|
HijackThisで作成したログを解析しスパイウェアやマルウェアが存在するか調べてみましょう。
ログを作成したら早速解析に入ります。 (ログの作成法、HijackThisのDLはこちら)
HijackThisにてログを作成すると以下の様にメモ帳などのエディタにてログが表示されます。 ここで注目していただきたいのは赤く囲ってある所。C:やO4、O8などの記号が見えると思います。その記号は各ログの種類を表しており それらに沿ってスパイウェアなどの悪質なプロセスを消去していきます まずは各記号の意味を理解していきましょう。 *今回はHijackThisの製作者Merijn氏のサイトMerijn.orgの HijackThis log tutorialを参考にさせていただきました。また、 間違いなど見つけられましたらこちらにてご指導いただけると幸いです。
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.co.jp/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.co.jp/ IEを開らいた時に表示されるホームページ。例の場合はhttp://www.google.co.jp/と分かる。 もしこのURLが設定した覚えのないURLなどの場合はFixし、対処します。
F0 - system.ini: Shell=Explorer.exe Openme.exe F1 - win.ini: run=hpfsched F0に表示されるファイルはスパイウェアの可能性が高く、害をもたらすプロセスとして考えます。 F1の場合、害があるのか無害なのか判断しにくいため各サーチエンジンなどを使用しファイルを確認してからFixします。
N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.co.jp"); (C:\Program Files\Netscape\ユーザー\default\prefs.js) N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.co.jp"); (C:\Documents and Settings\ユーザー\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js) N1, N2, N3, は Netscape 4.x, 6, 7, N4 は Mozilla Netscap又はMozillaでのスタートページ詳細です。Netscapeなどは比較的にセキュリティ面が高くハイジャックされることはありませんが設定した覚えがないURLなど表示される場合はFixします。
O1 - Hosts: 216.177.73.139 www.google.co.jp O1 - Hosts: 216.177.73.139 www.msn.co.jp O1 - Hosts: 216.177.73.139 www.infoseek.co.jp O1 - Hosts: 216.177.73.139 www.goo.ne.jp O1 - Hosts file is located at C:\Windows\Help\hosts hostsファイル内の詳細を表示します。上の例ではスパイウェアが各URLのIPアドレスを書き換えた 事が見て取れます。つまりIEなどのブラウザアドレスバーにhttp://www.google.co.jp/と入力したとしてもIPアドレスが変更されているため予想に反した パラサイトへアクセスしてしまう物です。 同じIPアドレスが続いている物はFixが必要になります。
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\YCOMP5~1.DLL O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: (no name) - {B88D638F-C266-4667-9E71-F6F857C295AE} - C:\PROGRA~1\goo\stick\goostk.dll BHOとはブラウザ補助機能のことで、たびたびブラウザハイジャッカーなどのスパイウェアはBHOに 現れる可能性が高いです。
O3 - Toolbar: The翻訳インターネットV8 - {1EC1C113-F5D6-4CBF-94E2-3CEC44B399CF} - C:\Program Files\TTI_V8_LE\def_bar.dll O3 - Toolbar: &gooスティック - {C1724158-90ED-413D-AE2D-6360F0CAA755} - C:\PROGRA~1\goo\stick\goostk.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O3 - Toolbar: &Yahoo!ツールバー - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\YCOMP5~1.DLL IEの上部に設置することが可能な各サーチエンジンが配布しているツールバーやポップアップブロックなどのプログラムを言います。ブラウザハイジャッカーなどのスパイウェアはBHOに 現れる可能性が高いです。インストール覚えのないツールバーなどは確認しFixします。
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [SmcService] C:\security~1\smc.exe -startgui スパイウェアやマルウェアなどはPC起動時に自動的に起動するようなっているため O4自動エントリ(PC起動時に同時起動するプログラム)のリストに表示される可能性が 高いので04欄を注意深く探します。怪しいエントリなど見つけた場合は各サーチエンジンにて確認しFixします。 参考 ・サーチエンジでプロセスを調べる
O5 - control.ini: inetcpl.cpl=no O5が表示される場合、コントロールパネルを開くとロードされる control.ini の中の don't load と表示され、Fixが必要。
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present 通常の場合、AdministratorにてIEオプションを制限されていない限りログとし表示されません。その他にも Spybot S&D の一オプション"Lock homepage from canges"による制限の場合にもログに表示されます。 表示された場合はFixします。
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 レジストリエディタが制限されている場合O7に表示されます。通常Administratorによって制限、解除などの設定が出来ますが、スパイウェアによって制限されている 物もあり設定覚えがないのにもかかわらず表示される場合はFixします。
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &gooでウェブ検索 - C:\Documents and Settings\ユーザー\Application Data\goo\stick\script0.html O8 - Extra context menu item: &gooでニュース検索 - C:\Documents and Settings\ユーザー\Application Data\goo\stick\script5.html O8 - Extra context menu item: &gooで地図検索 - C:\Documents and Settings\ユーザー\Application Data\goo\stick\script6.html O8はIEでの右クリックメニューを表示します。不必要な物や覚えのない物はFixします。
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra 'Tools' menuitem: Sun の Java コンソール - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra button: (no name) - {0D555BC6-E331-48b3-A60E-AAC0DF79438A} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra 'Tools' menuitem: Popup Blocker - {0D555BC6-E331-48b3-A60E-AAC0DF79438A} - C:\WINDOWS\System32\shdocvw.dll IEでのメニューや各種ボタンの詳細を表示しますO8同様不必要な物や覚えのない物はFixします。
O10 - Hijacked Internet access by New.Net O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll スパイウェアの中にはWindowsに深くリンクしているLSP(Layered Service Provider)にアクセスしユーザーが送信しているデーターを盗み取る物もあます。しかしHijackThisで それらをFixする機能はなくログにて表示される場合はSpybotなどを使用し又は別のツールにて消去します。 参考 ・LSPFixを使ってWinsockを修正
O11 - Options group: [CommonName] CommonName IEのツール > インターネットオプション > 詳細設定での追加があると表示されます。 O11がログとして表示される場合はFixします。
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll IEに追加されているプラグインが表示。OnFlowが表示される場合はFixが必要。
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url= O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi? O13 - WWW. Prefix: http://ehttp.cc/? O13が表示される際は必ずFixしてください。
O14 - IERESET.INF: START_PAGE_URL=http://dynabook.com/assistpc/index_j.htm 通常はPCメイカーのWeb又はISPのURLが表示されますが、覚えのないURLが表示されている場合はFixします。
O14 - IERESET.INF: START_PAGE_URL=http://www.google.co.jp/ IE設定の信頼済みサイト名を登録している場合、表示されます。登録覚えのないサイト名が表示される場合はFixします。
O16 - DPF: {1667CBD7-3BEF-4074-B3A6-159CE62CF53D} (@niftyツールバー Webインストール) - http://www.nifty.com/toolbar_sys/download/tbinst.cab O16 - DPF: {4A88CB42-BBFE-496A-884F-98E8AC316292} (YJInstStarter Control) - http://dl.toolbar.yahoo.co.jp/dl/installs/yjinst.cab O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.co.jp/cab/yuplapp.cab O16 - DPF: {E504EE6E-47C6-11D5-B8AB-00D0B78F3D48} (Yahoo! Webcam Viewer Wrapper) - http://chat.yahoo.co.jp/cab/yvwrctl.cab プロセス名又はURLに覚えがない場合、Fixします。又URL名が "dialer" や "casino" "free_plugin"など表示される場合は必ずFixが必要になります。
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gla.ac.uk Domein = の後(Domain = W21944.find-quick.com)がISP、ご使用のネットワーク又は覚えのない場合はFixが必要になります。
O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82} O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8} O18 - Protocol:の後に "relatedlinks" や "cn" "ayb" と表示される場合はFixが必要になります。その他にもスパイウェアが表示されますので各関連サイトのリストないから 検索しFixされることをお勧めいたします。 参考
O19 - User style sheet: c:\WINDOWS\Java\my.css ユーザースタイルシートとはIEが起動と同時にスクリプトを読み込み、ブラウザに表示させる物を言います。ブラウザの起動が以前よりも遅くなった場合は 注意が必要です。又、O19はCoolwebsearchのみによる物ですのでFixする前にこちらをご覧ください。
O20 - Winlogon Notify: Sebring - c:\WINDOWS\System32\LgNotify.dll O20 - AppInit_DLLs: C:\WINDOWS\System32\rtc.dll PC起動時に実行されるスパイウェアやトロイの木馬が追加エントリするレジストリキーに値(HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows)が追加されている場合 O20が表示されます。又、数は少なくともNorton Clean SweepやBitdefenderをご使用の場合も表示される場合がありますが、多くの場合はトロイの木馬又はブラウザハイジャッカースパイウェア による物ですので調べた上でFixします。 参考 ・サーチエンジンでスパイウェア、ウイルスを調べる
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll 通常、少数のWindowsコンポーネントが使用する自動起動エントリが表示されます。 トロイの木馬やスパイウェアなどのハイジャッカーにはシステムディレクトリにコピーし、自動実行するようShellServiceObjectDelayLoadにエントリする特徴が あり、O21にログに表示された場合は注意が必要です。サーチエンジなどで調べ、悪質なファイルを発見した場合は HijackThisにてFixする必要があります。又、Fixと同時にログに表示してあるCLSID及びパス先のファイルを削除する必要があります。
O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll Windows2000,NT,XPのみexplorerによるCLSID自動起動エントリを使用した CWS.SmartfinderなどがO22にて表示されます。 表示が確認された場合は各サーチエンジンで確認しSharedTaskSchedulerのレジストリキー値をFixします。 参考 ・サーチエンジンでスパイウェア、ウイルスを調べる
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) WindowsNT,2000,XP起動時に自動実行されるバックグラウンドNTサービスがO23にて表示されます。 悪質なプロセスを発見した場合はHaijckThisでのFix前にコントロールパネルからのプログラムの削除とレジストリエディタにてレジストリキーを消去する必要があります。 参考 ・サーチエンジンでスパイウェア、ウイルスを調べる 参考:
起動プロセスなどのログを表示するHijackThisは初心者の方には解析が難しく間違えてFixしてしまうとPCに大きな損害を与えてしまう可能性もあり、これがHijackThisのいいところでもあり悪いところでもあります。 今回はHijackThisのログを自動的に解析を行うhijackthis.deを使いログ解析を行ってみましょう。 hijackthis.deへアクセスするとHijackThisのログを貼り付ける四角い窓が ありますので、そこにHijackThisのScanにて表示されたログを全て貼り付けます。 又はログを置いているファイルを参照し選択することも出来ます。 下のほうに表示してある "参照" をクリックします。 ログファイルを選択し開くをクリックします。 最後に下にAnalyzeをクリックし解析を開始します。 解析が終了すると各ログに対し結果が表示されます。分かりやすくマークにて表示されます。
Narstryと表示された場合はFixが必要になります。 |
||||
| HOME ヤフーチャットアタック対策 ネットセキュリティー 合計 |