006　自己診断（2）

▼end

「HijackThis」のカルテに表示される項目は、下記のように分類されています。

詳しい説明が下記サイトにあるので参照してください。

「HijackThis log tutorial」

http://www.spywareinfo.com/~merijn/htlogtutorial.html

☆R0, R1, R2, R3

R - Registry, StartPage/SearchPage changes
レジストリを使った、スタートページ、サーチページの変更
	R0 - Changed registry value
	変更されたレジストリ値
	R1 - Created registry value
	作成されたレジストリ値
	R2 - Created registry key
	作成されたレジストリキー
	R3 - Created extra registry value where only one should be
	単一であるべき場所に作成された、追加のレジストリ値

 IE の「Start page」 と 「Search page」についてのスキャン結果が表示されます。

表示例

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.google.com/
R3 - Default URLSearchHook is missing

R0：

「Start Page=」以降に表示されるURLがIEを起動したときのスタートページになります。

R1：

「Default_Page_URL=」以降に表示されるURLが、IEの「ツール」「インターネットオプション」の「ホームページ」欄にある「標準設定」で選択できるスタートページになります。

　

　

　

IEの「ツール」「インターネットオプション」「全般」「ホームページ」

F - IniFiles, autoloading entries
イニシャルファイルでの自動実行設定
	F0 - Changed inifile value
	変更されたイニシャルファイル
	F1 - Created inifile value
	作成されたイニシャルファイル
N - Netscape/Mozilla StartPage/SearchPage changes
Netscape/Mozillaでのスタートページ、サーチページの変更
	N1 - Change in prefs.js of Netscape 4.x
	Netscape 4.x
	N2 - Change in prefs.js of Netscape 6
	Netscape 6
	N3 - Change in prefs.js of Netscape 7
	Netscape 7
	N4 - Change in prefs.js of Mozilla
	Mozilla
O - Other, several sections which represent:
その他の設定
	O1 - Hijack of auto.search.msn.com with Hosts file
	Hostファイルでの自動検索ページのハイジャック
	O2 - Enumeration of existing MSIE BHO's
	IEのBHOへの追記
	O3 - Enumeration of existing MSIE toolbars
	IEのツールバーへの追記
	O4 - Enumeration of suspicious autoloading Registry entries
	レジストリへの不審な自動実行項目の追加
	O5 - Blocking of loading Internet Options in Control Panel
	コントロールパネルのインターネットオプションを使わせない設定
	O6 - Disabling of 'Internet Options' Main tab with Policies
	インターネットオプションのメインタブのポリシーを使わせない設定
	O7 - Disabling of Regedit with Policies
	ポリシーを使ってレジストリエディターを使わせない設定
	O8 - Extra MSIE context menu items
	IEのコンテクストメニューの追加設定
	O9 - Extra 'Tools' menuitems and buttons
	ツールメニューへのメニューやボタンの追加設定
	O10 - Breaking of Internet access by New.Net or WebHancer
	New.Net または WebHancerによるインターネットアクセスの切断
	O11 - Extra options in MSIE 'Advanced' settings tab
	IEのアドバンス設定タブに追加オプション
	O12 - MSIE plugins for file extensions or MIME types
	IEへのプラグインの追加設定
	O13 - Hijack of default URL prefixes
	URLの初期設定のハイジャック
	O14 - Changing of IERESET.INF
	IERESET.INFの変更
	O15 - Trusted Zone Autoadd
	「信頼済みサイト」の追加
	O16 - Download Program Files item
	「Download Program Files」フォルダへの登録
	O17 - Domain hijack
	ドメインのハイジャック
	O18 - Enumeration of existing protocols
	プロトコルの追加
	O19 - User stylesheet hijack
	ユーザー設定のスタイルシートのハイジャック

前述の例では「O4」（ゼロヨンではなく、オーヨン）ですから、「レジストリへの不審な自動実行項目の追加」になります。

具体的には、レジストリの

「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run」

という場所に不審な設定見つけたということです。

O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CNSMIN.DLL,Rundll32

ただし、この「CnsMin」というのは、非常に特殊な削除手順が必要です。

このファイルがインストールされた経緯により、駆除方法を慎重に選択する必要があるのです。

☆Rundll32.exe

スパイウエア等が検索されたときに、よく、このファイルが一緒に検出されることがあります。

しかし、このファイルは「DLL」ファイルを実行するときに使われる、れっきとした、Windowsの実行ファイルです。間違って消さないように注意してください。

上記の例で、この項目をチェックして「Fix」した場合、「HijackThis」は「CNSMIN.DLL」を削除しますが、Rundll32.exeを削除することはありませんので安心してください。