Page
HKCU\Software\Microsoft\Internet Explorer\Main: Search Page
HKCU\Software\Microsoft\Internet Explorer\SearchURL: (Default)
HKCU\Software\Microsoft\Internet Explorer\Main: Window Title
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: ProxyOverride
HKCU\Software\Microsoft\Internet Connection Wizard: ShellNext
HKCU\Software\Microsoft\Internet Explorer\Main: Search Bar
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks
HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch
HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch
HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant


F0 - F1: Ini-files - Automatisch geladen programma's.
De F0 en de F1 combinaties omvatten de programma's die geladen worden van de ini-bestanden win.ini en system.ini. Voor Windows 2000 en Windows XP zijn dit de F2 en de F3 entries. Deze staan opgeslagen in het register.

Code Uitleg
F0 Een veranderde INI-file waarde
F1 Een nieuwe INI-file waarde
F2 Automatisch geladen programma's
F3 Automatisch geladen programma's

Hoe ziet dit eruit:
F0 - system.ini: Shell=Explorer.exe Openme.exe
F0 - system.ini: Shell=Explorer.exe C:\WINDOWS\System32\cmd32.exe
F1 - win.ini: run=hpfsched
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe

F0 komt overeen met de Shell= verwijzing in het bestand system.ini. De Shell= verwijzing in system.ini wordt door Windows 9.x gebruikt om aan te duiden welk programma moet optreden als de shell voor het besturingssysteem. The Shell is het programma dat oa je desktop laadt, windows beheer afhandelt en zorgt voor de wisselwerking tussen de gebruiker en het systeem.
Elk programma dat achter deze shell verwijzing staat, wordt geladen wanneer windows opstart. Windows 95 en 98 gebruiken Explorer.exe als standaard shell.
De F0-items zijn meestal slecht, en kan je best laten repareren door HijackThis.
F1 komt overeen met de Run= of Load= entry in het bestand win.ini. Alle programma's die volgen na run= of load= zullen geladen worden wanneer Windows opgestart wordt.
De run= verwijzing werd vroeger veel gebruikt, de huidige programma's maken hier geen gebruik meer van. Nu wordt deze nog behouden voor backwards compatibility met oudere programma's. De load= verwijzing werd gebruikt om drivers voor de hardware te laden.
De F1-items moeten afzonderlijk bekeken worden. Het zijn meestal oude en veilige programma's. Zoek wat meer info over de filenaam om te kijken of ze kwaadaardig zijn.
De F2 en de F3 entries komen overeen met de F0 en de F1 entries, maar worden gebruikt in Windows 2000 en Windows XP en staan in het register. Windows 2000 en Windows XP maken gewoonlijk geen gebruik van de bestanden system.ini en win.ini.
Een F2-waarde die je vaak ziet is: F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
Deze komt overeen met de volgende registersleutel:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Deze sleutel bepaalt welke programma's er opgestart moeten worden wanneer de gebruiker inlogt. Het standaard programma voor deze sleutel is C:\windows\system32\userinit.exe.
Userinit.exe is een programma dat je profiel terugplaatst.
Er kunnen ook andere programma's toegevoegd worden. Deze worden dan gescheiden door een komma.
Voorbeeldje: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit =C:\windows\system32\userinit.exe,c:\windows\programs.exe. Op deze manier worden beide programma's (userinit.exe en programs.exe) uitgevoerd bij het opstarten. Een handig plaatsje voor malware om mee op starten.
Gebruikte registersleutels:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
"run"=""
"load"=""
Gebruikte bestanden:
C:\Windows\system.ini
C:\Windows\win.ini
Als je de F-items fixt met HijackThis worden de bestanden niet verwijderd.


N1 - N2 - N3 - N4: Mozilla en Netscape start-/zoekpagina url's
Dit zijn de Mozilla en Netscape start- en zoekpagina's.

Code Uitleg
N1 Netscape 4 startpagina en zoekpagina
N2 Netscape 6 startpagina en zoekpagina
N3 Netscape 7 startpagina en zoekpagina
N4 Mozilla startpagina en zoekpagina

Hoe ziet dit eruit:
N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)
N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)

Mozilla en Netscape start- en zoekpagina's zijn meestal veilig. Ze worden zelden gehijacked. Zie je toch een url die niet je start- of zoekpagina is, dan laat je deze best repareren door HijackThis.

Gebruikte bestanden: prefs.js

O1: Hostfiles
Dit zijn wijzigingen aan je hosts file. Je hosts file wordt gebruikt om van namen, adressen te maken die je PC begrijpt. Meestal moet deze file leeg zijn (op een aantal regel commentaar en een "localhost" entry na), tenzij je hier zelf iets ingezet hebt.

Code Uitleg
O1 Een entry in de hosts file

Hoe ziet dit eruit:
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
O1 - Hosts: 207.44.240.65 ads.x10.com

Deze hijack verbindt het adres rechts opnieuw met het IP-adres links. Als het IP niet toebehoort aan dit adres, wordt je telkens opnieuw doorverbonden naar een verkeerde site, elke keer je dit adres gebruikt of ingeeft.
Heb je deze entry er zelf ingezet, dan kan je ze laten staan. Anders laat je ze repareren door HijackThis.

Hosts kan je standaard vinden op de volgende plaats:
Windows 3.1 / 95 / 98 / ME C:\WINDOWS\HOSTS
Windows NT / 2000 C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS
Windows XP / 2003 C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
De plaats waar het bestand Hosts zich bevind kan je wijzigen in het register. Voor Windows NT, Windows 2000 en Windows XP is dit de volgende registersleutel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\: DatabasePath

Bevindt het bestand Hosts zich niet op de standaard locatie, en je hebt de plaats niet zelf gewijzigd, dan is de kans groot dat je een infectie opgelopen hebt. Laat HijackThis dit dan repareren.
Wanneer je merkt dat het bestand Hosts zich bevindt op C:\Windows\Help\hosts, ben je geïnfecteerd door CoolWebSearch.
Wil je terug beschikken over het standaard Hosts-bestand, dan kan je de Hoster downloaden. Unzip het programma, run het, klik op Restore Original Hosts, klik op OK en sluit het programma af.


O2 Browser Helper Objects
Browser Helper Objects zijn programma's die zich in je internet browser nestelen, om daar nuttige, en minder nuttige taken uit te voeren. Meestal worden BHO's geïnstalleerd door andere programma's.

Code Uitleg
O2 Een Browser Helper Object

Hoe ziet dit eruit:
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O2 - BHO: (no name) - {ABC6E7B5-9839-E1A7-3F27-B46EA0DAEBBF} - C:\WINDOWS\system32\kuydznif.dll
O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL

Wanneer je een Browser Helper Object (BHO) niet onmiddellijk herkent, kan je de CLSID-list gebruiken van Tony Klein. Hier kan je de class ID opzoeken om te zien of deze kwaadaardig is of niet. Mirror.
Wordt de BHO aangeduid met een X dan is het spyware. Een L betekent dat het een veilig object is.
Wanneer je de O2-items repareert met Hijackthis, tracht het programma het bijbehorende bestand te verwijderen. Het kan zijn dat het bestand op dat moment nog in gebruik is. Heeft Hijackthis het bestand niet kunnen verwijderen, dan start je de computer in veilige modus en verwijder je het bestand.

Gebruikte registersleutel: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects


03 - Internet Explorer Toolbars
De toolbars zijn een onderdeel van je Internet Explorer.

Code Uitleg
O3 Een IE toolbar Lijst CLSID

Hoe ziet dit eruit:
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\2.bin\MYBAR.DLL
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL

Ook van de toolbars kan je meer info bekomen, door de CLSID op te zoeken in de CLSID-list.
Als de CLSID niet in de lijst staat, en de naam is een samenraapsel van allerlei karakters en deze is gelokaliseerd in de map Application Data (zoals het laatste voorbeeld), dan kan je stellen dat deze spyware is. Laat hem repareren door HijackThis.

Gebruikte registersleutel:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar


O4 - Automatisch startende programma's
Dit omvat de programma's die automatisch geladen worden wanneer Windows opstart. Hiervoor wordt gebruik gemaakt van bepaalde registersleutels en van de map opstarten.

Code Uitleg
O4 Automatisch startende programma's

Hoe ziet dit eruit:
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

Wanneer in een O4-regel het woord Startup voorkomt, verwijst dit naar een programma dat geladen wordt omdat het geplaatst is in de map Opstarten van de gebruiker. Deze map bevindt zich in C:\Documents and Settings\Login\Menu Start\Programma's\.
Global Startup verwijst naar een programma dat geladen wordt omdat het geplaatst is in de map Opstarten van Alle Gebruikers. Deze map bevindt zich in C:\Documents and Settings\All Users\Menu Start\Programma's.

Gebruikte registersleutels:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

Gebruikte directories:
C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten
C:\Documents and Settings\Login\Menu Start\Programma's\Opstarten

Wanneer je met HijackThis de O4-items laat repareren, zullen de bestanden die bij dit item horen, niet verwijderd worden door HijackThis. Dit zul je nadien zelf moeten doen, bij voorkeur na een reboot in veilige modus.
Voor de Startup en de Gobal Startup items werkt het iets anders. HijackThis verwijdert de snelkoppelingen in de map Opstarten naar het bestand, maar het bestand zelf verwijdert HijackThis niet.

Pac Man's Startup Program List geeft je meer informatie over het programma dat opstart. Je kunt controleren of deze kwaad- of goedaardig is. Let wel op: sommige opstart-items kunnen zowel goed als slecht zijn. Goed interpreteren en kijken waar het zich bevindt….

Andere sites waar je meer informatie kan krijgen over de opstart-items zijn:
Answers that work
Greatis Startup Application Database
Kephyr File Database
Windows Startup Online
Windows Process Library


O5 - Internet Explorer opties verborgen in configuratiescherm
Code Uitleg
O5 Internet Explorer opties verborgen in configuratiescherm

Hoe ziet dit eruit:
O5 - control.ini: inetcpl.cpl=no

Als deze sleutel er tussen staat wil dit zeggen dat 'Internet Opties' verborgen is in het configuratiescherm. Als je deze instelling niet zelf gemaakt hebt, kan je deze selecteren en dit laten repareren door HijackThis. Zie ook dit Microsoft Knowledge Base Article.

Gebruikte registersleutel:
HKEY_CURRENT_USER\Control Panel\don't load

Gebruikt bestand:
C:\Windows\control.ini


O6 - Internet opties ingesteld door de Administrator
Als deze sleutel er tussen staat, betekent het dat jij geen wijzigingen aan kan brengen in Internet Explorer - Extra - Internetopties. Spybot Search & Destroy heeft de mogelijkheid om dit aan te zetten (Tools - IE Tweaks - "'Lock homepage from changes").

Code Uitleg
O6 IE opties beperkt door de Administrator

Als je Internet Explorer settings wilt kunnen blijven wijzigen, dan moet je dit laten repareren door HijackThis.

Gebruikte registersleutel:
HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions


07 - Regedit is uitgeschakeld
Als deze sleutel er tussen staat, betekent het dat je het programma 'regedit' niet op mag starten. Deze instelling wordt normaal gebruikt op een bedrijfs netwerk om te voorkomen dat je dingen wijzigt die je niet mag wijzigen.

Code Uitleg
O7 Regedit is uitgeschakeld

Hoe ziet dit eruit:
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, Disable Regedit=1

Als je deze melding op een prive PC krijgt, kan je Hijackthis dit met gemak laten fixen door het te selecteren.


O8 - Extra items in rechtsklikmenu van Internet Explorer
Dit zijn programma's die beschikbaar zijn in Internet Explorer als je met de rechter muisknop klikt op een gedeelte van een webpagina. Sommige toolbars maken gebruik van deze optie.

Code Uitleg
O8 Extra opties in het rechtsklik menu van IE

Hoe ziet dit eruit:
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html
O8 - Extra context menu item: Add A Page Note - C:\Program Files\CommonName\AddressBar\createnote.htm
O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm
O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm

Als je het item in het rechtsklik-menu je niet bekend voorkomt, laat je dit repareren door HijackThis.
HijackThis verwijdert niet het bijbehorende bestand.

Gebruikte registersleutel:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt


O9 - Extra knoppen in IE -toolbar en extra items in Menu-Extra-Opties.
Dit zijn programma's die beschikbaar zijn in Internet Explorer in de standaard toolbar (degene met de knoppen als "Stop", "Refresh" en "Forward" en "Back", of de programma's die in het "Tools" of "Extra" menu staan.

Code Uitleg
O9 Extra knoppen in je toolbar, en extra opties in het "Tools" / "Extra" menu

Hoe ziet dit eruit:
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: AIM (HKLM)

Als je de naam van knop of van het menu-item niet herkent, laat je dit best repareren door HijackThis.
HijackThis verwijdert niet het bijbehorende bestand.

Gebruikte registersleutels:
Tools: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions
Button: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\CmdMapping


O10 - Winsock hijackers
Sommige programma's gaan vestigen zich tussen je internetprogramma (browser) en je internetverbinding (ADSL, kabel) om zo de bepaalde websites te veranderen of om passwoorden te stelen.
Deze sectie wordt ook wel LSP (Layered Service Provider) genoemd. LSP's zijn een manier om een stukje software te ketenen aan je Winsock.
LSP's worden aan elkaar geketend wanneer Winsock wordt gebruikt. De data wordt getransporteerd door alle LSP's in de ketting. Als spyware of hijackers zich hier genesteld hebben, dan kunnen ze alle verkeer waarnemen.

Code Uitleg
O10 Winsock Hijackers

Hoe ziet dit eruit:
O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing
O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll

Dit soort trojans zijn een groot probleem. Je kunt het probleem best oplossen met het programma LSP-Fix. Meer informatie vind je hier. Het programma Download LSPFix.
Een ander programma vind je hier.


011 - Extra items in IE 'Advanced Options' window
Als je naar Tools (Extra) -> Internet Options (Internet Opties) gaat, om vervolgens het tabblad "Advanced" (Geavanceerd) aan te klikken, zie je hier een groot aantal opties om je Internet Explorer volledig aan te passen aan je wensen. Sommige programma's voegen zichzelf ook hier aan toe.

Code Uitleg
O11 Extra items in IE 'Advanced Options' window

Hoe zie dit eruit:
O11 - Options group: [CommonName] CommonName

De enige kaper die op dit moment bekend is, noemt "Commonname". Als je dit programma liever niet gebruikt, kan je deze sleutels selecteren om het te laten verwijderen.

Gebruikte registersleutel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions


012 - Internet Explorer Plugins
Dit zijn plug-ins die extra functionaliteit toevoegen aan de browser zelf. Ze worden geladen wanneer de browser opstart. Voorbeelden: Flash filmpjes kunnen spelen, PDF documenten kunnen lezen vanuit je browser,….
Code Uitleg
O12 Internet Explorer plugins

Hoe ziet dit eruit:
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

De meeste zaken die je hier vindt zijn niet schadelijk. Momenteel is Onflow één van de weinige plugins die niet gewenst is.
Wanneer je HijackThis deze items laat repareren, zal ook het bijbehorende bestand verwijderd worden. Soms kan het bestand nog in gebruik zijn, ook al is de browser niet meer actief. Verwijder dan het bestand bij voorkeur in veilige modus.
Gebruikte registersleutel:
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins


O13 - IE Default Prefix hijack
Normaal gesproken kan Internet Explorer automatisch een URL aanvullen. Voorbeeld: in de browser tik je in www.google.be en Internet Explorer maakt hier automatisch http://www.google.be van. Standaard voegt Windows het voorvoegsel http:// toe. Wil je dit wijzigen dan kan dit in het register.

Code Uitleg
O13 Internet Explorer Default Prefix hijack

Hoe ziet dit eruit:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi
O13 - WWW. Prefix: http://ehttp.cc/

CoolWebSearch hijackers wijzigen het standaard voorvoegsel in http://ehttp.cc/
Tik je in de adresbalk van je browser in www.google.com, dan kom je terecht op de website van CoolWebSearch: http://ehttp.cc/?www.google.com
De sleutels die hierin staan, zorgen er voor dat al dit soort links, via een pagina gaan van deze Spyware leverancier.
Is dit deze sleutel CWS-related, dan gebruik je best CWShredder om dit te fixen. Lukt het daar niet mee dan gebruik je HijackThis.
Gebruikte registersleutel:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix
Je kunt deze dus altijd laten repareren door HijackThis.


014 - Standaard instellingen van Internet Explorer
Als je in Internet Explorer er voor kiest om je Webinstellingen te herstellen (Extra -> Internetopties -> tabblad Programma's -> Webinstellingen herstellen), dan worden deze 'standaard' instellingen geladen vanuit het bestand iereset.inf. Als een hijacker dit bestand aanpast, blijf je ook na het herstellen van je webinstellingen geïnfecteerd, omdat steeds foutieve informatie ingelezen wordt.

Code Uitleg
O14 Reset Web Settings hijack

Hoe ziet dit eruit:
O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com
O14 - IERESET.INF: START_PAGE_URL=http://192.168.85.85:3128/ken2000.html
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

Deze sleutels kan je dus altijd laten repareren door HijackThis. (behalve als dit je Internet Service Provider is)

Gebruikt bestand:
C:\Windows\inf\iereset.inf
C:\WINNT\inf\iereset.inf


015 - Ongewilde websites in de "Trusted" zone van Internet Explorer
Internet Explorer maakt gebruik van verschillende zones: Internet, Lokaal intranet, Vertrouwde websites en Websites met beperkte toegang. Elke zone heeft zijn beveiligingsinstellingen. Aan de hand van die instellingen wordt bepaald welke scripts of toepassingen kunnen uitgevoerd worden wanneer je een site bezoekt die zich in deze zone bevindt.
Websites die in de "Trusted" zone van Internet Explorer staan, worden door Internet Explorer als betrouwbaar gemarkeerd. Dit betekent dat ze meer dingen mogen dan normale websites.

Code Uitleg
O15 Websites in de trusted zone van IE

Hoe ziet dit eruit:
O15 - Trusted Zone: http://free.aol.com
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.msn.com

Als je hier websites ziet staan die je niet vertrouwd, kan je deze selecteren zodat ze verwijderd worden.
Meestal AOL en Coolwebsearch voegen sites toe aan de Trusted zone.


016 - Active X Objects
Hier staan de programma's (ActiveX componenten) die geinstalleerd zijn in je browser. De ActiveX componenten worden opgeslagen in de map C:\Windows\Downloaded Program Files.

Code Uitleg
O16 Active X object

Hoe ziet dit eruit:
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} -
http://imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.6.cab
O16 - DPF: {2ABE804B-4D3A-41BF-A172-304627874B45} - http://akamai.downloadv3.com/binaries/DialHTML/EGDHTML_XP.cab

Als je de naam van het object niet herkent, of de website vanwaar je het gedownload hebt, dan laat je dit best repareren door HijackThis. Als de naam van de url woorden bevat zoals dialer, casino, free_plugin, enz… dan moet je deze altijd laten repareren.
SpywareBlaster bevat een database van slechte ActiveX objecten.
HijackThis verwijdert de bijhorende bestanden van je computer.
Gebruikt bestand:
C:\Windows\Downloaded Program Files


017 - LOP.com Domain Hijacks
Wanneer je naar een webiste surft door gebruik te maken van een hostnaam ipv een IP-adres, gebruikt de computer de DNS-server om de host te vertalen naar een IP-adres. Sommige hijackers veranderen de namen van de DNS servers zodat hun DNS servers gebruikt worden. Op deze manier kunnen ze je door verwijzen naar elke site die ze maar willen.
Internetadressen zonder punt in bestaan eigenlijk niet. Toch werkt het wel als je bv 'google' in je de adresbalk van je browser typt. Internet Explorer probeert automatisch een aantal veel voorkomende fouten te herstellen. Zo kan het van "google" automatisch "www.google.com" maken. Een van de namen die Internet Explorer automatisch probeert, is om de instelling van domeinnaam die je opgegeven hebt, automatisch achter het internetadres te plakken. Heb jij bijvoorbeeld localnet opgegeven als domeinnaam, dan probeert Internet Explorer bij een zoekopdracht om "google" op te lossen, automatisch "google.localnet". Als een Spyware programma dit ook aanpast, zullen dit soort links via een website gaan van een Spyware maker.

Code Uitleg
O17 LOP.com Domain Hijacks

Hoe ziet dit eruit:
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gla.ac.uk
O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175

Als de domeinnaam niet van ISP is of van je company netwerk, laat HijackThis deze dan repareren. Idem voor SearchList-entries. Voor de NameServer (DNS-server) entries google je op het IP om te zien of dit goed of slecht is.


O18 - Extra Protocollen en Protocol Hijackers
De standaard protocollen worden gewijzigd door een protocol dat de hijacker gebruikt. Hierdoor krijgt de hijacker controle over bepaalde manieren hoe er informatie uitgewisseld wordt met het internet.
Hijackthis leest de protocols-sectie in het register voor de niet-standaard protocols. Wanneer iets gevonden wordt meldt het de CLSID en de het pad naar het bestand.
Sleutels die hier staan zijn niet altijd te vertrouwen, maar geeft op dit moment te veel "valse positieven" om blind op te vertrouwen.

Code Uitleg
O18 Extra protocollen en protocol hijackers

Hoe ziet dit eruit:
O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Slechts een paar hijackers treden hier op. De gekende slechteriken zijn:
cn (CommonName)
ayb (Lop.com)
relatedlinks (Huntbar)
Andere zaken die optreden zijn tot nu toe niet bevestigd als veilig of als hijacked (CLSID is veranderd) door spyware. In het laatste geval laten repareren door HijackThis. Hijackthis verwijdert niet de registersleutel en niet het bijbehorende bestand.

Gebruikte registersleutels:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter


019 - User Style sheet hijack
Een style sheet is een sjabloon dat bepaalt hoe een webpagina als geheel, en de verschillende elementen die daarin opgenomen zijn, weergegeven moet worden.
De standaard style sheet wordt door de hijacker overschreven.

Code Uitleg
O19 User style sheet hijack

Hoe ziet dit eruit:
O19 - User style sheet: c:\WINDOWS\Java\my.css

Als de browser trager wordt, of je krijgt regelmatig popups, dan kun je dit best repareren.
Deze zaken worden veroorzaakt door coolwebsearch en je kan deze dan ook best laten repareren door CWShredder. Meer informatie over dit programma kan je hier vinden.
Download CWShredder.
HijackThis verwijdert niet het bijbehorende bestand.
Gebruikte registersleutel:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets


020 - AppInit_DLLs Register waarde: automatisch startend
De waarden die vermeld worden in de registersleutel AppInit_DLLs worden geladen wanneer user32.dll geladen wordt. De meeste uitvoerbare windowsbestanden (exe's) maken gebruik van user32.dll. Dit houdt in dat de dll bestanden die in de registersleutel Appinit_DLLs staan ook geladen zullen worden. Het bestand user32.dll wordt ook gebruikt door processen die automatisch door het systeem gestart worden bij het inloggen. Dit betekent dat bestanden in AppInit_DLLs zeer vroeg geladen worden.
De bestanden die geladen worden via AppInit_DLL's blijven in het geheugen geladen tot de gebruiker weer uitlogt.

Code Uitleg
O20 AppInit_DLLs Register waarde: automatisch startend

Hoe ziet dit eruit:
O20 - AppInit_DLLs: msconfd.dll

Een paar legitieme programma's maken er gebruik van (Norton CleanSweep gebruikt APITRAP.DLL), maar meestal wordt dit gebruikt door trojans of agressieve browserkapers (oa CoolWebSearch).
De DLL bestanden die hier vermeld worden bevinden zich meestal in de system32-map. De reden hiervoor is dat alleen de eerste 32 karakters van deze registersleutel door het systeem gelezen worden en als deze bestanden in de system32-map staan moet niet het volledige pad ingegeven worden.
De bestanden zijn niet zichtbaar via Windows verkenner.
Wanneer je dit item laat repareren door HijackThis, wordt het bijbehorende bestand niet verwijderd.

Gebruikte registersleutel:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\


O21 - ShellServiceObjectDelayLoad

Code Uitleg
O21 ShellServiceObjectDelayLoad

Hoe ziet dit eruit:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll

Dit is een autorun methode die normaal door slechts een aantal Windows system componenten gebruikt wordt. De items die staan in het register op HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad worden door Explorer geladen wanneer Windows start. Explorer.exe is de shell van je computer. Deze wordt altijd geladen, en dus ook de bestanden die onder ShellServiceObjectDelayLoad staan.
HijackThis maakt gebruik van een white list met de meest voorkomende (gebruikelijke) SSODL items. Als er dus een item verschijnt in de HijackThislog, is deze ongekend en waarschijnlijk van kwaadaardige oorsprong. Toch moet je deze met de nodige voorzichtigheid behandelen.
Behoren momenteel tot de 'white list':
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}" ( %SystemDir%\Shell32.dll)
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}" (%SystemDir%\SHELL32.dll)
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" (%SystemDir%\webcheck.dll)
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}" (%SystemDir%\stobject.dll)
"AUHook" ="{11566B38-955B-4549-930F-7B7482668782}" (%SystemDir%\auhook.dll)
"Network.ConnectionTray"="{7007ACCF-3202-11D1-AAD2-00805FC1270E}" (%SystemDir%\netshell.dll)
"UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}" (%SystemDir%\upnpui.dll)
HijackThis verwijdert niet het bijbehorende bestand.
Gebruikte registersleutel:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad


O22 - SharedTaskScheduler

Code Uitleg
O22 SharedTaskScheduler

Hoe ziet dit eruit:
O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll

Een autorun functie die enkel geldt voor Windows 2000 en Windows XP. Deze wordt heel zelden gebruikt. Voorlopig is de enige die hiervan gebruik maakt CWS.Smartfinder. (Deze kan verwijderd worden met CWShredder.)
Toch met de nodige voorzichtigheid behandelen.
HijackThis verwijdert de SharedTaskScheduler waarde die met deze entry verbonden is, maar niet de bijbehorende CLSID en het bijbehorende bestand.
Gebruikte registersleutel:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

Moving up!

Push UP!

Nou, ik had tot gister ook geen last van die pup ups, maar nu wel.

En het stomme is, ik heb die Google toolbar geinstalleerd. Nou die helpt ook niet echt tegen pup ups. Nou scheelt het dat het er niet zo veel zijn, maar het is wel lastig. En ik merk ook dat hij het iets trager doet.

Een Toolbar helpt juist niet tegen pop-ups

gooi dat ding eraf..heb je eengoed programma?

2 ThaOdie

Wat voor popups heb je dan Liselotte?
Als het van deze ( http://www.weballey.nl/spyware/messenger_spam.html ) zijn, daar kan de google-bar niks aan doen, dit werkt via een functie van windows.

Ik heb zelf ook de google-toolbar en die filtert er bij het surfen wel veel popups uit (helaas niet allemaal). Maar goed, ik gebruik hem ook vooral bij het zoeken en dat ie popups filtert is mooi meegenomen.

W32.Bagz@mm

Een van de nieuwe virussen die er zijn..

Wil je kijken welke er nog meer zijn?

ga dan naar antivirus.pagina.nl

en kijk bij Nieuwe virus meldingen

stijgen met die handel!

tot nu toe mijn beste wapen tegen al bovengenoemde rotzooi : mozilla firefox. Sinds ik deze browser gebruik heb ik met ad-aware en spybot letterlijk nog nooit iets gevonden op me computer, geen 1 melding van spy of adware gehad en ik gebruik het nu toch al weer een aantal maanden

goeiemorgen!

Ok, maar je weet dus wel zeker dat ik het eraf kan halen?? Zonder dat ik daarna met allemaal troep zit?? Google was wel betrouwbaar dacht ik.





Ze komen niet van die site die jij zei. En het stomme is, ik kan mn startpagina ook niet meer normaal instellen, dan krijg je zon zoekiets met medicijnen en andere onzin.

Wie heeft in vredesnaam die dingen uitgevonden..

ik wou hem net weer bovenaan zetten..

download eens dat programmatje hijackthis en maak een nieuwe map aan in program files\hijackthis sla daar dat exe bestandje op en open het druk op scan daarna op save log en gooi de HELE inhoud in je volgende bericht dan kijk ik wel welke je kan laten fixen..

Ik bedoelde eigelijk of je net zulke pop-ups kreeg als het plaatje dat ze op die site lieten zien.
Maar goed als je startpagina 'gekaapt' is is er ook meer aan de hand. Dan kun je beter idd ff de tips van ThaOdie opvolgen.



Mensen die geld willen verdienen met door andere mensen met reclame te bestoken of andermans gegevens door te sluizen. Maar zo langzamerhand kun je ze wel criminelen noemen die andermans computers onbruikbaar maken.

lift off!

......

Hier nog een stappenplan als je pc besmet is met spyware: http://www.virushelp.nl/hijackthislog.htm

DAMN!!! ik heb dat al 2x uitgelegt in het hoofd dingen en hog hierboven uitgebrijder.. dus lezen..

Óµóóµéþðáþðíñ

stomme slome kut pc..

<PATRICK>
(banned)

haha