/ Forside/ Teknologi / Internet / Sikkerhed / Tip
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
at tyde en hjt log
fruddy har modtaget 0 point for dette tip
Fra : fruddy
Vist : 407 gange

Dato : 17-05-05 19:13

Oversigt
Hver enkelt linie i HijackThis logfilen starter med et nummer.

Klik på et nummer for at få nærmere information:
R0, R1, R2, R3 - Internet Explorer Start/Search pages URLs
F0, F1 - Autoloading programs
N1, N2, N3, N4 - Netscape/Mozilla Start/Search pages URLs
O1 - Hosts file redirection
O2 - Browser Helper Objects
O3 - Internet Explorer toolbars
O4 - Autoloading programs from Registry
O5 - IE Options icon not visible in Control Panel
O6 - IE Options access restricted by Administrator
O7 - Regedit access restricted by Administrator
O8 - Extra items in IE right-click menu
O9 - Extra buttons on main IE button toolbar, or extra items in IE 'Tools' menu
O10 - Winsock hijacker
O11 - Extra group in IE 'Advanced Options' window
O12 - IE plugins
O13 - IE DefaultPrefix hijack
O14 - 'Reset Web Settings' hijack
O15 - Unwanted site in Trusted Zone
O16 - ActiveX Objects (aka Downloaded Program Files)
O17 - Lop.com domain hijackers
O18 - Extra protocols and protocol hijackers
O19 - User style sheet hijack

--------------------------------------------------------------------------------

R0, R1, R2, R3 - IE Start & Searh pages URLs
Sådan kan det se ud:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/
R2 - (denne type bruges ikke af HijackThis på nuværende tidspunkt)
R3 - Default URLSearchHook is missing

Hvad du kan gøre:
Hvis du genkender URL'en i slutningen af linierne, er det OK.
Hvis ikke skal du krydse dem af og lade HijackThis ordne dem.
For R3 punkterne, skal de altid ordnes medmindre der nævnes et program du kender.


--------------------------------------------------------------------------------

F0, F1 - Autoloading programs from INI files
Sådan kan det se ud:

F0 - system.ini: Shell=Explorer.exe Openme.exe
F1 - win.ini: run=hpfsched

Hvad du kan gøre:
F0 punkterne er altid dårlige, så dem fjerner du.
F1 punkterne er normalt gamle programmer som er sikre, så du bør finde mere information om filnavnene, for at vurdere om de er gode eller dårlige.
Pacman's Startup List kan være en hjælp til at identificere F1 punkterne.


--------------------------------------------------------------------------------

N1, N2, N3, N4 - Netscape/Mozilla Start & Search page
Sådan kan det se ud:

N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)

N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)

N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)

Hvad du kan gøre:
Normalt er Netscape og Mozilla hjemmesiderne sikre. De bliver sjældent hijacked.
Kun Lop.com er kendt for at gøre dette.
Skulle du se en URL som du ikke genkender, så kryds den af og lad HijackThis ordne det for dig.


--------------------------------------------------------------------------------

O1 - Hostsfile redirections
Sådan kan det se ud:

O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
O1 - Hosts file is located at C:\Windows\Help\hosts


Hvad du kan gøre:
Denne type hijack vil omdirigere adressen til højre til IP adressen til venstre.
Hvis IP adressen ikke tilhører adressen til højre, bliver du omdirigeret til en forkert hjemmeside hver gang du skriver pågældende adresse i adresselinien.
Du kan altid lade HijackThis ordne disse, medmindre du bevidst har puttet disse linier i din Hosts-fil. Det sidste punkt findes sommetider på windows 2000/Xp computere hvis de er plaget af en Coolwebsearch infektion. Du bør altid ordne disse eller lade CWShredder reparere dem automatisk.


--------------------------------------------------------------------------------

O2 - Browser Helper Objects
Sådan kan det se ud:

O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL

O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)

O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL

Hvad du kan gøre:
Hvis du ikke direkte genkender et Browser Helper Object's navn, så kan du bruge
TonyK's BHO & Toolbar List til at finde det ved hjælp af class ID'et (CLSID, er nummeret mellem de krøllede parenteser).
Så kan du se om det er spyware eller om det ikke er.
I BHO listen betyder X, 'spyware' og L betyder at punktet er sikkert.


--------------------------------------------------------------------------------

O3 - IE toolbars
Sådan kan det se ud:

O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL

O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)

O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL

Hvad du kan gøre:
Hvis du ikke direkte genkender en toolbar's/værktøjslinies navn, så kan du bruge TonyK's BHO & Toolbar List til at finde det ved hjælp af class ID'et (CLSID, er nummeret mellem de krøllede parenteser).
Så kan du se om det er spyware eller om det ikke er.
I BHO listen betyder X, 'spyware' og L betyder at punktet er sikkert.
Hvis det ikke er på listen og navnet er en tilfældig streng af karakterer, og filen findes i 'APPLICATION DATA' mappen (som i det sidste eksempel herover), er det sandsynligvis Lop.com, og du bør lade HijackThis ordne det.


--------------------------------------------------------------------------------

O4 - Autoloading programs from Registry or Startup group
Sådan kan det se ud:

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: winlogon.exe

Hvad du kan gøre:
Brug PacMan's Startup List og find punktet for at se om det er ok eller ej.
Hvis punktet viser et program som sidder i Startup gruppen, (som nederste punkt herover), kan HijackThis ikke ordne det, hvis programmet er aktiv i hukommelsen.
Brug Windows Task Manager/Windows Jobliste (TASKMGR.EXE) til at stoppe programmet inden HijackThis skal ordne det.


--------------------------------------------------------------------------------

O5 - IE Options not visible in Control Panel
Sådan kan det se ud:

O5 - control.ini: inetcpl.cpl=no

Hvad du kan gøre:
Medmindre du eller din systemadministrator bevidst har gemt ikonet fra Kontrolpanel, så lad HijackThis ordne punktet.


--------------------------------------------------------------------------------

O6 - IE Options access restricted by Administrator
Sådan kan det se ud:

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

Hvad du kan gøre:
Medmindre du har programmet Spybot S&D's 'Lock homepage from changes''funktion aktiveret, eller din systemadministrator har gjort det, så lad HijackThis ændre dette punkt.


--------------------------------------------------------------------------------

O7 - Regedit access restricted by Administrator
Sådan kan det se ud:

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Hvad du kan gøre:
Lad altid HijackThis ændre dette punkt, hvis ikke systemadministratoren har etableret denne restriktion.


--------------------------------------------------------------------------------

O8 - Extra items in IE right-click menu
Sådan kan det se ud:

O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html
O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm
O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm

Hvad du kan gøre: Hvis der er nogle punkter i IE's højrekliks-menu som du ikke genkender, så lad HijackThis ordne dem.


--------------------------------------------------------------------------------

O9 - Extra buttons on main IE toolbar, or extra items in IE 'Tools' menu
Sådan kan det se ud:

O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: AIM (HKLM)

Hvad du kan gøre:
Hvis der er punkter i menuerne eller knapper som du ikke genkender, så lad HijackThis ordne det.


--------------------------------------------------------------------------------

O10 - Winsock hijackers
Sådan kan det se ud:

O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing
O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll

Hvad du kan gøre:
Det er bedst at ordne disse med LSPFix fra Cexx.org, eller Spybot S&D fra Kolla.de. Bemærk at 'ukendte' filer i LSP stacken ikke vil blive ordnet af HijackThis, af sikkerheds mæssig grund.


--------------------------------------------------------------------------------

O11 - Extra group in IE 'Advanced Options' window
Sådan kan det se ud:

O11 - Options group: [CommonName] CommonName

Hvad du kan gøre:
Den eneste hijacker som på nuværende tidspunkt tilføjer sin egen indstillingsgruppe, til IE's Vidnue med Avancerede Indstillinger. Du kan altid lade HijackThis fjerne denne.


--------------------------------------------------------------------------------

O12 - IE plugins
Sådan kan det se ud:

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

Hvad du kan gøre:
For det meste er disse sikre. Kun OnFlow tilføjer en plugin som normalt ikke ønskes (.ofb).


--------------------------------------------------------------------------------

O13 - IE DefaultPrefix hijack
Sådan kan det se ud:

O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: http://ehttp.cc/?

Hvad du kan gøre:
Disse er altid dårlige. Lad HijackThis fjerne dem.


--------------------------------------------------------------------------------

O14 - 'Reset Web Settings' hijack
Sådan kan det se ud:

O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com

Hvad du kan gøre:
Hvis URL'en ikke er eksempelvis til Microsft eller måske din Internet Udbyder, så lad HijackThis ændre den.


--------------------------------------------------------------------------------

O15 - Unwanted sites in Trusted Zone
Sådan kan det se ud:

O15 - Trusted Zone: http://free.aol.com
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.msn.com

Hvad du kan gøre:
OFte tilføjer eksempelvis AOL og Coolwebsearch i al ubemærkethed sider til Trusted Zone/Sikre websteder. Hvis du ikke selv har tilføjet domæner til Trusted Zone, så bed HijackThis fjerne dem.


--------------------------------------------------------------------------------

O16 - ActiveX Objects (aka Downloaded Program Files)
What it looks like:

O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Hvad du kan gøre:
Hvis du ikke genkender navnet på objektet, eller den adresse du har downloaded det fra, så lad HijackThis ordne det. Hvis navnet eller adressen indeholder or som: 'dialer', 'casino', 'free_plugin' osv, skal du især ordne det.
Javacool's SpywareBlaster har en stor database med skadelige ActiveX objekter, som kan bruges til at finde CLSID'er (class ID'er). (Højreklik i listen for at bruge Find funktionen).


--------------------------------------------------------------------------------

O17 - Lop.com domain hijacks
Sådan kan det se ud:

O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com

O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gla.ac.uk

O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175

Hvad du kan gøre:
Hvis domænet ikke er fra din udbyder eller firmanetværk, så lad HijackThis ændre det. Det samme gælder for 'Searchlist' punkter.
Angående 'NameServer' punkter, brug Google til at se hvilke sider der skjuler sig bag IP adresserne.


--------------------------------------------------------------------------------

O18 - Extra protocols and protocol hijackers
Sådan kan det se ud:

O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Hvad du kan gøre:
Kun få hijackere viser sig her. De kendte skurke er 'cn' (CommonName), 'ayb' (Lop.com) og 'relatedlinks' (Huntbar). Lad HijackThis ordne dem.
Andre ting som viser sig, er enten ikke bekræftet som sikre, eller er hijacked (f.eks. CLSID'et er ændret) af spyware. I sidste tilfælde bør man lade HijackThis ordne det.


--------------------------------------------------------------------------------

O19 - User style sheet hijack
Sådan kan det se ud:

O19 - User style sheet: c:\WINDOWS\Java\my.css

Hvad du kan gøre:
I tilfælde af langsom browser og hyppige popups, lad HijackThis ordne dette punkt, hvis den viser sig i loggen.
Men, siden det kun er Coolwebsearch som gør dette, er det bedre at bruge programmet CWShredder til at klare opgaven.


 
 
Bedømmelse

Fra : Franksp


Dato : 17-05-05 20:08



Bedømmelse

Fra : Jernladyen


Dato : 17-05-05 19:59



Bedømmelse

Fra : molokyle


Dato : 17-05-05 21:19



Bedømmelse

Fra : Wilduhr


Dato : 17-05-05 21:06



Bedømmelse

Fra : Teil


Dato : 17-05-05 19:28



Du har følgende muligheder
Eftersom du ikke er logget ind i systemet, kan du ikke lave en bedømmelse til dette tip.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.
Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408921
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste