1.
Beveilig
je PC – 10 Stappenplan
2.
Tips
bij het 10 Stappenplan
3.
10
Gouden regels om Besmetting te voorkomen
4.
Bescherm
jezelf en andere tegen virussen
5.
Je
systeem is vermoedelijk besmet, wat nu?
6.
Hoe
kan ik virussen vermijden?
8.
Spyware,
Hoe geraak ik er vanaf?
9.
Ad-Aware SE
10.
Ad-Aware
SE - handleiding
11.
Ad-Aware SE –
handleiding Taalmodule - Nederlands
12.
Gratis virusscanner
: AVG Free Edition
13.
CrapCleaner
14.
CrapCleaner
– Korte handleiding
15.
CWShredder
16.
CWShredder
– Korte handleiding
17.
Spybot
Search & Destroy – Installatie en korte handleiding
18.
Hijack
This – Enkel ervaren PC
gebruikers !!!
19.
Hijack
This – Handleiding
20.
HitmanPro
21.
RegCleaner
– Download en handleiding
22.
Spy Sweeper
– Download en Installatie
23.
Spy
Sweeper – Korte handleiding
24.
ZoneAlarm
– Download - Inleiding
25.
ZoneAlarm
- Installatie
26.
ZoneAlarm
– Configuratie
27.
Windows
XP - Firewall
Bron: http://beveiliguwpc.arianvisser.nl/stappenplan.htm
Stap 1: virusscanner
Stap 2: firewall
Stap 3: Windows update
Stap 4: Office update
Stap 5:
updates van overige software
Stap 6:
pop-up killer
Stap 7:
anti-spyware (ook tegen dialers)
Stap 8:
spamfilter
Stap 9:
trojanscanner
Stap
10: gebruik alternatieve software
De simpelste en meest doeltreffende
manier om uw computer tegen virussen te beschermen is de
installatie van een goede virusscanner. Let wel, elke virusscanner heeft updates
nodig om adequaat te kunnen blijven optreden tegen de nieuwste virussen. Goede
virusscanners met automatische update via internet kunt u kopen van
gerenommeerde fabrikanten als Kaspersky, Symantec (Norton) en McAfee.
Er zijn ook gratis goede virusscanners beschikbaar. Het nadeel van een gratis
scanner is wel dat nieuwe virusdefinities soms wat trager vrijkomen dan bij de
gevestigde (betaalde) anti-virusbedrijven.
AVG Anti-Virus
(Engelstalig)
> free.grisoft.com/freeweb.php
Avast Home Edition
(ook Nederlandstalig)
Registreren binnen 60 dagen is nodig
voor gratis gebruik!
> www.avast.com/eng/down_home.html
> meteen
downloaden
(NL)
> meteen downloaden (Eng)
Antivir
(Engelstalig)
E-mail virusscanner
Veel internetaanbieders bieden gratis
of tegen beperkte kosten een on line virusscanner aan. Bedenk u daarbij dat
deze virusscanners alleen uw e-mail op virussen controleren en dus niet uw
computer zelf. Installatie van een lokale virusscanner blijft dus nodig!
Een firewall is een programma dat
voortdurend al het in -en uitgaande verkeer controleert. De firewall staat er
als een soort muur tussen en beschermt zo tegen pogingen van hackers om de pc binnen te
dringen, bijvoorbeeld als deze toegankelijk is gemaakt door een trojan. Ook geeft de firewall
een waarschuwing wanneer een programma vanuit de pc contact zoekt met het
internet.
Windows firewall
In Service Pack 2 van Windows XP is een firewall ingebouwd, maar deze heeft een
belangrijk probleem. De XP-firewall voert alleen de eerste helft uit van de
taak van een goede firewall: het beschermen tegen aanvallen van buitenaf. Tegen
misbruik van de pc van binnenuit doet de XP-firewall niets. Bovendien is de
XP-firewall nauwelijks te configureren en vindt er geen registratie plaats van
bijvoorbeeld pogingen tot inbraak. Verstandige computergebruikers installeren
náást de Windows XP-firewall altijd ook een echte firewall.
Veel (betaalde) antivirussoftware
wordt samen met een goede firewall geleverd. Er zijn echter ook gratis
firewalls.
Free ZoneAlarm
(Engelstalig)
Hoewel ZoneAlarm met afstand de
bekendste firewall is, loopt ZoneAlarm niet te koop met zijn gratis versie. U
kunt de gratis versie niettemin downloaden via de onopvallende link Free ZoneAlarm and Trials op de homepage van
ZoneAlarm.
> www.zonealarm.com
Sygate Personal Firewall Standard
(Engelstalig)
> smb.sygate.com
> meteen downloaden
Wekelijks worden lekken vastgesteld
in Windows of onderdelen daarvan. Voor de meeste stelt Microsoft snel
reparaties beschikbaar (patches). Maar een pc is pas beschermd als deze
reparaties zijn gedownload en geďnstalleerd. Dat kan automatisch, maar dan moet
de eigenaar dat wel instellen.
De tijd die verstrijkt tussen het vrijgeven van een patch en de ontwikkeling
door kwaadwillenden van een virus dat gebruikmaakt van de gevonden
programmafout, wordt steeds korter. Zorg dus dat Windows automatisch checkt op
updates, deze download en installeert. Alleen zo is uw computer maximaal
beveiligd!
Windows update
N.B.
Gebruikers van Windows moeten vanaf
halverwege 2005 de echtheid van hun Windows
XP-versie aantonen als zij Windows van onderhoudsbeurten willen voorzien. De
echt noodzakelijke verbeteringen voor de veiligheid blijven nog wel zonder die
verplichting verkrijgbaar.
Ook voor Microsoft Office, waarvan
Word en Excel deel uitmaken, komen regelmatig patches vrij. Het updaten van uw
Office-programma's moet handmatig gebeuren. Doe dit regelmatig!
Office update
De overige softwareprogramma's die u
gebruikt zijn ook niet altijd even veilig. Fabrikanten brengen voortdurend
nieuwe versies uit van hun software. Niet altijd zal de fabrikant daarbij
vermelden dat het om nieuwe versies gaat waarin veiligheidsproblemen zijn
gerepareerd. Is er een nieuwe versie verschenen en kunt u deze gratis
downloaden, doe dit dan altijd.
Tijdens het internetten willen zich
nog wel eens automatisch nieuwe vensters openen, zogenaamde pop-ups. Deze
pop-ups zijn vaak vervelend en bovendien niet zonder gevaar. Sommige pop-ups
denkt u weg te klikken, maar op dat moment installeert zich juist een virus
bijvoorbeeld. Installeer daarom altijd een pop-up killer.
Windows XP
(SP2) pop-up killer
In Service Pack 2 van Windows XP zit
een uitstekende pop-up killer ingebouwd. Deze werkt alleen in de
internetbrowser Explorer. Gebruikt u geen Windows XP of gebruikt u een andere
browser installeer dan één van de volgende gratis pop-up killers.
gogoData AdBuster
> gogoData
Google Toolbar
(in meerdere talen)
EMS Free
Surfer Companion
> www.kolumbus.fi
> meteen
downloaden
Panicware
Pop-Up Stopper Free Edition
Pop-ups in
Flash
Omdat de gewone pop-up ten dode is
opgeschreven, verschijnen pop-ups steeds vaker in Flash. Ook hiertegen zijn
gratis maatregelen te nemen.
Voor de internetbrowsers Mozilla/Firefox:
flashblock.mozdev.org/installation.html
Voor de internetbrowser Explorer:
www.synergeticsoft.com/docs/video_ads_blocker
Check uw computer elke week op de
aanwezigheid van spyware. Dat kan met uitstekende
gratis software.
Hitman Pro
Dit gratis programma is de
alles-in-één-oplossing tegen spyware. Het programma is een zeer eenvoudige
bedieningsconsole waarmee u Uw computer met verschillende gerenommeerde
anti-spyware programma's achtereen kunt testen. Hitman Pro alles voor u. Het
start deze programma's automatisch, haalt de updates op en doet er vervolgens
een computerscan mee. Het programma maakt daarbij gebruik van gevestigde gratis
software als Ad-Aware, SpySweeper, SpywareBlaster, Spyware Block List, Spybot
Search&Destroy en Immunize. Juist de combinatie van al deze anti-spyware
programma's maakt Hitman Pro zo uniek: wat het ene programma laat zitten, haalt
het andere programma wel weg. Hitman Pro is alleen geschikt voor Windows 2000 en Windows XP!
Wilt u Hitman Pro op gezette tijden
op uw systeem starten, doe dat dan met behulp van de Windows Takenplanner. Klik
hier voor een beschrijving.
Heeft u geen Windows XP of wilt u de afzonderlijke anti-spywareprogramma's
waarvan Hitman Pro gebruik maakt zelf managen en beter kunnen instellen gebruik
dan
onderstaande programma's.
Microsoft
Microsoft kwam begin 2005 met de
gratis (nog niet honderd procent uitgeteste) bčtaversie van AntiSpyware,
bestemd voor Windows 2000, Windows XP en Windows Server 2003. Het programma dat
zichzelf steeds via internet update, kunt u gratis downloaden.
Lavasoft Ad-Aware
(Engelstalig) Nederlandse Taalmodule kan eveneens gedownload worden.
Dit programma is zeer erkend in de
strijd tegen spyware. U kunt na een scan bovendien met één muisklik alle
MRU-lists wissen. MRU
staat voor Most Recently Used. Standaard bewaart Windows
tientallen MRU-lijsten op de harde schijf met informatie over o.a. bezochte
internetpagina's, gebruikte zoekwoorden, gedownloade bestanden, en laatst
gebruikte en geopende bestanden. Deze lijsten zijn potentieel interessant voor
kwaadwillenden, omdat ze precies vertellen wáár op uw computer bepaalde
bestanden staan. Zorg dat u vóór elke scan eerst checkt op updates. Alleen dan
weet u zeker dat u scant op de laatst bekende rommel. Updaten kan eenvoudig via
een optie in het startscherm van dit programma.
> http://users.telenet.be/marcvn/spyware/1414188.htm - Taalmodulepakket
Spybot Search & Destroy
(ook Nederlandstalig)
Vink tijdens het installeren ook de
optie TeaTimer aan, zodat dit programma ook continu over uw schouder meekijkt
en u meteen meldt als er wijzigingen worden aangebracht in bijvoorbeeld het
Windowsregister. Accepteer deze wijzigingen alleen als u iets installeert of
uitvoert, waarvan u zeker weet dat dit de bedoeling is! Ook bij dit programma
geldt: zorg dat u vóór elke scan eerst checkt op updates. Alleen dan weet u
zeker dat u scant op de laatst bekende rommel. Updaten kan eenvoudig via een
optie in het startscherm van dit programma.
Het bovenstaande Lavasoft Ad-Aware en
Spybot Search & Destroy kunnen naast spyware ook zogenaamde dialers opsporen. Een programma
dat alleen dialers opspoort (dus geen spyware) is het gratis Dialers Detect.
Dit programma detecteert elke nieuwe
dialer en slaat meteen met een blauw waarschuwingsscherm alarm. Het programma
verwijdert ook de meeste dialers, echter sommige dialers zijn zo diep in het
systeem verankerd dat deze niet zomaar te verwijderen zijn. Kijk hier voor een beschrijving hoe
je dialers handmatig verwijdert.
SpywareBlaster
(ook Nederlandstalig)
Dit programma start automatisch als u
uw computer opstart en beschermt de computer vervolgens tegen talrijke gevaren.
Update dit programma regelmatig! Ook bij dit programma geldt: zorg dat u vóór
elke scan eerst checkt op updates. Alleen dan weet u zeker dat u scant op de
laatst bekende rommel. Updaten kan eenvoudig via een optie in het startscherm
van dit programma.
CWShredder
(Engelstalig)
Dit kleine programma checkt uw
computer tegen een zeer specifiek en lastige trojan. Controleer regelmatig op
nieuwe versies van CWShredder. Het programma wordt continu verbeterd. Zorg dus
u regelmatig checkt op een eventuele update.
Betaalde anti-spyware programma's
Er is ook veel goede betaalde
software te krijgen tegen spyware, die zichzelf bijvoorbeeld automatisch
update. Onderstaande software kan 30 dagen gratis gebruikt worden.
Veel mensen hebben last van
ongewenste e-mail (spam). Er is speciale software
die dit soort berichten uit uw inbox filtert: een spamfilter. Vaak moet u deze
software na het installeren een tijdje 'aan de hand' meenemen: u moet aangeven
welke e-mail spam is en welke e-mail juist niet, zodat het spamfilter daarvan
leert. Gaandeweg zal het spamfilter steeds beter in staat zijn om ongewenste
e-mail te filteren.
Gratis spamfilter
K9 is een filterprogramma dat tussen
je standaard e-mailprogramma en de server gaat zitten. Het kan met een
zelflerend systeem spam filteren, maar je kunt ook white- en blacklists (lijsten
die mailtjes met bepaalde woorden erin wel of juist niet doorlaten) werken.
Deze combinatie maakt het programma zeer effectief in het tegenhouden van spam
en bovendien is K9 slechts 105Kb klein!
> KeirNet
Bij veel (betaalde) virusscanners zitten tegenwoordig ook spamfilters.
Daarnaast bieden de meeste internetproviders on line spamfilters aan die uw
e-mail filteren nog voordat het in uw inbox terecht komt. Soms zijn deze
diensten gratis, soms kost het u een klein bedrag per maand.
Een trojan is geen virus. Zelfs de beste
virusscanner scant primair op virussen en is minder goed in staat om trojans te
herkennen. Een virusscanner zal een trojan dus niet altijd herkennen en
verwijderen.
Hoewel een virusscanner het risico op
trojans zeker verkleint, zou u uw virusscanner aan kunnen vullen met een
trojanscanner. Net als uw virusscanner heeft een trojanscanner updates nodig om
de meest actuele trojans te kunnen herkennen.
Op internet zijn verschillende
trojanscanners te vinden. Alle hieronder genoemde trojanscanners zijn gratis 30
dagen uit te proberen. Daarna moet u ervoor betalen. U zou één van onderstaande
programma's kunnen downloaden om uw computer binnen die periode van 30 dagen te
checken op de aanwezigheid van eventuele trojans. U heeft dan een gratis
trojanscan te pakken.
Mischel Internet Security TrojanHunter
Als u het echt goed wil doen, gebruik
dan alternatieven voor de geijkte software van Microsoft, die gebleken onveilig
is.
Andere internetbrowser
Begin in ieder geval met een andere
browser dan Internet Explorer. Deze meest gebruikte browser is immers domweg de
meest onveilige browser. Het onvervreemdbaar onderdeel van Windows wordt
voortdurend geplaagd door veiligheidsproblemen. Goede (gratis) alternatieven zijn
de onderstaande.
Firefox
Deze browser is volop in opkomst.
www.mozilla.org/products/firefox
Opera
Minder bekend, maar ook steeds vaker
gebruikt.
Ander besturingssysteem
Een stap verder gaat het advies om een ander besturingssysteem dan Windows te
gaan gebruiken. Windows is zeer ontvankelijk voor misbruik. Voortdurend brengt
fabrikant Microsoft nieuwe veiligheidsupdates uit. Gebruikers van Windows XP
met Service Pack 2 hebben gemerkt dat het zelfs dan nog niet voorbij is. Sinds
het uitbrengen van SP2 zijn er weer verschillende patches uitgekomen.
De gratis 'open
source' besturingssoftware Linux is een prima alternatief, maar bestemd voor de
wat ervarener computeraar. Al uw Windows-software zal immers vervangen moeten
worden door vergelijkbare software die onder Linux draait. Omdat steeds meer
mensen Linux (gaan) draaien (zelfs overheden in China, Duitsland en Spanje
gingen u al voor), komt er ook steeds meer software beschikbaar voor dit
besturingssysteem. Veel van deze software is gratis, wat een extra reden
kan zijn om Windows definitief achter u te laten.
X TOP
Naast
het nemen van de technische maatregelen en het installeren van beschermende
software kunt u bij al uw internetactiviteiten de onderstaande tips in acht
proberen te nemen. Het zal de veiligheid van uw computer zeker ten goede komen!
» Stel veiligheid boven fun of gemak. Wees te allen
tijde voorzichtig met wat
u doet.
» Installeer nooit software die zogenaamd nodig is om
een bepaalde
webpagina beter te kunnen
bekijken.
» Download niet lukraak programma's, muziek, films
enzovoorts.
Gebruik liever degelijke
software-archieven zoals Tucows en
Download.com.
» Wilt
u toch software wilt downloaden, check dan of de betreffende
software in verband gebracht
wordt met spyware. Een lijst van verdachte
software vindt u hier. Zoek daarnaast via de zoekmachine Google
op de
naam van de software samen met
het woord "spyware".
Bedenk u dat een programma niet
per definitie goed is als het door
miljoenen mensen wordt gebruikt.
Populariteit van een programma zegt
niets over de veiligheid. Meestal
krijgt juist een populair programma of
besturingssysteem extra aandacht
van misbruikers. Hun werkgebied is dan
immers zo breed mogelijk.
» Kijk goed toe tijdens het installeren van welke
software dan ook.
Lees goed alle voorgelegde vragen
tijdens de installatie.
Voorkom de installatie van
eventuele additionele (en niet zelden onnodige)
software. Breek de installatie af
als u het niet vertrouwt.
» Ga heel voorzichtig om met pop-up
vensters. Gebruikt u geen pop-up killer
of heeft u deze (tijdelijk) uitgeschakeld,
sluit pop-ups dan af met het
kruisje. Let wel op: soms ziet u
een nepkruisje. Als uw muiscursor nog
steeds een handje vertoont als u
op het kruisje stilstaat (wat duidt op een
link in plaats van een kruisje)
dan kunt u beter niet klikken. Bij het echte
Windowskruisje moet het handje
veranderen in het gebruikelijke
muispijltje!
» Koester argwaan jegens elke bijlage van e-mail. Open
bijlagen alleen als u
echt zeker weet dat het vertrouwd
is. Laat u niet verleiden door 'leuke'
bijlagen. Leuke bijlagen zijn
extra in trek bij virus- en spywaremakers,
omdat de kans groot is dat
ontvangers zwichten voor het bekijken ervan.
» Schakel
in uw e-mailprogramma de functie uit dat u e-mail in HTML-
formaat bekijkt. Bekijk in plaats
daarvan voortaan uw e-mail als 'plain
text' (tekst zonder opmaak). Soms
vragen bedrijven of u e-mail van hen
wilt ontvangen in HTML of
TEXT-formaat. Kies voor het laatste.
» Schakel in uw e-mailprogramma de
functie "Voorbeeld bekijken" uit.
Hiermee voorkomt u dat de inhoud
van een e-mail die u selecteert meteen
zichtbaar wordt in een
voorbeeldvenster, voordat u besloten heeft of u de
e-mail überhaupt wilt openen. Op
het moment dat een e-mail zichtbaar
wordt in een voorbeeldvenster
worden ook eventuele (ingebouwde)
kwalijke acties uitgevoerd.
Gebruikers van Outlook Express kunnen het
Voorbeeldvenster uitschakelen via
de optie "Indeling" in het menu Beeld.
Gebruikers van Microsoft Outlook
kunnen dat via de optie
"Voorbeeldweergave" in
het menu Beeld.
» Wantrouw
op voorhand elke vraag naar persoonlijke informatie die u via
e-mail of via een website gesteld
wordt.
» Als u e-mailberichten
naar een groot aantal adressen verstuurt, gebruik
dan het BCC-veld, oftewel Blind
Carbon Copy. Zo zijn de adressen niet
zichtbaar voor anderen.
» Klik nooit zomaar op een link in een
e-mail. Vergewis u ervan dat de link u
niet naar een neppagina brengt.
Een link verwijst niet altijd naar de pagina
waarheen u denkt dat deze
verwijst. Beter is het om zelf naar de website
van een bedrijf te gaan. Doe dit
door het internetadres van het bedrijf
handmatig in de adresbalk in te
typen. Surf op de website vervolgens zelf
naar de bestemde pagina.
» Houd waarschuwingsdiensten bij, of
beter, abonneer u er (gratis) op!
Waarschuwingsdiensten informeren
u onder andere over veiligheidslekken
in besturingssoftware en
virusuitbraken. Abonneren kan gratis bij
www.waarschuwingsdienst.nl (een initiatief
van het ministerie van
Economische Zaken) en www.microsoft.com/security.
» Verander regelmatig uw wachtwoorden, liefst elke maand.
» Controleer
de veiligheid van de verbinding als u, bijvoorbeeld bij het doen
van een bestelling, persoonlijke
informatie moet invullen. In plaats van
'http:' ziet u dan 'https:' staan
aan het begin van een internetadres. De 's'
staat voor 'secure'. Let ook op
het hangsloticoontje in de onderste balk
van uw browserscherm:
Dit
icoontje ziet u in de statusbalk van uw browser wanneer u ingelogd
bent via een beveiligde
verbinding met een website. Zorg dan wel dat de
functie 'Statusbalk zien' in uw
browser staat ingesteld (bij Explorer staat er
dan een vinkje voor
"Statusbalk" in het menu Beeld)
» Als u chat via bijvoorbeeld ICQ of
MSN accepteer dan geen bestanden die
een ander u wil toezenden.
» Zet de optie "Automatisch macro’s uitvoeren"
uit in programma's als
Microsoft Word en Excel.
» Wilt u het écht goed doen, wis dan met regelmaat de lijst
toegestane
software in de firewall. Alle
software (ook de eventuele spyware)
zal dan
opnieuw toegang moeten vragen aan
de gebruiker of het de firewall mag
passeren. U krijgt dan opnieuw
inzicht in welke software verbinding met
internet probeert te maken.
Wantrouw onbekende software! Geef deze niet
zondermeer toegang!
X TOP
10 Gouden regels om
besmetting te voorkomen!
Meestal lachen we er maar wat om
en. zij die hun systeem goed beveiligd hebben kunnen dat ook wel doen.
Antivirus software als Norton,
McAfee, Panda en dergelijke vangen de meeste rommel dan ook wel af maar,
klaarblijkelijk gaat dat toch niet voor iedereen op, want statistieken tonen
aan dat er wereldwijd gemiddeld zo'n 62% van de computers besmet zijn! Dat zijn er nogal wat
hč?
Afgezien van alle ellende die ze
voor de gebruiker in kwestie veroorzaken als, defecte programma's, herhaaldelijk
uitvallen van het systeem en in veel gevallen alles opnieuw installeren, om
maar wat te noemen, zijn er ook aanvallen op systemen van anderen.
Geen sinecure dus en een reden te
meer om je systeem goed te beveiligen tegen dit soort ongein, wekelijks
opwaarderen van je antivirus programma en van tijd tot tijd een nieuw programma
aanschaffen kan dus geen kwaad en... het voorkomt wel allerhande narigheid voor
jou en je vrienden en bekenden!
Voor het gemak zijn hier tien
gouden regels om ellende te voorkomen:
1.
Open geen e-mail van onbekenden!
Gebruik
bij voorkeur een programma dat al op de mailserver een vooruitblik kan tonen
zoals Lydia of Mailwasher.
2.
Open geen aanhangsels
Zelfs
niet als die van vrienden of bekenden komen. Sla bestanden eerst op en kijk,
met je antivirus software of ze veilig zijn.
3.
Accepteer geen aanhangsels van onbekenden!
Bedwing
je nieuwsgierigheid en gooi ze onmiddellijk weg.
4.
Verwijder e-mail berichten als kettingbrieven, junkmail en andere
reclame.
Stuur
dit soort berichten in elk geval niet door, op deze 'SPAM' ziet niemand te
wachten.
5.
Download geen bestanden van onbekenden.
Bijvoorbeeld
middels peer-to-peer programma's als WinMX, Kazaa, Messenger, ICQ etc. Wil je
ze toch, sla ze dan eerst op en scan ze met je antivirus software.
6.
Download geen bestanden van Internet als je niet zeker bent van de
bron!
ZDNet,
Softseek, Tucows e.d websites zijn betrouwbaar, maar vaak worden ook
bijvoorbeeld 'gratis' screensavers e.d. aangeboden en... die gratis
programma's hebben soms een onaangenaam extraatje aan boord.
7.
Wekelijks je antivirus software opwaarderen kan ook geen kwaad.
Je
hebt je antivirus software wel geďnstalleerd, maar het opwaarderen schiet er
nog wel eens bij in en dat terwijl er dagelijks virussen bijkomen!
8.
Maak regelmatig een back-up van je systeem.
Of
toch in elk geval van je belangrijke bestanden, mocht het dan toch eens fout
gaan dan ben je in zo'n 10 minuten weer terug met een schoon systeem.
9.
Bij twijfel altijd kiezen voor zekerheid!
Liever
een bericht of bestand verloren dan een besmet systeem.
10.
Stuur in geen geval virussen door aan anderen!
Bijvoorbeeld
om te laten zien wat jou is overkomen. Heus het gebeurt! Ook al lijkt dat
onwaarschijnlijk. Nou ja, in sommige gevallen kan de afzender er zelf niet eens
wat aan doen en wordt zijn of haar naam door anderen gebruikt...
Tot slot nog even dit, stuur geen
scheldbrieven naar afzenders! Virussen, wormen en soortgelijke onaangename
verschijnselen gebruiken heel vaak een willekeurig gekozen naam (e-mail adres)
uit het adresboek van een besmette computer. Zodoende is dus de afzender niet
de werkelijke schuldige, maar juist ook het slachtoffer...
Ik wens een ieder nog veel en
vooral veilig computerplezier!
X TOP
Bescherm jezelf en anderen tegen
virussen !!!
Manieren om een virus-infectie te voorkomen:
1. Schaf tijdig een goede virusscanner aan.
2. Alleen een virusscanner van je provider is
niet voldoende. Deze scant alleen e-mail, je kunt ook besmet raken met een
virus als je websites bezoekt, of diskettes en CDroms gebruikt.
3. Zorg voor een goede firewall !
Attentie: Voor degenen die werken met Windows XP geldt:
Controleer of onder Windows XP de Firewall aanstaat. Gebruik je een andere
firewall, zorg dan dat de firewall van XP juist uitgeschakeld is.
4. Controleer dagelijks vóór je de post ophaalt
of het internet op gaat, of er een virus-update is voor je antivirus programma
!!
Controleer ook of er essentiële Windows Updates zijn.
5. Wantrouw elke mail van onbekende afzenders !!
Kijk éérst naar de afzender en naar het onderwerp....Onbekend?? Direct
verwijderen !!
6. MICROSOFT VERSTUURT NOOIT BERICHTEN MET EEN
BIJLAGE.
Al lijkt het er op, deze berichten komen niet van Microsoft en bevatten ALTIJD
een virus. Direct verwijderen dus.
Indien er een bijlage bij een ander bericht zit, deze ook nooit zomaar openen.
Open eerst het mailtje zčlf, dan kun je zien wat de naam van die bijlage en de
extensie is. Is de extensie .exe, pif, .com het hele bericht direct
verwijderen.
7. Open ook geen bijlage bij een leeg e-mail
bericht (een mail zonder tekst dus), zelfs niet als de afzender bekend is.
8. Ga -als een e mailtje je daartoe verplicht-
nooit zo maar internet op.
9. Stuur geen kettingbrieven met
viruswaarschuwingen door.
Dit zijn altijd nepberichten en kunnen zelf soms ook een virus bevatten !
10.
De deskundigen
van PC-Hulp hebben regelmatig contact met de bedrijven die zich toeleggen op
het vervaardigen van antivirus programma's. Juiste berichten en adviezen over
virussen komen daarom uitsluitend van deze bedrijven.
Zodra een nieuw virus bekend is, wordt PC-Hulp door hen gewaarschuwd en
uiteraard wordt deze informatie direct naar de mailgroepen gezonden.
11.
Ben je op
vakantie geweest, of heb je om een andere reden je computer een poosje niet
gebruikt, ga dan na het opstarten ŕllereerst een update ophalen van je
anti-virus programma, dus vóórdat je de post ophaalt of het internet op gaat.
12.
ls je iets
vreemds ontdekt, bijvoorbeeld een leeg mailtje met een bijlage,
een bericht met een vreemde extensie of een virusmelding, meld dit dan direct
aan de host van je mailgroep.
Deze zal dan contact opnemen met de geďnfecteerde en hem of haar tijdelijk van
de list verwijderen, om verdere verspreiding te voorkomen.
De host zal het probleem doorgeven aan de deskundigen van PC-Hulp, die dan advies
voor verwijdering van het virus kunnen geven.
X TOP
Je systeem is vermoedelijk besmet, wat nu?
Waarom doen ze dat nou toch? Hoe weet ik of mijn systeem besmet is? Hoe
maak ik het systeem weer schoon? Wat kan ik doen om een infectie te voorkomen?
Vragen, vragen en nog eens vragen en... het zou natuurlijk wel aardig zijn om
daar eens een antwoord op te krijgen
Waarom doen ze dat nou toch?
Op die vraag is geen zinnig antwoord te geven. Ik weet dus ook niet
waarom sommige lieden er aardigheid in hebben om anderen het leven zuur te
maken. Misschien is hun gedrag wel hetzelfde als dat van zoveel andere mensen,
die in het dagelijks leven ook altijd anderen moeten treiteren. Of... is het
jaloezie, verveling, baldadigheid? Je mag het zelf invullen. Zeker is dat de
dames en heren virusmakers van diverse pluimage zijn. En het moet haast wel zo
zijn dat ze allemaal één ding gemeen hebben, ze moeten een misselijk karakter
hebben, want anders kom je toch niet op het idee om bij willekeurig wie een
systeem te verwoesten?
Hoe weet ik of mijn systeem besmet is?
Kenmerkend bij een besmetting is het uitschakelen van het antivirus
programma, de firewall en koppelingen naar reparatie middelen als het
configuratiescherm en systeemherstel en dergelijke.
Herinstalleren van beveiligingsprogramma's lukt niet en worden bij elke
poging afgebroken met een foutmelding.
De computer wordt herhaaldelijk spontaan uitgeschakeld en opnieuw
opgestart. Programma's starten automatisch op, de lade van de cd speler gaat
uit zichzelf open en dicht, kortom, de computer gaat een eigen leven leiden.
Je Internet verbinding is continue actief, ook als je er zelf geen
gebruik van maakt (er wordt informatie verzonden zonder jouw medeweten).
Hoe maak ik het systeem weer schoon?
Schakel allereerst systeemherstel uit. Zulks om te voorkomen dat je
later het virus nog een keer te verwerken krijgt! (Als systeemherstel wordt
uitgeschakeld worden automatisch ook alle herstelpunten gewist.)
Systeemherstel uitschakelen:
Klik met de rechtse muistoets op Deze Computer en kies Eigenschappen.
Klik op het tabblad Systeemherstel.
Plaats een vinkje voor "Systeemherstel op alle stations
uitschakelen".
Klik OK om het venster te sluiten.
Gebruik, als dat nog aanwezig is, het antivirus programma om het systeem
te scannen. Het programma zal zelf aangeven wat je moet doen als een besmetting
wordt geconstateerd.
Heb je geen antivirus programma meer maar nog wel Internet verbinding,
gebruik dan een online virus scanner. McAfee, Panda, Trendmicro e.d.
Meestal zal zo'n scanner je systeem niet schoonmaken, maar je weet dan vaak wel
om welk virus het gaat.
Kijk dan, bijvoorbeeld bij Symantec, of er een hulpprogramma (removal tool) beschikbaar
is om het virus te verwijderen.
Is er geen hulpprogramma beschikbaar, download dan FProt van Frisk,
een gratis antivirus programma dat in DOS kan worden gebruikt, maak een
diskette en start daarmee de computer weer op. Gebruik geen herstart, maar zet
de computer uit en na ongeveer 30 seconden weer aan en volg de instructies.
Heb je geen antivirus programma en ook geen Internet verbinding meer,
schakel dan het systeem uit. Zet het na ongeveer 30 seconden weer aan en
gebruik daarbij een opstart diskette, bijvoorbeeld de diskette(s) die eerder
door je antivirus programma werd(en) gemaakt en volg de instructies.
Heb je die diskette(s) niet, vraag dan een bekende om FProt voor je te
downloaden en op diskette te zetten, start daarmee op en volg de instructies.
Als je systeem weer vrij is van virussen en trojans, schakel je
systeemherstel weer in door het vinkje te verwijderen voor "Systeemherstel
op alle stations uitschakelen". Er wordt dan automatisch een nieuw
herstelpunt gemaakt.
Ook niet gelukt? Dan rest nog formatteren en opnieuw installeren, of heb
jij nog een ander idee?
X TOP
Hoe kan ik virussen vermijden?
De beste en goedkoopste manier blijft nog altijd het gebruik van je gezonde
verstand. Klik niet ondoordacht op vreemde e-mails en let altijd op met
verdachte files (*.exe, *.pif, ...). Op Sophos geeft men je 10 tips om virussen te vermijden.
Je files scannen met een (al dan niet gratis) virusscanner vóór je ze
opent is ook geen overbodige luxe. Gebruik desnoods een on line scanner.
Wat je ook kan doen is je inschrijven op een mailing list die je
waarschuwt wanneer een virus de omloop doet. Voor België doet het BIPT dit, maar Sophos is meer up-to-date. Schrijf je desnoods in
op beide lijsten.
Tot slot: Outlook Express blijft het favoriete doelwit van virussen,
wormen e.d.
Een (gratis) alternatieve mailclient helpt dus ook.
Er zijn er verschillende zoals Pegasus, Calypso, The Bat, Eudora, ...
Als je besluit om toch nog OE te gebruiken, dan houd je best de Windows
Updates in het oog, zodat je eventuele veiligheidslekken op tijd kan dichten.
X TOP
De manuele
manier. Werkt op alle Windowsversies.
1.
Heb je Windows XP of Windows ME schakel dan eerst je systeemherstel uit.
2.
Begin met een virusscan met geüpdate virusdefinities.
Na de scan PC herstarten.
online virusscanners
Panda
TrendMicro
McAfee
BitDefender
Gratis virusscanners
AntiVirAVG
Antivirus
3.
Download daarna Ad-aware en na de
installatie eerst updaten en pas daarna scannen.
4.
Ga daarna naar Start>Uitvoeren>type cleanmgr.exe in het
vak "Openen" en klik op O.K. Selecteer het station waarop zich je
Windows bevindt (meestal zal dit de C: partitie zijn), en klik op O.K., vink
alles aan en klik opnieuw op O.K. Herstart daarna je PC.
5.
Daarna download je Spybot . Hier zorg je ook eerst dat de
definities geupdate worden.
Scan hiermee ook je PC. Hierna voer je opnieuw stap
4 uit.
6.
Download daarna CWShredder door op "Download the
Stand-alone version" te klikken, start het op, klik op "Check For
Update" en daarna op "Fix".
Voer opnieuw stap 4 uit.
7.
Download als laatste HiJackThis (de Mr Proper tegen spyware 
)
,zet deze in zijn eigen map op je harde schijf(vb. C:\Program
Files\HiJackThis\HiJackThis.exe) en start deze op.
Klik in het keuzevenster op " Do a scan and save a logfile".
Bewaar de logfile op je harde schijf als een "jou-naam.txt "bestand.
Vink nog niks aan in HiJackThis.
Je kunt er zware schade mee aanbrengen als je in het wilde weg begint aan te
vinken en verwijderen.
En
dan nog het belangrijkste niet
wanhopen!
X TOP
Spyware - hoe kom ik er vanaf?
Je
wordt bedolven onder popups, ongewenste werkbalken verschijnen in je browser.
Je
startpagina en zoekmachine worden gekaapt zodat je terecht komt op sites die je
helemaal niet wil zien.
Onbekende
programma's die plotseling op je computer geďnstalleerd zijn.
Je
computer wordt onstabiel en traag.
Steeds
meer en meer mensen worden met deze fenomenen geplaagd.
Spyware,
browserkapers en dialers zijn een echte pest aan het worden.
Je
surfgedrag wordt gecontroleerd: elke stap die je doet op het World Wide Web
wordt gevolgd....
Waarom?
Geld!
Want dit is 'Big Business'.
Bepaalde
software wordt op het internet gratis aangeboden. De reden hiervoor is dat deze
software statistieken bijhoudt van het surfgedrag, welke hard- en software
gebruikt wordt, wat op de computer allemaal gedaan wordt,…
Deze
informatie wordt verzameld, doorgestuurd naar de makers van deze stupide
software en verkocht aan derden. Dit gebeurt allemaal zonder medeweten van de
computergebruiker. Dit verschijnsel wordt spyware genoemd.
Dialers
maken gebruik van dure inbelverbindingen. Ze wijzigen stiekem het inbelnummer
van je internetverbinding, zodat je inbelt aan een veel hoger tarief.
Hijackers
nemen de controle over van bepaalde taken in je browser. Hierdoor kunnen ze je
doorverbinden naar bepaalde websites of zoekresultaten laten zien van hun eigen
zoekmachines. Voor elke bezoeker die ze aanbrengen worden ze betaald. Hoe meer
hits op die sites hoe hoger hun inkomsten…
Hoe kom je aan deze infecties?
Sommige
freewareprogramma's die aangeboden worden op het internet, al dan niet via
popups, kunnen spyware bevatten. De programma's zijn gratis omdat er informatie
over de pc-gebruiker en zijn surfgedrag verzameld wordt. Door deze informatie
te verkopen aan derden worden de kosten voor het gratis aanbieden van het
programma ruimschoots gedekt.
Vaak
worden deze activiteiten ook vermeld in de gebruikersovereenkomst die je te
zien krijgt wanneer je de software installeert. Door de gebruikersovereenkomst
te aanvaarden ga je dus akkoord met deze duistere praktijken. Maar wie leest
deze paginalange overeenkomsten?
Sommige
Internet advertising companies installeren cookies op je computer elke keer
wanneer je één van hun advertentiebanners laadt. Deze cookies vertellen de
makers welke sites je bezoekt en wat je doet op deze sites. Cookies zijn kleine
bestandjes die gebruikt worden om informatie op te slaan tussen twee
webbezoeken. Ze zijn niet noodzakelijk allemaal kwaadaardig.
Verkeerde
of incorrecte beveiligingsinstellingen van je browser maken je ook kwetsbaar.
Vooral Internet Explorer blijkt een makkelijk doelwit..
Kan
deze schending van de privacy je niet zo veel schelen, hou er dan wel rekening
mee dat spyware/malware vaak slecht geprogrammeerd is. Dit kan je systeem
onstabiel maken. Een extra reden om deze zaken toch zo vlug mogelijk van je
computer te verwijderen.
Laten
we duidelijk zijn: Alle spyware hou je niet tegen met een goed geconfigureerde
firewall en een geüpdate anti-virusprogramma. Beide programma's horen thuis op
elke computer die met het internet verbonden is. Om spyware te bestrijden zijn
er echter andere programma's nodig.
Op
deze website probeer ik een overzicht te geven van hoe je een geďnfecteerde
computer weer clean kunt krijgen en welke maatregelen je kan nemen om een
nieuwe infectie te voorkomen.
Wat te doen wanneer je computer
geďnfecteerd is?
Een
kleine opmerking over het gebruik van HijackThis. Wees voorzichtig als je met
HijackThis gaat werken. Het is een krachtig programma dat geen onderscheid
maakt tussen wat goed is, en wat kwaad is. Dit is een keuze die jezelf zal moeten
bepalen. Onoordeelkundig gebruik van HijackThis kan er voor zorgen dat bepaalde
programma's niet meer werken, of zelfs dat je pc niet meer opstart...
Niet
alles kun je met bovengenoemde programma's verwijderen. De makers van
spyware/malware gebruiken steeds andere technieken.
Indien
je hulp wenst met het verwijderen van spyware/malware of je hebt vragen over je
HijackThislog dan kan je steeds terecht op het forum van BlueMedicine. Hier word je gratis en op deskundige wijze
geholpen.
Registreer
je hier en plaats je vraag /
hijackthislog in het juiste subforum.
X TOP
Ad-Aware
SE Personal is de nieuwste versie van Ad-Aware.
Het
programma maakt gebruik van CSI of Code Sequence Identification, waarmee nieuwe
en nog onbekende spywarevarianten geďdentificeerd kunnen worden.
Meer
info vind je hier.
Er
is een taalmodulepakket beschikbaar voor Ad-aware SE.
Deze
bevat ook de Nederlandse taalmodule.
X TOP
Ad-Aware SE - Handleiding
Na
de installatie start je het programma. Op het statusblad klik je op de knop
"Nu controleren op updates". Klik op "Verbinden". Indien er
een update is beschikbaar is download je deze.
Wanneer
een nieuw Reference bestand beschikbaar is krijg je melding van de Build en de
datum vanaf wanneer dit bestand beschikbaar was. Klik op OK om dit bestand te
downloaden.
Wanneer
je reeds beschikt over het meest recente Reference-bestand, krijg je de
melding: "Geen bijgewerkte onderdelen beschikbaar".
Klik
op het tweede icoontje bovenaan (tandwieltje) om het Ad-Aware-configuratie
venster te openen.
Bij
"Algemene instellingen" zorg je dat bij "Veiligheid" alle
drie de items aangevinkt zijn:
-
Logboekbestand automatisch opslaan.
-
Objecten autom. In Quarantaine voor verwijdering.
-
Veilige modus (altijd om bevestiging vragen).
In
het linkse gedeelte van dit scherm klik je op de knop "Geavanceerd".
Bij
"Detailniveau Logboekbestand" moeten alle drie de opties aangevinkt
zijn:
-
Aanvullende objectinformatie opnemen.
-
Verwaarloosbare objectinformatie opnemen.
-
Omgevingsinformatie opnemen.
In
het linkse gedeelte van dit scherm klik je op de knop "Aangepast".
Open
de sectie "Scan-engine" en zorg dat het volgende aangevinkt is:
-
Registerscan voor alle gebruikers, niet alleen huidige gebruiken.
Open
de sectie "Opruimings-engine" en zorg dat de volgende items
aangevinkt zijn:
-
Altijd proberen modules af te sluiten voor verwijdering.
-
Tijdens verwijdering zo nodig de Verkenner en Internet Explorer afsluiten.
-
Bestanden in gebruik verwijderen bij herstart.
Bij
"Logboekbestanden" zorg je dat de volgende items aangevinkt zijn:
-
Basisinstellingen van Ad-aware opnemen in de logboekbestanden.
-
Aanvullende instellingen van Ad-aware opnemen in logboekbestanden.
Mag
niet aangevinkt zijn:
-
Modulelijst opnemen in logboekbestand
Klik
op de knop "Doorgaan".
Klik
op de knop "Start".
Mag
niet aangevinkt zijn:
-
Zoeken naar verwaarloosbare risico's.
Selecteer
"Aangepaste scanopties gebruiken".
Klik
op "Aanpassen" om het venster met Scaninstellingen te openen. Zorg
dat volgende items aangevinkt zijn:
-
Scannen binnen archieven.
-
Actieve processen scannen.
-
Register scannen.
-
Register gedetailleerd scannen.
-
IE-favorieten scannen op uitgesloten URL's.
-
Mijn hostbestand scannen.
Klik
op "Stations en mappen voor scannen selecteren".
Duidt
nu de partities / mappen aan die je wil scannen. Zorg zeker dat de partitie met
je Windows (de actieve partitie meestal c:\) en deze met je programma-bestanden
gescand worden. (eigenlijk kan je best alle partities laten scannen door
Ad-Aware.)
Klik
op de knop "Doorgaan".
Klik
op de knop "Doorgaan" en vervolgens op de knop "Volgende"
om het scanproces te starten.
Wanneer
het scanproces beëindigd is, klik je op de knop "Volgende". Bij
"Scanresultaten" selecteer je de tab "Kritische Objecten".
In
principe is al wat je hier vindt slecht en kan je alles laten verwijderen door
Ad-aware.
Start
de computer opnieuw.
X TOP
Nadat
het programma is gedownload, kan je een download doen van het taalmodulepakket
op de volgende site:
http://users.telenet.be/marcvn/spyware/1414188.htm
Eerste Stap
In
deze site kies je voor Download
1. Download opslaan in een door jou gekozen map
2. Dan komt er op het
scherm – Het downloaden is voltooid
3. Klik op uitvoeren
4. Vervolgens krijg je een
scherm – Language pack
5. Klik – Next
6. Zet een vinkje aan – I accept the license
agreement
7. Klik - Next
(2maal)
8. Nu kom je in een scherm
waar alle beschikbare talen staan aangevinkt, aan jou de keuze welke je
allemaal wilt, ik heb alleen een vinkje
laten staan aan Dutch
9. Klik – Next (2)
10.
Klik – Finish
Tweede Stap
Nu
moet je het programma openen en zal je zien bovenaan rechts staan 5 iconen
1. Klik op de 2de van links (tandwiel)
2. Klik op Interface
3. Bovenaan naast Language klik je op het pijltje en
kiest voor Dutch
4. Als laatste klik op Proceed.
Onmiddellijk
zie je dan het programma Ad-Aware in het Nederlands.
X TOP
Heeft u er
geen behoefte aan om jaarlijks te betalen voor een abonnement op een
virusscanner maar wilt u toch een virusscanner dan kunt u kiezen voor een van
de gratis virusscanners. Denk er wel om: ze zijn niet voor niets gratis, de
mogelijkheid bestaat dat ze niet alle (nieuwe) virussen kunnen tegenhouden. Een
van de betere gratis virusscanners is AVG Free Edition welke gratis is
voor thuisgebruik. De installatie van AVG gaat vrijwel automatisch, u dient
alleen tijdens de installatie de per e-mail verkregen code in te vullen. U kunt
AVG gratis downloaden van hun website www.grisoft.com (AVG Free Edition).
U komt
vervolgens in het volgende scherm terecht (ook te bereiken via het rechts
klikken op het AVG icoontje rechtsonder, en vervolgens kiezen voor Launch
AVG Anti-Virus):
Op de taakbalk
rechtsonder vindt u het icoontje van AVG, zodat u deze makkelijk kunt bereiken.
U doet er verstandig aan om na (of tijdens) de installatie de Virus Database
gratis te updaten. Door op de knop Scan Computer te drukken, is het
vervolgens mogelijk om de gehele computer te controleren op virussen.
In het AVG Control
Center kunt u vervolgens nog de instellingen van de viruscontrole instellen.
Deze kunt u bereiken door met de rechter muisknop te klikken op het AVG
icoontje rechtsonder in de menubalk en te kiezen voor Launch AVG Control
Center. Bij de knop E-mail scannen kunt u kiezen voor de knop Configure
en aldaar eventueel het certificeren van E-mail uitschakelen en/of het
controleren van het uitgaande e-mail verkeer uit te schakelen.
Dit is een door particulieren gratis te gebruiken
anti-virusprogramma.
Dit programma is gratis te downloaden, u moet zich alleen even
registeren zodat u de toegangscode tot het programma per email kunt
ontvangen.Installeer het programma en het volgende scherm verschijnt.
Klik op de knop naast Scan Computer en uw pc wordt
gescand op virussen.
Als het programma klaar is met scannen krijgt u de
volgende melding te zien.
Althans, dat zou u moeten zien, indien een virus
ontdekt wordt kunt u het door avg laten verwijderen.
Nog even iets over de update functie van AGV Free.
Updates kunt u ophalen wanneer u maar wilt door in het beginscherm te kiezen
voor Check for Updates.
In het volgende scherm kunt u dan kiezen welke
update u wilt downloaden. Aanbevolen wordt om in ieder geval de priority update
te downloaden, gevolgd door de recommended update. Klik op de knop update na uw
keuze om de download te starten.
Nadat u de download gestart heeft laat het
programma door middel van het volgende scherm zien hoever de download gevorderd
is.
Als de update voltooid is laat het programma het
volgende scherm zien.
Vergeet niet om regelmatig te kijken of er updates
zijn
X TOP
.jpg)
Omdat er nogal surfers info vragen hoe ze de echte vuiligheid van
hun pc kunnen verwijderen, gaan we hier een goeie tip geven, wij gebruiken
Ccleaner of CrapCleaner genoemd.
Deze verwijdert alle vuiligheid van je harde schijf zoals
achtergebleven registersleutels na het deďnstalleren van een programma.
Wel moet men goed opletten om bij de opties de cookies niet aan te vinken, dit om
problemen te vermijden voor het inloggen op sommige sites,
X TOP
Crap Cleaner – Korte Handleiding
Crap Cleaner verwijdert alle overbodige
tijdelijke bestanden en repareert fouten in het register. Het werkt snel en
degelijk. Wij vinden het op dit moment eigenlijk het beste wat er op dit gebied
gratis te krijgen is.
Ook Nederlands is aanwezig. Installatie is
eenvoudig: klik alle opties aan, dat kan geen enkel kwaad. Daarna wijst alles
zichzelf.
Het werkt eigenlijk heel eenvoudig. Start het
programma en kies de tab Windows. Klik dan rechtsonder op CCleaner
opstarten. Alle overbodige tijdelijke bestanden en instellingen worden in
zeer korte tijd verwijderd.
Klik daarna op de tab Fouten en klik
rechtsonder op Scannen naar fouten.
Worden er fouten gevonden, klik dan de eerste fout aan zodat er een vinkje bij
komt te staan. Druk op Ctrl-A om ook alle andere fouten te laten
aanvinken. Klik op Herstel geselecteerde fouten en kies daarna eventueel
voor een back-up van de bestaande instellingen. Kies vervolgens voor Herstel
alle geselecteerde fouten.
Als u onder de tab Windows alles
aangevinkt hebt staan, wordt alles in de basisinstelling teruggezet. Alle zelf
gewijzigde instellingen en de geschiedenis van Internet Explorer en onlangs geopende
documenten worden gewist.
Wilt u niet alles kwijt, zet dan de
instellingen zoals hieronder getoond.
X TOP
CWShredder
Wat is CoolwebSearch?
CoolWebSearch (CWS) is
een verzameling van browserhijackers of startpaginakapers die je doorlinken
naar coolwebsearch.com of andere CWS-gerelateerde sites. CWS past je
startpagina en je zoekmachine in internet explorer aan.
Omdat CWS moeilijk
manueel te verwijderen is, heeft Merijn Bellekom een tool ontwikkeld, dat
speciaal gemaakt is om dit soort hijackers te verwijderen: CWShredder.
CWShredder vernietigt
alle sporen van CoolWebSearch (CWS) hijackers. Dit houdt in:
·
doorlinken naar CoolWebSearch gerelateerde
pagina's
·
doorlinken bij foutief ingetypte URL's
·
doorlinken bij een bezoek aan Google
·
trager wordende Internet Explorer wanneer
je typt
·
websites die je zelf niet in de trusted
zone van internet Explorer geplaatst hebt
·
popups in Google en Yahoo wanneer je zoekt
·
errors bij het opstarten die verwijzen naar
WIN.INI of IEDLL.EXE
·
in Internet Explorer opties is het
onmogelijk items te zien of te veranderen
·
geen toegang tot opties in Internet
Explorer
Momenteel
zijn er verschillende vormen/variaties van coolwebsearch gekend.
Meer
info over CWS vind je op deze site.
X TOP
CWShredder – korte handleiding
Download
CWShredder. (Download the stand-alone
version of CWShredder)
Run
het programma, klik op de Fix-knop.
CWShredder
gaat nu scannen op alle gekende varianten van CoolWebSearch.
Wanneer
het programma klaar is start je de computer opnieuw.
Wanneer het programma de foutmelding geeft A required
dll, MSVBVM60.DLL, was not found, download je eerst de Visual Basic 6 runtime libraries from Microsoft.
Installeer
deze en run nadien CWShredder opnieuw.
Als
het programma zonder enige melding meteen weer afsluit, heb je te maken hebben
met een agressieve variant van CoolWebSearch.
Download
eerst de CoolWWWSearch.SmartKiller
removal tool. (mirror CoolWWWSearch.SmartKiller)
Run
deze tool eerst, en run dan CWShredder opnieuw.
Een
database met alle CWS-varianten die door CWShredder gefixt worden vind je hier.
De
technieken die CWS gebruikt worden echter steeds ingewikkelder, en niet alle
varianten kunnen met CWShredder verwijderd worden.
Voorbeelden
hiervan zijn oa about:blank en HomeSearch.
About:blank
maakt gebruik van een verborgen installer. De verborgen installer, gebruikt een
registertweak waardoor dit bestand (een DLL) volkomen onzichtbaar is en blijft.
Dit DLL-bestand wordt in het geheugen geladen zodra de gebruiker inlogt. De DLL
blijft in het geheugen geladen tot de gebruiker weer uitlogt. Deze onzichtbare
DLL activeert op zijn beurt een ander DLL-bestandje (als bho) zodra internet
explorer opgestart wordt.
HomeSearch
maakt gebruik van een exe-file die uitgevoerd wordt als een service. Deze
service installeert op zijn beurt de Browser Helper Object.
Voor
verwijdering van CWS-varianten die niet gefixt kunnen worden door CWShredder,
verwijs ik je door naar deze sites:
X TOP
Installatie en gebruik:
Download
Spybot Search & Destroy
http://www.safer-networking.org/index.php?page=download
Installeer
het programma. Tijdens de installatie vraagt het programma je naar de
taalkeuze. Nederlands is ook beschikbaar.
Start
het programma op in Default mode. (Advanced mode is voor de meer gevorderde
gebruiker).
Sluit
alle andere openstaande vensters, behalve dat van Spybot.
Klik
op de knop Zoek naar updates. Zijn er updates beschikbaar, dan vink je deze
aan. Nadien klik je op de knop Download updates.
Om
te scannen op spyware, klik je vervolgens op de knop Controleer alles. In het
onderstaande venster wordt alle aanwezige spyware getoond.
Wanneer
de scan voltooid is, plaats je een vinkje naast alle rode items.
Klik
op de knop Repareer problemen en laat Spybot de rode items repareren.
Start
de computer opnieuw.
Herstel functie (backup):
Wanneer
je op de Herstelknop klikt, krijg je een overzicht van alle verwijderde spyware
op je pc. Heb je toevallig iets te veel verwijderd waardoor bijvoorbeeld een
bepaald programma niet meer functioneert, dan kan je dit terugplaatsen door dit
aan te vinken en te kiezen voor Herstel aangekruiste produkten.
Wil
je bepaalde zaken (de echte spyware) definitief verwijderen dan kan je dit doen
door dit aan te vinken en te kiezen voor Schoon aangekruiste herstelfunctie.
Immuniseer:
Met
de immuniseerfunctie kan je een aantal preventieve maatregelen nemen tegen
spyware.
Zorg
dat alle bekende, slechte producten geblokkeerd zijn. Om dit te doen klik je
bovenaan op de Immuniseerknop.
Zet
ook een vinkje bij Enable permanent blocking of bad adresses in Internet
Explorer. In het keuzemenu daaronder kies je voor Blokkeer alle slechte
pagina's stil. Zo krijg je geen vragen tussendoor en gebeurt de bescherming
volledig op de achtergrond.
Instellingen:
Start Spybot Search & Destroy in Advanced Mode.
In
het linker venster ga je naar Tools - IE tweaks. Plaats een
vinkje bij:
- Lock Hosts file read-only as protection against
Hijackers
TeaTimer:
TeaTimer is de real-time protectie van Spybot Search
& Destroy.
Wanneer
TeaTimer ingeschakeld is krijg je een melding wanneer bepaalde registersleutels
gewijzigd worden. Het gaat om registersleutels die vaak door malware gebruikt
worden. Je krijgt de keuze om deze registerwijzingen toe te staan of te
weigeren.
Tijdens
de installatie van Spybot Search & Destroy heb je de mogelijkheid om dit in
te schakelen. Je kan TeaTimer ook inschakelen door Spybot Search & Destroy
te starten in Geavanceerde modus. Ga naar Tools en dan Resident.
Plaats
een vinkje bij: Resident "TeaTimer" (Protection of over-all system
settings) active.
Notes:
Meer
info over Spybot Search & Destroy vind je op deze pagina.
Melding van DSO Exploit: Spybot - Search and
Destroy DSO Exploit Fix 1.3.1 TX
X TOP
HijackThis
is een programma dat geschreven is om startpagina-kapers en soortgelijke
programma's op te sporen. Het programma moet niet geďnstalleerd worden.
Het
verschil tussen HijackThis en Spybot Search & Destroy zit hem voornamelijk
in de techniek. Spybot detecteert allerlei soorten spyware. HijackThis richt
zich voornamelijk op spyware die zich in de browser verstopt. Verder gebruikt
HijackThis een scantechniek die mogelijk meer valse positieven oplevert, maar
daardoor ook objecten kan vinden die door andere spyware-scanners nog niet
gevonden worden.
Let
wel op dat je de nieuwste versie van HijackThis gebruikt, oudere versies kunnen
voor problemen zorgen op Windows 9.x systemen.
Gebruik:
Download
HijackThis. (mirror)
Unzip
het programma in een eigen map. Niet op je desktop en niet in je temp-map.
HijackThis maakt namelijk backups en misschien heb je deze in de toekomst nog
nodig.
Klik
op het bestand HijackThis.exe.
Voor
je gaat scannen ga je naar Config... en controleer je of er een vinkje staat
voor 'Make backups before fixing items'.
Klik
op de knop Back.
Klik
op de Scan knop. Na het scannen verandert de Scan knop in een Save log knop.
Klik
op Save log om het log op te slaan.
HijackThis
toont je na de scan een overzicht van mogelijke spyware op je systeem.
De
verkregen informatie wordt aan de hand van een letter- en cijfercombinatie
onderverdeeld in categorieën.
Het
verwijderen van deze objecten is een keuze die je zelf zal moeten maken.
Onderstaande
lijst geeft je een overzicht van de verschillende cijfer- en lettercombinaties.
R0 Internet explorer startpagina en
zoekpagina
R1 Internet explorer zoek functies en andere
karakteristieken
R2 Register Info
R3 URL Search Hook
F0 INI Files
F1 INI Files
N1 Netscape/Mozilla start/zoek pagina's url's
N2 Netscape/Mozilla start/zoek pagina's url's
N3 Netscape/Mozilla start/zoek pagina's url's
N4 Netscape/Mozilla start/zoek pagina's url's
O1 Hosts File
O2 Browser
Helper Objects (BHO)
O3 IE
Toolbars
O4 Automatisch Startende Programma's
O5 IE Control
Panel Item hidden in Control Panel
O6 Internet opties ingesteld door de
Administrator
O7 RegEdit disabled
O8 Extra opties in het rechtsklik menu van IE
O9 Extra knoppen in je toolbar, en extra
opties in het "Tools" / "Extra" menu
O10 Winsock Hijackers
O11 Extra items
in "Advanced Options" settings
O12 Internet
Explorer Plugins
O13 IE Default
Prefix hijack
O14 Standaard Instellingen van IE
O15 Websites in de "Trusted" zone van
IE
O16 ActiveX Objects
O17 LOP.com DomeinHijacks
O18 Extra Protocollen en Protocol Hijackers
O19 User Style sheet hijack
O20 AppInit_DLLs Register waarde: automatisch
startend -
Sleutels onder Notify
O21 ShellServiceObjectDelayLoad
O22 SharedTaskScheduler
O23 NT Services
Hulpmiddelen in Hijackthis.
Hijackthis
heeft ook een aantal handige hulpmiddeltjes aan boord.
Start
Hijackthis. Ga naar Config - Misc Tools.
Hier
vind je een aantal hulpmiddelen die je meer info kunnen bezorgen of die je
kunnen helpen bij het verwijderen van malware, of restanten ervan.
Startuplist: Toont een uitgebreide log van allerlei startupsleutels en
geeft wat meer info dan een Hijackthislog.
Processmanager: Geeft je de mogelijkheid om actieve processen te
beëindigen of om nieuwe processen te starten. De processmanger biedt je ook de
mogelijkheid om te controleren welke .dll bestanden geladen worden door een
proces. Je kan ook de eigenschappen opvragen van de actieve processen of de
geladen .dll bestanden.
Hosts file manager: Een kleine editor om wijzigingen in het hosts bestand aan
te brengen.
Delete a file on reboot: Dit geeft je de mogelijkheid om een bestand op de
computer te verwijderen. Het bestand wordt verwijderd na een reboot.
Delete an NT Service: Deze is enkel voor Windows NT4/2000/XP/2003 en
geeft je de mogelijkheid om een service uit het register te verwijderen.
Beeďndig
eerst de service met Hijackthis of via het Services configuratiescherm. Geef de
Servicenaam in zoals deze verschijnt tussen de haakjes achter de Weergavenaam
in de hijackthislog. Na een reboot is de service uit het register verwijderd.
ADS Spy: Sommige malware maakt gebruik van ADS: Alternate Data
Streams. Met ADS Spy kan je deze opsporen en verwijderen.
Uninstall Manager: Biedt de mogelijkheid om de items te verwijderen die
voorkomen in de softwarelijst via Configuratiescherm - Software -
Programma's wijzigen en verwijderen.
X TOP
R0 - R1 - R2 - R3: Register
sectie - Internet explorer start-/zoekpagina's url's.
Hierin
staan de Internet Explorer startpagina, de Internet Explorer zoekfuncties en de
Url Search Hooks.
Code Uitleg
R0 Internet explorer startpagina en zoekpagina
R1 Internet explorer zoek functies en andere
karakteristieken
R2 Een nieuw register waarde
R3R3 is voor URL Search Hook. Dit is
hoogstwaarschijnlijk spyware.
Hoe ziet dit eruit:
R0 - HKCU\Software\Microsoft\Internet
Explorer\Main,Start Page=http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet
explorer\Main,Default_Page_URL=http://www.google.com/
R3 - URLSearchHook: (no name) -
{707E6F76-9FFB-4920-A976-EA101271BC25} - C:\Program Files\TV Media\TvmBho.dll
Als
de url op het einde je zoekpagina of je startpagina is, dan is alles in orde.
Als
dit niet het geval is, dan selecteer je de sleutel en laat je HijackThis deze
repareren.
De
R3-items kan je best altijd repareren, tenzij het een programma is dat je kan
thuisbrengen.
URL
search Hook wordt gebruikt wanneer je een adres intikt in de adresbalk zonder
http:// of ftp://.
Wanneer
zo'n adres ingegeven wordt gaat de browser zelf het juiste protocol bepalen, en
als het hierin faalt gaat het de UrlSearchHooks gebruiken die in de R3 lijst
staan om het adres te zoeken dat je ingetikt hebt.
De
gebruikte Registersleutel is:
HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\URLSearchHooks
De
standaard CLSID hier is {CFBFAE00-17A6-11D0-99CB-00C04FD64497}.
Wanneer
in de log het woord "Obfuscated" verschijnt, betekent dit dat een
bepaald iets moeilijk waar te nemen of te begrijpen is.
Een
methode die spyware en Hijackers gebruiken om hun aanwezigheid kenbaar te
maken. Ze verbergen een entry door de waarden te converteren naar een vorm die
het gemakkelijk kan begrijpen, maar moeilijk maakt voor mensen om te
verwijderen of te herkennen.
Een
voorbeeld hiervan zijn de hexadecimale registeringangen.
HijackThis
verwijdert de registersleutels maar het verwijdert niet de bijbehorende
bestanden.
Gebruikte registersleutels:
HKLM\Software\Microsoft\Internet
Explorer\Main: Start Page
HKCU\Software\Microsoft\Internet Explorer\Main: Start
Page
HKLM\Software\Microsoft\Internet Explorer\Main:
Default_Page_URL
HKCU\Software\Microsoft\Internet Explorer\Main:
Default_Page_URL
HKLM\Software\Microsoft\Internet Explorer\Main: Search
Page
HKCU\Software\Microsoft\Internet Explorer\Main: Search
Page
HKCU\Software\Microsoft\Internet Explorer\SearchURL:
(Default)
HKCU\Software\Microsoft\Internet Explorer\Main: Window
Title
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
Settings: ProxyOverride
HKCU\Software\Microsoft\Internet Connection Wizard:
ShellNext
HKCU\Software\Microsoft\Internet Explorer\Main: Search
Bar
HKCU\Software\Microsoft\Internet
Explorer\URLSearchHooks
HKLM\Software\Microsoft\Internet
Explorer\Search,CustomizeSearch
HKCU\Software\Microsoft\Internet
Explorer\Search,CustomizeSearch
HKLM\Software\Microsoft\Internet
Explorer\Search,SearchAssistant
F0 - F1: Ini-files -
Automatisch geladen programma's.
De
F0 en de F1 combinaties omvatten de programma's die geladen worden van de
ini-bestanden win.ini en system.ini. Voor Windows 2000 en Windows XP zijn dit
de F2 en de F3 entries. Deze staan opgeslagen in het register.
Code Uitleg
F0 Een veranderde INI-file waarde
F1 Een nieuwe INI-file waarde
F2 Automatisch geladen programma's
F3 Automatisch geladen programma's
Hoe ziet dit eruit:
F0 - system.ini: Shell=Explorer.exe Openme.exe
F0
- system.ini: Shell=Explorer.exe C:\WINDOWS\System32\cmd32.exe
F1 - win.ini: run=hpfsched
F2 - REG:system.ini:
UserInit=C:\WINDOWS\System32\Userinit.exe
F0
komt overeen met de Shell= verwijzing in het bestand system.ini. De Shell=
verwijzing in system.ini wordt door Windows 9.x gebruikt om aan te duiden welk
programma moet optreden als de shell voor het besturingssysteem.
De
Shell is het programma dat oa je desktop laadt, windows beheer afhandelt en
zorgt voor de wisselwerking tussen de gebruiker en het systeem.
Elk
programma dat achter deze shell verwijzing staat, wordt geladen wanneer windows
opstart. Windows 95 en 98 gebruiken
Explorer.exe
als standaard shell.
De
F0-items zijn meestal slecht, en kan je best laten repareren door HijackThis.
F1
komt overeen met de Run= of Load= entry in het bestand win.ini. Alle
programma's die volgen na run= of load= zullen geladen worden wanneer Windows
opgestart wordt.
De
run= verwijzing werd vroeger veel gebruikt, de huidige programma's maken hier
geen gebruik meer van. Nu wordt deze nog behouden voor backwards compatibility
met oudere programma's. De load= verwijzing werd gebruikt om drivers voor de
hardware te laden.
De
F1-items moeten afzonderlijk bekeken worden. Het zijn meestal oude en veilige
programma's. Zoek wat meer info over de filenaam om te kijken of ze kwaadaardig
zijn.
De
F2 en de F3 entries komen overeen met de F0 en de F1 entries, maar worden
gebruikt in Windows 2000 en Windows XP en staan in het register. Windows 2000
en Windows XP maken gewoonlijk geen gebruik van de bestanden system.ini en
win.ini.
Een
F2-waarde die je vaak ziet is: F2 - REG:system.ini:
UserInit=C:\WINDOWS\System32\Userinit.exe
Deze
komt overeen met de volgende registersleutel:
HKLM\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\Userinit.
Deze
sleutel bepaalt welke programma's er opgestart moeten worden wanneer de
gebruiker inlogt. Het standaard programma voor deze sleutel is
C:\windows\system32\userinit.exe.
Userinit.exe
is een programma dat je profiel terugplaatst.
Er
kunnen ook andere programma's toegevoegd worden.
Deze
worden dan gescheiden door een komma.
Voorbeeldje:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
=C:\windows\system32\userinit.exe,c:\windows\programs.exe.
Op
deze manier worden beide programma's (userinit.exe en programs.exe) uitgevoerd
bij het opstarten. Een handig plaatsje voor malware om mee op starten.
Wanneer
bestanden zijn toegevoegd na de userinit.exe, verwijdert HijackThis de
registersleutel maar niet het bijbehorende bestand.
Sommige
bestanden achter de userinit.exe blijven verborgen in een HijackThislog. Je
ziet dan wel een F2-sleutel verschijnen in de log.
Gebruikte registersleutels:
HKLM\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\Userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon
HKEY_CURRENT_USER\Software\Microsoft\Windows
NT\CurrentVersion\Windows
"run"=""
"load"=""
Gebruikte bestanden:
C:\Windows\system.ini
C:\Windows\win.ini
Als
je de F-items fixt met HijackThis worden de bestanden niet verwijderd.
N1 - N2 - N3 - N4: Mozilla en
Netscape start-/zoekpagina url's
Dit
zijn de Mozilla en Netscape start- en zoekpagina's.
Code Uitleg
N1 Netscape 4 startpagina en zoekpagina
N2 Netscape 6 startpagina en zoekpagina
N3 Netscape 7 startpagina en zoekpagina
N4 Mozilla startpagina en zoekpagina
Hoe ziet dit eruit:
N1
- Netscape 4: user_pref("browser.startup.homepage",
"www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)
N2
- Netscape 6: user_pref("browser.startup.homepage",
"http://www.google.com"); (C:\Documents and Settings\User\Application
Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
N2
- Netscape 6: user_pref("browser.search.defaultengine",
"engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src");
(C:\Documents and Settings\User\Application
Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
Mozilla
en Netscape start- en zoekpagina's zijn meestal veilig. Ze worden zelden
gehijacked. Zie je toch een url die niet je start- of zoekpagina is, dan laat
je deze best repareren door HijackThis.
Gebruikte bestanden: prefs.js
O1: Hostfiles
Dit
zijn wijzigingen aan je hosts file. Je hosts file wordt gebruikt om van namen,
adressen te maken die je PC begrijpt. Meestal moet deze file leeg zijn (op een
aantal regel commentaar en een "localhost" entry na), tenzij je hier
zelf iets ingezet hebt.
Code Uitleg
O1 Een entry in de hosts file
Hoe ziet dit eruit:
O1
- Hosts: 216.177.73.139 auto.search.msn.com
O1
- Hosts: 216.177.73.139 search.netscape.com
O1
- Hosts: 216.177.73.139 ieautosearch
O1
- Hosts: 207.44.240.65 ads.x10.com
Deze
hijack verbindt het adres rechts opnieuw met het IP-adres links. Als het IP
niet toebehoort aan dit adres, wordt je telkens opnieuw doorverbonden naar een
verkeerde site, elke keer je dit adres gebruikt of ingeeft.
Heb
je deze entry er zelf ingezet, dan kan je ze laten staan. Anders laat je ze
repareren door HijackThis.
Hosts
kan je standaard vinden op de volgende plaats:
Windows 3.1 / 95 / 98 / ME C:\WINDOWS\HOSTS
Windows NT / 2000 C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS
Windows XP / 2003
C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
De
plaats waar het bestand Hosts zich bevind kan je wijzigen in het register. Voor
Windows NT, Windows 2000 en Windows XP is dit de volgende registersleutel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\:
DatabasePath
Bevindt
het bestand Hosts zich niet op de standaard locatie, en je hebt de plaats niet
zelf gewijzigd, dan is de kans groot dat je een infectie opgelopen hebt. Laat HijackThis
dit dan repareren.
Wanneer
je merkt dat het bestand Hosts zich bevindt op C:\Windows\Help\hosts, ben je
geďnfecteerd door CoolWebSearch.
Wil
je terug beschikken over het standaard Hosts-bestand, dan kan je de Hoster downloaden. Unzip het programma, run het,
klik op Restore Original Hosts, klik op OK en sluit het programma af.
O2 Browser Helper Objects
Browser
Helper Objects zijn programma's die zich in je internet browser nestelen, om
daar nuttige, en minder nuttige taken uit te voeren. Meestal worden BHO's
geďnstalleerd door andere programma's.
Code Uitleg
O2 Een Browser Helper Object
Hoe ziet dit eruit:
O2
- BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} -
C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O2 - BHO: (no name) -
{ABC6E7B5-9839-E1A7-3F27-B46EA0DAEBBF} - C:\WINDOWS\system32\kuydznif.dll
O2 - BHO: (no name) -
{1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL
(file missing)
O2 - BHO: MediaLoads Enhanced -
{85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS
ENHANCED\ME1.DLL
Wanneer
je een Browser Helper Object (BHO) niet onmiddellijk herkent, kan je de CLSID-list
gebruiken van Tony Klein. Hier kan je de class ID opzoeken om te zien of deze
kwaadaardig is of niet. Mirror.
Wordt
de BHO aangeduid met een X dan is het spyware. Een L betekent dat het een
veilig object is.
Wanneer
je de O2-items repareert met Hijackthis, tracht het programma het bijbehorende
bestand te verwijderen. Het kan zijn dat het bestand op dat moment nog in
gebruik is. Heeft Hijackthis het bestand niet kunnen verwijderen, dan start je
de computer in veilige modus en verwijder je het bestand.
Gebruikte registersleutel:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser
Helper Objects
03 - Internet Explorer Toolbars
De
toolbars zijn een onderdeel van je Internet Explorer.
Code Uitleg
O3 Een IE toolbar
Hoe ziet dit eruit:
O3
- Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -
C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O3 - Toolbar: Popup Eliminator -
{86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP
ELIMINATOR\PETOOLBAR401.DLL (file missing)
O3 - Toolbar: &SearchBar -
{0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program
Files\MyWay\myBar\2.bin\MYBAR.DLL
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a}
- C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL
Ook
van de toolbars kan je meer info bekomen, door de CLSID op te zoeken in de CLSID-list.
Als
de CLSID niet in de lijst staat, en de naam is een samenraapsel van allerlei
karakters en deze is gelokaliseerd in de map Application Data (zoals het
laatste voorbeeld), dan kan je stellen dat deze spyware is. Laat hem repareren
door HijackThis.
HijackThis
verwijdert niet het bijbehorende bestand.
Gebruikte registersleutel:
HKLM\SOFTWARE\Microsoft\Internet
Explorer\Toolbar
O4 - Automatisch startende
programma's
Dit
omvat de programma's die automatisch geladen worden wanneer Windows opstart.
Hiervoor wordt gebruik gemaakt van bepaalde registersleutels en van de map
opstarten.
Code Uitleg
O4 Automatisch startende
programma's
Hoe ziet dit eruit:
O4 - HKLM\..\Run: [ScanRegistry]
C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Program
Files\Common Files\Symantec Shared\ccApp.exe"
O4 - Startup: Microsoft Office.lnk = C:\Program
Files\Microsoft Office\Office\OSA9.EXE
Wanneer
in een O4-regel het woord Startup voorkomt, verwijst dit naar een programma dat
geladen wordt omdat het geplaatst is in de map Opstarten van de gebruiker. Deze
map bevindt zich in C:\Documents and Settings\Login\Menu Start\Programma's\.
Global
Startup verwijst naar een programma dat geladen wordt omdat het geplaatst is in
de map Opstarten van Alle Gebruikers. Deze map bevindt zich in C:\Documents and
Settings\All Users\Menu Start\Programma's.
Gebruikte registersleutels:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Gebruikte directories:
C:\Documents and Settings\All Users\Menu
Start\Programma's\Opstarten
C:\Documents and Settings\Login\Menu
Start\Programma's\Opstarten
Wanneer
je met HijackThis de O4-items laat repareren, zullen de bestanden die bij dit
item horen, niet verwijderd worden door HijackThis. Dit zul je nadien zelf
moeten doen, bij voorkeur na een reboot in veilige modus.
Voor
de Startup en de Gobal Startup items werkt het iets anders. HijackThis
verwijdert de snelkoppelingen in de map Opstarten naar het bestand, maar het
bestand zelf verwijdert HijackThis niet, tenzij het bestand zich effectief in
de map Opstarten bevindt.
Pac Man's Startup Program List geeft je meer
informatie over het programma dat opstart. Je kunt controleren of deze kwaad-
of goedaardig is. Let wel op: sommige opstart-items kunnen zowel goed als
slecht zijn. Goed interpreteren en kijken waar het zich bevindt….
Andere
sites waar je meer informatie kan krijgen over de opstart-items zijn:
Greatis Startup
Application Database
O5 - Internet Explorer opties
verborgen in configuratiescherm
Code Uitleg
O5 Internet Explorer opties verborgen in
configuratiescherm
Hoe ziet dit eruit:
O5 - control.ini: inetcpl.cpl=no
Als
deze sleutel er tussen staat wil dit zeggen dat 'Internet Opties' verborgen is
in het configuratiescherm. Als je deze instelling niet zelf gemaakt hebt, kan
je deze selecteren en dit laten repareren door HijackThis. Zie ook dit Microsoft Knowledge Base Article.
Gebruikte registersleutel:
HKEY_CURRENT_USER\Control
Panel\don't load
Gebruikt bestand:
C:\Windows\control.ini
O6 - Internet opties ingesteld
door de Administrator
Als
deze sleutel er tussen staat, betekent het dat jij geen wijzigingen aan kan
brengen in Internet Explorer - Extra - Internetopties. Spybot Search &
Destroy heeft de mogelijkheid om dit aan te zetten (Tools - IE Tweaks -
"'Lock homepage from changes").
Code Uitleg
O6 IE opties beperkt door de Administrator
Als
je Internet Explorer settings wilt kunnen blijven wijzigen, dan moet je dit
laten repareren door HijackThis.
Gebruikte registersleutels:
HKCU\Software\Policies\Microsoft\Internet
Explorer\Restrictions
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet
Explorer\Control Panel
07 - Regedit is uitgeschakeld
Als
deze sleutel er tussen staat, betekent het dat je het programma 'regedit' niet
op mag starten. Deze instelling wordt normaal gebruikt op een bedrijfs netwerk
om te voorkomen dat je dingen wijzigt die je niet mag wijzigen.
Code Uitleg
O7 Regedit is uitgeschakeld
Hoe
ziet dit eruit:
O7
- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, Disable
Regedit=1
Als
je deze melding op een prive PC krijgt, kan je Hijackthis dit met gemak laten
fixen door het te selecteren.
O8 - Extra items in
rechtsklikmenu van Internet Explorer
Dit
zijn programma's die beschikbaar zijn in Internet Explorer als je met de
rechter muisknop klikt op een gedeelte van een webpagina. Sommige toolbars
maken gebruik van deze optie.
Code Uitleg
O8 Extra opties in het rechtsklik menu van IE
Hoe ziet dit eruit:
O8 - Extra context menu item: &Google Search -
res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html
O8
- Extra context menu item: Add A Page Note - C:\Program
Files\CommonName\AddressBar\createnote.htm
O8
- Extra context menu item: Yahoo! Search - file:///C:\Program
Files\Yahoo!\Common/ycsrch.htm
O8
- Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm
O8
- Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm
Als
je het item in het rechtsklik-menu je niet bekend voorkomt, laat je dit
repareren door HijackThis.
HijackThis
verwijdert niet het bijbehorende bestand.
Gebruikte registersleutel:
HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\MenuExt
O9 - Extra knoppen in IE
-toolbar en extra items in Menu-Extra-Opties.
Dit
zijn programma's die beschikbaar zijn in Internet Explorer in de standaard
toolbar (degene met de knoppen als "Stop", "Refresh" en
"Forward" en "Back", of de programma's die in het
"Tools" of "Extra" menu staan.
Code Uitleg
O9 Extra knoppen in je toolbar, en extra
opties in het "Tools" / "Extra" menu
Hoe ziet dit eruit:
O9
- Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: AIM (HKLM)
Als
je de naam van knop of van het menu-item niet herkent, laat je dit best
repareren door HijackThis.
HijackThis
verwijdert niet het bijbehorende bestand.
Gebruikte registersleutels:
Tools: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet
Explorer\Extensions
Button: HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Extensions\CmdMapping
O10 - Winsock hijackers
Sommige
programma's gaan vestigen zich tussen je internetprogramma (browser) en je
internetverbinding (ADSL, kabel) om zo de bepaalde websites te veranderen of om
passwoorden te stelen.
Deze
sectie wordt ook wel LSP (Layered Service Provider) genoemd. LSP's zijn een
manier om een stukje software te ketenen aan je Winsock.
LSP's
worden aan elkaar geketend wanneer Winsock wordt gebruikt. De data wordt
getransporteerd door alle LSP's in de ketting. Als spyware of hijackers zich
hier genesteld hebben, dan kunnen ze alle verkeer waarnemen.
Code Uitleg
O10 Winsock Hijackers
Hoe ziet dit eruit:
O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider
'c:\progra~1\common~2\toolbar\cnmib.dll' missing
O10 - Unknown file in Winsock LSP: c:\program
files\newton knows\vmain.dll
Dit
soort trojans zijn een groot probleem. Je kunt het probleem best oplossen met
het programma LSP-Fix. Meer informatie vind je hier.
Het programma Download LSPFix.
Een
ander programma vind je hier.
011 -
Extra items in IE 'Advanced Options' window
Als
je naar Tools (Extra) -> Internet Options (Internet Opties) gaat, om
vervolgens het tabblad "Advanced" (Geavanceerd) aan te klikken, zie
je een groot aantal opties om Internet Explorer aan te passen. Sommige
programma's voegen zichzelf ook hier aan toe.
Code Uitleg
O11 Extra items
in IE 'Advanced Options' window
Hoe zie dit eruit:
O11
- Options group: [CommonName] CommonName
De
enige kaper die op dit moment bekend is, noemt "Commonname". Als je
dit programma liever niet gebruikt, kan je deze sleutels selecteren om het te
laten verwijderen.
Gebruikte registersleutel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet
Explorer\AdvancedOptions
012 - Internet Explorer Plugins
Dit
zijn plug-ins die extra functionaliteit toevoegen aan de browser zelf. Ze
worden geladen wanneer de browser opstart. Voorbeelden: Flash filmpjes kunnen
spelen, PDF documenten kunnen lezen vanuit je browser,….
Code Uitleg
O12 Internet Explorer plugins
Hoe ziet dit eruit:
O12
- Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12
- Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
De
meeste zaken die je hier vindt zijn niet schadelijk. Momenteel is Onflow één
van de weinige plugins die niet gewenst is.
Wanneer
je HijackThis deze items laat repareren, zal ook het bijbehorende bestand
verwijderd worden. Soms kan het bestand nog in gebruik zijn, ook al is de
browser niet meer actief. Verwijder dan het bestand bij voorkeur in veilige
modus.
Gebruikte registersleutel:
HKEY_LOCAL_MACHINE\software\microsoft\internet
explorer\plugins
O13 -
IE Default Prefix hijack
Normaal
gesproken kan Internet Explorer automatisch een URL aanvullen. Voorbeeld: in de
browser tik je in www.google.be en Internet Explorer maakt hier automatisch
http://www.google.be van. Standaard voegt Windows het voorvoegsel http:// toe.
Wil je dit wijzigen dan kan dit in het register.
Code Uitleg
O13 Internet Explorer Default Prefix hijack
Hoe ziet dit eruit:
O13 - DefaultPrefix:
http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: http://ehttp.cc/?
CoolWebSearch
hijackers wijzigen het standaard voorvoegsel in http://ehttp.cc/?.
Tik
je in de adresbalk van je browser in www.google.com, dan kom je terecht op de
website van CoolWebSearch: http://ehttp.cc/?www.google.com.
De
sleutels die hierin staan, zorgen er voor dat al dit soort links, via een
pagina gaan van deze Spyware leverancier.
Is
dit deze sleutel CWS-related, dan gebruik je best CWShredder om dit te fixen. Lukt
het daar niet mee dan gebruik je HijackThis.
Gebruikte registersleutels:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes
Je
kunt deze dus altijd laten repareren door HijackThis.
014 - Standaard instellingen
van Internet Explorer
Als
je in Internet Explorer er voor kiest om je Webinstellingen te herstellen
(Extra -> Internetopties -> tabblad Programma's -> Webinstellingen
herstellen), dan worden deze 'standaard' instellingen geladen vanuit het
bestand iereset.inf. Als een hijacker dit bestand aanpast, blijf je ook na het
herstellen van je webinstellingen geďnfecteerd, omdat steeds foutieve
informatie ingelezen wordt.
Code Uitleg
O14 Reset Web Settings
hijack
Hoe ziet dit eruit:
O14
- IERESET.INF: START_PAGE_URL=http://www.searchalot.com
O14
- IERESET.INF: START_PAGE_URL=http://192.168.85.85:3128/ken2000.html
O14
- IERESET.INF: SEARCH_PAGE_URL=
O14
- IERESET.INF: START_PAGE_URL=
Deze
sleutels kan je dus altijd laten repareren door HijackThis. (behalve als dit je
Internet Service Provider is)
Gebruikt bestand:
C:\Windows\inf\iereset.inf
C:\WINNT\inf\iereset.inf
015 - Ongewilde websites in de
"Trusted" zone van Internet Explorer
Websites
die in de "Trusted" zone van Internet Explorer staan, worden door
Internet Explorer als betrouwbaar gemarkeerd. Dit betekent dat ze meer mogen
dan normale websites.
Code Uitleg
O15 Websites in de trusted zone van IE
Internet
Explorer maakt gebruik van verschillende zones: Deze computer, Internet, Lokaal
intranet, Vertrouwde websites en Websites met beperkte toegang. Elke zone heeft
zijn beveiligingsinstellingen. Aan de hand van die instellingen wordt bepaald
welke scripts of toepassingen kunnen uitgevoerd worden wanneer je een site
bezoekt die zich in deze zone bevindt.
Elk
van de 5 zones wordt geassocieerd met een nummer.
Om
connectie te maken met het internet, kunnen verschillende protocollen gebruikt
worden. Elk protocol wordt gelinkt aan één van de hierboven genoemde zones, dmv
een geassocieerde nummer (Mapping). De standaardsettings zijn de volgende:
Protocol Zone Mapping Zone
http
3 Internet
https
3 Internet
ftp
3 Internet
@ivt
1 Lokaal Intranet
shell
0 Deze computer
Het
gevaar bestaat wanneer malware deze settings aanpast. Stel dat de standaardzone
voor http, het Internet (met waarde 3), wordt aangepast naar de waarde 2 die
geassocieerd is met Vertrouwde websites. Dan wordt elke keer dat je een website
bezoekt door gebruik te maken van het protocol http, deze website beschouwt als
een website uit de Vertrouwde zone.
Hoe ziet dit eruit:
O15
- Trusted Zone: http://free.aol.com
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.msn.com
O15 - ProtocolDefaults: 'http' protocol is in Trusted
Zone, should be Internet Zone
Als
je hier websites ziet staan die je niet vertrouwt, kan je deze selecteren zodat
ze verwijderd worden.
Meestal
AOL en Coolwebsearch voegen sites toe aan de Trusted zone.
Gebruikte registersleutels:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet
Settings\ZoneMap\Domains
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet
Settings\ZoneMap\Domains
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet
Settings\ZoneMap\Ranges
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet
Settings\ZoneMap\Ranges
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet
Settings\ZoneMap\ProtocolDefaults
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet
Settings\ZoneMap\ProtocolDefaults
016 - Active X Objects
Hier
staan de programma's (ActiveX componenten) die geinstalleerd zijn in je
browser. De ActiveX componenten worden opgeslagen in de map
C:\Windows\Downloaded Program Files.
Code Uitleg
O16 Active X object
Hoe ziet dit eruit:
O16
- DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16
- DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} -
http://imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.6.cab
O16 - DPF: {2ABE804B-4D3A-41BF-A172-304627874B45} -
http://akamai.downloadv3.com/binaries/DialHTML/EGDHTML_XP.cab
Als
je de naam van het object niet herkent, of de website vanwaar je het gedownload
hebt, dan laat je dit best repareren door HijackThis. Als de naam van de url
woorden bevat zoals dialer, casino, free_plugin, enz… dan moet je deze altijd
laten repareren.
SpywareBlaster
bevat een database van slechte ActiveX objecten.
HijackThis
verwijdert de bijhorende bestanden van je computer.
Gebruikt bestand:
C:\Windows\Downloaded Program Files
017 - LOP.com Domain Hijacks
Wanneer
je naar een webiste surft door gebruik te maken van een hostnaam ipv een
IP-adres, gebruikt de computer de DNS-server om de host te vertalen naar een
IP-adres. Sommige hijackers veranderen de namen van de DNS servers zodat hun
DNS servers gebruikt worden. Op deze manier kunnen ze je door verwijzen naar
elke site die ze maar willen.
Internetadressen
zonder punt in bestaan eigenlijk niet. Toch werkt het wel als je bv 'google' in
je de adresbalk van je browser typt. Internet Explorer probeert automatisch een
aantal veel voorkomende fouten te herstellen. Zo kan het van "google"
automatisch "www.google.com" maken.
Een
van de namen die Internet Explorer automatisch probeert, is om de instelling
van domeinnaam die je opgegeven hebt, automatisch achter het internetadres te
plakken. Als een Spyware programma dit ook aanpast, zullen dit soort links via
een website gaan van een Spyware maker.
Code Uitleg
O17 LOP.com Domain Hijacks
Hoe ziet dit eruit:
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain =
aoldsl.net
O17
- HKLM\System\CCS\Services\Tcpip\Parameters: Domain =
W21944.find-quick.com
O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
O17 -
HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}:
Domain = W21944.find-quick.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters:
SearchList = gla.ac.uk
O17
- HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
Als
de domeinnaam niet van ISP is of van je company netwerk, laat HijackThis deze
dan repareren. Idem voor SearchList-entries. Voor de NameServer (DNS-server)
entries google je op het IP om te zien of dit goed of slecht is.
O18 - Extra Protocollen en
Protocol Hijackers
De
standaard protocollen worden gewijzigd door een protocol dat de hijacker
gebruikt. Hierdoor krijgt de hijacker controle over bepaalde manieren hoe er
informatie uitgewisseld wordt met het internet.
Hijackthis
leest de protocols-sectie in het register voor de niet-standaard protocols.
Wanneer iets gevonden wordt meldt het de CLSID en de het pad naar het bestand.
Sleutels
die hier staan zijn niet altijd te vertrouwen, maar geeft op dit moment te veel
"valse positieven" om blind op te vertrouwen.
Code Uitleg
O18 Extra protocollen en protocol hijackers
Hoe ziet dit eruit:
O18
- Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} -
C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http -
{66993893-61B8-47DC-B10D-21E0C86DD9C8}
Slechts
een paar hijackers treden hier op. De gekende slechteriken zijn:
Andere
zaken die optreden zijn tot nu toe niet bevestigd als veilig of als hijacked
(CLSID is veranderd) door spyware. In het laatste geval laten repareren door
HijackThis. Hijackthis verwijdert niet de registersleutel en niet het
bijbehorende bestand.
Meer
info vind je hier.
Gebruikte registersleutels:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter
019 - User Style sheet hijack
Een
style sheet is een sjabloon dat bepaalt hoe een webpagina als geheel, en de
verschillende elementen die daarin opgenomen zijn, weergegeven moet worden.
De
standaard style sheet wordt door de hijacker overschreven.
Code Uitleg
O19 User style
sheet hijack
Hoe ziet dit eruit:
O19 - User style sheet: c:\WINDOWS\Java\my.css
Als
de browser trager wordt, of je krijgt regelmatig popups, dan kun je dit best
repareren.
Deze
zaken worden veroorzaakt door coolwebsearch en je kan deze dan ook best laten
repareren door CWShredder. Meer informatie over dit programma kan je hier vinden.
Download
CWShredder.
HijackThis
verwijdert niet het bijbehorende bestand.
Gebruikte registersleutel:
HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Styles\: User Stylesheets
020 - AppInit_DLLs Register
waarde: automatisch startend - Sleutels onder Notify
De
waarden die vermeld worden in de registersleutel AppInit_DLLs worden geladen
wanneer user32.dll geladen wordt. De meeste uitvoerbare windowsbestanden
(exe's) maken gebruik van user32.dll. Dit houdt in dat de dll bestanden die in
de registersleutel Appinit_DLLs staan ook geladen zullen worden. Het bestand
user32.dll wordt ook gebruikt door processen die automatisch door het systeem
gestart worden bij het inloggen. Dit betekent dat bestanden in AppInit_DLLs
zeer vroeg geladen worden.
De
bestanden die geladen worden via AppInit_DLL's blijven in het geheugen geladen
tot de gebruiker weer uitlogt.
Code Uitleg
O20 AppInit_DLLs Register waarde: automatisch
startend
O20 Sleutels onder Winlogon\Notify
Hoe ziet dit eruit:
O20 - AppInit_DLLs: msconfd.dll
O20 - Winlogon Notify: Setup -
C:\WINDOWS\system32\f40o0ed3eh0.dll
AppInit_DLLs: Een paar legitieme programma's maken er gebruik van
(Norton CleanSweep gebruikt APITRAP.DLL), maar meestal wordt dit gebruikt door
trojans of agressieve browserkapers (oa CoolWebSearch).
De
DLL bestanden die hier vermeld worden bevinden zich meestal in de system32-map.
De reden hiervoor is dat alleen de eerste 32 karakters van deze registersleutel
door het systeem gelezen worden en als deze bestanden in de system32-map staan
moet niet het volledige pad ingegeven worden.
De
bestanden zijn niet zichtbaar via Windows verkenner.
Wanneer
je dit item laat repareren door HijackThis, wordt het bijbehorende bestand niet
verwijderd.
Meer
info vind je hier.
Notify: Sinds versie 1.99.1 verschijnen in een HijackThislog onder de
combinatie O20, ook de extra sleutels onder Notify. HijackThis maakt hiervoor
gebruik van een Whitelist. Standaardsleutels onder Notify met bijbehorende .dll
zijn:
HijackThis
verwijdert de registersleutel, maar niet het bijbehorende bestand.
Een
infectie die gebruik maakt van deze methode is VX2.
Niet
alle sleutels die onder Notify verschijnen zijn kwaadaardig.
Gebruikte registersleutels:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Windows: AppInit_DLLs
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify
O21 -
ShellServiceObjectDelayLoad
Code Uitleg
O21 ShellServiceObjectDelayLoad
Hoe ziet dit eruit:
O21
- SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} -
C:\WINDOWS\System\auhook.dll
Dit
is een autorun methode die normaal door slechts een aantal Windows system
componenten gebruikt wordt. De items die staan in het register op
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
worden door Explorer geladen wanneer Windows start. Explorer.exe is de shell
van je computer. Deze wordt altijd geladen, en dus ook de bestanden die onder ShellServiceObjectDelayLoad
staan.
HijackThis
maakt gebruik van een white list met de meest voorkomende (gebruikelijke) SSODL
items. Als er dus een item verschijnt in de HijackThislog, is deze ongekend en
waarschijnlijk van kwaadaardige oorsprong. Toch moet je deze met de nodige
voorzichtigheid behandelen.
Behoren
momenteel tot de 'white list':
HijackThis
verwijdert niet het bijbehorende bestand.
Meer
info vind je hier.
Gebruikte registersleutel:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
O22 -
SharedTaskScheduler
Code Uitleg
O22 SharedTaskScheduler
Hoe ziet dit eruit:
O22 - SharedTaskScheduler: (no name) -
{3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll
Een
autorun functie die enkel geldt voor Windows 2000 en Windows XP. Deze wordt
heel zelden gebruikt. Voorlopig is de enige die hiervan gebruik maakt
CWS.Smartfinder. (Deze kan verwijderd worden met CWShredder.)
Toch
met de nodige voorzichtigheid behandelen.
HijackThis
verwijdert de SharedTaskScheduler waarde die met deze entry verbonden is, maar
niet de bijbehorende CLSID en het bijbehorende bestand.
Meer
info vind je hier.
Gebruikte registersleutel:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
O23 -
NT Services
Code Uitleg
O23 Services
Hoe ziet dit eruit:
O23 - Service: NOD32 Kernel Service - Unknown -
C:\Program Files\Eset\nod32krn.exe
HijackThis
toont je een overzicht van alle actieve niet-microsoft-services op je computer.
Getoond
wordt de weergave-naam en het pad naar het uitvoerbaar bestand. Tussen haakjes
verschijnt de servicenaam zoals deze in het register voorkomt.
Meer
info vind je hier en hier.
Gebruikte registersleutels:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
X TOP
Het
Internet zit vol gevaren. Op veel websites worden bezoekers misleid of worden veiligheidslekken in uw
browser misbruikt om uw computer te voorzien van spyware.
Bescherm uw
privacy en herstel de prestaties van uw computer met
Hitman Pro
2.
Nederlands
(2,96 MB)
Vereist Windows XP of Windows 2000
Verwijder
eerst de oude versie van Hitman Pro met het onderdeel Software
in het Configuratiescherm.
De meeste
mensen kennen de gevaren van computervirussen en hebben hiervoor
antivirussoftware op de computer.
Echter, de
meeste antivirussoftware herkent en beschermt uw computer helemaal niet tegen
spyware.
Maar ook al
heeft u naast antivirussoftware ook een antispyware programma op uw computer,
vaak beschermd of bevrijd het uw computer niet van alle spyware.
Eén
antispyware product herkent namelijk lang niet alle spyware die u op Internet
kunt tegenkomen. U hebt meer dan één antispyware programma nodig om uw computer
te kunnen bevrijden.
Hitman Pro
combineert meerdere bekende (gratis) antispywaresoftware onder één
bedienoppervlak om uw privacy en de prestaties van uw computer te herstellen.
Unieke eigenschappen van Hitman Pro:
De volgende externe
antispywaresoftware worden momenteel ondersteunt:
Antispywaresoftware Ondersteunde licentie
Ontwikkelaar
Ad-Aware SE (6.2) Personal
(Freeware), Plus en Professional
Lavasoft
Spy Sweeper 3 (1) Proefversie
en abbonementsversie
Webroot
Spybot Search & Destroy 1.3
Freeware
PepiMK
CWShredder 2.13 Freeware InterMute
SpywareBlaster 3.2 Freeware Javacool Software
Spyware Block List Freeware SpywareGuide
Sysclean Package Freeware
Trend Micro
SuperDAT VirusScan PrimeSupport
overeenkomst vereist
McAfee
1) Indien
er nog geen versie van Spy Sweeper op de computer aanwezig is zal Hitman Pro
een 30 dagen proefversie van Spy Sweeper downloaden en installeren om uw
computer in eerste instantie te bevrijden van spyware. Na 30 dagen kan Spy
Sweeper niet meer worden gebruikt en kunt u het product eventueel kopen. Hitman
Pro blijft gewoon functioneren met de overige onderdelen die niet verlopen.
De proefversie is opgenomen om u te helpen, niet om Spy Sweeper te
verkopen!
Nieuw in Hitman
Pro 2
·
Nieuw
o
Hitman Pro SurfRight
beschermingssysteem. Ontneemt Internet-toepassingen beheerdersrechten zodat
virussen en spyware zich niet kunnen nestelen in systeemmappen of belangrijke
systeeminstellingen kunnen wijzigen. Werkt alleen op Windows XP.
o
Hitman Pro Quick Removal. Verwijderd o.a. My Search Bar,
EnterOne en IstBar spyware zonder Windows te hoeven starten in Veilige modus.
o
Trend Micro Sysclean om uw computer te scannen op virussen
(en enkele spyware). Deze virusscanner herkent 89.000+ virussen.
o
McAfee VirusScan op basis van SuperDAT. Deze optie is
handig voor veel bedrijven met een McAfee PrimeSupport overeenkomst. Deze
virusscanner herkent 116.000+ virussen
o
Schijfopruiming over alle gebruikersaccounts om inspecties
te versnellen. Andere schijfopruimingsprogramma's ruimen alleen de mappen met
tijdelijke bestanden van de huidige gebruiker op.
o
Gebruiker kan nu een doelmap specificeren waarin externe
onderdelen mogen worden geďnstalleerd.
·
Verbeterd
o
Grafisch bedienoppervlak, waarmee starten en configureren
van Hitman Pro nog praktischer is geworden.
o
Rapportage veel uitgebreider met o.a. informatie over elk
onderdeel. Het rapport is tevens volledig Nederlands.
o
Uitgebreide ondersteuning voor proxyservers. De instellingen
van Internet Explorer worden initieel gevolgd (handig voor laptopgebruikers) en
er is ondersteuning voor authenticatie op proxyservers.
o
Hitman Pro maakt niet langer gebruik van een extern
programma (Wget.exe) om de updates te downloaden. Alleen indien authenticatie
op proxyserver is vereist wordt het externe programma nog toegepast.
o
Nieuwe antispyware-updates worden nu altijd gedownload.
Voorheen moesten deze eerst door de Hitman Pro ontwikkelaar worden vrijgegeven.
o
Spy Sweeper spywaredefinities worden nu door Spy Sweeper
gedownload (aangestuurd door Hitman Pro)
o
Gebruiker krijgt een waarschuwing als aangestuurde
antispyware programma focus verliest
·
Gewijzigd
o
De optie Uitgebreide inspectie staat nu standaard uit.
o
Standaard geluidsbestand van Ad-Aware wordt tijdelijk
uitgeschakeld om herrie in de nacht de voorkomen.
o
De externe antispyware programma's zijn niet langer
opgenomen in het Hitman Pro installatieprogramma; vanwege licentieberperkingen.
De benodigde installatiebestanden (packages) worden door Hitman Pro van de
officiele websites gedownload, zoals de gebruiker dit normaliter zou moeten
doen. Voor de gebruiker heeft dit geen nadelig effect.
o
Gebruiker van Hitman Pro dient zelf
gebruikersovereenkomsten van externe antispyware programma's zoals Ad-Aware,
Spybot S&D en SpywareBlaster te accepteren (vanwege licentie). Dit wordt
per extern programma éénmalig aan de gebruiker gevraagd, aan het begin van de
eerste inspectie.
·
Verwijderd
o
Uitschakelen van HTML applicaties (HTAs). Heeft te weinig
waarde en zorgt voor teveel problemen bij gebruikers.
o
McAfee Stinger. Herkende slechts 50 virussen.
·
Ontbreekt
o
Mogelijkheid om Hitman Pro te automatiseren door het in
een taakplanner op te nemen (wordt nog toegevoegd).
o
Resetten van het Internet-protocol.
Nieuw
in versie 2.0.4 (27 februari 2005)
·
Hitman Pro Quick Removal heet
vanaf nu Hitman Pro AntiSpyware.
·
Hitman Pro AntiSpyware bijgewerkt. Nieuwe functie
toegevoegd die binnen enkele seconden verdachte toepassingen en processen
uitschakelt en verwijderd. Deze nieuwe "RatKiller"-functie kan
momenteel:
o
Verdachte toepassingen op ongebruikelijke locaties
opsporen en uitschakelen (inclusief bijbehorend Browser Helper Object)
o
Registersleutels met verwijzing naar ontbrekend bestand
opsporen en verwijderen
o
Bepalen of de Startpagina van Internet Explorer verdacht
is en deze herstellen naar een neutrale pagina
Hitman Pro AntiSpyware kan met de nieuwe
"RatKiller"-functie als enige antispywaresoftware o.a. de
"sponsor" (spyware) in Messenger Plus! verwijderen, zelfs zonder dat
de computer eerst in Veilige modus hoeft worden opgestart. Klik hier
voor een demonstratierapport na Hitman Pro AntiSpyware.
·
Bij het updaten van de Trend Micro Virus Pattern File
wordt nu altijd getracht de allernieuwste pattern te downloaden door eerst de
website van Trend Micro te analyseren.
·
Als een extern onderdeel (zoals Ad-Aware) het proces
explorer.exe sluit (bij verwijderen van spyware) en het proces opnieuw start
verschijnt altijd de map Mijn documenten in beeld waardoor
Ad-Aware niet langer de focus heeft. Dit is aangepast (het venster Mijn
documenten wordt op dat specifieke moment door Hitman Pro weer
gesloten).
·
Verschillende kleine optimalisaties en bugfixes in
SurfRight en de SurfRight Helper.
Nieuw in versie 2.0.7 (7 maart 2005)
·
Hitman Pro AntiSpyware aangepast. Het proces explorer.exe
wordt nu alleen nog gesloten en opnieuw gestart als een verdachte toepassing
niet eenvoudig kan worden verwijderd. Dit voorkomt het tijdelijk verliezen van
pictogrammen in de systray.
·
Als Hitman Pro gestart wordt door een andere gebruiker op
dezelfde computer waren er geen standaard instellingen voorhanden. De
aanbevolen instellingen worden nu automatisch gekozen.
·
Hitman Pro AntiSpyware detecteert nu ook verdachte
startpagina's in Mozilla Firefox.
·
Vanaf nu ruimt de Schijfopruiming over alle
gebruikersaccounts ook afbeeldingen (jpg, gif en png) op die in de map
met tijdelijke internetbestanden zijn ondergebracht.
·
Het bijwerken van het definitiebestand in Spy Sweeper liep
bij enkele gebruikers spaak. Na een korte code evaluatie van dit onderdeel heb
ik een kleine aanpassing gemaakt. Ik hoop dat het bij deze gebruikers nu ook
goed werkt (kon het probleem zelf niet reproduceren).
·
De "RatKiller"-functie in Hitman Pro AntiSpyware
wederom aangepast zodat nog voorzichtiger wordt omgesprongen met verdachte
toepassingen op ongebruikelijke locaties.
·
Vanaf Hitman Pro 2.0.6 wordt bij het opstarten van het
programma eenmalige gevraagd het SurfRight beveiligingssysteem in te schakelen.
Per abuis verscheen deze vraag ook bij Windows 2000 gebruikers. Dit is in
versie 2.0.7 aangepast.
Nieuw in versie 2.0.9 (12 maart 2005)
·
Ondersteuning voor SpywareBlaster 3.3 toegevoegd. De oude
SpywareBlaster wordt automatisch bijgewerkt naar deze nieuwe versie.
·
Probleem met Spy Sweeper opgelost. Op computers met een
dpi-instelling (beeldscherm) hoger dan 96 liep het proces niet verder dan het
bijwerken van de definities.
·
Ondersteuning voor Norman Ad-Aware SE Plus toegevoegd.
·
Waarschuwing voor gebruikers met Ad-Aware 6 opgenomen. Die
versie wordt sinds november 2004 niet meer door de ontwikkelaar van Ad-Aware
ondersteund en kent dus geen recente spyware. Hitman Pro vereist Ad-Aware SE
(de opvolger van Ad-Aware 6).
·
De instellingen van Ad-Aware worden niet meer onnodig
opnieuw ingesteld.
·
Bug gefixed in de rapportage van Ad-Aware (programmanaam
en scantijd werd niet opgenomen in rapport indien er met Ad-Aware SE Plus of
Professional was gewerkt)
·
CWShredder venster wordt automatisch actief gemaakt na 30
seconden (en elke 10 seconden daarna). Dit voorkomt dat het verwerkingsproces
stil komt te liggen als het CWShredder venster niet meer actief is (vanwege een
ander venster dat focus heeft genomen).
·
Bug gefixed in Hitman Pro
AntiSpyware. Hitman Pro kon crashen met error "FileClose ( $TempFile
)". Dit is opgelost.
·
Indien er spywaresporen in het geheugen of in het register
worden aangetroffen zal het advies worden gegeven om de computer eventueel
opnieuw op te starten als de internetverbinding niet direct functioneert.
X TOP
Dit geweldige programma doorzoekt je registry op
overbodige vermeldingen en verwijdert ze.
(Het maakt ook een back-up voordat je dit doet) Je
kunt het hier downloaden.
Bij het starten van Regcleaner kom je in volgend
scherm en dan doe je
"Tools" >
"Registry Cleanup" > "Do them All"
Nu begint Regcleaner te zoeken naar registry keys
die geen nut meer hebben
Deze scan duurt niet lang, dus even geduld, totdat
je volgend scherm ziet :
Ik doe hier zelf altijd "Select" >
"All" (check even of al de selectievakjes vóór de nutteloze registry
keys zijn aangevinkt) en klik daarna rechtsonderaan op "Remove
Selected"
Voila, uw register is weer proper gemaakt.
X TOP
Download Spy Sweeper hier
Volg de installatieprocedure als volgt :
Klik op install
Klik op Close
Klik op Yes
X TOP
begint te scannen en toont in de onderste balk
welke spyware gedetecteerd word.
Wanneer het programma gedaan heeft met scannen klik
dan
op next
Select all en next
Alle spyware wordt nu in Quarantaine gezet
Ga vervolgens naar Quarantined en selecteer alles en
delete
selected
Nu is uw pc weer spyware -vrij
X TOP
inleiding en installatie
ZoneAlarm van ZoneLabs is een populaire persoonlijke
firewall.
Het programma bestaat in een
gratis en een betalende versie.
De betalende versie (ZoneAlarm
Pro) biedt uiteraard meer functionaliteit dan de gratis versie, en men zal
bij de installatie van de gratis versie dan ook zijn best doen om u te
overtuigen om toch maar voor de betalende versie te gaan, maar wij beperken ons
hier tot de bespreking van de gratis versie, die ruimschoots volstaat voor
dagelijks gebruik.
ZoneAlarm is een van de populairste Persoonlijke Firewalls. Dubbelklik op .exe file om het programma te installeren. Na installatie nestelt het programma zich in de 'Opstart'-groep, zodat het programma steeds op de achtergrond zijn werk doet wanneer je Windows opstart. Het programma leert gaandeweg. Iedere keer een programma verbinding met Internet probeert te maken, vraagt ZoneAlarm je of het programma dat mag doen, en of hij dat in de toekomst mag blijven doen.
ZoneAlarm kan geinstalleerd
worden op alle versies van Windows (95/98/Me/NT/2000/XP).
Na installatie komt het in de
'Opstarten'-groep van het Start menu te staan, zodat het programma opstart met
de computer, en op de achtergrond zijn werk kan doen.
X TOP
De installatie zit er op, een
volgende stap is de configuratie van
de firewall.
Eens ZoneAlarm
geďnstalleerd is, is de firewall functioneel. Het is echter goed om nog eens de
opties van het programma te doorlopen en te zorgen dat u begrijpt hoe u
firewall ingesteld staat.
Als u het ZoneAlarm-venster opent, heeft u links de keuze
tussen vijf categorieën aan opties.
Nog
een stapje verder dat het Internet Lock, gaat de STOP-knop. Deze knop kan
ingedrukt worden in geval van nood, als de internet-verbinding direct moet
afgesloten worden, en blokkeert direct alle verkeer. Het
indrukken van deze knop komt overeen met het uittrekken van de
netwerkkabel. Er zijn geen programma's die langs de STOP-knop kunnen
passeren.
Met deze reeks
instellingen is uw firewall geconfigureerd. Vergeet niet regelmatig het
programma up te daten, om bestand te blijven tegen de nieuwste bedreigingen.
X TOP
De ingebouwde firewall van Windows XP
In Windows XP zit reeds een
firewall ingebouwd, die u eventueel kunt gebruiken als ZoneAlarm voor u geen
oplossing biedt. Deze firewall is lang niet zo uitgebreid en krachtig als
ZoneAlarm, maar biedt wel enkele mogelijkheden tot het blokkeren van vijandig
verkeer.
X TOP
