ホームブログ記事表示
ウイルス対策 2015.04.22
HijackThis のログ解析

HijackThis はコンピュータ内のレジストリやファイルをスキャンし、詳細なレポートを作成するフリーソフトです。HijackThis のスキャン結果は、個別アイテムについて削除すべきかどうか、判断を行うための情報が表示されます。

※ HijackThis は取り扱いに注意が必要なツールなのでダウンロード先のリンクは掲載しません


R0 R1 R2 R3 - IE のスタートページ

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.co.jp/
 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.co.jp/
R2 - (this type is not used by HijackThis yet)
R3 - Default URLSearchHook is missing


F0 F1 F2 F3 - INIファイルを自動読み込みするプログラム

F0 - system.ini: Shell = Explorer.exe Openme.exe
 F1 - win.ini: run = hpfsched


N1 N2 N3 N4 - Netscape Mozilla のスタートページ

N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.co.jp"); (C:\Program Files\Netscape\Users\default\prefs.js)

 N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.co.jp"); (C:\Documents and Settings\Users\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)


O1 - Hostsファイル

O1 - Hosts: xxx.xxx.xxx.xxx www.google.co.jp
 O1 - Hosts: xxx.xxx.xxx.xxx www.msn.co.jp
 O1 - Hosts file is located at C:\Windows\Help\hosts

※ 右側のアドレスを左側のIPアドレスにリダイレクトします


O2 - ブラウザ ヘルパー オブジェクト(BHO)

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\YCOMP5~1.DLL

 O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

 O2 - BHO: (no name) - {B88D638F-C266-4667-9E71-F6F857C295AE} - C:\PROGRA~1\goo\stick\goostk.dll

※ ブラウザハイジャッカーなどのスパイウェアはBHOに現れる可能性が高い


O3 - IEツールバー

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll


O4 - 自動起動プログラム

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

 O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName

※ スパイウェアやマルウェアは、起動時に自動的に起動するようになっているため O4自動起動プログラムのリストに表示される可能性が高い


O5 - コントロールパネルの IE オプションの非表示

※ O5 - control.ini: inetcpl.cpl=no

O5 がログに表示された場合は Fix


O6 - IEオプションの制限

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

※ O6 がログに表示された場合は Fix


O7 - レジストリエディタ制限

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

※ O7 がログに表示された場合は Fix


O8 - IE の右クリックメニュー

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html


O9 - IE のツールバーの拡張ボタン

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: (no name) - {0D555BC6-E331-48b3-A60E-AAC0DF79438A} - C:\WINDOWS\System32\shdocvw.dll


O10 - Winsock ハイジャッカー

O10 - Hijacked Internet access by New.Net

※ O10 がログに表示された場合は別のツールで削除


O11 - 詳細設定追加

O11 - Options group: [CommonName] CommonName

※ O11 がログに表示された場合は Fix


O12 - IEプラグイン

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
 O12 - Plugin for .PDF : C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

※ OnFlow がログに表示された場合は Fix


O13 - IEハイジャック

O13 - DefaultPrefix: http://www.xxx.com/cgi-bin/click.pl?url=

※ O13 がログに表示された場合は Fix


O14 - Web設定時のURL

O14 - IERESET.INF: START_PAGE_URL=http://dynabook.com/assistpc/index_j.htm

※ 通常はメーカ―のホームページが表示されます


O15 - IE の信頼済みサイト

O15 - IERESET.INF: START_PAGE_URL=http://www.google.co.jp/


O16 - ActiveX オブジェクト

O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.co.jp/cab/yuplapp.cab

※ URL名が [ dialer ] [ casino ] [ free_plugin ] の場合は Fix


O17 - Lop.comドメインハイジャック

O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = ISP

※ 使用中のISPでなければ Fix


O18 - 通信プロトコル(TCP/IP)ハイジャッカー

O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
 O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

※ Protocol:の後に [ relatedlinks ] [ cn ] [ ayb ] と表示される場合は Fix


O19 - ユーザースタイルシート

O19 - User style sheet: c:\WINDOWS\Java\my.css


O20 - AppInit_DLLs Registry value autorun

O20 - Winlogon Notify: Sebring - c:\WINDOWS\System32\LgNotify.dll
 O20 - AppInit_DLLs: C:\WINDOWS\System32\rtc.dll

※ レジストリーに値(HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows)が追加されている場合 O20 が表示されます


O21 - ShellServiceObjectDelayLoad

O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dl

※ Windowsコンポーネントが使用する自動起動エントリが表示されます


O22 - SharedTaskScheduler

O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll

※ O22 がログに表示された場合は確認し SharedTaskScheduler の値を Fix


O23 - NTサービス

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

※ 起動時に自動実行されるバックグラウンドNTサービスが表示されます


Copyright(C) 岐阜パソコン教室 All Rights Reserved.