|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Winsock hijackers |
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
O10 - Winsock hijackers
Sommige programma's gaan vestigen zich tussen je internetprogramma (browser) en je internetverbinding (ADSL, kabel) om zo de bepaalde websites te veranderen of om passwoorden te stelen.
Deze sectie wordt ook wel LSP (Layered Service Provider) genoemd. LSP's zijn een manier om een stukje software te ketenen aan je Winsock.
LSP's worden aan elkaar geketend wanneer Winsock wordt gebruikt. De data wordt getransporteerd door alle LSP's in de ketting. Als spyware of hijackers zich hier genesteld hebben, dan kunnen ze alle verkeer waarnemen.
Code Uitleg
O10 Winsock Hijackers
Hoe ziet dit eruit:
O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing
O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll
Dit soort trojans zijn een groot probleem. Je kunt het probleem best oplossen met het programma LSP-Fix. Meer informatie vind je
hier. Het programma Download
LSPFix.
Een ander programma vind je
hier.
011 - Extra items in IE 'Advanced Options' window
Als je naar Tools (Extra) -> Internet Options (Internet Opties) gaat, om vervolgens het tabblad "Advanced" (Geavanceerd) aan te klikken, zie je een groot aantal opties om Internet Explorer aan te passen. Sommige programma's voegen zichzelf ook hier aan toe.
Code Uitleg
O11 Extra items in IE 'Advanced Options' window
Hoe zie dit eruit:
O11 - Options group: [CommonName] CommonName
De enige kaper die op dit moment bekend is, noemt "Commonname". Als je dit programma liever niet gebruikt, kan je deze sleutels selecteren om het te laten verwijderen.
Gebruikte registersleutel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions
012 - Internet Explorer Plugins
Dit zijn plug-ins die extra functionaliteit toevoegen aan de browser zelf. Ze worden geladen wanneer de browser opstart. Voorbeelden: Flash filmpjes kunnen spelen, PDF documenten kunnen lezen vanuit je browser,….
Code Uitleg
O12 Internet Explorer plugins
Hoe ziet dit eruit:
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
De meeste zaken die je hier vindt zijn niet schadelijk. Momenteel is Onflow één van de weinige plugins die niet gewenst is.
Wanneer je HijackThis deze items laat repareren, zal ook het bijbehorende bestand verwijderd worden. Soms kan het bestand nog in gebruik zijn, ook al is de browser niet meer actief. Verwijder dan het bestand bij voorkeur in veilige modus.
Gebruikte registersleutel:
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins
O13 - IE Default Prefix hijack
Normaal gesproken kan Internet Explorer automatisch een URL aanvullen. Voorbeeld: in de browser tik je in www.google.be en Internet Explorer maakt hier automatisch http://www.google.be van. Standaard voegt Windows het voorvoegsel http:// toe. Wil je dit wijzigen dan kan dit in het register.
Code Uitleg
O13 Internet Explorer Default Prefix hijack
Hoe ziet dit eruit:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: http://ehttp.cc/?
CoolWebSearch hijackers wijzigen het standaard voorvoegsel in http://ehttp.cc/?.
Tik je in de adresbalk van je browser in www.google.com, dan kom je terecht op de website van CoolWebSearch: http://ehttp.cc/?www.google.com.
De sleutels die hierin staan, zorgen er voor dat al dit soort links, via een pagina gaan van deze Spyware leverancier.
Is dit deze sleutel CWS-related, dan gebruik je best CWShredder om dit te fixen. Lukt het daar niet mee dan gebruik je HijackThis.
Gebruikte registersleutels:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes
Je kunt deze dus altijd laten repareren door HijackThis.
Lees verder: 014 - Standaard instellingen van Internet Explorer |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
