HijackThisは、スパイウェアやウイルスなどのマルウェアに改ざんされることが多い場所の情報を、一覧にしてログとして出力するアプリケーションです。
また、ほとんどのものはバックアップを取りながらそこから修正(Fix)することが可能です。
作者は、かのCoolWebShredderのオリジナルの作者でもあるMerijnです。彼のサイトはこちら
有り難いことにMerijnにファイルアップロードの許可をもらいましたので、このページからも実行ファイルと圧縮ファイルをダウンロードできます。
最初に肝に銘じていただきたいのですが、HijackThisはスパイウェア検出プログラムではありません。原則として良いものも悪いものも含めてシステムの状態をレポートするだけですので、検出されたものすべてをFixしては駄目です
これに関連して注意していただきたいのが、「下手に中途半端にいじってしまうと、かえって症状をこじらせてしまう可能性がある」ということです。確信がない場合には自己流にFixをせず、このサイトの質問掲示板で質問して下さい。すでにFixしてしまった場合はすべて元に戻してログを取り直してから質問して下さい。
ダウンロードの前に、必ず新規フォルダを作成して下さい。デスクトップ上の何も無いところを右クリックし、「新規作成」→「フォルダ」を左クリックします。
フォルダ名はそのまま「新規フォルダ」でも問題は無いですが、解りやすくするために「HijackThis」と変更して下さい
Merijnの許可の下、このサイトに実行ファイルをアップしてますのでこちらを。実行ファイルへの直リンです
「保存」を押すと、保存先を聞かれます。
保存先には、先ほど作成した新しいフォルダを指定します。
※: ダウンロードしたファイルを一時フォルダへ保存するのは絶対にやめてください。「一時フォルダ」とは、例えばWindows XPの場合だと
などです。これらは名前の通り「一時的に保存するためのフォルダ」ですので、作業中に消えて無くなる可能性があります。
これで準備完了。
ダウンロード、実行時にトラブルが起こる場合とその対処について、このページの最後にまとめてますので問題が起きた場合はそちらを参照して下さい。
ログをとる前に、必ずHijackThis以外のすべてのウィンドウを閉じてください。
なお、ログはWindowsをセーフモードではなく、通常モードで起動した状態でとるのが原則です。
(OSがセーフモードでしか起動しない場合や、質問掲示板でセーフモードでとることを指示された場合などを除く)
HijackThisの起動直後の画面です(画面は65%に縮小)
通常は一番上の「Do a system scan and save a logfile (スキャンを行って、ログファイルを保存)」をクリックして下さい。
O1ファイルが沢山検出された場合にはこんな警告が出ますが、とりあえず気にせず「OK」をクリックして下さい
スキャン中は、画面の上部にステータスが出ます。途中O23のところでちょっと止まった感じになりますが、
「Scan completed!」と出るまでじっと待って下さい。
スキャン終了後中の画面はこうなります
スキャンが終了すると、HijackThisの実行ファイルと同じ場所に「hijackthis.log」のログファイルが作成され、メモ帳が開いてログが表示されます。質問掲示板に質問する場合は、その内容をすべてコピーして貼り付けて下さい。貼り付けるのはかならず全部です。最初のヘッダ等も省略してはいけません。
プログラムの終了は、右上の「×」を押すだけです。また、ログファイルも「×」で閉じます。
ここでうまくメモ帳が開かない場合は、関連づけ等で問題が起こっています。下記の初心者ツールを使い、
保存したhijackthis.logを指定し、「メモ帳で開く」で開いて下さい。
ログの解析に必要な基礎知識をこちらに纏めてます
ぜひ一度ご覧下さい。回答練習フォーラムへのご参加もお待ちしております。
O18に下記の様な多量のエントリが発見された場合は、連続してスキャンしてないかどうかまず疑って下さい。何かエントリをFixした場合も必ず一旦終了です。
HijackThisのスキャンは、絶対に連続して行ってはいけません。一度スキャンして作業を行ったら、必ず一旦完全に終了して下さい。
もし間違えて連続してスキャンした場合には、O18に下記の様な多量のエントリが現れます(実際にはもっと多いです)。これらは絶対にFixしてはいけません。
この様なエントリが見られた場合はHijackThisを一旦終了し、起動し直してログを取り直して下さい。
もし間違ってFixしてしまうと、関連するプロトコルに異常が発生してPCは正常な処理が出来なくなってしまいます。
こうなるとシステムの復元もできず、さらにはHijackThisから元に戻しても以前の状態に戻らなくなります。その場合はこちらの手順
に従って修復して下さい。
HijackThisのログを取っても、多くの人にはチンプンカンプンだと思います。ただ一点、ログの中に「O10」ではじまるエントリがあるかどうかチェックして下さい。
O10は無いのがむしろ「普通」ですので、見つからない場合も多いですので無くても問題ありません。
実はこのO10は、下手に触るとネットに接続不能になってしまう可能性がある怖いエントリです。存在した場合は、まず下記のものと比較してみて下さい。
これらは代表的な問題のないO10の例です。この中に発見されたものと同じものがすべて含まれる場合はOKです。
この中に見つからない場合も必要以上に慌てる必要はありません。これ以外にも正規のものはたくさんあります。
不明なO10エントリをこちらのサイトで正規のものかどうか調べてみて下さい。
O10が発見されて、それが不正エントリだった場合、および良く分からない場合はAd-awareなどのアンチスパイウェアソフト、あるいはアンチウイルスソフトでのスキャンを行わないで下さい。最悪の場合ネット接続不能になる可能性があります。この場合はこれ以上の作業を中断してPCトラブル質問掲示板に質問して下さい。
HijackThisを使うと、解析だけではなくほとんどの場合そこからFix(修正)することができます。
質問掲示板で「このエントリをFixして下さい」と指示があった場合はこの方法に従って下さい。
Fixを行う際には、HijackThisを新たに立ち上げた直後に行ってください。また、HijackThis以外のウィンドウはすべて閉じた状態で作業を行って下さい。
起動直後の画面から、今度は上から二番目、「Do a system scan only(システムスキャンのみを行う)」をクリックします
すると同様にスキャンが行われますが、こんどはログは保存されませんし、表示されません。
スキャンが終了したら、HijackThisの画面からFixしたいものにチェックを入れます
「Fix checked」をクリックすると警告が出ます
確認の上「はい」を押して下さい。すると、しばらくしてログがクリアされ、最初の画面に戻ります。
Fixが終了したら、かならず一旦HijackThisを終了して下さい。Fixできたかどうかの確認は、起動し直してスキャンをして行います。
作業後は、バックアップファイルがHijackThisフォルダの「backups」フォルダの中に作成されます。
これらは、問題が起こった場合に元の状態に戻すために使いますので削除しないで下さい。
削除後にはHijackThisのフォルダの「backups」フォルダの中にバックアップファイルができています。例えば「backup-20030616-161243-902」の様なもので、これはメモ帳などのテキストエディタで開けます。何か問題が起こった場合、このファイルを使って元の状態に戻すことができます。
スタート画面から、上から3番目の「View the list of backups(バックアップのリストを見る」をクリックします。
すると、これまで処理したファイルの一覧が出ます。復帰したいエントリにチェックを入れて、「Restore」をクリックして下さい
復活したいファイルを指定して「Restore」をクリックすると確認メッセージが出ますので
「はい」をクリックすればリストアされます
HijackThisがメジャーになって来たこともあり、最近のマルウェア(スパイウェアやウイルス等)の中にはHijackThisのエントリを隠すものが存在します。
セーフモードでスキャンをすることで見える場合もありますが、これはまだタチのよい方で、Rootkitなどで隠ぺい工作を行っているものは個別に対応が必要です。場合によってはリカバリーするのが一番の早道のことさえあります。ここでは当座「セーフモードでスキャンすると、ログに隠されていた新しいエントリが現れる可能性がある」ということを述べるにとどめます。
HijackThisのダウンロード、起動等々に関する既知の問題とその対処法を列挙します。
「Ms4Hd」に感染している場合など、まれにバージョン1.99.1はクラッシュしてしまう場合があります。そのときはこちらの1.98.2を使って下さい。
この場合は、起動後「Scan」続いて「Save log」です。
このページ自体が開けない、HijackThisがダウンロードできない、ダウンロードしたはずのファイルが見えない、HijackThisを実行してもすぐに終了してしまうなどの症状が最近良く見られます。こちらのページを参考に対処して下さい。
とりあえずの対処のために、HijackThisのファイル名だけ「higaitaisaku.exe」に変更したものをアップしておきます。どうしても通常の実行ファイルが動かない場合のみ使って下さい
それ以外の手順は上と同じです。必ず新しいフォルダを作ってその中にダウンロードして下さい。
あるいは、いっそFirefoxをインストールして、それを使ってダウンロードする手もあります。
なお、Firefoxでウチのサイトを見る場合は、「表示」→「文字サイズ」→「大きく」にすることを推奨します。
PCのセキュリティの設定等でexeファイルがダウンロードできない場合は、下記のzipファイル(圧縮ファイル)をダウンロードして解凍して下さい。
解凍にはLhacaを使うのが一番簡単でしょう。解凍が無事終了すると、「HijackThis.exe」のアイコンができます。同様に、新しいフォルダを作ってその中に入れて下さい。
解凍ソフト上(Lhaca、WinRAR等)から、あるいはWinXPで解凍をせずにHijackThisを立ち上げるのは絶対に止めて下さい。
たとえばXPで、解凍ソフトなしにダウンロードしたzipファイルをダブルクリックしたときに表示されるHijackThis.exeを起動するとそうなります
このように、ウィンドウのタイトルが「hijackthis.zip」の場合は解凍されてません
解凍せずに立ち上げると、Fixした時にバックアップファイルが消えてしまって問題が起こった場合に復帰できなくなります。
必ず解凍をしてHijackThisのアイコンを確認後、そこから立ち上げるようにして下さい。
HijackThisを起動するには、VisualBasic 6.0のランタイムが必要です。起動時にエラーが出る場合にはこれが入ってませんので、下のリンクをクリックして「vbrun60sp6.exe」をダウンロードして実行して下さい。いくつかのDLLファイルが自己解凍されてインストールされます。
ある種のCoolWebSearchに感染している場合にこの現象が起きます。その場合はまずCoolWWWSearch.SmartKiller removal toolをまずダウンロードして実行して下さい。下記のリンクをクリックすると「delcwssk.zip」のダウンロードがはじまるので、これをデスクトップなどに保存して下さい
ダウンロードした「delcwssk.zip」を、Lhacaなどを使って解凍して下さい。
解凍してできた実行ファイル「miniremoval_coolwebsearch_smartkiller.exe」をダブルクリックするだけでOKです。
2005.9.18 全面改定
