「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows」に存在する「AppInit_DLLs」キーは、Microsoftのサイトによるとこの部分はOS起動時にかなり早く、「Kernel32.dll」の次にロードされて自動実行されるものです。
この「AppInit_DLLs」を改ざんするマルウェアには、タチの悪いものが多いです。例えば「about:blank」や、CoolWebSearch感染後にSpywareBlasterが立ち上がらなくなった場合などです。場合によってはこのキー自体を削除することで症状が改善する場合もあります。
ただし、セキュリティソフトでもこのレジストリを使うものがあるなど、安易に「このキーを削除すればセキュリティが向上する」というのは間違ってます。今のバージョンのHijackThisでは、このレジストリキーはO20としてログに現れて、そこからFixできますので、このページに解説しているキーの削除は非常手段としてのものとご理解下さい。
普通の方法でレジストリエディタなどからこのキーを削除しようとしてもうまくいきません。ここではそれを画像付きで簡単に紹介します。
レジストリエディタを使いますので操作は慎重に。基本的にやり直しは効きません。
レジストリエディタの使い方についてはこちらをどうぞ
まず「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows」を開きます。頭から順番に「HKEY_LOCAL_MACHINE」を開き、その中から「SOFTWARE」という風に開いて行き、最後に「Windows」をクリックした状態がこちらです
右クリックから「エクスポート」を選択して、キーをバックアップしておきましょう。保存場所を聞いてくるので、適当な場所を指定。「backup」などと名前を付けて保存して下さい
次に、同じく右クリックから「名前の変更」を選択し、「Windows」が反転したら名前を「Windows2」に変更します
ここでいったんPCを再起動します。
そして、右側の「AppInit_DLLs」を右クリックし「削除」を選択して削除します
「この値を削除しますか?」と確認を求めてくるので「はい」をクリック
右側の画面から「AppInit_DLLs」が消えたのを確認したら、さっき名前を変更した「Windows2」を右クリックして「名前の変更」をクリックし、
元の「Windows」に戻します
戻した後は、「Enter」を押して変更を確定して下さい。
以上で作業は終了です。「×」を押してレジストリエディタを閉じた後、PCを再起動して下さい。
このページの情報につきましては、Computing.Netの記事を参考にheto2さんが纏めて下さったものを元にしています。heto2さんに感謝致します。
2004.6.6 改訂
