• ベストアンサー
  • 困ってます

見えないレジストリキーの発見法

C:\WINDOWS\regedit.exe や C:\WINDOWS\system32\regedt32.exe を実行しても見えないレジストリキーってあるんですね? HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run  や HKCU\Software\Microsoft\Windows\CurrentVersion\Run 等のスタートアップにその見えないキーがあったら不安で怪しいですよね? どうやったら隠れたレジストリを全て見えるようにできますか? http://download.sysinternals.com/Files/RegHide.zip のRegHideというツールが通常のレジストリエディタでは見えないキーの作成ができるそうですので。

共感・応援の気持ちを伝えよう!

  • 回答数2
  • 閲覧数1104
  • ありがとう数5

質問者が選んだベストアンサー

  • ベストアンサー
  • 回答No.2

#1です。 こういうの見つけました。 http://www.kazamiya.net/blog

共感・感謝の気持ちを伝えよう!

質問者からのお礼

これもありがとうございます。

関連するQ&A

  • スタートアップ項目の「場所」がどこにあるかを探しています。

    スタートアップ項目の「場所」がどこにあるかを探しています。 削除したいスタートアップ項目があり、 その場所は 「SOFTWARE\Microsoft\Windows\CurrentVersion\Run」 となっていました。 しかし、他のスタートアップ項目だと、 「HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run」や 「HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run」となっています。 探しても、目当ての「mshta http://www」(最近はやりのワンクリウェア?) が見つからないのですが、 やはりなにか見落としているのだと思います。 どなたか、場所の読み方のどこがおかしいのか教えていただけますでしょうか。

  • 以前の質問を見ても解決できないWORM_WINUR.C

    QNo.871519の「ウイルス?助けてください!!」 という質問と同じ状況になってしまいました。 (WORM_WINUR.Cでの被害です) 同じ状況なので、同じように C:\windows\winrun.exe C:\winnt\winrun.exe を手動にて削除と消去する。 regedit.exeで HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 「値:Windir = "C:\windows\winrun.exe」を削除 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 「値:Sysdir = "C:\winnt\winrun.exe"」を削除 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 「値:winrun = "C:\windows\winrun.exe"」を削除 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 「値:winur = "C:\winnt\winrun.exe"」を削除 という処理を行おうとしたのですが、肝心のファイルが レジストリエディタで開いても、隠しファイルも全て表示しても存在しません。 RUNのなかにあるのは、cffmon.exe と MsnMsgr というファイルしか見つかりません。 OSはXPなのですが、どうすればよいのでしょう? 教えてください。お願いします。

  • スタートアップではなくレジストリで自動実行

    スタートアップではなくレジストリで自動実行するには Regeditコマンドの後に HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runまで進み、新規に文字列値それで値を "C:\Program Files\App\file.exe" でいいんでしょうか? レジストリをいじるのが恐ろしくてビビッてるんですが これであってるでしょうか? これでミスって動かなくなるとかありますか?

その他の回答 (1)

  • 回答No.1

こんにちは。 私はクラッカーサイト巡りや対策ソフトの性能テストなどをしております。 まあ、お手軽なものとしては各種Rootkitスキャン系のものやExRegViewなど。肝はSSDT(System Service Description Table)じゃないですかね。ちなみに私はKernel Detectiveなるものを使うときがあります。Rootkitスキャン系ならMcAfee Rootkit DetectiveやJoanna RutkowskaさんのSystem Virginity Verifierなどがおすすめ。 ここ最近はMemory Forensicsが話題になってるみたいよ。

共感・感謝の気持ちを伝えよう!

質問者からのお礼

ありがとございました。

関連するQ&A

  • Win 7 コントロールパネルのことです。

    コントロールパネルのいらないアイコンを消したいのですが、インターネットで調べたところ「regedit」と入力して「OK」ボタンをクリックする。レジストリエディタが起動したら、次のようにキーをたどる。 HKEY_CURRENT_USER→Software→Microsoft→Windows→CurrentVersion→Policies→Explorer とあり、レジストリーファイルを開いたところ、HKEY_CURRENT_USER→Software→Microsoft→Windows→CurrentVersion→PoliciesまではあるのですがExplorer がありません。探し方が悪いのでしょうか? OSはWin 7 64ビットです。どなたか詳しい方、教えていただけないでしょうか。

  • スタートアップ項目にRunDll32 cmicnfgがありますがこれは何でしょうか?

    詳細です。 《コマンド》RunDll32 cmicnfg.cpl,CMICtrlWnd 《場所》HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 他のPCでも調べるとコマンドの方にRUNDLL32.EXE C:\WINDOWS~とあります。 検索してもめぼしい内容が見つかりませんでした。 ご存知の方お願いいたします。

  • 自分でやった覚えのない変更がありました。

    初めて質問します。よろしくお願いします。 ウイルスバスター2007を使っているのですがソフトウェア警戒システムで見つかった変更のスタートアップ領域のなかにこんな変更がでました。  レジストリキー HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceobjectDelayLoad レジストリ名 WPDShServiceobj レジストリキー HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\Run レジストリ名 OSD がコンピュータの起動時にプログラムが自動起動されるようなエントリーが、システムレジストリに設定されていますとあるのですが大丈夫なのでしょうか?それともスパイウェアの仕業なのでしょうか?  一応危険度は低ですが自分で設定した覚えもないので不安です。  

  • ウィルス感染BKDR_SDBOT.DP

    今日PCをリカバリーしてウィルスバスターにて検索スキャンした所BKDR_SDBOT.DPというウィルスがC:\WINDOWS\SYSTEM32\MSCONFIG.EXEから検出されました。トレンドマイクロのHPでみるとレジストリーキーの削除となっておりますが場所: HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunServices 値 : Microsoft Update = "navmgrd.exe" 場所: HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run 値 : Microsoft Update = "navmgrd.exe" 場所: HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run 値 : Microsoft Update = "navmgrd.exe" レジストリーにnavmgrd.exeはありません。どう削除したらよいか教えて下さい。

  • Nanakoという未知の拡張子発見

    CCleanerにてレジストリの問題点をスキャンしました。 <結果> 使われていない拡張子.Nanako HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.Nanako 見つからないMUI履歴C:\DOCUME~1\OKABEH~1\LOCALS~1\Temp\jre-6u7-windows-i586-p-iftw_bdb28397.exe    HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache なんですかねこれ…セキュリティーソフトや各種ソフトまたオンラインスキャンにもひっかかりませんしお手上げです。

  • XPのスタートアップの設定場所

    スタートアップのときに不要なアプリを起動しないようにしたいと重い、 msconfigというツールで起動しないように設定をしたのですが、 そもそも設定がある場所が不明な物があります。 具体的にいうと"SOFTWARE¥Microsoft¥Windows¥CurrentVersion¥Run"となっているものです。 レジストリエディタで見てもそのようなキーはなさそうなのですが これらの設定はどこにあるのでしょうか?

  • 「HKEY_LOCAL_MACHINE\SOFTWARE・・・・・」のある場所がわからないんです。

    レジストリエディタの中にある「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run」のある場所がわかりません。 細かく具体的に教えていただけないでしょうか。 やはり、ひとつひとつ開けていかないといけないのでしょうか? よろしくお願いいたします。

  • msconfigのスタートアップ項目に同じものが二つある

    《スタートアップ項目》qttask 《コマンド》"C:\Program Files\QuickTime\qttask.exe" -atboottime 《場所》HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run これが二つのあるのですがどうすれば消えるのでしょうか? またこれは二つ起動している状態なのでしょうか? そして何をしたときに出来てしまったのでしょうか? 分かる方いましたらお願いします!!

  • コンテンツアドバイザー消去について

    無効になっているのに コンテンツアドバイザーが出てしまうので スタートをクリックして 『ファイル名を指定して実行』をし regeditをクリックして HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ratingsを開いたまではいいんですが。 Ratingというフォルダーがなく出来ないのですがどうすればコンテンツアドバイザーが消去出来るか教えてください。

  • ibm0001.exeが削除できないんです。知恵をかしてください。

    度々申し訳ありません。 「"C\Program Files\Common File\Micrsoft Shared\ibm0001.exe"が見つかりません。名前を正しく入力したかどうかを確認してから、やり直してください。」が常に出ます。 という質問のご回答をたくさんいただきました。 ありがとうございました。 現在の状況を結論から述べますと、未解決のままなんです。 私が皆さんから教えていただいた中で行った手順ですが、 まず、レジストリエディタを起動させ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run にShellという名前のキーがあるか探しました。 が、Shellという名前のキーはなく、一応覗いたのですがibm0001.exeは 見つからなかったのです。 次に、msconfig を起動して、スタートアップにある ibm0001 を無効に切り替え、regedit を起動し、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run にあると思われるibm0001.exe のアイテムを削除しよとしたのですが、 スタートアップのところでibm0001.exeのチェックをはずし、再起動 したのですが、起動後またもや再起動案内が出没しそれを3回おこなって もibm0001.exeが出現する状態は変わらず、逆になぜかブラウザが、クラッシックバージョンになってしまいました。 現在も同じ状態です。 またまた、皆さんのお力をお借りしようと思いまして、投稿いたしました。何か方法はないでしょうか? 教えて下さい。 よろしくお願いいたします。