HijackThisログ解析入門
このページではHijackThisのログに出力される各エントリについて解説します。なおページの中の枠の種類は、原則として、
この青塗りの枠は、善玉ないし中立、あるいはケースバイケースのHijackThisエントリ
この赤枠の青塗りのものは、悪玉のHijackThisエントリ
このピンクは、レジストリ関係やシステムファイルの内容など
を表します。
ログの取り方の解説ページはこちらです。
間違いや追加情報等がある場合は、
までお願いします。
HijackThisログの最初に現れる部分です。
Logfile of HijackThis v1.99.1
Scan saved at 11:51:24, on 2005/09/13
この最初の二行から、HijackThisのバージョンとスキャンした日付が解ります。たまに古いログを貼り付ける質問者がいますので一応チェックして下さい。
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
次の二行は、OSの種類とバージョンおよびIEのバージョンです。
O4のところでも書きますが、OSがWinXP/2000の場合はスタートアップフォルダの内容がHijackThisのログに現れないので注意が必要です。
この部分には、ログを取った時点で立ち上がっている(走っている)プロセスの情報があります。アプリケーションを立ち上げていればその関連のプロセスが、また自動起動されているプログラムも原則ここに現れます。IEを立ち上げた状態でログを取ればIEがここに現れます。
HijackThisのプロセスもここに現れますので、解凍せずに立ち上げていないかどうか判別できます。例えば、
C:\DOCUME~1\admin\LOCALS~1\Temp\hijackthis.zip の一時ディレクトリ 1\HijackThis.exe
などになっている場合は質問者へ警告が必要です。
解凍してない場合は、Fixした際のバックアップファイルがHijackThis終了時に消えるため、問題が起こった場合に復帰ができなくなります。
また、エントリに現れないプロセスがここで見えて解析に役立つこともあります。ここも要チェックです。
R0-R3まで4種類ありますが、日本語版OSでは現れません。この掲示板で現れた例として
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.allvantage.com/myvantage.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.allvantage.com
がありますが、これは英語版WinXPを日本語化した場合でした。
日本語OSでは、代替手段としてRegCheckSearchでチェックを行います
どちらにしても現れたエントリに怪しいURL、見覚えのないURLがないどうかが判断基準になります。
F0-F3の4種類あります。
- F0: *.ini ファイルで通常のデフォルト値から変更されたエントリ、9X系のみ
- F1: *.ini ファイルで新たに追加されエントリ、9X系のみ
- F2: 9X系の *.ini ファイル設定に対応するレジストリ値で通常のデフォルト値から変更されたエントリ、Win 2000/XPのみ
- F3: 9X系の *.ini ファイル設定に対応するレジストリ値で新たに追加されエントリ、Win 2000/XPのみ
通常のPCではこのエントリは現れませんので、存在すればまずマルウェアの仕業だと思って構いません。Fix対象です。
実際によく現れるマルウェアによる改変は、「win.ini」の「load」と「run」と、「system.ini」の「Shell」と「Userinit」が多いです。
エントリの例
悪玉の例としては、BKDR_CALYPS.Aによるもの
F1 - win.ini: run=C:\WINDOWS\svcinit.exe
Backdoor.Nibu.Eによるもの
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\System32\netdc.exe
などです。これらはmsconfigでも確認することができます。
対処法
HijackThisから問題なくFixすることができます。Fix後はPCを再起動して下さい。
Win 2000/XP で9X系の *ini ファイル設定が割り当てられるレジストリの場所
Win 2000/XP で9X系の *ini ファイル設定が割り当てられるレジストリの場所は
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping
に記述されています。「IniFileMapping」のサブキーを見ると、サブキー名が .iniファイル名そのままです
[REG_SZ] "(標準)"="(値の設定なし)"
[KEY][Clock.ini]
[KEY][control.ini]
[KEY][ImageFileExecutionOptions.ini]
[KEY][KeyboardLayout.ini]
[KEY][msacm.ini]
[KEY][Ntbackup.ini]
[KEY][ntnet.ini]
[KEY][regedt32.ini]
[KEY][schdpl32.ini]
[KEY][system.ini]
[KEY][win.ini]
[KEY][winfile.ini]
F2, F3の詳しい解析については、adultさんが作成されたWikiをご参照下さい
NetscapeないしMozilla系のブラウザをインストールされている方にのみ現れます。N1〜N4があり、それぞれ
- N1 - Change in prefs.js of Netscape 4.x
- N2 - Change in prefs.js of Netscape 6
- N3 - Change in prefs.js of Netscape 7
- N4 - Change in prefs.js of Mozilla
に相当します。多くの場合問題ないエントリですが、見覚えの無いURLがログに現れた場合は警戒が必要です。
このサイトの質問掲示板での例としては、
N3 - Netscape 7: user_pref("browser.startup.homepage", "http://home.netscape.com/ja/bookmark/7_0/home.html");
(C:\Documents and Settings\(USER)\Application Data\Mozilla\Profiles\default\fscjzkvf.slt\prefs.js)
などです。ユーザー別の設定やスタートページの設定等々がここに現れます。マルウェア系のURLが現れた場合はFix対象です。
hostsファイルに定義されているデフォルト以外の値をリストアップしたものです。通常は何も現れませんので、現れた場合には原則として修正が必要と考えて良いです。
多くの場合、スパイウェアによる「結果」として現れ、ボロボロにやられたPCで大量に見つかることがよくあります。例えば、
O1 - Hosts: 69.31.81.22 www.google.ae
O1 - Hosts: 69.31.81.22 www.google.am
O1 - Hosts: 69.31.81.22 www.google.as
O1 - Hosts: 69.31.81.22 www.google.at
O1 - Hosts: 69.31.81.22 www.google.az
O1 - Hosts: 69.31.81.22 www.google.be
O1 - Hosts: 69.31.81.22 www.google.bi
O1 - Hosts: 69.31.81.22 www.google.ca
O1 - Hosts: 69.31.81.22 www.google.cd
O1 - Hosts: 69.31.81.22 www.google.cg
O1 - Hosts: 69.31.81.22 www.google.ch
O1 - Hosts: 69.31.81.22 www.google.ci
など。この場合は各国のgoogleサイトにアクセスしようとすると「69.31.81.22」にリダイレクトされてしまいます。これらはFixが必要なエントリですが、多くの場合O1だけを修正してもまたすぐに復活します。これらが登録された原因となったマルウェアを駆除するのが先決です。
ただし、会社のPCの場合にはここに社内ネットワークのサーバの名前とそのIPが定義されていることがあります。その場合もズラズラとエントリが並びます。
これをFixしてしまうと社内サーバにつながらなくなりますのでご注意を。もっともシステム管理者に言ってhostsファイルをもらって上書きすれば簡単に復旧は可能ですが。
なお、O1が大量に発見された場合にはHijackThisのスキャンで警告が出ます
この場合は「OK」をクリックして下さい。
対処法
HijackThisから問題なくFixすることができます。Fix後はPCを再起動して下さい。
hostsファイルの改変では、「右側に現れるドメインに対して左側のIPを割り当られて違うサイトに飛ばされる」というのが症状なのですが、飛ばされるIPに「127.0.0.1」やローカルID、「0.0.0.0」などを定義して当該ドメインを単に無効化している場合には、HijackThisのログに全く現れません。たとえば、
127.0.0.1 microsoft.com
192.168.1.1 microsoft.com
0.0.0.0 microsoft.com
127.0.0.1 http://www.pacimedia.com/
などとhostsファイルに書かれていてもO1には何も現れません。これが疑われる症状(他に異常が無いのに特定ドメインが開かない等)が見られる場合は、HijackThisの「hosts file manager」を用いて確認して問題が見つかれば修正して下さい。あるいは、メモ帳などでhostsファイルを開いて直接編集しても構いません。
hostsファイルの場所
hostsファイルの存在する場所は、
- Windows XPの場合: 「C:\WINDOWS\system32\drivers\etc」
- Windows 2000の場合: 「C:\WINNT\system32\drivers\etc」
- Windows 95/98/MEの場合: 「C:\Windows」
です。hostsファイルは拡張子もなにもない「hosts」というファイルです。メモ帳などのテキストエディタで開くことができます。
BHO(Browser Helper Object)は、もともとブラウザの機能を拡張するためのものですが、同時にマルウェア系に狙われやすいものでもあります。次の項目のO3とセットで現れることも多いですので、O2に怪しいものが見つかった場合はO4の自動起動と共にO3もチェックした方が良いです。チェックポイントの一つはO2に現れているファイル名です。
BHOについては、こちらのMicrosoftの文書も参考にしてみて下さい
参考までに、英語の原文はこちらです。
判定方法
ログに現れたBHOの善悪を識別するためには、これらのサイトから検索してみて下さい
エントリの例
よく見かける正常なエントリとしては
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
- C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program
Files\Norton AntiVirus\NavShExt.dll
などがあります。上から順に、Acrobat、Spybot S&D(これがあるかないかでSpybot S&Dが正常動作しているかわかる)、Norton
AntiVirusのBHOです。
悪玉の例では、Hotbar (この場合も、O3とO4にも関連不正エントリあり)
O2 - BHO: Hotbar - {B195B3B3-8A05-11D3-97A4-0004ACA6948E} - C:\Program
Files\Hotbar\bin\4.3.2.0\HbHostIE.dll
O3 - Toolbar: &Hotbar - {B195B3B3-8A05-11D3-97A4-0004ACA6948E} - C:\Program
Files\Hotbar\bin\4.3.2.0\HbHostIE.dll
O4 - HKLM\..\Run: [Hotbar] C:\Program Files\Hotbar\bin\4.3.2.0\HbInst.exe
/Upgrade
(file missing) とログに現れる場合
Spybot S&Dで処理した後などに、
O2 - BHO: WinShow module - {6CC1C918-AE8B-4373-A5B4-28BA1851E39A} - C:\WINDOWS\WINSHOW.DLL
(file missing)
の様な形で、エントリの最後に(file missing)とログに現れることがあります。
これらは既にファイルが削除されて無効化されたエントリです。もはや害は成しませんが、気持ちは良くないのでHijackThisからFixして下さい。
対処法
HijackThisから問題なくFixすることができます。Fix後はPCを再起動して下さい。
O2に対応するレジストリ
Acrobat Helperを例にとります
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
- C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2エントリは、そのCLSID({06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}など)がキー名として
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser
Helper Objects]
の下に設定されてます。レジストリエディタで見るとこんな感じです
このCLSIDをもとに[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
を参照してみると
といくつかのキーが存在します。この中の「InprocServer32」、すなわち
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\InprocServer32]
の「既定」の値を確認すると「C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll」となっていることが分かります。
このファイル名をHijackThisは拾ってきてログにしています。
ツールバー系のマルウェアには必ず現れます。O2とセットで現れることも多く、マルウェアの場合これだけをFixしてもO4(自動起動)によって復活することがあります。
IEの画面上に対応するツールバーが現れるはずですので、そのツールバーの何も無い部分で右クリックすると、ほとんどの場合はそのツールバーの名前が確認できます。
(SearchBarの例)
(lopのツールバーの例、この場合はツールバー名はランダム)
エントリの例
ポピュラーなものとしては、GoogleToolbar
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7}
- c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program
files\google\googletoolbar2.dll
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program
files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/ja/big/1.1.62-big/GoogleNav.cab
マルウェアの例としてはGames toolbar
O3 - Toolbar: Games toolbar - {02ffc86e-283e-4faa-95d6-addca024f30a} -
C:\Program Files\Games\tbGame.dll
O4 - HKLM\..\Run: [Games toolbar] rundll32.exe "C:\PROGRA~1\Games\tbGame.dll"
DllShowTB
SearchBar
O3 - Toolbar: SearchBar - {4E7BD74F-2B8D-469E-C0FC-F76FA694BF2E} - C:\PROGRA~1\SEARCH~1\TOOLBAR\SEARCHBR.DLL
など。
対処法
HijackThisから問題なくFixすることができますが、HijackThisでのFixを検討する前に、まずコントロールパネルの「プログラムの追加と削除」を確認して下さい。
そこに当該ツールバーのエントリがあれば、そこからアンインストールする方が確実な場合が多いです。その際にはこちらをご参考に
ただし、下記のものは絶対にコントロールパネルからアンインストールしてはいけません。劇的に症状が悪化します
- Home Search Assistent
- Offer Optimizer
- Search Assistant
- Search Extender
- Shopping Wizard
くれぐれもご注意下さい。
O3に対応するレジストリ
Google Toolbarを例にとります
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program
files\google\googletoolbar1.dll
O3エントリは、そのCLSID({2318C2B1-4965-11d4-9B18-009027A5CD4F}など)がキー名として
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
の下に値の名前として設定されてます。レジストリエディタで見るとこんな感じです
このCLSIDをもとにHKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11d4-9B18-009027A5CD4F}を参照してみると
「InprocServer32」キーが見つかります。このキーの「既定」の値、すなわち
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11d4-9B18-009027A5CD4F}\InprocServer32
の「既定」の値を確認すると「c:\program files\google\googletoolbar1.dll」となっていることが分かります。このファイル名をHijackThisは拾ってきてログにしています。
ほとんどのマルウェアは、OSの起動とともに自分を起動させます。これによって、マルウェアはユーザの意思と無関係に勝手に動作したり、削除から身を守ったりすることになります。そういう意味で自動起動に関するエントリはきわめて重要です。ただし、このO4以外にも自動起動する方法は存在します(例えばHijackThisエントリのO20-O23)。
このO4では、レジストリから起動する「通常の」自動起動およびスタートアップフォルダの中身が現れます。レジストリに関してはHKLMとHKCU、
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
に存在する「Run」関連(詳細は後述)です。
ただし、Win XP/2000の場合には日本語OS対応にバグが残っているためスタートアップフォルダの中身は一切拾ってくれません。
スタートアップフォルダの中身を確認するには、HijackThisに付属しているStartupListのログを使うのが確実です
また、Win2000の場合は各レジストリエントリのサブキーも起動対象となりますが、O4のエントリとして現れません。これもStartupListで確認する事ができます。
エントリの例
典型的な「絶対必要でFixしてはいけない」ものとしては、アンチウイルスソフトによるものがあります。例えば、
ウイルススバスター2005
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Virus
Buster 2005\pccguide.exe"
Norton Internet Security 2005
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec
Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
/Consumer
AVG Free Edition 7.0
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
など。
悪玉だと、例えばTrojan.Zlob.B
O4 - HKLM\..\Run: [RegSvr32] C:\WINNT\system32\msmsgs.exe
Search Assistant Utility
O4 - HKCU\..\Run: [MSMsgSvc] C:\WINDOWS\System\MSMSGSVC.exe
などなど。
また、Win9Xの場合にはスタートアップフォルダの中身もログに現れます
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - User Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe
Gamma Loader.exe
エントリの例 (StartupList)
Win XP/2000の場合の、StartupListログ中のスタートアップフォルダの中身は、
Listing of startup folders:
Shell folders Startup:
[C:\Documents and Settings\admin\スタート メニュー\プログラム\スタートアップ]
秀丸.lnk = C:\Program Files\Hidemaru\Hidemaru.exe
Shell folders Common Startup:
[C:\Documents and Settings\All Users\スタート メニュー\プログラム\スタートアップ]
Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
の様に現れます。前者がログオンユーザー(この場合はadmin)のみに有効なもの、後者がすべてのユーザーに有効なものです。
Win2000の場合にのみに有効な、レジストリエントリのサブキーに自動起動エントリがある場合の例がこちらです
Autorun entries in Registry subkeys of:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
[OptionalComponents]
*No values found*
[Start]
memo = notepad.exe
判定方法
ログに現れたO4の善悪を識別するには、これらのサイトが参考になります
一般論として、マルウェアの場合は「いかにもそれらしい」名前の実行ファイルを使うケースが良く見られます。O4のエントリに、「いかにもシステムっぽい名前」のものが現れて、それが通常のPCに存在しないものであった場合はほぼ100%悪玉で、しかも悪質なウイルスやトロイであることが多いです。
対処法
O4に現れたエントリは、HijackThisから問題なくFixすることができます。
ただし、Fixする際に起動されてしまっている悪玉プロセスに感知されて妨害される可能性がありますので、あらかじめセーフモードで起動しておくか、タスクマネージャやプロセス管理ツールで当該プロセスを停止してから作業を行って下さい。
スタートアップフォルダ内のファイルに関しては、まずStartupListのログからそのパスを確認し、エクスプローラなどから当該ファイルを削除します
(問題が起こった場合に備えて念のためごみ箱にはしばらく残しておいて下さい)。
Fixが終了したら、PCを再起動後当該ファイルまたはフォルダを削除します。
O4とレジストリの対応
レジストリからの自動起動は、こちらの一連のレジストリキーに対応します。
HKLMの一連のもの、
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
同様にHKCU、
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
スタートアップフォルダのパスは、Windows ME/98/95の場合は、
- C:\WINDOWS\スタート メニュー\プログラム\スタートアップ (カタカナは半角)
Windows XP/2000の場合は (前述の通りログには現れない)
- C:\Documents and Settings\All Users\スタート メニュー\プログラム\スタートアップ (すべてのユーザーに有効)
- C:\Documents and Settings\【ログオン名】\スタート メニュー\プログラム\スタートアップ (ログオンしているユーザーのみに有効)
になります。
Win9X系のサービスとしての自動起動
注記として、Win9X系(ME/98/95)で現れる、
O4 - RunServices
O4 - RunServicesOnce
については、WinNT系(XP/2000)で現れるO23と同様にサービスとして自動起動しますので、ログオンしなくとも起動しています。ちょっと警戒が必要です。
コントロールパネルの中で、特定のオプションを消失させて操作できなくするものです。このサイトの膨大な過去ログの中でも一例しかありません。ログには、
O5 - control.ini: inetcpl.cpl=no
の様な形で現れます。この場合は、「inetcpl.cpl」すなわちコントロールパネルの中の「インターネットオプション」 に制限がかかっています。
管理者による制限でもなく、自分でセキュリティソフトや窓の手などで制限をかけた覚えもなければ、マルウェアの仕業です。
現状では「幻のエントリ」
この「control.ini」は、「C:\WINDOWS」直下に存在しており、上の例ではこの中に、
[don't load]
Inetcpl.cpl=no
という記述があるはずです。
ただし、この設定はWin9Xの場合でのみ有効で、WinXP/2000ではこの「control.ini」ファイルの設定もレジストリに移行しています。すなわち、
HKEY_CURRENT_USER\Control Panel\don't load
に「inetcpl.cpl」という名前の文字列値を作成して、値のデータを「No」にすることに相当します。
設定するとコントロールパネルから「インターネットオプション」が消失しますが、ログにはなぜかO5エントリは現れません。
一種のバグだと思われます。バージョンアップでの対応があるまでは「幻のエントリ」です。というか、どうも現バージョンではWin9X系でも現れない様です。
ちなみに、このレジストリを設定している場合でも、コマンドプロンプトから「inetcpl.cpl」と入力することでインターネットオプションを起動することができます。
インターネットオプションの一部機能を制限することができるレジストリキーが、存在した場合に現れます。実際に制限されているかどうかには無関係です。
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
前者は機能を制限するもの、後者はIEからコントロールパネルを開けなくすることに関連します。DWORDの値が「1」であれば制限されますし、「0」であれば制限はありません。
このDWORDの値にかかわらず(制限されているか否かにかかわらず)、キー自体が存在すればエントリとして現れます。
どちらにしても、HijackThisからFixしてキーを削除することが可能です。
レジストリエディタを使えなくしてしまうエントリです。O6と違い制限がかかっている場合のみ「DisableRegedit=1」として現れます。
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
窓の手などで制限をかけた覚えがなければ、マルウェアによる仕業です。
このエントリが存在すると、レジストリパッチファイルを含めてレジストリエディタを使った操作ができません。
再起動しても復活する場合は、その原因であるマルウェアを先に駆除する必要があります。
IEで右クリックしたときに出るメニューに対応しています
エントリの例
正規なエントリの例
O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
不正なエントリの例、iSearchによるもの
O8 - Extra context menu item: &iSearch The Web - res://C:\WINDOWS\System32\toolbar.dll/SEARCH.HTML
CommonNameによるもの
O8 - Extra context menu item: Add A Page Note - C:\Program Files\CommonName\Toolbar\createnote.htm
O8 - Extra context menu item: Bookmark This Page - C:\Program Files\CommonName\Toolbar\createbookmark.htm
O8 - Extra context menu item: Email This Link - C:\Program Files\CommonName\Toolbar\emaillink.htm
O8 - Extra context menu item: Search using CommonName - C:\Program Files\CommonName\Toolbar\navigate.htm
などです。
判定方法
基本的には右クリックで出るメニューを出すか出さないかなので、悪玉に限らず使ってないものはFixしてしまって構いません。
対処法
HijackThisから問題なくFixすることができます。Fix後はPCを再起動して下さい。
O8に対応するレジストリ
レジストリは
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt
に対応します。
IEのツールバーに項目やボタンを追加するものです。例えばYahoo!メッセンジャーの場合は
こんな感じです。この場合のログは、
O9 - Extra button: Yahoo!メッセンジャー - {CEBF73C0-BA2E-11d4-A73A-00508B33FB82}
- C:\PROGRA~1\Yahoo!J\MESSEN~1\YPagerj.exe
O9 - Extra 'Tools' menuitem: Yahoo!メッセンジャー - {CEBF73C0-BA2E-11d4-A73A-00508B33FB82}
- C:\PROGRA~1\Yahoo!J\MESSEN~1\YPagerj.exe
となり、「O9 - Extra button」が一番右の追加ボタンに(画像では紫色のもの)、「O9 - Extra 'Tools' menuitem」がツールメニューの追加に相当します。
エントリの例
正規なエントリの例、
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun の Java コンソール - {08B0E5C0-4FCB-11CF-AAA5-00401C608501}
- C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
不正なエントリの例、MaxSpeedによるもの
O9 - Extra button: (no name) - {120E090D-9136-4b78-8258-F0B44B4BD2AC} -
C:\WINDOWS\System32\maxspeed.exe
O9 - Extra 'Tools' menuitem: MaxSpeed - {120E090D-9136-4b78-8258-F0B44B4BD2AC}
- C:\WINDOWS\System32\maxspeed.exe
SideFindによるもの
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} -
C:\Program Files\SideFind\sidefind.dll
判定方法
こちらを判定の参考にして下さい。
もっとも、正規なものでも、特にIEにボタンを出す必要がない場合も多いですから、悪玉に限らず使ってないものはFixしてしまって構いません。
対処法
HijackThisから問題なくFixすることができます。Fix後はPCを再起動して下さい。
O9に対応するレジストリ
これらは、そのCLSID({08B0E5C0-4FCB-11CF-AAA5-00401C608501}など)を名前として、ログオンユーザーに有効なHKCUに存在する、
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions]
または、すべてのユーザーに影響するHKLM、
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
のサブキーの中に定義されています。前者のHKCUに定義されているものは、ログの中でO9エントリの最後に (HKCU) と表示されます。例えば
O9 - Extra button: (no name) - {974AD624-EA50-4831-A6C0-3040F6665396} -
C:\Program Files\Sina\ddt\RssBand.dll (HKCU)
また、同じプログラムやスクリプトを参照している場合には、ツールメニューでの表示ボタン名はHKLMよりもHKCUでの定義が優先されます。
これらの定義は、サブツリー内で
"ButtonText" : 値名で定義されているテキストが追加されたボタンの名前
"MenuText" : 値名で定義されているテキストが[ツール]メニューに追加される項目
となっています。
標準以外のLSP(Layered Service Provider)がここにあらわれ、主としてマルウェアによるものと、 セキュリティ関係のものがあります。接続速度高速化ツールなどがここにエントリを出すこともあります。複数個同じものが現れることが多いです。
LSPはPCのwebトラフィック全般をモニタできるため、スパイウェアの狙い所の一つとなります。 O10は、下手に触るとネットに接続不能になってしまう可能性がある怖いエントリです。LSP群は一つの連鎖をなしていますから、この一環に入り込んでしまった悪玉モジュールだけを不用意にスパイウェア除去ソフトや手動で除去すると、連鎖が破壊されてネット接続ができなくなる恐れがあります。
エントリの例
ログにO10が存在した場合は、まず下記のものと比較してみて下さい。これらは、問題のないO10の代表例です。
O10 - Unknown file in Winsock LSP: c:\windows\system\k7wslsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\kvwspxp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\kvwspxp_2.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\aladdin systems\internet
cleanup\adlsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\adsl ninja\nwcq9lsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\ftth ninja\nwcq9lsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pnrpnsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
反対に、悪いものの例だと、
O10 - Broken Internet access because of LSP provider 'vlsp.dll' missing
O10 - Unknown file in Winsock LSP: c:\windows\system\msspi.dll
O10 - Hijacked Internet access by New.Net
なお、Broken Internet AccessとHijackThisが認識していても、現実にネットに接続できなくなっているとは限りません。
たとえば次のものは正規ファイルのエントリで、問題なければ何もせずに放置です。
O10 - Broken Internet access because of LSP provider 'tasp.dll' missing
判定方法
不明なものについては、こちらを参考にしていただいて善玉悪玉を判断してください。
日本製ないし中国、韓国系など非英語圏のLSPについては情報に乏しいことがあるので、必要に応じてファイルのプロパティを確認して下さい。
不正O10エントリの対処 (慎重に)
悪玉と判明した場合、対処は慎重を要します。まず、悪玉の疑いあるO10を見つけた時点で直ちに、スパイウェア除去ソフトとウイルス対策ソフトによるスキャンをしないよう質問者に念を押してください。なお、安全のためかO10はHijackThisからFixはできなくなっています。Fixしようとするとこんな警告が出ます
コントロールパネルから削除が可能かつ適切な例もあります。例えば
例: NewDotNet (New.Net) によるもの
O10 - Hijacked Internet access by New.Net
例: WebHancer によるもの
O10 - Hijacked Internet access by WebHancer
O10 - Broken Internet access because of LSP provider 'c:\windows\webhdll.dll'
missing
ただ、原則としてLSP-fixで対処を検討して下さい。具体的な方法についてはこちらを
LSPfixで処置後は、セーフモードで再起動してファイル本体を削除してください。
一般論として、悪玉O10エントリがある限り上述の理由で駆除ツール類の使用が制約されますから、O10は駆除過程の最初の段階で丁寧に処理しておく必要があります。
IEのインターネットオプションの「詳細設定」タブに項目を追加するものです。Jwordの場合を例にとると、
という風に項目が追加されてます。レジストリでは、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\!CNS
に対応します。
エントリの例 (Jword)
実際問題、Jword以外このエントリを出すものはほとんど存在しません。Jwordの場合は個別対処が必要で、HijackThisからFixしてはいけません。
ログには、
O11 - Options group: [!CNS] JWord (日本語キーワード)
と出ます。O11以外にもO2、O4、O8、O9にもエントリが出ますので、こちらもHijackThisのFix対象からははずします。
O2 - BHO: IDN Helper Object - {118CE65F-5D86-4AEA-A9BD-94F92B89119F} -
C:\WINDOWS\DOWNLO~1\CNSMIN~1.DLL (現在は出ない?)
O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CNSMIN.DLL,Rundll32
O8 - Extra context menu item: JWordでウェブ検索(&J) - res://C:\WINDOWS\DOWNLO~1\CnsMin.dll/203
O9 - Extra button: JWord (日本語キーワード) - {5D73EE86-05F1-49ed-B850-E423120EC338}
- http://www.jword.jp/intro/?partner=AP&type=lk&frm=iebutton (file
missing)
O11に対応するレジストリ
O11に対応するレジストリは、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\
です。このエントリの下に、標準以外のサブキーが存在した場合にO11が現れます。
IEのプラグインです。よく見られるのはこの様なQuickTimeのプラグイン群です。
O12 - Plugin for .bmp: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .png: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
この部分に現れるスパイウェアには出会ったことがありませんが、同時に上記の様なプラグインはいつでもダウンロードできるものなのでFixしてしまっても問題ありません。
O12に対応するレジストリ
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Plugins\Extension\
の下に、
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Plugins\Extension\.bmp
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Plugins\Extension\.mid
などのサブキーが作成されています。
100%スパイウェアだと考えて良いです。例としてはあまり多くありませんが、
O13 - DefaultPrefix: http://193.125.201.50/?trk=
O13 - DefaultPrefix: http://www001.upp.so-
あるいは、
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix: http://www.heretofind.com/show.php?id=120&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=120&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=120&q=
などです。HijackThisからFixして下さい。
O13に対応するレジストリ
O13に対応するレジストリキーは、
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes]
です。デフォルトの値は、
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes]
"ftp"="ftp://"
"gopher"="gopher://"
"home"="http://"
"mosaic"="http://"
"www"="http://"
となります。
「Prefixes」のキーが削除されてしまった場合
まれなケースですが、この「Prefixes」のキーが削除されてしまった場合には、HijackThisのログに、
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O13 - Gopher Prefix:
と出て、Fixできない状態になります。この場合はレジストリキーを作成し、上記のデフォルトの値を定義し直してやる必要があります。
あるいはこちら
を実行することでこのキーを含めてIE関連のレジストリを初期値に戻すことができます。
IEのホームページをインターネットオプションからリセットしたときのURLが、Microsoft以外の時に現れます。
メーカー製のPCや、プロバイダーなどがここに自社サイトを定義していることが多いです。例えば、
O14 - IERESET.INF: START_PAGE_URL=http://www.odn.ne.jp/index.html
O14 - IERESET.INF: START_PAGE_URL=http://www.biglobe.ne.jp/
O14 - IERESET.INF: START_PAGE_URL=http://www.spacetown.ne.jp/
などなど。
どちらにしても、このエントリはFixしてはいけません。FixをするとWeb設定のリセットができない状態になってしまいます。
IEのインターネットオプションの「セキュリティ」にある「信頼済みサイト」に登録されているものがここに現れます。
この部分の判別法は簡単です。「登録されているサイトが怪しいものかどうか」「信頼済みサイトに登録した覚えがあるか」です。ただし、会社のPCの場合は事前に必要なサイトが信頼済みに設定されている場合がありますので、念のためシステム管理者に確認した方が良いでしょう。
また、個人のPCの場合は、防御のために信頼済みサイトのセキュリティレベルを「中」に設定しておくのも良い手です。
エントリの例
悪玉の例です
O15 - Trusted Zone: *.waitsex.com
O15 - Trusted Zone: *.coolwwwsearch.com
対処法
このO15に関しては、「.com」「.org」などドメイン中にドットが一つのものはHijackThisからFix可能です。
ところが、「.co.jp」などドメインに二つ以上のドットが含まれるものは、エラーも出ずFixできた様にみえるのですが実際には修正されずにログに現れ続けます。
このエントリはIEのインターネットオプションから簡単に削除可能ですので、原則としてこちらを参考に対処して下さい
ただし、O1と同様にこれらはスパイウェアによって改ざんされた「結果」ですから、これだけを修正しても症状は改善しません。「原因」の駆除が先決です。
O15に対応するレジストリ
O15に対応するレジストリキー(=IEの「制限付きサイト」)は4種類あります。
現在ログオンしているユーザーのみに反映されるHKCUに2つ
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\
そのPCのユーザーすべてに反映されるHKLMに2つ
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\
です。いずれの場合も「Domains」の方はドメインそのものがサブキーとして、「Ranges」の場合はIPの範囲で規定されます。
ドメインのキーにあるDWORD値の意味は、
- 0x00000000 - マイ コンピュータ
- 0x00000001 - イントラネット
- 0x00000002 - 信頼済みサイト
- 0x00000003 - インターネット
- 0x00000004 - 制限付きサイト
であり、ログに現れる場合は「2」 (信頼済みサイト)が格納されています。
ProtocolDefaultsキー
このO15エントリは、「ProtocolDefaults」キーに関してもチェックを行っています。チェックしているレジストリは、
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults
に相当します。この「ProtocolDefaults」キーが削除されると、O15には、
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should
be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should
be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be
Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should
be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should
be Internet Zone
として現れ、Fixすることが不可能になります。通常この様な状態になることは考えにくいので、このエントリが現れた場合はマルウェアの仕業の可能性が高いです。
この二つのキーをデフォルトの値に修正するには、
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults]
@=""
"http"=dword:00000003
"https"=dword:00000003
"ftp"=dword:00000003
"file"=dword:00000003
"@ivt"=dword:00000001
"shell"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet
Settings\ZoneMap\ProtocolDefaults]
@=""
"http"=dword:00000003
"https"=dword:00000003
"ftp"=dword:00000003
"file"=dword:00000003
"@ivt"=dword:00000001
"shell"=dword:00000000
のレジストリパッチを用いればOKです。これをメモ帳などのテキストエディタに貼り付け、「.reg」の拡張子で保存して実行します。
ちなみに、この場合のDWORD値の意味は前に書いたものと一緒です。例えばここで「"http"=dword:00000002」などとしてしまうと、自動的にすべての「http://」によるアクセスが「信頼済みサイト」のレベルが適用されてしまいます。
ここも重要な項目の一つです。「セキュリティ警告」とはこれです
O16に何かリストされているということは、ActiveXコントローラを使ったプラグインがインストールされているということです。ActiveXコントローラは便利な機能ですが、プログラムのダウンロードをはじめ「何でもできる」危険性をはらんでいます。ですから、これを沢山使うような設定になっているのはセキュリティ上良いことではありません。必要であればすぐにダウンロードできますから、日頃使ってないものは極力削除しておくべきです。なお、WindowsUpdateやFlashなどの、明らかに問題のないエントリはログに現れません。
O16エントリの怖さは、いったん最初に許可してプログラムをインストールしてしまうと、その後警告なしでかなりのことをデフォルトで実行されてしまうことです。すなわち危ないサイトでO16をインストールされてしまうと、以後同様のサイトを訪れた時にActiveXコントローラによって新たなマルウェアを食らってしまう可能性があります。
エントリの例
WindowsUpdateやFlash、Shockwaveなど、明らかに問題がないものについてはログ自体に現れません。
典型的な悪玉の例としては、異様なCLSIDで始まる
O16 - DPF: {11111111-1111-1111-1111-119945377365} (f10213)- mh★tml:file://C:NO_SUCH_MHT.MHT!http://www.008k.com/partner/inst/f10213.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} (ms-its) mh★tml:file://C:\ss.MHT!http://213.159.117.236/buka.chm::/hz.exe
があります(ログ中の「★」は、Nortonの誤検出防止のために入れたものです)。これと類似のものは無数に報告されています。
判定方法
ログに現れたO16の善悪を識別するために、これらのサイトから検索してみて下さい
また、こちらはadultさんが問題ない物とあるものを調査する方法について詳細に書かれたものです。O16の解析に大変役立ちます。
前に書いたように必要な場合には「セキュリティ警告」とともにいつでもインストールできるものですから、極端な場合は全部Fixしても構わないです。
FixすることによってPCに深刻なダメージを与える可能性はありませんので、「疑わしきはFix」が基本方針です。
ただし、インストールしているアンチウイルス関連のエントリは不具合が起こる可能性があるのでFixは避けて下さい。
例えばMcAfeeが出すこちらのエントリ
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating
System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/jp/4,0,0,84/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class)
- http://download.mcafee.com/molbin/shared/mcgdmgr/jp/1,0,0,21/mcgdmgr.cab
に関しては、FixしてしまうとMcAfeeの再インストールが必要な事態を招くことがあるのでFixは避けて下さい。
対処法
HijackThisから問題なくFixすることができます。
O16に対応するレジストリ
Microsoftの「Windows Genuine Advantage」のエントリを例にとります
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage)
- http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
レジストリには、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution
Units
にCLSIDのサブキーとして登録されています。 すなわち、
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution
Units\{17492023-C23A-453E-A040-C7C580BBF700}]
です。その中の「DownloadInformation」に、
"CODEBASE"="http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409"
"INF"="C:\WINNT\Downloaded Program Files\LegitCheckControl.inf"
として定義されている値のうち、上の"CODEBASE"がログに現れています。
また、ログには現れませんがこの"INF"の中身のinfファイルは(この場合は「C:\WINNT\Downloaded Program
Files\LegitCheckControl.inf」)には関連のファイルの情報が記述されています。これはもともとこのファイルの記述に基づいてインストールされた訳ですから当然といえば当然ですが。ただし、「Downloaded
Program Files」フォルダ内の詳細を見るにはちょっとしたコツが必要です。こちらを参考にして下さい。
もう一ヶ所、このCLSID({17492023-C23A-453E-A040-C7C580BBF700}など)をキーとして、
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID]
の下に値の名前として設定されてます。この場合だと、
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{17492023-C23A-453E-A040-C7C580BBF700}]
です。このキーの既定の値として、
@="Windows Genuine Advantage"
が定義されており、これがエントリの中に、内容を識別するための名前として現れます。
マルウェアによるエントリである場合が多いです。こちらは悪玉の例です
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = h14412.find-quick.com
O17 - HKLM\Software\..\Telephony: DomainName = h14412.find-quick.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{486D40A5-F68F-4874-A0C2-01AB62A22BBB}:
Domain = h14412.find-quick.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = h14412.find-quick.com
ただし、ここにネットワークの設定に必要な正常なエントリも現れることがあるので注意が必要です。例えばこんな場合、
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B4E8ACC-4F71-453D-BD4D-384965BF860C}:
NameServer = 211.129.12.47 211.129.14.138
Fixするとネットワークに接続できなくなることがあります。まずIPアドレスを調べてみて下さい。ちなみに上記の例はOCNです。
対処法
O17の修復に関しては、ちょっと注意が必要です。原則としてこちらの方法で対応して下さい。
この項目については、HijackThisのバグがあるようで場合によって現れたり現れなかったりすることがあります。また、HijackThisから削除できないこともあります。
原則として、「CLSIDだけの時は無視、CLSID+\PROGRAMディレクトリが有る時はFix、CLSID+\Systemディレクトリの場合は要確認」です。
すなわち、
O18 - Protocol: BPC - {3A1096B3-9BFA-11D1-AE77-00C04FBBDEBC}
O18 - Protocol hijack: lid - {3A1096B3-9BFA-11D1-AE77-00C04FBBDEBC}
O18 - Protocol: tve-trigger - {CBD30859-AF45-11d2-B6D6-00C04FBBDE6E}
O18 - Protocol: junomsg - {C4D10830-379D-11d4-9B2D-00C04F1579A5}
のケースは無視、
O18 - Protocol: cn - {9346A6BB-1ED0-4174-AFB4-13CD4EC0AA40} - C:\PROGRA~1\COMMON~2\Toolbar\cnbabe.dll
O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} -
C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
O18 - Protocol: cn - {9346A6BB-1ED0-4174-AFB4-13CD4EC0AA40} - C:\PROGRAM
FILES\COMMONNAME\TOOLBAR\CNBABE.DLL
O18 - Protocol: ayb - {07C0D34D-11D7-43F7-832B-C6BB41726F5F} - C:\WINDOWS\APPLICATION
DATA\RGOAHPRCRPRBR.DLL
のケースはHijackThisからFixします。
また、こちらはよく見られる正規のエントリです。Fixしてはいけません
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - %SystemRoot%\System32\mshtml.dll
O18 - Protocol: ndwiat - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\SYSTEM\WIASCR.DLL
このO18は、ログに現れたり現れなかったりするのも一つの特徴です。
*注意: 大量にO18が見つかった場合 (二回連続でHijackThisのスキャンをした場合)
特に注意が必要なのはHijackThisで二回続けてスキャンした場合です。Fix後にスキャンした場合もこれに含まれます。
この場合、本来現れる仕様でない正常なエントリがズラズラとログに並びます。
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll
O18 - Protocol: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol hijack: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol hijack: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol hijack: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol hijack: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6}
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll
O18 - Protocol hijack: lid - {5C135180-9973-46D9-ABF4-148267CBB8BF}
O18 - Protocol: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll
O18 - Protocol: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - C:\WINDOWS\System32\inetcomm.dll
O18 - Protocol hijack: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\System32\itss.dll
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol hijack: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B}
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\System32\mshtml.dll
O18 - Protocol hijack: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E}
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll
O18 - Protocol hijack: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE}
これらは絶対にFixしてはいけません。
「hijack」などの記述があるため勘違いしてFixしてしまうと、関連するプロトコルに異常が発生してPCは正常な処理が出来なくなってしまいます。
こうなるとシステムの復元もできず、さらにはHijackThisから元に戻しても以前の状態に戻らなくなります。その場合はこちらの手順に従って修復して下さい。
とにかく、O18が大量に見つかった場合はまずこれを疑って下さい。
ユーザースタイルシートとは、IEで見るあらゆるページにお好みのスタイルシートを適用するためのものです。ログには、
O19 - User stylesheet: C:\WINDOWS\default.css
の様に現れます。
これは、IEのインターネットオプション「全般」タブから、「ユーザー補助」をクリックして設定する項目です。上の例では、
と設定されています。通常この設定を行っている人はいないと思いますので、ここに現れるものはスパイウェアの仕業と考えて良いです。
エントリの例
悪玉の例では、
O19 - User stylesheet: c:\windows\java\my.css
O19 - User stylesheet: C:\WINDOWS\Web\oslogo.bmp
O19 - User stylesheet: C:\WINDOWS\default.css (HKLM)
などがあります。いずれも一昔前のCoolWebSearchによるものです。
対処法
HijackThisから問題なくFixすることができます。Fix後はPCを再起動して下さい。再起動したら、O19に現れていたファイルを削除します。
O19に対応するレジストリ
通常は、
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles
のキーの中に「User Stylesheet」という値が作られ、そこにcssのファイルの位置が格納されています。最初の例だと「C:\WINDOWS\default.css」です。
「(HKLM)」が最後についているものは、ログインユーザーすべてに影響する、
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Styles
に設定されていることを表します。
ここに現れるのはレジストリ値とレジストリキー(値の定義も含む)です。それぞれ「AppInit_DLLs」と「Winlogon Notify」は全く別のものです。
本来これらを同一の番号で分類する必然性は無いので、おそらくMerijnが超忙しかった結果ではないか…と想像されます。つまり「つい同じ番号を付けてしまった」と。
ログに現れたエントリの確認にはこちらを参考にして下さい
以下、それぞれのエントリについてです
(1) O20 - AppInit_DLLs autorun Registry value
AppInit_DLLs は「win.ini」での設定項目をレジストリに移行させたもので「F2」の範囲内にあるものです。
特にスパイウェアに悪用される頻度が高いため別エントリとして扱われています。ここには
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
キーに存在する、「AppInit_DLLs」値名に登録されているdllファイルが単体で現れます。
HijackThisからFix可能ですが、削除してもマルウェアによって復活することもあります。その場合は先にそれをのマルウェアを駆除する必要があります。
マルウェアの例(CoolWebSearch の亜種)
O20 - AppInit_DLLs: ctrlpan.dll
正規のエントリの例 (NVIDIA のディスプレイドライバ関連)
O20 - AppInit_DLLs: NVDESK32.DLL
ここに出てくる正規のエントリはごく少数なので、dll ファイル名で検索したりファイルのプロパティを見てみれば、ほぼ善悪の判断はつきます。
(2) O20 - Winlogon Notify Registry keys
このエントリは HijackThis 1.99.1 になって新しく追加されたエントリです。 ここにもやはりdllファイルが単体で現れます。
なお、HijackThis はOS標準のエントリはリストアップしませんので、このエントリが現れるというだけである程度警戒する必要があります。
マルウェアの例(Look2Meというここに悪玉を仕込む典型例)
O20 - Winlogon Notify: Telephony - C:\WINDOWS\system32\ajicap32.dll
正規エントリの例 (Intelのグラフィックドライバ)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
「O20 - Winlogon Notify Registry keys」の場合は、
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]
にサブキーが作成され、値名 "DLLName" に定義されたdllファイルはログオン・ログオフその他の動作時に「winlogon.exe」プロセスのモジュールとして起動します。
不正プログラムはログオン時に動作するよう設定されます。上の例では、「igfxcui」がサブキー名「C:\WINDOWS\SYSTEM32\igfxsrvc.dll」がそのサブキー内の値名、"DllName"
の値です。
なお、ここで挙げた2つのO20エントリは両方ともWindows NT/2000/XPのみに関係し、セーフモード起動時でも有効です。
O20に悪玉を仕込むのは悪質なCoolWebSearchやタチの悪いトロイ(BackdoorやAgent系)の場合が多いので、駆除を断念してリカバリーが必要になることがあります。
ここもdllファイルが単体で現れるタイプで、やはりHijackThisはOS標準のエントリはリストアップしません。
基本的にO21エントリがある場合はOS標準のもの以外ですから、疑ってかかって構いません。
ログに現れたエントリの確認にはこちらを
エントリの例
O21 - SSODL: Adobe Acrobat 5.0 - {61980CFE-B325-A27D-9D55-C141897B0FC9}
- c:\program files\adobe\acrobat 5.0\reader\wstedf32.dll
O21 - SSODL: Web Event Logger - {7FFBADFF-E102-1332-ACDE-44659325C679}
- C:\WINNT\system32\Llkkmc32.dll
上の例の、「Adobe Acrobat 5.0」という名前の物は一見問題なさそうですが、これはPaloredというウイルスでれっきとした悪玉です。
ここに現れているdllファイルはログオン時に必ず読み込まれて活動します。またセーフモードでログオンした時でも同様に活動できます。
エントリ名やファイル実体のパスが一見問題なさそうでも、dll ファイルのプロパティやウイルスチェックは行った方が良いです。
対処法
基本的には、O21はHijackThisから問題なくFix可能です。
ただし、エントリ名に2バイト文字(全角文字など)が1文字でも入っていると「プロシージャの呼び出し、または引数が不正です」のエラーが出てFixに失敗します。
2バイト文字が入った具体的な例としては、
O21 - SSODL: @nifty接続アシスタント
という悪玉エントリが現れたことがあります。この場合は次章を参照の上、レジストリバッチなりなんなりで対応する必要があります。
O21に対応するレジストリ
O21は、こちらのキー
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\shellServiceObjectDelayLoad
に、サービスごとにCLSIDをサブキーとして登録されています。もちろんこの場合は善玉悪玉区別せずにすべて出てきます。例えば、
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"@nifty接続アシスタント"="{61D3205D-E113-97E2-0873-43E5B6BD7F4A}"
の様になっています(一番下が悪玉)。一方で、このCLSIDをキーとして、
[HKEY_CLASSES_ROOT\CLSID\{CLSID}
が作成されますその中の値である「InProcServer32」を見ると、この「@nifty接続アシスタント」の場合を例に取ると、
[HKEY_CLASSES_ROOT\CLSID\{61D3205D-E113-97E2-0873-43E5B6BD7F4A}\InProcServer32]
@="c:\\progra~1\\@nifty~1\\ojpduy32.dll"
"ThreadingModel"="Apartment"
という情報が格納されているのが分かります。この両方のキーと、登録されている不正ファイル(この場合は「ojpduy32.dll」)を削除する必要があります。
もしレジストリバッチを作成して削除する場合は、
REGEDIT4
[-HKEY_CLASSES_ROOT\CLSID\{自分が感染したCLSID}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"悪玉サービス"=-
となります。
このエントリはまず見かけませんが一応紹介のみしておきます。
悪玉の例としては
O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F}
- c:\windows\system32\mtwirl32.dll
のようなエントリをだすCWS.SmartFinderというCoolWebSearchの亜種がいるようです。
ここにエントリが出るのは非常にレアなケースなので、見つけたらまず疑ってかかってよいと思われます。
このエントリにはWindows NT/2000/XP/2003の「サービス」が現れます。ただし、ここで現れるのはスタートアップの種類が自動のものだけです。スタートアップの種類が手動のものは他のサービスによって開始していても表示されませんのでちょっと注意が必要です。また、現れるのは実行ファイルの著作権表示がMicrosoft製でないものに限られます。
アンチウイルスソフト、PCにプレインストールされたアプリケーション、デバイスドライバなどに関連したサービスもここに現れます。サービスは、ログオンの有無とは関係なく、ログオン前からバックグラウンドで動作します。Windows起動のかなり早い段階(場合によってはアンチウイルスなどより早く)で起動するので要注意です。
正規のエントリの例
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec
Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated.
- C:\PROGRA~1\TRENDM~1\VIRUSB~1\Tmntsrv.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) -
McAfee, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: BUFFALO Wireless Configuration Service (bwcsrv) - Unknown
owner - C:\WINDOWS\System32\Drivers\bwcsrv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program
Files\iPod\bin\iPodService.exe
などです。エントリの中に、プロパティから拾ってきた製品や製造元に関する情報が入っているので、大体どんなものであるかは分かります。
マルウェアによるエントリの例としては、悪名高いHome Search Assitentという CWS の亜種が作成するサービスがあります。
O23 - Service: Remote Procedure Call (RPC) Helper ( 11F゚・#キコトヨ`I) - Unknown
owner - C:\WINNT\crkn.exe
O23 - Service: Workstation NetLogon Service ( 11F゚・#キコトヨ`I) - Unknown owner
- C:\WINDOWS\iebv.exe
質問掲示板で O23 に現れる悪玉はこれが多いです。
こちらはAuroraというアドウエアによるもの
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
ログに現れたエントリの確認にはこちらを
「file missing」としてO23に現れるケース
ちょっと注意が必要なのは、正規のエントリで問題が無いにも関わらず「file missing」としてログに現れるケースがあることです
こちらはアンチウイルスソフト「Avast!」での例
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil
Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil
Software\Avast4\ashWebSv.exe" /service (file missing)
ImagePath値内の内容によってこの様な現象が起こります。
上の例はもちろんFixしてはいけません。一般的に、O23に関する限り、「file missing」が出た場合はそれが不要だと確信が無い限りFixしてはいけません。
対処法
O23をHijackThisからFixし、PCを再起動することでサービスを停止することができます。ただこの場合は、スタートアップが「無効」に設定されるだけで、実行ファイル本体やサービスのレジストリ設定の削除は一切行われません。悪玉と確定してサービスをまるまる削除する場合は、有限会社 軟式さんに作成していただいたSDELISTを用いて、
レジストリ設定の削除を行います。そして再起動後、HijackThisのO23エントリに出ていた実行ファイル本体も手動で削除する必要があります。
正当なサービスとの依存関係の解除
悪玉サービスの停止を妨げるため、このサービスに、「Remote Procedure Call」や「Plug and Play」といったシステム上重要なサービスが依存する設定にされている場合があります。その場合は、停止させる前に依存関係の設定を解除する必要があります。この解除のために、サービス関係の操作を行う「SC.exe」コマンドを用います。
Windows XPの場合はこのコマンドは標準で付属していますが、Windows 2000の場合はこちら
からダウンロードして入手する必要があります。
例えば、「Plug and Play」が何らかの悪玉サービスに依存した設定になっている場合には、コマンドプロンプトから、
sc.exe config PlugPlay depend= ""
と打ち込むことで、この依存関係を解除することができます。
「SC.exe」の解説についてはこちらをどうぞ
O23に対応するレジストリ
サービス表示名の後のカッコ内の名前が、サービス名でサービスについて定義されているレジストリキーと同じ名前になっています。
例えば、パーソナルファイアウォールであるSygate(善玉)の例だと、ログには、
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies,
Inc. - C:\Program Files\Sygate\SPF\smc.exe
と現れます。これに対して、
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
に「SmcService」キーが作られます
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SmcService
このキーの内容を調べる事によって、当該サービスに関する詳細な情報を得る事ができます。
例えばこのSygateの場合は、
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SmcService]
"Type"=dword:00000110
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):43,00,3a,00,5c,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,\
20,00,46,00,69,00,6c,00,65,00,73,00,5c,00,53,00,79,00,67,00,61,00,74,00,65,\
00,5c,00,53,00,50,00,46,00,5c,00,73,00,6d,00,63,00,2e,00,65,00,78,00,65,00,\
00,00
"DisplayName"="Sygate Personal Firewall"
"ObjectName"="LocalSystem"
"Group"="NDIS"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SmcService\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SmcService\Enum]
"0"="Root\\LEGACY_SMCSERVICE\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
となっていました。
O23のエントリに表示されている会社名は、エントリに表示されているファイルのプロパティのバージョン情報から取得されています。
一部の例外を除き、正規の製品のファイルのプロパティにはバージョン情報と会社名が含まれています。つまり、「Unknown owner」と表示されているものはファイルにバージョン情報が含まれていないことを意味しますので、不正な物である可能性が高くなります。
ただし、プロパティの情報がない正当なものもあります。例えば、
O23 - Service: NT Meter - Unknown owner - C:\WINDOWS\system32\NTMETER.EXE
はNECの電源監理関係のものです。
コントロールパネルとの対応
コントロールパネルから、「管理ツール」→「コンポーネントサービス」→「サービス (ローカル)」に対応します(画像は65%に縮小)
右側の各項目をダブルクリックして開く画面からも、サービスの停止や情報の取得が可能です。
このサイトのphpBBで、眠さんにモデレータになっていただいて「回答練習フォーラム」を設置しております。
実際のログで力試しをしたい方、回答者を目指す方、あるいはパズル感覚で遊びたい方であったって構いません。
登録しないと書き込みができませんけれども、登録は本当にお気軽にしていただいて構いません。どしどし(死語)ご登録&ご参加下さい。
で、ゆくゆくはこのサイトで優秀な回答者として活躍していただきたいと。それが場主の本音であり、切実な願いでもあります。
英語ですが、こちらのサイトがHijackThisのログの解説としてもっとも有名かつ纏まったものです。
併せてご覧いただけるとより理解が深まるかと思います。
このページは、2003年頃にこれまで僕が出会った症例を中心に纏めたものが最初なのですが、2005年にはもうかなり時代遅れの古くさいものになってしまっていました。改訂にはかなりの作業が予想されたため、必要性を感じながら延ばし延ばしになっていました。
眠さんに最初にご指摘、adultさんにハッパをかけていただき、お二人とfooさんはじめたくさんの方の経験と知恵を集結した結果がこのページです。
もはやこのサイトが僕だけのものではないことを改めて認識するとともに、優秀なスタッフに恵まれたことを本当に幸せに思います。みなさまに深く感謝致します。
更新履歴
2006.4.12 O16のFixに関してMcAfeeエントリは避ける記述を追加
2006.6.4 O17の対処法を追記
2005.11.10 O1、O13、O15追記
2005.9.16 全面改定
【文頭に戻る】
POWERED by 
