Waarschuwing
De HijackThis-tool mag alleen worden gebruikt als browser- of computerproblemen blijven bestaan na het uitvoeren van Spybot of een andere tool voor het verwijderen van spyware of kapers. HijackThis is een geavanceerd hulpmiddel en vereist daarom geavanceerde kennis van Windows en besturingssystemen in het algemeen. Als u items verwijdert die de tool weergeeft zonder te weten wat ze zijn, kan dit tot andere problemen leiden, zoals het niet meer werken van internet of problemen met de werking van het Windows-systeem zelf. Probeer ook spyware/kapers/trojans met alle andere methoden op te ruimen voordat u HijackThis gebruikt. Als u HijackThis toestaat vermeldingen te verwijderen voordat een ander verwijderingsprogramma uw computer scant, blijven de kaper-/spywarebestanden op uw computer staan en kunnen toekomstige verwijderingsprogramma's ze niet meer vinden. Het is ten zeerste aanbevolen om te zoeken Forums voor technische ondersteuning Specialist of raadpleeg een expert voordat u HijackThis gebruikt.
Als u geen geavanceerde kennis van computers heeft, mag u de vermeldingen niet met HijackThis repareren zonder een expert in het gebruik van deze software te raadplegen. Als u Spybot – S&D en Ad-Aware al hebt uitgevoerd en nog steeds problemen ondervindt, volg dan deze tutorial en plaats uw HijackThis-login Kap dit forum Onze informatie, inclusief details over uw probleem, zal u adviseren over wat u kunt oplossen. Houd er rekening mee dat het onjuist verwijderen van HijackThis-vermeldingen kan leiden tot systeeminstabiliteit of gegevensverlies. Voor de beste resultaten kunt u de hulp inroepen van een spywareverwijderingsexpert of technisch expert.
Inleiding tot het hulpprogramma voor het verwijderen van malware door HijackThis
HijackThis is een krachtig hulpprogramma dat uw computer scant en een lijst met specifieke instellingen produceert die erop zijn gevonden. Het belang van dit hulpprogramma ligt in de mogelijkheid om het register en verschillende systeembestanden te doorzoeken op vermeldingen die lijken op de gegevens die zijn achtergelaten door spyware of browserkapingen. Het interpreteren van deze resultaten vereist echter uiterste voorzichtigheid, aangezien veel legitieme programma's die op uw besturingssysteem zijn geïnstalleerd, vergelijkbaar zijn met de programma's die door spyware worden gebruikt. Je moet dus uiterst voorzichtig zijn als je HijackThis gebruikt om eventuele problemen op te lossen. We benadrukken sterk het belang van het opvolgen van deze waarschuwing om mogelijke schade aan uw apparaat te voorkomen.
Er zijn veel tutorials online beschikbaar over het gebruik van HijackThis, maar weinig daarvan leggen de betekenis van elk gedeelte van de resultaten uit op een manier die de gemiddelde gebruiker zal begrijpen. Deze gids legt niet alleen uit hoe je HijackThis kunt gebruiken, maar heeft ook tot doel de betekenis van elke resultatensectie in detail uit te leggen. Er is geen reden waarom u niet begrijpt wat u aan het repareren bent als u uw HijackThis-logboeken bekijkt en advies krijgt van experts.
Als u eerst een handleiding wilt lezen over het gebruik van Spybot, kunt u hier klikken: Spybot gebruiken – Search & Destroy, een aanvulling op HijackThis in de strijd tegen spyware en malware.
Laten we na deze introductie verder gaan met het uitleggen van het gebruik van HijackThis. U kunt op de schermafbeeldingen klikken om ze in hun normale grootte te bekijken. Houd er rekening mee dat er een nieuw venster wordt geopend wanneer u dit doet, dus pop-upblokkering kan voorkomen dat het afbeeldingsvenster wordt geopend. In deze handleiding bespreken we hoe u HijackThis kunt downloaden en uitvoeren, hoe u de uitvoer ervan kunt begrijpen en hoe u gedetecteerde problemen veilig kunt oplossen.
Hoe HijackThis te gebruiken
HijackThis kan worden gedownload als een zelfstandig uitvoerbaar bestand of als installatieprogramma. Met de zelfstandige applicatie kunt u HijackThis.exe vanuit elke gewenste map opslaan en uitvoeren, terwijl het installatieprogramma HijackThis op een specifieke locatie installeert en snelkoppelingen op het bureaublad naar dit uitvoerbare bestand maakt. Als u de zelfstandige versie gebruikt, mag u deze niet uitvoeren vanuit de map Internet Temporary Files, omdat uw back-upmap niet wordt opgeslagen nadat u het programma hebt afgesloten. Om te voorkomen dat back-ups worden verwijderd, moet u het uitvoerbare bestand in een specifieke map opslaan voordat u het uitvoert. We raden u aan het HijackThis-installatieprogramma te gebruiken, omdat dit de standaardmanier is geworden om de software te gebruiken en een veilige locatie biedt voor HijackThis-back-ups. Het gebruik van het installatieprogramma zorgt voor efficiënt bestandsbeheer en vergemakkelijkt toekomstige software-updates.
De eerste stap is het downloaden van HijackThis naar uw computer op een locatie waar u het opnieuw kunt vinden. HijackThis is een krachtige scantool voor het detecteren en verwijderen van malware, spyware en andere bedreigingen die de prestaties van uw systeem kunnen beïnvloeden. Je kunt HijackThis downloaden via de volgende link: (voeg hier de link in). Zorg ervoor dat u de software downloadt van een vertrouwde bron om mogelijke malware te voorkomen. Volg na het downloaden de instructies op het scherm om de software te installeren of uit te voeren. Het wordt aanbevolen om de gebruikershandleiding te lezen, zodat u volledig begrijpt hoe u de software en de functies ervan moet gebruiken.
Enkele belangrijke registersleutels in Internet Explorer: | HKLMSoftwareMicrosoftInternet ExplorerHoofd-, startpagina |
HKCUSoftwareMicrosoftInternet ExplorerHoofd: Startpagina | |
HKLMSoftwareMicrosoftInternet ExplorerMain: Default_Page_URL (standaardpagina-URL in systeeminstellingen) | |
HKCUSoftwareMicrosoftInternet ExplorerMain: Default_Page_URL (de URL van de standaardpagina in de huidige gebruikersinstellingen) | |
HKLMSoftwareMicrosoftInternet ExplorerHoofd: Zoekpagina | |
HKCUSoftwareMicrosoftInternet ExplorerHoofd: Zoekpagina | |
HKCUSoftwareMicrosoftInternet ExplorerSearchURL: (standaard) (standaard zoek-URL) | |
HKCUSoftwareMicrosoftInternet ExplorerMain: Venstertitel | |
HKCUSoftwareMicrosoftWindowsHuidige versieInternetinstellingen: ProxyOverride | |
HKCUSoftwareMicrosoftInternetverbindingswizard: ShellNext | |
HKCUSoftwareMicrosoftInternet ExplorerMain: Zoekbalk | |
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerURLSearchHooks (zoekextensies voor Internet Explorer) | |
HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch = (Zoekopdracht aanpassen in systeeminstellingen) | |
HKCUSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch (zoekopdracht aanpassen in de huidige gebruikersinstellingen) | |
HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant (Zoekassistent in Systeeminstellingen) |
Voorbeeld invoer | R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Startpagina = http://www.google.com/ |
Een veel voorkomende vraag is wat het woord ‘verminkt’ naast een van deze vermeldingen betekent. Wanneer iets verwarrend is, betekent dit dat het moeilijk te begrijpen of te begrijpen wordt gemaakt. In de context van spyware betekent dit dat de spyware of kaper een ingevoerde vermelding verbergt door waarden om te zetten in een andere vorm die hij gemakkelijk begrijpt, maar die voor mensen moeilijk te herkennen is, zoals het toevoegen van vermeldingen aan een register in hexadecimaal. Dit is gewoon een andere manier om de aanwezigheid ervan te verbergen en het moeilijk te maken om het te verwijderen. Vervorming wordt vaak door malware gebruikt om kwaadaardige activiteiten te verbergen.
Als u niet herkent naar welke website R0 of R1 verwijst en u deze wilt wijzigen, kunt u HijackThis gebruiken om deze vermeldingen veilig te herstellen, aangezien deze uw Internet Explorer-installatie niet schaden. Als u wilt weten wat deze sites zijn, kunt u ze bezoeken en als ze veel pop-ups en verdachte links bevatten, kunt u ze vrijwel altijd verwijderen. Het is belangrijk op te merken dat als R0/R1 naar een bestand verwijst en u het item repareert met HijackThis, HijackThis dat specifieke bestand niet zal verwijderen en dat u het handmatig zult moeten verwijderen. Het verwijderen van onbekende registervermeldingen is een belangrijke stap bij het reinigen van het systeem van malware.
Er zijn enkele R3-vermeldingen die eindigen met een onderstrepingsteken (_). Een voorbeeld van hoe iemand eruit ziet:
R3 – URLSearchHook: (geen naam) – {CFBFAE00-17A6-11D0-99CB-00C04FD64497}_ – (geen bestand)
Houd er rekening mee dat de CLSID, de getallen tussen { }, aan het einde _ heeft en soms moeilijk te verwijderen is met HijackThis. Om dit op te lossen, moet u de toegewezen registervermelding handmatig verwijderen door naar de volgende sleutel te gaan:
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerURLSearchHooks
Verwijder vervolgens de CLSID-vermelding waaronder u wilt verwijderen. Laat de CLSID, CFBFAE00-17A6-11D0-99CB-00C04FD64497, ongewijzigd, aangezien dit de juiste standaardinvoer is. Het begrijpen van de structuur van URLSearchHooks is van cruciaal belang voor het effectief beheren van zoekextensies in Internet Explorer.
Tenzij u de software herkent die als UrlSearchHook wordt gebruikt, moet u deze over het algemeen googlen en, na wat onderzoek te hebben gedaan, HijackThis het probleem laten repareren. Het zoeken naar onbekende CLSID's is essentieel om te bepalen of deze schadelijk zijn of niet.
Secties F0, F1, F2 en F3
Deze secties behandelen toepassingen die worden geladen vanuit uw .INI-bestanden, system.ini en win.ini, in Windows ME en eerder, of hun equivalente locaties in het register voor Windows NT-versies. Windows NT-versies zijn XP, 2000, 2003 en Vista. Deze secties bieden informatie over de opstartprocessen van het systeem.
De F0-invoer komt overeen met een verklaring Schil=, binnen de sectie [Laars], in het System.ini-bestand. Er wordt een zin gebruikt Schil= Geef in het system.ini-bestand het programma op dat zal fungeren als de gebruikersinterface voor het besturingssysteem. Het begrijpen van de functie van de shell=-instructie is cruciaal voor het beheren van het opstartproces van Windows.
Lijstvoorbeeld: | F0 – system.ini:shell=Explorer.exe badprogram.exe |
Gebruikte bestanden: | c:windowssystem.ini |
De “shell” is het programma dat verantwoordelijk is voor het laden van het bureaublad, het beheren van vensters en het toestaan dat de gebruiker met het systeem kan communiceren. Elk programma dat na ‘shell’ wordt vermeld, wordt geladen wanneer Windows start en wordt uitgevoerd als de standaard ‘shell’. Vroeger waren er enkele programma's die dienden als geldige alternatieven voor 'Shell', maar deze worden niet langer algemeen gebruikt. Windows 95, 98 en ME gebruikten Explorer.exe als de standaard “shell”. Terwijl Windows 3.X Progman.exe als “shell” gebruikte. Het is ook mogelijk om andere programma's weer te geven die moeten worden uitgevoerd wanneer Windows op dezelfde shell=-regel wordt geladen, zoals shell=explorer.exe badprogram.exe. Deze regel start beide programma's wanneer Windows wordt geladen. Dit is belangrijk in de context van systeembeveiliging, omdat malware zichzelf in een shell kan invoegen om automatisch te worden uitgevoerd, wat bekend staat als 'shell-kaping'.
De F1-invoer komt overeen met een invoer Uitvoeren= أو Laden= In het win.ini-bestand. Net als het bestand system.ini wordt het bestand win.ini doorgaans alleen gebruikt in Windows ME en eerder. Deze vermeldingen worden gebruikt om programma's zo te configureren dat ze automatisch starten bij het opstarten van het systeem, en maken deel uit van het opstartbeheermechanisme in oudere versies van Windows.
Voorbeeld van een autoplay-menu | F1 – win.ini: laad=slecht.pif F1 – win.ini: run=evil.pif |
Gebruikte bestanden: | c:windowswin.ini |
Alle programma's vermeld na “run=” of “load=” worden gestart wanneer Windows start. Deze “run=”-instructie werd gebruikt in Windows 3.1, 95 en 98 en werd behouden voor achterwaartse compatibiliteit met oudere software. De meeste moderne programma's gebruiken deze ini-instelling niet en als u geen oud programma gebruikt, kunt u malware vermoeden. De zinsnede “load=” werd gebruikt om apparaatstuurprogramma’s te laden. Op Windows NT-systemen (zoals Windows 2000, XP, enz.) zal HijackThis de vermeldingen in win.ini en system.ini weergeven, maar Windows NT-systemen zullen de daar genoemde bestanden niet uitvoeren. Dit is belangrijk voor de systeembeveiliging en moet worden gecontroleerd.
De F2- en F3-vermeldingen komen overeen met de equivalente locaties van F0 en F1, maar worden in plaats daarvan opgeslagen in het systeemregister voor Windows XP-, 2000- en NT-versies. Deze versies van Windows gebruiken geen system.ini- en win.ini-bestanden. In plaats daarvan gebruikt het voor achterwaartse compatibiliteit een functie genaamd IniFileMapping. IniFileMapping plaatst de volledige inhoud van het .ini-bestand in het systeemregister, met sleutels voor elke regel in de .ini-sleutel die daar zijn opgeslagen. Wanneer u vervolgens een programma uitvoert dat normaal gesproken de instellingen uit een .ini-bestand leest, controleert het eerst de registersleutel HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionIniFileMapping op een .ini-toewijzing. Als deze wordt gevonden, leest het in plaats daarvan de instellingen. U kunt zien dat deze vermeldingen in de onderstaande voorbeelden naar het systeemregister verwijzen, omdat dit het REG-bestand bevat en vervolgens het .ini-bestand waarnaar IniFileMapping verwijst. Dit mechanisme is belangrijk om te begrijpen hoe het uitvoeren van programma's op de achtergrond werkt.
F2-vermeldingen worden weergegeven als er een waarde in de registersleutel staat die niet op de witte lijst staat of als onveilig wordt beschouwd HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon Binnen de twee waarden Shell و userinit. Het wordt aanbevolen om deze vermeldingen regelmatig te controleren om de systeemintegriteit te garanderen en te voorkomen dat malware infiltreert.
Lijst voorbeelden: | F2 – REG:system.ini: UserInit=userinit,nddeagnt.exe |
F2 – REG:system.ini:shell=explorer.exe beta.exe | |
Registratiesleutels: | HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinlogonUserinit |
HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinlogonShell |
Equivalent aan een registerwaarde Shell Functie Schil= in bestand system.ini Zoals hierboven beschreven. Specificeert een waarde userinit Het programma dat onmiddellijk moet worden uitgevoerd nadat de gebruiker zich bij Windows heeft aangemeld. Het standaardprogramma voor deze sleutel is C: windowssystem32userinit.exe. Bereiden userinit.exe Een programma dat uw profiel, lettertypen, kleuren, enz. voor uw gebruikersnaam herstelt. Het is mogelijk om meer programma's toe te voegen die vanaf deze sleutel kunnen worden uitgevoerd door de programma's te scheiden met een komma. Bijvoorbeeld: HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonUserinit =C:windowssystem32userinit.exe,c:windowsbadprogram.exe. Hierdoor worden beide programma's uitgevoerd wanneer u zich aanmeldt, wat een gebruikelijke plek is voor Trojaanse paarden, kapers en spyware. Opgemerkt moet worden dat de vermeldingen userinit و Shell F2 verschijnt alleen in HijackThis als er een waarde is die niet op de witte lijst staat.
F3-vermeldingen worden weergegeven als de registersleutel een waarde bevat die niet op de witte lijst staat HKCUrsoftwareMicrosoftWindows NTCHuidige versieWindows Binnen mijn waarde laden و lopen. Deze vermeldingen zijn de Windows NT-equivalenten van die in de F1-vermeldingen zoals hierboven beschreven. Deze sleutels worden gebruikt om automatische opstartprogramma's te configureren en vertegenwoordigen een beveiligingszwakte waar spyware en virussen misbruik van kunnen maken.
Voorbeeld van een lijst | O1 – Hosts: 192.168.1.1 www.google.com |
Gebruikte bestanden: Een Hosts-bestand is een tekstbestand dat met elke teksteditor kan worden bewerkt. Standaard wordt het voor elk besturingssysteem in de volgende paden opgeslagen, tenzij er verschillende installatiepaden worden gekozen. Het Hosts-bestand wordt gebruikt om hostnamen (zoals www.google.com) toe te wijzen aan specifieke IP-adressen (zoals 192.168.1.1). Hiermee kunt u het Domain Name System (DNS) omzeilen en netwerkverkeer rechtstreeks naar het opgegeven IP-adres routeren. Dit is handig voor ontwikkelingsdoeleinden, testen en oplossen van netwerkproblemen, en voor het blokkeren van kwaadaardige websites. De bestandspaden van hosts variëren afhankelijk van het besturingssysteem:
OS |
Site
|
Windows 3.1 | C: WINDOWSOSTS |
Windows 95 | C: WINDOWSOSTS |
Windows 98 | C: WINDOWSOSTS |
Windows ME | C: WINDOWSOSTS |
Windows XP | C:WINDOWSSYSTEM32DRIVERSETCHOSTS |
Windows NT | C:WINNTSYSTEM32DRIVERSETCHOSTS |
Windows 2000 | C:WINNTSYSTEM32DRIVERSETCHOSTS |
Windows 2003 | C:WINDOWSSYSTEM32DRIVERSETCHOSTS |
De locatie van het Hosts-bestand kan worden gewijzigd door de onderstaande registersleutel te wijzigen voor Windows NT/2000/XP-systemen. Het Hosts-bestand wordt gebruikt om hostnamen aan IP-adressen toe te wijzen, waardoor Domain Name System (DNS) kan worden omzeild.
Registratiesleutel: HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTcpipParameters: DatabasePath
Als u vermeldingen zoals in het bovenstaande voorbeeld aantreft, en deze zijn er niet om een specifieke reden die u kent, kunt u deze veilig verwijderen. Deze onbekende vermeldingen kunnen wijzen op de aanwezigheid van malware of spyware.
Als u een vermelding ziet waarin staat dat het Hosts-bestand zich in C:WindowsHelphosts bevindt، Dit betekent dat uw apparaat is geïnfecteerd met CoolWebSearch-spyware. Als het Hosts-bestand zich op een andere locatie bevindt dan de standaardlocatie voor uw besturingssysteem (zie bovenstaande tabel), moet u de HijackThis-tool gebruiken om dit te verhelpen, aangezien dit hoogstwaarschijnlijk wordt veroorzaakt door een malware-infectie. HijackThis is een handig hulpmiddel voor het analyseren en identificeren van malwaregerelateerde problemen.
Je kunt ook een programma downloaden HostsXpert Hiermee kunt u het standaard Hosts-bestand op uw apparaat herstellen. Om dit te doen, downloadt en start u HostsXpert. Wanneer het wordt geopend, klikt u op de knop Herstel het originele Hosts-bestanden sluit vervolgens HostsXpert af. Het wordt aanbevolen om deze software te gebruiken om ongeoorloofde wijzigingen in het Hosts-bestand te herstellen.
O2-sectie
Deze sectie komt overeen met Browser Helper Objects (BHO's).
Browserhelperobjecten zijn uitbreidingen van uw browser die de functionaliteit ervan uitbreiden. Ze kunnen zowel door spyware als door legitieme programma's zoals Google Toolbar en Adobe Acrobat Reader worden gebruikt. U moet uw onderzoek doen wanneer u besluit of u deze objecten al dan niet wilt verwijderen, aangezien sommige ervan legitiem kunnen zijn. Het wordt aanbevolen om de lijst met geïnstalleerde BHO's regelmatig te bekijken om er zeker van te zijn dat er geen malware aanwezig is.
Registratiesleutels: HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper-objecten
Beperking voorbeeld | O2 – BHO: Norton Antivirus Navigatieassistent – {BDF3E430-B101-42AD-A544-FADC6B084872} – C: ProgrammabestandenNorton AntivirusNavShExt.dll |
Een uitgebreide lijst met bekende CLSID's die verband houden met browserhulpprogramma's en werkbalken, samengesteld door Tony Klein, is hier beschikbaar: Lijst met CLSID's. Wanneer u terugkeert naar de lijst, gebruikt u de CLSID, het nummer tussen vierkante haken in de vermelding. De CLSID in de beperking verwijst naar registervermeldingen die informatie bevatten over browserhulpprogramma's of werkbalken. Deze vermeldingen worden ook wel Browser Helper Objects (BHO) genoemd.
Wanneer u dit soort vermeldingen repareert met HijackThis, zal HijackThis proberen het vermelde problematische bestand te verwijderen. Soms kan het bestand in gebruik zijn, zelfs als Internet Explorer gesloten is. Als het bestand nog steeds aanwezig is nadat u het met HijackThis hebt gerepareerd, is het raadzaam uw computer opnieuw op te starten in de veilige modus en het probleembestand te verwijderen. Hiervoor zijn mogelijk beheerdersrechten vereist.
O3-sectie
Deze sectie komt overeen met de werkbalken van Internet Explorer. Het maakt deel uit van de analyse van het HijackThis-logboek.
Dit zijn de werkbalken onder de navigatie- en menubalk in Internet Explorer. Deze balken worden gebruikt om extra functionaliteit en snelkoppelingen te bieden.
Registratiesleutels: HKLMSOFTWAREMicrosoftInternet ExplorerToolbar Dit pad bevat registerinstellingen voor Internet Explorer-werkbalken.
Voorbeeld van inbrengen | O3 – Werkbalk: Norton Antivirus – {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} – C: ProgrammabestandenNorton AntivirusNavShExt.dll |
Een uitgebreide lijst met CSLID's die verband houden met browserhelpitems en werkbalken, samengesteld door Tony Klein, is hier beschikbaar: CSLID-lijst . Wanneer u terugkeert naar de lijst, gebruikt u de CSLID, het nummer tussen de accolades in de lijst. De CSLID in de lijst geeft registervermeldingen aan die informatie bevatten over “browser help-items” of werkbalken. Wanneer dit soort vermeldingen zijn opgelost, zal HijackThis het betreffende bestand in de lijst niet verwijderen. Het wordt aanbevolen om opnieuw op te starten in de veilige modus en het betreffende bestand handmatig te verwijderen. Het bewaren van deze DLL-bestanden kan prestatieproblemen of beveiligingsproblemen veroorzaken.
Deze sectie komt overeen met bepaalde registersleutels en opstartmappen die worden gebruikt om automatisch een toepassing te starten wanneer Windows wordt gestart. De O4-sleutels zijn de HJT-ingangen die de meeste programma's gebruiken voor automatisering, dus u moet uiterst voorzichtig zijn bij het controleren van deze sleutels. De registersleutels en maplocaties van O4 worden hieronder vermeld en zijn voor het grootste deel van toepassing op alle versies van Windows. Het beheren van opstartitems is van cruciaal belang om de systeemprestaties te verbeteren en te voorkomen dat malware automatisch wordt uitgevoerd.
Vanaf HijackThis 2.0 zal HijackThis ook de vermeldingen weergeven van andere gebruikers die actief zijn ingelogd op de computer op het moment van de scan, door informatie uit de registersleutel HKEY_USERS te lezen. Als de gebruiker niet is ingelogd op het moment van de scan, zal zijn gebruikerssleutel niet worden geladen en zal HijackThis zijn automatiseringen niet weergeven. Wanneer u met HijackThis-logboeken werkt, wordt het niet aanbevolen om HijackThis te gebruiken om vermeldingen in het logboek van een persoon te repareren wanneer de gebruiker meerdere accounts heeft ingelogd. We raden dit aan omdat de bewerkingen van andere gebruikers in conflict kunnen komen met de oplossingen die we de gebruiker vragen uit te voeren. Het analyseren van HJT-logboeken kan kwaadaardige of onnodige automatiseringsprocessen aan het licht brengen.
De huidige locaties waarvan O4-inzendingen worden vermeld, zijn:
Directory-sites:
Opstartmap van gebruiker: Alle bestanden in de map Opstarten worden in het Startmenu van de gebruiker weergegeven als O4 – opstarten. In nieuwere versies van Windows bevindt deze map zich in C:Documenten en instellingenGEBRUIKERSNAAMStartmenuProgramma'sOpstarten Of binnen C:GebruikersGEBRUIKERSNAAMAppDataRoamingMicrosoftWindowsStartmenu In Uitzicht. Deze gegevens worden uitgevoerd wanneer de opgegeven gebruiker zich aanmeldt op de computer. Deze map wordt ook wel de Autostart-map van de gebruiker genoemd en wordt gebruikt om programma's te starten wanneer Windows start.
Opstartmap voor alle gebruikers: Deze items geven voor alle gebruikers aan welke applicaties worden geladen in de map Opstarten in het Start-menu en worden vermeld als O4 – Algemene opstart. In nieuwere versies van Windows bevindt deze map zich in C:Documenten en instellingenAlle gebruikersStartmenuProgramma'sOpstarten Of binnen C:ProgramDataMicrosoftWindowsStartmenuProgramma'sOpstarten In Uitzicht. Deze gegevens worden uitgevoerd telkens wanneer een gebruiker zich aanmeldt op de computer. Deze map is bedoeld voor programma's die voor alle gebruikersaccounts op het apparaat moeten worden uitgevoerd.
Opstartregistersleutels: O4-vermeldingen die registersleutels gebruiken, beginnen met de sneltoets in het register in de lijst met vermeldingen. Voorbeelden en hun beschrijvingen vindt u hieronder. Als de sleutel zich onder HKCU bevindt, betekent dit voor alle hieronder genoemde sleutels dat het programma alleen wordt uitgevoerd als die specifieke gebruiker op de computer is ingelogd. Als de invoer onder HKLM staat, wordt het programma uitgevoerd voor alle gebruikers die inloggen op de computer. Deze registersleutels worden gebruikt om het opstarten en configureren van programma's in Windows te beheren.
Opmerking: in de onderstaande lijst staat HKLM voor HKEY_LOCAL_MACHINE en HKCU voor HKEY_CURRENT_USER. Dit zijn de twee belangrijkste paden naar opstartgerelateerde registersleutels.
Er wordt gebruik gemaakt van sleutels lopen Om automatisch een programma te starten wanneer een gebruiker, of alle gebruikers, inloggen op het apparaat. Deze toetsen maken een fijnmazige controle over opstartprocessen mogelijk en kunnen worden gebruikt om programma's te starten of opdrachten uit te voeren wanneer Windows wordt gestart.
Toetsen uitvoeren: |
HKLMSoftwareMicrosoftWindowsCurrentVersionRun (voor alle gebruikers) |
HKCUSoftwareMicrosoftWindowsCurrentVersionRun (voor huidige gebruiker) |
Er wordt gebruik gemaakt van sleutels RunOnce Om een achtergrondservice of -proces te starten wanneer een gebruiker, of alle gebruikers, zich aanmelden bij de computer. Deze sleutels worden slechts één keer gebruikt. Nadat het programma voor de eerste keer met succes is uitgevoerd, wordt de vermelding ervan uit het systeemregister verwijderd, zodat het bij volgende aanmeldingen niet opnieuw wordt uitgevoerd. Dit is handig voor het installeren van software, het toepassen van updates of het configureren van instellingen die slechts één keer hoeven te worden uitgevoerd nadat de gebruiker zich heeft aangemeld. Let op het verschil tussen de sleutels lopen Die programma's start elke keer dat u inlogt, en sleutels RunOnce Waarmee programma's slechts één keer worden uitgevoerd.
RunOnce-sleutels: |
HKLMSoftwareMicrosoftWindowsHuidige versieRunOnce |
HKCUSoftwareMicrosoftWindowsHuidige versieRunOnce |
Er wordt gebruik gemaakt van sleutels RunServices Om een achtergrondservice of -proces te starten wanneer een of alle gebruikers zich aanmelden bij de computer. Deze sleutels maken deel uit van het Windows-register, een hiërarchische database die configuratie-instellingen bevat voor zowel het Windows-besturingssysteem als toepassingen. RunServices-sleutels worden gebruikt om ervoor te zorgen dat belangrijke programma's en services automatisch worden gestart wanneer het systeem opstart. Beheerders en gebruikers kunnen deze sleutels configureren om opstartprocessen te beheren. HKLM…RunServices verwijst naar de RunServices-sleutel onder HKEY_LOCAL_MACHINE, die van toepassing is op alle gebruikers, terwijl HKCU…RunServices verwijst naar de sleutel onder HKEY_CURRENT_USER, die alleen van toepassing is op de huidige gebruiker. Misbruik van deze sleutels door malware kan automatisch kwaadaardige processen starten. Daarom is het noodzakelijk om voorzichtig te zijn bij het wijzigen van deze sleutels.
RunServices-sleutels: |
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices |
HKCUSoftwareMicrosoftWindowsHuidige versieRunServices |
Er wordt gebruik gemaakt van sleutels RunServicesOnce Om een achtergrondservice of -proces te starten wanneer een of alle gebruikers zich aanmelden bij de computer. In tegenstelling tot RunServices-sleutels wordt, wanneer een programma wordt uitgevoerd vanaf de RunServicesOnce-sleutel, de vermelding ervan uit het register verwijderd, zodat het bij volgende aanmeldingen niet opnieuw wordt uitgevoerd. Dit zorgt ervoor dat de service of het proces slechts één keer wordt uitgevoerd wanneer het systeem opstart. RunServicesOnce-sleutels worden doorgaans gebruikt om software te installeren of eenmalige installatietaken uit te voeren. De sleutels RunServices en RunServicesOnce bevinden zich in het Windows-register, met name in hklm (Lokale machinesleutel) voor alle gebruikers en HKCU (huidige gebruikerssleutel) voor de huidige gebruiker. Geavanceerde gebruikers en systeembeheerders kunnen deze sleutels gebruiken om opstartprocessen te beheren en de systeemomgeving te configureren.
RunServicesOnce-sleutels: |
HKLMSoftwareMicrosoftWindowsHuidige versieRunServicesOnce |
HKCUSoftwareMicrosoftWindowsHuidige versieRunServicesOnce |
Er wordt gebruik gemaakt van sleutels RunOnceEx Om een programma slechts één keer te starten, verwijdert het zichzelf vervolgens automatisch uit het systeemregister. Deze sleutel wordt specifiek gebruikt door installatie- of updateprogramma's. Het gebruik van de RunOnceEx-sleutel is een essentieel onderdeel van het Windows-software- en update-installatieproces en zorgt ervoor dat noodzakelijke taken slechts één keer worden uitgevoerd na het opnieuw opstarten van het systeem of het inloggen van de gebruiker. Dit kan het configureren van instellingen omvatten, het registreren van systeemcomponenten of het toepassen van configuratiewijzigingen. Het verschil tussen de RunOnceEx- en RunServicesOnce-sleutels is dat deze laatste wordt gebruikt om services te starten, terwijl RunOnceEx wordt gebruikt om applicaties en programma's te starten. Geavanceerde gebruikers hebben toegang tot het register om deze sleutels te verifiëren en te beheren, maar uiterste voorzichtigheid is geboden bij het wijzigen van het register om systeemproblemen te voorkomen.
RunOnceEx-sleutel: |
HKLMSoftwareMicrosoftWindowsHuidige versieRunOnceEx |
Er wordt gebruik gemaakt van sleutels BeleidExplorerRun In het Windows-register kunnen netwerkbeheerders groepsbeleidsinstellingen instellen die automatisch een programma uitvoeren wanneer een gebruiker, of alle gebruikers, zich aanmelden bij een computer. PolicyExplorerRun-sleutels bevatten een reeks waarden, inclusief de programmanaam als hun gegevens. Wanneer een gebruiker, of alle gebruikers, inloggen op de computer, wordt elke waarde onder de Run-toets uitgevoerd en worden de bijbehorende programma's uitgevoerd. Dit is vooral handig in bedrijfsomgevingen voor het beheren van opstarttoepassingen en het implementeren van noodzakelijke software zoals antivirus- of systeemmonitoringtools. Opgemerkt moet worden dat misbruik van deze sleutels kan leiden tot prestatieproblemen of zelfs beveiligingsproblemen. Systeembeheerders moeten dus voorzichtig zijn bij het configureren ervan. Raadpleeg de officiële Microsoft-documentatie voor meer informatie over groepsbeleidsbeheer.
Sneltoetsen in Explorer-beleid: |
HKLMSoftwareMicrosoftWindowsHuidige versieBeleidVerkennerRun |
HKCUSoftwareMicrosoftWindowsHuidige versieBeleidVerkennerRun |
Voor een volledige lijst van andere Windows-opstartlocaties die HijackThis mogelijk niet noodzakelijkerwijs bevat, kunt u de volgende link bezoeken: Waar u kunt beginnen met het automatisch starten van Windows-toepassingen. Deze sites zijn essentieel om te begrijpen hoe u het opstarten van programma's kunt beheren en de systeemprestaties kunt verbeteren, omdat u hiermee kunt bepalen welke programma's automatisch worden uitgevoerd wanneer uw computer opstart.
Hieronder kun je een voorbeeld zien van het O4-menu van HijackThis. Deze module helpt u te begrijpen hoe u het opstartlogboek kunt analyseren en schadelijke of ongewenste software kunt detecteren die mogelijk automatisch met het systeem wordt gestart. Het O4-menu is handig voor het diagnosticeren van opstartproblemen en het identificeren van programma's die trage systeemprestaties veroorzaken.
Voorbeeld van inbrengen | O5 – control.ini: inetcpl.cpl=nee |
Als u een regel zoals hierboven ziet, kan dit een teken zijn dat een programma probeert te voorkomen dat u uw instellingen wijzigt. Tenzij het er is om een specifiek bekende reden, zoals uw beheerder die dit beleid heeft ingesteld of Spybot – Search & Destroy deze beperking heeft ingesteld, kunt u de HijackThis-tool gebruiken om het probleem te verhelpen. Dit duidt vaak op een kwaadwillige poging om de instellingen van uw internetbrowser te controleren, en het is belangrijk om dit aan te pakken om de systeemveiligheid te behouden.
Sectie O6: Veilige Internet Explorer-instellingen
Deze sectie komt overeen met een administratieve vergrendeling om opties of de startpagina in Internet Explorer te wijzigen door bepaalde instellingen in het systeemregister te wijzigen. Dit type beveiliging wordt doorgaans gebruikt in bedrijfs- of onderwijsomgevingen om te voorkomen dat gebruikers de browserinstellingen wijzigen en helpt de consistentie en veiligheid te behouden. Dit slot verhindert doorgaans de toegang tot internetopties, waardoor de mogelijkheid voor gebruikers om belangrijke instellingen te wijzigen wordt beperkt.
Registersleutel: HKCUSoftwarebeleidMicrosoftInternet ExplorerBeperkingen
Voorbeeld van een lijst | O6 – HKCUSoftwarebeleidMicrosoftInternet ExplorerBeperkingen |
Deze opties verschijnen alleen als uw systeembeheerder ze opzettelijk heeft ingesteld of als u Spybot's startpaginavergrendelingsfuncties en -opties hebt gebruikt in de situatie -> geavanceerde modus -> Hulpmiddelen -> Internet Explorer-instellingen. Houd er rekening mee dat deze instellingen zijn ontworpen om uw browser te beschermen en ongeoorloofde wijzigingen te voorkomen, en dat ze doorgaans worden gebruikt in zakelijke of educatieve omgevingen.
Sectie O7: Voorkom dat de Register-editor wordt uitgevoerd
Deze sectie gaat over het voorkomen dat de Register-editor (Regedit) start door een vermelding in het systeemregister te wijzigen. Dit is een veiligheidsmaatregel en wordt vaak gebruikt om te voorkomen dat onbevoegde gebruikers gevoelige systeeminstellingen wijzigen.
Registratiesleutel: HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
Voorbeeld van inbrengen | O7 – HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSysteem: UitschakelenRegedit=1 |
Houd er rekening mee dat veel kantoorsysteembeheerders deze instelling opzettelijk vergrendelen, dus het gebruik van HijackThis om dit probleem op te lossen kan een overtreding van het bedrijfsbeleid zijn. Als je een systeembeheerder bent en deze instelling zonder jouw toestemming is ingeschakeld, gebruik dan HijackThis om dit te repareren. Controleer uw bedrijfsbeleid voordat u wijzigingen aanbrengt in de systeeminstellingen.
Sectie O8: Problemen met contextmenu's in Internet Explorer oplossen
Deze sectie komt overeen met aanvullende items in het contextmenu (het menu dat verschijnt wanneer u met de rechtermuisknop klikt) in Internet Explorer. Deze extra items kunnen spyware, malware of ongewenste add-ons omvatten. HijackThis biedt informatie over deze items, zodat u kunt bepalen of ze legitiem zijn of niet.
Registratiesleutel: HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMenuExt Deze sleutel wordt gebruikt om contextmenu-instellingen op te slaan in Internet Explorer. De inhoud van deze sleutel kan worden geanalyseerd om te bepalen welke programma's en extensies het contextmenu hebben gewijzigd.
Voorbeeld van inbrengen | O8 – Extra item in het contextmenu: Google Zoeken – &Google Zoeken – res://c:windowsGoogleToolbar1.dll/cmsearch.html |
Elk O8-item vertegenwoordigt een menuoptie die verschijnt wanneer u met de rechtermuisknop klikt in Internet Explorer. Het in het item genoemde programma wordt uitgevoerd wanneer deze optie is geselecteerd. Sommige programma's, zoals Browser Pal, moeten altijd worden verwijderd, terwijl andere moeten worden opgezocht met Google. Een voorbeeld van een legitiem programma dat u hier kunt vinden is Google Toolbar. Dit heeft invloed op het contextmenu van de internetbrowser en de aanwezigheid van onbekende software kan wijzen op de aanwezigheid van malware of spyware.
Bij het repareren van dit soort vermeldingen verwijdert HijackThis het bestand dat in de vermelding staat niet. Als u dit bestand moet verwijderen, is het raadzaam uw computer opnieuw op te starten in de veilige modus en het bestand daar te verwijderen. Voor het verwijderen van bepaalde bestanden die aan O8 zijn gekoppeld, zijn mogelijk beheerdersrechten vereist.
Sectie O9
Deze sectie komt overeen met knoppen op de hoofdwerkbalk van Internet Explorer of items in het menu Extra in Internet Explorer die geen deel uitmaken van de standaardinstallatie. Deze add-ons kunnen werkbalken of browserextensies bevatten. Het wordt aanbevolen dat u deze add-ons zorgvuldig controleert om er zeker van te zijn dat ze legitiem zijn en geen malware of spyware.
Registratiesleutel: HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensies. Deze sleutel bevat informatie over browserextensies van Internet Explorer. Als u deze sleutel controleert, kunt u ongewenste of kwaadaardige extensies identificeren.
Voorbeeld invoer | O9 – Extra knop: AIM (HKLM) |
Als u deze knoppen of menu-items niet nodig heeft of vermoedt dat het om malware gaat, kunt u deze veilig verwijderen.
Wanneer dit soort vermeldingen worden gerepareerd, zal HijackThis het vermelde problematische bestand niet verwijderen. Het wordt aanbevolen om opnieuw op te starten in de veilige modus en het probleembestand handmatig te verwijderen.
Sectie O10: Winsock-scan en analyse
Deze sectie komt overeen met **Winsock Hijacking** of ook wel bekend als LSP (Layered Service Provider). LSP is een manier om een programma aan de Winsock 2-applicatie op uw computer te koppelen. Omdat de LSP's aan elkaar zijn gekoppeld, worden er bij gebruik van Winsock ook gegevens overgedragen via elke LSP in de keten. Spyware en kapingsoftware kunnen LSP's gebruiken om al het verkeer te zien dat via uw internetverbinding wordt verzonden. De O10-scan van HijackThis heeft tot doel verdachte laagproviders te detecteren die de internetprestaties kunnen beïnvloeden of een veiligheidsrisico kunnen vormen.
U moet heel voorzichtig zijn bij het verwijderen van deze items. Als de LSP wordt verwijderd zonder het gat in de keten goed te repareren, kan dit leiden tot verlies van internettoegang. Het wordt dus aanbevolen om gespecialiseerde tools te gebruiken om LSP's te beheren in plaats van ze handmatig te verwijderen via HijackThis om verbindingsproblemen te voorkomen.
Voorbeeld van een lijst | O10 – Internetverbinding onderbroken vanwege ontbrekende LSP-provider 'spsublsp.dll' |
Veel antivirusprogramma's beginnen met scannen op virussen, Trojaanse paarden, enz. op Winsock-niveau. Het probleem is dat velen van hen de LSP's niet in de juiste volgorde opnieuw aanmaken na het verwijderen van de kwaadaardige LSP. Dit kan ertoe leiden dat HijackThis een probleem ziet en een waarschuwing geeft, die vergelijkbaar kan zijn met het bovenstaande voorbeeld, ook al werkt het internet nog steeds. Daarom moet u advies inwinnen bij een ervaren gebruiker bij het oplossen van deze fouten. Het wordt ook aanbevolen om LSPFix te gebruiken, zie onderstaande link, om het te repareren. Deze fout wordt ook wel “LSP Provider Error” of “Winsock LSP Error” genoemd.
kan Spybot Dit probleem is over het algemeen opgelost, maar zorg ervoor dat u de nieuwste versie heeft, omdat oudere versies problemen hadden. Er is een tool ontworpen voor dit soort problemen die u misschien beter kunt gebruiken, genaamd LSPFix. Voor een geweldige lijst met LSP's en of ze geldig zijn of niet, kunt u terecht op De LSP-lijstpagina van SystemLookup. Deze bronnen helpen bij het oplossen van Winsock-fouten.
O11-sectie
Deze sectie komt overeen met een reeks niet-standaardopties die zijn toegevoegd Tabblad Geavanceerde opties Bij Internetopties in Internet Explorer. In deze sectie kunt u geavanceerde browserinstellingen aanpassen.
Als u in Internetopties voor Internet Explorer kijkt, ziet u het tabblad Geavanceerde opties. Het is mogelijk om onder een registersleutel een vermelding toe te voegen, zodat daar een nieuwe groep verschijnt. Het wijzigen van deze sleutel heeft invloed op het gedrag van Internet Explorer.
Registratiesleutel: HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerAdvancedOptions Deze sleutel wordt gebruikt om aangepaste geavanceerde opties toe te voegen aan Internet Explorer.
Voorbeeld van inbrengen | O11 – Optieset: [CommonName] CommonName |
Volgens Merijn, de ontwikkelaar van HijackThis, is er maar één kapprogramma bekend dat hier gebruik van maakt en dat is CommonName. Als u CommonName in de lijst ziet, kunt u deze veilig verwijderen. Als het een ander bericht is, moet je het Googlen om wat onderzoek te doen. Voorzichtigheid is geboden bij het verwijderen van onbekende vermeldingen uit het systeemregister.
O12-sectie
Dit onderdeel voldoet Internet Explorer-extensies. Internet Explorer-extensies zijn programma's die worden geladen wanneer u Internet Explorer start om functionaliteit aan de browser toe te voegen. Ze worden ook wel “add-ons” of “plug-ins” genoemd.
Er zijn veel legitieme extensies beschikbaar, zoals niet-standaard PDF-viewers en afbeeldingsviewers. Deze extensies helpen uw browse-ervaring te verbeteren door ondersteuning te bieden voor verschillende soorten inhoud en media. Sommige kwaadaardige extensies kunnen echter worden gebruikt om uw online activiteiten te bespioneren of uw computer te beschadigen. Daarom is het belangrijk om voorzichtig te zijn bij het installeren van nieuwe extensies.
Registratie sleutel: HKEY_LOCAL_MACHINEsoftwaremicrosoftinternet explorerplugins Deze sleutel slaat informatie op over alle Internet Explorer-extensies die op uw systeem zijn geïnstalleerd. U kunt toegang krijgen tot deze sleutel via de Register-editor.
Voorbeeld van inbrengen | Extensie voor .PDF: C:Program FilesInternet ExplorerPLUGINSnppdf32.dll |
De meeste extensies zijn legitiem, dus u moet ze googlen als u ze niet herkent voordat u ze verwijdert. Een bekende extensie die verwijderd moet worden is de Onflow-extensie met de .OFB-extensie. Wanneer u dit soort vermeldingen repareert met HijackThis, zal HijackThis proberen het vermelde problematische bestand te verwijderen. Soms kan het bestand in gebruik zijn, zelfs als Internet Explorer gesloten is. Als het bestand nog steeds aanwezig is nadat u het met HijackThis hebt gerepareerd, is het raadzaam uw computer opnieuw op te starten in de veilige modus en het probleembestand te verwijderen.
Sectie O13 – Fix DefaultPrefix-kaping in Internet Explorer
Deze sectie komt overeen met het kapen van IE DefaultPrefix. DefaultPrefix-kaping is een type malware dat de browserinstellingen wijzigt om gebruikers naar ongewenste websites te leiden. Begrijpen hoe de DefaultPrefix-kaping werkt, is van cruciaal belang voor het verwijderen van malware en het beschermen van uw computer.
Standaard URL-voorvoegsel is een instelling in Windows die bepaalt hoe URL's die u invoert zonder voorvoegsel zoals http://, ftp://, etc. worden behandeld. Standaard voegt Windows http:// aan het begin toe, omdat dit het standaard Windows-voorvoegsel is. Het is mogelijk om dit te wijzigen in een standaardvoorvoegsel naar keuze door het register te bewerken. De kaper bekend als CoolWebSearch verandert het standaardvoorvoegsel in http://ehttp.cc/?. Dit betekent dat wanneer u een URL aanroept, b.v www.google.com, waar u daadwerkelijk naartoe gaat verhuizen http://ehttp.cc/?www.google.com, wat eigenlijk de website is van CoolWebSearch. Dit type omleiding kan u blootstellen aan veiligheidsrisico's.
Registersleutel om de kaping van DefaultPrefix te repareren: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionURLDefaultPrefix
Voorbeeld van inbrengen | O13 - WWW. Voorvoegsel: http://ehttp.cc/? |
Als u problemen ondervindt die vergelijkbaar zijn met de problemen die in het bovenstaande voorbeeld zijn genoemd, zoals het omleiden van zoekmachines of het wijzigen van de startpagina, dient u CWShredder uit te voeren. Dit programma is ontworpen om alle bekende typen CoolWebSearch te verwijderen die mogelijk op uw apparaat aanwezig zijn. CoolWebSearch is malware die de browserinstellingen wijzigt en browserproblemen veroorzaakt.
Als CWShredder het probleem niet vindt en oplost, of als u nog steeds problemen ondervindt, zoals het kapen van browsers of het wijzigen van internetinstellingen, moet u HijackThis dit item altijd laten repareren wanneer het het vindt. HijackThis is een effectief hulpmiddel voor het detecteren en corrigeren van problemen met browserkapingen.
Sectie O14
Deze sectie komt overeen met de kaping van “Webinstellingen opnieuw instellen”. Webinstellingen Reset-kaping vindt plaats wanneer malware het iereset.inf-bestand wijzigt, waardoor uw internetinstellingen worden gereset naar gecompromitteerde waarden in plaats van naar de standaardinstellingen.
Er staat een bestand op uw computer dat Internet Explorer gebruikt wanneer de opties in Windows worden teruggezet naar de standaardwaarden. Dit bestand wordt opgeslagen in c:windowsinfiereset.inf en bevat alle standaardinstellingen die zullen worden gebruikt. Wanneer u een instelling opnieuw instelt, leest Internet Explorer dat bestand en wijzigt de specifieke instelling naar wat in het bestand staat. Als een kapingsprogramma de informatie in dit bestand wijzigt, wordt u opnieuw geïnfecteerd wanneer u deze instelling opnieuw instelt, omdat Internet Explorer de onjuiste informatie uit het bestand iereset.inf zal lezen. Hierdoor kan malware op uw apparaat achterblijven, zelfs nadat u probeert de browserinstellingen opnieuw in te stellen.
Voorbeeld van een lijst | O14 – IERESET.INF: START_PAGE_URL=http://www.searchalot.com (startpagina opnieuw instellen in Internet Explorer) |
Houd er rekening mee dat deze instelling mogelijk legitiem is gewijzigd door uw computerfabrikant of apparaatbeheerder. Als u het adres niet herkent, moet u dit corrigeren. Zorg ervoor dat de weergegeven startpagina de startpagina is die u wilt voorkomen dat u wordt omgeleid naar kwaadaardige of ongewenste sites.
Sectie O15: Beveiligingsinstellingen in Internet Explorer (vertrouwde zones en standaardprotocolinstellingen)
Deze sectie komt overeen met de sites of IP-adressen in de zone Vertrouwde sites en de standaard Internet Protocol-instellingen in Internet Explorer. Het begrijpen van deze instellingen is van cruciaal belang om uw computer veilig te houden.
Vertrouwde zone
De beveiliging van Internet Explorer is gebaseerd op een reeks zones. Elke zone heeft een ander beveiligingsniveau wat betreft scripts en applicaties die kunnen draaien vanaf een locatie in die zone. Er is een beveiligingszone die de “Vertrouwde Zone” wordt genoemd. Deze zone heeft het laagste beveiligingsniveau en staat toe dat scripts en applicaties zonder uw medeweten vanaf sites in deze zone worden uitgevoerd. Daarom is het een veelgebruikte instelling die door malwaresites wordt gebruikt, zodat toekomstige hacks zonder uw medeweten op uw computer kunnen worden uitgevoerd, aangezien deze sites zich in de vertrouwde zone bevinden. U wordt geadviseerd om de sites die in dit gebied worden vermeld regelmatig te controleren en sites te verwijderen die u niet volledig vertrouwt, om het risico op blootstelling aan malware en andere veiligheidsbedreigingen te verminderen. U moet heel voorzichtig zijn bij het toevoegen van sites aan de vertrouwde zone.
Registersleutels | HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternetinstellingenZoneMapDomains (Systeemregistersleutel: wordt gebruikt om beveiligingszone-instellingen voor websites in het hele systeem in te stellen.) |
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternetinstellingenZoneMapDomains (Huidige gebruikersregistratiesleutel: wordt alleen gebruikt om beveiligingszone-instellingen voor websites in te stellen voor de huidige gebruiker.) |
|
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternetinstellingenZoneMapRanges (Systeemregistersleutel: wordt gebruikt om beveiligingszone-instellingen in te stellen voor systeembrede IP-adresbereiken.) |
|
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternetinstellingenZoneMapRanges (Registersleutel van huidige gebruiker: wordt alleen gebruikt om beveiligingszone-instellingen in te stellen voor de IP-adresbereiken van de huidige gebruiker.) |
Voorbeeld van een lijst | O15 – Vertrouwde zone: https://www.bleepingcomputer.com |
O15 – Vertrouwd IP-bereik: 206.161.125.149 | |
O15 – Vertrouwd IP-bereik: 206.161.125.149 (HKLM) |
De sleutel die Internet Explorer gebruikt, of het nu gaat om domeinen of bereiken, wordt bepaald door de URL waartoe de gebruiker toegang probeert te krijgen. Als de URL een domeinnaam bevat, wordt in de subsleutels van Domeinen gezocht naar een overeenkomst. Als het een IP-adres bevat, zoekt het in de subsleutels van het bereik naar een overeenkomst. Wanneer u domeinen toevoegt als vertrouwde site of beperkte site, wordt er een waarde toegewezen om dit aan te geven. Als de waarde is ingesteld *=4Dit domein wordt ingevoerd in het gebied Beperkte sites. Als de waarde is ingesteld *=2, wordt dit domein toegevoegd aan de zone Vertrouwde sites. Dit is een essentieel onderdeel van de beveiligingsinstellingen van Internet Explorer en beïnvloedt de manier waarop de browser met verschillende websites omgaat.
Het toevoegen van een IP-adres is iets anders. Onder de SOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZoneMapRanges-sleutel vindt u mogelijk andere sleutels genaamd Ranges1, Ranges2, Ranges3, Ranges4, enz. Elk van deze subsleutels komt overeen met een specifieke beveiligingszone/protocol. Als u een IP-adres aan een beveiligingszone toevoegt, maakt Windows een subsleutel die begint met Ranges1 en wijst die subsleutel toe om alle IP-adressen voor een bepaalde beveiligingszone voor een bepaald protocol te bevatten. Als u bijvoorbeeld http://192.168.1.1 als vertrouwde locatie toevoegt, maakt Windows de eerste beschikbare Ranges-sleutel (Ranges1) en voegt de waarde http=2 toe. Alle toekomstige vertrouwde IP-adressen die beginnen met http:// worden toegevoegd aan de Range1-sleutel. Als u nu een IP-adres toevoegt aan sites die beperkt zijn via het http-protocol (zoals http://192.16.1.10), zal Windows een andere sleutel in opeenvolgende volgorde aanmaken, genaamd Range2. De waarde ervan is http=4, en eventuele toekomstige IP-adressen die aan beperkte sites worden toegevoegd, worden in deze sleutel geplaatst. Dit geldt voor elke combinatie van protocolinstellingen en beveiligingszone. Dit mechanisme zorgt ervoor dat de internetbeveiliging effectief wordt beheerd.
Als u hier domeinen of IP-adressen ziet staan, moet u deze doorgaans verwijderen, tenzij de URL bekend is, zoals de URL die uw bedrijf gebruikt. De meest voorkomende lijst die u hier vindt, is free.aol.com, die u kunt repareren als u dat wilt. Persoonlijk verwijder ik alle vermeldingen uit de vertrouwde zone omdat ze uiteindelijk niet nodig zijn. Protocolstandaarden Definieert standaardinstellingen voor verschillende protocollen.
Wanneer u Internet Explorer gebruikt om verbinding te maken met een website, worden de beveiligingsmachtigingen die aan die site worden verleend, bepaald door de zone waartoe deze behoort. Er zijn 5 zones, elk gekoppeld aan een specifiek identificatienummer. Deze zones en de bijbehorende nummers zijn: Deze zones beïnvloeden het toegangsniveau dat websites krijgen tot computerbronnen.
المنطقة | Stel de regio in |
mijn computer |
0
|
intranet |
1
|
Vertrouwde sites |
2
|
Internet |
3
|
Beperkte sites |
4
|
Elk protocol dat u gebruikt om verbinding te maken met een website, zoals HTTP, FTP en HTTPS, wordt toegewezen aan een van deze zones. Deze toewijzingen helpen bij het beheren van beveiligingsinstellingen voor verschillende soorten verbindingen. Hieronder volgen de standaardtoewijzingen voor algemene internetprotocollen, die het beveiligingsniveau bepalen dat op elke zone wordt toegepast:
Protocol | Stel de regio in |
HTTP |
3
|
HTTPS |
3
|
FTP |
3
|
@ivt |
1
|
schelp |
0
|
Als u bijvoorbeeld verbinding maakt met een website via http://, maakt deze standaard deel uit van de internetzone. Dit komt omdat de standaard HTTP-zone 3 is, wat overeenkomt met de internetzone. Het probleem ontstaat als malware het standaardzonetype voor een specifiek protocol wijzigt. Als malware bijvoorbeeld de standaard HTTP-zone wijzigt in 2, wordt elke site waarmee u via HTTP verbinding maakt, beschouwd als onderdeel van de vertrouwde zone. Tot nu toe is er geen malware bekend die dit veroorzaakt, maar mogelijk zien we de situatie anders nu HijackThis (HJT) deze sleutel in het register controleert. Deze tabel toont toewijzingen van beveiligingszones voor verschillende protocollen en laat zien hoe malware deze toewijzingen kan wijzigen om beveiligingsinstellingen te manipuleren, waardoor ongeautoriseerde toegang tot het systeem kan worden verkregen. Deze informatie wordt gebruikt door malware-analysetools zoals HijackThis om ongeoorloofde wijzigingen in de beveiligingsinstellingen te identificeren. Het begrijpen van deze zonetoewijzingen is van cruciaal belang voor het handhaven van de systeembeveiliging en het beschermen van uw gegevens tegen cyberdreigingen.
Registratiesleutels: | HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternetinstellingenZoneMapProtocolStandaardwaarden (Deze registersleutel wordt gebruikt om systeembrede internetprotocolinstellingen te configureren.) |
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternetinstellingenZoneMapProtocolStandaardwaarden (Deze registersleutel wordt gebruikt om de internetprotocolinstellingen voor de huidige gebruiker te configureren.) |
Als de standaardinstellingen voor internetprotocollen zoals HTTP, HTTPS en FTP zijn gewijzigd, ziet u in HijackThis (HJT) een vermelding die er ongeveer als volgt uitziet:
Voorbeeld van inbrengen | O15 – ProtocolDefaults: Protocol 'http' bevindt zich in de vertrouwde zone, moet zich in de internetzone bevinden (HKLM) |
Om deze instellingen terug te zetten naar hun standaardwaarden, corrigeert u eenvoudigweg het item HijackThis (HJT).
O16-sectie
Deze sectie komt overeen met ActiveX-objecten, ook wel gedownloade programmabestanden genoemd, voor Internet Explorer. ActiveX-objecten zijn programma's die van websites worden gedownload en op uw computer worden opgeslagen. Wanneer u Internet Explorer start, worden deze programma's ook geladen om extra functionaliteit te bieden. Deze objecten worden opgeslagen in C:windowsDownloaded Program Files. In de record wordt naar hen ook verwezen met hun CLSID, de lange reeks getallen tussen accolades. Om een lijst met alle CLSID's voor geïnstalleerde ActiveX-componenten te vinden, kunt u zoeken onder de volgende Windows-registersleutel: HKEY_LOCAL_MACHINESOFTWAREMicrosoftCode DatabaseDistributie-eenheden opslaan. Het is belangrijk om ActiveX-objecten regelmatig te controleren om er zeker van te zijn dat ze afkomstig zijn van vertrouwde bronnen om beveiligingsproblemen te voorkomen.
Er zijn veel legitieme ActiveX-besturingselementen, zoals de iPix-viewer in het genoemde voorbeeld. Dit type object wordt gebruikt om interactieve afbeeldingen weer te geven en is een voorbeeld van nuttig gebruik van ActiveX-technologie. Pas echter op voor ActiveX-objecten van onbekende oorsprong, aangezien deze een veiligheidsrisico kunnen vormen.
Voorbeeld van een lijst | O16 – DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPix ActiveX-controller) – http://www.ipix.com/download/ipixx.cab |
Als u namen of adressen ziet die u niet herkent, moet u deze googlen om hun legitimiteit te verifiëren. Als je denkt dat het illegaal is, kun je het repareren. U zult geen problemen ondervinden bij het verwijderen van de meeste ActiveX-items van uw computer, omdat u ze opnieuw kunt downloaden. Houd er rekening mee dat sommige bedrijfstoepassingen ActiveX-elementen gebruiken, dus wees voorzichtig. U moet altijd O16-vermeldingen verwijderen die woorden bevatten zoals seks, porno, auto-connector, gratis, casino, volwassene, enz. Deze maatregel beschermt uw apparaat tegen malware en spyware.
Er is een programma genaamd SpywareBlaster Het heeft een enorme database met kwaadaardige ActiveX-elementen. U kunt het downloaden en in de database zoeken naar bekende ActiveX-elementen. SpywareBlaster is een effectief hulpmiddel om spyware te verwijderen en uw computer te beschermen. Een tutorial over het gebruik van SpywareBlaster vindt u hier:
Gebruik SpywareBlaster om uw computer te beschermen tegen spyware, kapende software en malware. Wanneer de O16-items zijn gerepareerd, zal HijackThis proberen ze van de harde schijf te verwijderen. Normaal gesproken is dit geen probleem, maar soms kan HijackThis het schadelijke bestand niet verwijderen. In dit geval start u uw computer opnieuw op in de veilige modus en verwijdert u deze daarna.
Sectie O17
Deze sectie komt overeen met Lop.com-domeinhacks. Domeinkapingen vormen een ernstige bedreiging voor de veiligheid, omdat aanvallers gebruikers kunnen omleiden naar kwaadaardige websites.
Wanneer u naar een website gaat met een hostnaam, zoals www.bleepingcomputer.com, in plaats van een IP-adres, gebruikt uw computer een DNS-server om de hostnaam om te zetten in een IP-adres zoals 192.168.1.0. Domeinkaping vindt plaats wanneer het kapen van software de DNS-servers op uw apparaat verandert zodat ze naar hun eigen servers verwijzen, waar ze u naar elke gewenste site kunnen leiden. Door google.com aan hun DNS-server toe te voegen, kunnen ze ervoor zorgen dat wanneer u naar www.google.com gaat, ze u omleiden naar een site van hun keuze. Dit type aanval kan leiden tot diefstal van persoonlijke informatie en andere cyberaanvallen.
Voorbeeld invoer | 017 – HKLMSystemCS1ServicesVxDMSTCP: NaamServer = 69.57.146.14,69.57.147.175 |
Als u dit soort vermeldingen tegenkomt en u kent het domein in kwestie niet of het behoort niet tot uw ISP of bedrijf, en de DNS-servers behoren niet tot uw ISP of bedrijf, dan moet u HijackThis gebruiken om het probleem te repareren. U kunt de site bezoeken ARIN Om een Whois-zoekopdracht uit te voeren op de IP-adressen van DNS-servers om te bepalen tot welk bedrijf ze behoren. Dit helpt bij het detecteren van eventuele hacks of ongeautoriseerde wijzigingen in uw Domain Name System (DNS)-instellingen.
O18-sectie
Deze sectie is compatibel met aanvullende protocollen en protocolkapers. Het is een essentieel onderdeel van de analyse van HijackThis.
Protocolkaping wordt uitgevoerd door de standaardprotocolstuurprogramma's die door uw computer worden gebruikt, te wijzigen in andere die door de kaper worden geleverd. Hierdoor kan de kaper bepaalde manieren controleren waarop uw computer informatie verzendt en ontvangt, wat uw internetveiligheid kan beïnvloeden en uw gegevens in gevaar kan brengen. Daarom is het noodzakelijk om deze sectie in HijackThis te controleren om de integriteit van uw systeem te garanderen.
Registratiesleutels: | HKEY_LOCAL_MACHINESOFTWAREClassesPROTOCOLS (systeemprotocolsleutels) |
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID (klasse-identificatiesleutels) | |
HKEY_LOCAL_MACHINESOFTWAREClassesPROTOCOLSHandler (protocolhandlersleutels) | |
HKEY_LOCAL_MACHINESOFTWAREClassesPROTOCOLSFilter (protocolfiltersleutels) |
HijackThis leest eerst de sectie Protocollen van het systeemregister om te zoeken naar niet-standaardprotocollen. Wanneer een niet-standaardprotocol wordt gevonden, vraagt het programma de daar vermelde klasse-identificatie (CLSID) op om informatie te verkrijgen over het bestandspad. Dit helpt bij het detecteren van malware die kan proberen de protocolinstellingen te wijzigen om gegevens te onderscheppen of gebruikers om te leiden naar kwaadaardige websites. Het scannen van deze sleutels door HijackThis is een essentieel onderdeel van het proces van het analyseren van het systeem en het identificeren van potentiële veiligheidsbedreigingen.
Voorbeeld van een lijst | O18 – Protocol: gerelateerdelinks – {5AB65DD4-01FB-44D5-9537-3767AB80F790} – C:PROGRA~1COMMON~1MSIETSmsielink.dll |
De bekendste voorbeelden van browserkaping zijn CoolWebSearch, Gerelateerde Links en Lop.com. Als u deze items ziet, kunt u de HijackThis-tool gebruiken om ze te repareren. Deze vermeldingen duiden meestal op de aanwezigheid van malware of spyware.
Gebruik Google om te controleren of de bestanden legitiem zijn. Je kunt ook een website gebruiken SysteemLookup.com Om bestanden te helpen controleren en te identificeren of ze verband houden met malware of spyware.
Het is belangrijk op te merken dat het repareren van deze vermeldingen met HijackThis de registervermelding of het bijbehorende bestand niet verwijdert. U moet uw computer opnieuw opstarten in de veilige modus en het schadelijke bestand handmatig verwijderen om er zeker van te zijn dat het volledig wordt verwijderd.
Sectie O19: Gebruikersstijlbladen kapen
Deze sectie gaat over het kapen van gebruikersstijlbladen, wat een van de manieren is om browsers te kapen.
Een stijlblad is een sjabloon die bepaalt hoe pagina-indelingen, kleuren en lettertypen van een HTML-pagina worden weergegeven. Dit type kaping vervangt het standaardstijlblad, dat is ontwikkeld voor gebruikers met speciale behoeften, en veroorzaakt een groot aantal pop-ups en vertraagt de browsersnelheid. Dit type aanval kan worden gebruikt om het uiterlijk van websites te veranderen of om gebruikers om te leiden naar kwaadaardige sites.
Registratiesleutel: HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerStyles: gebruikersstijlbladen. Het onderzoeken van deze sleutel in het register is een belangrijke stap bij het diagnosticeren van problemen met het kapen van stylesheets.
Voorbeeld van inbrengen | O19 – Bestand met gebruikersstijlen: c:WINDOWSJavamy.css |
Over het algemeen kunt u deze bestanden verwijderen, tenzij u een stijlenbestand voor eigen gebruik hebt gemaakt. Als dit type invoer is opgelost, zal HijackThis het genoemde aanstootgevende bestand niet verwijderen. Het wordt aanbevolen om uw computer opnieuw op te starten in de veilige modus en het stijlenbestand te verwijderen.
O20-sectie
AppInit_DLLs Deze sectie komt overeen met bestanden die zijn geladen via de registerwaarde AppInit_DLLs en de Winlogon-meldingssubsleutels.
De registerwaarde AppInit_DLLs bevat een lijst met DLL-bestanden die worden geladen wanneer user32.dll wordt geladen. Omdat de meeste Windows-uitvoerbare bestanden user32.dll gebruiken, wordt elk DLL-bestand dat in de registersleutel AppInit_DLLs wordt vermeld, ook geladen. Dit maakt het erg moeilijk om een DLL-bestand te verwijderen, omdat het in meerdere processen wordt geladen, waarvan sommige niet kunnen worden gestopt zonder systeeminstabiliteit te veroorzaken. Het bestand user32.dll wordt ook gebruikt door processen die het systeem automatisch start wanneer u zich aanmeldt. Dit betekent dat bestanden die met de waarde AppInit_DLLs zijn geladen, zeer vroeg in de Windows-opstartroutine worden geladen, waardoor het DLL-bestand zichzelf kan verbergen of beschermen voordat we toegang krijgen tot het systeem. Het is bekend dat deze methode wordt gebruikt door een van de CoolWebSearch-varianten en is alleen in Regedit te zien door met de rechtermuisknop op de waarde te klikken en Modify Binary Data te kiezen. Aan de andere kant het programma griffier Lite Gemakkelijker om dit DLL-bestand te zien.
Registratiesleutel: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows\AppInit_DLLs
Voorbeeld van inbrengen | O20 – AppInit_DLL's: C:WINDOWSSystem32winifhi.dll |
Er zijn maar heel weinig legitieme programma's die deze registersleutel gebruiken, maar u moet voorzichtig zijn bij het verwijderen van de hier genoemde bestanden. gebruik Opstartdatabase van Bleeping Computer أو SysteemLookup.com Om de authenticiteit van de bestanden te verifiëren. Wanneer dit soort vermeldingen zijn opgelost, zal HijackThis het genoemde aanstootgevende bestand niet verwijderen. Het wordt aanbevolen om opnieuw op te starten in de veilige modus en het betreffende bestand te verwijderen. Winlogon-melding De Winlogon-meldingssleutel wordt doorgaans gebruikt door Look2Me-infecties. HijackThis vermeldt alle niet-standaard Winlogon-meldingssleutels, zodat u gemakkelijk kunt identificeren welke sleutel er niet bij hoort. U kunt de sleutel van de Look2Me-infectie identificeren omdat deze een DLL-bestand heeft met een willekeurige bestandsnaam in de map %SYSTEM%. De meldingssleutel heeft een duidelijk ogende naam, ook al hoort deze daar niet thuis. Deze sleutel is kwetsbaar voor misbruik door malware, waaronder spyware, virussen en Trojaanse paarden, om kwaadaardige code uit te voeren wanneer Windows wordt gestart.
Registratiesleutel: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify
Sectie O21: Bestanden laden via de registersleutel ShellServiceObjectDelayLoad
In deze sectie worden bestanden behandeld die via de registersleutel zijn geüpload ShellServiceObjectDelayLoad. Deze sleutel wordt gebruikt om dynamische linkbibliotheken (DLL's) te laden die worden uitgesteld wanneer Windows start, waardoor het een doelwit voor malware kan worden.
Deze sleutel bevat waarden die vergelijkbaar zijn met een sleutel lopen, maar in plaats van rechtstreeks naar het pad van het uitvoerbare bestand te verwijzen, verwijst het naar CLSID .'s InProcServer, dat op zijn beurt informatie bevat over het te gebruiken DLL-bestand. Deze aanpak voegt een laag van complexiteit toe die kan worden gebruikt om malware te verbergen.
Bestanden onder deze sleutel worden automatisch geladen door een proces Explorer.exe Wanneer u uw computer opstart. Omdat Explorer.exe Als grafische gebruikersinterface (GUI-shell) voor Windows wordt deze altijd gestart, waarbij de bestanden die aan deze sleutel zijn gekoppeld, vroeg in het opstartproces worden geladen, vóór enige tussenkomst van de gebruiker. Dit gedrag maakt deze sleutel tot een aantrekkelijk doelwit voor malware die heimelijk probeert uit te voeren.
Malware die deze methode gebruikt, kan worden geïdentificeerd aan de hand van de volgende vermeldingen in de registersleutel ShellServiceObjectDelayLoad, wat kan duiden op de aanwezigheid van kwaadaardige of ongewenste DLL-bestanden:
Voorbeeld van inbrengen | R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Startpagina = C:WINDOWSsecure.html R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = C:WINDOWSsecure.html |
Registersleutel: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad – Deze sleutel regelt het vertraagd laden van shell-serviceobjecten, wat van invloed is op de opstartsnelheid van het systeem en de reactietijd van Windows Explorer. Deze sleutel bevat belangrijke instellingen voor het configureren van systeemservices in de Windows-omgeving. Het wijzigen van deze sleutel kan de systeemprestaties beïnvloeden, dus voorzichtigheid is geboden bij het aanbrengen van wijzigingen.
Voorbeeld van een lijst | O21 – SSL: Systeem – {3CE8EED5-112D-4E37-B671-74326D12971E} – C:WINDOWSsystem32system32.dll |
HijackThis maakt gebruik van een interne witte lijst om te voorkomen dat veelvoorkomende legitieme systeemvermeldingen onder deze sleutel worden weergegeven. Als u hier een vermelding ziet, is dit geen standaard vermelding en moet deze als verdacht worden beschouwd. Dit kan duiden op de aanwezigheid van malware of spyware. gebruik Piepende opstartdatabase van de computer أو SysteemLookup.com Om bestanden te controleren en te zien of ze schadelijk zijn. Wanneer dit soort vermeldingen zijn opgelost, zal HijackThis het genoemde aanstootgevende bestand niet verwijderen. Het wordt aanbevolen om uw computer opnieuw op te starten in de veilige modus en het betreffende bestand handmatig te verwijderen. Mogelijk moet u zoeken naar de specifieke bestandsnaam, in dit geval bijvoorbeeld “system32.dll”, om de functie ervan te begrijpen en te beslissen of deze moet worden verwijderd. Zorg ervoor dat u de functie van het bestand begrijpt voordat u het verwijdert, om systeemproblemen te voorkomen.
Sectie O22: SharedTaskScheduler
Deze sectie komt overeen met bestanden die zijn geladen via de systeemregisterwaarde “SharedTaskScheduler”. Het is een veelvoorkomend toegangspunt dat wordt uitgebuit door malware zoals SmitFraud en anderen.
Vermeldingen in deze registersleutel worden automatisch uitgevoerd wanneer Windows start. Deze sleutel wordt vaak misbruikt door SmitFraud-varianten om valse beveiligingswaarschuwingen weer te geven en valse antispywaresoftware te downloaden. Dat vormt een bedreiging voor de veiligheid van het systeem.
Registersleutel:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerSharedTaskScheduler
Voorbeeld van een lijst | O22 – SharedTaskScheduler: (geen naam) – {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} – c:windowssystem32mtwirl32.dll |
Wees voorzichtig bij het verwijderen van items die in deze sleutels worden vermeld, aangezien sommige ervan legitiem zijn. U kunt Google gebruiken om de authenticiteit van het bestand te verifiëren. gebruik Opstartdatabase vanaf piepende computer أو SysteemLookup.com Om de authenticiteit van de bestanden te helpen verifiëren. Deze vermeldingen kunnen duiden op de aanwezigheid van malware, spyware of virussen. Het is belangrijk om de authenticiteit van bestanden te verifiëren voordat u ze verwijdert, om systeemproblemen te voorkomen.
HijackThis verwijdert de SharedTaskScheduler-waarde die aan dit item is gekoppeld, maar niet de klasse-ID (CLSID) waarnaar deze verwijst en het bestand waarnaar Inprocserver32 verwijst voor de CLSID. Daarom moet u de gebruiker altijd opnieuw laten opstarten in de veilige modus en dit bestand handmatig verwijderen. Als u bepaalde systeembestanden wilt verwijderen, moet u mogelijk opnieuw opstarten in de veilige modus om ervoor te zorgen dat ze niet door het systeem worden gebruikt. U moet heel voorzichtig zijn bij het verwijderen van systeembestanden.
Sectie O23: Analyse van services in Windows XP-, NT-, 2003- en 2003-services
In dit gedeelte wordt Windows behandeld Deze services worden doorgaans gebruikt voor het beheren van taken op systeemniveau, zoals Windows-functies, antivirussoftware en applicatieservers. De laatste tijd is er een toenemende trend waarbij malware services gebruikt om computers te infecteren. Daarom is het noodzakelijk om elke vermelde service te controleren om de veiligheid ervan te garanderen en om er zeker van te zijn dat er geen verdachte services zijn. Veelvoorkomende voorbeelden van malwarediensten die u kunt tegenkomen zijn ‘Home Search Assistant’ en de nieuwe ‘Bargain Buddy’-variant. Hieronder vindt u voorbeelden van lijnen die verband houden met deze infecties.
De meeste Microsoft-services staan op de witte lijst en worden hier niet vermeld. Als je deze services wilt zien, kun je HijackThis uitvoeren met de vlag /ihatewhitelists. Dit helpt bij het detecteren van verborgen malware en het nauwkeurig analyseren van systeemgedrag. Deze functie wordt alleen aanbevolen voor gevorderde gebruikers.
Voorbeeld van een legitieme dienst:
Voorbeeld van een lijst | O23 – Service: AVG7 Alert Management Server (Avg7Alrt) – GRISOFT, sro – C:PROGRA~1GrisoftAVGFRE~1avgamsvr.exe (bestandspad Alert Management Server) |
Voorbeeld van een woningzoekassistent:
Dit voorbeeld laat zien hoe de AVG 7 Alert Management Service (Avg7Alrt) van GRISOFT, s.r.o verschijnt in de lijst met systeemprocessen. Het bestandspad “C:PROGRA~1GrisoftAVGFRE~1avgamsvr.exe” geeft de locatie aan van het uitvoerbare bestand avgamsvr.exe, dat verantwoordelijk is voor het uitvoeren van de Alert Manager-service. Zoeken naar dit pad kan handig zijn bij het oplossen van AVG-fouten of bij het beheren van systeemprocessen. Het begrijpen van bestandspaden en hun functies is van cruciaal belang voor het behouden en beschermen van de systeemprestaties. Home Search Assistant kan u helpen bestanden, services en andere programma's op uw computer te vinden.
Voorbeeld van een lijst | O23 – Service: Werkstation Netwerkaanmeldingsservice – Onbekend – C:WINDOWSsystem32crxu.exe |
Voorbeelden van Bargain Buddy:
Dit voorbeeld toont een mogelijke fout in de Workstation Network Logon-service (NetLogon) met ID O23. Het pad “C:WINDOWSsystem32crxu.exe” verwijst naar crxu.exe, een bestand dat normaal gesproken niet wordt herkend als onderdeel van het Windows-systeem. Dit bestand kan kwaadaardig zijn of geassocieerd zijn met malware. Het wordt aanbevolen om het systeem te scannen met up-to-date antivirussoftware om de integriteit van het systeem te garanderen. Deze fout kan wijzen op problemen bij het openen of delen van netwerkbronnen. Controleer uw netwerk- en firewallinstellingen. Raadpleeg de Microsoft-documentatie of neem contact op met Microsoft Ondersteuning voor meer informatie over het oplossen van problemen met de NetLogon-service.
Voorbeeld van een lijst | O23 – Service: ZESOFT – Onbekend – C:WINDOWSzeta.exe |
O23 – Service: ISEXEng – Onbekend – C:WINDOWSSystem32angelex.exe |
Wanneer de O23-vermelding in HijackThis is hersteld, verandert het programma de opstartstatus van deze service in Disabled, stopt de service en vraagt de gebruiker vervolgens om het apparaat opnieuw op te starten. Het programma verwijdert de daadwerkelijke service niet uit het logbestand of bestand waarnaar u verwijst. Als u een dienst wilt verwijderen, moet u de naam van de dienst weten. Deze naam is de tekst tussen haakjes. Als de weergavenaam hetzelfde is als de servicenaam, wordt de servicenaam niet vermeld. Houd er rekening mee dat het verwijderen van essentiële systeemservices de systeemstabiliteit kan beïnvloeden.
Er zijn drie methoden die u kunt gebruiken om de servicesleutel uit het register te verwijderen:
- Het verwijderen met de opdracht SC In Windows XP typt u het volgende vanaf een opdrachtprompt: sc verwijder servicenaam. Vervang "servicenaam" door de daadwerkelijke servicenaam die u wilt verwijderen. Wees voorzichtig bij het gebruik van deze opdracht, omdat het verwijderen van systeemservices systeeminstabiliteit kan veroorzaken. Om de service te verwijderen met behulp van een registerbestand, kunt u het volgende voorbeeld gebruiken:
- Gebruik een registerbestand om de service te verwijderen. Het onderstaande registerbestand is een voorbeeld van hoe u Angelex.exe (Bargain Buddy-variant) kunt verwijderen:
REGEDIT4 [-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_ISEXENG] [-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesISEXEng] [-HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_ISEXENG] [-HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesISEXEng] [-HKEY_LOCAL_MACHINESYSTEMControlSet003EnumRootLEGACY_ISEXENG] [-HKEY_LOCAL_MACHINESYSTEMControlSet003ServicesISEXEng] Het wordt aanbevolen om een back-up van het register te maken voordat u wijzigingen aanbrengt.
- Gebruik HijackThis om de service te verwijderen. Je kunt klikken Config, Dan Diverse gereedschappenen druk vervolgens op de knop . Een NT-service verwijderen... Wanneer het wordt geopend, voert u de servicenaam in en drukt u op OK. Zorg ervoor dat u weet welke service u verwijdert om systeemproblemen te voorkomen.
REGEDIT4 [-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_ISEXENG] [-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesISEXEng] [-HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_ISEXENG] [-HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesISEXEng] [-HKEY_LOCAL_MACHINESYSTEMControlSet003EnumRootLEGACY_ISEXENG] [-HKEY_LOCAL_MACHINESYSTEMControlSet003ServicesISEXEng] |
Wees voorzichtig bij het verwijderen van items die in deze registersleutels worden vermeld, aangezien de meeste legitieme items zijn. Het verwijderen van deze sleutels kan wijzen op problemen met het Windows-besturingssysteem. Om naar O23-registervermeldingen te zoeken en hun legitimiteit te verifiëren, kunt u gebruiken Opstartdatabase van Bleeping Computer أو SysteemLookup.com. Dit helpt bepalen of registervermeldingen verband houden met stuurprogramma's, onderliggende systeemservices of malware. De bovenstaande registersleutels worden doorgaans geassocieerd met de “Intel SpeedStep eXecution Engine” (ISEXEng), een technologie voor processorenergiebeheer. Het is raadzaam om de functie van elke sleutel te begrijpen voordat u deze verwijdert, om problemen met de systeemprestaties te voorkomen.
Sectie O24: Diagnose van Active Desktop-componenten in Windows
In dit gedeelte worden actieve bureaubladcomponenten in Windows besproken, die worden gedefinieerd als lokale of externe HTML-bestanden die rechtstreeks in de bureaubladachtergrond zijn ingesloten. Sommige malware maakt misbruik van deze functie om berichten, afbeeldingen of webpagina's rechtstreeks op het bureaublad van de gebruiker weer te geven.
Een veelvoorkomend voorbeeld van malware die deze methode gebruikt, is de SmitFraud-familie van valse antispywareprogramma's. Deze programma's gebruiken actieve bureaubladcomponenten om valse beveiligingswaarschuwingen weer te geven als bureaubladachtergrond van de gebruiker. Deze waarschuwingen omvatten valse berichten die aangeven dat het systeem is geïnfecteerd met virussen, met als doel de gebruiker te verleiden valse software te kopen. Er zijn ook andere voorbeelden van malware die deze techniek gebruiken, zoals ransomware en Trojaanse paarden, die bedreigende berichten of betalingsinstructies op het bureaublad kunnen weergeven. Raadpleeg de volgende bronnen voor meer informatie over dit soort malware en hoe u zich ertegen kunt beschermen:
AVGoud (spyware) Raze AntiSpyware AlfaCleaner (schoonmaaksoftware) TopAntiSpyware
De registersleutel die is gekoppeld aan Active Desktop Components in Windows is:
Registersleutel:HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerDesktopComponents
Elke specifieke component wordt vermeld als een numerieke registersubsleutel van de bovenstaande sleutel, beginnend met het getal 0. Bijvoorbeeld:
Voorbeeld van inbrengen | O24 – Desktopcomponent 0: (Beveiliging) – %windir%index.html O24 – Desktopcomponent 1: (Geen naam) – %Windir%warnhp.html |
Hoewel het mogelijk is dat iemand opzettelijk een actieve desktopcomponent heeft geconfigureerd, is het een goed idee om, als u een onbekende component ziet, aan de gebruiker te vragen of hij/zij deze met opzet heeft toegevoegd. De aanwezigheid van onbekende desktopcomponenten kan wijzen op de aanwezigheid van malware of spyware. Het controleren van de bron ervan is dus van cruciaal belang voor het behoud van de systeemveiligheid. Zorg ervoor dat u de functie van elk onderdeel begrijpt voordat u actie onderneemt.
Wanneer deze gegevens zijn hersteld, zal HijackThis alleen de desktopcomponent uit het register verwijderen. Het daadwerkelijke HTML-bestand waarnaar wordt verwezen, wordt niet verwijderd. Als het onderdeel geassocieerd is met malware, moet u dit bestand daarom handmatig verwijderen via de bestandsverkenner om er zeker van te zijn dat de dreiging volledig wordt verwijderd. Mogelijk moet u het pad van het specifieke bestand vinden, zoals %windir%index.html of %Windir%warnhp.html, om het permanent te verwijderen. Het wordt aanbevolen om een back-up van het bestand te maken voordat u het verwijdert, voor het geval u het later nodig heeft voor analyse of herstel.
Conclusie
HijackThis is een zeer krachtig hulpmiddel om de details van uw browser te ontdekken en wat er op Windows draait. Het diagnosticeren van de HijackThis-scanresultaten kan echter ingewikkeld zijn. We hopen dat onze aanbevelingen en uitleg dit proces iets gemakkelijker zullen maken. Dit programma moet met voorzichtigheid worden gebruikt, omdat het onjuist verwijderen van sommige items problemen met legitieme programma's kan veroorzaken.