HijackThis ログ チュートリアル

ここでは、HjackThisが記録するログの各アイテムの基本的な意味とそれらに関するヒントを説明しています。

ここでの情報は、HijackThis チュートリアルから翻訳したものです。内容の翻訳と掲載に関しては、所有者の許可を得ています。

HijackThis ログの取得方法

1. ダウンロードした、HijackThisイメージを展開し、Hijackthis.exeを実行します。初めて実行する場合には、以下の警告メッセージ表示されます。[OK]ボタンをクリックして進みます。

補足:HijackThisでスキャンされるものがすべてがハイジャッカとは限らないこと、削除は、慎重に行わないと、システムにダメージを起こしてしまうのでスパイウェア専門家にログを見てもらうことなどが説明されています。

2. メイン画面

メイン画面が表示されたら、[Do a system scan and save a logfile]をクリックして、ログを取得します。

 

3. システムのスキャンが終わると、NOTEPADが実行され、ログが作成されます。

ファイルを保存します。(Hijackthis.logというファイル名)


概要
HijackThis ログの各行はセクション名で始まっています。 (これの技術情報は、メイン ウィンドウの'Info'をクリックし、スクロールダウン してください。行を選択し、"More Info on this item"をクリックします。)

実際の情報は、目的のセクション名をクリックしてください。
  • R0, R1, R2, R3 - Internet Explorer 開始/検索ページのURL
  • F0, F1 - 自動ロード プログラム
  • N1, N2, N3, N4 - Netscape/Mozilla 開始/検索ページのURL
  • O1 - ホスト ファイルのリダイレクト
  • O2 - ブラウザ ヘルパー オブジェクト (BHO - Browser Helper Objects)
  • O3 - Internet Explorer ツールバー
  • O4 - レジストリからの自動ロード プログラム
  • O5 - コントロール パネルで表示されていないIE オプション アイコン
  • O6 - 管理者によるIE オプション アクセス制限
  • O7 - 管理者によるRegedit アクセス制限
  • O8 - IE 右クリック メニューの拡張アイテム
  • O9 - メインIE ボタン ツールバー上の拡張ボタン、またはIE 'ツール' メニューのアイテム
  • O10 - Winsock ハイジャッカ
  • O11 - IE '高度なオプション' ウィンドウの拡張グループ
  • O12 - IE プラグイン
  • O13 - IE デフォルト プレフィックス ハイジャック
  • O14 - 'Web設定のリセット' ハイジャック
  • O15 - 信頼されたゾーン内の好ましくないサイト
  • O16 - ActiveX オブジェクト (別名 Downloaded Program Files)
  • O17 - Lop.com ドメイン ハイジャッカ
  • O18 - 拡張プロトコルとプロトコル ハイジャッカ
  • O19 - ユーザ スタイルシート ハイジャック
HijackThis 1.98.x以降での追加:
  • O20 - AppInit_DLLs 自動開始レジストリ値
  • O21 - ShellServiceObjectDelayLoad 自動開始レジストリ キー
  • O22 - SharedTaskScheduler 自動開始レジストリ キー
  • O23 - Windows NT サービス

R0, R1, R2, R3 - IE 開始& 検索ページ
例:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/
R2 - (this type is not used by HijackThis yet)
R3 - Default URLSearchHook is missing
対処:
左側のURLが、ご使用のホームページ、または検索エンジンであることが確認できれば、OKです。知らないURLの場合、これをチェックして HijackThis で修正してください。
R3アイテムでは、プログラム Copernicなどが表示されている場合は、常に修正してください。

F0, F1, F2, F3 - INIファイルからの自動ロード プログラム
例:
F0 - system.ini: Shell=Explorer.exe Openme.exe
F1 - win.ini: run= hpfsched
対処:
F0 アイテムは常に悪者です。すべて修正してください。
F1 アイテムは通常、とても古いプログラムで、安全です。ファイル名を確認して本当に安全かどうかを確認してください。
Pacman's Startup List を使ってアイテムを識別することができます。

N1, N2, N3, N4 - Netscape/Mozilla 開始& 検索ページ
例:
N1 - Netscape 4: user_pref("browser.startup.homepage", " www.google.com "); (C:\Program Files\Netscape\Users\default\prefs.js)

N2 - Netscape 6: user_pref("browser.startup.homepage", " http://www.google.com "); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)

N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine:// C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src "); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
対処:
通常 Netscape および Mozilla ホームページおよび検索ページは安全です。稀にハイジャックされることがあります。唯一 Lop.com はハイジャッカとして知られています。ホームページと検索ページのURLを知っているものかどうか確認し、怪しい場合は、HijackThis で修正してください。

O1 - ホストファイル リダイレクト
例:
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
O1 - Hosts file is located at C:\Windows\Help\hosts
対処:
このハイジャックは、右側のアドレスを左側のIPアドレスにリダイレクトします。もしIPがそのアドレスに属していない場合、これらのサーバ アドレスを利用している場合、常に違うサイトにリダイレクトされることになります。Hostsファイルのこれらの行を編集することもなく、HijackThis を使ってこれらを修正することができます。
最後のアイテムは、時々 Windows 2000/XPでCoolwebsearch に感染した場合に問題になります。常にこれを修正するか、CWShredder で自動的に修復してください。

O2 - ブラウザ ヘルパ オブジェクト
例:
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL

O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)

O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL
対処:
ブラウザ ヘルパ オブジェクトの名前が直接分からない場合でも、 TonyKのBHO & Toolbar List を使ってクラス ID (CLSID, カッコ内の番号) からそれを見つけて、安全なものかどうかを確認することができます。BHO リストにの 'X' は、スパイウェアを意味し、 'L' は安全であることを意味します。

O3 - IE ツールバー
例:
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL

O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)

O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL
対処:
ツールバーの名前が直接分からない場合は、TonyKのBHO & Toolbar List を使ってクラスID (CLSID, カッコ内の番号)それを見つけ、安全かどうかを確認してください。ツールバー リスト上の 'X'は、スパイウェアを、'L' は安全なことを意味します。
それがリストになく、またランダムな文字列の名前が使用されていて、またファイルが'Application Data' フォルダ (上記の最後の行の例lのように)にある場合、恐らくLop.com です。必ずHijackThisでこれを修正してください。

O4 - レジストリまたはスタートアップ グループからの自動ロード プログラム
例:
O4 - HKLM\..\Run: [ ScanRegistry ] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [ SystemTray ] SysTray.Exe
O4 - HKLM\..\Run: [ ccApp ] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - Startup: Microsoft Office .lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: winlogon.exe
対処:
PacManのStartup List を使って、エントリを見つけ、安全かどうかを確認してください。
アイテムがスタートアップでのプログラム設定の場合 (上記の最後のアイテムのように)、 これらのプログラムがメモリ内にある場合、HijackThisはこれらを修正することはできません。 Windows タスク マネージャ (TASKMGR.EXE) を使って、修正する前に、これらのプロセスを停止してください。

O5 - コントロール パネル内のIE オプションの非表示
例:
O5 - control.ini: inetcpl.cpl=no
対処:
あなた、またはシステム管理者が意図してコントロールパネルからアイコンを隠していない限り、HijackThis を使ってこれを修正してください。

O6 - 管理者によるIE オプション アクセス制限
例:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\ Restrictions present
対処:
Spybot S&D のオプションである 'ホームページの変更をロック'をアクティブにしていない限り、あなた、またはシステム管理者が意図して設定していない限り、HijackThisでこれを修正してください。

O7 - 管理者によるRegeditアクセス制限
例:
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
対処:
あなた、またはシステム管理者が意図的にこの制限を設定していない限り、常に HijackThisでこれを修正してください。

O8 - IE 右クリック メニューの拡張アイテム
例:
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html
O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm
O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm
対処:
IEの右クリック メニュー アイテムで、見知らぬものがあれば、HijackThisで修正してください。

O9 - メイン IEツールバーの拡張ボタンIE 'ツール' メニューの拡張オプション
例:
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: AIM (HKLM)

対処:
見知らぬ名前がある場合、HijackThisで修正してください。


O10 - Winsock ハイジャッカ
例:
O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll ' missing
O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll
対処:
Cexx.org にあるLSPFix , またはKolla.de のSpybot S&D を使ってこれを修正することをお薦めします。
安全でないために LSP スタックの'不明'なファイルは、HijackThisでは修正できません。

O11 - Extra group in IE 'Advanced Options' window
例:
O11 - オプション グループ: [CommonName] CommonName
対処:
CommonName ハイジャッカのみが、独自のオプション グループをIE高度な設定オプション ウィンドウに追加します。常に HijackThis でこれを修正してください。

O12 - IE プラグイン
例:
O12 - Plugin for .spop : C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .PDF : C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
対処:
多くの場合、これらは安全です。唯一 OnFlow はここに不必要なプラグイン(.ofb)を追加します。

O13 - IE デフォルト先頭文字ハイジャック
例:
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: http://ehttp.cc/?
対処:
これらは常に悪者です。HijackThisでこれらを修正してください。

O14 - 'Web 設定リセット' ハイジャック
例:
O14 - IERESET.INF: START_PAGE_URL= http://www.searchalot.com
対処:
URL は、ご使用のコンピュータや、契約しているISPと違っている場合、HijackThisでこれを修正してください。

O15 - 信頼されたゾーンの望まないサイト
例:
O15 - Trusted Zone: http://free.aol.com
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.msn.com
対処:
大くの場合、唯一 AOL およびCoolwebsearch が知らない間にサイトを信頼されたゾーンに追加します。ご自身で信頼されたゾーンにドメインを追加していない場合は、HijackThisでこれを修正してください。

O16 - ActiveX オブジェクト (別名 Downloaded Program Files)
例:
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} ( Shockwave Flash Object ) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
対処:
見知らぬオブジェクトの名前やダウンロード元のURLを見つけたら、 HijackThisでこれを修正してください。名前やURLが 'dialer', 'casino', 'free_plugin' などを含んでいる場合は、確実に修正が必要です。
JavacoolのSpywareBlaster は、ActiveXオブジェクトの大きなデータベースを持っていて、CLSIDを参照するのに利用することができます。 (検索機能はリストを右クリックします。)

O17 - Lop.com ドメイン ハイジャック
例:
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gla.ac.uk

O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175

対処:
ドメインがご使用のISPでも、企業ネットワークでもない場合、多くの場合、見に覚えのない海外のサーバが記述されている場合。HijackThis でこれを修正してください。 'SearchList' エントリでも同じです。
IPアドレスの照会は、http://anti-threat.shareedge.com/ のwhois IPアドレス照会やgoogleを利用するとよいでしょう。誤って正しい設定を削除してしまうとネットワークに接続できなくなるので注意が必要です。
'NameServer' (DNS サーバ) エントリでは、Google を使ってIPを参照して安全かどうかを簡単に確認することができます。

感染例:
O17 - HKLMSystemCCSServicesTcpip..{461B0E77-ADE6-49DF-803A-2314FAA1CEF8}: NameServer = 85.255.116.67,85.255.112.71
O17 - HKLMSystemCCSServicesTcpip..{55662696-36DB-4176-B78C-09F87A96185B}: NameServer = 85.255.116.67,85.255.112.71
O17 - HKLMSystemCCSServicesTcpip..{E34DDA6B-3130-4B45-B25F-3381742D9306}: NameServer = 85.255.116.67,85.255.112.71
O17 - HKLMSystemCS1ServicesTcpipParameters: NameServer = 85.255.116.67 85.255.112.71
O17 - HKLMSystemCCSServicesTcpipParameters: NameServer = 85.255.116.67 85.255.112.71


O18 - 拡張プロトコルおよびプロトコル ハイジャッカ
例:
O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
対処:
いくつかのハイジャッカのみがこれを利用しています。分かっているものは、 'cn' (CommonName), 'ayb' (Lop.com) および 'relatedlinks' (Huntbar)です。HijackThis でこれらを修正してください。
その他表示されるものに関しては安全か、またはハイジャックかどうか分かっていません。 (例 最後のものは、スパイウェアによりCLSID が変更されています) HijackThis で修正してください。.

O19 - ユーザ スタイルシート ハイジャック
例:
O19 - User style sheet: c:\WINDOWS\Java\ my.css
対処:
ブラウザが遅くなったり、ポップアップが頻繁に発生する場合、ログに現れた場合にHijackThis でこのアイテムを修正してください。しかし、唯一Coolwebsearch のみがこれを行います。CWShredder を使ってこれを修正することを推奨します。

O20 - AppInit_DLLs レジストリ値自動実行
例:
O20 - AppInit_DLLs: msconfd.dll
対処:
このレジストリ値は、HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows に位置し、ユーザがログインした場合に、DLL をメモリに読み込み、ログオフするまで残ります。ほんのわずかの正統なプログラムがこれを利用します (Norton CleanSweep は APITRAP.DLLを使用 )。多くの場合、トロイの木馬や, アウレッシブなブラウザ ハイジャッカがこれを使用します。

レジストリ値から読み込まれる'隠れた' DLL の場合、 ( Regeditの'バイナリ データの編集' オプションでのみ表示可能 ) dll 名には先頭にパイプ '|' をマークしてログに表示します。

O21 - ShellServiceObjectDelayLoad
例:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll
対処:
これはマニュアルに記述されていない自動実行方法で、通常わずかのウィンドウズ システム コンポーネントでのみ使用されます。HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad にリストされているアイテムは、Windowsの起動後、エクスプローラからか読み込まれます。HijackThis は、いくつかの一般的なSSODL アイテムのホワイトリストを使っているため、ログに表示されているアイテムは、不明でまた悪者の可能性があります。十分注意してこれを処理してください。

O22 - SharedTaskScheduler
例:
O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll
対処:
これはマニュアルに記述されていない Windows NT/2000/XP のみの自動実行方法で、極稀に利用されます。今のことろCWS.Smartfinder やSpywareQuakeがこれを使用していることが確認されています。十分注意して処理してください。

O23 - NT サービス
例:
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe
対処:
これは、非Microsoft サービスのリストです。リストは、Windows XPのMsconfigユーティリティで見るのと同じ内容のはずです。いくつかのトロイの木馬ハイジャッカが他のスタートアップに加えてホームメイドのサービスを使用して自分自身を再インストールしようとします。フルネームは通常重要に思えます。 例えば、'Network Security Service', 'Workstation Logon Service' または 'Remote Procedure Call Helper'など。しかし、内部名(カッコ内) ゴミの文字列です。例えば 'O?'?rtnaE2$'。この行の2番目の部分は、末尾に表示されているファイルの所有者で、ファイルのプロパティを同じものです。
O23の修正は、サービスを停止し、無効化するだけです。サービスは、他のツールを使って手動でレジストリから削除する必要があります。 HijackThis 1.99.1 またはそれ以降では、ボタン 'Delete NT Service' がその他ツール セクションに追加され、このために利用することができます。
2005 Copyright All rights Reserved 日本語ローカリゼーション by nextEDGE Technology K.K.