Deze sleutels kan je dus altijd laten repareren door HijackThis. (behalve als dit je Internet Service Provider is)

Gebruikt bestand:

C:\Windows\inf\iereset.inf

C:\WINNT\inf\iereset.inf

015 - Ongewilde websites in de "Trusted" zone van Internet Explorer

Websites die in de "Trusted" zone van Internet Explorer staan, worden door Internet Explorer als betrouwbaar gemarkeerd. Dit betekent dat ze meer mogen dan normale websites.

Code       Uitleg

O15        Websites in de trusted zone van IE

Internet Explorer maakt gebruik van verschillende zones: Deze computer, Internet, Lokaal intranet, Vertrouwde websites en Websites met beperkte toegang. Elke zone heeft zijn beveiligingsinstellingen. Aan de hand van die instellingen wordt bepaald welke scripts of toepassingen kunnen uitgevoerd worden wanneer je een site bezoekt die zich in deze zone bevindt.

Elk van de 5 zones wordt geassocieerd met een nummer.

Om connectie te maken met het internet, kunnen verschillende protocollen gebruikt worden. Elk protocol wordt gelinkt aan één van de hierboven genoemde zones, dmv een geassocieerde nummer (Mapping). De standaardsettings zijn de volgende:

Protocol        Zone Mapping        Zone

http                      3                Internet

https                     3                Internet

ftp                        3                Internet

@ivt                      1                Lokaal Intranet

shell                      0                Deze computer

Het gevaar bestaat wanneer malware deze settings aanpast. Stel dat de standaardzone voor http, het Internet (met waarde 3), wordt aangepast naar de waarde 2 die geassocieerd is met Vertrouwde websites. Dan wordt elke keer dat je een website bezoekt door gebruik te maken van het protocol http, deze website beschouwt als een website uit de Vertrouwde zone.

Hoe ziet dit eruit:

O15 - Trusted Zone: http://free.aol.com

O15 - Trusted Zone: *.coolwebsearch.com

O15 - Trusted Zone: *.msn.com

O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone

Als je hier websites ziet staan die je niet vertrouwt, kan je deze selecteren zodat ze verwijderd worden.

Meestal AOL en Coolwebsearch voegen sites toe aan de Trusted zone.

Gebruikte registersleutels:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults

016 - Active X Objects

Hier staan de programma's (ActiveX componenten) die geinstalleerd zijn in je browser. De ActiveX componenten worden opgeslagen in de map C:\Windows\Downloaded Program Files.

Code       Uitleg

O16        Active X object

Hoe ziet dit eruit:

O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} -

http://imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.6.cab

O16 - DPF: {2ABE804B-4D3A-41BF-A172-304627874B45} - http://akamai.downloadv3.com/binaries/DialHTML/EGDHTML_XP.cab

Als je de naam van het object niet herkent, of de website vanwaar je het gedownload hebt, dan laat je dit best repareren door HijackThis. Als de naam van de url woorden bevat zoals dialer, casino, free_plugin, enz… dan moet je deze altijd laten repareren.

SpywareBlaster bevat een database van slechte ActiveX objecten.

HijackThis verwijdert de bijhorende bestanden van je computer.

Gebruikt bestand:

C:\Windows\Downloaded Program Files