04/08/02 23:37
>>50
わかります。客観的なご意見をいただけるだけでも有り難いと思っております。
52:名無しさん@お腹いっぱい。
04/08/02 23:38
>>48
家計簿やるなよ
53:名無しさん@お腹いっぱい。
04/08/02 23:43
出来るだけ、鑑定してやらないと
協力してくれる人居なくなるぞ。
54:名無しさん@お腹いっぱい。
04/08/02 23:44
>>50 ( ´_ゝ`)
>>51 マジレスしない
今HijackThis見ている人って、俺以外で何人いらっしゃいますか?
フィルターに引っかかっている問題ありエントリーはなしで、フィルターの
表示なし分を調べ中です。ちょっと(もしかしたらかなり)俺は時間かかるかも。。。
55:名無しさん@お腹いっぱい。
04/08/02 23:53
俺以外で何人いらっしゃいますか?
>いないみたい
56:名無しさん@お腹いっぱい。
04/08/03 00:59
>>55 工エェ(´Д`)ェエ工
>>35-48さん 一応の分析結果です。フィルタ以外のもののみ。(フィルタは全て問題なしです)
googleでも一切ヒットしないもの
O2 - BHO: (no name) - {4DAA6426-E46D-20CE-8000-64550CD32B4D}- C:\WINDOWS\System32\bilcmavq.dll
googleでヒットはあるが、情報がないもの
O4 - HKCU\..\Run: [Tars] C:\Documents and Settings\Owner\Application Data\utwb.exe
富士通関連のもの
O4 - HKLM\..\Run: [FJUPDNV_Chitose] C:\Program Files\Fujitsu\chitose\chitose.exe
O4 - Global Startup: ダイヤルアップ チェッカー.lnk = C:\Program Files\ChIntCal\CHINTCAL.EXE
O4 - Global Startup: 富士通サービスアシスタント.lnk = C:\Program Files\Fujitsu\sa\bin\matcli.exe
Microsoft Office関連のもの
O9 - Extra button: リサーチ - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O18 - Protocol: msjwwdat - {BAAB02DC-913E-40AA-B9ED-8068DEE42CFA} - C:\Program Files\Microsoft Office\Home Style\JWW\JWWData.dll
不明情報のみあるもの
O16 - DPF: {48B35AC2-CFCE-4DF7-8B39-C3EB6F5DD111} (DreamTechnologies MADO Image Viewer Control) - URLリンク(download.sfd.co.jp) ←▲HijackThis 016List Bエントリー(評価未定)
お好みで取捨(被害対策の部屋)
O4 - HKLM\..\Run: [IMJPMIG9.0] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMJP9\IMJPMIG.EXE /Preload /Migration32 ← ▲IME関係エントリー、好みで取捨(被害対策)
問題なしエントリ
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - URLリンク(security.symantec.com) ←●HijackThis 016List Aエントリー(問題なし)
57:56
04/08/03 01:03
>>56の続きです。
googleで検索しても出てこないBHOがやや?ですが、FIX指示を出す程の根拠はないので今のところは放置。
同じく情報のない04エントリー(Tars)も、一応今のところは放置。
未分類の016エントリー(DreamTechnologies MADO Image Viewer Control)も今のところは放置。
後のエントリはおそらく問題ないだろうと私は思います。あまり自信はないので他の人からの指摘大歓迎。
つまり、HijackThisでFixしなければならないようなエントリは、私の見た範囲では、特にはなさそうです。
もし不安を感じるようでしたら、以下のスレッドに目を通してみて、
フリーのアンチトロイソフトを導入してみてもいいかもしれません。
もしかしたらノートン先生が見逃していたトロイが引っかかるかも?
☆☆トロイの木馬☆☆2台目
スレリンク(sec板)
あとは、キャッシュの削除とかの掃除をこまめにやるのと、たくさんのプログラムが入っていますので
必要ないものの常駐を切るとか、その程度しか私には助言できそうにありません。申し訳無い。
58:56
04/08/03 11:49
>>57の続きです。
他の人に「これはFixして下さい」と指示するまでは言えませんが、自己責任でいじってみるのならこの辺かな?という感じです。
O2 - BHO: (no name) - {4DAA6426-E46D-20CE-8000-64550CD32B4D}- C:\WINDOWS\System32\bilcmavq.dll
該当ファイルのプロパティを確認してみて、メーカー名などを確認してみる。
覚えの無いメーカーならばこれだけFixして一回再起動してみる。問題が起こったらバックアップから戻す。
O4 - HKCU\..\Run: [Tars] C:\Documents and Settings\Owner\Application Data\utwb.exe
該当ファイルのプロパティを確認してみて、必要がなければFixしてみる。問題が起こったらバックアップから戻す。
(HijackThisのディレクトリと同じところにありますから、きっと>>35-48さんは「C:\Documents and Settings」に
色々とダウンロードしたファイルを置いてらっしゃると思いますので)
59:名無しさん@お腹いっぱい。
04/08/03 16:00
PC初心者板の「エロサイト見たら…助けてください」スレから誘導されてきました870です。
宜しくお願いします。以下が現在のものとなります。
Logfile of HijackThis v1.98.0
Scan saved at 16:00:23, on 2004/08/03
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\PCCIOMON.EXE
C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\PCCPFW.EXE
C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\TMPROXY.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\IMEJPMGR.EXE
C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
60:59
04/08/03 16:01
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\SYSTEM\LVCOMS.EXE
C:\WINDOWS\SYSTEM\HIDSERV.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAM FILES\ARVEL\クリエーションマウス コンビ\5.3\MOUSE32A.EXE
C:\WINDOWS\SYSTEM\INTERNST32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\NECTVRC\TVRC.EXE
C:\PROGRAM FILES\VIA TECHNOLOGIES, INC\VIA AUDIO DRIVER SETUP PROGRAM\AUDIODECK\AUDIODECK.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\WINDOWS MEDIA COMPONENTS\ENCODER\WMENCAGT.EXE
C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\PCCGUIDE.EXE
C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\PCCLIENT.EXE
C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\TMOAGENT.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\PCCMAIN.EXE
C:\WINDOWS\デスクトップ\新しいフォルダ\HIJACKTHIS.EXE
61:59
04/08/03 16:02
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll
O3 - Toolbar: @msdxmLC.dll,-1@1041,ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [MSPCLOCK] rundll32.exe /N streamci,StreamingDeviceSetup {97ebaacc-95bd-11d0-a3ea-00a0c9223196},{53172480-4791-11D0-A5D6-28DB04C10000},{53172480-4791-11D0-A5D6-28DB04C10000}
O4 - HKLM\..\Run: [MSPQM] rundll32.exe /N streamci,StreamingDeviceSetup {DDF4358E-BB2C-11D0-A42F-00A0C9223196},{97EBAACB-95BD-11D0-A3EA-00A0C9223196},{97EBAACB-95BD-11D0-A3EA-00A0C9223196}
O4 - HKLM\..\Run: [MSKSSRV] rundll32.exe /N streamci,StreamingDeviceSetup {96E080C7-143C-11D1-B40F-00A0C9223196},{3C0D501A-140B-11D1-B40F-00A0C9223196},{3C0D501A-140B-11D1-B40F-00A0C9223196}
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe
O4 - HKLM\..\Run: [Hidserv] Hidserv.exe run
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\Arvel\クリエーションマウス コンビ\5.3\MOUSE32A.EXE
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\internst32.exe internet.dll,LoadNetworkProfile
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
62:59
04/08/03 16:07
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [PCCIOMON.exe] "C:\Program Files\Trend Micro\Virus Buster 2004\PCCIOMON.exe"
O4 - HKLM\..\RunServices: [PccPfw] C:\Program Files\Trend Micro\Virus Buster 2004\PccPfw.exe
O4 - HKLM\..\RunServices: [tmproxy] C:\Program Files\Trend Micro\Virus Buster 2004\tmproxy.exe
O4 - HKCU\..\Run: [NEPGRsvReScheduler] C:\Program Files\NEC\SmartVision\NEPGRsvReSche.exe
O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
O4 - Startup: SmartVisionリモコン.lnk
O4 - Startup: AudioDeck.lnk = C:\Program Files\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
O4 - Startup: Encoder Agent.lnk = C:\Program Files\Windows Media Components\Encoder\WMENCAGT.EXE
O4 - Startup: Startup.lnk = C:\No regist Files\StartupEX\Startup.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - URLリンク(www.mt-download.com)
O21 - SSODL: AUHook - {BCBCD383-3E06-11D3-91A9-00C04F68105C} - C:\WINDOWS\SYSTEM\AUHOOK.DLL
以上です。OSは先のとおりMeです。
症状はホームページがwww.selfsearch.comに指定されてしまい、
ステータスバーにはDoneと表示され、全てのサイトが信頼済みとなってしまいます。
また、数分おきに変なサイトが開き、サイト上のリンク先がmoreporn.biz/new/index.phpと一部がなってしまいます。
たとえば>>57で書いてあるURLのリンクもmoreporn.bizとなってしまっています。
VB,Spybot,Ad-aware,CWShredderは既に実行済みで、問題は解決しません。
現在は、VBの設定で2ch以外のサイトへのアクセスを停止して対処していますが、緊急的なものに過ぎません。
自己責任でやりますので、何方か宜しくお願いいたします。
63:仮HN
04/08/03 16:28
誘導されてきましたのでお願いします。
●CWShredderを使用しましたがCoolWWWSearchというのが一時的には消えますが再起動すると元に戻ります
●ノートンでBackdoor.Agent.Bの感染警告が常に表示されます。しかしスキャンすると異常は出ません。
以下ログです。
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
C:\Program Files\Intel\Intel Application Accelerator\iaanotif.exe
C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\DSentry.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Dell\Media Experience\PCMService.exe
64:仮HN
04/08/03 16:28
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\hh64orPE.exe
C:\WINDOWS\System32\pjjkvkt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\winmm64.exe
C:\Documents and Settings\kim\Application Data\sacb.exe
C:\WINDOWS\System32\soq.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Program Files\Intel\Intel Application Accelerator\iaantmon.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\kim\デスクトップ\Hijackthis\HijackThis.exe
O2 - BHO: twaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IDN Helper Object - {118CE65F-5D86-4AEA-A9BD-94F92B89119F} - C:\WINDOWS\DOWNLO~1\CNSMIN~1.DLL (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {6DF96C7E-CC6F-0AB8-D570-17550FD12918} - C:\WINDOWS\System32\qsbl.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: ICOO Loader BHO - {B9D90B27-AD4A-413a-88CB-3E6DDC10DC2D} - C:\WINDOWS\msopt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
65:仮HN
04/08/03 16:29
O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
66:仮HN
04/08/03 16:30
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Application Accelerator\iaanotif.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\Media Experience\PCMService.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [hh64orPE] C:\WINDOWS\system32\hh64orPE.exe
O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\olecom32.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [phkkidnvqipup] C:\WINDOWS\System32\pjjkvkt.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpywareGuard] C:\WINDOWS\system32\winmm64.exe
O4 - HKCU\..\Run: [hh64orPE] C:\WINDOWS\system32\hh64orPE.exe
O4 - HKCU\..\Run: [Eheu] C:\Documents and Settings\kim\Application Data\sacb.exe
O4 - HKCU\..\Run: [Nlbof] C:\WINDOWS\System32\soq.exe
67:仮HN
04/08/03 16:31
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {2C079F28-EE92-4700-A44B-AF5FA285FCCA} (HanGamePluginJP16 Class) - URLリンク(down.hangame.co.jp)
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - URLリンク(software-dl.real.com)
O16 - DPF: {924DDE3B-68F6-49E8-B469-33FB198EDD73} (SagaLauncher Class) - URLリンク(www.hangame.co.jp)
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - URLリンク(www.mt-download.com)
O16 - DPF: {B74F5519-5893-4F7F-974D-96E105A3C3A8} (KingDomLauncher Class) - URLリンク(www.hangame.co.jp)
O16 - DPF: {E549AC3F-9A90-4EBF-AF69-8B8CC0954DB2} (ToonsXYahooJapan Control) - URLリンク(comics.yahoo.co.jp)
O17 - HKLM\System\CCS\Services\Tcpip\..\{239347D8-CEC9-490C-B6C8-85B4944CCF4E}: NameServer = 203.139.160.73,203.139.161.39
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll
O20 - AppInit_DLLs: C:\WINDOWS\System32\hlpcdm.dll
68:仮HN
04/08/03 16:31
プログラムの追加と削除には特に怪しいものはありませんが。
気になるのが一つ、Search Assistant Uninstallというやつです。
鑑定お願いします
69:名無しさん@お腹いっぱい。
04/08/03 16:46
まず最初に>>59-62さん
えーと、向こうで「ログおかしくない?」って言った者ですが
向こうのログと比較して、016がこっちでは新しく現れてますよね。
それから、「全てのサイトが信頼済みとなってしまいます」なのに、
HijackThisに全く出てきていないのも不思議ですよね。
(HijackThisには信頼済サイトになっているものはログに出てきます)
向こうで指示されたCWS関連のエントリは、削除したが復活したのでしょうか?
それとも、削除していないのでしょうか?
HijackThisにこの辺の矛盾があるので、向こうで「おかしくない?」と言っていたのですが。
最初に、まずWindowsUpdateをやって下さい。おそらくやっていないはずです。
>MSIE: Internet Explorer v5.50 (5.50.4134.0100)
次に、このページを参考にして、ウィルスバスター2004が、最新のパターンファイル、
検索エンジンの状態になっているかを確認して下さい。もしなってなければアップデートして下さい。
URLリンク(www.trendmicro.co.jp)
確信がある訳ではないですが、どうもウィルスのように思われる怪しいエントリーが見受けられます。
アップデートで最新の定義になったら、全てのファイルに対してもう一度ウィルススキャンをかけてみて下さい。
一応その段階で、HijackThisを取らずに、先に状況報告を下さい。(ウィルスが検知されたかどうか、など)
70:69
04/08/03 16:50
失礼、訂正です
>向こうで指示されたCWS関連のエントリは、削除したが復活したのでしょうか?
>それとも、削除していないのでしょうか?
削除をFixに置き換えてください。Fixしたのに戻ったのでしょうか?それともFixしてないのでしょうか?
71:69
04/08/03 16:56
あと、>>59-62さんの場合は「****.biz」に飛ばされるという事なので
URLリンク(higaitaisaku.web.infoseek.co.jp)
ここを参照してみてください。これの亜種の可能性があります。
(このスパイウェアの場合は、HijackThisのログに出てきません)
72:69
04/08/03 17:23
続いて>>63-68さん
まず、CnsMinが入っている状態なので、
コントロールパネルのアプリケーションの削除から、
「Jword」などのプログラムがあった場合にはこれを削除して下さい。
CnsMinの除去方法 (ここを参考に)
URLリンク(higaitaisaku.web.infoseek.co.jp)
>>68の「Search Assistant Uninstall」は、下を参照して、
症状が当てはまらない場合には同じくコントロールパネルから削除して下さい。
(症状が当てはまる場合には、アンインストールしないで下さい)
URLリンク(higaitaisaku.web.infoseek.co.jp)
次に、本来Spybotで検出されるはずのrelated.htmが残っている状態です。
なので、Spybotの「製品の除外」を見て、全てチェックが入っていない事を
確認して下さい(チェックが入っている場合は、チェックマークを外してください)。
また、スキャンする時に「全てのファイルをスキャン」で再度やってみて下さい。
73:69
04/08/03 17:27
それから、>>59-62さん、>>63-68さんお二人ともですが
URLリンク(higaitaisaku.web.infoseek.co.jp)
このウィルスに感染していると思われます。
まずアンチウィルスソフトの定義・プログラムが最新かどうかを確認してみて、
最新でない場合にはアップデートして下さい。
その上で、全てのファイルを再度スキャンしてみてください。
駆除方法は、上記ページと、各アンチウィルスベンダーのデータベースを参照。
74:名無しさん@お腹いっぱい。
04/08/03 17:57
>>59-62さん
向こうで、他の方からあなたにこういうアドバイスが出ていますので、
併せて確認してみて下さい。
スレリンク(pcqa板:927番)
75:59
04/08/03 19:00
>>69さん
有難う御座います。ご報告いたします。
WindowsUpdate:全て完了いたしました
ウイルスバスター:最新版のようです。
検査の結果:問題はありませんでした。
(但し数回リアルタイム検索状態でウイルスが発見、隔離されているようです)
>向こうのログと比較して、016がこっちでは新しく現れてますよね。
ここに張りましたログは16時頃に検索した最新のものだったためと思われます。
>それから、「全てのサイトが信頼済みとなってしまいます」なのに、
>HijackThisに全く出てきていないのも不思議ですよね。
>(HijackThisには信頼済サイトになっているものはログに出てきます)
それは私にはなんとも。。。不可解なことだというのは分かりましたが。。。
>向こうで指示されたCWS関連のエントリは、削除したが復活したのでしょうか?
>それとも、削除していないのでしょうか?
削除しましたが復活しています。
また、ウイルスの亜種の件ですが、最初の確認の際systemという項目がなかったため
これではないと思います。
>>74さん
ご報告有難う御座います。ただ今確認中です。
76:名無しさん@お腹いっぱい。
04/08/03 19:29
>>75
リアルタイム検索で隔離されているウィルスを、駆除してみて下さい。
(隔離=メイン実行ファイルだけを別の場所に置いている状態なので、
当然レジストリその他は、全く修復されない状態のままです)
ウィルスバスターは良く知らないのですが、もしリアルタイム駆除が
可能ならば、リアルタイム駆除に切り替えた方が良いかと思います。
あとトレンドマイクロのページには、「ウィルスデータベース」があるはずですから、
検出されたウィルス名で検索して、きちんと駆除できているかどうかを手動で
確認してみると良いと思います。
ウィルスの亜種の件ですが、↑で駆除した後もまだ症状が残っているなら、
上で紹介したページの手法を実際に一度試してみて下さい。
亜種の可能性があるとは、「必ずしもsystemの項目であるとは限らない」という事です。
別のファイル名にして、駆除されるのを防ごうとしている可能性は考慮に入れましょう。
大手術で切る場所はできるだけ少なくするために、まずは上のようにやってみましょう。
その後、まだ直らないようならば再度HijackThisを取ってみて、全部貼って下さい。
77:59
04/08/03 20:19
遅れてすみません。システムがかなり不安定になってきてエラーがでてばっかりだったので。。。
駆除はできないようです。ファイルの削除は何度かしましたが、復活してしまいます。
亜種の件ですが感染したCLSIDがわからないのですが。。。もしかしてsystem以外の項目のCLSIDのことですか?
発見されたウイルスは以下のとおりです。
URLリンク(www.trendmicro.co.jp)
URLリンク(www.trendmicro.co.jp)
78:名無しさん@お腹いっぱい。
04/08/03 20:33
向こうのスレッドの
スレリンク(pcqa板:944-947番)
これを考え合わせると、以下のエントリをHijackThisでFixしてみてください
(Regeditで消すのも同じ事ですが、こっちならばやりなおせるので)。
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
まずこれをFixしてみて、再起動で症状が改善しているかどうかをやってみて下さい。
79:名無しさん@お腹いっぱい。
04/08/03 20:49
>>77の2つはこれですね
PurityScan
URLリンク(higaitaisaku.web.infoseek.co.jp)
WindowsSA
URLリンク(higaitaisaku.web.infoseek.co.jp)
まず、ここの内容を読んでおいて下さい。
トレンドマイクロのページで、「レジストリエディタ(Regedit)で削除して下さい」というのは、
HijackThisでは04のエントリーになります。
ウィルスとして検出されたファイル名をメモに取って、そのファイル名と同じエントリーが
あるものを全てFixしてみて下さい。
80:59
04/08/03 20:54
大変遅くなりました。
>>78のFixは完了しましたが、問題は解決しませんでした。。。
あと>>79のリンク先が先にいったとおりmoreporn.bizに変わってしまい分からないので、
お手数ですが、次回返信時にhttp://~といった形で書いてもらえますでしょうか?
>>79のFixはこれから試してみます。
81:59
04/08/03 20:59
連書き申し訳ありません。
>>79をHijackThisで探してみましたが、ウイルスとして検出されたファイル名に
該当するエントリーは発見できませんでした。。。
82:名無しさん@お腹いっぱい。
04/08/03 21:34
>>81
ウィルスとして検出されたファイルは、既に削除済ですか?まだ残っていますか?
83:59
04/08/03 21:53
既に削除しています。
なお、現在のところ、リアルタイム検索で発見には至っていません。
84:名無しさん@お腹いっぱい。
04/08/03 21:59
IEを立ち上げたときに青い画面が表示されます。
Detected SPYware! System error #384とかいてあります。
お願いします。
Logfile of HijackThis v1.98.0
Scan saved at 21:58:43, on 2004/08/03
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAM FILES\FUJITSU\FUJITSU QUICK TOUCH\QUICKTOUCH.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\FUJITSU\BTNHND\BTNHND.EXE
85:84
04/08/03 21:59
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\CTFMON.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAM FILES\DI\HATCHINSIDE\HATCHINSIDE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\デスクトップ\HIJACKTHIS\HIJACKTHIS.EXE
C:\WINDOWS\SYSTEM\IMEJPMGR.EXE
C:\WINDOWS\デスクトップ\BEGINNERTOOL 121\BEGINNERTOOL 121.EXE
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\YAHOO!\COMPAN~1\YCOMP5~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll (file missing)
O2 - BHO: (no name) - {3BFF365D-E942-2EE5-8753-60550DA7291F} - C:\WINDOWS\SYSTEM\YJDIENFW.DLL (file missing)
O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Yahoo!ツールバー - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\ycomp5_3_15_0.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [PCTVOICE] pctvoice.exe
O4 - HKLM\..\Run: [FMVSCAN] c:\fjuty\fmvscan\fmvscan.exe
86:84
04/08/03 22:01
O4 - HKLM\..\Run: [Alogserv] C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe
O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\Program Files\Fujitsu\Fujitsu Quick Touch\QuickTouch.exe
O4 - HKLM\..\Run: [LoadBtnHnd] C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: hatchinside.exe.lnk = C:\Program Files\DI\HatchInside\hatchinside.exe
O4 - Startup: EPSONプリンタウインドウ!3 環境設定(2).lnk = C:\WINDOWS\SYSTEM\E_SRCV02.EXE
O4 - Startup: JSクイックサーチファイル 自動更新.LNK = C:\JUST\JSLIB32\JSQSF32.EXE
O4 - Startup: JSクイックランチ.LNK = C:\JUST\JSLIB32\JSQLNCH.EXE
O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O8 - Extra context menu item: &Google Search - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR3.DLL/cmsearch.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR3.DLL/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR3.DLL/cmsimilar.html
87:84
04/08/03 22:02
O8 - Extra context menu item: Backward &Links - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR3.DLL/cmbacklinks.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: Yahoo! メッセンジャ- - {CEBF73C0-BA2E-11d4-A73A-00508B33FB82} - C:\PROGRAM FILES\YAHOO!J\MESSENGER\YPAGERJ.EXE
O9 - Extra 'Tools' menuitem: Yahoo! メッセンジャ- - {CEBF73C0-BA2E-11d4-A73A-00508B33FB82} - C:\PROGRAM FILES\YAHOO!J\MESSENGER\YPAGERJ.EXE
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O16 - DPF: {8123E390-5EF7-11D5-A72E-006097BFA1AC} (EPSON Driver Auto-Install Control Class) - URLリンク(www.i-love-epson.co.jp)
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - URLリンク(fdl.msn.com)
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - URLリンク(a1540.g.akamai.net)
O16 - DPF: {B67E0278-CD82-4CCA-AD9D-C1FBF538774A} (XPink.XPinkCtl) - URLリンク(cc.st82.arena.ne.jp)
88:名無しさん@お腹いっぱい。
04/08/03 22:04
O16 - DPF: {B15108AA-D8D0-480D-B535-07E18D6549A8} (XBurger.XBurgerCtl) - URLリンク(www.eromax.com)
O16 - DPF: {69A4F9FF-E915-11D5-A9F1-009099104002} (XDialer Class) - URLリンク(www.slashpink.net)
O16 - DPF: {4BF9BC08-8571-4E2B-AECF-EC8C9E287C04} (DialerX Control) - URLリンク(www.asia-telemedia.com)
O16 - DPF: Yahoo! Chat JP 2 - URLリンク(cs.chat.yahoo.co.jp)
O16 - DPF: {DAE3A970-40F5-11D4-9E73-0030430005BE} (AutoConnect Class) - URLリンク(home.att.ne.jp)
O16 - DPF: {00001007-B15C-11D4-97A4-0050BF0FBE67} (NetmarbleJapanStarter Class) - URLリンク(www.netmarble.ne.jp)
O16 - DPF: {4085F8D0-D76A-4B1D-A82E-D580BDF14FD8} (HanGamePluginJP12 Class) - URLリンク(www.hangame.co.jp)
O16 - DPF: {29F5DFC6-6A4B-47DB-BCF4-5A74F7CBFF43} (HanGamePluginJP13 Class) - URLリンク(www.hangame.co.jp)
O16 - DPF: {9AB3A076-8870-4D98-BD2A-01BD1634C74C} (zxc) - URLリンク(www.2233.tv)
O16 - DPF: {E8946F74-DAF3-4D7F-8988-A54E380D8D89} (sub2tv コントロール) - URLリンク(www.2233.tv)
O16 - DPF: {A909CE70-E483-4BD2-848C-B1842508760E} (MuLauncher Class) - URLリンク(www.hangame.co.jp)
O16 - DPF: {1C9D421B-ACBC-48BB-9CED-51368BC1CE31} (HgArcadePluginJP3 Class) - URLリンク(battlecart.hangame.co.jp)
O16 - DPF: {79E0C1C0-316D-11D5-A72A-006097BFA1AC} (EPSON Web Printer-SelfTest Control Class) - URLリンク(www.i-love-epson.co.jp)
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - URLリンク(lw9fd.law9.hotmail.msn.com)
89:名無しさん@お腹いっぱい。
04/08/03 22:06
O16 - DPF: {B469C508-9A75-4A62-BFA9-62802D653A4B} (HanGamePluginJP15 Class) - URLリンク(down.hangame.co.jp)
O16 - DPF: {0A7C1A7A-5100-42C9-94A8-F803B2E24CE0} (BaBoo Class) - URLリンク(219.101.200.198)
O16 - DPF: {57A3B6F7-E1C0-4A11-B2E5-F3D0DA12E754} (StoneAgeLauncher Class) - URLリンク(www.hangame.co.jp)
O16 - DPF: {2C079F28-EE92-4700-A44B-AF5FA285FCCA} (HanGamePluginJP16 Class) - URLリンク(down.hangame.co.jp)
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://C:\foo.mht!URLリンク(66.230.145.49)
O16 - DPF: {B74F5519-5893-4F7F-974D-96E105A3C3A8} (KingDomLauncher Class) - URLリンク(www.hangame.co.jp)
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (&Yahoo!ツールバー) - URLリンク(dl.companion.yahoo.co.jp)
O16 - DPF: {924DDE3B-68F6-49E8-B469-33FB198EDD73} (SagaLauncher Class) - URLリンク(www.hangame.co.jp)
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!URLリンク(213.159.117.133)
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - URLリンク(www.mt-download.com)
O16 - DPF: {10003000-1000-0000-1000-000000000000} - its:mhtml:file://c:MAIN5774.MHT!URLリンク(213.159.118.226)
O18 - Protocol: ndwiat - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\SYSTEM\WIASCR.DLL
O18 - Protocol hijack: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B}
90:84
04/08/03 22:06
O18 - Protocol hijack: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\SYSTEM\urlmon.dll
O18 - Protocol: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\SYSTEM\urlmon.dll
O18 - Protocol hijack: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol hijack: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\SYSTEM\urlmon.dll
O18 - Protocol: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\WINDOWS\SYSTEM\urlmon.dll
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - Protocol hijack: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B}
O18 - Protocol: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - Protocol hijack: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6}
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\SYSTEM\ITSS.DLL
O18 - Protocol: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - C:\WINDOWS\SYSTEM\INETCOMM.DLL
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol hijack: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D}
O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
O18 - Protocol: vnd.ms.radio - {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O21 - SSODL: AUHook - {BCBCD383-3E06-11D3-91A9-00C04F68105C} - C:\WINDOWS\SYSTEM\AUHOOK.DLL
O21 - SSODL: System - {F6542A5E-9820-454A-8A9C-BE4662BD4721} - C:\WINDOWS\system32\system32.dll
91:84
04/08/03 22:08
>>88も84です。
おねがいします。
92:名無しさん@お腹いっぱい。
04/08/03 22:10
>>84
このファイルがもうないよ、ってのを最初にレジストリから削除してみたら?
O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll (file missing)
O2 - BHO: (no name) - {3BFF365D-E942-2EE5-8753-60550DA7291F} - C:\WINDOWS\SYSTEM\YJDIENFW.DLL (file missing)
93:名無しさん@お腹いっぱい。
04/08/03 22:15
>>91
ウイルスチェックしたか。
それと、ここに貼る前に、エロ助の
テンプレやってからにしろよ
ザッと見ただけでも悲惨な状態だよ。
94:名無しさん@お腹いっぱい。
04/08/03 22:20
>>84-91
今回出ている症状以外にも、多数のスパイウェア感染がありますので、まず
HijackThisで直されるより先に、こちらのスレのテンプレを実行してみて下さい。
エロサイト見たら…助けてください!Part35
スレリンク(pcqa板)
あと、あなたの症状はこちらのページを参考にしてみて下さい。
URLリンク(higaitaisaku.web.infoseek.co.jp)
>>83さん
以下のエントリをFixしてみて、一度PCを再起動してみて下さい。
その後、再度向こうのスレのテンプレをやってみて下さい。
O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - URLリンク(www.mt-download.com)
95:名無しさん@お腹いっぱい。
04/08/03 22:20
>>84
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
これ、自分で信頼済みに登録したの?
これらのサイトに行ったら、全部勝手に何でもインストールされてしまうよ。
それとソフトを使ってスパイウェアをまず削除する事。
96:59
04/08/03 23:18
>>94さん
有難う御座います。
削除した結果右下の「信頼済みサイト」表示が「インターネット」に。
「Done」の表示が「ページが表示されました。」に。
***.bizだったリンクが元に戻りました。
しかし、ホームページの設定だけはなぜか戻りません。
selfsearch.bizのままとなってしまいます。
また、現在でも全体的にシステムが重いような気がします。
97:94
04/08/03 23:24
キタ━━━(゚∀゚)━━━ !!!!!
どうやら、復活しているスパイウェアエントリの根源はこれだったようです。
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe
Gaobotというウィルスとの事です。
トレンドマイクロのデータベースには該当が多すぎてどれか特定できませんでしたが。
ホームページの設定が戻っていないというのは、どこのページに行っても
まだ勝手にselfsearch.bizになってしまう状態という事でしょうか?
98:59
04/08/03 23:36
>>97
具体的にいうと新しいウインドウを開いたときなどにabout:blankに設定しても
またselfsearch.bizにアクセスし、設定も戻ってしまっている、ということです。
やたらと新しいウインドウが開くのが遅いので(システム全体が重い)、これと何か関係があるのでしょうか?
99:94
04/08/03 23:44
テンプレが再度全て終わっているならば、HijackThisを起動してみて下さい。
まず最初に、>>94でFixしたはずのエントリーが復活しているかいないかを確認して教えて下さい。
>O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\internst32.exe internet.dll,LoadNetworkProfile
次に、この該当ファイルのプロパティを確認してみて下さい。
Windowsと無関係の場合には、これをFixしてみて、再起動して下さい。
100:通りすがり
04/08/03 23:57
>>88は誰も見てあげないの?まぁこんなに有るんじゃね・・・
日本語ダイアラーとかエロサイト動画とかあるみたい。
O16 - DPF: {B15108AA-D8D0-480D-B535-07E18D6549A8} (XBurger.XBurgerCtl)
O16 - DPF: {69A4F9FF-E915-11D5-A9F1-009099104002} (XDialer Class)
O16 - DPF: {4BF9BC08-8571-4E2B-AECF-EC8C9E287C04} (DialerX Control)
O16 - DPF: {9AB3A076-8870-4D98-BD2A-01BD1634C74C}
O16 - DPF: {E8946F74-DAF3-4D7F-8988-A54E380D8D89}
>89は見てないが
O16 - DPF: {11111111-1111-1111-1111-111111111157}
213.159.117.133はロシアだからこれもそうだろう。
101:59
04/08/04 01:33
大変遅くなりました。
>>99さん
有難う御座います。
エントリーの復活は見受けられませんでした。
>O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\internst32.exe internet.dll,LoadNetworkProfile
このファイルをFixし、再起動した結果、ホームページの設定も正常にできるようになりました。
ただ、気になる点がひとつあるのですが、Ad-awareなどで何度検索し、何度削除してもcoolsearch関係のスパイウェアやその他数個のスパイウェアが検出されてしまうのですが、
これは問題ないと割り切ってしまって構わないのでしょうか?
何度もお時間とらせて申し訳ありませんが、宜しくお願いいたします。
102:94
04/08/04 02:05
>>101
本当にお疲れ様でした( ・∀・)つ旦オチャドゾー
一応、ゴミ掃除としてこれもFixしておくと良いかもです。
>O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
IEの「ツール」メニューに項目を追加したり、ボタンなどを追加するものなのですが、
既にボタンリンク先プログラムがないようですから。(おそらくテンプレを実行して駆除された残りカスです)
今回大変な思いをしたスパイウェアの再発を予防するために、
URLリンク(higaitaisaku.web.infoseek.co.jp)
ここの「スパイウェア予防アプリケーション」を見て導入しておくと再発はかなりの割合で防げます。
100%スパイウェアを防ぐ事と言うのはスパイウェアは日々どんどん増えているため不可能ですが、
95%ぐらいは予防と定期的な駆除で防ぐ事は可能ですよ。
(今回の>>59さんの場合は、残り5%の極めて例外的なものだったですけれど、これは仕方ないです)
CWShredderや、Ad-aware、Spybotなどで何度も同じスパイウェアが検出される場合は、
セーフモードで試してみると駆除できる事があります。
あと、今回のように、トロイソフトが入り込んでいて、削除してもまた撒き散らす状態になっている
可能性も十分ありえますので、フリーのアンチトロイソフトを併用すると良いかもです。
☆☆トロイの木馬☆☆2台目
スレリンク(sec板) ←このスレあたりを参考に。
それでも再発する場合は、再度またご相談頂ければと思います。
103:94
04/08/04 02:16
あ、ごめんなさい。最後にゴミ掃除が残ってますね。
現在問題が全く発生していないようならば、以下のFix済のファイルを
検索して、完全にファイルそのものを削除してしまって下さい。
C:\WINDOWS\SYSTEM\services\2.01.00.dll
C:\WINDOWS\SYSTEM\LVComS.exe
C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
C:\WINDOWS\SYSTEM\internst32.exe
C:\Windows\downloaded Program Filesの中に、今回016エントリで
発見されたプログラムファイルがある可能性がありますので、これも削除。
HijackThisのFixは、あくまでもそのエントリの実行を止めるだけなので、
その原因ファイルそのものはFixしただけでは残ってしまいます。
これがテンプレを先に必ずやって下さいという一番の理由だったりします。
104:名無しさん@お腹いっぱい。
04/08/04 02:28
**回答者向けまとめ**(>>59-62)
C:\WINDOWS\SYSTEM\LVComS.exe ←▲Virus(Gaobot)、CWS.Yexe.2の感染源トロイの疑いあり
C:\WINDOWS\SYSTEM\internst32.exe ←▲selfsearch.bizの原因ファイルの疑いあり
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe
←▲Virus(Gaobot)、CWS.Yexe.2の感染源トロイの疑いあり
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\internst32.exe internet.dll,LoadNetworkProfile
←▲selfsearch.bizの原因ファイルの疑いあり
105:名無しさん@お腹いっぱい。
04/08/04 12:38
>>104 、乙
こんな感じでデータベース化して行くのか。
106:59
04/08/04 13:46
>>102-103さん
有難う御座います。Fixは完了しましたが、
C:\WINDOWS\SYSTEM\のservicesフォルダを開こうとすると、
「C:\WINDOWS\SYSTEM\servicesの参照先は現在利用できません。
参照先はこのコンピュータ、ネットワーク、又はホームネットワークの別のコンピュータに存在していた可能性があります。
ディスクが正しく挿入されているか、インターネット又はホームネットワークに接続しているかどうかを確認し、もう一度実行してください。
それでも参照できない場合は、別の場所に移動した可能性があります。」
と表示され、削除を実行することができないのですが、エクスプローラーから隠しフォルダ表示にしても
SYSTEM内にservicesフォルダがないのでこれは無視して構わないんでしょうか?
107:94
04/08/04 14:34
今回、>>59さんが感染していたCWS系ハイジャッカーはこれです。
URLリンク(higaitaisaku.web.infoseek.co.jp)
したがって、名前を変えて居座っている可能性がありえます。
確認方法は>>74の、向こうのスレで指摘された場所(win.ini)を再度確認してみて下さい。
その後、感染しているようならば駆除方法はここを見てみて下さい。
URLリンク(higaitaisaku.web.infoseek.co.jp)
108:名無しさん@お腹いっぱい。
04/08/04 17:47
>>104のフィルタを新しく入力すると、>>84-91も同じトロイに感染している事がわかる。
その後再度相談に来てない事から考えると、もしかしたらTrendMicro以外のオンラインスキャンを
試していたら、それがちゃんと事前に駆除できていたのかもしれない。
「必ず3種類(シマンテック・トレンドマイクロ・McAfee)のオンラインスキャンを全て試して下さい」
という指示が本家だと出るのだが、もしかしたらそういう理由なのかな?
たんに>>84-91が面倒くさがってテンプレやってないだけならば論外だが・・・
109:59
04/08/04 19:04
>>107さん
win.iniを確認しました。
[windows]
load=
run=
NullPort=None
device=EPSON PM-900C,EPIJNL40,EPUSB1:
と、あちらで指摘されて変更("run="に)した後と変わっていません。
となるとコンピュータ上からは完全に消えたと捉えて構わないのでしょうか?
110:94
04/08/04 19:47
>>109
再度HijackThisを取ってみて、>>59-62のログと比較してみて下さい。
特に、02エントリ、04エントリ、15エントリ、16エントリにFixしたもの以外に変化があるかどうかを確認してみて下さい。
(16エントリは、WindowsUpdateした事によって1つ増えていると思います)
特に上のWindowsUpdate以外に新しく増えているエントリがなく、特に現在不具合もないようであれば、
駆除に成功したと思ってよいと思います。
111:エロサイトスレの736です
04/08/04 22:03
>>56様
お返事が遅くなり大変申し訳ありません。
ご指摘の二箇所についてですが、まず
C:\WINDOWS\System32\hgchcwii.exe と
O4 - HKCU\..\Run: [Tars] C:\Documents and Settings\Owner\Application Data\utwb.exe
に関しては、以前ノートンでアドウェアと診断されたものでした。
この二点はセーフモードにて検索→削除しました。
もう一つの、O2 - BHO: (no name) - {4DAA6426-E46D-20CE-8000-64550CD32B4D}- C:\WINDOWS\System32\bilcmavq.dll
については、プロパティでは「不明なアプリケーション」だったのですが、
一応HijackThisにてバックアップを取った上、Fixしました。
結果、当初の相談内容であった履歴上にNDr(任意の数字とアルファベット).tmp.html.が現れる現象は
止まりました。(ただし相変わらず重たいのは重たいのですが…特に電源を入れてから最初のIE起動が)
まああまり神経質になるのもいけないかもで、しばらく様子を見守ります。
また不具合が出るようでしたらPC初心者板で質問させてもらいます。
今回は本当にありがとうございました。
112:名無しさん@お腹いっぱい。
04/08/04 22:32
>>111
なるほど、とすれば富士通関連のものも、必要ないものは削除してみた方がいいかもしれませんね。
どんなソフトなのかを確かめてみて、必要なければアンインストールなりFixなりしてみて下さい。
>O4 - HKLM\..\Run: [FJUPDNV_Chitose] C:\Program Files\Fujitsu\chitose\chitose.exe
>O4 - Global Startup: ダイヤルアップ チェッカー.lnk = C:\Program Files\ChIntCal\CHINTCAL.EXE
>O4 - Global Startup: 富士通サービスアシスタント.lnk = C:\Program Files\Fujitsu\sa\bin\matcli.exe
もしもコントロールパネルに該当ソフトの名前があるようなら、そちらからアンインストールを先に試した方がいいです。
(たぶん富士通のパソコンにプレインストールされていたソフト類と思われます)
>O16 - DPF: {48B35AC2-CFCE-4DF7-8B39-C3EB6F5DD111} (DreamTechnologies MADO Image Viewer Control) - URLリンク(download.sfd.co.jp)
これについても、もし心当たりが全くないのなら、Fixしてしまってよいと思います。
もしかしたら、リソースを食われているせいで体感速度が遅く感じられる可能性もありますので、
必要のないプレインストールソフトをどんどん削除してしまうというのも手です。
(続く)
113:名無しさん@お腹いっぱい。
04/08/04 22:42
>>112の続きです。
あと、アンチウィルスソフトとしてNortonを使ってらっしゃいますので、
それらのインターネットフィルターによって多少速度が下がって感じられる
という部分もあるかも知れません。
ただ、私の意見としては、速度が上がってもフィルターなしの状態にするのは
あまりにもデメリットが大きすぎますので、その分は我慢するのが良いかと思います。
>特に電源を入れてから最初のIE起動
多分、この辺はリソースを食ってしまっているのが直接の原因だと思います。
(全部問題ないソフトでも、色々なものを起動しているとリソース食われますから。)
必要のない常駐プログラムをできるだけ減らすと、かなり改善されるんじゃないかと思いますよ。
114:59
04/08/05 12:07
>>110さん
有難う御座います。
確認した結果、問題は見受けられませんでした。
何日も長々とお世話になってしまい、お時間とらせてしまい申し訳ありませんでした。
また、お付き合いいただき有難う御座いました。
また何かあった際にはどうぞ宜しくお願いします。
それでは失礼します。
115:名無しさん@お腹いっぱい。
04/08/05 12:41
>>114
( ・∀・)つ旦オチャドゾー
特に問題が発生してないようなら、>>106で削除できなかった分については
今のところは大丈夫と考えていいと思います。
日々のメンテナンスと、>>102の予防をしっかりやっていれば再発する事は
ほとんどなくなると思います(100%防げる訳ではないですが)。
OSがMeですから、WindowsUpdateの重要な更新は自動的にダウンロードしておいて
インストールするように設定する事が可能な筈なので、そうしておくのを強くお薦めします。
あとは、アンチウィルスソフトやアンチスパイウェアソフトのアップデートがある度に
再度スキャンしてみるとか、初期のうちに発見できると症状が悪化せずに済みます。
HijackThisは開腹手術のようなものなので、できるだけこれのお世話にならないで
治療できる事がベストです。止むを得ない場合にのみ使うという感じですかね。
116:名無しさん@お腹いっぱい。
04/08/08 11:04
v1.98.2が出ますた
117:名無しさん@お腹いっぱい。
04/08/08 12:25
>>116 乙です乙です
URLリンク(forums.net-integration.net)
下がりすぎてますので上げます
118:名無しさん@お腹いっぱい。
04/08/09 02:14
良スレage
119:名無しさん@お腹いっぱい。
04/08/09 02:51
PCを立ち上げたら、すぐにscrnsize.exeが見つかりません
と表示が出るのです。
ログはこのように出ました。お願いします。
Logfile of HijackThis v1.98.0
Scan saved at 2:51:01, on 2004/08/09
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\carpserv.exe
C:\Program Files\Apoint\Apoint.exe
C:\WINDOWS\System32\ICO.EXE
C:\Program Files\Sony\HotKey Utility\HKserv.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\windows\system32\nscntrl.exe
C:\windows\system32\sxgwholr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\Sony\HotKey Utility\HKWnd.exe
C:\WINDOWS\System32\conime.exe
C:\Documents and Settings\Guest\My Documents\katjusha\Katjusha.exe
C:\Documents and Settings\Guest\My Documents\Hijack This\HijackThis.exe
120:名無しさん@お腹いっぱい。
04/08/09 02:52
O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000001} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {DE614603-6320-4046-A7A7-6A69CEC26F14} - C:\WINDOWS\navpmc\4b_1,0,0,5_navpmc.dll (file missing)
O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {00000000-0000-0000-0000-000000000001} - (no file)
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
121:名無しさん@お腹いっぱい。
04/08/09 02:52
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Program Files\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [i-FilterPE] C:\Program Files\Digital Arts\i-FilterPE\IfpeLaunch.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [imjpmig] C:\Program Files\Common Files\Microsoft Shared\IME\IMJP\imjpmig.exe /RemAdvDef /AIMEREG /Migration /SetPreload
O4 - HKLM\..\Run: [nscntrl] c:\windows\system32\nscntrl.exe /noconnect
O4 - HKLM\..\Run: [VAIO Update] C:\Program Files\Sony\VAIO Update\VAIOUpdt.exe -backgroundMode
O4 - HKLM\..\Run: [SXGWHOLR] c:\windows\system32\sxgwholr.exe /install
O4 - HKLM\..\Run: [Scrnsize] c:\windows\system32\scrnsize.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [cpntmgc] c:\windows\wincomp\WINCOMP.EXE
122:名無しさん@お腹いっぱい。
04/08/09 02:53
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Bookshelfで検索(&L) - res://C:\Program Files\Microsoft Reference\Microsoft Bookshelf 3.0\bsdef.dll/#1001
O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=URLリンク(www.vaio.sony.co.jp)
123:名無しさん@お腹いっぱい。
04/08/09 04:07
ヴァイラス
124:名無しさん@お腹いっぱい。
04/08/09 04:57
鑑定師の人数が少ないから大変だな・・
でも、いい仕事してるよがんばってくれ。
125:名無しさん@お腹いっぱい。
04/08/09 09:12
>>119-122
scrnsize.exeの検索内容
URLリンク(oshiete1.goo.ne.jp)
ノートン先生がそのトロイ本体は削除していますが、起動時にそのエントリーを
読み込む設定が残っているので、そのエラーメッセージが出るという訳です。
ただし、トロイにいくつか感染しているようですから、今回同時に直してしまいましょう。
TROJ_DLUCA.M
URLリンク(www.trendmicro.co.jp)
「これにより、Windowsの「プログラムの追加と削除」からアンインストールが可能になります。」
との事ですから、まず「プログラムの追加と削除」に不審なものがないかどうか確認してみて、
インストールした覚えの無いプログラムがあったら削除してみて下さい。
次に、以下のエントリをFixして下さい(nscntrlは↑によってエントリから消えていたらOK)
TROJ_DLUCA.M
URLリンク(www.trendmicro.co.jp)
>O4 - HKLM\..\Run: [nscntrl] c:\windows\system32\nscntrl.exe /noconnect
TROJ_WINTRIM.E
URLリンク(www.trendmicro.co.jp)
>O4 - HKCU\..\Run: [cpntmgc] c:\windows\wincomp\WINCOMP.EXE
ノートン先生が自動的に取り除いてくれたと思われるもののゴミ掃除です。
感染していたものの内容はリンクを参照。この4つのエントリーをFix。
URLリンク(www.symantec.com)
>O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000001} - (no file)
>O3 - Toolbar: (no name) - {00000000-0000-0000-0000-000000000001} - (no file)
URLリンク(www.pestpatrol.com)
>O2 - BHO: (no name) - {DE614603-6320-4046-A7A7-6A69CEC26F14} - C:\WINDOWS\navpmc\4b_1,0,0,5_navpmc.dll (file missing)
最初に書いたトロイのエントリ(今回の症状の原因はこれ)
>O4 - HKLM\..\Run: [Scrnsize] c:\windows\system32\scrnsize.exe
(続く)
126:125
04/08/09 09:13
>>125の続き
それから、以下のファイルのプロパティを確認してみて下さい。
>O4 - HKLM\..\Run: [SXGWHOLR] c:\windows\system32\sxgwholr.exe /install
何かのインストールプログラムですが、情報がありません。しかし、極めて怪しいです。
プロパティを確認してみて、不審なようならばこのエントリもFix。
ここまでFixが終わったら、一度パソコンを再起動してみて、
再度HijackThisを見て該当Fix箇所が消えているかどうかを確認して下さい。
127:名無しさん@お腹いっぱい。
04/08/10 01:25
エロ助けスレの解析たのんます。
128:名無しさん@お腹いっぱい。
04/08/10 01:27
(´・д・`) ヤダ
129:名無しさん@お腹いっぱい。
04/08/10 02:08
Merijnのサイト繋がらん…
130:アドバイス
04/08/10 05:53
HijackThis Entry Databaseを使用する時に、
もう少し細かい条件で検索したい場合はこちらをどうぞを選択して
検索条件で登録日時「1ヶ月前まで」を選べばそのサイトで確信が取れた、
最新データを一括して表示させることができます。
解析している人でこの方法を使ってない人は試してみてください。
解析済み登録データを登録する時に便利です。
[ControlPanel] C:\WINDOWS\SYSTEM\internst32.exe internet.dll,LoadNetworkProfile
selfsearch.bizの元凶の可能性があるようです。
情報が少ないために詳細は不明です。
HijackThis Entry Database(念の為にDBのURL)
URLリンク(higaitaisaku.web.infoseek.co.jp)
131:名無しさん@お腹いっぱい。
04/08/11 00:46
>>129
Merijnサイトはよく攻撃食らうみたいなので(スパイウェア業者の仕業?)
落ちている事がよくあります。>>117あたりからダウンロードすると吉。
132:名無しさん@お腹いっぱい。
04/08/11 02:48
1.98.2(・∀・)イイ!!
133:1
04/08/11 15:33
HijackThisのフィルターで使えるものはないかなと色々探していたら、
外国のページでこんなところを発見してしまいました。
HijackThis Log File(英語・オランダ語・ドイツ語なので英語ページで)
URLリンク(www.hijackthis.de)
参考として、今までログを貼ってくれた方々のを分析してみました。
(結果が表示されるページは、5日後に自動的に消えるようです)
>>24-28さんの結果
URLリンク(www.hijackthis.de)
>>35-40さんの結果
URLリンク(www.hijackthis.de)
>>59-62さんの結果
URLリンク(www.hijackthis.de)
>>63-67さんの結果
URLリンク(www.hijackthis.de)
>>84-90さんの結果
URLリンク(www.hijackthis.de)
>>119-122さんの結果
URLリンク(www.hijackthis.de)
ここを使う時の問題点としては、「?」項目が比較的多い事ですかね。
特に、Fujitsuのパソコンにバンドルされているプレインストールソフトとかだと、
ほとんどが「?」になってしまいます。
また、015エントリ、016エントリも大半は「?」になっていて、「自分でインストール
した覚えがなかったらFixしてね」という指示になっています。
ただ、その辺を差っぴいてもかなり使えるページなんじゃないかな?と個人的には思います。
134:1
04/08/11 15:43
>>133で紹介したページを使う問題点
・いきなりFixをして余計症状を悪化させてしまう人が増えそうな事
・エセ回答者が増えそうな事
(HijackThisは最後の手段ですよ、テンプレやってもダメな場合だけです!)
>>133で紹介したページを使う利点
・質問者が事前にHijackThisログを貼ってみて、自分である程度診断できる事
016エントリについては、>>1のHijackThisデータベースと同時に、
こちらのページで検索してみるとさらに良いかもです。
Hijack This O16 List について
URLリンク(homepage3.nifty.com)
A=問題なし、B=不明、C=Fix必要なもの
一応>>133-134は有益だと思われる情報なのでageます。
135:1
04/08/12 20:48
>>133訂正
(英語・オランダ語・ドイツ語なので英語ページで)
ドイツ語、フランス語、英語ですね。
フォーラムは全てドイツ語。全然何が書いてあるやらさっぱり(;´Д`)
136:名無しさん@お腹いっぱい。
04/08/12 21:21
乙
137:名無しさん@お腹いっぱい。
04/08/13 14:07
良スレなのにお客さん少ないなぁ~
138:名無しさん@お腹いっぱい。
04/08/13 14:28
セキュ板はセキュリティ対策についての情報を得る場所だ。
対策を怠った者への治療方法になど何の興味もない。
このスレはそのまま初心者板につくれば良かったのだ。
139:1
04/08/13 15:47
>>137
本来、HijackThisを駆使しなきゃ完治しない人=新しい病気の人か、よっぽどの重病人
で、HijackThisで執刀するお医者さんの腕がバラバラで、めちゃめちゃな指示を出す知ったかぶりさんがいる。
だから、未熟な人でもめちゃめちゃな指示を出さないように、HijackThisでフィルターをかけられるようなものを共有したい
=スレが立ったきっかけのぞぬフィルターの話、となってこのスレが立った訳で。
ぶっちゃけた話、ぞぬフィルターや>>133のを使えば、質問者がある程度自分で判断できるからそれで直してみる、
それでも直らない場合にはどうぞご相談下さいというスタンスなんですよ。
なので、フィルター類が充実してくれば充実してくるほど、ここのスレで相談してくる患者さんは減るのが本来です。
140:名無しさん@お腹いっぱい。
04/08/13 19:22
>>139
初期の頃と比べてカバーできるエントリは
どの位増えたの?
141:1
04/08/13 19:34
>>140
>>133があるから、単純比較はむずいです(>>133が結構な数に対応してるので)
>>133の弱点は、日本のソフトや、015・016エントリが「?(Unknown)」になりやすいので
これからの方向性はその辺のカバーですかねぇ・・・
142:名無しさん@お腹いっぱい。
04/08/13 23:17
>>138
同意。
143:名無しさん@お腹いっぱい。
04/08/13 23:42
まあここに限らずhijackthisでアドバイスしてるのを見ると思うんだが・・・
わけもわからずはいここfixと指図されるままにやってありがとうございました~と
一見めでたしめでたしに見えるが、結局そういうやつはまた別なのにひっかかるんだろうなあと。
本人は何をどうしたのかろくにわかってないから、後から不具合があってもどうしようもないだろうしね
144:名無しさん@お腹いっぱい。
04/08/13 23:52
エロサイトスレを見てこっちにきました。お願いします。
症状としてはエロスレの19さんと同じです。
Logfile of HijackThis v1.98.0
Scan saved at 23:35:00, on 2004/08/13
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\PROGRAM FILES\COMMON FILES\EPSON\EBAPI\SAGENT2.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\AVSYNMGR.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\VSSTAT.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\VSHWIN32.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\AVCONSOL.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\IMEJPMGR.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\ADAPTEC\DIRECTCD\DIRECTCD.EXE
C:\WINDOWS\LOADQM.EXE
145:144
04/08/13 23:53
C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\ALOGSERV.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAM FILES\SONY\VAIO ACTION SETUP\VASERV.EXE
C:\PROGRAM FILES\I-O DATA\CUTE\CUTE.EXE
C:\WINDOWS\デスクトップ\HIJACK\HIJACKTHIS.EXE
C:\PROGRAM FILES\LIVE2CH\LIVE2CH.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll
O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: MSN ツールバー - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN TOOLBAR\01.01.1629.0\JA\MSNTB.DLL
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [OmgStartup] C:\Program Files\Common Files\Sony Shared\OpenMG\OmgStartup.exe
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\ADAPTEC\DIRECTCD\DIRECTCD.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
146:144
04/08/13 23:54
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\host32.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [Alogserv] C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
O4 - HKLM\..\RunServices: [McAfeeVirusScanService] C:\Program Files\McAfee\McAfee VirusScan\AVSYNMGR.EXE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
O4 - Startup: VAIO Action Setup (サーバー).lnk
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Startup: EPSONプリンタウインドウ!3 環境設定(2).lnk = C:\WINDOWS\SYSTEM\E_SRCV02.EXE
O4 - Startup: Cute.lnk = C:\Program Files\I-O DATA\Cute\Cute.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
147:144
04/08/13 23:54
O15 - Trusted Zone: *.searchmeup.cc
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O16 - DPF: {9E7138EE-4E7B-11D5-94EF-006008A4ED7F} (DialZ Class) - URLリンク(www.slashpink.net)
O16 - DPF: {B1564E7A-26BD-4135-88E9-78F44DD4DE68} (XBeat.XBeatCnt) - URLリンク(www.narazuke.com)
O16 - DPF: {748282BD-B965-44D8-896A-9506453F28B2} (XPaco.XPacoCnt) - URLリンク(www3.narazuke.com)
O16 - DPF: {DAE3A970-40F5-11D4-9E73-0030430005BE} (AutoConnect Class) - URLリンク(home.att.ne.jp)
O16 - DPF: {8DCE908E-9E35-11D3-9431-009099104002} (AButton Class) - URLリンク(www.ura-no1.com)
O16 - DPF: Yahoo! Japan Shogi - URLリンク(yog21.yahoo.co.jp)
O16 - DPF: {CE120884-CC9F-4478-A6A4-3A2768438DC8} (XMild.XMildCtl) - URLリンク(www.yakiudon.com)
O16 - DPF: {18000D07-72C4-11D4-B4BD-004026422A29} (Hot_net Control) - URLリンク(www.futomomo.com)
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - URLリンク(components.viewpoint.com)
O16 - DPF: {43A31219-2ED9-4509-97DF-5C03F3286850} (RasActive Control) - URLリンク(61.195.173.226)
O16 - DPF: {69A4F9FF-E915-11D5-A9F1-009099104002} (XDialer Class) - URLリンク(ura-xxx.com)
O16 - DPF: {A3EE1783-506C-4C2E-84AA-725AC5B3CD79} (XKurumi.XKurumiCtl) - URLリンク(210.155.140.39)
148:144
04/08/13 23:55
O16 - DPF: Yahoo! Chat JP 2 - URLリンク(cs.chat.yahoo.co.jp)
O16 - DPF: Yahoo! Japan Bloxi - URLリンク(yog19.yahoo.co.jp)
O16 - DPF: Yahoo! Japan Blackjack - URLリンク(yog12.yahoo.co.jp)
O16 - DPF: {759F9382-089B-4170-8B71-EEDFD932E19E} (XDialK2 Class) - URLリンク(homepage1.nifty.com)
O16 - DPF: {B15108AA-D8D0-480D-B535-07E18D6549A8} (XBurger.XBurgerCtl) - URLリンク(www.eromax.com)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (ウイルスバスター On-Line Scan) - URLリンク(a840.g.akamai.net)
O16 - DPF: {D6BD21B2-32FD-4A56-AE46-FBA65EABB3A7} (XEng007.XEng007Ctl) - URLリンク(cutygirls.net)
O16 - DPF: {7BEAC808-D2BF-4B4B-9E14-A403477A669C} (XEng006.XEng006Ctl) - URLリンク(iii.tv)
O16 - DPF: {4A88CB42-BBFE-496A-884F-98E8AC316292} (YJInstStarter Control) - URLリンク(dl.msg.yahoo.co.jp)
O16 - DPF: {C7173F75-4426-4B86-B5F4-BA500BE66FE0} (ChainCast VMR Client Proxy) - URLリンク(sports.1242.com)
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - URLリンク(207.188.7.150)
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - URLリンク(cs.chat.yahoo.co.jp)
O16 - DPF: Yahoo! Japan Poker - URLリンク(yog16.yahoo.co.jp)
O16 - DPF: {2C079F28-EE92-4700-A44B-AF5FA285FCCA} (HanGamePluginJP16 Class) - URLリンク(down.hangame.co.jp)
O16 - DPF: Yahoo! Chat JP - URLリンク(cs1.chat.yahoo.co.jp)
O21 - SSODL: AUHook - {BCBCD383-3E06-11D3-91A9-00C04F68105C} - C:\WINDOWS\SYSTEM\AUHOOK.DLL
149:144
04/08/13 23:56
よろしくお願いします。
150:名無しさん@お腹いっぱい。
04/08/14 00:37
>>144-148
すんません、素朴な疑問なんですが
コントロールパネルの「アプリケーションの追加と削除」にいつの間にか
加わっているものはないですか?
トレンドマイクロのオンラインスキャンをやった形跡はあるのですが、
そこで検出されたものはちゃんと駆除しましたか?
Spybotは入っているようなんですが、そこで検出されたものは駆除しましたか?
Ad-awareSEや、CWShredderは試してみましたか?
エロサイトテンプレをやったにしては、エントリが非常に悲惨な状態過ぎるのですが・・・
Fix指示を出す前に、その確認を先にさせて下さい。やってなければ、先にそれをやって下さい。
151:144
04/08/14 00:43
悲惨ですか。そんな感じはしたのですが…
どれを開いてもアイコンが出てこなく、作業が出来ません。
スキャンではウィルスは出てきませんでした。
spybotでcoolWebsearchはでたのですが、削除しようとすると、
停止してしまう状況です。
すいませんが、まずどこからはじめたらいいか教えてください。
152:名無しさん@お腹いっぱい。
04/08/14 00:57
>>151
アイコンが出てこないとは、具体的にどの作業の事ですか?
向こうの19さんは、「コントロールパネルが出てこない」と書いていますが。
作業する順番としては、ここの「スパイウェア除去ウィザード」に沿って
順番にやっていってみて下さい。
URLリンク(higaitaisaku.web.infoseek.co.jp)
153:144
04/08/14 01:04
>>152
ありがとうございます。
どのフォルダを開いても、中身のファイルがアイコンで出ますよね?
同様にコントロールパネルを開いても、ウィンドウは出てきても、
真っ白のウィンドウなんです。なので実行できない状況です。
154:名無しさん@お腹いっぱい。
04/08/14 01:06
>>153
あとすみません、素朴な疑問追加。
McAfeeを入れてらっしゃるようですが、これは最新の定義にはできない
古いVirusScanソフトなんでしょうか?
155:144
04/08/14 01:10
古いスキャンソフトです。
トレンドマイクロのオンラインスキャンやろうとしたのですが、
スキャン画面がでてこないので…
156:名無しさん@お腹いっぱい。
04/08/14 01:38
(1)CWShredderを実行してみる。
(2)Spybotのアンインストール情報から確認(この段階ではまだスキャンしない)
モード→高度な使い方をクリックして、「アンインストール情報」にチェックを入れる。
その後、「アンインストール情報」を見て、インストールした覚えのないもののファイルパスを
調べて、直接そのアンインストールプログラムを起動してアンインストールしてみる。
(3)IE→インターネットオプション→セキュリティ→信頼済サイトに登録されているものを
一旦全て消す。(多分また復活するとは思いますが一応。)
(4)アンチウィルスソフトの入れ替え(オンラインスキャンもできないのでは話にならないので)
1.さっきのSpybotのアンインストール情報から、McAfeeのアンインストールプログラムの
ファイルパスを確認してアンインストールする。
2.アンチウィルスソフトがない状態では話にならないので、とりあえずフリーのものを入れてみる。
URLリンク(www.avast.com)
ここから、Japanese Versionをダウンロードして、インストール。
最新の定義にアップデートしたら、全てのファイルをスキャンしてみて下さい。
(5)URLリンク(higaitaisaku.web.infoseek.co.jp)
ここからこのウィザードに沿って最後まで実行してみてください。
※Ad-aware6.0ではなく、Ad-awareSEがリリースされていますので、そちらを使って下さい。
既に日本語パッチも公開されていますので、Ad-awareスレを確認の事。使い方は6.0とほぼ同じです。
ウィザードが全部終わった段階で、再度HijackThisを取ってみて、貼ってみて下さい。
作業途中で再起動しない方がいいので、ウィルススキャンを寝ている間にやってみるとかがよいかと。
157:名無しさん@お腹いっぱい。
04/08/14 01:47
補足:Ad-awareSE関連ページ
スレリンク(pcqa板:973番)
158:144
04/08/14 02:24
>>156
ありがとうございます。
ファイル名を指定して実行でCWShredderを実行しました。
Spybotですが、uninstall cmdをファイル名を~で実行すると、installが実行されてしまいます。
159:144
04/08/14 02:27
すいません。McAfeeのインストールです。
160:144
04/08/14 03:20
連レス申し訳ないです。
McAfeeについてはわかりました。avastを入れてみます。
161:名無しさん@お腹いっぱい。
04/08/14 08:47
>>158-160
作業が全部終わってからまとめてレスして下さい。
ここはHijackThisスレですし、私はMcAfeeユーザーでもないので、
アンインストールの方法だとかはさっぱりわかりませんから。
162:名無しさん@お腹いっぱい。
04/08/14 16:22
鑑定人さん、エロサイト助け・・スレに出張たのんます。
163:名無しさん@お腹いっぱい。
04/08/14 21:10
>>143(ちょっと亀レスですが)
いきなり最初からHijackThis、Fixして終わり、ってのだとおっしゃる通りでしょうね。
(個人的には、だからいきなりHijackThis指示出す人ってのはヤブ医者だと思ってます)
「テンプレやってなければ先にそれやって」ってのは、そのテンプレをやる間に
アンチウィルスソフト、CWShredder、Spybot、Ad-awareは確実にインストールするので、
万が一他のスパイウェアに感染しても簡単に駆除できるから、という目的もあります。
164:名無しさん@お腹いっぱい。
04/08/15 00:18
たかがスパイウェアごときに何むきにになってんの?
165:144
04/08/15 00:32
すいません、取り乱しました。
166:名無しさん@お腹いっぱい。
04/08/15 00:35
>>144さんを待ってる間に、今までの患者さんたちのCLSIDのある問題エントリについて
少しまとめてみました。
CLSIDでスパイウェアを予防するものに、SpywareBlasterというものがあります。
SpywareBlasterについては、詳しくはこのスレで(荒れてますが)
スレリンク(sec板)
また、アダルトサイト被害対策の部屋で、このSpywareBlasterにCLSIDを追加する
「CustomBlockingUpdater」というものを提供しています。
で、SpywareBlaster+CustomBlockingUpdaterで予防できないCLSIDエントリを
以下にピックアップしてみました。
(>>25-28)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\WINDOWS\EliteBar\EliteBar version 37.dll
(>>35-40)
O2 - BHO: (no name) - {4DAA6426-E46D-20CE-8000-64550CD32B4D}- C:\WINDOWS\System32\bilcmavq.dll
(>>84-90)
O2 - BHO: (no name) - {3BFF365D-E942-2EE5-8753-60550DA7291F} - C:\WINDOWS\SYSTEM\YJDIENFW.DLL (file missing)
O16 - DPF: {E8946F74-DAF3-4D7F-8988-A54E380D8D89} (sub2tv コントロール) - URLリンク(www.2233.tv)
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://C:\foo.mht!URLリンク(66.230.145.49)
(>>144-148)
O16 - DPF: {748282BD-B965-44D8-896A-9506453F28B2} (XPaco.XPacoCnt) - URLリンク(www3.narazuke.com)
逆に言えば、これ以外のエントリはSpywareBlasterと、CustomBlockingUpdaterを入れていれば
しっかりと予防できていたエントリ、という事になります。
また、CustomBlockingUpdaterのアップデートが最近止まっていますが、それを補うために
上に書いたエントリを加えておけば、最新のものに対しても予防可能という事になります。
情報として多少役に立つんじゃないかな?と思いましたので長文カキコ。
167:166
04/08/15 01:12
>>166の内容をまとめたものを、SpywareBlaster隔離所スレに書きましたので
ご興味ある方はご自由にどうぞ。
URLリンク(jbbs.livedoor.com)
本当は本スレに書きたいとこですが、荒れ過ぎててあっという間に流れそうなので。
168:166
04/08/15 11:14
>>166について、誤解があるといけないので補足カキコです。
まず、SpywareBlasterというのはこんなソフトです。
URLリンク(higaitaisaku.web.infoseek.co.jp)
>感染してしまった状態の改善には何の役にも立たないが、これからスパイウェアに感染することを防止する
>というアプリケーションです。
つまり、既に症状が発症してしまっていて、ここに相談している人が入れても何の解決にもなりません。
では、どういう風に役立つのか?
SpywareBlasterを入れている人が、仮に>>59-62さんと同じスパイウェアにかかったとします。
この場合、トロイファイルであるmsxmidiは入ってしまうのですが、
>O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll
>O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - URLリンク(www.mt-download.com)
この2つはSpywareBlasterで対応しており、インストール無効化されるため、トロイが走っていても症状は発生しないという事です。
SpywareBlasterは根本的な解決策にはならないのですが、とりあえず症状が出にくいようにしておいてくれるので、
その後アンチウィルスソフトや、アンチスパイウェアソフトが対応した時に駆除すれば、全く症状に苦しむ事なく駆除できる、というわけです。
169:名無しさん@お腹いっぱい。
04/08/15 13:08
McAfeeや鉄壁は使わない。
これは常識です。
170:名無しさん@お腹いっぱい。
04/08/15 14:10
>>169
「最新の定義にちゃんとアップデートできるアンチウィルスソフトを使う」
こんな常識すらきちんとできていない人が多いんですけど( ´,_ゝ`)
最新の定義にアップデートできるMcAfeeなら、何も入れないよりもずっとマシです。
(このスレでフリーソフトを紹介してるのも、検出力が良くないとは言え何もないよりずっとマシだからです)
「鉄壁」って何?と調べたら、既にサポート終了してるアンチウィルスソフト。それを使わないのは当たり前。
171:名無しさん@お腹いっぱい。
04/08/15 14:21
スパイウェアに感染していたようで、SpybotでCns Minは削除したのですがまだ改善しません。
ウィルスにも感染しているようなのですが、よろしくお願いします。
ノートンでは検出されませんでした。
Logfile of HijackThis v1.98.0
Scan saved at 14:08:54, on 2004/08/15
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
172:171
04/08/15 14:21
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\pctspk.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\WINDOWS\System32\DSentry.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\FinePixViewer\QuickDCF.exe
C:\Program Files\AOL 7.0\aoltray.exe
C:\Program Files\Apoint\Apntex.exe
C:\WINDOWS\System32\conime.exe
C:\WINDOWS\System32\wuauclt.exe
E:\HijackThis.exe
173:171
04/08/15 14:25
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
174:171
04/08/15 14:25
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE
O4 - HKLM\..\Run: [IMJPMIG9.0] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMJP9\IMJPMIG.EXE /Preload /Migration32
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Common Files\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: EPSONプリンタウインドウ!3 環境設定(2).lnk = C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\E_SRCV02.EXE
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: AOL 7.0 トレイアイコン.lnk = C:\Program Files\AOL 7.0\aoltray.exe
175:171
04/08/15 14:26
O9 - Extra button: リサーチ - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\MSOFFICE\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Yahoo! メッセンジャ- - {CEBF73C0-BA2E-11d4-A73A-00508B33FB82} - C:\PROGRA~1\Yahoo!J\MESSEN~1\YPagerJ.exe
O9 - Extra 'Tools' menuitem: Yahoo! メッセンジャ- - {CEBF73C0-BA2E-11d4-A73A-00508B33FB82} - C:\PROGRA~1\Yahoo!J\MESSEN~1\YPagerJ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {4A88CB42-BBFE-496A-884F-98E8AC316292} (YJInstStarter Control) - URLリンク(dl.msg.yahoo.co.jp)
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - URLリンク(www.live365.com)
O16 - DPF: {E6B8E23A-7174-42A8-9620-8F4C5415DF2F} (SmartLauncher Control) - URLリンク(webprint.i-love-epson.co.jp)
176:171
04/08/15 14:26
以上です、よろしくお願いします。
177:横レスごめんなさい
04/08/15 14:49
鑑定人さん、いつもご苦労様です。
CLSIDのブロックリストにはこんなのもあるようですね。
URLリンク(www.spywareguide.com)
情報源はこちらです。
URLリンク(higaitaisaku.web.infoseek.co.jp)
logs=cbbsdayo3.cgi&PAGE=20&ALL=1
CustomBlockingListにはこんなのも。
URLリンク(forum.aumha.org)
次も同じ人のレスです。ちゃんとした所のフォーラムに掲載されているのだからリスト自
体も信用できるかと。
URLリンク(www.wilderssecurity.com)
僕は詳しいこと分からないので、すいませんけど情報だけ投げちゃいます。
ところで、僕自身は両方とも使ってません。結局のところ「インストールしますか?」に
「いいえ」で答えればCLSIDのブロックも不要だし、そもそもヤバイサイト見る前にJAVA
やActiveXを切ればいいのかと。それでも、ケアレスミスを防ぐためにSpywareBlasterは
利用させてもらってますけれど。
178:名無しさん@お腹いっぱい。
04/08/15 15:09
>>171-176
>ウィルスにも感染しているようなのですが、よろしくお願いします。
>ノートンでは検出されませんでした。
どんな症状なのかもわからないし、ウィルスに感染しているようだという情報は
どこまで信用できるんですかね?
「エロサイト見たら・・・」スレのテンプレはきちんと読みましたか?
テンプレは全て実行しましたか?「エロサイト見たら・・・」スレでは相談しましたか?
>SpybotでCns Minは削除したのですがまだ改善しません。
ここは読みましたか?(テンプレにあるのに読まずに直しちゃったんでしょうけど)
URLリンク(higaitaisaku.web.infoseek.co.jp)
テンプレもきちんと読まず、どんな症状なのかも詳しく書かず、
本来相談すべき「エロサイト見たら・・・」スレに相談もせず、
いきなりこっちに持ってこられても、全然見る気は起きません。あしからず。
179:名無しさん@お腹いっぱい。
04/08/15 15:19
>>177
CLSIDの話は、HijackThis分析で出てきたログからの副産物を、
何か再利用できないかなーというので出してみた話なので、
既存のリストとかはむしろSpywareBlasterスレでやった方がいいかもです。
180:名無しさん@お腹いっぱい。
04/08/15 17:28
PC初心者から誘導されてきました
スパイウェア検索削除ソフトのSpybot1.3に関する質問なんですが
VBouncer というのが検索されたのですが、修正削除にしても
いくつかの問題個所が修正/削除できません
理由がファイルメモリ上あるためです
この問題は再起動後に修正/削除できます
次回システムスタートアップでSpybot-s&Dを起動しますか?
と出るんですが、再起動しても削除できません
どうすれば良いでしょうか?