スパイウエアの基礎知識
「HiJackThis」入門
0101 0102 0103 0104 0105 0106 0107 0108 0109 0110 0111

006 自己診断(2) ▼end

「HijackThis」のカルテに表示される項目は、下記のように分類されています。

詳しい説明が下記サイトにあるので参照してください。

「HijackThis log tutorial」

http://www.spywareinfo.com/~merijn/htlogtutorial.html

☆R0, R1, R2, R3

R - Registry, StartPage/SearchPage changes
   レジストリを使った、スタートページ、サーチページの変更
  R0 - Changed registry value
    変更されたレジストリ値
  R1 - Created registry value
    作成されたレジストリ値
  R2 - Created registry key
    作成されたレジストリキー
  R3 - Created extra registry value where only one should be
    単一であるべき場所に作成された、追加のレジストリ値

 IE の「Start page」 と 「Search page」についてのスキャン結果が表示されます。

表示例

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.google.com/
R3 - Default URLSearchHook is missing

R0:

「Start Page=」以降に表示されるURLがIEを起動したときのスタートページになります。

R1:

「Default_Page_URL=」以降に表示されるURLが、IEの「ツール」「インターネットオプション」の「ホームページ」欄にある「標準設定」で選択できるスタートページになります。

 

 

 

IEの「ツール」「インターネットオプション」「全般」「ホームページ」

F - IniFiles, autoloading entries
イニシャルファイルでの自動実行設定
  F0 - Changed inifile value
    変更されたイニシャルファイル
  F1 - Created inifile value
    作成されたイニシャルファイル
N - Netscape/Mozilla StartPage/SearchPage changes
Netscape/Mozillaでのスタートページ、サーチページの変更
  N1 - Change in prefs.js of Netscape 4.x
    Netscape 4.x
  N2 - Change in prefs.js of Netscape 6
    Netscape 6
  N3 - Change in prefs.js of Netscape 7
    Netscape 7
  N4 - Change in prefs.js of Mozilla
    Mozilla
O - Other, several sections which represent:
その他の設定
  O1 - Hijack of auto.search.msn.com with Hosts file
    Hostファイルでの自動検索ページのハイジャック
  O2 - Enumeration of existing MSIE BHO's
    IEのBHOへの追記
  O3 - Enumeration of existing MSIE toolbars
    IEのツールバーへの追記
  O4 - Enumeration of suspicious autoloading Registry entries
    レジストリへの不審な自動実行項目の追加
  O5 - Blocking of loading Internet Options in Control Panel
    コントロールパネルのインターネットオプションを使わせない設定
  O6 - Disabling of 'Internet Options' Main tab with Policies
    インターネットオプションのメインタブのポリシーを使わせない設定
  O7 - Disabling of Regedit with Policies
    ポリシーを使ってレジストリエディターを使わせない設定
  O8 - Extra MSIE context menu items
    IEのコンテクストメニューの追加設定
  O9 - Extra 'Tools' menuitems and buttons
    ツールメニューへのメニューやボタンの追加設定
  O10 - Breaking of Internet access by New.Net or WebHancer
    New.Net または WebHancerによるインターネットアクセスの切断
  O11 - Extra options in MSIE 'Advanced' settings tab
    IEのアドバンス設定タブに追加オプション
  O12 - MSIE plugins for file extensions or MIME types
    IEへのプラグインの追加設定
  O13 - Hijack of default URL prefixes
    URLの初期設定のハイジャック
  O14 - Changing of IERESET.INF
    IERESET.INFの変更
  O15 - Trusted Zone Autoadd
    「信頼済みサイト」の追加
  O16 - Download Program Files item
    「Download Program Files」フォルダへの登録
  O17 - Domain hijack
    ドメインのハイジャック
  O18 - Enumeration of existing protocols
    プロトコルの追加
  O19 - User stylesheet hijack
    ユーザー設定のスタイルシートのハイジャック

前述の例では「O4」(ゼロヨンではなく、オーヨン)ですから、「レジストリへの不審な自動実行項目の追加」になります。

具体的には、レジストリの

「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run」

という場所に不審な設定見つけたということです。

O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CNSMIN.DLL,Rundll32

ただし、この「CnsMin」というのは、非常に特殊な削除手順が必要です。

このファイルがインストールされた経緯により、駆除方法を慎重に選択する必要があるのです。

☆Rundll32.exe

スパイウエア等が検索されたときに、よく、このファイルが一緒に検出されることがあります。

しかし、このファイルは「DLL」ファイルを実行するときに使われる、れっきとした、Windowsの実行ファイルです。間違って消さないように注意してください。

上記の例で、この項目をチェックして「Fix」した場合、「HijackThis」は「CNSMIN.DLL」を削除しますが、Rundll32.exeを削除することはありませんので安心してください。

≪Prev ▲Top Next≫

end

Ads by TOK2