RemoveToolbarなどのマルウェアによって、HijackThisのログに不正なO17エントリが現れることがあります。
このO17は、TCP/IPの基本的な接続設定にかかわる部分で、下手にHijackThisからFixしてしまうと最悪インターネットに接続できない状態を招きます。
ルータをお使いの場合など、問題なくFixできる場合もありますが、どうなのか迷った場合にはこのページの方法に従った方が安全です。
RemoveToolbarに感染したHijackThisのログの例です。
・ Win2K/XPの場合
・ OSが98/MEの場合
これに限らず、ログのO17に現れているIPアドレス(85.255.116.132などの文字列)の素性に覚えがなければ、何らかの改ざんが行われています。
IPについてはこちらを参考に、
ログに出ているIPをチェックして、お使いのプロバイダのものかどうかなどの確認をして下さい。
一言で言うと、「インターネット接続の設定を再度行ってPCを再起動する」という操作になります。
人によっては、何も設定を行わずにLANケーブルを差し込んだだけの人もいるはずで、その場合は「余計な設定をすべて解除する」になります。
最初の設定を自分で行っていなくて全く解らない人は、やってもらった人に訊くか、お使いのプロバイダに設定方法を訊いて下さい。
もっとも、プロバイダと契約した時に送られてきたマニュアルには必ず接続に関する記述がありますし、ルータをお使いの場合はその説明書に記述があります。
どちらにしても、正しい接続設定をはっきり確認するまでは操作は行わないで下さい。間違った設定をするとインターネットに接続できなくなります。
接続設定のやり直しは、「ネット接続に使っている接続」に対して行います。
これだけで解る人は、その接続の「接続のプロパティ」を出して先に進んで下さい。解らない人は次の方法で開きます。
インターネットに接続した状態で、画面の右下の「インジケータ」の部分を見て下さい
その中に、「×」の付いていない、アクティブな接続があるはずです。上の例だと、左から三番目の赤枠で囲んだこちらです
このアクティブな接続をダブルクリックして「接続の状態」を出し、その中にある「プロパティ」をクリックして下さい
(上の例はワイヤレス接続の場合です。接続の方法によって見栄えは少々違いますが「プロパティ」ボタンはあるはずです)
現れた「接続のプロパティ」の一覧の中から、一番下の方にある「インターネット プロトコル (TCP/IP)」を選択し、「プロパティ」をクリックします
ここまでの作業で、次のような画面が開いているはずです
(IPアドレスもDNSサーバも設定してない場合)
O17に不正なエントリが見られる場合は、この画面でその不正な値が確認できます。例えば最初のログの場合だと、
となっています。どちらにしても、正しい接続が出来るように設定を行います。
を行います。
すべて作業が終了したら、「OK」をクリックして行って窓を全部閉じた後、必ずPCを再起動します。
途中でこちらの警告が出た場合は、気にせず「OK」をクリックして下さい
再起動後、HijackThisのログを取り直して不正なO17エントリが消えている(ないし修正されている)ことを確認して下さい。これで作業は終了です。
この作業を正しく行った後に、不正なO17がHijackThisログに表れる場合は、一度そこからFixしてみて下さい。あくまでも「不正なことが明らかな」場合のみです。
ここから下は興味のある方のみを対象にしてます。
例えば最初に示したログ
の場合、この様な設定に改ざんされています。
これを正しく修正するためには、
とする必要があるにもかかわらず、HijackThisからのFixだとDNSのアドレスは消去されてもDNSの設定がそのまま。すなわち
という状態になってしまうため、「DNS 固定設定なのにアドレス未指定」という矛盾した状態になった結果、ネット接続不良を引き起こしていると思われます。
また、ダイヤルアップ接続の場合には接続の設定が「rasphone.pbk」というファイルに保存されていますが、HijackThisからFixしただけではこの内容は修正されません。
従って、いくらHijachThisからFixして一旦消えたと思っても、再度接続すればこの「rasphone.pbk」が呼び出されて復活します。
O17に関しては、僕も昔からずっと引っかかっていました。このサイトの掲示板でも「O17 Fix → ドボン」という事例は少なくないと思います。こちらのトピ
でこの問題を鋭く指摘して解明された九八式さん、および種々の実験、解析を行っていただいたfooさん、ママ姐さんに深く感謝致します。
2006.6.4 ページ作成
