ערכתי לאחרונה בתאריך 12.11.05 בשעה 16:09 בברכה, Omerr
המדריך מפורסם במקביל בפורום תוכנה ומערכות הפעלה ובפורום מדריכים, טריקים וטיפים.הערה א': מדריך זה הינו מבוא בלבד לנושא. גם אדם אשר יודע אותו לגמרי ואף מפנים את המידע המועבר, לא יכול לנתח לוגים של HijackThis באופן מבוטח.
הערה ב': השקעתי שעות עבודה רבות במדריך, על אף שהוא רק החלק הראשון. חשוב מאוד שכל שאלה שהתעוררה בזמן המדריך תשלחו לי – כדי שאוכל לענות עליה בחלקים הבאים.
לגולשים שביניכם המבקרים בפורום תוכנה, וודאי ידוע כי כבר כמעט חצי שנה מתקיים פרוייקט של מלחמה ב-SpyWare, או באופן מדוייק יותר – מלחמה ב-MalWare, כל מזיק אינטרנט שהוא.
להלן העוגן הקשור לעניין:
https://rotter.name/cgi-bin/nor/dcboard.cgi?az=show_thread&om=10825&forum=soft&viewmode=all
על מה זה MalWare, כבר כתבתי במדריך נוסף המסביר איך להמנע מ-MalWare, כאן:
https://rotter.name/cgi-bin/nor/dcboard.cgi?az=read_count&om=11632&forum=guide
כאשר אדם בעל בעייה של MalWare מעוניין לקבל עזרה בפורום תוכנה והתוכנות השונות לא עוזרות לו, הוא מפרסם לוג של תוכנת HijackThis, ודרכו אני יודע מה הפעולות שצריכות להעשות על מנת לתקן את הבעייה. לרוב, אדם אשר מסתכל בלוג של HijackThis לראשונה, חושב שמדובר בסינית, אך לאחר שמתרגלים ומבינים את התוכנה – היא כלי נהדר שעוזר להלחם בכל מזיק. התוכנה הזו סורקת למעשה את הרג'יסטרי (Registry) ומספקת מידע חשוב כדי שנוכל להלחם במזיקים.
את המדריך הבא, אני מקדיש להבנת התוכנה HijackThis – מה המידע שהיא נותנת לנו, וכיצד ניתן להעזר בה. בחלקים הבאים, אסביר וארחיב יותר על עבודתו של מנתח הלוגים, מעבר לניתוח פשוט של ה-Entries (חלקים בלוג, שבעצם מעידים על Values של ה-Registry).
על מנת להבין את פעילות התוכנה, יש לדעת מספר דברים קודם ולהתקדם בהדרגה. לנוחיותכם, חילקתי את המדריך לחלקים (מעבר למבוא שכבר ניתן עד כה):
1. הקדמה – מה זה Registry?
2. מה מביאה לנו התוכנה HijackThis?
3. הערות והקדמה לחלק הבא.
1. הקדמה – מה זה Registry?
ראשית, יש להבין כי ה-Registry הינו עולם שלם ואפשר לחקור אותו לאורך, לרוחב ולעומק במשך מאמרים שלמים. למרות זאת, אני אתן רק טעימה על קצה המזלג כדי שנוכל להבין את ההמשך.
ובכן, אנסה לענות על השאלה שבכותרת. ה-Registry הינו מאגר נתונים המשומש כדי לאגור אפשרויות והגדרות בגירסאות Windows רבות, ביניהן 95, 98, ME, NT, 2000 ו-XP. הרג'יסטרי מכיל מידע על כל החומרה, התוכנה (כל תוכנה שאתם מתקינים תוסיף בד"כ ערך אחד לפחות לרג'יסטרי), משתמשים, העדפות, אפשרויות והגדרות של המחשב. כל שינוי שמשתמש יוצר בלוח הבקרה (Control Panel), בהגדרות המערכת או מתקין תוכנה – דבר זה משפיע באופן מיידי וישיר על ה-Registry.
כמו כל מאגר נתונים, גם מאגר נתוני ה-Registry נמצא בתוך קובץ במחשב. מיקום ושם הקובץ משתנה מגירסא לגירסא של Windows, אך בכל מקרה אי אפשר לערוך את הקבצים הללו ישירות – יש להשתמש בכלי שנקרא Registry Editor ומגיע עם הווינדוס, על ידי הליכה ל-Start->Run, הקשה של Regedit ולחיצה על מקש האנטר.
ה-Registry בנוי מתיקיות, בתוך תיקיות בתוך תיקיות – בתוכן יש ערכים. האמת היא, שמבנהו דומה מאוד למבנה המחשב שלכם – גם בו יש תיקיות ותתי תיקיות, ובתוכן קבצים. ישנן חמש תיקיות-אם (המכונות Hives), ובתוך כל אחת מהן ישנם מפתחות (Keys) המכילות תתי-מפתחות (Sub-Keys) וכן ערכים (Values). אפשר להשוות את ה-Hives לכל אחד מהכוננים הקשיחים שלכם, את כל אחד מה-Keys לספריה, וכל אחד מה-Values לקובץ. כפי שלקבצים יש סוגים שונים (ומכאן הסיומות השונות – EXE, DLL, TXT, DOC וכו') – גם לערכים יש, בהתאם לתוכן שהם מכילים. ישנם שלושה סוגים של ערכים: DWORD, String ו-Binary, אך לא נתעכב על זה עכשיו.
ובכן, זו הייתה הקדמה – רק כדי שתבינו פחות או יותר במה מדובר כאשר מדברים על Registry, זה באמת הבסיס להכל.
2. מה מביאה לנו התוכנה HijackThis?
שאלה: מי יצר את תוכנת HijackThis?
תשובה: את התוכנה יצר אדם שידוע בכינויי merijn, וניתן למצוא עליו מידע באתרו באינטרנט:
www.merijn.org.
התוכנה HijackThis סורקת מקומות מסויימים ברג'יסטרי, ומחזירה לנו את הערכים (Values) שקיימים שם.
שאלה: מדוע תוכנת HijackThis סורקת רק חלקים של ה-Registry ולא מביאה לנו את כולו?
תשובה: ה-Registry מכיל מיליוני ערכים, ולא נוכל לקרוא את כולם על מנת למצוא את הבעייתיים.
שאלה: אם כך, כיצד התוכנה יודעת אילו חלקים לסרוק ואילו לא?
תשובה: התוכנה סורקת תמיד את אותם אזורים ברג'יסטרי, הידועים כי שם נשתלים מזיקים שונים.
העליתי עבורכם לוג של HijackThis שאני יצרתי. הכוונה היא שזה לא לוג אמיתי של אף אחד, אלא לוג שיצרתי על מנת שיהיה קל להסביר. זהו לוג נקי מ-MalWare, והוא נמצא על מחשב מאוד לא עמוס. הלוג הוא של אדם ישראלי, רק כדי שיהיה קל יותר. אני ממליץ שתורידו אותו למחשב, ושהוא יהיה פתוח כל הזמן תוך כדי קריאת המדריך:
https://rotter.name/madric/guide1/4375f60913b262ce.txt
כפי שאתם רואים, הלוג מחולק למספר חלקים, כפי שהוא מחולק תמיד:
החלק הראשון כולל את הגירסה של התוכנה, תאריך ושעה (כדי שאפשר יהיה לדעת אם המשתמש באמת סרק לוג חדש), ואת מערכת ההפעלה של המשתמש – הרי שההוראות שניתן משתנות לפי מערכת ההפעלה.
מדובר בחלק הבא:
Logfile of HijackThis v1.99.1
Scan saved at 8:38:32 AM, on 09/11/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106)
כמו שאתם רואים, הלוג יוצר בידי הגירסא 1.99.1 של HijackThis (זוהי הגרסא החדשה ביותר, כך שזה בסדר) – בשעה 8:38:32, בתאריך 9/11/95, במחשב בו מותקנת גירסת ה-XP של ווינדוס, עם SP2.
בחלק הבא אנו רואים את כל התהליכים שרצים במחשב. זה חשוב, שכן אם רץ תהליך של MalWare חייבים להעיף אותו לפני שמנסים לנטרל את הפעילות שלו מהרג'יסטרי, ואף למחוק את הקבצים הבעייתיים.
בלוג שלנו, מדובר בחלק הבא:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\HJT\HijackThis.exe
בחלק שנותר, ישנם כל ערכי ה-Registry שנמצאים במקומות אותם סרקה התוכנה. כאן נתעכב יותר, ונסביר מעט על כל חלק וחלק.
מבנה כללי של Entry ב-HijackThis
Entries של הלוג הינן Values מתוך ה-Registry, כאשר כל שורה בלוג הינה למעשה Entry.
כל Entry תתחיל בסימן הזיהוי שלה, כלומר הסוג שלה – לדוגמא R0, O4 וכד', ולאחר מכן תכיל מידע ספציפי יותר על מה שהערך מכיל.
שאלה: מה קורה כאשר אנו מתקנים Entry כלשהי בעזרת התוכנה (מסמנים ולוחצים על-Fix Checked)?
תשובה: באופן כללי, ערך הרג'יסטרי הקשור נמחק, ולעיתים נעשית פעולה נוספת כמו החזרה לערך של ברירת מחדל.
R0, R1, R2, R3
אלו Entries של הלוג המתייחסות לדף הבית ודפי חיפוש של אינטרנט אקספלורר.
R0 כולל את עמוד הפתיחה של Internet Explorer.
R1 כולל מידע על דף הבית של Internet Explorer.
R2 כרגע לא בשימוש בידי HijackThis.
R3 מדבר על – SearchHooks. הכוונה היא שכאשר אתם שמים בשורת הכתובת באקספלורר- כתובת ללא סוג פרוטוקול (http://, ftp://, mms:// וכו'), האקספלורר מנסה לבד את הפרוטוקול המתאים. אם לא נמצא אחד, נוצר ערך שנראה כך:
R3 - Default URLSearchHook is missing
בלוג הדוגמא שלנו, החלק הזה נראה כך:
המשמעות היא שהן דף הפתיחה והן דף הבית של האקספלורר הינם מערכת הפורומים של רוטר.
מזיקים שונים שוטלים כאן ערכים כדי לשתלט על דף הבית של המשתמש.
F0, F1, F2, F3
אלו Entries של הלוג המתייחסות לתוכנות העולות אוטומטית מתוך קבצי .ini.
F0 מראה ערכים הנמצאים בקובץ system.ini תחת shell=. דבר זה משומש בעיקר במערכות ההפעלה 98 ו-95 וכלל לא קיים ב-Windows XP. כאשר תוכנה מוגדרת כ-shell של מערכת ההפעלה (וזה מה שה-Entry הזו מראה), היא תעלה את שולחן העבודה שלכם, תשנה הגדרות של חלונות שונים ובכלל תהווה חולית קישור בין המשתמש לבין המערכת עצמה. באופן עקרוני, השורה שצריכה להופיע היא:
F0 - system.ini: Shell=Explorer.exe
אך לעיתים נוספת תוכנה לאחר ה-Explorer.exe, ואז יש לוודא שהיא אינה מזיקה.
F1 מראה ערכים הנמצאים בקובץ win.ini, תחת Run= או Load=. כל תוכנה שנמצאת שם תעלה ברגע שהווינדוס עולה. בשדות אלה השתמשו תוכנות ישנות מאוד לפני שהומצא עניין ה-Startup, וכמעט רק תוכנות שתוכנתו לפני שבע שנים ומעל משתמשות בזה.
F2 ו-F3 מראים ערכים המקבילים למעשה ל-F0 ו-F1, רק שהם מתייחסים לערכים שנמצאים במערכת ההפעלה Windows XP. במערכת זו, הערכים הללו לא נמצאים בקבצי INI אלא למעשה בשיטה שנקראת IniFileMapping, וכך הם קוראים את הערכים מערכי רג'יסטרי.
בלוג הדוגמא שלנו, החלק הזה נראה כך:
F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
המשמעות היא שה-Shell הוא תוכנת המסנג'ר, וזה דבר רגיל.
N1, N2, N3, N4
אלו Entries של הלוג המתייחסות לדפי הבית והחיפוש של Netscape או Mozila.
Entries אלו אינם שכיחים כלל, ותראו אותם רק אצלך משתמשי Netscape או Mozila. הם מקבילים ל-R השונים של הקספלורר.
בלוג הדוגמא שלנו, החלק הזה לא קיים מכיוון שהמשתמש לא משתמש בתוכנות האלו, אלא באקספלורר.
O1
אלו Entries של הלוג המתייחסות ל-HOSTS. מה הכוונה?
קובץ ה-HOSTS מכיל כתובות אינטרנט ואייפי אליהם הן מקושרות. מה שקורה למעשה, זה שבכל פעם שתקישו את הכתובת שנמצאת בחלק הימני של ה-Entry, תובלו לחלק השמאלי שלה. מזיקים רבים משתמשים בזה, ובכך מונעים ממך להכנס לאתרים שיכולים לעזור לך (סריקות וירוסים אונליין), ובמקביל גורמים לך להגיע לאתרים שונים אשר רק מזיקים לך יותר.
בלוג שלנו החלק הזה לא קיים, מכיוון שרציתי להראות לוג נקי מ-MalWare, ונדיר מאוד למצוא אזור כזה בלוג שהוא לא בעייתי. באופן עקרוני, Entry כזו תראה כך:
O1 – Hosts: 222.22.222.22 rotter.name
בדוגמא זו, כשתנסו להכנס למערכת הפורומים של רוטר תופנו באופן אוטומטי ל-222.22.222.22.
O2
אלו Entries של הלוג המתייחסות ל-Browser Helper Objects (BHO).
אלו למעשה Plugins לאקספלורר. תוכלו למצוא כאן דברים שמותקנים על ידי סרגל הכלים של גוגל, תוכנות שונות של Adobe ואף Spybot S&D. למרות זאת, ישנם המון מזיקים השותלים את עצמם כאן ומפריעים לתפקוד של האקספלורר.
בלוג הדוגמא שלנו, החלק הזה נראה כך:
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
כמו שאתם יכולים לראות, ה-Entry בנוייה ממספר חלקים: ראשית אתם רואים את סוגה – O2, לאחר מכן את השם – לדוגמא AcroIEHlprOBj Class – לאחר מכן CLSID (המספרים האלה, שזה למעשה שם ה-KEY שבו נמצא הערך. לכל BHO יש CLSID) – ואז המיקום בו הקובץ נמצא. ניתן כך בקלות לדעת אם מדובר בדבר רע או לא, בדרך כלל.
O3
אלו Entries של הלוג המתייחסות לסרגלי כלים הנמצאים בחלק העליון של האקספלורר.
בלוג הדוגמא שלנו, החלק הזה נראה כך:
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
כמו שאתם יכולים לראות, ה-Entry בנוייה ממספר חלקים ממש כמו ה-O2: ראשית אתם רואים את סוגה – O3, לאחר מכן את השם – לדוגמא &Google– לאחר מכן CLSID (המספרים האלה, שזה למעשה שם ה-KEY שבו נמצא הערך. לכל BHO יש CLSID) – ואז המיקום בו הקובץ נמצא. ניתן כך בקלות לדעת אם מדובר בדבר רע או לא, בדרך כלל.
באופן מעשי, הערך הזה מוסיף לאקספלורר סרגל כלים וזה נראה כך:
שוב, מזיקים רבים נהנים מהאפשרות לשתול פה ערכי רג'יסטרי, כך שאי אפשר להעיף את סרגל הכלים באופן נורמלי.
O4
אלו Entries של הלוג המתייחסות לתוכנות שעולות עם עליית המחשב – ה-StartUp. אפשר גם לראות אותן אם נכנסים ל-Run-Start, מקישים msconfig, לוחצים על מקש האנטר ובוחרים בלשונית ה-Startup.
בלוג הדוגמא שלנו, החלק הזה נראה כך:
O4 - HKLM\..\Run: C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: "C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE" /run
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: InterVideo WinScheduler.lnk = C:\Program Files\InterVideo\WinDVR\WinScheduler.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
כמו שאתם יכולים לראות, גם כאן ה-Entry בנוייה ממספר חלקים:
ראשית אתם רואים את סוגה – O4, לאחר מכן את המקום המדוייק ב-Registry ממנו היא מופעלת (וכאן יש מגוון), לאחר מכן את שם ה-Entry אשר מופיע בסוגריים מרובעות, ואז את הקובץ אליו היא מתייחסת.
זה המקום הכי שכיח למצוא בו מזיק. בדרך זו, המזיק פועל מיד כשהמחשב עולה, וכך הוא מפעיל עצמו כל פעם מחדש. יש פה גם הרבה תוכנות נורמליות.
O5
אלו Entries של הלוג הקיימות רק אם הוגדרה אפשרות של תצוגת אפשרויות האינטרנט אקספלורר בלוח הבקרה שלכם. מאוד מאוד נדיר!
בלוג הדוגמא שלנו, החלק הנ"ל לא קיים, שכן הוא ממש נדיר. חרף כך, באופן עקרוני ה-Entry תראה כך:
O5 - control.ini: inetcpl.cpl=no
באמת שקשה לי להאמין שאי פעם תתקלו בזה.
O6
אלו Entries של הלוג המתייחסות לאפשרויות בשם lock down שיכול משתמש ה-Administrator לעשות על מנת לנעול דברים מסויימים באינטרנט אקספלורר. תראו אותה בעיקר כאשר מותקן SpyBot S&D, התוכנה הזו משתמשת בערך זה כדי למנוע ממזיקים לחדור.
בלוג הדוגמא שלנו, החלק לא קיים שכן המשתמש לא משתמש ב-SpyBot S&D. באופן עקרוני זה ייראה כך::
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
זו גם תופעה נדירה יחסית, ויש בעיקרון להתעלם ממנה.
O7
אלו Entries של הלוג המוצגות רק אם הוגדר כי לא תהיה אפשרות גישה ל-Regedit. סופר נדיר.
שוב, מכיוון שזו Entry כל כך נדירה, היא לא קיימת בלוג. אתם מוזמנים לראות איך היא תראה:
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
גם ב-Entry זו קשה לי להאמין שתתקלו.
O8
אלו Entries של הלוג המתייחסות לכפתורים שהתווספו לתפריט שנפתח בלחיצה על הכפתור הימני באקספלורר – מעבר לבחירת המחדל.
בלוג הדוגמא שלנו, החלק הזה נראה כך:
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
כאן מדובר בכפתור של האקסל. ה-Entry הזו מאוד שכיחה.
באופן מעשי, הערך זה כך:
מזיקים רבים נהנים מהאפשרות לשתול פה ערכי רג'יסטרי.
O9
אלו Entries של הלוג המתייחסות לכפתורים שהתווספו לתפריט ברירת המחדל של האינטרנט אקספלורר, כמו גם התפריט כאשר לוחצים על Tools באקספלורר.
בלוג הדוגמא שלנו, החלק הזה נראה כך:
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
כאן מדובר בכפתור של אייסיקיו. ה-Entry הזו מאוד שכיחה. שימו לב שה-Entry הראשונה מבין השתיים מתייחסת לכפתור שנמצא על הסרגל של האקספלורר, בעוד השנייה לזה שתחת התפריט Tools.
באופן מעשי, זה נראה כך:
מזיקים רבים נהנים מהאפשרות לשתול פה ערכי רג'יסטרי.
O10
אוקיי, זה כבר מעט יותר קשה להסביר. אלו Entries של הלוג המתייחסות ל-LSPs (Layered Service Providers). ה-LSP היא חוליה בשרשרת בין תוכנה ל-Winsock 2 שבמחשב שלך. כלומר, המעבר בין מה שקורה במחשב שלך – לשרת האינטרנט, ובחזרה.
בלוג הדוגמא שלנו, החלק הזה לא קיים. להלן דוגמא של פריצת New.Net, המזיק הכי שכיח שנמצא בחלק הזה של הלוג:
O10 - Hijacked Internet access by New.Net
זוהי Entry לא מאוד שכיחה, אך גם לא כל כך נדירה. במקרה שהיא נמצאת בלוג, יש לנקוט באמצעים מיוחדים, אליהם אולי ארחיב בפרקים הבאים.
O11
אלו Entries של הלוג המתייחסות ל-Option Groups שנוספו ללשונית ה-Advanced בסרגל הכלים של האקספלורר. היא מאוד מאוד נדירה.
בלוג הדוגמא שלנו, החלק הזה לא קיים. עדיין לא יצא לי לראות Entry כזו המכילה מידע שהוא לא בעייתי. בנוסף, עד כמה שידוע לי, ישנו רק מזיק אחד שמגיע לשם, וגם הוא נכחד מהעולם מזמן מזמן. שמו CommonName, והוא ייראה כך:
O11 - Options group: CommonName
זוהי Entry נדירה מאוד.
O12
אלו Entries של הלוג המתייחסות ל-Plugins שונים שנוספו לאינטרנט אקספלורר.
בלוג הדוגמא שלנו, הוספתי את אחת ה-Entries היותר שכיחות בחלק הזה:
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
נדיר מאוד למצוא כאן מזיק. כל עוד הסיומת של הקובץ הינה .dll, אין סיבה לדאגה.
O13
אלו Entries של הלוג המתייחסות ל-DefaultPrefix באינטרנט אקספלורר. ה-DefaultPrefix זו הגדרה שמגדירה למחשב כיצד לעבוד עם כתובות שמשתמש מכניס ללא פרוטוקול (http:// וכו'). באופן אוטומטי, האקספלורר מוסיף בעצמו http://
בהתחלה, אבל ישנם מזיקים שונים (ובעיקר 
גירסת הדפסה
סגן המנהל
מפקח
Winner
צל"ש
מומחה
