スパイウエアの基礎知識
「HiJackThis」入門
0101 0102 0103 0104 0105 0106 0107 0108 0109 0110 0111

007 安心材料 ▼end

具体例として、私の場合の「HijackThis」ログを取り上げてみます。

以下、いずれも、現在の環境で必要なものばかりで、障害の原因とはなっていません。

誤って削除すると、関連する機能が働かなくなりますので、注意してください。

パソコンメーカー、周辺機器メーカー、ソフトハウス独自の設定があります。

これらの殆どについて、「Packmanリスト」「AnswersThatWorks」のページで確認できます。

常駐させる必要のないもの

Windowsの起動と同時に起動され、常駐するプログラムによって、メモリーが占領され、システムが重くなることがあります。

必ずしも、常駐させる必要のないものも含まれていますので、「Packmanリスト」「AnswersThatWorks」のページで検索してみてください。

それぞれのプログラムが、どの程度のメモリーを使っているかは「タスクマネジャー」の「プロセス」画面で調べることが出来ます。

☆復旧機能

「HijackThis」には、設定を別途保存しておいて、必要があれば復旧する機能があります。

一度試した後、結果を見て、元の状態に復旧できます。しかし、この機能を乱用すると、何がなんだか判らなくなってしまう可能性があります。

☆メーカー名で判断

ハードウエア、ソフトウエアのメーカーは、独自のフォルダを使ったり、独自のファイル名で必要なファイルやレジストリを登録します。

次の例の場合、「Norton AntiVirus」というフォルダにあるファイルを参照しているので、安全であろうことが推定できます。

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
「Norton AntiVirus」をインストールすると組み込まれます。

〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜

以下に表示するのは、「HijackThis」のログに表示されるタスクのうち、心配する必要のない「安心材料」の例です。

☆BHOとツールバー

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
「Spybot-S&D」をインストールすると組み込まれます。
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
「Norton AntiVirus」をインストールすると組み込まれます。
O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
Windowsのシステム設定
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
「Norton AntiVirus」をインストールすると組み込まれます。

☆自動実行-レジストリ

レジストリを使って自動実行される項目です。

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
Windowsのシステム設定
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
Anti-spyware from Dell(DVDを使って侵入するスパイウエアをチェックします。
最近、アメリカで問題視されています。)
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
ATI Technologiesのドライバー/ユーティリティー
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
タッチパッド用ドライバー
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
lコンピューターメーカー独自の設定
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
Microsoft's Input Message Editor (IME) 名前は怖いが、安全です。
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
モデム関連、削除しても自動復旧されるとか。
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
Norton AntiVirus 関連
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
Symantec 関連
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
AdaptecDirectCD 関連
O4 - HKLM\..\Run: [WinampAgent] "d:\Program Files\Winamp\Winampa.exe"
WinAmp media player
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
Office XP
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
MSN Messenger utility
O4 - HKCU\..\Run: [Mozilla Quick Launch] "d:\Program Files\mozilla.org\Mozilla\Mozilla.exe" -turbo
Netscape 6 および Mozilla ブラウザー

☆スタートアップ登録関連?

O4 - Startup: NTUSER.DAT
O4 - Startup: ntuser.dat.LOG
O4 - Startup: ntuser.ini
"C:\Documents and Settings\(ユーザー名)"フォルダにあるファイルがリストされますが、私には、その目的と意味がわかりません。
削除しようとしても、多分、「使用中」で削除できないでしょう。

☆O16 - DPF

DPFフォルダ ("C:\WINDOWS\Downloaded Program Files") に登録されているファイルと設定が表示されます。

典型的なものは、Windows等の自動更新です。

ここにあるプログラムが起動され、ユーザーのパソコンの内部を検索して、必要なファイルを外部からインストールしたり、不要なファイルを削除したり、レジストリを書き換えたりできるようになります。

この機能を悪用して、スパイウエア等をこのフォルダにインストールする例が急増しています。

「ActiveX drive by download」 といわれていますが、どういう意味か私にもはっきりわかりません。

IEのインターネットオプションで、セキュリティーレベルが「中」以上に設定されていると「ActiveX drive by download」 が始まる前に警告が表示されます。

ユーザーのパソコンの内部で、自由にファイル操作できる危険な設定を追加することになりますので、ダウンロードの目的や相手先を確認できない場合は「いいえ」を選択した方がいいでしょう。。

このフォルダに何が設定されているかを常に監視する必要があります。

かなり、専門的なことですが、一般ユーザーでさえ、このような作業が必要なのが、今のインターネットなのです。

O16 - DPF:
 {0C687FA8-9672-4D77-9AF5-FD6B49C7EDC0} 
(TTimePlugIn Class) - 
http://www.voyager.co.jp/dotbook/download/T-TimePlugIn.cab
インターネットで本を読むときの特殊なプログラム
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} 
(Shockwave ActiveX Control) - 
http://download.macromedia.com/pub/shockwave/
cabs/director/sw-intl.cab
Shockwave形式の動画を表示
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71}
  (RdxIE Class) - 
http://207.188.7.150/10dc4dcc037fd9848405/netzip/RdxIE601_ja.cab
Real One Player 必要ないかもしれません。
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc.cab
microsoft office productupdates
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} 
(Symantec RuFSI Registry Information Class) - 
http://security.symantec.com/SSC/SharedContent/common/bin/
cabsa.cab
Symantec 自動更新
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Shockwave形式の動画を表示

プロトコルの追加

O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - %SystemRoot%\System32\mshtml.dll
私にはわかりません。
≪Prev ▲Top Next≫

end

Ads by TOK2