ハイジャックのログを分析する方法

7 лучших отрядов спецназа в Мире. Самые эффективные спецподразделения. (六月 2025)

7 лучших отрядов спецназа в Мире. Самые эффективные спецподразделения. (六月 2025)

:

Anonim

HijackThisはTrend Microの無料ツールです。それはもともとオランダの学生であるMerijn Bellekomによって開発されました。 AdawareやSpybot S&Dなどのスパイウェア除去ソフトウェアは、ほとんどのスパイウェアプログラムを検出して除去する優れた仕事をしますが、スパイウェアやブラウザのハイジャック者の中には、これらの優れたスパイウェア対策ユーティリティでさえあまりにも狡猾です。

HijackThisは、ブラウザハイジャックやWebブラウザを引き継ぐソフトウェアを検出して削除するために特別に書かれており、デフォルトのホームページや検索エンジンなどの悪質なものを変更します。典型的なアンチスパイウェアソフトウェアとは異なり、HijackThisはシグネチャを使用せず、特定のプログラムやURLを検出してブロックすることもありません。むしろ、HijackThisは、システムに感染してブラウザをリダイレクトするためにマルウェアが使用する手口や方法を探します。

HijackThisのログに表示されるすべてが悪いものではなく、すべて削除されるべきではありません。実際には、まったく反対です。あなたのHijackThisログのアイテムの一部は合法的なソフトウェアとなり、これらのアイテムを削除するとシステムに悪影響を及ぼしたり、完全に動作不能になることがほとんどあります。 HijackThisを使用することは、Windowsレジストリを自分で編集するのとよく似ています。ロケット科学ではありませんが、あなたが何をしているのか本当に分かっていない限り、専門家の指導なしには絶対にしないでください。

HijackThisをインストールして実行してログファイルを生成すると、ログデータを投稿またはアップロードできるさまざまなフォーラムとサイトがあります。検索対象を知っているエキスパートは、ログデータを分析して、どのアイテムを削除し、どのアイテムを単独で残すかをアドバイスすることができます。

現在のバージョンのHijackThisをダウンロードするには、トレンドマイクロの公式サイトをご覧ください。

以下は、あなたが探している情報にジャンプするために使用できるHijackThisのログエントリの概要です:

  • R0、R1、R2、R3 - Internet Explorerの開始/検索ページのURL
  • F0、F1 - オートローディングプログラム
  • N1、N2、N3、N4 - Netscape / Mozillaの開始/検索ページのURL
  • O1 - ホストのファイルリダイレクト
  • O2 - ブラウザヘルパーオブジェクト
  • O3 - Internet Explorerのツールバー
  • O4 - レジストリからプログラムを自動ロードする
  • O5 - IEのオプションアイコンがコントロールパネルに表示されない
  • O6 - IEオプションアクセスは管理者によって制限されています
  • O7 - 管理者によって制限されたRegeditアクセス
  • O8 - IEの右クリックメニューの余分な項目
  • O9 - メインのIEボタンツールバーの余分なボタン、またはIEのツールメニューの余分な項目
  • O10 - Winsockハイジャッカー
  • O11 - IEの拡張オプションウィンドウの追加グループ
  • O12 - IEプラグイン
  • O13 - IE DefaultPrefixハイジャック
  • O14 - 'ウェブ設定をリセットする'ハイジャック
  • O15 - 信頼ゾーン内の不要なサイト
  • O16 - ActiveXオブジェクト(別名ダウンロードされたプログラムファイル)
  • O17 - Lop.comドメインハイジャッカー
  • O18 - 余分なプロトコルとプロトコルハイジャッカー
  • O19 - ユーザースタイルのシートハイジャック
  • O20 - AppInit_DLLsレジストリ値の自動実行
  • O21 - ShellServiceObjectDelayLoadレジストリキーの自動実行
  • O22 - SharedTaskSchedulerレジストリキーの自動実行
  • O23 - Windows NTサービス

R0、R1、R2、R3 - IE開始ページと検索ページ

それはどのようなものか:R0 - HKCU Software Microsoft Internet Explorer Main、スタートページ= http://www.google.com/R1 - HKLM Software Microsoft InternetExplorer Main、Default_Page_URL = http://www.google.com/R2 - (このタイプはHijackThisではまだ使用されていません)R3 - デフォルトのURLSearchHookがありません

何をすべきか:最後のURLをホームページや検索エンジンとして認識しても問題ありません。もしあなたがそうでないなら、それをチェックし、HijackThisにそれを修正させてください。あなたが認識しているプログラム、Copernicのような言及がない限り、R3項目については、常に修正してください。

F0、F1、F2、F3 - INIファイルからプログラムを自動ロードする

それはどのようなものか:F0 - system.ini:Shell = Explorer.exe Openme.exeF1 - win.ini:実行= hpfsched

何をすべきか:F0の項目は常に悪いので、修正してください。 F1の項目は、通常は非常に古いプログラムで、安全かどうかを確認するために、ファイル名に関する情報を見つける必要があります。 Pacmanのスタートアップリストは、アイテムの識別に役立ちます。

N1、N2、N3、N4 - Netscape / Mozilla Start&Searchページ

それはどのようなものか:N1 - Netscape 4:user_pref "browser.startup.homepage"、 "www.google.com"); (C: Program Files Netscape Users default prefs.js)N2 - Netscape 6:user_pref( "browser.startup.homepage"、 "http://www.google.com"); (C:¥Documents and Settings¥User¥Application Data¥Mozilla¥Profiles¥defaulto9t1tfl.slt¥prefs.js)N2 - Netscape 6:user_pref( "browser.search.defaultengine"、 "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:¥Documents and Settings¥User¥Application Data¥Mozilla¥Profiles¥defaulto9t1tfl.slt¥prefs.js)

何をすべきか:通常、NetscapeとMozillaのホームページと検索ページは安全です。彼らはめったにハイジャックされず、Lop.comだけがこれを行うことが知られています。ホームページや検索ページとして認識されないURLがある場合は、HijackThisに修正してもらうようにしてください。

O1 - ホストファイルのリダイレクト

それはどのようなものか:O1 - ホスト:216.177.73.139 auto.search.msn.comO1 - ホスト:216.177.73.139 search.netscape.comO1 - ホスト:216.177.73.139 ieautosearchO1 - ホストファイルはC: Windows Help hostsにあります

何をすべきか:このハイジャックは、アドレスを右のIPアドレスの左側にリダイレクトします。IPアドレスに属していない場合は、アドレスを入力するたびに間違ったサイトにリダイレクトされます。 Hostsファイルに意図的にそれらの行を置かない限り、HijackThisはこれらを修正することができます。

最後の項目は、Windows 2000 / XPでCoolwebsearch感染が発生することがあります。常にこの項目を修正するか、CWShredderに自動的に修復させてください。

O2 - ブラウザヘルパーオブジェクト

それはどのようなものか:O2 - BHO:Yahoo!コンパニオンBHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C: PROGRAM FILES YAHOO! COMPANION YCOMP5_0_2_4.DLLO2 - BHO:(名前なし) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C: PROGRAM FILES POPUP ELIMINATOR AUTODISPLAY401.DLL(ファイルがありません)O2 - BHO:MediaLoads拡張 - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C: PROGRAM FILES MEDIALOADS ENHANCED ME1.DLL

何をすべきか:ブラウザヘルパーオブジェクトの名前を直接認識しない場合は、TonyKのBHO&ツールバーリストを使用してクラスID(CLSID、中括弧の間の数字)で検索し、それが良いか悪いかを確認してください。 BHOリストでは、「X」はスパイウェアを意味し、「L」は安全を意味します。

O3 - IEのツールバー

それはどのようなものか: O3 - ツールバー:&Yahoo!コンパニオン - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C: PROGRAM FILES YAHOO! COMPANION YCOMP5_0_2_4.DLLO3 - ツールバー:ポップアップエリミネータ - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C: PROGRAM FILES POPUP ELIMINATOR PETOOLBAR401.DLL(ファイルがありません)O3 - ツールバー:rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C: WINDOWS APPLICATION DATA CKSTPRLLNQUL.DLL

何をすべきか:ツールバーの名前を直接認識しない場合は、TonyKのBHO&Toolbar Listを使用してクラスID(CLSID、中括弧の間の数字)で検索し、その良否を確認してください。ツールバーリストでは、「X」はスパイウェアを意味し、「L」は安全を意味します。それがリストになく、その名前がランダムな文字列で、そのファイルが(上記の例の最後のものと同じように) 'Application Data'フォルダにある場合は、おそらくLop.comであり、HijackThisの修正が必要ですそれ。

O4 - レジストリまたはスタートアップグループからプログラムを自動ロードする

それはどのようなものか:O4 - HKLM .. Run:スキャンレジストリ C: WINDOWS scanregw.exe / autorunO4 - HKLM .. Run:SystemTray SysTray.ExeO4 - HKLM .. Run:ccApp "C:¥Program Files¥Common Files¥Symantec Shared¥ccApp.exe"O4 - スタートアップ:Microsoft Office.lnk = C: Program Files Microsoft Office Office OSA9.EXEO4 - グローバルスタートアップ:winlogon.exe

何をすべきか:PacManのスタートアップリストを使ってエントリを見つけ、それが良いか悪いかを確認します。

上記の最後の項目のようにスタートアップグループに入っているプログラムが表示されている場合、このプログラムがまだメモリに残っている場合、HijackThisはアイテムを修正できません。修正する前に、Windowsタスクマネージャー(TASKMGR.EXE)を使用してプロセスを閉じます。

O5 - IEのオプションがコントロールパネルに表示されない

それはどのようなものか: O5 - control.ini:inetcpl.cpl = no

何をすべきか:あなたまたはあなたのシステム管理者が故意にコントロールパネルからアイコンを隠していない限り、HijackThisはそれを修正してください。

O6 - IEオプションアクセスは管理者によって制限されています

それはどのようなものか:O6 - HKCU Software Policies Microsoft Internet Explorer 制限事項

何をすべきか:SpybotのS&Dオプション「変更からホームページをロックする」が有効になっている場合、またはシステム管理者がこれを実行する場合を除き、HijackThisがこれを修正してください。

O7 - 管理者によって制限されたRegeditアクセス

それはどのようなものか:O7 - HKCU Software Microsoft Windows CurrentVersion Policies System、DisableRegedit = 1

何をすべきか:システム管理者がこの制限を適用しない限り、HijackThisはこれを常に修正してください。

O8 - IEの右クリックメニューの余分な項目

それはどのようなものか: O8 - 余分なコンテキストメニュー項目:&Google検索 - res:// C: WINDOWS DOWNLOADED PROGRAM FILES GOOGLETOOLBAR_​​EN_1.1.68-DELEON.DLL / cmsearch.htmlO8 - 追加のコンテキストメニュー項目:Yahoo!検索 - ファイル:/// C: Program Files Yahoo! Common / ycsrch.htmO8 - 余分なコンテキストメニュー項目:ズーム&イン - C: WINDOWS WEB zoomin.htmO8 - 余分なコンテキストメニュー項目:ズームO&ut - C: WINDOWS WEB zoomout.htm

何をすべきか:IEの右クリックメニューで項目の名前を認識できない場合は、HijackThisに修正を依頼してください。

O9 - メインのIEツールバーの追加ボタン、またはIEのツールメニューの追加項目

それはどのようなものか: O9 - 追加ボタン:メッセンジャー(HKLM)O9 - 余分な「ツール」メニュー項目:メッセンジャー(HKLM)O9 - 追加ボタン:AIM(HKLM)

何をすべきか:ボタンやメニュー項目の名前がわからない場合は、HijackThisに修正を依頼してください。

O10 - Winsockハイジャッカー

それはどのようなものか: O10 - New.NetによるハイジャックされたインターネットアクセスO10 - LSPプロバイダー 'c: progra〜1 common〜2 toolbar cnmib.dll'のために壊れたインターネットアクセスが見つかりませんO10 - Winsock LSPの不明なファイル:c: program files newtonは vmain.dllを知っています

何をすべきか:これは、Cexx.orgのLSPFix、またはKolla.deのSpybot S&Dを使用してこれらを修正することをお勧めします。

LSPスタックの '未知の'ファイルは、安全上の問題のためにHijackThisによって修正されないことに注意してください。

O11 - IEの拡張オプションウィンドウの追加グループ

それはどのようなものか: O11 - オプショングループ:CommonName CommonName

何をすべきか:IE Advanced Optionsウィンドウに独自のオプショングループを追加する唯一のハイジャッカーはCommonNameです。だから、いつでもHijackThisにこれを修正させることができます。

O12 - IEプラグイン

それはどのようなものか: O12 - .spop用のプラグイン:C:¥Program Files¥Internet Explorer¥Plugins¥NPDocBox.dllO12 - .PDF用のプラグイン:C:¥Program Files¥Internet Explorer¥PLUGINS¥nppdf32.dll

何をすべきか:ほとんどの場合、これらは安全です。 OnFlowだけがここにプラグインを追加します(.ofb)したくありません。

O13 - IE DefaultPrefixハイジャック

それはどのようなものか: O13 - DefaultPrefix:http://www.pixpox.com/cgi-bin/click.pl?url=O13 - WWWプレフィックス:http://prolivation.com/cgi-bin/r.cgi?O13 - WWW。プレフィックス:http://ehttp.cc/?

何をすべきか:これらは常に悪いです。 HijackThisでそれらを修正してください。

O14 - 'ウェブ設定をリセットする'ハイジャック

それはどのようなものか: O14 - IERESET.INF:START_PAGE_URL = http://www.searchalot.com

何をすべきか:URLがコンピュータまたはISPのプロバイダでない場合は、HijackThisに修正してもらいます。

O15 - 信頼ゾーン内の不要なサイト

それはどのようなものか: O15 - 信頼ゾーン:http://free.aol.comO15 - 信頼ゾーン:* .coolwebsearch.comO15 - 信頼ゾーン:* .msn.com

何をすべきか:ほとんどの場合、AOLとCoolwebsearchだけが信頼できるゾーンにサイトをサイレントに追加します。リストされたドメインをあなた自身が信頼できるゾーンに追加しなかった場合は、HijackThisにそれを修正させてください。

O16 - ActiveXオブジェクト(別名ダウンロードされたプログラムファイル)

それはどのようなものか: O16 - DPF:Yahoo!チャット - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cabO16 - DPF:{D27CDB6E-AE6D-11CF-96B8-444553540000}(Shockwave Flashオブジェクト) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

何をすべきか:オブジェクトの名前またはダウンロードされたURLを認識できない場合は、HijackThisに修正を依頼してください。名前やURLに 'dialer'、 'casino'、 'free_plugin'などの単語が含まれている場合は、間違いなく修正してください。 JavacoolのSpywareBlasterには、CLSIDを検索するために使用できる巨大なActiveXオブジェクトの巨大なデータベースがあります。 (Find関数を使用するには、リストを右クリックします)。

O17 - Lop.comドメインハイジャック

それはどのようなものか: O17 - HKLM System CCS Services VxD MSTCP:Domain = aoldsl.netO17 - HKLM System CCS Services Tcpip Parameters:Domain = W21944.find-quick.comO17 - HKLM Software .. Telephony:DomainName = W21944.find-quick.comO17 - HKLM System CCS Services Tcpip .. {D196AB38-4D1F-45C1-9108-46D367F19F7}:ドメイン= W21944.find-quick.comO17 - HKLM System CS1 Services Tcpip Parameters:SearchList = gla.ac.ukO17 - HKLM System CS1 Services VxD MSTCP:NameServer = 69.57.1​​46.14,69.57.1​​47.175

何をすべきか:ドメインがあなたのISPまたは会社のネットワークから来ていない場合は、HijackThisがそれを修正してください。同じことが 'SearchList'エントリにも当てはまります。 'NameServer'(DNSサーバー)のエントリは、IPまたはIPのためのGoogleであり、良いか悪いかを簡単に確認できます。

O18 - 余分なプロトコルとプロトコルハイジャッカー

それはどのようなものか: O18 - プロトコル:関連リンク - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C: PROGRA〜1 COMMON〜1 MSIETS msielink.dllO18 - プロトコル:mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}O18 - プロトコルのハイジャック:http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}

何をすべきか:わずかなハイジャッカーだけがここに現れます。既知のbaddiesは 'cn'(CommonName)、 'ayb'(Lop.com)、 'relatedlinks'(Huntbar)です。HijackThisに修正されているはずです。表示されるその他のものは、まだ安全であることが確認されていないか、スパイウェアによってハイジャックされている(CLSIDが変更されている)ものです。最後のケースでは、HijackThisに修正を依頼してください。

O19 - ユーザースタイルのシートハイジャック

それはどのようなものか: O19 - ユーザ・スタイル・シート:c: WINDOWS Java my.css

何をすべきか:ブラウザの減速や頻繁なポップアップの場合は、HijackThisがこのアイテムをログに記録するように修正してください。しかし、Coolwebsearchだけがこれを行うので、CWShredderを使用して修正することをお勧めします。

O20 - AppInit_DLLsレジストリ値の自動実行

それはどのようなものか: O20 - AppInit_DLLs:msconfd.dll

何をすべきか:HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion Windowsにあるこのレジストリ値は、ユーザーがログインするとDLLをメモリにロードし、その後ログオフするまでメモリに残ります。それを使用する正当なプログラムはごくわずかです(Norton CleanSweepはAPITRAP.DLLを使用します)。ほとんどの場合、トロイの木馬や攻撃的なブラウザのハイジャッカーによって使用されます。

このレジストリ値(Regeditで 'Edit Binary Data'オプションを使用している場合にのみ表示される)から 'hidden' DLLをロードする場合、dll名の先頭にパイプ '|'それをログに表示させます。

O21 - ShellServiceObjectDelayLoad

それはどのようなものか: O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C: WINDOWS System auhook.dll

何をすべきか:これは文書化されていない自動実行方法で、通常はいくつかのWindowsシステムコンポーネントで使用されます。 HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion ShellServiceObjectDelayLoadにリストされている項目は、Windowsの起動時にExplorerによってロードされます。 HijackThisは非常に一般的ないくつかのSSODL項目のホワイトリストを使用しているため、ログに項目が表示されてもそのことは不明であり、おそらく悪意のあるものです。極度の注意を払ってください。

O22 - SharedTaskScheduler

それはどのようなものか: O22 - SharedTaskScheduler:(名前なし) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:¥windows¥system32¥mtwirl32.dll

何をすべきか:これは、Windows NT / 2000 / XP専用の文書化されていないオートランです。非常にまれにしか使用されていません。 CWS.Smartfinderだけがこれを使用しています。注意して処置してください。

O23 - NTサービス

それはどのようなものか: O23 - サービス:Kerio Personal Firewall(PersFw) - Kerio Technologies - C:¥Program Files¥Kerio¥Personal Firewall¥persfw.exe

何をすべきか:これは、Microsoft以外のサービスの一覧です。このリストは、Windows XPのMsconfigユーティリティに表示されるものと同じである必要があります。いくつかのトロイの木馬ハイジャッカーは、自分自身を再インストールするために、他の新興企業に自宅のサービスを利用しています。フルネームは通常、 'Network Security Service'、 'Workstation Logon Service'、または 'Remote Procedure Call Helper'のように重要ですが、内部名(大括弧の間)は 'Ort'のようなゴミの文字列です。行の2番目の部分は、ファイルのプロパティの最後にあるファイルの所有者です。

O23アイテムを修正するとサービスが停止され、無効になることに注意してください。レジストリからサービスを手動で削除するか、別のツールで削除する必要があります。 Hijackでは、この1.99.1以降では、その他のツールセクションのNTサービスの削除ボタンを使用できます。

エディターズチョイス