レジストリエディタは、レジストリを直接編集するためのツールで、Windowsに標準でインストールされています。
使い方自体はそれほど難しいものではありませんが、下記の点に注意が必要です。
従って、初心者が作業を行うことは原則としてお薦めしません。決まり文句ですが「このページを参考にして行った操作については責任は負いません。あくまでも自己責任で」と書かざるを得ません。もっとも、事前にレジストリのバックアップを取り、操作を行うキーもバックアップしておけば大きな事故が起こる可能性はほとんどありません。
作業を行う前に、まずレジストリ全体をバックアップしておきます。OSごとのレジストリのバックアップ方法については、こちらを参考にして下さい。
上のリンクで解説されていないWindows 2000の場合は、ERUNT等のフリーソフトを利用して下さい。
「しまった!」と思ったときはもう遅いです。何か起こった場合に備えて、バックアップの復帰方法もプリントアウトしておきましょう。
「スタート」→「ファイル名を指定して実行」をクリックし、「regedit」と打ち込んで「OK」をクリックします
*注: Windows 2000のregedit.exe には一部機能制限があり、regedt32.exe を使う必要がある場合があります。
詳しくは「Regedit.exe と Regedt32.exe の相違点 (MSKB)」を参照して下さい。
起動直後の画面です
(以前使用したことがあれば、最後に使用した状態でキーが開いています)
レジストリエディタが無効化されている場合は起動時にエラーが出ます
この場合は、先にHijackThisからO7をFixするか、原因を取り除いて下さい。管理者が別にいる場合は、管理者に相談して下さい。
レジストリの定義済みキーには5種類あります。
通常マルウェアによって改変されるのは、現在のログオンユーザーにのみ影響する「HKCU (HKEY_CURRENT_USER)」、あるいはすべてのユーザーに影響する「HKLM (HKEY_LOCAL_MACHINE)」がほとんどですが、場合によっては「HKEY_USERS」が改変される場合があります。
この場合は操作が複雑(というか個別)になりますのでこちらをご参照下さい。
基本的な操作は、エクスプローラとほぼ同じです。ここでは、特定のキーを削除するケースと、値を変更するケースを例に挙げます。
なお、レジストリエディタは、終了時に開いているキーを記憶していて、次回立ち上げたときにはそのキーが開いた状態で起動します。
次にレジストリエディタを起動したときにとまどうので、終了する際に一旦全部閉じておいた方が良いです(必要不可欠な作業ではないですが)。
マルウェアがインストールされた場合、駆除後もHKLMに登録が残る場合があります。もはや害をなすものではありませんが、残しておく理由もありませんので、ここではこれを削除する例を挙げます。ちなみに、ここで例に挙げるWareOutは、Remove Toolbarと同時にインストールされるインチキアンチスパイウェアソフトです。
今回の例で削除するキーはこちらです。
キーにたどり着くには、パス名の頭から「\」までを読んで「HKEY_LOCAL_MACHINE」を開き、次に「SOFTWARE」を…という風に順に開いていきます。
まず万一の場合に備えて、キーのバックアップを取ります。左の画面から削除するレジストリキー(この場合は「WareOut」)を右クリックして「エクスポート」を選択します
保存場所を聞いてくるので、デスクトップなど指定して、適当な名前を付けて保存して下さい。ファイルの拡張子は「.reg」になります。
同じく右クリックから、いよいよレジストリキーを削除します
確認メッセージが出るので、「はい」をクリックします
以上で作業は終了です。PCを再起動して下さい。
次にレジストリキーの中の値を変更する方法です。この例では、「Start Page」の値を変更します。
これは、インターネットオプションのホームページ変更で「標準設定」をクリックしたときに設定されるURLに相当します。キーは、
です。今回はたどり着くまでのパスが少々長いですが、要領は同じです。
前の例と同様に、左の画面から操作を行うレジストリキー(この場合は「Main」)を右クリックして「エクスポート」を選択し、キーを保存しておきます。
今度は右側のウィンドウから、「Start Page」をダブルクリックするか、右クリックから「修正」をクリックします
(値を削除する場合は「削除」をクリックします。もちろん上の例では削除してはいけません)
するとキーの値の編集ウィンドウが出ます
変更したい値を下のボックスに入力し、「OK」をクリックします。
これで値が修正されました。作業後はPCを再起動して下さい。
もし作業を行ってPCを再起動した際に問題が起こった場合は、エクスポートしておいたバックアップファイル(regファイル)をダブルクリックして下さい。
すると下記の様なダイアログが出るので、「はい」をクリックします
復帰に成功した場合は、下記のメッセージが出るので「OK」をクリック
以上でレジストリキーは最初の状態に戻りました。PCを再起動して問題が解決していることを確認して下さい。
レジストリ内を検索する方法です。マルウェアによって何が書き換えられたかを知る手がかりになります。検索は、レジストリ内のキー名もその中の値も対象になります。
「マイコンピュータ」を選択して、「編集」→「検索」を開き、検索したい語句を入れて「次を検索」をクリックします。
「編集」→「キー名のコピー」で、そのキーまでのパスをクリップボードにコピーできます。
F3キーを押すと、同じキーワードで順方向で(下方向で)検索がはじまります。「shift+F3」で前方向に検索できます。
それ以上見つからない場合は、
と表示されます。
質問者に直接レジストリエディタで作業してもらうのが不安な場合、レジストリパッチを作成することで上記の操作を「遠隔」で行うことができます。詳しくはこちらを
まだ十分に使いこなしている訳ではないのですが、一応ご紹介を。レジストリにどのような変更がなされたかを見るのに便利なソフトです。フリーウェア。
本家のアーリーバードのサイトはこちらです。
2005.10.18 改訂
