「OTLの使い方 (駆除担当者向け)」の編集履歴（バックアップ）一覧はこちら

「OTLの使い方 (駆除担当者向け)」(2015/04/23 (木) 21:18:54) の最新版変更点

追加された行は緑色になります。

削除された行は赤色になります。

#contents()

----
*OTLマニュアル
このページでは、解析ツールOTL (OldTimer Listit) の詳しい使い方について解説します。
&bold(){&u(){このページは駆除担当者向けです。また現在作成中のため、随時変更が加えられる可能性があります。}}


**OTLの機能
OTLは、もともと開発が停止したHijackThisの後継という役割を期待され、開発されたソフトウェアです。従って、OTLには、マルウェア感染の解析に有用なさまざまな機能が搭載されています。以下にその例を示します。非常に多機能であり、以下の一覧以外の機能も含まれる可能性があります。


***ログから得られる情報
-HijackThis互換(O1,O2...Ox)の設定表示
-主要な3つのブラウザ(Internet Explorer、Mozilla Firefox、Google Chrome)の設定およびプラグイン一覧
-指定期間内に変更・作成されたファイルの列挙
-起動中のプロセス、読み込まれているモジュールの列挙
-サービスの一覧と各サービスの自動起動・実行状態の表示
-サービスドライバ(デバイスマネージャにおける「プラグアンドプレイではないドライバ」等)の種類、属性、実行状況の表示
-ZeroAccessルートキットに特徴的なエントリの検出
-インストールされているソフトウェア一覧の表示
-改変を受けやすい拡張子の関連付け設定の表示
-Windows ファイアウォールの設定の表示
-セキュリティセンター設定の改変の確認
-最新のイベントビューアのエントリの表示
-ドライブのパーティション情報の取得
-OS情報の取得
※以上の各種ログに対しては、内蔵ホワイトリストにより可読性の向上が図られます(設定により無効化可能)


***対象のコンピュータに対し実行できる操作
-OTLにより検知された設定・レジストリエントリの削除
-起動中のプロセス・サービスの強制終了
-各種ファイル・フォルダの移動・削除・MD5取得
-復元ポイントの作成・全削除
-一時ファイルの全削除
-”Purity infection”(Unicode制御文字によるある種のファイル名操作)の駆除
-Hostsファイルのリセット
-任意のコマンドラインプログラムの実行
-任意のレジストリエントリの設定


**ログ取得の方法
***OTLのダウンロード
OTLは以下のどちらかのアドレスからダウンロードすることができます。頻繁(1～2週に1回程度)にアップデートされていますので、時間が空いた場合にはOTLをダウンロードしなおすことをお勧めします。
[[http://oldtimer.geekstogo.com/OTL.exe>http://oldtimer.geekstogo.com/OTL.exe]]
上記のアドレスが使えない場合は、こちらをお試しください。
[[http://www.itxassociates.com/OT-Tools/OTL.exe>http://www.itxassociates.com/OT-Tools/OTL.exe]]

ダウンロードしたOTLは、分かりやすいようデスクトップに置くことを推奨します。


***OTLでのログ取得
OTLを起動すると、以下の画面が表示されます。32ビット版の画面なので、64ビット版だと一部のオプションが異なります。
#image(otl_number_explain.png)

ログ取得の際に利用するのは、上の画像のうち、1，3，5の3か所です。
それ以外の設定については、特別な理由のない限りは変更しなくても問題ありません。

起動後の画面で、3の位置にある「Scan All Users」及び「Include 64bit Scans」にチェックが入っていることを確認してください(デフォルトでチェックが入っているはずです)。
次に、指示があった場合には、5の位置に指示されたスクリプトを貼り付けてください。
最後に、1の「Run Scan」を押すとスキャンが始まります。スキャンには、環境にもよりますが数分～10分程度かかります。
スキャンが完了すると、ログがメモ帳等のテキストエディタで表示されます。

1回目のスキャンでは、設定を変更しない限りは、「OTL.txt」と「Extras.txt」の2ファイルがOTLと同じ場所に生成されます。
2回目以降のスキャンでは、「Extras.txt」は生成されず、「OTL.txt」のみが生成されます。

この2ファイルのうち、重要なのは「OTL.txt」です。「Extras.txt」は追加情報が主なので、通常は無くても大きな問題はありません。


**ログに表示される情報
デフォルト設定の場合、OTLログには以下の情報が表示されます。
以下に、ログの例を示しつつ、各種項目について解説します。

>OTL logfile created on: 2012/08/16 午前 7:59:37 - Run 1
>OTL by OldTimer - Version 3.2.57.0 Folder = C:\Users\user\Desktop
>64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation
>Internet Explorer (Version = 9.0.8112.16421)
>Locale: 00000411 | Country: 日本 | Language: JPN | Date Format: yyyy/MM/dd
OTLログのタイトル部分です。
OTLログの取得時間、OTLの保存場所、WindowsとIEののバージョン、ビット数、OTLの実行回数、実行環境の言語情報等が表示されます。

>3.80 Gb Total Physical Memory | 1.07 Gb Available Physical Memory | 28.04% Memory free
>7.60 Gb Paging File | 4.61 Gb Available in Paging File | 60.69% Paging File free
>Paging file location(s): ?:\pagefile.sys [binary data]
>
>%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
>Drive C: | 516.79 Gb Total Space | 403.14 Gb Free Space | 78.01% Space Free | Partition Type: NTFS
>Drive D: | 65.19 Gb Total Space | 65.09 Gb Free Space | 99.85% Space Free | Partition Type: NTFS
物理・仮想メモリの容量と使用率、仮想メモリの場所、システムドライブと環境変数、パーティション情報の一部が表示されます。

>Computer Name: Computer
>Boot Mode: Normal | Scan Mode: All users | Include 64bit Scans
>Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
コンピューター名、スキャンの設定、Windowsの起動状態等が表示されます。

>[color=#E56717]========== Processes (SafeList) ==========[/color]
>
>PRC - [2012/08/16 07:53:01 | 000,596,992 | ---- | M] (OldTimer Tools) -- C:\Users\user\Desktop\OTL.exe
>PRC - [2012/07/22 01:42:37 | 000,913,888 | ---- | M] (Mozilla Corporation) -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe
起動しているプロセスについて、内蔵ホワイトリスト(SafeList)によって除外されたもの以外が一覧表示されます。
各項目の意味は、

&bold(){PRC - }
「プロセス情報」を示す接頭辞です。

&bold(){[2012/08/16 07:53:01 | 000,596,992 | ---- | M]}
ファイルの日付およびファイルサイズ、ファイルの属性(RHSD)が表示されます。
R：読み取り専用、H：隠しファイル、S：システムファイル、D：ディレクトリ

&bold(){(OldTimer Tools)}
ファイルに作成者の情報が含まれる場合、その情報が表示されます。
デジタル署名等による検証は行われていませんので、偽装である可能性もあります。

&bold(){C:\Users\user\Desktop\OTL.exe}
ファイルのパスが表示されます。


>[color=#E56717]========== Modules (No Company Name) ==========[/color]
>
>MOD - [2012/07/22 01:42:36 | 002,003,424 | ---- | M] () -- C:\Program Files (x86)\Mozilla Firefox\mozjs.dll
読み込まれているモジュールのうち、会社名情報の無いものが表示されます。
各項目の意味はプロセスと同様です。


>[color=#E56717]========== Win32 Services (SafeList) ==========[/color]
>
>SRV:64bit: - [2010/12/06 10:38:06 | 000,055,696 | ---- | M] (NEC Corporation, NEC Personal Products, Ltd.) [Auto | Running] -- C:\Program Files\NEC\AtrioSide\AS_ContentsDL.exe -- (AS ContentsDL)
>SRV - [2010/11/01 01:03:00 | 000,021,488 | ---- | M] () [Auto | Running] -- C:\Program Files (x86)\Roxio\BackOnTrack\App\BService.exe -- (BOT4Service)
>SRV - [2010/07/28 11:51:08 | 000,116,064 | ---- | M] (Sony Corporation) [On_Demand | Stopped] -- C:\Program Files (x86)\Common Files\Sony Shared\AVLib\PACSPTISVR.exe -- (PACSPTISVR)
登録されているサービスのうち、SafeListにより除外されなかったものが表示されます。

&bold(){SRV:64bit: - }
64ビットのサービスであることを示す接頭辞です。

&bold(){SRV - }
32ビットのサービスであることを示す接頭辞です。

&bold(){[Auto | Running]}
サービスの設定状態を示します。左側はサービスの自動起動の設定、右側は現在の稼働状況を示します。
左側／Auto：自動起動、On_Demand：手動起動、Disabled：無効
右側／Running：稼働中、Stopped：停止中

&bold(){-- (AS ContentsDL)}
サービスの登録名を示します。


>[color=#E56717]========== Driver Services (SafeList) ==========[/color]
>
>DRV:64bit: - [2012/03/01 15:54:38 | 000,022,896 | ---- | M] (Microsoft Corporation) [Recognizer | Boot | Unknown] -- C:\Windows\SysNative\drivers\fs_rec.sys -- (Fs_Rec)
>DRV - [2009/07/14 10:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\SysWOW64\drivers\wimmount.sys -- (WIMMount)
登録されているドライバのうち、SafeListにより除外されなかったものが表示されます。

&bold(){DRV:64bit: - }
64ビットのドライバであることを示す接頭辞です。

&bold(){DRV - }
32ビットのドライバであることを示す接頭辞です。

&bold(){[Recognizer | Boot | Unknown]}
ドライバの状態を示します。左側はドライバの種類の設定、中央はドライバの起動タイミング、右側は現在の稼働状況を示します。
左側／Kernel、Recognizer、File_System等
中央／Boot、System、Auto、On_Demand等
右側／Running：稼働中、Stopped：停止中、Unknown：取得失敗
ルートキットによっては、ここに該当するドライバーがUnknownとして出るケースもあるようです。
但し、その場合でもOTLのみによる除去は困難と思われます。

&bold(){-- (Fs_Rec)}
ドライバの登録名を示します。


>[color=#E56717]========== Standard Registry (SafeList) ==========[/color]
これより、ブラウザの設定とHijackThis互換のエントリ表示となります。


>[color=#E56717]========== Internet Explorer ==========[/color]
InternetExplorerの各種設定が表示されます。
IEのプラグインや拡張機能類については、HijackThis互換エントリ側で表示されるため、こちらには表示されません。


>[color=#E56717]========== FireFox ==========[/color]
Firefoxの設定のうち、改変されたと考えられるもの、各種プラグインと拡張機能(Extension)の一覧、検索エンジンの一覧が表示されます。
また、プラグインや拡張機能、検索エンジン設定については、該当するファイルやフォルダも表示されます。


>[color=#E56717]========== Chrome ==========[/color]
Google Chromeの設定が表示されます。
拡張機能やプラグインの設定も表示され、Firefox同様に該当するファイルやフォルダも表示されます。

>O1 HOSTS File: ([2009/06/11 06:00:26 | 000,000,824 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
>O2:64bit: - BHO: (Yahoo!ツールバーフィッシング警告) - {1F68E72C-50E5-44B8-8F56-6A54D3AF1DA4} - C:\Program Files\Yahoo!J\Toolbar64\7_3_0_12\Modules\ypho.dll (Yahoo Japan Corporation. )
>(以下続く)
HijackThis互換のエントリ表示です。
OTLではHijackThisよりもエントリ数が拡充されています。


>CREATERESTOREPOINT
>Restore point Set: OTL Restore Point
HijackThis互換エントリの下に、カスタムスキャンによるコマンドの結果が記載されます。
この場合では、「CREATERESTOREPOINT」というコマンドにより、システムの復元ポイントが作成されたことを示します。
これらコマンド一覧は後述します。


>[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]
指定日数以内(デフォルトでは30日)に作成されたファイルやフォルダが列挙されます。
ファイルについては、通常の文書ファイルの類は表示されないようですが、フォルダは全て出てきますので、フォルダ名によっては個人情報の観点から問題が生じるかもしれません。


>[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]
指定日数以内(デフォルトでは30日)に変更されたファイルが列挙されます。
同様に、通常の文書ファイルの類は表示されないようです。


>[color=#E56717]========== Files Created - No Company Name ==========[/color]
企業名情報の無いファイルが、期間に関係なく列挙されます。
音楽ファイルや画像ファイルの類が表示されてしまう場合があり、ファイル名の付け方次第では個人情報の観点から問題が生じるかもしれません。


>[color=#E56717]========== ZeroAccess Check ==========[/color]
ZeroAccessルートキットに特徴的な設定改変やファイルの存在の有無を表示します。
なお、一部のファイルについては感染していなくても表示されるものがあり、またレジストリ設定は常に表示されるため、ここにエントリがあるからと言って即感染というわけではありません。
よく表示されるファイルとしては
>C:\Windows\assembly\Desktop.ini
等があります。

以下は過去の感染例(海外フォーラムのもの)になります。「～.@」といった特徴的なファイル名が分かります。
>[color=#E56717]========== ZeroAccess Check ==========[/color]
>
>[2011/11/17 02:41:18 | 000,002,048 | -HS- | M] () -- C:\Windows\Installer\{a8047732-9f60-a7bf-f924-28a8eecaaf59}\@
>[2012/09/23 17:52:41 | 000,000,000 | -HSD | M] -- C:\Windows\Installer\{a8047732-9f60-a7bf-f924-28a8eecaaf59}\L
>[2012/09/23 20:02:22 | 000,000,000 | -HSD | M] -- C:\Windows\Installer\{a8047732-9f60-a7bf-f924-28a8eecaaf59}\U
>[2012/09/23 19:49:27 | 000,000,804 | ---- | M] () -- C:\Windows\Installer\{a8047732-9f60-a7bf-f924-28a8eecaaf59}\L\00000004.@
>[2012/09/21 17:15:34 | 000,002,048 | ---- | M] () -- C:\Windows\Installer\{a8047732-9f60-a7bf-f924-28a8eecaaf59}\U\00000004.@
>[2012/09/23 19:53:44 | 000,232,960 | ---- | M] () -- C:\Windows\Installer\{a8047732-9f60-a7bf-f924-28a8eecaaf59}\U\00000008.@
>[2012/09/21 16:47:20 | 000,077,824 | ---- | M] () -- C:\Windows\Installer\{a8047732-9f60-a7bf-f924-28a8eecaaf59}\U\80000064.@
>[2009/07/14 00:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
>[2012/09/23 19:49:26 | 000,005,120 | -HS- | M] () -- C:\Windows\assembly\GAC_32\Desktop.ini
>[2012/09/23 19:49:26 | 000,006,144 | -HS- | M] () -- C:\Windows\assembly\GAC_64\Desktop.ini
>
>[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
>
>[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
>
>[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
>"" = C:\Windows\SysNative\shell32.dll -- [2012/06/09 01:43:10 | 014,172,672 | ---- | M] (Microsoft Corporation)
>"ThreadingModel" = Apartment
>
>[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
>"" = %SystemRoot%\system32\shell32.dll -- [2012/06/09 00:41:00 | 012,873,728 | ---- | M] (Microsoft Corporation)
>"ThreadingModel" = Apartment
>
>[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64
>"" = C:\Windows\SysNative\wbem\wbemess.dll -- [2009/07/13 21:41:56 | 000,505,856 | ---- | M] (Microsoft Corporation)
>"ThreadingModel" = Both
>
>[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]


>[color=#E56717]========== Custom Scans ==========[/color]
カスタムスキャンにおいて、ファイルスキャンを指示した場合などには、その結果が表示されます。



**カスタムスキャンで使える各種機能
カスタムスキャンは、最初にログを取得する際に、標準の項目以外に追加で調べたい項目を指定できる機能です。

***OTL内蔵のコマンドライン
:activex|HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components のエントリを列挙します。
:baseservices|各種システム操作に必要な、基礎的なシステムサービスの状態を表示します。
:drives|基本的なドライブ・パーティション情報を取得します。
:drivers32|HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Drivers32 のエントリを列挙します。
:hijackthisbackups|HijackThisによって作成されたバックアップデータを表示します。
:msconfig|HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig のエントリを列挙します。
:restorepoints|システムの復元ポイントを列挙します。
:safebootminimal|HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal のエントリを列挙します。(訳注：「セーフモード」で読み込まれるドライバ・サービス類の一覧です)
:safebootnetwork|HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network のエントリを列挙します。(訳注：「セーフモードとネットワーク」で読み込まれるドライバ・サービス類の一覧です)
:SaveMBR|SaveMBR:n (nは物理ドライブの番号) の書式で用い、システムドライブのルートディレクトリにPhysicalMBR.binのファイル名でMBRを保存します。2/64bitとも利用できます。
:showhidden|システムドライブにある隠しファイルを列挙します。

***スイッチ群
:/C|ipconfig /c といった形で用い、任意のコマンドラインプログラムを実行し、その結果を返します。
:/FP|ファイルやフォルダの名前を検索し、該当するファイル・フォルダをすべて列挙します。
例：
>C:\Windows|myfile;true;true;true /FP
C:\Windows ： 検索対象のフォルダを指定します。
myfile ： 検索する名前を入力します。部分一致のため、「notmyfile」等の名前にもヒットします。
1つ目のtrue ： 下層のフォルダを含むかどうか(true/false)を指定します。
2つ目のtrue ： フォルダ名に一致があった場合、その下層のファイル・フォルダをすべて表示するかどうか(true/false)を指定します。
3つ目のtrue ： ファイルを含むかどうか(true/false)を指定します。falseの場合、フォルダのみが表示されます。
:/MD5|指定したファイルのMD5を計算して返します。
:/MD5START ～ /MD5STOP|多数のファイルのMD5を一気に求める場合、この2つのスイッチで対象のファイルのリストを囲みます。
※このスイッチを使用した場合、サービスパック用のバックアップファイル群のファイルも検索され、存在すれば値が返されます。
:/LOCKEDFILES|MD5を計算できない、ロックされたファイルを列挙します。
なお、このスイッチではデフォルトではWindowsによって一般的にロックされているファイルは表示されません。表示したい場合は、/LOCKEDFILES /all と指定します。
:/RS|レジストリ中から、指定されたパターンに合致するエントリを検索して列挙します。
例
>hklm\software\microsoft\windows\currentversion|somepattern /RS
hklm\software\microsoft\windows\currentversion ： レジストリの検索場所を指定します。
somepattern ： 検索する文字列を指定します。
なお、検索場所を指定しなかった場合、以下の場所がデフォルトでスキャンされます。
>hklm\software\classes
>hklm\software\microsoft
>hklm\software\policies
>hklm\system\currentcontrolset
>hkcu\software\classes
>hkcu\software\microsoft
>hkcu\software\policies
:/RP|リパースポイントを検索します。/sと併用することで、サブフォルダにも検索対象を広げることができます。
:/HL|ハードリンクを検索します。
:/JN|ジャンクションを検索します。
:/MP|マウントポイントを検索します。
:/SL|シンボリックリンクを検索します。
:/SP|ファイル中から指定した文字列を検索します。
例：
>c:\windows\*.*|somepattern /SP
c:\windows\*.* ： 検索対象とするファイルを指定します。
somepattern ： 検索する文字列を指定します。
:/S|すでに何度か出ていますが、このスイッチを使うことで、サブフォルダを検索対象に含めることができます。
:/U|Unicodeのファイル名を持つファイルを検索します。他のスイッチと併用可能です。
:/X|指定したファイルを検索から除外します。他のスイッチと併用可能です。
:/64|64ビットOSにおいて、64ビットOSに特有のフォルダやレジストリエントリのみを検索します。
OTLは32ビットアプリであるため、64ビットOS用エントリにアクセスした場合でも、Windowsは自動的にOTLのアクセスを32ビット用エントリにリダイレクトしてしまいます。これはそれを回避するためのオプションです。
:/数字|数字で指定した日数より新しいファイルのみを検索します。



**Fixスクリプトの基本
Fixスクリプトとは、OTLログやその他のログによって得られた情報をもとに、対象のコンピュータで行う操作をOTLに指示するものです。
Fixスクリプトで利用可能な機能は多くありますが、ここではまず、最もよく使われる機能3つについて解説します。

以下は、Fixスクリプトの一例になります。
>:OTL
>PRC - [2010/11/07 18:22:00 | 000,286,720 | ---- | M] (Babylon Ltd.) -- C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarsrv.exe
>IE - HKU\S-1-5-21-2101863532-2548138045-3349394459-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=109986&babsrc=SP_ss&mntrId=9635cfe0000000000000207c8f5f6db1
>FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
>FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=109986&babsrc=KW_ss&mntrId=9635cfe0000000000000207c8f5f6db1&q="
>O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll (Babylon BHO)
>O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll (Babylon Ltd.)
>O4 - HKLM..\Run: [BabylonToolbar] C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarsrv.exe (Babylon Ltd.)
>[2012/06/02 12:17:58 | 000,002,313 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
>
>:Files
>C:\Program Files (x86)\BabylonToolbar
>
>:Commands
>[purity]
>[emptytemp]
>[createrestorepoint]
>[reboot]

Babylon Toolbarを駆除した際のFixスクリプトですが、まず重要なのは次の3つです。


****:OTL
:OTLはFixスクリプトで最も重要なエントリで、:OTL以下には、OTLログに記述されたエントリのうち、除去(削除、移動、初期化)したいエントリを入力します。

ここには、OTLログで記述された内容をそのまま(該当する行を丸ごと1行)入力することで、該当するエントリやファイルをすべて除去することができます。
&bold(){&u(){OTLはエントリを完全一致で認識するため、個人情報の保護のためにユーザー名等を別な名前に置換すると、情報の認識に支障が生じます。従って、行の内容を改変すると、正常に駆除操作が行われない場合があります。ご注意ください。}}
&bold(){&u(){どうしてもユーザー名の置換を行いたい場合、環境変数である「%userprofile%」を利用することにより、ある程度の対応は可能です。但し、推奨される使用方法ではありません。}}

HijackThis互換エントリをはじめ、FirefoxやIEの設定、ファイル/フォルダ、プロセスやサービスの強制終了、Hostsエントリの選択的除去も可能です。

この例では、

>PRC - [2010/11/07 18:22:00 | 000,286,720 | ---- | M] (Babylon Ltd.) -- C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarsrv.exe

でBabylon Toolbarのプロセスを強制終了し、

>IE - HKU\S-1-5-21-2101863532-2548138045-3349394459-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=109986&babsrc=SP_ss&mntrId=9635cfe0000000000000207c8f5f6db1
>FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
>FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=109986&babsrc=KW_ss&mntrId=9635cfe0000000000000207c8f5f6db1&q="
>O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll (Babylon BHO)
>O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll (Babylon Ltd.)

でブラウザの設定を修正し、

>O4 - HKLM..\Run: [BabylonToolbar] C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarsrv.exe (Babylon Ltd.)

で自動起動エントリを削除し、

>[2012/06/02 12:17:58 | 000,002,313 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml

で関連するファイル(Firefoxの検索設定)を削除しています。

これらはいずれも「OTL.txt」に表示されていたエントリをそのままコピペしてきたもので、除去したいエントリを:OTL以下にコピペするだけで処置できます。


****:Files
:Files以下には、OTLログでは検知されなかったが、別途削除したいファイルやフォルダを指定することができます。
例えば、MBAMやSASで検知されたエントリを別途削除したい、といった場合です。
フォルダの場合も特別な指定は要りません。OTLが自動的に、フォルダかファイルかを判定してくれます。

また、:Files以下では、任意のコマンドラインプログラムを実行することも可能ですが、これについては後述します。

この例だと、

>C:\Program Files (x86)\BabylonToolbar

で、Babylon Toolbarのインストールフォルダを除去しています。
なお、この:Files以下で指定されたファイル/フォルダは、直接は削除されず、同じドライブのルートに作成される_OTLフォルダに移動されます。
このフォルダは、OTLの自動アンインストールを行った際に、同時に削除されます。


****:Commands
:Commands以下には、OTL内蔵のコマンドを入力し、OTLに特定の処理を実行するよう命令できます。

良く使われるコマンドとしては以下のものがあります。

:[purity]|"Purity infection"と呼ばれる、特定の場所に作成される、特定のUnicode文字からなるフォルダを検索し、削除するコマンドです。
:[emptytemp]|システムの一時フォルダやTemporary Internet Files、JavaやFlash Player、Firefox、Google Chromeのキャッシュ、ごみ箱などの中身をすべて削除します。
なおこのコマンドを使用した場合、一時ファイルクリアのためにすべてのプロセスが自動的に強制終了されますので、必然的に処置終了後は再起動されます。
セキュリティソフトウェアによっては、このプロセス強制終了に抵抗し、OTLがフリーズしてしまう場合があります。その場合は、セーフモードから実行するか、あるいはこのコマンドを使用しないでください。
:[resethosts]|Hostsファイルを初期状態に戻します。
:[clearallrestorepoints]|すべてのシステム復元ポイントを削除し、処置終了後に新しいシステム復元ポイントを作成します。
:[createrestorepoint]|システムの復元ポイントを作成します。
:[reboot]|コンピュータを処置後に再起動します。使用中等の理由で削除できなかったファイルがある場合、再起動後に削除されますので、このコマンドは含めることを推奨します。



***Fix時に使える各種機能
ここまでで、Fixスクリプトの基本的な部分を説明しました。ここからは、使用頻度はそこまで高くないと思われるものの、利用可能な各種機能について説明します。

****:OTL / :Files / :Commands 以外のディレクティブ

&bold(){:processes}
指定したプロセスを強制終了させます。ファイルは変更されません。
すべてのプロセスを強制終了したい場合は、killallprocessesと入力してください。

&bold(){:Services}
指定されたサービスやドライバを停止し、関連ファイルを除去します。
サービスやドライバの名前には、それぞれの登録名を利用してください。

&bold(){:Reg}
指定されたレジストリエントリを変更します。
例えば、以下のようなエントリから斜体部分を取り除きたい場合、

>[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
>"authentication packages"=msv1_0 &italic(){C:\WINDOWS\system32\byXoMcbC}

のようにコマンドを入力します。

>:Reg
>[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
>"Authentication Packages"=hex(7):"msv1_0"

旧バージョンのRegEditでは16進数の表記を直接.regファイルに書く必要がありましたが、OTLではその必要はありません。16進数への変換はOTLが担当します。


****:Commands で使えるそのほかのコマンド

:[EMPTYFLASH]|Flashクッキーのみをすべて削除します。
:[EMPTYJAVA]|Javaキャッシュのみを削除します。[EMPTYTEMP]コマンドを使いたくない場合に用います。
:[DRIVES]|ドライブ情報(パーティション構成等)を取得します。カスタムスキャンのDRIVESコマンドと同様です。


****:Files 以下で使えるコマンド
:Files 以下でも、特定の操作のためのスイッチやコマンドが使用できます。以下はその一覧となります。

:[override]/[stopoverride]|OTLは内蔵するリストにより、システムファイル等を誤って移動しないよう保護しています。このコマンドはそれを無効化し、システムファイルを移動できるようにします。ただし、使用には細心の注意を払ってください。使用する場合は、対象となるファイルを[override]～[stopoverride]の間に挟む形としてください。
例：
>:Files
>[override]
>c:\windows\system32\userinit.exe
>[stopoverride]
:/数字|カスタムスキャンと同様に、指定された日数より最近に作られたファイルを対象とします。
例：
>C:\Windows\system32\*.dll /2
とすると、C:\Windows\system32\ 以下にあるDLLファイルのうち、最近2日間に作成されたものが除去されます。
:/64|カスタムスキャンと同様に、32ビット版のフォルダではなく64ビット版のフォルダを参照するよう指示します。
:@|代替データストリームを削除する場合に指定します。通常は:OTLディレクティブで対応できるので、使うことは稀と思われます。
例：
>@c:\windows\system32:datastream
:/C|指定されたコマンドラインプログラムを実行します。
:/D|ファイルを除去する際、通常はドライブのルートに作成される_OTLフォルダ内に移動されますが、このコマンドを使うと、ファイルを完全に削除できます。
:/E|指定されたCABファイル内にある特定のファイルを、ドライブのルートに展開します。展開場所は指定できませんので、多くの場合はルートに展開したのち、後述する/replaceコマンドを併用することとなります。
例：
>C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys /E
>C:\WINDOWS\system32\drivers\atapi.sys|c:\atapi.sys /replace
とすると、C:\WINDOWS\Driver Cache\i386\sp3.cab から atapi.sys が c:\atapi.sys に展開され、C:\WINDOWS\system32\drivers\atapi.sys と置き換えられます。
:/replace|(元のファイル)|(新しいファイル) /replace の構文で用い、元のファイルを新しいファイルに置換します。ファイルが使用中等の理由で置換できない場合、再起動後に実行されます。
:/lsp|LSPスタックのファイルを削除します。
例：
>winhelper86.dll /lsp
:/S|サブフォルダ内も対象に含めます。
例：
>:Files
>C:\Windows\system32\*.bat /S
とすると、C:\Windows\system32\ とそのサブフォルダ以下にあるすべてのBATファイルが除去されます。
:/U|Unicodeファイル名を指定した位置に持つファイルのみを対象とします。
例：
>c:\windows\?ystem32 /U
とすると、?の位置にUnicode文字を持つファイルだけが除去されます。”Purity infection”によって作成されることが多いファイルですが、ほとんどは[Purity]コマンドで除去できます。


**OTLのアンインストール
OTLをアンインストールする場合は、OTLを起動後、「Uninstall」ボタンをクリックします。
このボタンをクリックすることにより、以下のファイル群が削除されます。
-OTL本体
-Fix時に作成されるバックアップファイル・ログファイル
-HijackThisを含めた特定の駆除ツールの実行ファイル


**使用上の留意事項
OTLの使用上の留意事項について記載します。

***ソフト起動時のレジストリアクセス
OTLは、起動時に以下のレジストリエントリをWindowsのデフォルト値に復元します。
+HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
+HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt
+HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
これはいずれも「フォルダーオプション」の設定項目であり、それぞれ
+ファイルとフォルダーの表示 (デフォルト：隠しファイル、隠しフォルダー、または隠しドライブを表示しない)
+登録されている拡張子を表示しない (デフォルト：有効)
+保護されたオペレーティングシステムファイルを表示しない (デフォルト：有効)
に相当します。

***CleanUp時のレジストリアクセス
OTLは、CleanUpの実行時に、HKEY_LOCAL_MACHINE\SOFTWARE以下の全てのキーに対してRegSetKeySecurityを実行します。
そのため、「プログラムと機能」内で表示されるインストール済みアプリ一覧において、一部のエントリの「インストール日」に変更が生じる場合があります。

以上2件の参考ページ
[[http://akudaikan-0.bbs.fc2.com/?act=reply&tid=5206811>http://akudaikan-0.bbs.fc2.com/?act=reply&tid=5206811]]





----

2014/09/27
追加

2014/09/26
微調整

2014/08/03
一部訂正

2014/07/27
追加、一部訂正

2014/07/19
作成

#ref(http://x4.sonnabakana.com/bin/ll?06760280a)

#contents()

----
*OTLマニュアル
このページでは、解析ツールOTL (OldTimer Listit) の詳しい使い方について解説します。
&bold(){&u(){このページは駆除担当者向けです。また現在作成中のため、随時変更が加えられる可能性があります。}}


**OTLの機能
OTLは、もともと開発が停止したHijackThisの後継という役割を期待され、開発されたソフトウェアです。従って、OTLには、マルウェア感染の解析に有用なさまざまな機能が搭載されています。以下にその例を示します。非常に多機能であり、以下の一覧以外の機能も含まれる可能性があります。


***ログから得られる情報
-HijackThis互換(O1,O2...Ox)の設定表示
-主要な3つのブラウザ(Internet Explorer、Mozilla Firefox、Google Chrome)の設定およびプラグイン一覧
-指定期間内に変更・作成されたファイルの列挙
-起動中のプロセス、読み込まれているモジュールの列挙
-サービスの一覧と各サービスの自動起動・実行状態の表示
-サービスドライバ(デバイスマネージャにおける「プラグアンドプレイではないドライバ」等)の種類、属性、実行状況の表示
-ZeroAccessルートキットに特徴的なエントリの検出
-インストールされているソフトウェア一覧の表示
-改変を受けやすい拡張子の関連付け設定の表示
-Windows ファイアウォールの設定の表示
-セキュリティセンター設定の改変の確認
-最新のイベントビューアのエントリの表示
-ドライブのパーティション情報の取得
-OS情報の取得
※以上の各種ログに対しては、内蔵ホワイトリストにより可読性の向上が図られます(設定により無効化可能)


***対象のコンピュータに対し実行できる操作
-OTLにより検知された設定・レジストリエントリの削除
-起動中のプロセス・サービスの強制終了
-各種ファイル・フォルダの移動・削除・MD5取得
-復元ポイントの作成・全削除
-一時ファイルの全削除
-”Purity infection”(Unicode制御文字によるある種のファイル名操作)の駆除
-Hostsファイルのリセット
-任意のコマンドラインプログラムの実行
-任意のレジストリエントリの設定


**ログ取得の方法
***OTLのダウンロード
OTLは以下のどちらかのアドレスからダウンロードすることができます。頻繁(1～2週に1回程度)にアップデートされていますので、時間が空いた場合にはOTLをダウンロードしなおすことをお勧めします。
[[http://oldtimer.geekstogo.com/OTL.exe>http://oldtimer.geekstogo.com/OTL.exe]]
上記のアドレスが使えない場合は、こちらをお試しください。
[[http://www.itxassociates.com/OT-Tools/OTL.exe>http://www.itxassociates.com/OT-Tools/OTL.exe]]

ダウンロードしたOTLは、分かりやすいようデスクトップに置くことを推奨します。


***OTLでのログ取得
OTLを起動すると、以下の画面が表示されます。32ビット版の画面なので、64ビット版だと一部のオプションが異なります。
#image(otl_number_explain.png)

ログ取得の際に利用するのは、上の画像のうち、1，3，5の3か所です。
それ以外の設定については、特別な理由のない限りは変更しなくても問題ありません。

起動後の画面で、3の位置にある「Scan All Users」及び「Include 64bit Scans」にチェックが入っていることを確認してください(デフォルトでチェックが入っているはずです)。
次に、指示があった場合には、5の位置に指示されたスクリプトを貼り付けてください。
最後に、1の「Run Scan」を押すとスキャンが始まります。スキャンには、環境にもよりますが数分～10分程度かかります。
スキャンが完了すると、ログがメモ帳等のテキストエディタで表示されます。

1回目のスキャンでは、設定を変更しない限りは、「OTL.txt」と「Extras.txt」の2ファイルがOTLと同じ場所に生成されます。
2回目以降のスキャンでは、「Extras.txt」は生成されず、「OTL.txt」のみが生成されます。

この2ファイルのうち、重要なのは「OTL.txt」です。「Extras.txt」は追加情報が主なので、通常は無くても大きな問題はありません。


**ログに表示される情報
デフォルト設定の場合、OTLログには以下の情報が表示されます。
以下に、ログの例を示しつつ、各種項目について解説します。

>OTL logfile created on: 2012/08/16 午前 7:59:37 - Run 1
>OTL by OldTimer - Version 3.2.57.0 Folder = C:\Users\user\Desktop
>64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation
>Internet Explorer (Version = 9.0.8112.16421)
>Locale: 00000411 | Country: 日本 | Language: JPN | Date Format: yyyy/MM/dd
OTLログのタイトル部分です。
OTLログの取得時間、OTLの保存場所、WindowsとIEののバージョン、ビット数、OTLの実行回数、実行環境の言語情報等が表示されます。

>3.80 Gb Total Physical Memory | 1.07 Gb Available Physical Memory | 28.04% Memory free
>7.60 Gb Paging File | 4.61 Gb Available in Paging File | 60.69% Paging File free
>Paging file location(s): ?:\pagefile.sys [binary data]
>
>%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
>Drive C: | 516.79 Gb Total Space | 403.14 Gb Free Space | 78.01% Space Free | Partition Type: NTFS
>Drive D: | 65.19 Gb Total Space | 65.09 Gb Free Space | 99.85% Space Free | Partition Type: NTFS
物理・仮想メモリの容量と使用率、仮想メモリの場所、システムドライブと環境変数、パーティション情報の一部が表示されます。

>Computer Name: Computer
>Boot Mode: Normal | Scan Mode: All users | Include 64bit Scans
>Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
コンピューター名、スキャンの設定、Windowsの起動状態等が表示されます。

>[color=#E56717]========== Processes (SafeList) ==========[/color]
>
>PRC - [2012/08/16 07:53:01 | 000,596,992 | ---- | M] (OldTimer Tools) -- C:\Users\user\Desktop\OTL.exe
>PRC - [2012/07/22 01:42:37 | 000,913,888 | ---- | M] (Mozilla Corporation) -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe
起動しているプロセスについて、内蔵ホワイトリスト(SafeList)によって除外されたもの以外が一覧表示されます。
各項目の意味は、

&bold(){PRC - }
「プロセス情報」を示す接頭辞です。

&bold(){[2012/08/16 07:53:01 | 000,596,992 | ---- | M]}
ファイルの日付およびファイルサイズ、ファイルの属性(RHSD)が表示されます。
R：読み取り専用、H：隠しファイル、S：システムファイル、D：ディレクトリ

&bold(){(OldTimer Tools)}
ファイルに作成者の情報が含まれる場合、その情報が表示されます。
デジタル署名等による検証は行われていませんので、偽装である可能性もあります。

&bold(){C:\Users\user\Desktop\OTL.exe}
ファイルのパスが表示されます。


>[color=#E56717]========== Modules (No Company Name) ==========[/color]
>
>MOD - [2012/07/22 01:42:36 | 002,003,424 | ---- | M] () -- C:\Program Files (x86)\Mozilla Firefox\mozjs.dll
読み込まれているモジュールのうち、会社名情報の無いものが表示されます。
各項目の意味はプロセスと同様です。


>[color=#E56717]========== Win32 Services (SafeList) ==========[/color]
>
>SRV:64bit: - [2010/12/06 10:38:06 | 000,055,696 | ---- | M] (NEC Corporation, NEC Personal Products, Ltd.) [Auto | Running] -- C:\Program Files\NEC\AtrioSide\AS_ContentsDL.exe -- (AS ContentsDL)
>SRV - [2010/11/01 01:03:00 | 000,021,488 | ---- | M] () [Auto | Running] -- C:\Program Files (x86)\Roxio\BackOnTrack\App\BService.exe -- (BOT4Service)
>SRV - [2010/07/28 11:51:08 | 000,116,064 | ---- | M] (Sony Corporation) [On_Demand | Stopped] -- C:\Program Files (x86)\Common Files\Sony Shared\AVLib\PACSPTISVR.exe -- (PACSPTISVR)
登録されているサービスのうち、SafeListにより除外されなかったものが表示されます。

&bold(){SRV:64bit: - }
64ビットのサービスであることを示す接頭辞です。

&bold(){SRV - }
32ビットのサービスであることを示す接頭辞です。

&bold(){[Auto | Running]}
サービスの設定状態を示します。左側はサービスの自動起動の設定、右側は現在の稼働状況を示します。
左側／Auto：自動起動、On_Demand：手動起動、Disabled：無効
右側／Running：稼働中、Stopped：停止中

&bold(){-- (AS ContentsDL)}
サービスの登録名を示します。


>[color=#E56717]========== Driver Services (SafeList) ==========[/color]
>
>DRV:64bit: - [2012/03/01 15:54:38 | 000,022,896 | ---- | M] (Microsoft Corporation) [Recognizer | Boot | Unknown] -- C:\Windows\SysNative\drivers\fs_rec.sys -- (Fs_Rec)
>DRV - [2009/07/14 10:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\SysWOW64\drivers\wimmount.sys -- (WIMMount)
登録されているドライバのうち、SafeListにより除外されなかったものが表示されます。

&bold(){DRV:64bit: - }
64ビットのドライバであることを示す接頭辞です。

&bold(){DRV - }
32ビットのドライバであることを示す接頭辞です。

&bold(){[Recognizer | Boot | Unknown]}
ドライバの状態を示します。左側はドライバの種類の設定、中央はドライバの起動タイミング、右側は現在の稼働状況を示します。
左側／Kernel、Recognizer、File_System等
中央／Boot、System、Auto、On_Demand等
右側／Running：稼働中、Stopped：停止中、Unknown：取得失敗
ルートキットによっては、ここに該当するドライバーがUnknownとして出るケースもあるようです。
但し、その場合でもOTLのみによる除去は困難と思われます。

&bold(){-- (Fs_Rec)}
ドライバの登録名を示します。


>[color=#E56717]========== Standard Registry (SafeList) ==========[/color]
これより、ブラウザの設定とHijackThis互換のエントリ表示となります。


>[color=#E56717]========== Internet Explorer ==========[/color]
InternetExplorerの各種設定が表示されます。
IEのプラグインや拡張機能類については、HijackThis互換エントリ側で表示されるため、こちらには表示されません。


>[color=#E56717]========== FireFox ==========[/color]
Firefoxの設定のうち、改変されたと考えられるもの、各種プラグインと拡張機能(Extension)の一覧、検索エンジンの一覧が表示されます。
また、プラグインや拡張機能、検索エンジン設定については、該当するファイルやフォルダも表示されます。


>[color=#E56717]========== Chrome ==========[/color]
Google Chromeの設定が表示されます。
拡張機能やプラグインの設定も表示され、Firefox同様に該当するファイルやフォルダも表示されます。

>O1 HOSTS File: ([2009/06/11 06:00:26 | 000,000,824 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
>O2:64bit: - BHO: (Yahoo!ツールバーフィッシング警告) - {1F68E72C-50E5-44B8-8F56-6A54D3AF1DA4} - C:\Program Files\Yahoo!J\Toolbar64\7_3_0_12\Modules\ypho.dll (Yahoo Japan Corporation. )
>(以下続く)
HijackThis互換のエントリ表示です。
OTLではHijackThisよりもエントリ数が拡充されています。


>CREATERESTOREPOINT
>Restore point Set: OTL Restore Point
HijackThis互換エントリの下に、カスタムスキャンによるコマンドの結果が記載されます。
この場合では、「CREATERESTOREPOINT」というコマンドにより、システムの復元ポイントが作成されたことを示します。
これらコマンド一覧は後述します。


>[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]
指定日数以内(デフォルトでは30日)に作成されたファイルやフォルダが列挙されます。
ファイルについては、通常の文書ファイルの類は表示されないようですが、フォルダは全て出てきますので、フォルダ名によっては個人情報の観点から問題が生じるかもしれません。


>[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]
指定日数以内(デフォルトでは30日)に変更されたファイルが列挙されます。
同様に、通常の文書ファイルの類は表示されないようです。


>[color=#E56717]========== Files Created - No Company Name ==========[/color]
企業名情報の無いファイルが、期間に関係なく列挙されます。
音楽ファイルや画像ファイルの類が表示されてしまう場合があり、ファイル名の付け方次第では個人情報の観点から問題が生じるかもしれません。


>[color=#E56717]========== ZeroAccess Check ==========[/color]
ZeroAccessルートキットに特徴的な設定改変やファイルの存在の有無を表示します。
なお、一部のファイルについては感染していなくても表示されるものがあり、またレジストリ設定は常に表示されるため、ここにエントリがあるからと言って即感染というわけではありません。
よく表示されるファイルとしては
>C:\Windows\assembly\Desktop.ini
等があります。

以下は過去の感染例(海外フォーラムのもの)になります。「～.@」といった特徴的なファイル名が分かります。
>[color=#E56717]========== ZeroAccess Check ==========[/color]
>
>[2011/11/17 02:41:18 | 000,002,048 | -HS- | M] () -- C:\Windows\Installer\{a8047732-9f60-a7bf-f924-28a8eecaaf59}\@
>[2012/09/23 17:52:41 | 000,000,000 | -HSD | M] -- C:\Windows\Installer\{a8047732-9f60-a7bf-f924-28a8eecaaf59}\L
>[2012/09/23 20:02:22 | 000,000,000 | -HSD | M] -- C:\Windows\Installer\{a8047732-9f60-a7bf-f924-28a8eecaaf59}\U
>[2012/09/23 19:49:27 | 000,000,804 | ---- | M] () -- C:\Windows\Installer\{a8047732-9f60-a7bf-f924-28a8eecaaf59}\L\00000004.@
>[2012/09/21 17:15:34 | 000,002,048 | ---- | M] () -- C:\Windows\Installer\{a8047732-9f60-a7bf-f924-28a8eecaaf59}\U\00000004.@
>[2012/09/23 19:53:44 | 000,232,960 | ---- | M] () -- C:\Windows\Installer\{a8047732-9f60-a7bf-f924-28a8eecaaf59}\U\00000008.@
>[2012/09/21 16:47:20 | 000,077,824 | ---- | M] () -- C:\Windows\Installer\{a8047732-9f60-a7bf-f924-28a8eecaaf59}\U\80000064.@
>[2009/07/14 00:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
>[2012/09/23 19:49:26 | 000,005,120 | -HS- | M] () -- C:\Windows\assembly\GAC_32\Desktop.ini
>[2012/09/23 19:49:26 | 000,006,144 | -HS- | M] () -- C:\Windows\assembly\GAC_64\Desktop.ini
>
>[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
>
>[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
>
>[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
>"" = C:\Windows\SysNative\shell32.dll -- [2012/06/09 01:43:10 | 014,172,672 | ---- | M] (Microsoft Corporation)
>"ThreadingModel" = Apartment
>
>[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
>"" = %SystemRoot%\system32\shell32.dll -- [2012/06/09 00:41:00 | 012,873,728 | ---- | M] (Microsoft Corporation)
>"ThreadingModel" = Apartment
>
>[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64
>"" = C:\Windows\SysNative\wbem\wbemess.dll -- [2009/07/13 21:41:56 | 000,505,856 | ---- | M] (Microsoft Corporation)
>"ThreadingModel" = Both
>
>[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]


>[color=#E56717]========== Custom Scans ==========[/color]
カスタムスキャンにおいて、ファイルスキャンを指示した場合などには、その結果が表示されます。



**カスタムスキャンで使える各種機能
カスタムスキャンは、最初にログを取得する際に、標準の項目以外に追加で調べたい項目を指定できる機能です。

***OTL内蔵のコマンドライン
:activex|HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components のエントリを列挙します。
:baseservices|各種システム操作に必要な、基礎的なシステムサービスの状態を表示します。
:drives|基本的なドライブ・パーティション情報を取得します。
:drivers32|HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Drivers32 のエントリを列挙します。
:hijackthisbackups|HijackThisによって作成されたバックアップデータを表示します。
:msconfig|HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig のエントリを列挙します。
:restorepoints|システムの復元ポイントを列挙します。
:safebootminimal|HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Minimal のエントリを列挙します。(訳注：「セーフモード」で読み込まれるドライバ・サービス類の一覧です)
:safebootnetwork|HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\Network のエントリを列挙します。(訳注：「セーフモードとネットワーク」で読み込まれるドライバ・サービス類の一覧です)
:SaveMBR|SaveMBR:n (nは物理ドライブの番号) の書式で用い、システムドライブのルートディレクトリにPhysicalMBR.binのファイル名でMBRを保存します。2/64bitとも利用できます。
:showhidden|システムドライブにある隠しファイルを列挙します。

***スイッチ群
:/C|ipconfig /c といった形で用い、任意のコマンドラインプログラムを実行し、その結果を返します。
:/FP|ファイルやフォルダの名前を検索し、該当するファイル・フォルダをすべて列挙します。
例：
>C:\Windows|myfile;true;true;true /FP
C:\Windows ： 検索対象のフォルダを指定します。
myfile ： 検索する名前を入力します。部分一致のため、「notmyfile」等の名前にもヒットします。
1つ目のtrue ： 下層のフォルダを含むかどうか(true/false)を指定します。
2つ目のtrue ： フォルダ名に一致があった場合、その下層のファイル・フォルダをすべて表示するかどうか(true/false)を指定します。
3つ目のtrue ： ファイルを含むかどうか(true/false)を指定します。falseの場合、フォルダのみが表示されます。
:/MD5|指定したファイルのMD5を計算して返します。
:/MD5START ～ /MD5STOP|多数のファイルのMD5を一気に求める場合、この2つのスイッチで対象のファイルのリストを囲みます。
※このスイッチを使用した場合、サービスパック用のバックアップファイル群のファイルも検索され、存在すれば値が返されます。
:/LOCKEDFILES|MD5を計算できない、ロックされたファイルを列挙します。
なお、このスイッチではデフォルトではWindowsによって一般的にロックされているファイルは表示されません。表示したい場合は、/LOCKEDFILES /all と指定します。
:/RS|レジストリ中から、指定されたパターンに合致するエントリを検索して列挙します。
例
>hklm\software\microsoft\windows\currentversion|somepattern /RS
hklm\software\microsoft\windows\currentversion ： レジストリの検索場所を指定します。
somepattern ： 検索する文字列を指定します。
なお、検索場所を指定しなかった場合、以下の場所がデフォルトでスキャンされます。
>hklm\software\classes
>hklm\software\microsoft
>hklm\software\policies
>hklm\system\currentcontrolset
>hkcu\software\classes
>hkcu\software\microsoft
>hkcu\software\policies
:/RP|リパースポイントを検索します。/sと併用することで、サブフォルダにも検索対象を広げることができます。
:/HL|ハードリンクを検索します。
:/JN|ジャンクションを検索します。
:/MP|マウントポイントを検索します。
:/SL|シンボリックリンクを検索します。
:/SP|ファイル中から指定した文字列を検索します。
例：
>c:\windows\*.*|somepattern /SP
c:\windows\*.* ： 検索対象とするファイルを指定します。
somepattern ： 検索する文字列を指定します。
:/S|すでに何度か出ていますが、このスイッチを使うことで、サブフォルダを検索対象に含めることができます。
:/U|Unicodeのファイル名を持つファイルを検索します。他のスイッチと併用可能です。
:/X|指定したファイルを検索から除外します。他のスイッチと併用可能です。
:/64|64ビットOSにおいて、64ビットOSに特有のフォルダやレジストリエントリのみを検索します。
OTLは32ビットアプリであるため、64ビットOS用エントリにアクセスした場合でも、Windowsは自動的にOTLのアクセスを32ビット用エントリにリダイレクトしてしまいます。これはそれを回避するためのオプションです。
:/数字|数字で指定した日数より新しいファイルのみを検索します。



**Fixスクリプトの基本
Fixスクリプトとは、OTLログやその他のログによって得られた情報をもとに、対象のコンピュータで行う操作をOTLに指示するものです。
Fixスクリプトで利用可能な機能は多くありますが、ここではまず、最もよく使われる機能3つについて解説します。

以下は、Fixスクリプトの一例になります。
>:OTL
>PRC - [2010/11/07 18:22:00 | 000,286,720 | ---- | M] (Babylon Ltd.) -- C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarsrv.exe
>IE - HKU\S-1-5-21-2101863532-2548138045-3349394459-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=109986&babsrc=SP_ss&mntrId=9635cfe0000000000000207c8f5f6db1
>FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
>FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=109986&babsrc=KW_ss&mntrId=9635cfe0000000000000207c8f5f6db1&q="
>O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll (Babylon BHO)
>O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll (Babylon Ltd.)
>O4 - HKLM..\Run: [BabylonToolbar] C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarsrv.exe (Babylon Ltd.)
>[2012/06/02 12:17:58 | 000,002,313 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
>
>:Files
>C:\Program Files (x86)\BabylonToolbar
>
>:Commands
>[purity]
>[emptytemp]
>[createrestorepoint]
>[reboot]

Babylon Toolbarを駆除した際のFixスクリプトですが、まず重要なのは次の3つです。


****:OTL
:OTLはFixスクリプトで最も重要なエントリで、:OTL以下には、OTLログに記述されたエントリのうち、除去(削除、移動、初期化)したいエントリを入力します。

ここには、OTLログで記述された内容をそのまま(該当する行を丸ごと1行)入力することで、該当するエントリやファイルをすべて除去することができます。
&bold(){&u(){OTLはエントリを完全一致で認識するため、個人情報の保護のためにユーザー名等を別な名前に置換すると、情報の認識に支障が生じます。従って、行の内容を改変すると、正常に駆除操作が行われない場合があります。ご注意ください。}}
&bold(){&u(){どうしてもユーザー名の置換を行いたい場合、環境変数である「%userprofile%」を利用することにより、ある程度の対応は可能です。但し、推奨される使用方法ではありません。}}

HijackThis互換エントリをはじめ、FirefoxやIEの設定、ファイル/フォルダ、プロセスやサービスの強制終了、Hostsエントリの選択的除去も可能です。

この例では、

>PRC - [2010/11/07 18:22:00 | 000,286,720 | ---- | M] (Babylon Ltd.) -- C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarsrv.exe

でBabylon Toolbarのプロセスを強制終了し、

>IE - HKU\S-1-5-21-2101863532-2548138045-3349394459-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=109986&babsrc=SP_ss&mntrId=9635cfe0000000000000207c8f5f6db1
>FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
>FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=109986&babsrc=KW_ss&mntrId=9635cfe0000000000000207c8f5f6db1&q="
>O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll (Babylon BHO)
>O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll (Babylon Ltd.)

でブラウザの設定を修正し、

>O4 - HKLM..\Run: [BabylonToolbar] C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarsrv.exe (Babylon Ltd.)

で自動起動エントリを削除し、

>[2012/06/02 12:17:58 | 000,002,313 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml

で関連するファイル(Firefoxの検索設定)を削除しています。

これらはいずれも「OTL.txt」に表示されていたエントリをそのままコピペしてきたもので、除去したいエントリを:OTL以下にコピペするだけで処置できます。


****:Files
:Files以下には、OTLログでは検知されなかったが、別途削除したいファイルやフォルダを指定することができます。
例えば、MBAMやSASで検知されたエントリを別途削除したい、といった場合です。
フォルダの場合も特別な指定は要りません。OTLが自動的に、フォルダかファイルかを判定してくれます。

また、:Files以下では、任意のコマンドラインプログラムを実行することも可能ですが、これについては後述します。

この例だと、

>C:\Program Files (x86)\BabylonToolbar

で、Babylon Toolbarのインストールフォルダを除去しています。
なお、この:Files以下で指定されたファイル/フォルダは、直接は削除されず、同じドライブのルートに作成される_OTLフォルダに移動されます。
このフォルダは、OTLの自動アンインストールを行った際に、同時に削除されます。


****:Commands
:Commands以下には、OTL内蔵のコマンドを入力し、OTLに特定の処理を実行するよう命令できます。

良く使われるコマンドとしては以下のものがあります。

:[purity]|"Purity infection"と呼ばれる、特定の場所に作成される、特定のUnicode文字からなるフォルダを検索し、削除するコマンドです。
:[emptytemp]|システムの一時フォルダやTemporary Internet Files、JavaやFlash Player、Firefox、Google Chromeのキャッシュ、ごみ箱などの中身をすべて削除します。
なおこのコマンドを使用した場合、一時ファイルクリアのためにすべてのプロセスが自動的に強制終了されますので、必然的に処置終了後は再起動されます。
セキュリティソフトウェアによっては、このプロセス強制終了に抵抗し、OTLがフリーズしてしまう場合があります。その場合は、セーフモードから実行するか、あるいはこのコマンドを使用しないでください。
:[resethosts]|Hostsファイルを初期状態に戻します。
:[clearallrestorepoints]|すべてのシステム復元ポイントを削除し、処置終了後に新しいシステム復元ポイントを作成します。
:[createrestorepoint]|システムの復元ポイントを作成します。
:[reboot]|コンピュータを処置後に再起動します。使用中等の理由で削除できなかったファイルがある場合、再起動後に削除されますので、このコマンドは含めることを推奨します。



***Fix時に使える各種機能
ここまでで、Fixスクリプトの基本的な部分を説明しました。ここからは、使用頻度はそこまで高くないと思われるものの、利用可能な各種機能について説明します。

****:OTL / :Files / :Commands 以外のディレクティブ

&bold(){:processes}
指定したプロセスを強制終了させます。ファイルは変更されません。
すべてのプロセスを強制終了したい場合は、killallprocessesと入力してください。

&bold(){:Services}
指定されたサービスやドライバを停止し、関連ファイルを除去します。
サービスやドライバの名前には、それぞれの登録名を利用してください。

&bold(){:Reg}
指定されたレジストリエントリを変更します。
例えば、以下のようなエントリから斜体部分を取り除きたい場合、

>[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
>"authentication packages"=msv1_0 &italic(){C:\WINDOWS\system32\byXoMcbC}

のようにコマンドを入力します。

>:Reg
>[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
>"Authentication Packages"=hex(7):"msv1_0"

旧バージョンのRegEditでは16進数の表記を直接.regファイルに書く必要がありましたが、OTLではその必要はありません。16進数への変換はOTLが担当します。


****:Commands で使えるそのほかのコマンド

:[EMPTYFLASH]|Flashクッキーのみをすべて削除します。
:[EMPTYJAVA]|Javaキャッシュのみを削除します。[EMPTYTEMP]コマンドを使いたくない場合に用います。
:[DRIVES]|ドライブ情報(パーティション構成等)を取得します。カスタムスキャンのDRIVESコマンドと同様です。


****:Files 以下で使えるコマンド
:Files 以下でも、特定の操作のためのスイッチやコマンドが使用できます。以下はその一覧となります。

:[override]/[stopoverride]|OTLは内蔵するリストにより、システムファイル等を誤って移動しないよう保護しています。このコマンドはそれを無効化し、システムファイルを移動できるようにします。ただし、使用には細心の注意を払ってください。使用する場合は、対象となるファイルを[override]～[stopoverride]の間に挟む形としてください。
例：
>:Files
>[override]
>c:\windows\system32\userinit.exe
>[stopoverride]
:/数字|カスタムスキャンと同様に、指定された日数より最近に作られたファイルを対象とします。
例：
>C:\Windows\system32\*.dll /2
とすると、C:\Windows\system32\ 以下にあるDLLファイルのうち、最近2日間に作成されたものが除去されます。
:/64|カスタムスキャンと同様に、32ビット版のフォルダではなく64ビット版のフォルダを参照するよう指示します。
:@|代替データストリームを削除する場合に指定します。通常は:OTLディレクティブで対応できるので、使うことは稀と思われます。
例：
>@c:\windows\system32:datastream
:/C|指定されたコマンドラインプログラムを実行します。
:/D|ファイルを除去する際、通常はドライブのルートに作成される_OTLフォルダ内に移動されますが、このコマンドを使うと、ファイルを完全に削除できます。
:/E|指定されたCABファイル内にある特定のファイルを、ドライブのルートに展開します。展開場所は指定できませんので、多くの場合はルートに展開したのち、後述する/replaceコマンドを併用することとなります。
例：
>C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys /E
>C:\WINDOWS\system32\drivers\atapi.sys|c:\atapi.sys /replace
とすると、C:\WINDOWS\Driver Cache\i386\sp3.cab から atapi.sys が c:\atapi.sys に展開され、C:\WINDOWS\system32\drivers\atapi.sys と置き換えられます。
:/replace|(元のファイル)|(新しいファイル) /replace の構文で用い、元のファイルを新しいファイルに置換します。ファイルが使用中等の理由で置換できない場合、再起動後に実行されます。
:/lsp|LSPスタックのファイルを削除します。
例：
>winhelper86.dll /lsp
:/S|サブフォルダ内も対象に含めます。
例：
>:Files
>C:\Windows\system32\*.bat /S
とすると、C:\Windows\system32\ とそのサブフォルダ以下にあるすべてのBATファイルが除去されます。
:/U|Unicodeファイル名を指定した位置に持つファイルのみを対象とします。
例：
>c:\windows\?ystem32 /U
とすると、?の位置にUnicode文字を持つファイルだけが除去されます。”Purity infection”によって作成されることが多いファイルですが、ほとんどは[Purity]コマンドで除去できます。


**OTLのアンインストール
OTLをアンインストールする場合は、OTLを起動後、「Uninstall」ボタンをクリックします。
このボタンをクリックすることにより、以下のファイル群が削除されます。
-OTL本体
-Fix時に作成されるバックアップファイル・ログファイル
-HijackThisを含めた特定の駆除ツールの実行ファイル


**使用上の留意事項
OTLの使用上の留意事項について記載します。

***ソフト起動時のレジストリアクセス
OTLは、起動時に以下のレジストリエントリをWindowsのデフォルト値に復元します。
+HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
+HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt
+HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
これはいずれも「フォルダーオプション」の設定項目であり、それぞれ
+ファイルとフォルダーの表示 (デフォルト：隠しファイル、隠しフォルダー、または隠しドライブを表示しない)
+登録されている拡張子を表示しない (デフォルト：有効)
+保護されたオペレーティングシステムファイルを表示しない (デフォルト：有効)
に相当します。

***CleanUp時のレジストリアクセス
OTLは、CleanUpの実行時に、HKEY_LOCAL_MACHINE\SOFTWARE以下の全てのキーに対してRegSetKeySecurityを実行します。
そのため、「プログラムと機能」内で表示されるインストール済みアプリ一覧において、一部のエントリの「インストール日」に変更が生じる場合があります。

以上2件の参考ページ
[[http://akudaikan-0.bbs.fc2.com/?act=reply&tid=5206811>http://akudaikan-0.bbs.fc2.com/?act=reply&tid=5206811]]





----

2015/04/23
誤記修正

2014/09/27
追加

2014/09/26
微調整

2014/08/03
一部訂正

2014/07/27
追加、一部訂正

2014/07/19
作成

#ref(http://x4.sonnabakana.com/bin/ll?06760280a)