突然意図しない広告がブラウザに表示されるようになる場合があります。
Amazon SerchとかHao123だとかがホーム画面になっていたり、
突然ブラウザの下からひょっこりと広告が出てきたりすると
マジでウザいです。
そんなイラついた時に使えそうなツール。
HiJackThis
HijackThisは、トレンドマイクロで提供している無料ツール。
Windows系のコンピュータにおける、ウイルスやスパイウェア、そのほかの不正プログラム等により、システム設定が変更されていないかどうかを素早くスキャンし、確認することができる。
ただしこのツールは、変更されたレジストリキーやファイルシステム等をリストアップし、
それらが迷惑なプログラム等により行われたであろうという可能性の指摘はできるが、
その変更自体が不正活動であるかの判断まではできない。
ここからダウンロードできます。
http://sourceforge.net/projects/hjt/
使い方はしっかりと調査してから使うこと。
hijackthis及びアンインストール情報ツールを用いたログの取り方と貼り付け方法について
http://milksizegene.blog.fc2.com/blog-entry-40.html
スパイウェア対策 – HijackThisログ解析
http://homepage2.nifty.com/intel-404/internet/spyware/HijackThis/hijackthis-log.html
スパイウェア系被害で掲示板に助けを求める前に
http://www.oshiete-kun.net/archives/2006/12/hijackthishijackreader.html
以下は自分のメモ
■R0,R1,R2,R3 – IEスタートページ、サーチページ
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.co.jp/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.co.jp/
IEを開らいた時に表示されるホームページ。例の場合はhttp://www.google.co.jp/と分かる。 もしこのURLが設定した覚えのないURLなどの場合はFixし対処する。
■F0,F1,F2,F3 – INIファイルを自動読み込みするプログラム
F0 - system.ini: Shell=Explorer.exe Openme.exe F1 - win.ini: run=hpfsched
F0に表示されるファイルはスパイウェアの可能性が高く、害をもたらすプロセスとして考える。
F1の場合、害があるのか無害なのか判断しにくいため各サーチエンジンなどを使用しファイルを確認してからFixする。
■N1, N2, N3, N4 – Netscape又はMozillaでのスタート、サーチページ
N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.co.jp"); (C:\Program Files\Netscape\ユーザー\default\prefs.js) N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.co.jp"); (C:\Documents and Settings\ユーザー\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
N1, N2, N3, は Netscape 4.x, 6, 7,
N4 は Mozilla
Netscap又はMozillaでのスタートページ詳細。Netscapeなどは比較的にセキュリティ面が高くハイジャックされることはないが設定した覚えがないURLなど表示される場合はFixする。
■O1 – Hostsファイル
O1 - Hosts: 216.177.73.139 www.google.co.jp O1 - Hosts: 216.177.73.139 www.msn.co.jp O1 - Hosts: 216.177.73.139 www.infoseek.co.jp O1 - Hosts: 216.177.73.139 www.goo.ne.jp O1 - Hosts file is located at C:\Windows\Help\hosts
hostsファイル内の詳細を表示する。上の例ではスパイウェアが各URLのIPアドレスを書き換えた事が見てとれる。これはIEなどのブラウザアドレスバーにhttp://www.google.co.jp/と入力したとしてもIPアドレスが変更されているため予想に反したパラサイトへアクセスしてしまう。
同じIPアドレスが続いている物はFixが必要になる。
■O2 – ブラウザ・ヘルップ・オブジェクト (BHO)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll O2 - BHO: ContentBlockerBrowserHelperObject - {5564CC73-EFA7-4CBF-918A-5CF7FBBFFF4F} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\ContentBlocker\ie_content_blocker_plugin.dll O2 - BHO: VirtualKeyboardBrowserHelperObject - {73455575-E40C-433C-9784-C78DC7761455} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\VirtualKeyboard\ie_virtual_keyboard_plugin.dll O2 - BHO: Safe Money Plugin - {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\OnlineBanking\online_banking_bho.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\UrlAdvisor\klwtbbho.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
BHOとはブラウザ補助機能のことで、たびたびブラウザハイジャッカーなどのスパイウェアはBHOに現れる可能性が高い。
■O3 – IEツールバー
O3 - Toolbar: The翻訳インターネットV8 - {1EC1C113-F5D6-4CBF-94E2-3CEC44B399CF} - C:\Program Files\TTI_V8_LE\def_bar.dll O3 - Toolbar: &gooスティック - {C1724158-90ED-413D-AE2D-6360F0CAA755} - C:\PROGRA~1\goo\stick\goostk.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O3 - Toolbar: &Yahoo!ツールバー - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\YCOMP5~1.DLL
IEの上部に設置することが可能な各サーチエンジンが配布しているツールバーやポップアップブロックなどのプログラム。
ブラウザハイジャッカーなどのスパイウェアはBHOに現れる可能性が高い。
インストール覚えのないツールバーなどは確認しFixする。
■O4 – 自動起動プログラム(エントリ)
O4 - HKCU\..\RunOnce: [hao123Setting] C:\DOCUME~1\USER\LOCALS~1\Temp\bdgA51.exe http://jp.hao123.com/?tn=sft_pay_hp_01_hao123_jp O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil10k_Plugin.exe -update plugin
スパイウェアやマルウェアなどはPC起動時に自動的に起動するようなっているため
O4自動エントリ(PC起動時に同時起動するプログラム)のリストに表示される可能性が
高いので04欄を注意深く探す。怪しいエントリなど見つけた場合は各サーチエンジンにて確認しFixする。
↑はhao123が勝手にインストールされているのでFixする。
■O5 – コントロールパネルでのインターネットオプションロードの遮断
O5 - control.ini: inetcpl.cpl=no
O5が表示される場合、コントロールパネルを開くとロードされる control.ini の中の don’t load と表示され、Fixが必要。
■O6 – IEオプションの制限
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
通常の場合、AdministratorにてIEオプションを制限されていない限りログとし表示されない。
その他にもSpybot S&D の一オプション”Lock homepage from canges”による制限の場合にもログに表示される。
表示された場合はFix。
■O7 – レジストリエディタ制限
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
レジストリエディタが制限されている場合O7に表示される。
通常Administratorによって制限、解除などの設定が出来るが、
スパイウェアによって制限されている物もあり設定覚えがないのにもかかわらず表示される場合はFix。
■O8 – IEでの右クリック
O8 - Extra context menu item: Google サイドウィキ... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: アンチバナーでブロック - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\ie_banner_deny.htm O9 - Extra button: セキュリティキーボード - {0C4CC089-D306-440D-9772-464E226F6539} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\VirtualKeyboard\ie_virtual_keyboard_plugin.dll
O8はIEでの右クリックメニューを表示します。不必要な物や覚えのない物はFix。
■O9 – IEツールメニューや各種ボタン追加
O9 - Extra button: セキュリティキーボード - {0C4CC089-D306-440D-9772-464E226F6539} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\VirtualKeyboard\ie_virtual_keyboard_plugin.dll O9 - Extra button: 危険サイト診断 - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\UrlAdvisor\klwtbbho.dll O9 - Extra button: ThinkPad ソフトウェアの更新 - {D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5} - C:\Program Files\ThinkPad\PkgMgr\\PkgMgr.exe
IEでのメニューや各種ボタンの詳細を表示する。不必要な物や覚えのない物はFix。
■O10 – Winsock ハイジャッカー
O10 - Hijacked Internet access by New.Net O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll
スパイウェアの中にはWindowsに深くリンクしているLSP(Layered Service Provider)にアクセスしユーザーが送信しているデーターを盗み取る物もある。しかしHijackThisで それらをFixする機能はなくログにて表示される場合はSpybotなどを使用し又は別のツールにて消去する。
■O11 – 詳細設定追加
O11 - Options group: [CommonName] CommonName
IEのツール > インターネットオプション > 詳細設定での追加があると表示される。
O11がログとして表示される場合はFixする。
■O12 – IEプラグイン
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
IEに追加されているプラグインが表示。OnFlowが表示される場合はFixが必要。
■O13 – IE
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url= O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi? O13 - WWW. Prefix: http://ehttp.cc/?
O13が表示される際は必ずFixする。
■O14 – Web設定時のURL
O14 - IERESET.INF: START_PAGE_URL=http://dynabook.com/assistpc/index_j.htm 通常はPCメイカーのWeb又はISPのURLが表示されるが、 覚えのないURLが表示されている場合はFixする。
■O15 – IEの信頼済みサイト
O15 - ESC Trusted Zone: http://*.update.microsoft.com
IE設定の信頼済みサイト名を登録している場合、表示される。
登録覚えのないサイト名が表示される場合はFixする。
■O16 – ActiveX オブジェクト
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1238260705187 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1238260806750 O16 - DPF: {80B5FCA6-66CB-4342-9B62-F838A47ED7F6} (VBInfoOcx Control) - https://vbec.trendmicro.co.jp/cs/common/ocx/PCInfo.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
プロセス名又はURLに覚えがない場合はFixする。
URLが “dialer” や “casino” “free_plugin”など表示される場合は必ずFixする。
■O17 – Lop.comドメインハイジャック
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gla.ac.uk
Domein = の後(Domain = W21944.find-quick.com)がISP、ご使用のネットワーク又は覚えのない場合はFixする。
■O18 – 通信プロトコル(TCP/IP)ハイジャッカー
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 – Protocol:の後に “relatedlinks” や “cn” “ayb” と表示される場合はFixする。
■O19 – ユーザースタイルシート
O19 - User style sheet: c:\WINDOWS\Java\my.css
ユーザースタイルシートとはIEが起動と同時にスクリプトを読み込み、ブラウザに表示させる物。
ブラウザの起動が以前よりも遅くなった場合は 注意が必要。
■O20 – AppInit_DLLs Registry value autorun
O20 - Winlogon Notify: Sebring - c:\WINDOWS\System32\LgNotify.dll O20 - AppInit_DLLs: C:\WINDOWS\System32\rtc.dll
PC起動時に実行されるスパイウェアやトロイの木馬が追加エントリするレジストリキーに値(HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows)が追加されている場合 O20が表示される。
又、数は少なくともNorton Clean SweepやBitdefenderをご使用の場合も表示される場合があるが、多くの場合はトロイの木馬又はブラウザハイジャッカースパイウェア による物なので調べた上でFixする。
■O21 – ShellServiceObjectDelayLoad
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll
通常、少数のWindowsコンポーネントが使用する自動起動エントリが表示される。
トロイの木馬やスパイウェアなどのハイジャッカーにはシステムディレクトリにコピーし、
自動実行するようShellServiceObjectDelayLoadにエントリする特徴があるので
O21にログに表示された場合は注意が必要。
サーチエンジなどで調べ、悪質なファイルを発見した場合は HijackThisにてFixする。
又、Fixと同時にログに表示してあるCLSID及びパス先のファイルを削除する必要がある。
■O22 – SharedTaskScheduler
O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
Windows2000,NT,XPのみexplorerによるCLSID自動起動エントリを使用した CWS.SmartfinderなどがO22にて表示される。
表示が確認された場合は各サーチエンジンで確認しSharedTaskSchedulerのレジストリキー値をFixする。
■O23 – NTサービス
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Kaspersky Anti-Virus Service (AVP) - Kaspersky Lab ZAO - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\avp.exe O23 - Service: Baidu Japanese IME Service_2.8.1.12 (BaiduJP_IME_Service_2.8.1.12) - Unknown owner - C:\Program Files\Baidu\IME\2.8.1.12\BaiduJPServ.exe O23 - Service: Bwsvc - BUFFALO INC. - C:\Program Files\BUFFALO\Client Manager3\bwsvc.exe O23 - Service: Google アップデート サービス (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe O23 - Service: Google Update サービス (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Program Files\IBM\IBM Rapid Restore Ultra\rrpcsb.exe O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - C:\WINDOWS\system32\ibmpmsvc.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing) O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files\Skype\Updater\Updater.exe O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
WindowsNT,2000,XP起動時に自動実行されるバックグラウンドNTサービスがO23にて表示される。
悪質なプロセスを発見した場合はHaijckThisでのFix前にコントロールパネルからのプログラムの削除とレジストリエディタにてレジストリキーを消去する。
起動プロセスなどのログを表示するHijackThisは初心者の方には解析が難しく間違えてFixしてしまうとPCに大きな損害を与えてしまう可能性がある。
以上