Analyse van HijackThis-logboeken

CEHZ Video Resource - DESTEP Analyse- Rudy van Gelderen.wmv (Juni- 2026)

CEHZ Video Resource - DESTEP Analyse- Rudy van Gelderen.wmv (Juni- 2026)

:

Anonim

HijackThis is een gratis tool van Trend Micro. Het is oorspronkelijk ontwikkeld door Merijn Bellekom, een student in Nederland. Spyware-verwijderingssoftware zoals Adaware of Spybot S & D kan de meeste spyware-programma's goed opsporen en verwijderen, maar sommige spyware- en browserkapers zijn te verraderlijk voor zelfs deze geweldige antispywareprogramma's.

HijackThis is specifiek geschreven voor het detecteren en verwijderen van browserkapingen, of software die uw webbrowser overneemt, verandert uw standaard startpagina en zoekmachine en andere kwaadaardige dingen. In tegenstelling tot typische anti-spyware software maakt HijackThis geen gebruik van handtekeningen of doelwit voor specifieke programma's of URL's om te detecteren en te blokkeren. In plaats daarvan zoekt HijackThis naar de trucs en methoden die door malware worden gebruikt om uw systeem te infecteren en uw browser om te leiden.

Niet alles wat in de logboeken van HijackThis wordt weergegeven, is slecht en het moet niet allemaal worden verwijderd. In feite is het tegenovergestelde het geval. Het is bijna gegarandeerd dat sommige items in uw HijackThis-logbestanden legitieme software zijn en dat het verwijderen van die items uw systeem nadelig kan beïnvloeden of volledig onbruikbaar kan maken. Het gebruik van HijackThis lijkt veel op het zelf bewerken van het Windows-register. Het is geen rocket science, maar je zou het zeker niet moeten doen zonder enige deskundige begeleiding, tenzij je echt weet wat je doet.

Nadat u HijackThis eenmaal hebt geïnstalleerd en uitgevoerd om een ​​logbestand te genereren, zijn er verschillende fora en sites waarop u uw loggegevens kunt uploaden of uploaden. Deskundigen die weten waar ze op moeten letten, kunnen u vervolgens helpen bij het analyseren van de loggegevens en u adviseren welke items moeten worden verwijderd en welke u alleen moet achterlaten.

Als u de huidige versie van HijackThis wilt downloaden, kunt u de officiële site van Trend Micro bezoeken.

Hier is een overzicht van de HijackThis-logboekvermeldingen die u kunt gebruiken om naar de informatie te gaan die u zoekt:

  • R0, R1, R2, R3 - Internet Explorer Start / zoek pagina's URL's
  • F0, F1 - Programma's automatisch legen
  • N1, N2, N3, N4 - Netscape / Mozilla Start / zoek pagina's URL's
  • O1 - Hosts bestandsomleiding
  • O2 - Browser Helper Objects
  • O3 - Internet Explorer-taakbalken
  • O4 - Programma's automatisch vanuit register registeren
  • O5 - IE Opties pictogram niet zichtbaar in het Configuratiescherm
  • O6 - IE Toegang voor opties beperkt door beheerder
  • O7 - Regedit-toegang beperkt door beheerder
  • O8 - Extra items in het rechtsklikmenu van IE
  • O9 - Extra knoppen op de hoofdwerkbalk van de IE-knop of extra items in het menu IE 'Extra'
  • O10 - Winsock-kaper
  • O11 - Extra groep in IE venster 'Geavanceerde opties'
  • O12 - IE-plug-ins
  • O13 - IE DefaultPrefix kapen
  • O14 - 'Herstel webinstellingen' kaping
  • O15 - Ongewenste site in vertrouwde zone
  • O16 - ActiveX-objecten (ook gedownloade programmabestanden)
  • O17 - Lop.com-domeinkapers
  • O18 - Extra protocollen en protocolkapers
  • O19 - User style sheet kaping
  • O20 - AppInit_DLLs Registerwaarde autorun
  • O21 - ShellServiceObjectDelayRoad-registersleutel autorun
  • O22 - Autorun voor SharedTaskScheduler-registersleutel
  • O23 - Windows NT-services

R0, R1, R2, R3 - IE Start- en zoekpagina's

Hoe het eruit ziet:R0 - HKCU Software Microsoft Internet Explorer Main, Startpagina = http://www.google.com/R1 - HKLM Software Microsoft InternetExplorer Main, Default_Page_URL = http://www.google.com/R2 - (dit type wordt nog niet gebruikt door HijackThis)R3 - Standaard URLSearchHook ontbreekt

Wat te doen:Als u de URL aan het einde herkent als uw startpagina of zoekmachine, is dat OK. Als u dat niet doet, controleert u het en lost HijackThis het op. Corrigeer deze voor de R3-items altijd, tenzij er een programma wordt vermeld dat u herkent, zoals Copernic.

F0, F1, F2, F3 - Programma's van INI-bestanden automatisch laden

Hoe het eruit ziet:F0 - system.ini: Shell = Explorer.exe Openme.exeF1 - win.ini: run = hpfsched

Wat te doen:De F0-items zijn altijd slecht, dus repareer ze. De F1-items zijn meestal erg oude programma's die veilig zijn, dus zoek wat meer informatie over de bestandsnaam om te zien of deze goed of slecht is. De opstartlijst van Pacman kan helpen bij het identificeren van een item.

N1, N2, N3, N4 - Netscape / Mozilla Start & Search-pagina

Hoe het eruit ziet:N1 - Netscape 4: user_pref "browser.startup.homepage", "www.google.com"); (C: Program Files Netscape Users default prefs.js)N2 - Netscape 6: user_pref ("browser.startup.homepage", "http://www.google.com"); (C: Documents and Settings User Application Data Mozilla Profiles defaulto9t1tfl.slt prefs.js)N2 - Netscape 6: user_pref ("browser.search.defaultengine", "engine: //C%3A%5CProgram%20Files%5CNetscape%206%5Carchplugins%5CSBWeb_02.src"); (C: Documents and Settings User Application Data Mozilla Profiles defaulto9t1tfl.slt prefs.js)

Wat te doen:Meestal zijn de startpagina en zoekpagina van Netscape en Mozilla veilig. Ze worden zelden gekaapt, alleen Lop.com staat erom bekend dit te doen. Als u een URL ziet die u niet herkent als uw startpagina of zoekpagina, moet HijackThis dit oplossen.

O1 - Omleidingenbestanden omleiden

Hoe het eruit ziet:O1 - Hosts: 216.177.73.139 auto.search.msn.comO1 - Hosts: 216.177.73.139 search.netscape.comO1 - Hosts: 216.177.73.139 ieautosearchO1 - Hosts-bestand bevindt zich op C: Windows Help hosts

Wat te doen:Deze kaping leidt het adres naar rechts naar het IP-adres aan de linkerkant.Als het IP-adres niet bij het adres hoort, wordt u telkens wanneer u het adres invoert omgeleid naar een verkeerde site. Je kunt altijd HijackThis deze laten herstellen, tenzij je die regels willens en wetens in je Hosts-bestand plaatst.

Het laatste item komt soms voor op Windows 2000 / XP met een Coolwebsearch-infectie. Los dit item altijd op of laat het door CWShredder automatisch herstellen.

O2 - Browser Helper Objects

Hoe het eruit ziet:O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: PROGRAM FILES YAHOO! COMPANION YCOMP5_0_2_4.DLLO2 - BHO: (geen naam) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: PROGRAM FILES POPUP ELIMINATOR AUTODISPLAY401.DLL (bestand ontbreekt)O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: PROGRAM FILES MEDIALOADS ENHANCED ME1.DLL

Wat te doen:Als u de naam van een Browser Helper-object niet direct herkent, gebruikt u de BHO- en werkbalklijst van TonyK om deze te vinden op basis van de klasse-ID (CLSID, het aantal tussen accolades) en ziet u of het goed of slecht is. In de BHO-lijst betekent 'X' spyware en 'L' betekent veilig.

O3 - IE-werkbalken

Hoe het eruit ziet: O3 - Werkbalk: & Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: PROGRAM FILES YAHOO! COMPANION YCOMP5_0_2_4.DLLO3 - Werkbalk: Pop-up eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: PROGRAM BESTANDEN POPUP ELIMINATOR PETOOLBAR401.DLL (bestand ontbreekt)O3 - Werkbalk: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: WINDOWS APPLICATION DATA CKSTPRLLNQUL.DLL

Wat te doen:Als u de naam van een werkbalk niet direct herkent, gebruikt u de BHO- en werkbalklijst van TonyK om deze te vinden op basis van de klasse-ID (CLSID, het aantal tussen accolades) en kijkt u of deze goed of slecht is. In de werkbalklijst betekent 'X' spyware en 'L' betekent veilig. Als het niet op de lijst voorkomt en de naam een ​​willekeurige tekenreeks lijkt en het bestand zich in de map 'Application Data' bevindt (zoals de laatste in de bovenstaande voorbeelden), is dit waarschijnlijk Lop.com en moet HijackThis vastliggen het.

O4 - Programma's van programma's uit register- of opstartgroep automatisch bijwerken

Hoe het eruit ziet:O4 - HKLM .. Run: ScanRegistry C: WINDOWS scanregw.exe / autorunO4 - HKLM .. Run: SystemTray SysTray.ExeO4 - HKLM .. Run: ccApp "C: Program Files Common Files Symantec Shared ccApp.exe"O4 - Opstarten: Microsoft Office.lnk = C: Program Files Microsoft Office Office OSA9.EXEO4 - Wereldwijde startup: winlogon.exe

Wat te doen:Gebruik de opstartlijst van PacMan om het item te vinden en kijk of het goed of slecht is.

Als het item een ​​programma toont dat in een Startup-groep zit (zoals het laatste item hierboven), kan HijackThis het item niet repareren als dit programma nog in het geheugen zit. Gebruik Windows Taakbeheer (TASKMGR.EXE) om het proces te sluiten voorafgaand aan de vaststelling.

O5 - IE Opties niet zichtbaar in het Configuratiescherm

Hoe het eruit ziet: O5 - control.ini: inetcpl.cpl = nee

Wat te doen:Tenzij u of uw systeembeheerder willens en wetens het pictogram heeft verborgen in het Configuratiescherm, moet HijackThis dit oplossen.

O6 - IE Toegang voor opties beperkt door beheerder

Hoe het eruit ziet:O6 - HKCU Software Policies Microsoft Internet Explorer Restricties aanwezig

Wat te doen:Tenzij u de Spybot S & D-optie 'Wijzig startpagina van wijzigingen' actief heeft, of uw systeembeheerder dit op zijn plaats heeft gezet, moet HijackThis dit oplossen.

O7 - Regedit-toegang beperkt door beheerder

Hoe het eruit ziet:O7 - HKCU Software Microsoft Windows CurrentVersion Policies System, DisableRegedit = 1

Wat te doen:Always have HijackThis repareer dit, tenzij uw systeembeheerder deze beperking heeft aangebracht.

O8 - Extra items in het rechtsklikmenu van IE

Hoe het eruit ziet: O8 - Extra contextmenu-item: & Google Search - res: // C: WINDOWS DOWNLOADED PROGRAM BESTANDEN GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.htmlO8 - Extra contextmenu-item: Yahoo! Zoeken - bestand: /// C: Program Files Yahoo! Common / ycsrch.htmO8 - Extra contextmenu-item: Zoom & In - C: WINDOWS WEB zoomin.htmO8 - Extra contextmenu-item: Zoom O & ut - C: WINDOWS WEB zoomout.htm

Wat te doen:Als u de naam van het item niet herkent in het snelmenu in Internet Explorer, moet HijackThis dit oplossen.

O9 - Extra knoppen op de belangrijkste IE-werkbalk of extra items in het menu 'Extra' van IE

Hoe het eruit ziet: O9 - Extra knop: Messenger (HKLM)O9 - Extra 'Tools' menuitem: Messenger (HKLM)O9 - Extra knop: AIM (HKLM)

Wat te doen:Als u de naam van de knop of het menu-item niet herkent, moet HijackThis dit oplossen.

O10 - Winsock-kapers

Hoe het eruit ziet: O10 - Gekaapte internettoegang door New.NetO10 - Verbroken internettoegang vanwege LSP-provider 'c: progra ~ 1 common ~ 2 toolbar cnmib.dll' missingO10 - Onbekend bestand in Winsock LSP: c: programmabestanden newton kent vmain.dll

Wat te doen:Het is het beste om deze te repareren met behulp van LSPFix van Cexx.org, of Spybot S & D van Kolla.de.

Merk op dat 'onbekende' bestanden in de LSP-stack niet door HijackThis zullen worden opgelost vanwege veiligheidsproblemen.

O11 - Extra groep in IE venster 'Geavanceerde opties'

Hoe het eruit ziet: O11 - Optie groep: CommonName CommonName

Wat te doen:De enige kaper die vanaf nu zijn eigen optiegroep toevoegt aan het IE Advanced Options-venster is CommonName. Dus je kunt altijd HijackThis dit laten repareren.

O12 - IE-plug-ins

Hoe het eruit ziet: O12 - Plugin voor .spop: C: Program Files Internet Explorer Plugins NPDocBox.dllO12 - Plugin voor .PDF: C: Program Files Internet Explorer PLUGINS nppdf32.dll

Wat te doen:Meestal zijn deze veilig. Alleen OnFlow voegt hier een plug-in toe die u niet wilt (.ofb).

O13 - IE DefaultPrefix kapen

Hoe het eruit ziet: O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=O13 - Voorvoegsel WWW: http://prolivation.com/cgi-bin/r.cgi?O13 - WWW. Voorvoegsel: http://ehttp.cc/?

Wat te doen:Deze zijn altijd slecht. Heb HijackThis ze te repareren.

O14 - 'Herstel webinstellingen' kaping

Hoe het eruit ziet: O14 - IERESET.INF: START_PAGE_URL = http: //www.searchalot.com

Wat te doen:Als de URL niet de provider van uw computer of uw ISP is, moet HijackThis dit oplossen.

O15 - Ongewenste sites in vertrouwde zone

Hoe het eruit ziet: O15 - Vertrouwde zone: http://free.aol.comO15 - Vertrouwde zone: * .coolwebsearch.comO15 - Vertrouwde zone: * .msn.com

Wat te doen:Meestal voegen alleen AOL en Coolwebsearch stilzwijgend sites toe aan de vertrouwde zone. Als u het vermelde domein niet zelf aan de vertrouwde zone hebt toegevoegd, moet HijackThis dit oplossen.

O16 - ActiveX-objecten (ook gedownloade programmabestanden)

Hoe het eruit ziet: O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cabO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash-object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Wat te doen:Als u de naam van het object of de URL waarvan het is gedownload niet herkent, moet HijackThis dit oplossen. Als de naam of URL woorden bevat zoals 'dialer', 'casino', 'free_plugin' enz., Repareer het dan zeker. Javacool's SpywareBlaster heeft een enorme database van kwaadwillende ActiveX-objecten die kunnen worden gebruikt om CLSID's op te zoeken. (Klik met de rechtermuisknop op de lijst om de functie Zoeken te gebruiken.)

O17 - Lop.com-domeinkapacks

Hoe het eruit ziet: O17 - HKLM Systeem CCS Services VxD MSTCP: Domain = aoldsl.netO17 - HKLM System CCS Services Tcpip Parameters: Domain = W21944.find-quick.comO17 - HKLM Software .. Telephony: DomainName = W21944.find-quick.comO17 - HKLM Systeem CCS Services Tcpip .. {D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.comO17 - HKLM Systeem CS1 Services Tcpip Parameters: SearchList = gla.ac.ukO17 - HKLM System CS1 Services VxD MSTCP: NameServer = 69.57.146.14,69.57.147.175

Wat te doen:Als het domein niet afkomstig is van uw ISP of bedrijfsnetwerk, moet HijackThis dit oplossen. Hetzelfde geldt voor de 'SearchList'-vermeldingen. Voor de vermeldingen 'NameServer' (DNS-servers), Google voor het IP-adres of IP's en het zal gemakkelijk te zien zijn of ze goed of slecht zijn.

O18 - Extra protocollen en protocolkapers

Hoe het eruit ziet: O18 - Protocol: gerelateerde links - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: PROGRA ~ 1 COMMON ~ 1 MSIETS msielink.dllO18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}O18 - Protocol kaping: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Wat te doen:Er verschijnen hier maar een paar kapers. De bekende slechteriken zijn 'cn' (CommonName), 'ayb' (Lop.com) en 'relatedlinks' (Huntbar), je zou HijackThis die moeten laten repareren. Andere dingen die verschijnen, zijn nog niet bevestigd veilig of zijn gekaapt (dat wil zeggen, de CLSID is veranderd) door spyware. In het laatste geval, heeft HijackThis dit opgelost.

O19 - User style sheet kaping

Hoe het eruit ziet: O19 - Gebruikersstijlteken: c: WINDOWS Java my.css

Wat te doen:In het geval van een vertraging van de browser en frequente pop-ups, moet HijackThis dit item repareren als het in het logboek verschijnt. Aangezien echter alleen Coolwebsearch dit doet, is het beter om CWShredder te gebruiken om het te repareren.

O20 - AppInit_DLLs Registerwaarde autorun

Hoe het eruit ziet: O20 - AppInit_DLLs: msconfd.dll

Wat te doen:Deze registerwaarde bevindt zich op HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Windows laadt een DLL in het geheugen wanneer de gebruiker zich aanmeldt, waarna deze in het geheugen blijft totdat hij zich afmeldt. Zeer weinig legitieme programma's gebruiken het (Norton CleanSweep gebruikt APITRAP.DLL), meestal wordt het gebruikt door trojaanse paarden of agressieve browserkapers.

In het geval van een 'verborgen' DLL-laden van deze registerwaarde (alleen zichtbaar bij het gebruik van de optie 'Binaire gegevens bewerken' in Regedit) kan de dll-naam worden voorafgegaan door een pipe '|' om het zichtbaar te maken in het logboek.

O21 - ShellServiceObjectDelayLoad

Hoe het eruit ziet: O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: WINDOWS System auhook.dll

Wat te doen:Dit is een autorunmethode zonder documenten die normaal door een paar systeemcomponenten van Windows wordt gebruikt. Items vermeld op HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion ShellServiceObjectDelayLoad worden door Explorer geladen wanneer Windows start. HijackThis maakt gebruik van een witte lijst van verschillende zeer gebruikelijke SSODL-items, dus wanneer een item in het logboek wordt weergegeven, is het onbekend en mogelijk schadelijk. Behandel met uiterste zorg.

O22 - SharedTaskScheduler

Hoe het eruit ziet: O22 - SharedTaskScheduler: (geen naam) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c: windows system32 mtwirl32.dll

Wat te doen:Dit is een autorun zonder documenten voor alleen Windows NT / 2000 / XP, die maar zelden wordt gebruikt. Tot nu toe gebruikt alleen CWS.Smartfinder het. Behandel met zorg.

O23 - NT-services

Hoe het eruit ziet: O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: Program Files Kerio Personal Firewall persfw.exe

Wat te doen:Dit is de lijst met niet-Microsoft-services.De lijst moet dezelfde zijn als die u ziet in het Msconfig-hulpprogramma van Windows XP. Verschillende trojan-kapers gebruiken een zelfgemaakte service bij het volgen van andere startups om zichzelf opnieuw te installeren. De volledige naam is meestal belangrijk klinkend, zoals 'Network Security Service', 'Workstation Logon Service' of 'Remote Procedure Call Helper', maar de interne naam (tussen haakjes) is een reeks rommel, zoals 'Ort'. Het tweede deel van de regel is de eigenaar van het bestand aan het einde, zoals te zien in de eigenschappen van het bestand.

Merk op dat het repareren van een O23-artikel de service alleen stopt en uitschakelt. De service moet handmatig of met een ander hulpprogramma uit het register worden verwijderd. In HijackThis 1.99.1 of hoger kan hiervoor de knop 'NT-service verwijderen' in het gedeelte Diverse tools worden gebruikt.

Analyse van doelgroepen vóór uw presentatie

Analyse van doelgroepen vóór uw presentatie

Om je tijd optimaal in de schijnwerpers te zetten, moet je heel wat weten over je publiek voordat je je gaat voorbereiden.

Analyse van de authenticiteit van Web Hosting Review Sites

Analyse van de authenticiteit van Web Hosting Review Sites

Hoe kom je echt te weten over de authenticiteit van een webhostingsbeoordelingssite? Hier leest u hoe u kunt bepalen wie u vertrouwt.

Angry birds: analyse van de verslaving

Angry birds: analyse van de verslaving

Heeft uw obsessie voor Angry Birds de status van interventie nodig? Het is OK - er zit een betekenis achter de waanzin. De infographic van vandaag onthult de psychologie achter je verslaving (eh, favoriete game) en het feit dat je zeker niet alleen bent.

Editor'S Choice