HijackThis / Software / Home

HijackThis



HijackThis ontwikkelt door Merijn is een gratis anti spyware programma. HijackThis is zeer effectief op het gebied van een browser hijack: o.a. de overname van je startpagina en onbekende favorieten.

Werking HijackThis

Het overnemen van je startpagina (startpagina hijack) en onbekende favorieten zijn eigenschappen van een browser hijack: een vorm van spyware heeft u browser gekaapt. Dit is een veelvoorkomend probleem bij Internet Explorer. HijackThis is ontwikkeld om dit tegen te gaan.

In tegenstelling tot andere anti spyware software hoeft HijackThis niet geïnstalleerd te worden op uw computer. Daarnaast beschikt HijackThis over een andere techniek voor het spyware verwijderen. Waar veel anti spyware software allerlei soorten spyware detecteert, richt HijackThis zich voornamelijk op het soort spyware dat zich begeeft in de browser (het programma waarmee u hoofdzakelijk internet pagina's bekijkt).

HijackThis scant uw computer en laat u een lijst zien van configuraties die gevonden zijn op uw computer; een zogenaamd log bestand (HijackThis log). Daarnaast scant HijackThis uw register en bestanden op ingangen die zijn achtergelaten door spyware of hijackers. Deze lijst wordt getoond aan de hand van cijfers- en letterscombinaties.

Algemeen bekend zijn de lekken in Internet Explorer van Microsoft. Hierdoor is Internet Explorer erg gevoelig voor browser hijacker's en spyware dat zich richt op de browser. U kunt dit voorkomen door Mozilla Firefox te downloaden. Mozilla Firefox is de beste browser op dit moment en is vele malen beter beschermt tegen spyware en een browser hijack dan Internet Explorer. Daarnaast biedt Mozilla Firefox nog enkele handige functies die het surfen makkelijker maken.

HijackThis log

Het log bestand dat HijackThis aan u toont heeft de volgende opbouw met bijbehorende betekenis:

R0     Internet Explorer startpagina en zoekpagina
R1     Internet Explorer zoek functies en andere karakteristieken
R2     Register Info
R3     URL Search Hook
F0     INI Files
F1     INI Files
N1     Netscape/Mozilla start/zoek pagina's url's
N2     Netscape/Mozilla start/zoek pagina's url's
N3     Netscape/Mozilla start/zoek pagina's url's
N4     Netscape/Mozilla start/zoek pagina's url's
O1     Hosts File
O2     Browser Helper Objects (BHO)
O3     IE Toolbars
O4     Automatisch Startende Programma's
O5     IE Control Panel Item hidden in Control Panel
O6     Internet opties ingesteld door de Administrator
O7     RegEdit disabled
O8     Extra opties in het rechtsklik menu van IE
O9     Extra knoppen in je toolbar, en extra opties in het "Tools" / "Extra" menu
O10   Winsock Hijackers
O11   Extra items in "Advanced Options" settings
O12   Internet Explorer Plugins
O13   IE Default Prefix hijack
O14   Standaard instellingen van IE
O15   Websites in de "Trusted" zone van IE
O16   ActiveX Objects
O17   LOP.com DomeinHijacks
O18   Extra Protocollen en Protocol Hijackers
O19   User Style sheet hijack
O20   AppInit_DLLs Register waarde: automatisch startend - Sleutels onder Notify
O21   ShellServiceObjectDelayLoad
O22   SharedTaskScheduler
O23   NT Services

R0, R1, R2 en R3 items

Code en uitleg
R0     Internet Explorer startpagina en zoekpagina
R1     Internet Explorer zoek functies en andere karakteristieken
R2     Register Info
R3     URL Search Hook

Hoe ziet dit eruit?
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page
R1 - HKLM\Software\Microsoft\Internet explorer\Main,Default_Page_URL

Voorbeeld
R0 – HKCU\Software\Microsoft\Internet Explorer\Main. Start Page = http://www.google.com/

R0 en R1 bevatten uw startpagina en zoekpagina. Wanneer u de URL aan het einde herkent is het in orde, als dit niet het geval is selecteert u de sleutel en laat deze door HijackThis repareren.

R2 is een nieuwe register waarde en wordt momenteel niet gebruikt.

R3 bevat de URL Serach Hook. Deze wordt gebruikt wanneer u in de adresbalk van uw browser een adres intypt zonder http:// of ftp://. Uw browser bepaalt in dit geval zelf het juiste protocol, als het hierin faalt gebruikt het de URLSearchHook die in R3 staan om het adres te zoeken dat u heeft ingetypt. De registersleutel die hierbij wordt gebruikt is: "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks".

Gebruikte registersleutels
HKLM\Software\Microsoft\Internet Explorer\Main: Start Page
HKCU\Software\Microsoft\Internet Explorer\Main: Start Page
HKLM\Software\Microsoft\Internet Explorer\Main: Default_Page_URL
HKCU\Software\Microsoft\Internet Explorer\Main: Default_Page_URL
HKLM\Software\Microsoft\Internet Explorer\Main: Search Page
HKCU\Software\Microsoft\Internet Explorer\Main: Search Page
HKCU\Software\Microsoft\Internet Explorer\SearchURL: (Default)
HKCU\Software\Microsoft\Internet Explorer\Main: Window Title
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: ProxyOverride
HKCU\Software\Microsoft\Internet Connection Wizard: ShellNext
HKCU\Software\Microsoft\Internet Explorer\Main: Search Bar
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks
HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch
HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch
HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant

Wanneer u één van deze registersleutels laat repareren, verwijdert HijackThis enkel de registersleutels. HijackThis verwijdert niet de bijbehorende bestanden.

F0, F1, F2 en F3 items

Code en uitleg
F0     Een veranderde INI File waarde
F1     Een nieuwe INI File waarde

Hoe ziet dit eruit? (voorbeelden)
F0 - system.ini: Shell=Explorer.exe Openme.exe
F0 - system.ini: Shell=Explorer.exe C:\WINDOWS\System32\cmd32.exe
F1 - win.ini: run=hpfsched
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe

F0
Komt overeen met de Shell= verwijzing in het bestand system.ini. De Shell= verwijzing wordt gebruikt door Windows 9.x om aan te geven welk programma moet aantreden als de shell voor het besturingssyteem. De shell is het programma dat onder andere uw desktop laadt, Windows Beheer configureert en verantwoordelijk is voor de wisselwerking tussen de gebruiker en het systeem. Elk programma dat achter deze shell verwijzing staat, wordt geladen wanneer Windows opstart. Windows 95, Windows 98 en Windows ME gebruiken Explorer.exe als standaard shell. F0 items zijn in de meeste gevalleen schadelijk en kunnen worden gerepareert door HijackThis.

F1
Komt overeen met de Run= of Load= verwijzing in het bestand win.ini. De programma's die achter run= of load= staan worden geladen wanneer Windows opstart.
De run= verwijzing werd vroeger veel gebruikt en is blijven bestaan om Windows compitabel te houden met oudere programma's
De load= verwijzing werd gebruikt om drivrs te laden voor de hardware.

F2 en F3
Komen overeen met de F0 en F1 entries, maar worden gebruikt in de registers van Windows 2000, Windows XP en Windows NT.

Gebruikte registersleutels
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
"run"=""
"load"=""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping

Gebruikte bestanden
C:\Windows\system.ini
C:\Windows\win.ini

N1, N2, N3 en N4 items

Code en uitleg
N1     Netscape/Mozilla start/zoek pagina's url's
N2     Netscape/Mozilla start/zoek pagina's url's
N3     Netscape/Mozilla start/zoek pagina's url's
N4     Netscape/Mozilla start/zoek pagina's url's

Hoe ziet dit eruit? (voorbeelden)
N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)
N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)

N1, N2, N3 en N4 zijn de startpagina's en zoekpagina's van Mozilla Firefox en Netscape. Deze pagina's zijn meestal veilig vanwege het feit dat deze browsers vele malen veiliger zijn dan Internet Explorer van Microsoft en daarom zelden worden ge-hijack-ed. Daarnaast zijn veel soorten spyware specifiek op Internet Explorer gericht vanwege de vele fouten. Wanneer u toch een onbekende pagina aantreft kunt u deze laten reparen door HijackThis. Meer informatie over een andere browser als Internet Explorer en een gratis download van Mozilla Firefox met Google Toolbar vindt u op de Mozilla Firefox pagina.

Gebruikte bestanden
prefs.js

O items

De O items betreffen verschillende instellingen in uw browser en met name Internet Explorer (IE). Denk hierbij aan een toolbar, website's, Browser Helper Objects (BHO), programma's die automatisch opstarten, Internet Explorer opties in het Configuratiescherm, Internet Opties, Extra items en extra knoppen in de toolbar, Hijackers, Internet Explorer Plugin's, Internet Explorer Default Prefix Hijack, Standaard instellingen van Internet Explorer, Ongewilde website's in de "Trusted Zone" van Internet Explorer, ActiveX Objects, LOP.com Domain Hijack, Extra Protocollen en Protocol Hijacker, NT services. Deze onderdelen zijn op de onderstaande manier verdeelt onder de verschillende O items:

O1     Hosts File
O2     Browser Helper Objects (BHO)
O3     IE Toolbars
O4     Automatisch Startende Programma's
O5     IE Control Panel Item hidden in Control Panel
O6     Internet opties ingesteld door de Administrator
O7     RegEdit disabled
O8     Extra opties in het rechtsklik menu van IE
O9     Extra knoppen in je toolbar, en extra opties in het "Tools" / "Extra" menu
O10   Winsock Hijackers
O11   Extra items in "Advanced Options" settings
O12   Internet Explorer Plugins
O13   IE Default Prefix hijack
O14   Standaard instellingen van IE
O15   Websites in de "Trusted" zone van IE
O16   ActiveX Objects
O17   LOP.com DomeinHijacks
O18   Extra Protocollen en Protocol Hijackers
O19   User Style sheet hijack
O20   AppInit_DLLs Register waarde: automatisch startend - Sleutels onder Notify
O21   ShellServiceObjectDelayLoad
O22   SharedTaskScheduler
O23   NT Services

Hulpmiddelen HijackThis

HijackThis heeft enkele handige hulpmiddelen aan boord die u extra informatie verschaffen of u kunnen helpen bij het verwijderen van spyware en andere soorten malware. Deze hulpmiddelen van HijackThis vindt u door het volgende uit te voeren:

- Start HijackThis
- Ga naar "Config" rechts onder
- Klik bovenaan op "Misc Tools"

Onder "Misc Tools" in de afdeling "Configuration" vindt u de volgende hulpmiddelen van HijackThis:

  • StartupList Log - Toont een uitgebreide log van allerlei startupsleutels en geeft meer informatie dan een HijackThis log.
  • Processmanager - Geeft u de mogelijkheid om actieve processen te beëindigen of om nieuwe processen te starten. De processmanager van HijackThis biedt u ook de mogelijkheid om te controleren welke .dll bestanden geladen worden door een proces en u kunt eigenschappen opvragen van de actieve processen en geladen .dll bestanden.
  • Hosts file manager - Een kleine editor om wijzigingen in het hosts bestand aan te brengen.
  • Delete a file on reboot - Biedt u de mogelijkheid om een bestand van uw computer te verwijderen met HijackThis. Het bestand wordt verwijdert wanneer u de computer opnieuw opstart.
  • Delete an NT service - Biedt u de mogelijkheid om een service uit het register te verwijderen. Deze optie is enkel toepasbaar bij Windows XP/2000/2003/NT 4.
  • ADS Spy - Verwijder sporen van ADS: Alternate Data Streams. Enkele soorten malware maken gebruik van ADS.
  • Uninstall Manager - Hiermee kunt u met behulp van HijackThis de items die voorkomen in de software lijst via Configuratiescherm - Software - Programma's wijzigen of verwijderen.
Naast deze hulpmiddelen vindt u in de afdeling "Configuration" ook de mogelijkheid om HijackThis te updaten en om HijackThis van uw computer te verwijderen.

Gebruik HijackThis

In het programma HijackThis zijn de volgende afdelingen te onderscheiden:

Scan & Fix stuff

  • Scan - Door één druk op deze knop wordt met HijackThis een log bestand van uw computer gemaakt.
  • Fix checked - De aangevinkte objecten worden hiermee door HijackThis hersteld/verwijderd.
  • Info on selected item - Met deze functie kunt u informatie aanvragen over het item dat u heeft geselecteerd.
Other stuff
  • Info - Hier vindt u informatie over het programma, zoals de versie van HijackThis die u gebruikt en de ontwikkelaar.
  • Config - In deze afdeling vindt u de instellingen betreffende standaard instellingen, bestanden die moeten worden genegeerd, backups en de "Misc Tools".
  • Add checked to ignorelist - Met deze functie kunt u geselecteerde items toevoegen aan de lijst welke HijackThis moet negeren bij het scannen van uw computer.

Wanneer u het programma voor het eerst gebruikt toont het programma een "Quick Start" scherm. Vanuit dit menu kunt u de keuze maken uit verschillende opties die HijackThis moet uitvoeren, zoals "Do a system scan and save a logfile" om het systeem te scannen en een logfile op te slaan, "Do a system scan only" om enkel het systeem te scannen. Om te voorkomen dat "Quick Start" iedere keergetoond wordt wanneer u het programma start, kunt u onderaan de optie "Don't show this frame again when I start HijackThis" aanvinken.

Kwaliteit HijackThis

HijackThis is een klein maar zeer krachtig programma. Waar andere anti spyware software vaak last heeft met het verwijderen van spyware dat zich bevindt in de browser, is HijackThis op dit gebied erg effectief. Een browser hijack waaronder een startpagina hijack zijn goed te bestrijden met dit programma.

Voorzichtigheid is echter wel geboden bij het gebruik van HijackThis. Doordat het verwijderen van een object grote gevolgen kan hebben voor de werking van uw computer in zowel goede als slechte zin, is het aan te raden hulp in te roepen van personen met voldoende kennis op het gebied van besturingssystemen wanneer u HijackThis gebruikt om spyware te verwijderen. Aan te raden is om eerst andere anti spyware software te gebruiken voor het spyware verwijderen.

Voorzichtig met HijackThis

HijackThis dient gebruikt te worden nadat u uw computer heeft gescant met andere anti spyware software. Wanneer deze software niet in staat is alle sporen van spyware te verwijderen, kunt u HijackThis gebruiken. Echter, er dient uiterst zorgvuldig om te gaan met het programma vanwege het feit dat HijackThis tijdens het tonen van een log file geen onderscheid maakt tussen goedaardige en kwaadaardige en dus schadelijke software/instellingen. Wanneer u over onvoldoende kennis beschikt op het gebied van Windows en besturingssystemen in het algemeen, is het aan te raden hulp in te roepen, vanwege het feit dat het verwijderen van een item invloed kan hebben op uw computer, waardoor in het ergste geval onderdelen van Windows of Windows zelf niet meer werken.

Als u niet zeker bent of een programma gevaarlijk is voor uw computer of u heeft moeite met spyware verwijderen, maak dan met behulp van HijackThis een log bestand en plaats deze samen met een omschrijving van uw probleem op een van de onderstaande forums, waarna zij u verder kunnen helpen:

HijackThis forum
Prikbord Antivirus Pagina Nederland
Breekpunt forum
Helpmij forum
PCHelper forum
Vragenforum

Deze handleiding over de anti spyware software HijackThis is gedeeltelijk een vertaling van HijackThis Tutorial - How to use HijackThis to remove Browser Hijackers & Spyware, door Lawrence Abrams (Bleeping Computers).

© 2006 - 2014 spywaretips.nl