Ga naar inhoud

Hijackthis voor gevorderden


Aanbevolen berichten

HijackThis handleiding

Deze handleiding werd geschreven door Marcvn op deze website. De auteur gaf PC-Helpforum toestemming om het artikel te publiceren. Het artikel blijft eigendom van Marcvn en we bedanken hem graag voor de uitleg !

[TABLE=class: grid]

[TR]

[TD]U kan onderstaande handleiding rustig bestuderen. Pas echter op als je zelf dingen verwijderd uit je logje. Weet wat je doet! Als je niet weet waarmee je bezig bent, en u verwijderd zomaar dingen uit je hijackthis-logje, kan je computer instabiel worden en zelfs niet meer opstarten.

Laat je logje liever controleren door onze malware-specialisten op ons forum. Plaats je logje dan in de categorie "Bestrijding spyware, virussen" op ons forum.

Hier (klik erop) kan je een hijackthis-logje posten dat door onze specialisten Kape en Kweezie wabbit wordt nagekeken.

[/TD]

[/TR]

[/TABLE]

R0 - R1 - R2 - R3: Register sectie - Internet explorer start-/zoekpagina's url's.

Hierin staan de Internet Explorer startpagina, de Internet Explorer zoekfuncties en de Url Search Hooks.

Code Uitleg

R0 Internet explorer startpagina en zoekpagina

R1 Internet explorer zoek functies en andere karakteristieken

R2 Een nieuw register waarde

R3 R3 is voor URL Search Hook. Dit is hoogstwaarschijnlijk spyware.

Hoe ziet dit eruit:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.be

R1 - HKLM\Software\Microsoft\Internet explorer\Main,Default_Page_URL=http://www.google.be

R3 - URLSearchHook: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - C:\Program Files\TV Media\TvmBho.dll

Als de url op het einde je zoekpagina of je startpagina is, dan is alles in orde. Als dit niet het geval is, dan selecteer je de sleutel en laat je HijackThis deze repareren.

De R3-items kan je best altijd repareren, tenzij het een programma is dat je kan thuisbrengen.

URL search Hook wordt gebruikt wanneer je een adres intikt in de adresbalk zonder http:// of ftp://. Wanneer zo'n adres ingegeven wordt gaat de browser zelf het juiste protocol bepalen, en als het hierin faalt gaat het de UrlSearchHooks gebruiken die in de R3 lijst staan om het adres te zoeken dat je ingetikt hebt.

De gebruikte Registersleutel is:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks

De standaard CLSID hier is {CFBFAE00-17A6-11D0-99CB-00C04FD64497}.

Wanneer in de log het woord "Obfuscated" verschijnt, betekent dit dat een bepaald iets moeilijk waar te nemen of te begrijpen is. Een methode die spyware en Hijackers gebruiken om hun aanwezigheid kenbaar te maken. Ze verbergen een entry door de waarden te converteren naar een vorm die het gemakkelijk kan begrijpen, maar moeilijk maakt voor mensen om te verwijderen of te herkennen. Een voorbeeld hiervan zijn de hexadecimale registeringangen.

HijackThis verwijdert de registersleutels maar het verwijdert niet de bijbehorende bestanden.

Gebruikte registersleutels:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

"Start Page"

"Default_Page_URL"

"Search Bar"

"Start Page"

"Default_Search_URL"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]

"SearchAssistant"

"CustomizeSearch"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchUrl]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchUrl\\default]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

"Start Page"

"Default_Page_URL"

"Search Page"

"Search Bar"

"Default_Search_URL"

"Window Title"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl\\default]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]

"ProxyOverride"

"AutoConfigURL"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Connection Wizard]

"ShellNext"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer]

"SearchAssistant"

"CustomizeSearch"

F0 - F1: Ini-files - Automatisch geladen programma's.

De F0 en de F1 combinaties omvatten de programma's die geladen worden van de ini-bestanden win.ini en system.ini. Voor Windows 2000 en Windows XP zijn dit de F2 en de F3 entries. Deze staan opgeslagen in het register.

Code Uitleg

F0 Een veranderde INI-file waarde

F1 Een nieuwe INI-file waarde

F2 Automatisch geladen programma's

F3 Automatisch geladen programma's

Hoe ziet dit eruit:

F0 - system.ini: Shell=Explorer.exe Openme.exe

F0 - system.ini: Shell=Explorer.exe C:\WINDOWS\System32\cmd32.exe

F1 - win.ini: run=hpfsched

F2 - REG: system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe

F0 komt overeen met de Shell= verwijzing in het bestand system.ini. De Shell= verwijzing in system.ini wordt door Windows 9.x gebruikt om aan te duiden welk programma moet optreden als de shell voor het besturingssysteem. De Shell is het programma dat oa je desktop laadt, windows beheer afhandelt en zorgt voor de wisselwerking tussen de gebruiker en het systeem.

Elk programma dat achter deze shell verwijzing staat, wordt geladen wanneer windows opstart. Windows 95 en 98 gebruiken Explorer.exe als standaard shell.

De F0-items zijn meestal slecht, en kan je best laten repareren door HijackThis.

F1 komt overeen met de Run= of Load= entry in het bestand win.ini. Alle programma's die volgen na run= of load= zullen geladen worden wanneer Windows opgestart wordt.

De run= verwijzing werd vroeger veel gebruikt, de huidige programma's maken hier geen gebruik meer van. Nu wordt deze nog behouden voor backwards compatibility met oudere programma's. De load= verwijzing werd gebruikt om drivers voor de hardware te laden.

De F1-items moeten afzonderlijk bekeken worden. Het zijn meestal oude en veilige programma's. Zoek wat meer info over de filenaam om te kijken of ze kwaadaardig zijn.

De F2 en de F3 entries komen overeen met de F0 en de F1 entries, maar worden gebruikt in Windows 2000 en Windows XP en staan in het register. Windows 2000 en Windows XP maken gewoonlijk geen gebruik van de bestanden system.ini en win.ini.

Een F2-waarde die je vaak ziet is: F2 - REG: system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe

Deze komt overeen met de volgende registersleutel:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit.

Deze sleutel bepaalt welke programma's er opgestart moeten worden wanneer de gebruiker inlogt. Het standaard programma voor deze sleutel is C:\windows\system32\userinit.exe.

Userinit.exe is een programma dat je profiel terugplaatst.

Er kunnen ook andere programma's toegevoegd worden. Deze worden dan gescheiden door een komma.

Voorbeeldje: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit =C:\windows\system32\userinit.exe,c:\windows\programs.exe. Op deze manier worden beide programma's (userinit.exe en programs.exe) uitgevoerd bij het opstarten. Een handig plaatsje voor malware om mee op starten.

Wanneer bestanden zijn toegevoegd na de userinit.exe, verwijdert HijackThis de registersleutel maar niet het bijbehorende bestand.

Sommige bestanden achter de userinit.exe blijven verborgen in een HijackThislog. Je ziet dan wel een F2-sleutel verschijnen in de log.

Gebruikte registersleutels:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

"run"=""

"load"=""

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping

Gebruikte bestanden:

C:\Windows\system.ini

C:\Windows\win.ini

Als je de F-items fixt met HijackThis worden de bestanden niet verwijderd.

N1 - N2 - N3 - N4: Mozilla en Netscape start-/zoekpagina url's

Dit zijn de Mozilla en Netscape start- en zoekpagina's.

Code Uitleg

N1 Netscape 4 startpagina en zoekpagina

N2 Netscape 6 startpagina en zoekpagina

N3 Netscape 7 startpagina en zoekpagina

N4 Mozilla startpagina en zoekpagina

Hoe ziet dit eruit:

N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)

N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)

N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)

Mozilla en Netscape start- en zoekpagina's zijn meestal veilig. Ze worden zelden gehijacked. Zie je toch een url die niet je start- of zoekpagina is, dan laat je deze best repareren door HijackThis.

Gebruikte bestanden: prefs.js

O1: Hostfiles

Dit zijn wijzigingen aan je hosts file. Je hosts file wordt gebruikt om van namen, adressen te maken die je PC begrijpt. Meestal moet deze file leeg zijn (op een aantal regel commentaar en een "localhost" entry na), tenzij je hier zelf iets ingezet hebt.

Code Uitleg

O1 Een entry in de hosts file

Hoe ziet dit eruit:

O1 - Hosts: 216.177.73.139 auto.search.msn.com

O1 - Hosts: 216.177.73.139 search.netscape.com

O1 - Hosts: 216.177.73.139 ieautosearch

O1 - Hosts: 207.44.240.65 ads.x10.com

Deze hijack verbindt het adres rechts opnieuw met het IP-adres links. Als het IP niet toebehoort aan dit adres, wordt je telkens opnieuw doorverbonden naar een verkeerde site, elke keer je dit adres gebruikt of ingeeft.

Heb je deze entry er zelf ingezet, dan kan je ze laten staan. Anders laat je ze repareren door HijackThis.

Hosts kan je standaard vinden op de volgende plaats:

Windows 3.1 / 95 / 98 / ME C:\WINDOWS\HOSTS

Windows NT / 2000 C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS

Windows XP / 2003 C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

Windows Vista C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

De plaats waar het bestand Hosts zich bevind kan je wijzigen in het register. Voor Windows NT, Windows 2000 en Windows XP is dit de volgende registersleutel:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\: DatabasePath

Bevindt het bestand Hosts zich niet op de standaard locatie, en je hebt de plaats niet zelf gewijzigd, dan is de kans groot dat je een infectie opgelopen hebt. Laat HijackThis dit dan repareren.

Wanneer je merkt dat het bestand Hosts zich bevindt op C:\Windows\Help\hosts, ben je geïnfecteerd door CoolWebSearch.

Wil je terug beschikken over het standaard Hosts-bestand, dan kan je de Hoster downloaden. Unzip het programma, run het, klik op Restore Original Hosts, klik op OK en sluit het programma af.

O2 Browser Helper Objects

Browser Helper Objects zijn programma's die zich in je internet browser nestelen, om daar nuttige, en minder nuttige taken uit te voeren. Meestal worden BHO's geïnstalleerd door andere programma's.

Code Uitleg

O2 Een Browser Helper Object

Hoe ziet dit eruit:

O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL

O2 - BHO: (no name) - {ABC6E7B5-9839-E1A7-3F27-B46EA0DAEBBF} - C:\WINDOWS\system32\kuydznif.dll

O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)

O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL

Wanneer je een Browser Helper Object (BHO) niet onmiddellijk herkent, kan je de CLSID-list gebruiken van Tony Klein. Hier kan je de class ID opzoeken om te zien of deze kwaadaardig is of niet. Mirror.

Wordt de BHO aangeduid met een X dan is het spyware. Een L betekent dat het een veilig object is.

Wanneer je de O2-items repareert met Hijackthis, tracht het programma het bijbehorende bestand te verwijderen. Het kan zijn dat het bestand op dat moment nog in gebruik is. Heeft Hijackthis het bestand niet kunnen verwijderen, dan start je de computer in veilige modus en verwijder je het bestand.

Gebruikte registersleutel: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

03 - Internet Explorer Toolbars

De toolbars zijn een onderdeel van je Internet Explorer.

Code Uitleg

O3 Een IE toolbar

Hoe ziet dit eruit:

O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL

O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)

O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\2.bin\MYBAR.DLL

O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL

Ook van de toolbars kan je meer info bekomen, door de CLSID op te zoeken in de CLSID-list.

Als de CLSID niet in de lijst staat, en de naam is een samenraapsel van allerlei karakters en deze is gelokaliseerd in de map Application Data (zoals het laatste voorbeeld), dan kan je stellen dat deze spyware is. Laat hem repareren door HijackThis.

HijackThis verwijdert niet het bijbehorende bestand.

Gebruikte registersleutel:

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar

O4 - Automatisch startende programma's

Dit omvat de programma's die automatisch geladen worden wanneer Windows opstart. Hiervoor wordt gebruik gemaakt van bepaalde registersleutels en van de map opstarten.

Code Uitleg

O4 Automatisch startende programma's

Hoe ziet dit eruit:

O4 - HKLM\..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

Wanneer in een O4-regel het woord Startup voorkomt, verwijst dit naar een programma dat geladen wordt omdat het geplaatst is in de map Opstarten van de gebruiker. Deze map bevindt zich in C:\Documents and Settings\Login\Menu Start\Programma's\.

Global Startup verwijst naar een programma dat geladen wordt omdat het geplaatst is in de map Opstarten van Alle Gebruikers. Deze map bevindt zich in C:\Documents and Settings\All Users\Menu Start\Programma's.

Gebruikte registersleutels:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

Gebruikte directories:

C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten

C:\Documents and Settings\Login\Menu Start\Programma's\Opstarten

Wanneer je met HijackThis de O4-items laat repareren, zullen de bestanden die bij dit item horen, niet verwijderd worden door HijackThis. Dit zul je nadien zelf moeten doen, bij voorkeur na een reboot in veilige modus.

Voor de Startup en de Gobal Startup items werkt het iets anders. HijackThis verwijdert de snelkoppelingen in de map Opstarten naar het bestand, maar het bestand zelf verwijdert HijackThis niet, tenzij het bestand zich effectief in de map Opstarten bevindt.

Pac Man's Startup Program List geeft je meer informatie over het programma dat opstart. Je kunt controleren of deze kwaad- of goedaardig is. Let wel op: sommige opstart-items kunnen zowel goed als slecht zijn. Goed interpreteren en kijken waar het zich bevindt….

Andere sites waar je meer informatie kan krijgen over de opstart-items zijn:

Answers that work

Greatis Startup Application Database

Kephyr File Database

Windows Startup Online

Windows Process Library

O5 - Internet Explorer opties verborgen in configuratiescherm

Code Uitleg

O5 Internet Explorer opties verborgen in configuratiescherm

Hoe ziet dit eruit:

O5 - control.ini: inetcpl.cpl=no

Als deze sleutel er tussen staat wil dit zeggen dat 'Internet Opties' verborgen is in het configuratiescherm. Als je deze instelling niet zelf gemaakt hebt, kan je deze selecteren en dit laten repareren door HijackThis. Zie ook dit Microsoft Knowledge Base Article.

Gebruikte registersleutel:

HKEY_CURRENT_USER\Control Panel\don't load

Gebruikt bestand:

C:\Windows\control.ini

O6 - Internet opties ingesteld door de Administrator

Als deze sleutel er tussen staat, betekent het dat jij geen wijzigingen aan kan brengen in Internet Explorer - Extra - Internetopties. Spybot Search & Destroy heeft de mogelijkheid om dit aan te zetten (Tools - IE Tweaks - "'Lock homepage from changes").

Code Uitleg

O6 IE opties beperkt door de Administrator

Als je Internet Explorer settings wilt kunnen blijven wijzigen, dan moet je dit laten repareren door HijackThis.

Gebruikte registersleutels:

HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions

HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel

07 - Regedit is uitgeschakeld

Als deze sleutel er tussen staat, betekent het dat je het programma 'regedit' niet op mag starten. Deze instelling wordt normaal gebruikt op een bedrijfs netwerk om te voorkomen dat je dingen wijzigt die je niet mag wijzigen.

Code Uitleg

O7 Regedit is uitgeschakeld

Hoe ziet dit eruit:

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, Disable Regedit=1

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Als je deze ziet staan op in een hijackthislog van een privé-computer, kan je Hijackthis dit laten fixen door het te selecteren.

Gebruikte registersleutels:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableRegistryTools"=

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableRegistryTools"=

O8 - Extra items in rechtsklikmenu van Internet Explorer

Dit zijn programma's die beschikbaar zijn in Internet Explorer als je met de rechter muisknop klikt op een gedeelte van een webpagina. Sommige toolbars maken gebruik van deze optie.

Code Uitleg

O8 Extra opties in het rechtsklik menu van IE

Hoe ziet dit eruit:

O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html

O8 - Extra context menu item: Add A Page Note - C:\Program Files\CommonName\AddressBar\createnote.htm

O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm

O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm

O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm

Als je het item in het rechtsklik-menu je niet bekend voorkomt, laat je dit repareren door HijackThis.

HijackThis verwijdert niet het bijbehorende bestand.

Gebruikte registersleutel:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt

O9 - Extra knoppen in IE -toolbar en extra items in Menu-Extra-Opties.

Dit zijn programma's die beschikbaar zijn in Internet Explorer in de standaard toolbar (degene met de knoppen als "Stop", "Refresh" en "Forward" en "Back", of de programma's die in het "Tools" of "Extra" menu staan.

Code Uitleg

O9 Extra knoppen in je toolbar, en extra opties in het "Tools" / "Extra" menu

Hoe ziet dit eruit:

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Messenger (HKLM)

O9 - Extra button: AIM (HKLM)

Als je de naam van knop of van het menu-item niet herkent, laat je dit best repareren door HijackThis.

HijackThis verwijdert niet het bijbehorende bestand.

Gebruikte registersleutels:

Tools: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions

Button: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\CmdMapping

Meer info over de O9 sleutels vind je hier.

O10 - Winsock hijackers

Sommige programma's gaan vestigen zich tussen je internetprogramma (browser) en je internetverbinding (ADSL, kabel) om zo de bepaalde websites te veranderen of om passwoorden te stelen.

Deze sectie wordt ook wel LSP (Layered Service Provider) genoemd. LSP's zijn een manier om een stukje software te ketenen aan je Winsock.

LSP's worden aan elkaar geketend wanneer Winsock wordt gebruikt. De data wordt getransporteerd door alle LSP's in de ketting. Als spyware of hijackers zich hier genesteld hebben, dan kunnen ze alle verkeer waarnemen.

Code Uitleg

O10 Winsock Hijackers

Hoe ziet dit eruit:

O10 - Hijacked Internet access by New.Net

O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing

O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll

Dit soort trojans zijn een groot probleem. Je kunt het probleem best oplossen met het programma LSP-Fix. Meer informatie vind je hier. Het programma Download LSPFix.

Een ander programma vind je hier.

011 - Extra items in IE 'Advanced Options' window

Als je naar Tools (Extra) -> Internet Options (Internet Opties) gaat, om vervolgens het tabblad "Advanced" (Geavanceerd) aan te klikken, zie je een groot aantal opties om Internet Explorer aan te passen. Sommige programma's voegen zichzelf ook hier aan toe.

Code Uitleg

O11 Extra items in IE 'Advanced Options' window

Hoe zie dit eruit:

O11 - Options group: [CommonName] CommonName

De enige kaper die op dit moment bekend is, noemt "Commonname". Als je dit programma liever niet gebruikt, kan je deze sleutels selecteren om het te laten verwijderen.

Gebruikte registersleutel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions

012 - Internet Explorer Plugins

Dit zijn plug-ins die extra functionaliteit toevoegen aan de browser zelf. Ze worden geladen wanneer de browser opstart. Voorbeelden: Flash filmpjes kunnen spelen, PDF documenten kunnen lezen vanuit je browser,….

Code Uitleg

O12 Internet Explorer plugins

Hoe ziet dit eruit:

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

De meeste zaken die je hier vindt zijn niet schadelijk. Momenteel is Onflow één van de weinige plugins die niet gewenst is.

Wanneer je HijackThis deze items laat repareren, zal ook het bijbehorende bestand verwijderd worden. Soms kan het bestand nog in gebruik zijn, ook al is de browser niet meer actief. Verwijder dan het bestand bij voorkeur in veilige modus.

Gebruikte registersleutel:

HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins

O13 - IE Default Prefix hijack

Normaal gesproken kan Internet Explorer automatisch een URL aanvullen. Voorbeeld: in de browser tik je in Google en Internet Explorer maakt hier automatisch Google van. Standaard voegt Windows het voorvoegsel http:// toe. Wil je dit wijzigen dan kan dit in het register.

Code Uitleg

O13 Internet Explorer Default Prefix hijack

Hoe ziet dit eruit:

O13 - DefaultPrefix: ****star Directory

O13 - WWW Prefix: prolivation.com

O13 - WWW. Prefix: at Ehttp.cc

CoolWebSearch hijackers wijzigen het standaard voorvoegsel in at Ehttp.cc.

Tik je in de adresbalk van je browser in Google, dan kom je terecht op de website van CoolWebSearch: Access Blocked.

De sleutels die hierin staan, zorgen er voor dat al dit soort links, via een pagina gaan van deze Spyware leverancier.

Is dit deze sleutel CWS-related, dan gebruik je best CWShredder om dit te fixen. Lukt het daar niet mee dan gebruik je HijackThis.

Gebruikte registersleutels:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes

Je kunt deze dus altijd laten repareren door HijackThis.

014 - Standaard instellingen van Internet Explorer

Als je in Internet Explorer er voor kiest om je Webinstellingen te herstellen (Extra -> Internetopties -> tabblad Programma's -> Webinstellingen herstellen), dan worden deze 'standaard' instellingen geladen vanuit het bestand iereset.inf. Als een hijacker dit bestand aanpast, blijf je ook na het herstellen van je webinstellingen geïnfecteerd, omdat steeds foutieve informatie ingelezen wordt.

Code Uitleg

O14 Reset Web Settings hijack

Hoe ziet dit eruit:

O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com

O14 - IERESET.INF: START_PAGE_URL=http://192.168.85.85:3128/ken2000.html

O14 - IERESET.INF: SEARCH_PAGE_URL=

O14 - IERESET.INF: START_PAGE_URL=

Deze sleutels kan je dus altijd laten repareren door HijackThis. (behalve als dit je Internet Service Provider is)

Gebruikt bestand:

C:\Windows\inf\iereset.inf

C:\WINNT\inf\iereset.inf

015 - Ongewilde websites in de "Trusted" zone van Internet Explorer

Websites die in de "Trusted" zone van Internet Explorer staan, worden door Internet Explorer als betrouwbaar gemarkeerd. Dit betekent dat ze meer mogen dan normale websites.

Code Uitleg

O15 Websites in de trusted zone van IE

Internet Explorer maakt gebruik van verschillende zones: Deze computer, Internet, Lokaal intranet, Vertrouwde websites en Websites met beperkte toegang. Elke zone heeft zijn beveiligingsinstellingen. Aan de hand van die instellingen wordt bepaald welke scripts of toepassingen kunnen uitgevoerd worden wanneer je een site bezoekt die zich in deze zone bevindt.

Elk van de 5 zones wordt geassocieerd met een nummer.

  • Deze computer - 0
  • Lokaal Intranet - 1
  • Internet - 3
  • Vertrouwde websites - 2
  • Websites met beperkte toegang - 4

Om connectie te maken met het internet, kunnen verschillende protocollen gebruikt worden. Elk protocol wordt gelinkt aan één van de hierboven genoemde zones, dmv een geassocieerde nummer (Mapping). De standaardsettings zijn de volgende:

Protocol Zone Mapping Zone

http 3 Internet

https 3 Internet

ftp 3 Internet

@ivt 1 Lokaal Intranet

shell 0 Deze computer

Het gevaar bestaat wanneer malware deze settings aanpast. Stel dat de standaardzone voor http, het Internet (met waarde 3), wordt aangepast naar de waarde 2 die geassocieerd is met Vertrouwde websites. Dan wordt elke keer dat je een website bezoekt door gebruik te maken van het protocol http, deze website beschouwt als een website uit de Vertrouwde zone.

Hoe ziet dit eruit:

O15 - Trusted Zone: Discover AOL - Discover AOL

O15 - Trusted Zone: *.coolwebsearch.com

O15 - Trusted Zone: *.msn.com

O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone

Als je hier websites ziet staan die je niet vertrouwt, kan je deze selecteren zodat ze verwijderd worden.

Meestal AOL en Coolwebsearch voegen sites toe aan de Trusted zone.

Gebruikte registersleutels:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults

016 - Active X Objects

Hier staan de programma's (ActiveX componenten) die geinstalleerd zijn in je browser. De ActiveX componenten worden opgeslagen in de map C:\Windows\Downloaded Program Files.

Code Uitleg

O16 Active X object

Hoe ziet dit eruit:

O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} -

http://imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.6.cab

O16 - DPF: {2ABE804B-4D3A-41BF-A172-304627874B45} - downloadv3.com

Als je de naam van het object niet herkent, of de website vanwaar je het gedownload hebt, dan laat je dit best repareren door HijackThis. Als de naam van de url woorden bevat zoals dialer, casino, free_plugin, enz… dan moet je deze altijd laten repareren.

SpywareBlaster bevat een database van slechte ActiveX objecten.

HijackThis verwijdert de bijhorende bestanden van je computer.

Gebruikt bestand:

C:\Windows\Downloaded Program Files

Meer info over de activeX componenten vind je hier.

017 - LOP.com Domain Hijacks

Wanneer je naar een webiste surft door gebruik te maken van een hostnaam ipv een IP-adres, gebruikt de computer de DNS-server om de host te vertalen naar een IP-adres. Sommige hijackers veranderen de namen van de DNS servers zodat hun DNS servers gebruikt worden. Op deze manier kunnen ze je door verwijzen naar elke site die ze maar willen.

Internetadressen zonder punt in bestaan eigenlijk niet. Toch werkt het wel als je bv 'google' in je de adresbalk van je browser typt. Internet Explorer probeert automatisch een aantal veel voorkomende fouten te herstellen. Zo kan het van "google" automatisch "www.google.com" maken. Een van de namen die Internet Explorer automatisch probeert, is om de instelling van domeinnaam die je opgegeven hebt, automatisch achter het internetadres te plakken. Als een Spyware programma dit ook aanpast, zullen dit soort links via een website gaan van een Spyware maker.

Code Uitleg

O17 LOP.com Domain Hijacks

Hoe ziet dit eruit:

O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com

O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gla.ac.uk

O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175

Als de domeinnaam niet van ISP is of van je company netwerk, laat HijackThis deze dan repareren. Idem voor SearchList-entries. Voor de NameServer (DNS-server) entries google je op het IP om te zien of dit goed of slecht is.

Voorbeeld van een infectie die hiervan gebruik maakt is deze.

Gebruikte registersleutels:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

"NameServer"=

"Domain"=

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{CLSID}]

"NameServer"=

"Domain"=

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

O18 - Extra Protocollen en Protocol Hijackers

De standaard protocollen worden gewijzigd door een protocol dat de hijacker gebruikt. Hierdoor krijgt de hijacker controle over bepaalde manieren hoe er informatie uitgewisseld wordt met het internet.

Hijackthis leest de protocols-sectie in het register voor de niet-standaard protocols. Wanneer iets gevonden wordt meldt het de CLSID en de het pad naar het bestand.

Sleutels die hier staan zijn niet altijd te vertrouwen, maar geeft op dit moment te veel "valse positieven" om blind op te vertrouwen.

Code Uitleg

O18 Extra protocollen en protocol hijackers

Hoe ziet dit eruit:

O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll

O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}

O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

Slechts een paar hijackers treden hier op. De gekende slechteriken zijn:

  • cn (CommonName)
  • ayb (Lop.com)
  • relatedlinks (Huntbar)
  • about:blank hijackers

Andere zaken die optreden zijn tot nu toe niet bevestigd als veilig of als hijacked (CLSID is veranderd) door spyware. In het laatste geval laten repareren door HijackThis. Hijackthis verwijdert niet de registersleutel en niet het bijbehorende bestand.

Meer info vind je hier.

Gebruikte registersleutels:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID

019 - User Style sheet hijack

Een style sheet is een sjabloon dat bepaalt hoe een webpagina als geheel, en de verschillende elementen die daarin opgenomen zijn, weergegeven moet worden.

De standaard style sheet wordt door de hijacker overschreven.

Code Uitleg

O19 User style sheet hijack

Hoe ziet dit eruit:

O19 - User style sheet: c:\WINDOWS\Java\my.css

Als de browser trager wordt, of je krijgt regelmatig popups, dan kun je dit best repareren.

Deze zaken worden veroorzaakt door coolwebsearch en je kan deze dan ook best laten repareren door CWShredder. Meer informatie over dit programma kan je hier vinden.

Download CWShredder.

HijackThis verwijdert niet het bijbehorende bestand.

Gebruikte registersleutel:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets

020 - AppInit_DLLs Register waarde: automatisch startend - Sleutels onder Notify

Appinit_DLLs:

Onder de registersleutel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSes\Control\Session Manager\KnownDLLs

worden een aantal .dll bestanden vermeld waar tijdens het opstarten eerst wordt naar gezocht.

Deze .dll bestanden worden in een gedeelte van het geheugen geladen en hun integriteit wordt gecontroleerd.

Eén van deze bestanden is het bestand user32.dll.

Bestanden die vermeld worden onder de AppInit_DLLs worden geladen door een functie in user32.dll.

De meeste uitvoerbare windowsbestanden (exe's) maken gebruik van user32.dll.

Dit houdt in dat de dll bestanden die in de registersleutel Appinit_DLLs staan, ook geladen zullen worden. Het bestand user32.dll wordt ook gebruikt door processen die automatisch door het systeem gestart worden bij het inloggen. Dit betekent dat bestanden in AppInit_DLLs zeer vroeg geladen worden.

De bestanden die geladen worden via AppInit_DLL's blijven in het geheugen geladen tot de gebruiker weer uitlogt.

Code Uitleg

O20 AppInit_DLLs Register waarde: automatisch startend

O20 Sleutels onder Winlogon\Notify

Hoe ziet dit eruit:

O20 - AppInit_DLLs: msconfd.dll

O20 - AppInit_DLLs: repairs.dll

O20 - Winlogon Notify: Setup - C:\WINDOWS\system32\f40o0ed3eh0.dll

O20 - Winlogon Notify: avpe32 - C:\WINDOWS\SYSTEM32\avpe32.dll

O20 - Winlogon Notify: satdll - C:\WINDOWS\SYSTEM32\satdll.dll

AppInit_DLLs: Een paar legitieme programma's maken er gebruik van (vb Google Desktop Search, Norton CleanSweep, Comodo Firewall), maar meestal wordt dit gebruikt door trojans of agressieve browserkapers (oa CoolWebSearch).

De DLL bestanden die hier vermeld worden, bevinden zich meestal in de system32-map. De reden hiervoor is dat alleen de eerste 32 karakters van deze registersleutel door het systeem gelezen worden en als deze bestanden in de system32-map staan moet niet het volledige pad ingegeven worden.

De bestanden zijn niet zichtbaar via Windows verkenner.

Wanneer je dit item laat repareren door HijackThis, wordt het bijbehorende bestand niet verwijderd.

Meer info vind je hier.

Notify: Sinds versie 1.99.1 verschijnen in een HijackThislog onder de combinatie O20, ook de extra sleutels onder Notify. HijackThis maakt hiervoor gebruik van een Whitelist. Standaardsleutels onder Notify met bijbehorende .dll zijn:

  • crypt32chain (c:\windows\system32\crypt32.dll)
  • cryptnet (c:\windows\system32\cryptnet.dll
  • cscdll (c:\windows\system32\cscdll.dll)
  • ScCertProp (c:\windows\system32\wlnotify.dll)
  • Schedule (c:\windows\system32\wlnotify.dll)
  • Sclgntfy (c:\windows\system32\sclgntfy.dll)
  • SensLogn (c:\windows\system32\WlNotify.dll)
  • Termsrv (c:\windows\system32\wlnotify.dll
  • wlballoon (c:\windows\system32\wlnotify.dll)

HijackThis verwijdert de registersleutel, maar niet het bijbehorende bestand.

Infecties die gebruik maakt van deze methode zijn VX2, vundo, Haxdoor, goldun, en sommige delfvarianten.

Niet alle sleutels die onder Notify verschijnen zijn kwaadaardig.

Windows Vista maakt geen gebruik meer van de Notify sleutel.

Gebruikte registersleutels:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows: AppInit_DLLs

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

O21 - ShellServiceObjectDelayLoad

Code Uitleg

O21 ShellServiceObjectDelayLoad

Hoe ziet dit eruit:

O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll

O21 - SSODL: UpperHost - {523455E4-ABCD-ABCD-1114-D709ADD3DDAB} - C:\WINDOWS\System32\UpperHost.dll

Dit is een autorun methode die normaal door slechts een aantal Windows system componenten gebruikt wordt. De items die staan in het register op HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad worden door Explorer geladen wanneer Windows start. Explorer.exe is de shell van je computer. Deze wordt altijd geladen, en dus ook de bestanden die onder ShellServiceObjectDelayLoad staan.

HijackThis maakt gebruik van een white list met de meest voorkomende (gebruikelijke) SSODL items. Als er dus een item verschijnt in de HijackThislog, is deze ongekend en waarschijnlijk van kwaadaardige oorsprong. Toch moet je deze met de nodige voorzichtigheid behandelen.

Behoren momenteel tot de 'white list':

  • "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}" ( %SystemDir%\Shell32.dll)
  • "CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}" (%SystemDir%\SHELL32.dll)
  • "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" (%SystemDir%\webcheck.dll)
  • "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}" (%SystemDir%\stobject.dll)
  • "AUHook" ="{11566B38-955B-4549-930F-7B7482668782}" (%SystemDir%\auhook.dll)
  • "Network.ConnectionTray"="{7007ACCF-3202-11D1-AAD2-00805FC1270E}" (%SystemDir%\netshell.dll)
  • "UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}" (%SystemDir%\upnpui.dll)

HijackThis verwijdert niet het bijbehorende bestand.

Meer info vind je hier.

Gebruikte registersleutel:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

O22 - SharedTaskScheduler

Code Uitleg

O22 SharedTaskScheduler

Hoe ziet dit eruit:

O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll

O22 - - SharedTaskScheduler: (araca) - {8068bf35-3711-4dce-a2f3-f008cecfe894} - c:\windows\system32\afzdbl.dll

Een autorun functie die enkel geldt voor Windows 2000 en Windows XP en Windows Vista.

Momenteel wordt deze methode vrij vaak gebruikt door de Zlobvarianten (rogue-anti-malwarescanners) om hun product aan te prijzen.

HijackThis verwijdert de SharedTaskSchedulerwaarde die met deze entry verbonden is, maar niet de bijbehorende CLSID en het bijbehorende bestand.

Meer info vind je hier.

Gebruikte registersleutel:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

O23 - NT Services

Een service is een programma dat op de achtergrond systeemtaken verricht. Bij het opstarten worden door Windows alle services geladen waarvan het opstarttype niet op "handmatig" of op "Uitgeschakeld" staat.

Code Uitleg

O23 Services

Hoe ziet dit eruit:

O23 - Service: NOD32 Kernel Service - Unknown - C:\Program Files\Eset\nod32krn.exe

HijackThis toont je een overzicht van alle actieve niet-microsoft-services op je computer.

Getoond wordt de weergave-naam en het pad naar het uitvoerbaar bestand. Tussen haakjes verschijnt de servicenaam zoals deze in het register voorkomt.

Database van gekende services vind je hier.

Meer info over services vind je hier.

Gebruikte registersleutels:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

O24 - Windows actieve desktop componenten

Dit zijn html-documenten die op je bureuablad getoond worden.

De html-documenten die getoond worden kunnen lokaal op de computer opgeslagen zijn, maar ze kunnen zich ook op het internet bevinden.

Smitfraudvarianten plaatsen op deze manier fake waarschuwingen op je bureaublad, die melden dat de computer geïnfecteerd is.

Code Uitleg

O24 Windows actieve desktop componenten

Hoe ziet dit eruit:

O24 - Desktop Component 1: (no name) - Google

Gebruikte registersleutels:

Elk component wordt weergegeven als een genummerde subsleutel van deze registerlsleutel:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components

vbn:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\2

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\3

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\4

Hijackthis verwijdert de registersleutel, maar verwijdert niet het bijbehorende bestand indien dit lokaal (op de computer) opgeslagen is.

Een reboot is nodig om het component ook van je bureaublad te doen verdwijnen.

Manueel verwijderen kan ook:

Ga naar Start - Configuratiescherm - Beeldscherm - tabblad Bureaublad.

Klik op de knop "Bureaublad aanpassen" en dan op het tabblad Website.

Vink hier alles uit wat je vindt en klik op verwijderen. (Mijn introductiepagina kan eventueel blijven staan)

aangepast door Kurtt
toevoeging waarschuwing (zie kader bovenaan)
Link naar reactie
Delen op andere sites

Gast
Dit topic is nu gesloten voor nieuwe reacties.
×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.