StartupList解析入門 − HijackThisよりもかなり大変
StarupuListは、HijackThisに添付されている機能の一つですが、元々はHijackThisとは独立したPC解析のためのアプリケーションです。
作成されるログの内容は、通常のHijackThisのログと同じ部分もありますが、現れない重要な情報を含むので相互補完の位置づけです。
ただし、HijackThisと違って、ログ上のエントリをFixする機能はありません。StartupListのログの作り方についてはこちらをどうぞ
ここでは、それぞれの項目について簡単にまとめてます。
ヘッダ
ログの一番最初の部分です。HijackThisのヘッダの情報とほぼ同じです
StartupList report, 2004/05/20, 21:26:20 → ログが作成された年月日、時間
StartupList version: 1.52 → StartupList自体のバージョン
Started from : C:\Program Files\hijackthis\HijackThis.EXE → 実行ファイルの場所
Detected: Windows XP SP1 (WinNT 5.01.2600) → OSとそのバージョン
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106) → IEのバージョン
★ Using default options → 必ず現れる
★ Including empty and uninteresting sections → List empty sections (complete)にチェックを入れると現れる
★ Showing rarely important sections → List also minor section(full)にチェックを入れると現れる
最後の三行は、ログの作成された状態を表します。
このサイトのマニュアルに従うと、「List empty sections (complete)」にチェックが入ってあるはずなので確認して下さい。
Running processes:
HijackThisのログの「Running Processes:」に相当します。
Listing of startup folders:
ここが最初にStartupListを使い始めたきっかけです。
本来HijackThisのログにO4として現れるはずのものですが、Win2000/XPの場合にはログに現れてません。
StartupListのログには、Win2000/XPの場合には、
Shell folders Startup:
[C:\Documents and Settings\Owner\スタート メニュー\プログラム\スタートアップ]
SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
Shell folders Common Startup:
[C:\Documents and Settings\All Users\スタート メニュー\プログラム\スタートアップ]
Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
Win9Xの場合は、
Shell folders Startup:
[C:\WINDOWS\スタート メニュー\プログラム\スタートアップ]
VAIO Action Setup (サーバー).lnk = C:\Program Files\Sony\VAIO Action Setup\VAServ.exe
Shell folders Common Startup:
[C:\WINDOWS\All Users\スタート メニュー\プログラム\スタートアップ]
となります。
Autorun entries from Registry:
HijackThisのログのO4に相当します。レジストリからの自動起動です。
Autorun entries in Registry subkeys of:
上と同じ項目ですが、それぞれのサブキーを表示するものです。
Load/Run keys from C:\WINDOWS\WIN.INI:
HijackThisのログのFに現れる「win.ini」に関するものに相当します。
Load/Run keys from Registry:
O4に相当する部分とは別の自動起動がなされるものたちです。項目は、
HKLM\..\Windows NT\CurrentVersion\WinLogon: load=
HKLM\..\Windows NT\CurrentVersion\WinLogon: run=
HKLM\..\Windows\CurrentVersion\WinLogon: load=
HKLM\..\Windows\CurrentVersion\WinLogon: run=
HKCU\..\Windows NT\CurrentVersion\WinLogon: load=
HKCU\..\Windows NT\CurrentVersion\WinLogon: run=
HKCU\..\Windows\CurrentVersion\WinLogon: load=
HKCU\..\Windows\CurrentVersion\WinLogon: run=
HKCU\..\Windows NT\CurrentVersion\Windows: load=
HKCU\..\Windows NT\CurrentVersion\Windows: run=
HKLM\..\Windows NT\CurrentVersion\Windows: load=
HKLM\..\Windows NT\CurrentVersion\Windows: run=
HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=
があります。今話題の「AppInit_DLLs」もこの部分に含まれます。こちら参考まで
「HKLM\..\」は「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\」を省略したもので、それぞれのレジストリ値に相当します。
Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:
HijackThisのログのFに現れる「system.ini」に関するものに相当します。
System.iniの方は、ハードウェアや仮想ドライバなどを中心とした初期設定ファイルです。
Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*
通常は何も登録されてないのが普通です。
Enumerating Browser Helper Objects:
HijackThisのログのO2に相当します。BHOのリストです。
Enumerating Task Scheduler jobs:
タスクスケジューラに登録されているものです。意外と盲点かもしれません。コントロールパネルの「タスク」から削除可能です。
Enumerating Download Program Files:
HijackThisのログのO16に相当します。ダウンロードしたActiveXの一覧です。
Enumerating Winsock LSP files:
HijackThisでログのO10に相当します。LSP(Layered Service Provider)がここにあらわれます。
下手にいじるとネット接続できなくなることもある怖いエントリで、HijackThisでの修正もできなくなっています。
Enumerating Windows NT/2000/XP services
HijackThisのログのO23に相当します。Windows NT/2000/XP/2003の「サービス」が現れます。
Enumerating ShellServiceObjectDelayLoad items:
HijackThisのログのO21に相当します。ShellServiceObjectDelayLoad (SSODL) の自動起動設定が現れます。
最後に
StartupListのすべての項目はカバーしていません。
一方で全部書くとかえって見にくくなると言う思いもありますので、また新たな情報が入ったら追加改訂します。
更新履歴
2005.9.16 改訂
2004.6.10 ページ作成
【文頭に戻る】
POWERED by 
