具体例として、私の場合の「HijackThis」ログを取り上げてみます。
以下、いずれも、現在の環境で必要なものばかりで、障害の原因とはなっていません。
誤って削除すると、関連する機能が働かなくなりますので、注意してください。
パソコンメーカー、周辺機器メーカー、ソフトハウス独自の設定があります。
これらの殆どについて、「Packmanリスト」や「AnswersThatWorks」のページで確認できます。
Googleで、もっと広範囲な検索も可能です、試してみてください。
http://groups.google.com/advanced_group_search?
☆常駐させる必要のないもの
Windowsの起動と同時に起動され、常駐するプログラムによって、メモリーが占領され、システムが重くなることがあります。
必ずしも、常駐させる必要のないものも含まれていますので、「Packmanリスト」や「AnswersThatWorks」のページで検索してみてください。
それぞれのプログラムが、どの程度のメモリーを使っているかは「タスクマネジャー」の「プロセス」画面で調べることが出来ます。
☆復旧機能
「HijackThis」には、設定を別途保存しておいて、必要があれば復旧する機能があります。
一度試した後、結果を見て、元の状態に復旧できます。しかし、この機能を乱用すると、何がなんだか判らなくなってしまう可能性があります。
☆メーカー名で判断
ハードウエア、ソフトウエアのメーカーは、独自のフォルダを使ったり、独自のファイル名で必要なファイルやレジストリを登録します。
次の例の場合、「Norton AntiVirus」というフォルダにあるファイルを参照しているので、安全であろうことが推定できます。
| O2 - BHO: NAV Helper -
{BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton
AntiVirus\NavShExt.dll |
| 「Norton AntiVirus」をインストールすると組み込まれます。 |
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
以下に表示するのは、「HijackThis」のログに表示されるタスクのうち、心配する必要のない「安心材料」の例です。
☆BHOとツールバー
| O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
D:\PROGRA~1\SPYBOT~1\SDHelper.dll |
| 「Spybot-S&D」をインストールすると組み込まれます。 |
| O2 - BHO: NAV Helper -
{BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton
AntiVirus\NavShExt.dll |
| 「Norton AntiVirus」をインストールすると組み込まれます。 |
| O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx |
| Windowsのシステム設定 |
| O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton
AntiVirus\NavShExt.dll |
| 「Norton AntiVirus」をインストールすると組み込まれます。 |
☆自動実行-レジストリ
レジストリを使って自動実行される項目です。
| O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil
/RemAdvDef /Migration32 |
| O4 - HKLM\..\Run: [PHIME2002ASync]
C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC |
| O4 - HKLM\..\Run: [PHIME2002A]
C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName |
| Windowsのシステム設定 |
| O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe |
Anti-spyware from Dell(DVDを使って侵入するスパイウエアをチェックします。
最近、アメリカで問題視されています。) |
| O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe |
| O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control
Panel\atiptaxx.exe |
| ATI Technologiesのドライバー/ユーティリティー |
| O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe |
| タッチパッド用ドライバー |
| O4 - HKLM\..\Run: [Dell QuickSet] C:\Program
Files\Dell\QuickSet\quickset.exe |
| lコンピューターメーカー独自の設定 |
| O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC |
| Microsoft's Input Message Editor (IME) 名前は怖いが、安全です。 |
| O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe |
| モデム関連、削除しても自動復旧されるとか。 |
| O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
Shared\ccApp.exe" |
| Norton AntiVirus 関連 |
| O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec
Shared\ccRegVfy.exe" |
| Symantec 関連 |
| O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program
Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" |
| AdaptecDirectCD 関連 |
| O4 - HKLM\..\Run: [WinampAgent] "d:\Program Files\Winamp\Winampa.exe" |
| WinAmp media player |
| O4 - HKCU\..\Run: [ctfmon.exe]
C:\WINDOWS\System32\ctfmon.exe |
| Office XP |
| O4 - HKCU\..\Run: [MSMSGS] "C:\Program
Files\Messenger\msmsgs.exe" /background |
| MSN Messenger utility |
| O4 - HKCU\..\Run: [Mozilla Quick Launch] "d:\Program
Files\mozilla.org\Mozilla\Mozilla.exe" -turbo |
| Netscape 6 および Mozilla ブラウザー |
☆スタートアップ登録関連?
O4 - Startup: NTUSER.DAT
O4 - Startup: ntuser.dat.LOG
O4 - Startup: ntuser.ini |
"C:\Documents and Settings\(ユーザー名)"フォルダにあるファイルがリストされますが、私には、その目的と意味がわかりません。
削除しようとしても、多分、「使用中」で削除できないでしょう。 |
☆O16 - DPF
DPFフォルダ ("C:\WINDOWS\Downloaded Program
Files")
に登録されているファイルと設定が表示されます。
典型的なものは、Windows等の自動更新です。
ここにあるプログラムが起動され、ユーザーのパソコンの内部を検索して、必要なファイルを外部からインストールしたり、不要なファイルを削除したり、レジストリを書き換えたりできるようになります。
この機能を悪用して、スパイウエア等をこのフォルダにインストールする例が急増しています。
「ActiveX drive by download」 といわれていますが、どういう意味か私にもはっきりわかりません。
IEのインターネットオプションで、セキュリティーレベルが「中」以上に設定されていると「ActiveX drive by download」 が始まる前に警告が表示されます。
ユーザーのパソコンの内部で、自由にファイル操作できる危険な設定を追加することになりますので、ダウンロードの目的や相手先を確認できない場合は「いいえ」を選択した方がいいでしょう。。
このフォルダに何が設定されているかを常に監視する必要があります。
かなり、専門的なことですが、一般ユーザーでさえ、このような作業が必要なのが、今のインターネットなのです。
O16 - DPF:
{0C687FA8-9672-4D77-9AF5-FD6B49C7EDC0}
(TTimePlugIn Class) -
http://www.voyager.co.jp/dotbook/download/T-TimePlugIn.cab |
| インターネットで本を読むときの特殊なプログラム |
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000}
(Shockwave ActiveX Control) -
http://download.macromedia.com/pub/shockwave/
cabs/director/sw-intl.cab |
| Shockwave形式の動画を表示 |
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71}
(RdxIE Class) -
http://207.188.7.150/10dc4dcc037fd9848405/netzip/RdxIE601_ja.cab |
| Real One Player 必要ないかもしれません。 |
| O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE}
(OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc.cab |
| microsoft office productupdates |
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE}
(Symantec RuFSI Registry Information Class) -
http://security.symantec.com/SSC/SharedContent/common/bin/
cabsa.cab |
| Symantec 自動更新 |
| O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab |
| Shockwave形式の動画を表示 |
☆プロトコルの追加
| O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} -
%SystemRoot%\System32\mshtml.dll |
| 私にはわかりません。 |
