ハイジャックのログを分析する方法

by トニーブラッドリー、CISSP-ISSAP

スパイウェアやブラウザのハイジャッカーを削除するためのログデータの解釈

HijackThisはTrend Microの無料ツールです。それはもともとオランダの学生であるMerijn Bellekomによって開発されました。 AdawareやSpybot S＆Dなどのスパイウェア除去ソフトウェアは、ほとんどのスパイウェアプログラムを検出して除去する優れた仕事をしますが、スパイウェアやブラウザのハイジャック者の中には、これらの優れたスパイウェア対策ユーティリティでさえあまりにも狡猾です。

HijackThisは、ブラウザハイジャックやWebブラウザを引き継ぐソフトウェアを検出して削除するために特別に書かれており、デフォルトのホームページや検索エンジンなどの悪質なものを変更します。典型的なアンチスパイウェアソフトウェアとは異なり、HijackThisはシグネチャを使用せず、特定のプログラムやURLを検出してブロックすることもありません。むしろ、HijackThisは、システムに感染してブラウザをリダイレクトするためにマルウェアが使用する手口や方法を探します。

HijackThisのログに表示されるすべてが悪いものではなく、すべて削除されるべきではありません。実際には、まったく反対です。あなたのHijackThisログのアイテムの一部は合法的なソフトウェアとなり、これらのアイテムを削除するとシステムに悪影響を及ぼしたり、完全に動作不能になることがほとんどあります。 HijackThisを使用することは、 Windowsレジストリを自分で編集するのとよく似ています。ロケット科学ではありませんが、あなたが何をしているのか本当に分かっていない限り、専門家の指導なしには絶対にしないでください。

HijackThisをインストールして実行してログファイルを生成すると、ログデータを投稿またはアップロードできるさまざまなフォーラムとサイトがあります。検索対象を知っているエキスパートは、ログデータを分析して、どのアイテムを削除し、どのアイテムを単独で残すかをアドバイスすることができます。

現在のバージョンのHijackThisをダウンロードするには、トレンドマイクロの公式サイトをご覧ください。

以下は、あなたが探している情報にジャンプするために使用できるHijackThisのログエントリの概要です：

R0、R1、R2、R3 - Internet Explorerの開始/検索ページのURL
F0、F1 - オートローディングプログラム
N1、N2、N3、N4 - Netscape / Mozillaの開始/検索ページのURL
O1 - ホストのファイルリダイレクト
O2 - ブラウザヘルパーオブジェクト
O3 - Internet Explorerのツールバー
O4 - レジストリからプログラムを自動ロードする
O5 - IEのオプションアイコンがコントロールパネルに表示されない
O6 - IEオプションアクセスは管理者によって制限されています
O7 - 管理者によって制限されたRegeditアクセス
O8 - IEの右クリックメニューの余分な項目
O9 - メインのIEボタンツールバーの余分なボタン、またはIEの[ツール]メニューの余分な項目
O10 - Winsockハイジャッカー
O11 - IEの[拡張オプション]ウィンドウの追加グループ
O12 - IEプラグイン
O13 - IE DefaultPrefixハイジャック
O14 - 'ウェブ設定をリセットする'ハイジャック
O15 - 信頼ゾーン内の不要なサイト
O16 - ActiveXオブジェクト（別名ダウンロードされたプログラムファイル）
O17 - Lop.comドメインハイジャッカー
O18 - 余分なプロトコルとプロトコルハイジャッカー
O19 - ユーザースタイルのシートハイジャック
O20 - AppInit_DLLsレジストリ値の自動実行
O21 - ShellServiceObjectDelayLoadレジストリキーの自動実行
O22 - SharedTaskSchedulerレジストリキーの自動実行

O23 - Windows NTサービス

R0、R1、R2、R3 - IE開始ページと検索ページ

それはどのようなものか：
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main、スタートページ= http://www.google.com/
R1 - HKLM \ Software \ Microsoft \ InternetExplorer \ Main、Default_Page_URL = http://www.google.com/
R2 - （このタイプはHijackThisではまだ使用されていません）
R3 - デフォルトのURLSearchHookがありません

何をすべきか：
最後のURLをホームページや検索エンジンとして認識しても問題ありません。もしあなたがそうでないなら、それをチェックし、HijackThisにそれを修正させてください。あなたが認識しているプログラム、Copernicのような言及がない限り、R3項目については、常に修正してください。

F0、F1、F2、F3 - INIファイルからプログラムを自動ロードする

それはどのようなものか：
F0 - system.ini：Shell = Explorer.exe Openme.exe
F1 - win.ini：実行= hpfsched

何をすべきか：
F0の項目は常に悪いので、修正してください。 F1の項目は、通常は非常に古いプログラムで、安全かどうかを確認するために、ファイル名に関する情報を見つける必要があります。 Pacmanのスタートアップリストは、アイテムの識別に役立ちます。

N1、N2、N3、N4 - Netscape / Mozilla Start＆amp; 検索ページ

それはどのようなものか：
N1 - Netscape 4：user_pref "browser.startup.homepage"、 "www.google.com"）; （C：\ Program Files \ Netscape \ Users \ default \ prefs.js）
N2 - Netscape 6：user_pref（ "browser.startup.homepage"、 "http://www.google.com"）; （C：¥Documents and Settings¥User¥Application Data¥Mozilla¥Profiles¥defaulto9t1tfl.slt¥prefs.js）
N2 - Netscape 6：user_pref（ "browser.search.defaultengine"、 "engine：//C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"）; （C：¥Documents and Settings¥User¥Application Data¥Mozilla¥Profiles¥defaulto9t1tfl.slt¥prefs.js）

何をすべきか：
通常、NetscapeとMozillaのホームページと検索ページは安全です。彼らはめったにハイジャックされず、Lop.comだけがこれを行うことが知られています。ホームページや検索ページとして認識されないURLがある場合は、HijackThisに修正を依頼してください。

O1 - ホストファイルのリダイレクト

それはどのようなものか：
O1 - ホスト：216.177.73.139 auto.search.msn.com
O1 - ホスト：216.177.73.139 search.netscape.com
O1 - ホスト：216.177.73.139 ieautosearch
O1 - ホストファイルはC：\ Windows \ Help \ hostsにあります

何をすべきか：
このハイジャックは、アドレスを右のIPアドレスの左側にリダイレクトします。 IPアドレスに属していない場合は、アドレスを入力するたびに間違ったサイトにリダイレクトされます。 Hostsファイルに意図的にそれらの行を置かない限り、HijackThisはこれらを修正することができます。

最後の項目は、Windows 2000 / XPでCoolwebsearch感染が発生することがあります。常にこの項目を修正するか、CWShredderに自動的に修復させてください。

O2 - ブラウザヘルパーオブジェクト

それはどのようなものか：
O2 - BHO：Yahoo! コンパニオンBHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C：\ PROGRAM FILES \ YAHOO！\ COMPANION \ YCOMP5_0_2_4.DLL
O2 - BHO：（名前なし） - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C：\ PROGRAM FILES \ POPUP ELIMINATOR \ AUTODISPLAY401.DLL（ファイルがありません）
O2 - BHO：MediaLoads拡張 - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C：\ PROGRAM FILES \ MEDIALOADS ENHANCED \ ME1.DLL

何をすべきか：
ブラウザヘルパーオブジェクトの名前を直接認識しない場合は、TonyKのBHO＆ツールバーリストを使用してクラスID（CLSID、中括弧の間の数字）で検索し、それが良いか悪いかを確認してください。 BHOリストでは、「X」はスパイウェアを意味し、「L」は安全を意味します。

O3 - IEのツールバー

それはどのようなものか：
O3 - ツールバー：＆Yahoo！コンパニオン - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C：\ PROGRAM FILES \ YAHOO！\ COMPANION \ YCOMP5_0_2_4.DLL
O3 - ツールバー：ポップアップエリミネータ - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C：\ PROGRAM FILES \ POPUP ELIMINATOR \ PETOOLBAR401.DLL（ファイルがありません）
O3 - ツールバー：rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C：\ WINDOWS \ APPLICATION DATA \ CKSTPRLLNQUL.DLL

何をすべきか：
ツールバーの名前を直接認識しない場合は、TonyKのBHO＆Toolbar Listを使用してクラスID（CLSID、中括弧の間の数字）で検索し、その良否を確認してください。ツールバーリストでは、「X」はスパイウェアを意味し、「L」は安全を意味します。それがリストになく、その名前がランダムな文字列で、そのファイルが（上記の例の最後のものと同じように） 'Application Data'フォルダにある場合は、おそらくLop.comであり、HijackThisの修正が必要ですそれ。

O4 - レジストリまたはスタートアップグループからプログラムを自動ロードする

それはどのようなものか：
O4 - HKLM \ .. \ Run：[スキャンレジストリ] C：\ WINDOWS \ scanregw.exe / autorun
O4 - HKLM \ .. \ Run：[SystemTray] SysTray.Exe
O4 - HKLM \ .. \ Run：[ccApp] "C：¥Program Files¥Common Files¥Symantec Shared¥ccApp.exe"
O4 - スタートアップ：Microsoft Office.lnk = C：\ Program Files \ Microsoft Office \ Office \ OSA9.EXE
O4 - グローバルスタートアップ：winlogon.exe

何をすべきか：
PacManのスタートアップリストを使ってエントリを見つけ、それが良いか悪いかを確認します。

上記の最後の項目のようにスタートアップグループに入っているプログラムが表示されている場合、このプログラムがまだメモリに残っている場合、HijackThisはアイテムを修正できません。修正する前に、Windowsタスクマネージャー（TASKMGR.EXE）を使用してプロセスを閉じます。

O5 - IEのオプションがコントロールパネルに表示されない

それはどのようなものか：
O5 - control.ini：inetcpl.cpl = no

何をすべきか：
あなたまたはあなたのシステム管理者が故意にコントロールパネルからアイコンを隠していない限り、HijackThisはそれを修正してください。

O6 - IEオプションアクセスは管理者によって制限されています

それはどのようなものか：
O6 - HKCU \ Software \ Policies \ Microsoft \ Internet Explorer \制限事項

何をすべきか：
Spybotの S＆Dオプション「変更からホームページをロックする」が有効になっている場合、またはシステム管理者がこれを実行する場合を除き、HijackThisがこれを修正してください。

O7 - 管理者によって制限されたRegeditアクセス

それはどのようなものか：
O7 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System、DisableRegedit = 1

何をすべきか：
システム管理者がこの制限を適用しない限り、HijackThisはこれを常に修正してください。

O8 - IEの右クリックメニューの余分な項目

それはどのようなものか：
O8 - 余分なコンテキストメニュー項目：＆Google検索 - res：// C：\ WINDOWS \ DOWNLOADED PROGRAM FILES \ GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL / cmsearch.html
O8 - 追加のコンテキストメニュー項目：Yahoo! 検索 - ファイル：/// C：\ Program Files \ Yahoo！\ Common / ycsrch.htm
O8 - 余分なコンテキストメニュー項目：ズーム＆イン - C：\ WINDOWS \ WEB \ zoomin.htm
O8 - 余分なコンテキストメニュー項目：ズームO＆ut - C：\ WINDOWS \ WEB \ zoomout.htm

何をすべきか：
IEの右クリックメニューで項目の名前を認識できない場合は、HijackThisに修正を依頼してください。

O9 - メインのIEツールバーの余分なボタン、またはIEのツール＆＃39;の余分なアイテムメニュー

それはどのようなものか：
O9 - 追加ボタン：メッセンジャー（HKLM）
O9 - 余分な「ツール」メニュー項目：メッセンジャー（HKLM）
O9 - 追加ボタン：AIM（HKLM）

何をすべきか：
ボタンやメニュー項目の名前がわからない場合は、HijackThisに修正を依頼してください。

O10 - Winsockハイジャッカー

それはどのようなものか：
O10 - New.Netによるハイジャックされたインターネットアクセス
O10 - LSPプロバイダー 'c：\ progra〜1 \ common〜2 \ toolbar \ cnmib.dll'のために壊れたインターネットアクセスが見つかりません
O10 - Winsock LSPの不明なファイル：c：\ program files \ newtonは\ vmain.dllを知っています

何をすべきか：
これは、Cexx.orgのLSPFix、またはKolla.deのSpybot S＆Dを使用してこれらを修正することをお勧めします。

LSPスタックの '未知の'ファイルは、安全上の問題のためにHijackThisによって修正されないことに注意してください。

O11 - IE＆＃39;高度なオプション＆＃39;の追加グループ窓

それはどのようなものか：
O11 - オプショングループ：[CommonName] CommonName

何をすべきか：
IE Advanced Optionsウィンドウに独自のオプショングループを追加する唯一のハイジャッカーはCommonNameです。だから、いつでもHijackThisにこれを修正させることができます。

O12 - IEプラグイン

それはどのようなものか：
O12 - .spop用のプラグイン：C：¥Program Files¥Internet Explorer¥Plugins¥NPDocBox.dll
O12 - .PDF用のプラグイン：C：¥Program Files¥Internet Explorer¥PLUGINS¥nppdf32.dll

何をすべきか：
ほとんどの場合、これらは安全です。 OnFlowだけがここにプラグインを追加します（.ofb）したくありません。

O13 - IE DefaultPrefixハイジャック

それはどのようなものか：
O13 - DefaultPrefix：http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWWプレフィックス：http://prolivation.com/cgi-bin/r.cgi？
O13 - WWW。プレフィックス：http://ehttp.cc/？

何をすべきか：
これらは常に悪いです。 HijackThisでそれらを修正してください。

O14 - ＆＃39;ウェブ設定をリセット＆＃39; ハイジャック

それはどのようなものか：
O14 - IERESET.INF：START_PAGE_URL = http：//www.searchalot.com

何をすべきか：
URLがコンピュータまたはISPのプロバイダでない場合は、HijackThisに修正してもらいます。

O15 - 信頼ゾーン内の不要なサイト

それはどのようなものか：
O15 - 信頼ゾーン：http://free.aol.com
O15 - 信頼ゾーン：* .coolwebsearch.com
O15 - 信頼ゾーン：* .msn.com

何をすべきか：
ほとんどの場合、AOLとCoolwebsearchだけが信頼できるゾーンにサイトをサイレントに追加します。リストされたドメインをあなた自身が信頼できるゾーンに追加しなかった場合は、HijackThisにそれを修正させてください。

O16 - ActiveXオブジェクト（別名ダウンロードされたプログラムファイル）

それはどのようなものか：
O16 - DPF：Yahoo! チャット - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF：{D27CDB6E-AE6D-11CF-96B8-444553540000}（Shockwave Flashオブジェクト） - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

何をすべきか：
オブジェクトの名前またはダウンロードされたURLを認識できない場合は、HijackThisに修正を依頼してください。名前やURLに 'dialer'、 'casino'、 'free_plugin'などの単語が含まれている場合は、間違いなく修正してください。 JavacoolのSpywareBlasterには、CLSIDを検索するために使用できる巨大なActiveXオブジェクトの巨大なデータベースがあります。（Find関数を使用するには、リストを右クリックします）。

O17 - Lop.comドメインハイジャック

それはどのようなものか：
O17 - HKLM \ System \ CCS \ Services \ VxD \ MSTCP：Domain = aoldsl.net
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ Parameters：Domain = W21944.find-quick.com
O17 - HKLM \ Software \ .. \ Telephony：DomainName = W21944.find-quick.com
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ {D196AB38-4D1F-45C1-9108-46D367F19F7}：ドメイン= W21944.find-quick.com
O17 - HKLM \ System \ CS1 \ Services \ Tcpip \ Parameters：SearchList = gla.ac.uk
O17 - HKLM \ System \ CS1 \ Services \ VxD \ MSTCP：NameServer = 69.57.146.14,69.57.147.175

何をすべきか：
ドメインがあなたのISPまたは会社のネットワークから来ていない場合は、HijackThisがそれを修正してください。同じことが 'SearchList'エントリにも当てはまります。 'NameServer'（ DNSサーバー）のエントリは、IPまたはIPのためのGoogleであり、良いか悪いかを簡単に確認できます。

O18 - 余分なプロトコルとプロトコルハイジャッカー

それはどのようなものか：
O18 - プロトコル：関連リンク - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C：\ PROGRA〜1 \ COMMON〜1 \ MSIETS \ msielink.dll
O18 - プロトコル：mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - プロトコルのハイジャック：http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

何をすべきか：
わずかなハイジャッカーだけがここに現れます。既知のbaddiesは 'cn'（CommonName）、 'ayb'（Lop.com）、 'relatedlinks'（Huntbar）です。HijackThisに修正されているはずです。表示されるその他の事柄は、まだ安全であることが確認されていないか、スパイウェアによってハイジャックされています（CLSIDが変更されたなど）。最後のケースでは、HijackThisに修正を依頼してください。

O19 - ユーザースタイルのシートハイジャック

それはどのようなものか：
O19 - ユーザ・スタイル・シート：c：\ WINDOWS \ Java \ my.css

何をすべきか：
ブラウザの減速や頻繁なポップアップの場合は、HijackThisがこのアイテムをログに記録するように修正してください。しかし、Coolwebsearchだけがこれを行うので、CWShredderを使用して修正することをお勧めします。

O20 - AppInit_DLLsレジストリ値の自動実行

それはどのようなものか：
O20 - AppInit_DLLs：msconfd.dll

何をすべきか：
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windowsにあるこのレジストリ値は、ユーザーがログインするとDLLをメモリにロードし、その後ログオフするまでメモリに残ります。それを使用する正当なプログラムはごくわずかです（Norton CleanSweepはAPITRAP.DLLを使用します）。ほとんどの場合、トロイの木馬や攻撃的なブラウザのハイジャッカーによって使用されます。

このレジストリ値（Regeditで 'Edit Binary Data'オプションを使用している場合にのみ表示される）から 'hidden' DLLをロードする場合、dll名の先頭にパイプ '|' それをログに表示させます。

O21 - ShellServiceObjectDelayLoad

それはどのようなものか：
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C：\ WINDOWS \ System \ auhook.dll

何をすべきか：
これは文書化されていない自動実行方法で、通常はいくつかのWindowsシステムコンポーネントで使用されます。 HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ ShellServiceObjectDelayLoadにリストされている項目は、Windowsの起動時にExplorerによってロードされます。 HijackThisは非常に一般的ないくつかのSSODL項目のホワイトリストを使用しているため、ログに項目が表示されてもそのことは不明であり、おそらく悪意のあるものです。極度の注意を払ってください。

O22 - SharedTaskScheduler

それはどのようなものか：
O22 - SharedTaskScheduler：（名前なし） - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c：¥windows¥system32¥mtwirl32.dll

何をすべきか：
これは、Windows NT / 2000 / XP専用の文書化されていないオートランです。非常にまれにしか使用されていません。 CWS.Smartfinderだけがこれを使用しています。注意して処置してください。

O23 - NTサービス

それはどのようなものか：
O23 - サービス：Kerio Personal Firewall（PersFw） - Kerio Technologies - C：¥Program Files¥Kerio¥Personal Firewall¥persfw.exe

何をすべきか：
これは、Microsoft以外のサービスの一覧です。このリストは、Windows XPのMsconfigユーティリティに表示されるものと同じである必要があります。いくつかのトロイの木馬ハイジャッカーは、自分自身を再インストールするために、他の新興企業に自宅のサービスを利用しています。フルネームは通常、 'Network Security Service'、 'Workstation Logon Service'、または 'Remote Procedure Call Helper'のように重要ですが、内部名（大括弧の間）は 'Ort'のようなゴミの文字列です。行の2番目の部分は、ファイルのプロパティの最後にあるファイルの所有者です。

O23アイテムを修正するとサービスが停止され、無効になることに注意してください。レジストリからサービスを手動で削除するか、別のツールで削除する必要があります。 Hijackでは、この1.99.1以降では、[その他のツール]セクションの[NTサービスの削除]ボタンを使用できます。