Ga naar inhoud

PSolutions

Lid
  • Items

    644
  • Registratiedatum

  • Laatst bezocht

Over PSolutions

  • Verjaardag 28-03-1966

Profiel Informatie

  • Geslacht
    Geen info
  • Land
    Geen Info

Contact Info

  • Website URL
    http://www.psolutions.be

PC Ervaring

  • PC Ervaring
    Geen Info

Recente bezoekers van dit profiel

De recente bezoekers block is uitgeschakeld en zal niet meer getoond worden aan gebruikers.

PSolutions's prestaties

  1. HijackThis handleiding Deze handleiding werd geschreven door Marcvn op deze website. De auteur gaf PC-Helpforum toestemming om het artikel te publiceren. Het artikel blijft eigendom van Marcvn en we bedanken hem graag voor de uitleg ! [TABLE=class: grid] [TR] [TD]U kan onderstaande handleiding rustig bestuderen. Pas echter op als je zelf dingen verwijderd uit je logje. Weet wat je doet! Als je niet weet waarmee je bezig bent, en u verwijderd zomaar dingen uit je hijackthis-logje, kan je computer instabiel worden en zelfs niet meer opstarten. Laat je logje liever controleren door onze malware-specialisten op ons forum. Plaats je logje dan in de categorie "Bestrijding spyware, virussen" op ons forum. Hier (klik erop) kan je een hijackthis-logje posten dat door onze specialisten Kape en Kweezie wabbit wordt nagekeken. [/TD] [/TR] [/TABLE] R0 - R1 - R2 - R3: Register sectie - Internet explorer start-/zoekpagina's url's. Hierin staan de Internet Explorer startpagina, de Internet Explorer zoekfuncties en de Url Search Hooks. Code Uitleg R0 Internet explorer startpagina en zoekpagina R1 Internet explorer zoek functies en andere karakteristieken R2 Een nieuw register waarde R3 R3 is voor URL Search Hook. Dit is hoogstwaarschijnlijk spyware. Hoe ziet dit eruit: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.be R1 - HKLM\Software\Microsoft\Internet explorer\Main,Default_Page_URL=http://www.google.be R3 - URLSearchHook: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - C:\Program Files\TV Media\TvmBho.dll Als de url op het einde je zoekpagina of je startpagina is, dan is alles in orde. Als dit niet het geval is, dan selecteer je de sleutel en laat je HijackThis deze repareren. De R3-items kan je best altijd repareren, tenzij het een programma is dat je kan thuisbrengen. URL search Hook wordt gebruikt wanneer je een adres intikt in de adresbalk zonder http:// of ftp://. Wanneer zo'n adres ingegeven wordt gaat de browser zelf het juiste protocol bepalen, en als het hierin faalt gaat het de UrlSearchHooks gebruiken die in de R3 lijst staan om het adres te zoeken dat je ingetikt hebt. De gebruikte Registersleutel is: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks De standaard CLSID hier is {CFBFAE00-17A6-11D0-99CB-00C04FD64497}. Wanneer in de log het woord "Obfuscated" verschijnt, betekent dit dat een bepaald iets moeilijk waar te nemen of te begrijpen is. Een methode die spyware en Hijackers gebruiken om hun aanwezigheid kenbaar te maken. Ze verbergen een entry door de waarden te converteren naar een vorm die het gemakkelijk kan begrijpen, maar moeilijk maakt voor mensen om te verwijderen of te herkennen. Een voorbeeld hiervan zijn de hexadecimale registeringangen. HijackThis verwijdert de registersleutels maar het verwijdert niet de bijbehorende bestanden. Gebruikte registersleutels: [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] "Start Page" "Default_Page_URL" "Search Bar" "Start Page" "Default_Search_URL" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search] "SearchAssistant" "CustomizeSearch" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchUrl] [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchUrl\\default] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main "Start Page" "Default_Page_URL" "Search Page" "Search Bar" "Default_Search_URL" "Window Title" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl\\default] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings] "ProxyOverride" "AutoConfigURL" [HKEY_CURRENT_USER\Software\Microsoft\Internet Connection Wizard] "ShellNext" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer] "SearchAssistant" "CustomizeSearch" F0 - F1: Ini-files - Automatisch geladen programma's. De F0 en de F1 combinaties omvatten de programma's die geladen worden van de ini-bestanden win.ini en system.ini. Voor Windows 2000 en Windows XP zijn dit de F2 en de F3 entries. Deze staan opgeslagen in het register. Code Uitleg F0 Een veranderde INI-file waarde F1 Een nieuwe INI-file waarde F2 Automatisch geladen programma's F3 Automatisch geladen programma's Hoe ziet dit eruit: F0 - system.ini: Shell=Explorer.exe Openme.exe F0 - system.ini: Shell=Explorer.exe C:\WINDOWS\System32\cmd32.exe F1 - win.ini: run=hpfsched F2 - REG: system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe F0 komt overeen met de Shell= verwijzing in het bestand system.ini. De Shell= verwijzing in system.ini wordt door Windows 9.x gebruikt om aan te duiden welk programma moet optreden als de shell voor het besturingssysteem. De Shell is het programma dat oa je desktop laadt, windows beheer afhandelt en zorgt voor de wisselwerking tussen de gebruiker en het systeem. Elk programma dat achter deze shell verwijzing staat, wordt geladen wanneer windows opstart. Windows 95 en 98 gebruiken Explorer.exe als standaard shell. De F0-items zijn meestal slecht, en kan je best laten repareren door HijackThis. F1 komt overeen met de Run= of Load= entry in het bestand win.ini. Alle programma's die volgen na run= of load= zullen geladen worden wanneer Windows opgestart wordt. De run= verwijzing werd vroeger veel gebruikt, de huidige programma's maken hier geen gebruik meer van. Nu wordt deze nog behouden voor backwards compatibility met oudere programma's. De load= verwijzing werd gebruikt om drivers voor de hardware te laden. De F1-items moeten afzonderlijk bekeken worden. Het zijn meestal oude en veilige programma's. Zoek wat meer info over de filenaam om te kijken of ze kwaadaardig zijn. De F2 en de F3 entries komen overeen met de F0 en de F1 entries, maar worden gebruikt in Windows 2000 en Windows XP en staan in het register. Windows 2000 en Windows XP maken gewoonlijk geen gebruik van de bestanden system.ini en win.ini. Een F2-waarde die je vaak ziet is: F2 - REG: system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe Deze komt overeen met de volgende registersleutel: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit. Deze sleutel bepaalt welke programma's er opgestart moeten worden wanneer de gebruiker inlogt. Het standaard programma voor deze sleutel is C:\windows\system32\userinit.exe. Userinit.exe is een programma dat je profiel terugplaatst. Er kunnen ook andere programma's toegevoegd worden. Deze worden dan gescheiden door een komma. Voorbeeldje: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit =C:\windows\system32\userinit.exe,c:\windows\programs.exe. Op deze manier worden beide programma's (userinit.exe en programs.exe) uitgevoerd bij het opstarten. Een handig plaatsje voor malware om mee op starten. Wanneer bestanden zijn toegevoegd na de userinit.exe, verwijdert HijackThis de registersleutel maar niet het bijbehorende bestand. Sommige bestanden achter de userinit.exe blijven verborgen in een HijackThislog. Je ziet dan wel een F2-sleutel verschijnen in de log. Gebruikte registersleutels: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows "run"="" "load"="" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping Gebruikte bestanden: C:\Windows\system.ini C:\Windows\win.ini Als je de F-items fixt met HijackThis worden de bestanden niet verwijderd. N1 - N2 - N3 - N4: Mozilla en Netscape start-/zoekpagina url's Dit zijn de Mozilla en Netscape start- en zoekpagina's. Code Uitleg N1 Netscape 4 startpagina en zoekpagina N2 Netscape 6 startpagina en zoekpagina N3 Netscape 7 startpagina en zoekpagina N4 Mozilla startpagina en zoekpagina Hoe ziet dit eruit: N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js) N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js) N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js) Mozilla en Netscape start- en zoekpagina's zijn meestal veilig. Ze worden zelden gehijacked. Zie je toch een url die niet je start- of zoekpagina is, dan laat je deze best repareren door HijackThis. Gebruikte bestanden: prefs.js O1: Hostfiles Dit zijn wijzigingen aan je hosts file. Je hosts file wordt gebruikt om van namen, adressen te maken die je PC begrijpt. Meestal moet deze file leeg zijn (op een aantal regel commentaar en een "localhost" entry na), tenzij je hier zelf iets ingezet hebt. Code Uitleg O1 Een entry in de hosts file Hoe ziet dit eruit: O1 - Hosts: 216.177.73.139 auto.search.msn.com O1 - Hosts: 216.177.73.139 search.netscape.com O1 - Hosts: 216.177.73.139 ieautosearch O1 - Hosts: 207.44.240.65 ads.x10.com Deze hijack verbindt het adres rechts opnieuw met het IP-adres links. Als het IP niet toebehoort aan dit adres, wordt je telkens opnieuw doorverbonden naar een verkeerde site, elke keer je dit adres gebruikt of ingeeft. Heb je deze entry er zelf ingezet, dan kan je ze laten staan. Anders laat je ze repareren door HijackThis. Hosts kan je standaard vinden op de volgende plaats: Windows 3.1 / 95 / 98 / ME C:\WINDOWS\HOSTS Windows NT / 2000 C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS Windows XP / 2003 C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS Windows Vista C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS De plaats waar het bestand Hosts zich bevind kan je wijzigen in het register. Voor Windows NT, Windows 2000 en Windows XP is dit de volgende registersleutel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\: DatabasePath Bevindt het bestand Hosts zich niet op de standaard locatie, en je hebt de plaats niet zelf gewijzigd, dan is de kans groot dat je een infectie opgelopen hebt. Laat HijackThis dit dan repareren. Wanneer je merkt dat het bestand Hosts zich bevindt op C:\Windows\Help\hosts, ben je geïnfecteerd door CoolWebSearch. Wil je terug beschikken over het standaard Hosts-bestand, dan kan je de Hoster downloaden. Unzip het programma, run het, klik op Restore Original Hosts, klik op OK en sluit het programma af. O2 Browser Helper Objects Browser Helper Objects zijn programma's die zich in je internet browser nestelen, om daar nuttige, en minder nuttige taken uit te voeren. Meestal worden BHO's geïnstalleerd door andere programma's. Code Uitleg O2 Een Browser Helper Object Hoe ziet dit eruit: O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL O2 - BHO: (no name) - {ABC6E7B5-9839-E1A7-3F27-B46EA0DAEBBF} - C:\WINDOWS\system32\kuydznif.dll O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing) O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL Wanneer je een Browser Helper Object (BHO) niet onmiddellijk herkent, kan je de CLSID-list gebruiken van Tony Klein. Hier kan je de class ID opzoeken om te zien of deze kwaadaardig is of niet. Mirror. Wordt de BHO aangeduid met een X dan is het spyware. Een L betekent dat het een veilig object is. Wanneer je de O2-items repareert met Hijackthis, tracht het programma het bijbehorende bestand te verwijderen. Het kan zijn dat het bestand op dat moment nog in gebruik is. Heeft Hijackthis het bestand niet kunnen verwijderen, dan start je de computer in veilige modus en verwijder je het bestand. Gebruikte registersleutel: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects 03 - Internet Explorer Toolbars De toolbars zijn een onderdeel van je Internet Explorer. Code Uitleg O3 Een IE toolbar Hoe ziet dit eruit: O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing) O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\2.bin\MYBAR.DLL O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL Ook van de toolbars kan je meer info bekomen, door de CLSID op te zoeken in de CLSID-list. Als de CLSID niet in de lijst staat, en de naam is een samenraapsel van allerlei karakters en deze is gelokaliseerd in de map Application Data (zoals het laatste voorbeeld), dan kan je stellen dat deze spyware is. Laat hem repareren door HijackThis. HijackThis verwijdert niet het bijbehorende bestand. Gebruikte registersleutel: HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar O4 - Automatisch startende programma's Dit omvat de programma's die automatisch geladen worden wanneer Windows opstart. Hiervoor wordt gebruik gemaakt van bepaalde registersleutels en van de map opstarten. Code Uitleg O4 Automatisch startende programma's Hoe ziet dit eruit: O4 - HKLM\..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [systemTray] SysTray.Exe O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE Wanneer in een O4-regel het woord Startup voorkomt, verwijst dit naar een programma dat geladen wordt omdat het geplaatst is in de map Opstarten van de gebruiker. Deze map bevindt zich in C:\Documents and Settings\Login\Menu Start\Programma's\. Global Startup verwijst naar een programma dat geladen wordt omdat het geplaatst is in de map Opstarten van Alle Gebruikers. Deze map bevindt zich in C:\Documents and Settings\All Users\Menu Start\Programma's. Gebruikte registersleutels: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run Gebruikte directories: C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten C:\Documents and Settings\Login\Menu Start\Programma's\Opstarten Wanneer je met HijackThis de O4-items laat repareren, zullen de bestanden die bij dit item horen, niet verwijderd worden door HijackThis. Dit zul je nadien zelf moeten doen, bij voorkeur na een reboot in veilige modus. Voor de Startup en de Gobal Startup items werkt het iets anders. HijackThis verwijdert de snelkoppelingen in de map Opstarten naar het bestand, maar het bestand zelf verwijdert HijackThis niet, tenzij het bestand zich effectief in de map Opstarten bevindt. Pac Man's Startup Program List geeft je meer informatie over het programma dat opstart. Je kunt controleren of deze kwaad- of goedaardig is. Let wel op: sommige opstart-items kunnen zowel goed als slecht zijn. Goed interpreteren en kijken waar het zich bevindt…. Andere sites waar je meer informatie kan krijgen over de opstart-items zijn: Answers that work Greatis Startup Application Database Kephyr File Database Windows Startup Online Windows Process Library O5 - Internet Explorer opties verborgen in configuratiescherm Code Uitleg O5 Internet Explorer opties verborgen in configuratiescherm Hoe ziet dit eruit: O5 - control.ini: inetcpl.cpl=no Als deze sleutel er tussen staat wil dit zeggen dat 'Internet Opties' verborgen is in het configuratiescherm. Als je deze instelling niet zelf gemaakt hebt, kan je deze selecteren en dit laten repareren door HijackThis. Zie ook dit Microsoft Knowledge Base Article. Gebruikte registersleutel: HKEY_CURRENT_USER\Control Panel\don't load Gebruikt bestand: C:\Windows\control.ini O6 - Internet opties ingesteld door de Administrator Als deze sleutel er tussen staat, betekent het dat jij geen wijzigingen aan kan brengen in Internet Explorer - Extra - Internetopties. Spybot Search & Destroy heeft de mogelijkheid om dit aan te zetten (Tools - IE Tweaks - "'Lock homepage from changes"). Code Uitleg O6 IE opties beperkt door de Administrator Als je Internet Explorer settings wilt kunnen blijven wijzigen, dan moet je dit laten repareren door HijackThis. Gebruikte registersleutels: HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel 07 - Regedit is uitgeschakeld Als deze sleutel er tussen staat, betekent het dat je het programma 'regedit' niet op mag starten. Deze instelling wordt normaal gebruikt op een bedrijfs netwerk om te voorkomen dat je dingen wijzigt die je niet mag wijzigen. Code Uitleg O7 Regedit is uitgeschakeld Hoe ziet dit eruit: O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, Disable Regedit=1 O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 Als je deze ziet staan op in een hijackthislog van een privé-computer, kan je Hijackthis dit laten fixen door het te selecteren. Gebruikte registersleutels: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"= [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"= O8 - Extra items in rechtsklikmenu van Internet Explorer Dit zijn programma's die beschikbaar zijn in Internet Explorer als je met de rechter muisknop klikt op een gedeelte van een webpagina. Sommige toolbars maken gebruik van deze optie. Code Uitleg O8 Extra opties in het rechtsklik menu van IE Hoe ziet dit eruit: O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html O8 - Extra context menu item: Add A Page Note - C:\Program Files\CommonName\AddressBar\createnote.htm O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm Als je het item in het rechtsklik-menu je niet bekend voorkomt, laat je dit repareren door HijackThis. HijackThis verwijdert niet het bijbehorende bestand. Gebruikte registersleutel: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt O9 - Extra knoppen in IE -toolbar en extra items in Menu-Extra-Opties. Dit zijn programma's die beschikbaar zijn in Internet Explorer in de standaard toolbar (degene met de knoppen als "Stop", "Refresh" en "Forward" en "Back", of de programma's die in het "Tools" of "Extra" menu staan. Code Uitleg O9 Extra knoppen in je toolbar, en extra opties in het "Tools" / "Extra" menu Hoe ziet dit eruit: O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O9 - Extra button: AIM (HKLM) Als je de naam van knop of van het menu-item niet herkent, laat je dit best repareren door HijackThis. HijackThis verwijdert niet het bijbehorende bestand. Gebruikte registersleutels: Tools: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions Button: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\CmdMapping Meer info over de O9 sleutels vind je hier. O10 - Winsock hijackers Sommige programma's gaan vestigen zich tussen je internetprogramma (browser) en je internetverbinding (ADSL, kabel) om zo de bepaalde websites te veranderen of om passwoorden te stelen. Deze sectie wordt ook wel LSP (Layered Service Provider) genoemd. LSP's zijn een manier om een stukje software te ketenen aan je Winsock. LSP's worden aan elkaar geketend wanneer Winsock wordt gebruikt. De data wordt getransporteerd door alle LSP's in de ketting. Als spyware of hijackers zich hier genesteld hebben, dan kunnen ze alle verkeer waarnemen. Code Uitleg O10 Winsock Hijackers Hoe ziet dit eruit: O10 - Hijacked Internet access by New.Net O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll Dit soort trojans zijn een groot probleem. Je kunt het probleem best oplossen met het programma LSP-Fix. Meer informatie vind je hier. Het programma Download LSPFix. Een ander programma vind je hier. 011 - Extra items in IE 'Advanced Options' window Als je naar Tools (Extra) -> Internet Options (Internet Opties) gaat, om vervolgens het tabblad "Advanced" (Geavanceerd) aan te klikken, zie je een groot aantal opties om Internet Explorer aan te passen. Sommige programma's voegen zichzelf ook hier aan toe. Code Uitleg O11 Extra items in IE 'Advanced Options' window Hoe zie dit eruit: O11 - Options group: [CommonName] CommonName De enige kaper die op dit moment bekend is, noemt "Commonname". Als je dit programma liever niet gebruikt, kan je deze sleutels selecteren om het te laten verwijderen. Gebruikte registersleutel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions 012 - Internet Explorer Plugins Dit zijn plug-ins die extra functionaliteit toevoegen aan de browser zelf. Ze worden geladen wanneer de browser opstart. Voorbeelden: Flash filmpjes kunnen spelen, PDF documenten kunnen lezen vanuit je browser,…. Code Uitleg O12 Internet Explorer plugins Hoe ziet dit eruit: O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll De meeste zaken die je hier vindt zijn niet schadelijk. Momenteel is Onflow één van de weinige plugins die niet gewenst is. Wanneer je HijackThis deze items laat repareren, zal ook het bijbehorende bestand verwijderd worden. Soms kan het bestand nog in gebruik zijn, ook al is de browser niet meer actief. Verwijder dan het bestand bij voorkeur in veilige modus. Gebruikte registersleutel: HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins O13 - IE Default Prefix hijack Normaal gesproken kan Internet Explorer automatisch een URL aanvullen. Voorbeeld: in de browser tik je in Google en Internet Explorer maakt hier automatisch Google van. Standaard voegt Windows het voorvoegsel http:// toe. Wil je dit wijzigen dan kan dit in het register. Code Uitleg O13 Internet Explorer Default Prefix hijack Hoe ziet dit eruit: O13 - DefaultPrefix: ****star Directory O13 - WWW Prefix: prolivation.com O13 - WWW. Prefix: at Ehttp.cc CoolWebSearch hijackers wijzigen het standaard voorvoegsel in at Ehttp.cc. Tik je in de adresbalk van je browser in Google, dan kom je terecht op de website van CoolWebSearch: Access Blocked. De sleutels die hierin staan, zorgen er voor dat al dit soort links, via een pagina gaan van deze Spyware leverancier. Is dit deze sleutel CWS-related, dan gebruik je best CWShredder om dit te fixen. Lukt het daar niet mee dan gebruik je HijackThis. Gebruikte registersleutels: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes Je kunt deze dus altijd laten repareren door HijackThis. 014 - Standaard instellingen van Internet Explorer Als je in Internet Explorer er voor kiest om je Webinstellingen te herstellen (Extra -> Internetopties -> tabblad Programma's -> Webinstellingen herstellen), dan worden deze 'standaard' instellingen geladen vanuit het bestand iereset.inf. Als een hijacker dit bestand aanpast, blijf je ook na het herstellen van je webinstellingen geïnfecteerd, omdat steeds foutieve informatie ingelezen wordt. Code Uitleg O14 Reset Web Settings hijack Hoe ziet dit eruit: O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com O14 - IERESET.INF: START_PAGE_URL=http://192.168.85.85:3128/ken2000.html O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= Deze sleutels kan je dus altijd laten repareren door HijackThis. (behalve als dit je Internet Service Provider is) Gebruikt bestand: C:\Windows\inf\iereset.inf C:\WINNT\inf\iereset.inf 015 - Ongewilde websites in de "Trusted" zone van Internet Explorer Websites die in de "Trusted" zone van Internet Explorer staan, worden door Internet Explorer als betrouwbaar gemarkeerd. Dit betekent dat ze meer mogen dan normale websites. Code Uitleg O15 Websites in de trusted zone van IE Internet Explorer maakt gebruik van verschillende zones: Deze computer, Internet, Lokaal intranet, Vertrouwde websites en Websites met beperkte toegang. Elke zone heeft zijn beveiligingsinstellingen. Aan de hand van die instellingen wordt bepaald welke scripts of toepassingen kunnen uitgevoerd worden wanneer je een site bezoekt die zich in deze zone bevindt. Elk van de 5 zones wordt geassocieerd met een nummer. Deze computer - 0 Lokaal Intranet - 1 Internet - 3 Vertrouwde websites - 2 Websites met beperkte toegang - 4 Om connectie te maken met het internet, kunnen verschillende protocollen gebruikt worden. Elk protocol wordt gelinkt aan één van de hierboven genoemde zones, dmv een geassocieerde nummer (Mapping). De standaardsettings zijn de volgende: Protocol Zone Mapping Zone http 3 Internet https 3 Internet ftp 3 Internet @ivt 1 Lokaal Intranet shell 0 Deze computer Het gevaar bestaat wanneer malware deze settings aanpast. Stel dat de standaardzone voor http, het Internet (met waarde 3), wordt aangepast naar de waarde 2 die geassocieerd is met Vertrouwde websites. Dan wordt elke keer dat je een website bezoekt door gebruik te maken van het protocol http, deze website beschouwt als een website uit de Vertrouwde zone. Hoe ziet dit eruit: O15 - Trusted Zone: Discover AOL - Discover AOL O15 - Trusted Zone: *.coolwebsearch.com O15 - Trusted Zone: *.msn.com O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone Als je hier websites ziet staan die je niet vertrouwt, kan je deze selecteren zodat ze verwijderd worden. Meestal AOL en Coolwebsearch voegen sites toe aan de Trusted zone. Gebruikte registersleutels: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults 016 - Active X Objects Hier staan de programma's (ActiveX componenten) die geinstalleerd zijn in je browser. De ActiveX componenten worden opgeslagen in de map C:\Windows\Downloaded Program Files. Code Uitleg O16 Active X object Hoe ziet dit eruit: O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.6.cab O16 - DPF: {2ABE804B-4D3A-41BF-A172-304627874B45} - downloadv3.com Als je de naam van het object niet herkent, of de website vanwaar je het gedownload hebt, dan laat je dit best repareren door HijackThis. Als de naam van de url woorden bevat zoals dialer, casino, free_plugin, enz… dan moet je deze altijd laten repareren. SpywareBlaster bevat een database van slechte ActiveX objecten. HijackThis verwijdert de bijhorende bestanden van je computer. Gebruikt bestand: C:\Windows\Downloaded Program Files Meer info over de activeX componenten vind je hier. 017 - LOP.com Domain Hijacks Wanneer je naar een webiste surft door gebruik te maken van een hostnaam ipv een IP-adres, gebruikt de computer de DNS-server om de host te vertalen naar een IP-adres. Sommige hijackers veranderen de namen van de DNS servers zodat hun DNS servers gebruikt worden. Op deze manier kunnen ze je door verwijzen naar elke site die ze maar willen. Internetadressen zonder punt in bestaan eigenlijk niet. Toch werkt het wel als je bv 'google' in je de adresbalk van je browser typt. Internet Explorer probeert automatisch een aantal veel voorkomende fouten te herstellen. Zo kan het van "google" automatisch "www.google.com" maken. Een van de namen die Internet Explorer automatisch probeert, is om de instelling van domeinnaam die je opgegeven hebt, automatisch achter het internetadres te plakken. Als een Spyware programma dit ook aanpast, zullen dit soort links via een website gaan van een Spyware maker. Code Uitleg O17 LOP.com Domain Hijacks Hoe ziet dit eruit: O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gla.ac.uk O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175 Als de domeinnaam niet van ISP is of van je company netwerk, laat HijackThis deze dan repareren. Idem voor SearchList-entries. Voor de NameServer (DNS-server) entries google je op het IP om te zien of dit goed of slecht is. Voorbeeld van een infectie die hiervan gebruik maakt is deze. Gebruikte registersleutels: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] "NameServer"= "Domain"= [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{CLSID}] "NameServer"= "Domain"= [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] O18 - Extra Protocollen en Protocol Hijackers De standaard protocollen worden gewijzigd door een protocol dat de hijacker gebruikt. Hierdoor krijgt de hijacker controle over bepaalde manieren hoe er informatie uitgewisseld wordt met het internet. Hijackthis leest de protocols-sectie in het register voor de niet-standaard protocols. Wanneer iets gevonden wordt meldt het de CLSID en de het pad naar het bestand. Sleutels die hier staan zijn niet altijd te vertrouwen, maar geeft op dit moment te veel "valse positieven" om blind op te vertrouwen. Code Uitleg O18 Extra protocollen en protocol hijackers Hoe ziet dit eruit: O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82} O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8} Slechts een paar hijackers treden hier op. De gekende slechteriken zijn: cn (CommonName) ayb (Lop.com) relatedlinks (Huntbar) about:blank hijackers Andere zaken die optreden zijn tot nu toe niet bevestigd als veilig of als hijacked (CLSID is veranderd) door spyware. In het laatste geval laten repareren door HijackThis. Hijackthis verwijdert niet de registersleutel en niet het bijbehorende bestand. Meer info vind je hier. Gebruikte registersleutels: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID 019 - User Style sheet hijack Een style sheet is een sjabloon dat bepaalt hoe een webpagina als geheel, en de verschillende elementen die daarin opgenomen zijn, weergegeven moet worden. De standaard style sheet wordt door de hijacker overschreven. Code Uitleg O19 User style sheet hijack Hoe ziet dit eruit: O19 - User style sheet: c:\WINDOWS\Java\my.css Als de browser trager wordt, of je krijgt regelmatig popups, dan kun je dit best repareren. Deze zaken worden veroorzaakt door coolwebsearch en je kan deze dan ook best laten repareren door CWShredder. Meer informatie over dit programma kan je hier vinden. Download CWShredder. HijackThis verwijdert niet het bijbehorende bestand. Gebruikte registersleutel: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets 020 - AppInit_DLLs Register waarde: automatisch startend - Sleutels onder Notify Appinit_DLLs: Onder de registersleutel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSes\Control\Session Manager\KnownDLLs worden een aantal .dll bestanden vermeld waar tijdens het opstarten eerst wordt naar gezocht. Deze .dll bestanden worden in een gedeelte van het geheugen geladen en hun integriteit wordt gecontroleerd. Eén van deze bestanden is het bestand user32.dll. Bestanden die vermeld worden onder de AppInit_DLLs worden geladen door een functie in user32.dll. De meeste uitvoerbare windowsbestanden (exe's) maken gebruik van user32.dll. Dit houdt in dat de dll bestanden die in de registersleutel Appinit_DLLs staan, ook geladen zullen worden. Het bestand user32.dll wordt ook gebruikt door processen die automatisch door het systeem gestart worden bij het inloggen. Dit betekent dat bestanden in AppInit_DLLs zeer vroeg geladen worden. De bestanden die geladen worden via AppInit_DLL's blijven in het geheugen geladen tot de gebruiker weer uitlogt. Code Uitleg O20 AppInit_DLLs Register waarde: automatisch startend O20 Sleutels onder Winlogon\Notify Hoe ziet dit eruit: O20 - AppInit_DLLs: msconfd.dll O20 - AppInit_DLLs: repairs.dll O20 - Winlogon Notify: Setup - C:\WINDOWS\system32\f40o0ed3eh0.dll O20 - Winlogon Notify: avpe32 - C:\WINDOWS\SYSTEM32\avpe32.dll O20 - Winlogon Notify: satdll - C:\WINDOWS\SYSTEM32\satdll.dll AppInit_DLLs: Een paar legitieme programma's maken er gebruik van (vb Google Desktop Search, Norton CleanSweep, Comodo Firewall), maar meestal wordt dit gebruikt door trojans of agressieve browserkapers (oa CoolWebSearch). De DLL bestanden die hier vermeld worden, bevinden zich meestal in de system32-map. De reden hiervoor is dat alleen de eerste 32 karakters van deze registersleutel door het systeem gelezen worden en als deze bestanden in de system32-map staan moet niet het volledige pad ingegeven worden. De bestanden zijn niet zichtbaar via Windows verkenner. Wanneer je dit item laat repareren door HijackThis, wordt het bijbehorende bestand niet verwijderd. Meer info vind je hier. Notify: Sinds versie 1.99.1 verschijnen in een HijackThislog onder de combinatie O20, ook de extra sleutels onder Notify. HijackThis maakt hiervoor gebruik van een Whitelist. Standaardsleutels onder Notify met bijbehorende .dll zijn: crypt32chain (c:\windows\system32\crypt32.dll) cryptnet (c:\windows\system32\cryptnet.dll cscdll (c:\windows\system32\cscdll.dll) ScCertProp (c:\windows\system32\wlnotify.dll) Schedule (c:\windows\system32\wlnotify.dll) Sclgntfy (c:\windows\system32\sclgntfy.dll) SensLogn (c:\windows\system32\WlNotify.dll) Termsrv (c:\windows\system32\wlnotify.dll wlballoon (c:\windows\system32\wlnotify.dll) HijackThis verwijdert de registersleutel, maar niet het bijbehorende bestand. Infecties die gebruik maakt van deze methode zijn VX2, vundo, Haxdoor, goldun, en sommige delfvarianten. Niet alle sleutels die onder Notify verschijnen zijn kwaadaardig. Windows Vista maakt geen gebruik meer van de Notify sleutel. Gebruikte registersleutels: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows: AppInit_DLLs HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify O21 - ShellServiceObjectDelayLoad Code Uitleg O21 ShellServiceObjectDelayLoad Hoe ziet dit eruit: O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll O21 - SSODL: UpperHost - {523455E4-ABCD-ABCD-1114-D709ADD3DDAB} - C:\WINDOWS\System32\UpperHost.dll Dit is een autorun methode die normaal door slechts een aantal Windows system componenten gebruikt wordt. De items die staan in het register op HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad worden door Explorer geladen wanneer Windows start. Explorer.exe is de shell van je computer. Deze wordt altijd geladen, en dus ook de bestanden die onder ShellServiceObjectDelayLoad staan. HijackThis maakt gebruik van een white list met de meest voorkomende (gebruikelijke) SSODL items. Als er dus een item verschijnt in de HijackThislog, is deze ongekend en waarschijnlijk van kwaadaardige oorsprong. Toch moet je deze met de nodige voorzichtigheid behandelen. Behoren momenteel tot de 'white list': "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}" ( %SystemDir%\Shell32.dll) "CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}" (%SystemDir%\SHELL32.dll) "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" (%SystemDir%\webcheck.dll) "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}" (%SystemDir%\stobject.dll) "AUHook" ="{11566B38-955B-4549-930F-7B7482668782}" (%SystemDir%\auhook.dll) "Network.ConnectionTray"="{7007ACCF-3202-11D1-AAD2-00805FC1270E}" (%SystemDir%\netshell.dll) "UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}" (%SystemDir%\upnpui.dll) HijackThis verwijdert niet het bijbehorende bestand. Meer info vind je hier. Gebruikte registersleutel: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad O22 - SharedTaskScheduler Code Uitleg O22 SharedTaskScheduler Hoe ziet dit eruit: O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll O22 - - SharedTaskScheduler: (araca) - {8068bf35-3711-4dce-a2f3-f008cecfe894} - c:\windows\system32\afzdbl.dll Een autorun functie die enkel geldt voor Windows 2000 en Windows XP en Windows Vista. Momenteel wordt deze methode vrij vaak gebruikt door de Zlobvarianten (rogue-anti-malwarescanners) om hun product aan te prijzen. HijackThis verwijdert de SharedTaskSchedulerwaarde die met deze entry verbonden is, maar niet de bijbehorende CLSID en het bijbehorende bestand. Meer info vind je hier. Gebruikte registersleutel: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler O23 - NT Services Een service is een programma dat op de achtergrond systeemtaken verricht. Bij het opstarten worden door Windows alle services geladen waarvan het opstarttype niet op "handmatig" of op "Uitgeschakeld" staat. Code Uitleg O23 Services Hoe ziet dit eruit: O23 - Service: NOD32 Kernel Service - Unknown - C:\Program Files\Eset\nod32krn.exe HijackThis toont je een overzicht van alle actieve niet-microsoft-services op je computer. Getoond wordt de weergave-naam en het pad naar het uitvoerbaar bestand. Tussen haakjes verschijnt de servicenaam zoals deze in het register voorkomt. Database van gekende services vind je hier. Meer info over services vind je hier. Gebruikte registersleutels: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services O24 - Windows actieve desktop componenten Dit zijn html-documenten die op je bureuablad getoond worden. De html-documenten die getoond worden kunnen lokaal op de computer opgeslagen zijn, maar ze kunnen zich ook op het internet bevinden. Smitfraudvarianten plaatsen op deze manier fake waarschuwingen op je bureaublad, die melden dat de computer geïnfecteerd is. Code Uitleg O24 Windows actieve desktop componenten Hoe ziet dit eruit: O24 - Desktop Component 1: (no name) - Google Gebruikte registersleutels: Elk component wordt weergegeven als een genummerde subsleutel van deze registerlsleutel: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components vbn: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\2 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\3 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\4 Hijackthis verwijdert de registersleutel, maar verwijdert niet het bijbehorende bestand indien dit lokaal (op de computer) opgeslagen is. Een reboot is nodig om het component ook van je bureaublad te doen verdwijnen. Manueel verwijderen kan ook: Ga naar Start - Configuratiescherm - Beeldscherm - tabblad Bureaublad. Klik op de knop "Bureaublad aanpassen" en dan op het tabblad Website. Vink hier alles uit wat je vindt en klik op verwijderen. (Mijn introductiepagina kan eventueel blijven staan)
  2. ja inderdaad zal alles foetshie zijn, dus goed gedacht van die backup.
  3. schakel die uit. kan het op 2 manieren doen, of rechts klikken op die draadloze verbinding en uitschakelen nmene of via hardware config scherm.
  4. geen spaties en of afkappingstekens in uw benamingen gebruiken, src="../../../Foto%27s/electriciteit/rijregelaars/thumb/Piko%20tr_th.JPG" alt="Piko TRansformator" name="piko" width="90" height="119" border="0" id="piko"></a></div></td> dus best omzetten naar dit, src="../../../Fotos/electriciteit/rijregelaars/thumb/Piko_tr_th.JPG" alt="Piko TRansformator" name="piko" width="90" height="119" border="0" id="piko"></a></div></td> en ook best uw html pagina's anders benoemen, bevoorbeeld, markin control.htm best zetten markin_control.htm Zal dan wel lukken en anders horen we het wel.
  5. als je niet thuis bent in linux raad ik toch voor de eerste kennismaking Ubuntu of pclinuxos aan, eens je deze beter kan beheren en gebruiken kan je alsnog overstappen op andere distro's, vergeet geen backups te nemen van je data eerst en experimenteer er dan maar op los, ikzelf ben reeds jaar en dan linux gebruiker.
  6. Hmm, welke internet provider ? Welke modem en welke router en type ? Vraag de status van uw netwerkverbinding eens op en welk ip heeft deze verkregen ? Graag ook merk en type pc.
  7. ccleaner gebruik ik wekelijks en is echt te vertrouwen, natuurlijk zijn er ook extra's in waar u als u niet weet wat te doen best op standaard laat staan, maar das met alle tools zo. Veel cleaning plezier.
  8. in de eigenschappen van deze computer kan u herstelpunten zien op hoeveel procent staat die daar ?
  9. kan nog steeds aan avermedia pcmcia card aanschaffen waar dit wel aalemaal mee gedaan kan worden, hier de link van deze site, http://www.avermedia.nl
  10. vorige datums wel, maar niet naar de dag zelf, effe resumeren, vandaag 19 maart 2008 pc gecrasht, dus je kan niet herstellen naar 19 maart 2008 maar wel bevoorbeeld naar 18 maart 2008
  11. zijn outlook stond er toen nog op, maar werkte niet meer, das een heel ander verhaal, ik stel voor om outlook op die pc te installeren, dan uw pst file daarin te importeren en dan windows mail deze vanuit outlook te laten importeren, op deze manier werkt het wel, reeds meerdere malen zelf gedaan, mag zelfs een proefversie van outlook zijn want na de import in uw windows mail mag je deze gewoon weer verwijderen.
  12. download deze tool hier Freeware Download Super Fdisk 1.0 brand deze op een cd met nero of uw favorite brandsoftware, wel de opstart cd functie nemen, en start uw pc vanaf deze gebrande cd, nu doe je alle partities weg, herstart de pc met de win xp cd nu en herinstalleren maar.
  13. deze staan goed verborgen in vista, herstelpunten zijn nooit toegangkelijk de dag zelf altijd één dag terug gaan
×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.