Oversigt
Hver enkelt linie i HijackThis logfilen starter med et nummer.
Klik på et nummer for at få nærmere information:
R0, R1, R2, R3 - Internet Explorer Start/Search pages URLs
F0, F1 - Autoloading programs
N1, N2, N3, N4 - Netscape/Mozilla Start/Search pages URLs
O1 - Hosts file redirection
O2 - Browser Helper Objects
O3 - Internet Explorer toolbars
O4 - Autoloading programs from Registry
O5 - IE Options icon not visible in Control Panel
O6 - IE Options access restricted by Administrator
O7 - Regedit access restricted by Administrator
O8 - Extra items in IE right-click menu
O9 - Extra buttons on main IE button toolbar, or extra items in IE 'Tools' menu
O10 - Winsock hijacker
O11 - Extra group in IE 'Advanced Options' window
O12 - IE plugins
O13 - IE DefaultPrefix hijack
O14 - 'Reset Web Settings' hijack
O15 - Unwanted site in Trusted Zone
O16 - ActiveX Objects (aka Downloaded Program Files)
O17 - Lop.com domain hijackers
O18 - Extra protocols and protocol hijackers
O19 - User style sheet hijack
--------------------------------------------------------------------------------
R0, R1, R2, R3 - IE Start & Searh pages URLs
Sådan kan det se ud:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://www.google.com/
R2 - (denne type bruges ikke af HijackThis på nuværende tidspunkt)
R3 - Default URLSearchHook is missing
Hvad du kan gøre:
Hvis du genkender URL'en i slutningen af linierne, er det OK.
Hvis ikke skal du krydse dem af og lade HijackThis ordne dem.
For R3 punkterne, skal de altid ordnes medmindre der nævnes et program du kender.
--------------------------------------------------------------------------------
F0, F1 - Autoloading programs from INI files
Sådan kan det se ud:
F0 - system.ini: Shell=Explorer.exe Openme.exe
F1 - win.ini: run=hpfsched
Hvad du kan gøre:
F0 punkterne er altid dårlige, så dem fjerner du.
F1 punkterne er normalt gamle programmer som er sikre, så du bør finde mere information om filnavnene, for at vurdere om de er gode eller dårlige.
Pacman's Startup List kan være en hjælp til at identificere F1 punkterne.
--------------------------------------------------------------------------------
N1, N2, N3, N4 - Netscape/Mozilla Start & Search page
Sådan kan det se ud:
N1 - Netscape 4: user_pref("browser.startup.homepage", "
www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)
N2 - Netscape 6: user_pref("browser.startup.homepage", "
http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
Hvad du kan gøre:
Normalt er Netscape og Mozilla hjemmesiderne sikre. De bliver sjældent hijacked.
Kun Lop.com er kendt for at gøre dette.
Skulle du se en URL som du ikke genkender, så kryds den af og lad HijackThis ordne det for dig.
--------------------------------------------------------------------------------
O1 - Hostsfile redirections
Sådan kan det se ud:
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
O1 - Hosts file is located at C:\Windows\Help\hosts
Hvad du kan gøre:
Denne type hijack vil omdirigere adressen til højre til IP adressen til venstre.
Hvis IP adressen ikke tilhører adressen til højre, bliver du omdirigeret til en forkert hjemmeside hver gang du skriver pågældende adresse i adresselinien.
Du kan altid lade HijackThis ordne disse, medmindre du bevidst har puttet disse linier i din Hosts-fil. Det sidste punkt findes sommetider på windows 2000/Xp computere hvis de er plaget af en Coolwebsearch infektion. Du bør altid ordne disse eller lade CWShredder reparere dem automatisk.
--------------------------------------------------------------------------------
O2 - Browser Helper Objects
Sådan kan det se ud:
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL
Hvad du kan gøre:
Hvis du ikke direkte genkender et Browser Helper Object's navn, så kan du bruge
TonyK's BHO & Toolbar List til at finde det ved hjælp af class ID'et (CLSID, er nummeret mellem de krøllede parenteser).
Så kan du se om det er spyware eller om det ikke er.
I BHO listen betyder X, 'spyware' og L betyder at punktet er sikkert.
--------------------------------------------------------------------------------
O3 - IE toolbars
Sådan kan det se ud:
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL
Hvad du kan gøre:
Hvis du ikke direkte genkender en toolbar's/værktøjslinies navn, så kan du bruge TonyK's BHO & Toolbar List til at finde det ved hjælp af class ID'et (CLSID, er nummeret mellem de krøllede parenteser).
Så kan du se om det er spyware eller om det ikke er.
I BHO listen betyder X, 'spyware' og L betyder at punktet er sikkert.
Hvis det ikke er på listen og navnet er en tilfældig streng af karakterer, og filen findes i 'APPLICATION DATA' mappen (som i det sidste eksempel herover), er det sandsynligvis Lop.com, og du bør lade HijackThis ordne det.
--------------------------------------------------------------------------------
O4 - Autoloading programs from Registry or Startup group
Sådan kan det se ud:
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: winlogon.exe
Hvad du kan gøre:
Brug PacMan's Startup List og find punktet for at se om det er ok eller ej.
Hvis punktet viser et program som sidder i Startup gruppen, (som nederste punkt herover), kan HijackThis ikke ordne det, hvis programmet er aktiv i hukommelsen.
Brug Windows Task Manager/Windows Jobliste (TASKMGR.EXE) til at stoppe programmet inden HijackThis skal ordne det.
--------------------------------------------------------------------------------
O5 - IE Options not visible in Control Panel
Sådan kan det se ud:
O5 - control.ini: inetcpl.cpl=no
Hvad du kan gøre:
Medmindre du eller din systemadministrator bevidst har gemt ikonet fra Kontrolpanel, så lad HijackThis ordne punktet.
--------------------------------------------------------------------------------
O6 - IE Options access restricted by Administrator
Sådan kan det se ud:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
Hvad du kan gøre:
Medmindre du har programmet Spybot S&D's 'Lock homepage from changes''funktion aktiveret, eller din systemadministrator har gjort det, så lad HijackThis ændre dette punkt.
--------------------------------------------------------------------------------
O7 - Regedit access restricted by Administrator
Sådan kan det se ud:
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Hvad du kan gøre:
Lad altid HijackThis ændre dette punkt, hvis ikke systemadministratoren har etableret denne restriktion.
--------------------------------------------------------------------------------
O8 - Extra items in IE right-click menu
Sådan kan det se ud:
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html
O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm
O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm
Hvad du kan gøre: Hvis der er nogle punkter i IE's højrekliks-menu som du ikke genkender, så lad HijackThis ordne dem.
--------------------------------------------------------------------------------
O9 - Extra buttons on main IE toolbar, or extra items in IE 'Tools' menu
Sådan kan det se ud:
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: AIM (HKLM)
Hvad du kan gøre:
Hvis der er punkter i menuerne eller knapper som du ikke genkender, så lad HijackThis ordne det.
--------------------------------------------------------------------------------
O10 - Winsock hijackers
Sådan kan det se ud:
O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing
O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll
Hvad du kan gøre:
Det er bedst at ordne disse med LSPFix fra Cexx.org, eller Spybot S&D fra Kolla.de. Bemærk at 'ukendte' filer i LSP stacken ikke vil blive ordnet af HijackThis, af sikkerheds mæssig grund.
--------------------------------------------------------------------------------
O11 - Extra group in IE 'Advanced Options' window
Sådan kan det se ud:
O11 - Options group: [CommonName] CommonName
Hvad du kan gøre:
Den eneste hijacker som på nuværende tidspunkt tilføjer sin egen indstillingsgruppe, til IE's Vidnue med Avancerede Indstillinger. Du kan altid lade HijackThis fjerne denne.
--------------------------------------------------------------------------------
O12 - IE plugins
Sådan kan det se ud:
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
Hvad du kan gøre:
For det meste er disse sikre. Kun OnFlow tilføjer en plugin som normalt ikke ønskes (.ofb).
--------------------------------------------------------------------------------
O13 - IE DefaultPrefix hijack
Sådan kan det se ud:
O13 - DefaultPrefix:
http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix:
http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix:
http://ehttp.cc/?
Hvad du kan gøre:
Disse er altid dårlige. Lad HijackThis fjerne dem.
--------------------------------------------------------------------------------
O14 - 'Reset Web Settings' hijack
Sådan kan det se ud:
O14 - IERESET.INF: START_PAGE_URL=
http://www.searchalot.com
Hvad du kan gøre:
Hvis URL'en ikke er eksempelvis til Microsft eller måske din Internet Udbyder, så lad HijackThis ændre den.
--------------------------------------------------------------------------------
O15 - Unwanted sites in Trusted Zone
Sådan kan det se ud:
O15 - Trusted Zone:
http://free.aol.com
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.msn.com
Hvad du kan gøre:
OFte tilføjer eksempelvis AOL og Coolwebsearch i al ubemærkethed sider til Trusted Zone/Sikre websteder. Hvis du ikke selv har tilføjet domæner til Trusted Zone, så bed HijackThis fjerne dem.
--------------------------------------------------------------------------------
O16 - ActiveX Objects (aka Downloaded Program Files)
What it looks like:
O16 - DPF: Yahoo! Chat -
http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Hvad du kan gøre:
Hvis du ikke genkender navnet på objektet, eller den adresse du har downloaded det fra, så lad HijackThis ordne det. Hvis navnet eller adressen indeholder or som: 'dialer', 'casino', 'free_plugin' osv, skal du især ordne det.
Javacool's SpywareBlaster har en stor database med skadelige ActiveX objekter, som kan bruges til at finde CLSID'er (class ID'er). (Højreklik i listen for at bruge Find funktionen).
--------------------------------------------------------------------------------
O17 - Lop.com domain hijacks
Sådan kan det se ud:
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gla.ac.uk
O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
Hvad du kan gøre:
Hvis domænet ikke er fra din udbyder eller firmanetværk, så lad HijackThis ændre det. Det samme gælder for 'Searchlist' punkter.
Angående 'NameServer' punkter, brug Google til at se hvilke sider der skjuler sig bag IP adresserne.
--------------------------------------------------------------------------------
O18 - Extra protocols and protocol hijackers
Sådan kan det se ud:
O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
Hvad du kan gøre:
Kun få hijackere viser sig her. De kendte skurke er 'cn' (CommonName), 'ayb' (Lop.com) og 'relatedlinks' (Huntbar). Lad HijackThis ordne dem.
Andre ting som viser sig, er enten ikke bekræftet som sikre, eller er hijacked (f.eks. CLSID'et er ændret) af spyware. I sidste tilfælde bør man lade HijackThis ordne det.
--------------------------------------------------------------------------------
O19 - User style sheet hijack
Sådan kan det se ud:
O19 - User style sheet: c:\WINDOWS\Java\my.css
Hvad du kan gøre:
I tilfælde af langsom browser og hyppige popups, lad HijackThis ordne dette punkt, hvis den viser sig i loggen.
Men, siden det kun er Coolwebsearch som gør dette, er det bedre at bruge programmet CWShredder til at klare opgaven.