勝手に広告ツールがインストールされた時の対処方法 -HiJackThis-

突然意図しない広告がブラウザに表示されるようになる場合があります。
Amazon SerchとかHao123だとかがホーム画面になっていたり、
突然ブラウザの下からひょっこりと広告が出てきたりすると
マジでウザいです。

↓Hao123が勝手にホーム画面になった時。
hao123fire (800x541)

そんなイラついた時に使えそうなツール。

HiJackThis

HijackThisは、トレンドマイクロで提供している無料ツール。
Windows系のコンピュータにおける、ウイルスやスパイウェア、そのほかの不正プログラム等により、システム設定が変更されていないかどうかを素早くスキャンし、確認することができる。
ただしこのツールは、変更されたレジストリキーやファイルシステム等をリストアップし、
それらが迷惑なプログラム等により行われたであろうという可能性の指摘はできるが、
その変更自体が不正活動であるかの判断まではできない。

ここからダウンロードできます。
http://sourceforge.net/projects/hjt/

使い方はしっかりと調査してから使うこと。

hijackthis及びアンインストール情報ツールを用いたログの取り方と貼り付け方法について
http://milksizegene.blog.fc2.com/blog-entry-40.html

スパイウェア対策 – HijackThisログ解析
http://homepage2.nifty.com/intel-404/internet/spyware/HijackThis/hijackthis-log.html

スパイウェア系被害で掲示板に助けを求める前に
http://www.oshiete-kun.net/archives/2006/12/hijackthishijackreader.html

以下は自分のメモ

■R0,R1,R2,R3 – IEスタートページ、サーチページ

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.co.jp/ 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.co.jp/

IEを開らいた時に表示されるホームページ。例の場合はhttp://www.google.co.jp/と分かる。 もしこのURLが設定した覚えのないURLなどの場合はFixし対処する。

■F0,F1,F2,F3 – INIファイルを自動読み込みするプログラム

F0 - system.ini: Shell=Explorer.exe Openme.exe 
F1 - win.ini: run=hpfsched

F0に表示されるファイルはスパイウェアの可能性が高く、害をもたらすプロセスとして考える。
F1の場合、害があるのか無害なのか判断しにくいため各サーチエンジンなどを使用しファイルを確認してからFixする。

■N1, N2, N3, N4 – Netscape又はMozillaでのスタート、サーチページ

N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.co.jp"); (C:\Program Files\Netscape\ユーザー\default\prefs.js) 
N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.co.jp"); (C:\Documents and Settings\ユーザー\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)

N1, N2, N3, は Netscape 4.x, 6, 7,
N4 は Mozilla

Netscap又はMozillaでのスタートページ詳細。Netscapeなどは比較的にセキュリティ面が高くハイジャックされることはないが設定した覚えがないURLなど表示される場合はFixする。

■O1 – Hostsファイル

O1 - Hosts: 216.177.73.139 www.google.co.jp 
O1 - Hosts: 216.177.73.139 www.msn.co.jp 
O1 - Hosts: 216.177.73.139 www.infoseek.co.jp 
O1 - Hosts: 216.177.73.139 www.goo.ne.jp 
O1 - Hosts file is located at C:\Windows\Help\hosts

hostsファイル内の詳細を表示する。上の例ではスパイウェアが各URLのIPアドレスを書き換えた事が見てとれる。これはIEなどのブラウザアドレスバーにhttp://www.google.co.jp/と入力したとしてもIPアドレスが変更されているため予想に反したパラサイトへアクセスしてしまう。
同じIPアドレスが続いている物はFixが必要になる。

■O2 – ブラウザ・ヘルップ・オブジェクト (BHO)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: ContentBlockerBrowserHelperObject - {5564CC73-EFA7-4CBF-918A-5CF7FBBFFF4F} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\ContentBlocker\ie_content_blocker_plugin.dll
O2 - BHO: VirtualKeyboardBrowserHelperObject - {73455575-E40C-433C-9784-C78DC7761455} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\VirtualKeyboard\ie_virtual_keyboard_plugin.dll
O2 - BHO: Safe Money Plugin - {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\OnlineBanking\online_banking_bho.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\UrlAdvisor\klwtbbho.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

BHOとはブラウザ補助機能のことで、たびたびブラウザハイジャッカーなどのスパイウェアはBHOに現れる可能性が高い。

■O3 – IEツールバー

O3 - Toolbar: The翻訳インターネットV8 - {1EC1C113-F5D6-4CBF-94E2-3CEC44B399CF} - C:\Program Files\TTI_V8_LE\def_bar.dll 
O3 - Toolbar: &gooスティック - {C1724158-90ED-413D-AE2D-6360F0CAA755} - C:\PROGRA~1\goo\stick\goostk.dll 
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll 
O3 - Toolbar: &Yahoo!ツールバー - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\YCOMP5~1.DLL

IEの上部に設置することが可能な各サーチエンジンが配布しているツールバーやポップアップブロックなどのプログラム。
ブラウザハイジャッカーなどのスパイウェアはBHOに現れる可能性が高い。
インストール覚えのないツールバーなどは確認しFixする。

■O4 – 自動起動プログラム(エントリ)

O4 - HKCU\..\RunOnce: [hao123Setting] C:\DOCUME~1\USER\LOCALS~1\Temp\bdgA51.exe http://jp.hao123.com/?tn=sft_pay_hp_01_hao123_jp
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil10k_Plugin.exe -update plugin

スパイウェアやマルウェアなどはPC起動時に自動的に起動するようなっているため
O4自動エントリ(PC起動時に同時起動するプログラム)のリストに表示される可能性が
高いので04欄を注意深く探す。怪しいエントリなど見つけた場合は各サーチエンジンにて確認しFixする。
↑はhao123が勝手にインストールされているのでFixする。

■O5 – コントロールパネルでのインターネットオプションロードの遮断

O5 - control.ini: inetcpl.cpl=no

O5が表示される場合、コントロールパネルを開くとロードされる control.ini の中の don’t load と表示され、Fixが必要。

■O6 – IEオプションの制限

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

通常の場合、AdministratorにてIEオプションを制限されていない限りログとし表示されない。
その他にもSpybot S&D の一オプション”Lock homepage from canges”による制限の場合にもログに表示される。

表示された場合はFix。

■O7 – レジストリエディタ制限

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

レジストリエディタが制限されている場合O7に表示される。
通常Administratorによって制限、解除などの設定が出来るが、
スパイウェアによって制限されている物もあり設定覚えがないのにもかかわらず表示される場合はFix。

■O8 – IEでの右クリック

O8 - Extra context menu item: Google サイドウィキ... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: アンチバナーでブロック - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\ie_banner_deny.htm
O9 - Extra button: セキュリティキーボード - {0C4CC089-D306-440D-9772-464E226F6539} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\VirtualKeyboard\ie_virtual_keyboard_plugin.dll

O8はIEでの右クリックメニューを表示します。不必要な物や覚えのない物はFix。

■O9 – IEツールメニューや各種ボタン追加

O9 - Extra button: セキュリティキーボード - {0C4CC089-D306-440D-9772-464E226F6539} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\VirtualKeyboard\ie_virtual_keyboard_plugin.dll
O9 - Extra button: 危険サイト診断 - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\IEExt\UrlAdvisor\klwtbbho.dll
O9 - Extra button: ThinkPad ソフトウェアの更新 - {D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5} - C:\Program Files\ThinkPad\PkgMgr\\PkgMgr.exe

IEでのメニューや各種ボタンの詳細を表示する。不必要な物や覚えのない物はFix。

■O10 – Winsock ハイジャッカー

O10 - Hijacked Internet access by New.Net 
O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing 
O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll

スパイウェアの中にはWindowsに深くリンクしているLSP(Layered Service Provider)にアクセスしユーザーが送信しているデーターを盗み取る物もある。しかしHijackThisで それらをFixする機能はなくログにて表示される場合はSpybotなどを使用し又は別のツールにて消去する。

■O11 – 詳細設定追加

O11 - Options group: [CommonName] CommonName

IEのツール > インターネットオプション > 詳細設定での追加があると表示される。
O11がログとして表示される場合はFixする。

■O12 – IEプラグイン

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll 
O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

IEに追加されているプラグインが表示。OnFlowが表示される場合はFixが必要。

■O13 – IE

O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url= 
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi? 
O13 - WWW. Prefix: http://ehttp.cc/?

O13が表示される際は必ずFixする。

■O14 – Web設定時のURL

O14 - IERESET.INF: START_PAGE_URL=http://dynabook.com/assistpc/index_j.htm 
通常はPCメイカーのWeb又はISPのURLが表示されるが、
覚えのないURLが表示されている場合はFixする。

■O15 – IEの信頼済みサイト

O15 - ESC Trusted Zone: http://*.update.microsoft.com

IE設定の信頼済みサイト名を登録している場合、表示される。
登録覚えのないサイト名が表示される場合はFixする。

■O16 – ActiveX オブジェクト

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1238260705187
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1238260806750
O16 - DPF: {80B5FCA6-66CB-4342-9B62-F838A47ED7F6} (VBInfoOcx Control) - https://vbec.trendmicro.co.jp/cs/common/ocx/PCInfo.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

プロセス名又はURLに覚えがない場合はFixする。
URLが “dialer” や “casino” “free_plugin”など表示される場合は必ずFixする。

■O17 – Lop.comドメインハイジャック

O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net 
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com 
O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com 
O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com 
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gla.ac.uk

Domein = の後(Domain = W21944.find-quick.com)がISP、ご使用のネットワーク又は覚えのない場合はFixする。

■O18 – 通信プロトコル(TCP/IP)ハイジャッカー

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O18 – Protocol:の後に “relatedlinks” や “cn” “ayb” と表示される場合はFixする。

■O19 – ユーザースタイルシート

O19 - User style sheet: c:\WINDOWS\Java\my.css

ユーザースタイルシートとはIEが起動と同時にスクリプトを読み込み、ブラウザに表示させる物。
ブラウザの起動が以前よりも遅くなった場合は 注意が必要。

■O20 – AppInit_DLLs Registry value autorun

O20 - Winlogon Notify: Sebring - c:\WINDOWS\System32\LgNotify.dll 
O20 - AppInit_DLLs: C:\WINDOWS\System32\rtc.dll

PC起動時に実行されるスパイウェアやトロイの木馬が追加エントリするレジストリキーに値(HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows)が追加されている場合 O20が表示される。
又、数は少なくともNorton Clean SweepやBitdefenderをご使用の場合も表示される場合があるが、多くの場合はトロイの木馬又はブラウザハイジャッカースパイウェア による物なので調べた上でFixする。

■O21 – ShellServiceObjectDelayLoad

O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll

通常、少数のWindowsコンポーネントが使用する自動起動エントリが表示される。
トロイの木馬やスパイウェアなどのハイジャッカーにはシステムディレクトリにコピーし、
自動実行するようShellServiceObjectDelayLoadにエントリする特徴があるので
O21にログに表示された場合は注意が必要。
サーチエンジなどで調べ、悪質なファイルを発見した場合は HijackThisにてFixする。
又、Fixと同時にログに表示してあるCLSID及びパス先のファイルを削除する必要がある。

■O22 – SharedTaskScheduler

O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll 
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll

Windows2000,NT,XPのみexplorerによるCLSID自動起動エントリを使用した CWS.SmartfinderなどがO22にて表示される。
表示が確認された場合は各サーチエンジンで確認しSharedTaskSchedulerのレジストリキー値をFixする。

■O23 – NTサービス

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Anti-Virus Service (AVP) - Kaspersky Lab ZAO - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\avp.exe
O23 - Service: Baidu Japanese IME Service_2.8.1.12 (BaiduJP_IME_Service_2.8.1.12) - Unknown owner - C:\Program Files\Baidu\IME\2.8.1.12\BaiduJPServ.exe
O23 - Service: Bwsvc - BUFFALO INC. - C:\Program Files\BUFFALO\Client Manager3\bwsvc.exe
O23 - Service: Google アップデート サービス (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update サービス (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Program Files\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files\Skype\Updater\Updater.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe

WindowsNT,2000,XP起動時に自動実行されるバックグラウンドNTサービスがO23にて表示される。
悪質なプロセスを発見した場合はHaijckThisでのFix前にコントロールパネルからのプログラムの削除とレジストリエディタにてレジストリキーを消去する。

起動プロセスなどのログを表示するHijackThisは初心者の方には解析が難しく間違えてFixしてしまうとPCに大きな損害を与えてしまう可能性がある。

以上