HijackThis ログチュートリアル

HijackThis ログチュートリアル

ここでは、HjackThisが記録するログの各アイテムの基本的な意味とそれらに関するヒントを説明しています。

ここでの情報は、HijackThis チュートリアルから翻訳したものです。内容の翻訳と掲載に関しては、所有者の許可を得ています。

HijackThis ログの取得方法

1. ダウンロードした、HijackThisイメージを展開し、Hijackthis.exeを実行します。初めて実行する場合には、以下の警告メッセージ表示されます。[OK]ボタンをクリックして進みます。

補足:HijackThisでスキャンされるものがすべてがハイジャッカとは限らないこと、削除は、慎重に行わないと、システムにダメージを起こしてしまうのでスパイウェア専門家にログを見てもらうことなどが説明されています。

2. メイン画面

メイン画面が表示されたら、[Do a system scan and save a logfile]をクリックして、ログを取得します。

3. システムのスキャンが終わると、NOTEPADが実行され、ログが作成されます。

ファイルを保存します。(Hijackthis.logというファイル名)

概要

HijackThis ログの各行はセクション名で始まっています。 (これの技術情報は、メインウィンドウの'Info'をクリックし、スクロールダウンしてください。行を選択し、"More Info on this item"をクリックします。)

実際の情報は、目的のセクション名をクリックしてください。

R0, R1, R2, R3 - Internet Explorer 開始/検索ページのURL
F0, F1 - 自動ロードプログラム
N1, N2, N3, N4 - Netscape/Mozilla 開始/検索ページのURL
O1 - ホストファイルのリダイレクト
O2 - ブラウザヘルパーオブジェクト (BHO - Browser Helper Objects)
O3 - Internet Explorer ツールバー
O4 - レジストリからの自動ロードプログラム
O5 - コントロールパネルで表示されていないIE オプションアイコン
O6 - 管理者によるIE オプションアクセス制限
O7 - 管理者によるRegedit アクセス制限
O8 - IE 右クリックメニューの拡張アイテム
O9 - メインIE ボタンツールバー上の拡張ボタン、またはIE 'ツール' メニューのアイテム
O10 - Winsock ハイジャッカ
O11 - IE '高度なオプション' ウィンドウの拡張グループ
O12 - IE プラグイン
O13 - IE デフォルトプレフィックスハイジャック
O14 - 'Web設定のリセット' ハイジャック
O15 - 信頼されたゾーン内の好ましくないサイト
O16 - ActiveX オブジェクト (別名 Downloaded Program Files)
O17 - Lop.com ドメインハイジャッカ
O18 - 拡張プロトコルとプロトコルハイジャッカ
O19 - ユーザスタイルシートハイジャック

HijackThis 1.98.x以降での追加:

O20 - AppInit_DLLs 自動開始レジストリ値
O21 - ShellServiceObjectDelayLoad 自動開始レジストリキー
O22 - SharedTaskScheduler 自動開始レジストリキー
O23 - Windows NT サービス

R0, R1, R2, R3 - IE 開始& 検索ページ

例:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/
R2 - (this type is not used by HijackThis yet)
R3 - Default URLSearchHook is missing

対処:
左側のURLが、ご使用のホームページ、または検索エンジンであることが確認できれば、OKです。知らないURLの場合、これをチェックして HijackThis で修正してください。
R3アイテムでは、プログラム Copernicなどが表示されている場合は、常に修正してください。

F0, F1, F2, F3 - INIファイルからの自動ロードプログラム

例:

F0 - system.ini: Shell=Explorer.exe Openme.exe
F1 - win.ini: run= hpfsched

対処:
F0 アイテムは常に悪者です。すべて修正してください。
F1 アイテムは通常、とても古いプログラムで、安全です。ファイル名を確認して本当に安全かどうかを確認してください。
Pacman's Startup List を使ってアイテムを識別することができます。

N1, N2, N3, N4 - Netscape/Mozilla 開始& 検索ページ

例:

N1 - Netscape 4: user_pref("browser.startup.homepage", " www.google.com "); (C:\Program Files\Netscape\Users\default\prefs.js)

N2 - Netscape 6: user_pref("browser.startup.homepage", " http://www.google.com "); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)

N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine:// C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src "); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)

対処:
通常 Netscape および Mozilla ホームページおよび検索ページは安全です。稀にハイジャックされることがあります。唯一 Lop.com はハイジャッカとして知られています。ホームページと検索ページのURLを知っているものかどうか確認し、怪しい場合は、HijackThis で修正してください。

O1 - ホストファイルリダイレクト

例:

O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
O1 - Hosts file is located at C:\Windows\Help\hosts

対処:
このハイジャックは、右側のアドレスを左側のIPアドレスにリダイレクトします。もしIPがそのアドレスに属していない場合、これらのサーバアドレスを利用している場合、常に違うサイトにリダイレクトされることになります。Hostsファイルのこれらの行を編集することもなく、HijackThis を使ってこれらを修正することができます。
最後のアイテムは、時々 Windows 2000/XPでCoolwebsearch に感染した場合に問題になります。常にこれを修正するか、CWShredder で自動的に修復してください。

O2 - ブラウザヘルパオブジェクト

例:

O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL

O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)

O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL

対処:
ブラウザヘルパオブジェクトの名前が直接分からない場合でも、 TonyKのBHO & Toolbar List を使ってクラス ID (CLSID, カッコ内の番号) からそれを見つけて、安全なものかどうかを確認することができます。BHO リストにの 'X' は、スパイウェアを意味し、 'L' は安全であることを意味します。

O3 - IE ツールバー

例:

O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL

O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)

O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL

対処:
ツールバーの名前が直接分からない場合は、TonyKのBHO & Toolbar List を使ってクラスID (CLSID, カッコ内の番号)それを見つけ、安全かどうかを確認してください。ツールバーリスト上の 'X'は、スパイウェアを、'L' は安全なことを意味します。
それがリストになく、またランダムな文字列の名前が使用されていて、またファイルが'Application Data' フォルダ (上記の最後の行の例lのように)にある場合、恐らくLop.com です。必ずHijackThisでこれを修正してください。

O4 - レジストリまたはスタートアップグループからの自動ロードプログラム

例:

O4 - HKLM\..\Run: [ ScanRegistry ] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [ SystemTray ] SysTray.Exe
O4 - HKLM\..\Run: [ ccApp ] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - Startup: Microsoft Office .lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: winlogon.exe

対処:
PacManのStartup List を使って、エントリを見つけ、安全かどうかを確認してください。
アイテムがスタートアップでのプログラム設定の場合 (上記の最後のアイテムのように)、これらのプログラムがメモリ内にある場合、HijackThisはこれらを修正することはできません。 Windows タスクマネージャ (TASKMGR.EXE) を使って、修正する前に、これらのプロセスを停止してください。

O5 - コントロールパネル内のIE オプションの非表示

例:

O5 - control.ini: inetcpl.cpl=no

対処:
あなた、またはシステム管理者が意図してコントロールパネルからアイコンを隠していない限り、HijackThis を使ってこれを修正してください。

O6 - 管理者によるIE オプションアクセス制限

例:

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\ Restrictions present

対処:
Spybot S&D のオプションである 'ホームページの変更をロック'をアクティブにしていない限り、あなた、またはシステム管理者が意図して設定していない限り、HijackThisでこれを修正してください。

O7 - 管理者によるRegeditアクセス制限

例:

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

対処:
あなた、またはシステム管理者が意図的にこの制限を設定していない限り、常に HijackThisでこれを修正してください。

O8 - IE 右クリックメニューの拡張アイテム

例:

O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html
O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm
O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm

対処:
IEの右クリックメニューアイテムで、見知らぬものがあれば、HijackThisで修正してください。

O9 - メイン IEツールバーの拡張ボタンIE 'ツール' メニューの拡張オプション

例:

O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: AIM (HKLM)

対処:
見知らぬ名前がある場合、HijackThisで修正してください。

O10 - Winsock ハイジャッカ

例:

O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll ' missing
O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll

対処:
Cexx.org にあるLSPFix , またはKolla.de のSpybot S&D を使ってこれを修正することをお薦めします。
安全でないために LSP スタックの'不明'なファイルは、HijackThisでは修正できません。

O11 - Extra group in IE 'Advanced Options' window

例:

O11 - オプショングループ: [CommonName] CommonName

対処:
CommonName ハイジャッカのみが、独自のオプショングループをIE高度な設定オプションウィンドウに追加します。常に HijackThis でこれを修正してください。

O12 - IE プラグイン

例:

O12 - Plugin for .spop : C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .PDF : C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

対処:
多くの場合、これらは安全です。唯一 OnFlow はここに不必要なプラグイン(.ofb)を追加します。

O13 - IE デフォルト先頭文字ハイジャック

例:

O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: http://ehttp.cc/?

対処:
これらは常に悪者です。HijackThisでこれらを修正してください。

O14 - 'Web 設定リセット' ハイジャック

例:

O14 - IERESET.INF: START_PAGE_URL= http://www.searchalot.com

対処:
URL は、ご使用のコンピュータや、契約しているISPと違っている場合、HijackThisでこれを修正してください。

O15 - 信頼されたゾーンの望まないサイト

例:

O15 - Trusted Zone: http://free.aol.com
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.msn.com

対処:
大くの場合、唯一 AOL およびCoolwebsearch が知らない間にサイトを信頼されたゾーンに追加します。ご自身で信頼されたゾーンにドメインを追加していない場合は、HijackThisでこれを修正してください。

O16 - ActiveX オブジェクト (別名 Downloaded Program Files)

例:

O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} ( Shockwave Flash Object ) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

対処:
見知らぬオブジェクトの名前やダウンロード元のURLを見つけたら、 HijackThisでこれを修正してください。名前やURLが 'dialer', 'casino', 'free_plugin' などを含んでいる場合は、確実に修正が必要です。
JavacoolのSpywareBlaster は、ActiveXオブジェクトの大きなデータベースを持っていて、CLSIDを参照するのに利用することができます。 (検索機能はリストを右クリックします。)

O17 - Lop.com ドメインハイジャック

例:

O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gla.ac.uk

O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175

対処:
ドメインがご使用のISPでも、企業ネットワークでもない場合、多くの場合、見に覚えのない海外のサーバが記述されている場合。HijackThis でこれを修正してください。 'SearchList' エントリでも同じです。
IPアドレスの照会は、http://anti-threat.shareedge.com/ のwhois IPアドレス照会やgoogleを利用するとよいでしょう。誤って正しい設定を削除してしまうとネットワークに接続できなくなるので注意が必要です。
'NameServer' (DNS サーバ) エントリでは、Google を使ってIPを参照して安全かどうかを簡単に確認することができます。

感染例:
O17 - HKLMSystemCCSServicesTcpip..{461B0E77-ADE6-49DF-803A-2314FAA1CEF8}: NameServer = 85.255.116.67,85.255.112.71
O17 - HKLMSystemCCSServicesTcpip..{55662696-36DB-4176-B78C-09F87A96185B}: NameServer = 85.255.116.67,85.255.112.71
O17 - HKLMSystemCCSServicesTcpip..{E34DDA6B-3130-4B45-B25F-3381742D9306}: NameServer = 85.255.116.67,85.255.112.71
O17 - HKLMSystemCS1ServicesTcpipParameters: NameServer = 85.255.116.67 85.255.112.71
O17 - HKLMSystemCCSServicesTcpipParameters: NameServer = 85.255.116.67 85.255.112.71

O18 - 拡張プロトコルおよびプロトコルハイジャッカ

例:

O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

対処:
いくつかのハイジャッカのみがこれを利用しています。分かっているものは、 'cn' (CommonName), 'ayb' (Lop.com) および 'relatedlinks' (Huntbar)です。HijackThis でこれらを修正してください。
その他表示されるものに関しては安全か、またはハイジャックかどうか分かっていません。 (例最後のものは、スパイウェアによりCLSID が変更されています) HijackThis で修正してください。.

O19 - ユーザスタイルシートハイジャック

例:

O19 - User style sheet: c:\WINDOWS\Java\ my.css

対処:
ブラウザが遅くなったり、ポップアップが頻繁に発生する場合、ログに現れた場合にHijackThis でこのアイテムを修正してください。しかし、唯一Coolwebsearch のみがこれを行います。CWShredder を使ってこれを修正することを推奨します。

O20 - AppInit_DLLs レジストリ値自動実行

例:

O20 - AppInit_DLLs: msconfd.dll

対処:
このレジストリ値は、HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows に位置し、ユーザがログインした場合に、DLL をメモリに読み込み、ログオフするまで残ります。ほんのわずかの正統なプログラムがこれを利用します (Norton CleanSweep は APITRAP.DLLを使用 )。多くの場合、トロイの木馬や, アウレッシブなブラウザハイジャッカがこれを使用します。

レジストリ値から読み込まれる'隠れた' DLL の場合、 ( Regeditの'バイナリデータの編集' オプションでのみ表示可能 ) dll 名には先頭にパイプ '|' をマークしてログに表示します。

O21 - ShellServiceObjectDelayLoad

例:

O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll

対処:
これはマニュアルに記述されていない自動実行方法で、通常わずかのウィンドウズシステムコンポーネントでのみ使用されます。HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad にリストされているアイテムは、Windowsの起動後、エクスプローラからか読み込まれます。HijackThis は、いくつかの一般的なSSODL アイテムのホワイトリストを使っているため、ログに表示されているアイテムは、不明でまた悪者の可能性があります。十分注意してこれを処理してください。

O22 - SharedTaskScheduler

例:

O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll

対処:
これはマニュアルに記述されていない Windows NT/2000/XP のみの自動実行方法で、極稀に利用されます。今のことろCWS.Smartfinder やSpywareQuakeがこれを使用していることが確認されています。十分注意して処理してください。

O23 - NT サービス

例:

O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe

対処:
これは、非Microsoft サービスのリストです。リストは、Windows XPのMsconfigユーティリティで見るのと同じ内容のはずです。いくつかのトロイの木馬ハイジャッカが他のスタートアップに加えてホームメイドのサービスを使用して自分自身を再インストールしようとします。フルネームは通常重要に思えます。例えば、'Network Security Service', 'Workstation Logon Service' または 'Remote Procedure Call Helper'など。しかし、内部名(カッコ内) ゴミの文字列です。例えば 'O?'?rtnaE2$'。この行の2番目の部分は、末尾に表示されているファイルの所有者で、ファイルのプロパティを同じものです。
O23の修正は、サービスを停止し、無効化するだけです。サービスは、他のツールを使って手動でレジストリから削除する必要があります。 HijackThis 1.99.1 またはそれ以降では、ボタン 'Delete NT Service' がその他ツールセクションに追加され、このために利用することができます。