エロサイト見たら…助けてください！Part22

エロサイトに限らずWEBを見て回ってたらブラウザ乗っ取られて大変なことに…
いったいどうしたらいいの？って人のためのスレッドです。

▼━質問のしかた ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
　・ E-mail欄(省略可) には何も記入しないこと。(ID出す→偽者対策・質問者の区別)
　・ 2回目以降の書込は、名前欄に最初に質問した際の「発言番号」を入力すること。
　・ 他のスレから誘導された場合は、その旨書く。(マルチポストとの区別)
　・ OSの種類、ブラウザ、セキュ関係ソフトの有無、実行結果を報告。（特にOSの種類）

この後に貼ってある《緊急処置》テンプレをできるとこまで実行しましょう。何も読まず
にいきなり質問するとネタ回答を食う可能性大ですｗ

なお、最近大流行の架空請求、罠サイト、ぼったくりサイトなどの悪質商法関係はこちら
で相談してください。
【メール･葉書】総合スレッドPart�U【架空請求】
　http://that2.2ch.net/test/read.cgi/bouhan/1083110757/

《ブラウザハイジャッカーと戦うときの必須ツール》
レジストリのスキャンと修復ツール Hijackthis
　http://higaitaisaku.web.infoseek.co.jp/HijackThis.exe
日本語解説　http://higaitaisaku.web.infoseek.co.jp/hijackthis.html
このスレのテンプレにも入門チュートリアルがあります。
《アンチスパイソフト》
■CWShredder　CoolWebSearch専用駆除ソフト　更新：高
　☆本家　ttp://www.spywareinfo.com/~merijn/downloads.html
■Ad-aware 6.0 Build181 非常駐・検索・削除 （有料版は常駐監視機能あり）
　☆本家　ttp://www.lavasoftusa.com/　更新：中　
　使用法　http://www.dream-seed.com/server/spy.html
　専用スレ　http://pc3.2ch.net/test/read.cgi/sec/1078600708/
■Spybot Search&Destroy 1.2 ＆ 1.3β4非常駐・検索・削除・一部予防
　本家　ttp://www.safer-networking.org/　更新：低　日本語対応済み。
　使用法　http://www.dream-seed.com/server/spybot.html
　専用スレ　http://pc3.2ch.net/test/read.cgi/sec/1081764816/
　-------------以上３大定番は必ずインストールしておきましょう---------
■SpywareBlaster 2.6.1　非常駐・予防　☆更新頻度：中
　専用スレ　http://pc3.2ch.net/test/read.cgi/sec/1080635851/
■SpywareGuard 2.2.0　常駐・予防　☆更新頻度：低
■MRU-Blaster 1.5　IE履歴キャッシュ・クッキー削除。常駐可能　頻度：低
　本家　ttp://www.javacoolsoftware.com/index.html
■Ad-aware 6.0 Build181 日本語化ツール SpywareBlaster　日本語化
　SpywareGuard 日本語ヘルプ　など
　http://bdc.s15.xrea.com/index.php?option=com_remository&Itemid=59&func=selectfolder&filecatid=1
■IE-SPYAD 　IEの制限ゾーンに危険サイトを一括登録　　頻度：高
　本家　ttp://www.staff.uiuc.edu/~ehowes/resource.htm
　更新用スクリプト　ttp://briefcase.yahoo.co.jp/iespyad
　IE-SPYAD導入の手引き（日本語解説ページ）
　http://www.geocities.jp/ie_spyad_japanese_manual/index.html
　専用スレ　http://pc3.2ch.net/test/read.cgi/sec/1076041687/

《ブラウザハイジャッカーと戦うときの必須ツール》
レジストリのスキャンと修復ツール Hijackthis
　http://higaitaisaku.web.infoseek.co.jp/HijackThis.exe
日本語解説　http://higaitaisaku.web.infoseek.co.jp/hijackthis.html
※このスレのテンプレの後の方にも入門チュートリアルがあります。
《アンチスパイソフト》
■CWShredder　CoolWebSearch専用駆除ソフト　更新：高
　☆本家　ttp://www.spywareinfo.com/~merijn/downloads.html
■Ad-aware 6.0 Build181 非常駐・検索・削除 （有料版は常駐監視機能あり）
　☆本家　ttp://www.lavasoftusa.com/　更新：中　
　　http://www.dream-seed.com/server/spy.html　使用法
■Spybot Search&Destroy 1.2 ＆ 1.3β4非常駐・検索・削除・一部予防
　本家　ttp://www.safer-networking.org/　更新：低　日本語対応済み。
　　http://www.dream-seed.com/server/spybot.html　使用法
　-------------以上３大定番は必ずインストールしておきましょう---------

■SpyywareBlaster 2.6.1　非常駐・予防　☆更新頻度：中
■SpywareGuard 2.2.0　常駐・予防　☆更新頻度：低
■MRU-Blaster 1.5　IE履歴キャッシュ・クッキー削除。常駐可能　頻度：低
　本家　ttp://www.javacoolsoftware.com/index.html
■Ad-aware 6.0 Build181 日本語化ツール SpywareBlaster　日本語化
　SpywareGuard 日本語ヘルプ　など
　http://bdc.s15.xrea.com/index.php?option=com_remository&Itemid=59&func=selectfolder&filecatid=1
■IE-SPYAD 　IEの制限ゾーンに危険サイトを一括登録　　頻度：高
　本家　ttp://www.staff.uiuc.edu/~ehowes/resource.htm
　更新用スクリプト　ttp://briefcase.yahoo.co.jp/iespyad
　IE-SPYAD導入の手引き（日本語解説ページ）
　http://www.geocities.jp/ie_spyad_japanese_manual/index.html
　専用スレ　http://pc.2ch.net/test/read.cgi/sec/1076041687/

《その他リンク集》
■ウィルス関係はこちら↓
【正式】ウィルス情報＆質問　総合スレッド☆Part18
　http://pc3.2ch.net/test/read.cgi/sec/1081735712/
■その他セキュリティ関係の質問は↓
セキュリティ初心者質問スレッドpart40
　http://pc3.2ch.net/test/read.cgi/sec/1082207307/
■アダルトサイト被害対策の部屋
　http://higaitaisaku.web.infoseek.co.jp/
　　↑定番サイト。Hijackthis、その他ツールの使い方が詳しい。質問掲示板あり
■ダイヤルQ2、国際電話、罠サイト、架空請求関係のトラブルはここらで相談。
【メール･葉書】総合スレッドPart�U【架空請求】
　http://that2.2ch.net/test/read.cgi/bouhan/1083110757/
　アダルトサイト対策の部屋
　http://www002.upp.so-net.ne.jp/dalk/higai24.html
　　↑「被害対策の部屋」とは別サイト。有料エロサイト関係のトラブル対策
■国際電話・ダイヤルQ2関連
　http://www.ntt-east.co.jp/q2/　NTT東日本 ダイヤルQ2サービス
　http://www.ntt-west.co.jp/q2/　NTT西日本 ダイヤルQ2サービス
　　↑ダイヤルQ2接続チェックプログラムもここからダウンロードできます。
　http://www.emurasoft.com/jp/chintcal/index.htm　　 　　　No! 国際電話
　http://mitsu98.fc2web.com/bbs/index2.html　　　　　　　　　Dial Saver
　http://www.kddi.com/topics/atx/image.html　　　　　　　　　ダイヤルアップチェッカー
■バナー・ブラクラ対策
　http://member.nifty.ne.jp/hayazo/myprg.html　　　　　　 ClosePopup
　http://www.proxomitron.org/　　　　　　　　　　 　　　　　　 Proxomitron（公式サイト）
　http://www.pluto.dti.ne.jp/~tengu/proxomitron/　　　　　　 Proxomitron（日本語解説）
　http://pc5.2ch.net/test/read.cgi/win/1077360806/l50　　Proxomitron（Windows板・現行スレ）
　http://pc5.2ch.net/test/read.cgi/software/1060792740/l50　　Proxomitron（ソフトウェア板・現行スレ）

《過去ログ》

part21　http://pc5.2ch.net/test/read.cgi/pcqa/1082454987/　前スレ
part20　http://pc5.2ch.net/test/read.cgi/pcqa/1081541559/
Part19　http://pc5.2ch.net/test/read.cgi/pcqa/1079883028/
Part18　http://pc2.2ch.net/test/read.cgi/pcqa/1077184761/
Part17　http://pc2.2ch.net/test/read.cgi/pcqa/1074003703/
Part16　http://pc5.2ch.net/pcqa/kako/1070/10709/1070987138.html
Part15　http://pc5.2ch.net/pcqa/kako/1067/10676/1067657959.html
Part14　http://pc5.2ch.net/pcqa/kako/1063/10634/1063426852.html
Part13　http://pc5.2ch.net/pcqa/kako/1057/10575/1057575418.html
Part12　http://pc5.2ch.net/pcqa/kako/1052/10529/1052909722.html
Part11　http://pc5.2ch.net/pcqa/kako/1047/10473/1047359426.html
Part10　http://pc5.2ch.net/pcqa/kako/1043/10439/1043963296.html
Part9　 http://pc5.2ch.net/pcqa/kako/1041/10415/1041587359.html
Part8　 http://pc.2ch.net/pcqa/kako/1038/10380/1038097140.html
Part7　 http://pc.2ch.net/pcqa/kako/1035/10351/1035125416.html
Part6　 http://pc.2ch.net/pcqa/kako/1031/10313/1031391849.html
Part5　 http://pc.2ch.net/pcqa/kako/1027/10273/1027339934.html
Part4　 http://pc.2ch.net/pcqa/kako/1022/10228/1022827947.html
Part3　 http://pc.2ch.net/pcqa/kako/1019/10191/1019182804.html
Part2　 http://pc.2ch.net/pcqa/kako/1016/10168/1016896969.html
Part1　 http://pc.2ch.net/pcqa/kako/988/988993220.html

《緊急処置》
WEB見ててブラウザが変になったらとりあえず以下を実行。ブラクラ、ジョークソフト、
ブラウザジャッカー、スパイウェアなどの迷惑ソフトの8割はこれで撃退できますよん。

Secure(You are visitin PEDO sites..と黄色い窓が出る）やfreednshotというサイトに
飛ばされる場合は、この後の対策情報も見てください。.

1) 閉じない窓を強制的に閉じる→alt+F4
2) IEのホーム、検索ページを標準に戻す→ツール→インターネットオプション→
　 プログラム→WEB設定のリセット
3）IEの履歴削除→ツール→インターネットオプション→全般→インターネット
　 一時ファイル→クッキーの削除+ファイルの削除
4) 削除したいファイルがあるが「アクセスできません。使用中です」とかいわれて
　 削除できない→セーフモード（F8を連打）でOSを起動→削除→OS再起動
5) 勝手に追加されたアプリをアンインストする→スタート→コントロールパネル→
　 アプリケーションの追加と削除（JWordはここでアンインストのこと）→OS再起動

6) ブラウザジャッカーCoolWebSearch駆除ツール　CoolWebShredderをダウン→実行
　 http://higaitaisaku.web.infoseek.co.jp/removecws.html#jyokyo　→OS再起動
7) 定番スパイウェア除去ソフト↓をインストール(併用推奨)
　 Ad-Aware　http://www.lavasoftusa.com/　Spybot-S&D　http://www.safer-networking.org/

8）Me/XPの場合「システムの復元」で直近の正常な状態に復帰させる、という手もアリ。
　［スタート］→［すべてのプログラム］→［アクセサリ］→［システム ツール］
　 →［システムの復元］
　復元フォルダに悪プログラムが残ったままになるのでアンチウィールスのスキャン
　で警告が出たり、うっかり再度復元して緊急事態に逆戻りしたりwに注意。また復元
　ポイントは日付の古いほうから順に消えていきます。正常なポイントがどれだったか
　紙にメモ取るなりして管理しときましょう。

《Secure系ブラウザジャッカー関係情報》
★You are visiting PEDO sites!　　Click Here To Protect Yourself★
とか黄色い窓にコケ脅しが出たら、Secure（troj_HARNIG.Aや亜種)喰らってます。
【緊急処置】に加えて次↓を実行。Hijackthis使用法はこの後の解説参照
Hijackthisを実行、次の項目をチェックして削除します。
　O4 - HKLM\..\Run: [Reg32] C:\WINDOWS\reg32.exe
　O4 - HKLM\..\Run: [Reg32] C:\WINDOWS\reg33.exe
　O4 - HKLM\..\Run: [Online Secuirity] C:\WINDOWS\svchost.exe
　O4 - HKLM\..\Run: [Dial32] C:\WINDOWS\dl.exe
　O4 - HKLM\..\Run: [Dial33] C:\WINDOWS\dlm.exe
　O4 - HKLM\..\Run: [Cons] C:\WINDOWS\consol32.exe
　O4 - HKLM\..\Run: [Serv] C:\WINDOWS\msstasks.exe
　O4 - HKLM\..\Run: [Upgrade Service] C:\WINDOWS\winupd.exe
　O4 - HKLM\..\Run: [Upgrade Service] C:\WINDOWS\sxchost.exe
　O4 - HKLM\..\Run: [Service Expration] C:\WINDOWS\szchost.exe
　O4 - HKLM\..\Run: [Services Process] C:\WINDOWS\system32\config\services.exe
　O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.
　mht!h ttp:// hard-virgins.com/dl/ms/x.chm::/load.exe
仕込まれた悪ファイルの削除：上のHighjackThisで見つかったブラウザジャッカーの本体
ファイル(C:\WINDOWS\dlm.exeなど)を検索、削除。システムファイルと紛らわしい名前が
ついてるので、本物を削除しないよう、ファイル名とディレクトリを確認しながら慎重に
作業→OS再起動
その他secure関係では以下のようなファイルが報告されています。更新日付は全部同一と
なるのでエクスプローラの表示を「詳細」にしてC:\WINDOWSを目視検査すれば容易に発見
できます。言うまでもありませんが、発見したら全部削除してください。
C:\WINDOWS\System32\child.dll
C:\WINDOWS\dlm.htm
C:\WINDOWS\secure.html
　その他同じC:\WINDOWS\ディレクトリに
securea.html、secureb.html　等々の報告もあり

《その他リンク集》
■ウィルス関係はこちら↓
【正式】ウィルス情報＆質問　総合スレッド☆Part18
　http://pc3.2ch.net/test/read.cgi/sec/1081735712/
■その他セキュリティ関係の質問は↓
セキュリティ初心者質問スレッドpart40
　http://pc3.2ch.net/test/read.cgi/sec/1082207307/
■アダルトサイト被害対策の部屋
　http://higaitaisaku.web.infoseek.co.jp/
　　↑定番サイト。Hijackthis、その他ツールの使い方が詳しい。質問掲示板あり
■ダイヤルQ2、国際電話、罠サイト、架空請求関係のトラブルはここらで相談。
【メール･葉書】総合スレッドPart�U【架空請求】
　http://that2.2ch.net/test/read.cgi/bouhan/1083110757/
　アダルトサイト対策の部屋
　http://www002.upp.so-net.ne.jp/dalk/higai24.html
　　↑「被害対策の部屋」とは別サイト。有料エロサイト関係のトラブル対策
■国際電話・ダイヤルQ2関連
　http://www.ntt-east.co.jp/q2/　NTT東日本 ダイヤルQ2サービス
　http://www.ntt-west.co.jp/q2/　NTT西日本 ダイヤルQ2サービス
　　↑ダイヤルQ2接続チェックプログラムもここからダウンロードできます。
　http://www.emurasoft.com/jp/chintcal/index.htm　　 　　　No! 国際電話
　http://mitsu98.fc2web.com/bbs/index2.html　　　　　　　　　Dial Saver
　http://www.kddi.com/topics/atx/image.html　　　　　　　　　ダイヤルアップチェッカー
■バナー・ブラクラ対策
　http://member.nifty.ne.jp/hayazo/myprg.html　　　　　　 ClosePopup
　http://www.proxomitron.org/　　　　　　　　　　 　　　　　　 Proxomitron（公式サイト）
　http://www.pluto.dti.ne.jp/~tengu/proxomitron/　　　　　　 Proxomitron（日本語解説）
　http://pc5.2ch.net/test/read.cgi/win/1077360806/l50　　Proxomitron（Windows板・現行スレ）
　http://pc5.2ch.net/test/read.cgi/software/1060792740/l50　　Proxomitron（ソフトウェア板・現行スレ）

《freednshost関連情報》
これもけっこう流行ってます。情報歓迎。

ランダム名のユーザースタイルシートを投げ込んでくるのが特徴なので
Hijackthis　O19エントリを見逃さぬよう。
（例）O19 - User stylesheet: C:\WINDOWS\system32\udmw6g.wjx

----------------参考資料　IE関連の重要レジストリ項目----------------------
IEのスタートページの設定
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
→Start Page (文字列)
IEの検索ページの設定
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
→Search Page　（文字列）
IEのインターネットオプション・全般・ホームページを無効にする
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel
→Homepage　（DWORD値）=1 無効　　=0 有効　↓詳しい解説
http://www.winguides.com/registry/display.php/537/
IEのインターネットオプションを無効にする
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions
→NoBrowserOptions （DWORD値）=1 無効　　=0 有効　　↓詳しい解説
ttp://support.microsoft.com/default.aspx?scid=kb;ja;823057

《Highjackthis 入門チュートリアル　1》

ウィルス、ワーム、スパイ、ブラウザジャッカーなどの悪プログラムはレジストリを改変
して、自分が自動的に実行されたり、削除されても復活したり、IEのホムペをエロサイト
にしたり、仏壇の下の引出しからおばあちゃんの定期預金通帳を持ち出したり好き勝手を
します。Windowsにはregeditというレジストリ編集ツールが付属してますが、膨大な
レジストリ項目の中を探すのが大変だし、間違ったときの復旧処理も面倒です。

Hijackthisは悪プログラムが改変しそうな項目をスキャンして表示し、簡単に削除/復旧
する非常に便利なツールです。

1)デスクトップに新しいフォルダを作る。デスクトップ上の何も無い場所を右クリック
「新規作成」→「フォルダ」を左クリック名前をつける、HJThisなど、適当な名前でよい。
http://higaitaisaku.web.infoseek.co.jp/HijackThis.exe　（被害対策）
http://www.spywareinfo.com/~merijn/downloads.html　（本家）
「保存」を押す。保存先には、今作成した新しいフォルダを指定。
2)Hijackthis以外の窓を全部閉じる。Main画面でSCAN→SCANボタンがSave Logボタン
に変わる→ボタンを押す→Highjackthisが存在するディレクトリを選んで実行→ログ
ファイルが作成されメモ帳で開かれる→エライ人から「ログを貼れ」といわれたらこの
ログを貼ってください。
7)　Main画面で削除項目を選択反転→Fix Chekedボタンを押す
8)　間違えて削除した場合は、config→BACKUPS→復元したい項目を選択反転→Restore
ボタン

「被害対策」サイトのこの辺が詳しいので参考にしてください。
http://higaitaisaku.web.infoseek.co.jp/hijackthis.html

《Hijackthis 入門チュートリアル　２》
ログの読み方-１

・Running processes - 起動中のプロセス一覧→妙なものがないかチェック
・R1〜R3 - 【重要】Internet Explorerのスタートページやサーチページの値→
　後からどうにでもできる。見覚えないもの、分からないものは全部削除
・F0〜F4 - .iniファイルにあるスタートアッププログラム→XP、Win2000では文字
　化けしている。バグなのでこの項目は無視
・O1 - Hosts ファイルの改変。→自分で書き換えてなければ削除
・O2〜O3 - IEの補助機能やツールバー→見慣れないものや身に覚えのないものは削除
・O4 - HKxxx【重要】自動起動のレジストリ。多くの悪者はここに現れる。google、2ch
　その他で情報収集。怪しければ削除。後で本体プログラムを削除するのを忘れぬよう。
・O4 - Startup 日本語環境では正常にスキャンされない→この項目は無視
・O5〜O6 - IE オプションが無効にされる/隠される→削除
・O7 - レジストリエディタRegeditが無効にされる→削除
・O8〜09 - IE 右クリックメニュー、ツールバーへの追加→不要な項目があったら削除
・O10 - Winsock ハイジャッカー→削除。削除できない場合はSpybotで削除。
・O11 - IE 'Advanced Options'窓の追加 →削除
・O12 - IE プラグイン→たいていは安全。OnFlow はスパイなので (．ofb)削除。

《Hijackthis 入門チュートリアル　３》
ログの読み方-2

・O13 - IE DefaultPrefix ハイジャック →こに出たのは全部悪。削除
・O14 -「WEB設定のリセット」 ハイジャック→見覚えないURLなら削除
・O15 -「信頼済みサイト」ゾーンへの侵入→自分で入れたURL以外は削除
・O16 - 【重要】インストールされているActiveXプログラム→見慣れないものや身に
　覚えのないものは削除。必要なものは後でいくらでもダウンロード可能。
・O17 - Lop．com ドメイン・ハイジャッカー →プロバ、あるはローカルのLANのドメイン
　以外は削除。DNS サーバ はGoogle でIP を検索してみれば素性がわかる。
・O18 -プロトコル・ハイジャッカー →cn (CommonName)、 ayb (Lop．com) 、relatedlinks
　(Huntbar)だったら削除
・O19 - ユーザースタイルシート・ハイジャッカー→CoolWebSearchです。CWShredder
で駆除

最終的に正常な状態に戻ったら、そこまでに削除した項目の本体ファイルも探して消す！
ログファイルには本体ファイルのパスとファイル名が出ているので参考にする。

念のため注意：
Hijackthisのログに現れた項目は全部が悪ではない。いきなり削除するとパソコンが
不調になることも。このスレのレス、回答者の指示、google検索などで悪と判断された
ものだけを削除すること。

間違って削除した場合：
Config... →Backups→復活したい項目を選択反転→Restore

《servicespｙ関連情報》
SexVideo.wmv、MORO-MOVIE.wmv、URA-VIDEO.wmvなどという
ファイルがデスクトップ上に作成され削除できない。再生後自動的
にIEが起動し、click−monkey.comのサイトに飛ばされる。Hijackthis
から削除できない。

対処方法：
C:\TEMP\DS\DS.exe ← これが本体の実行ファイル。XP Win2000nの
サービスに登録して実行されるタイプなのでまずサービスを無効にする。
（以下はRptServiceという表示名になっている場合の例）

　スタート→設定→コントロールパネル→管理ツール→サービス
　RptServiceを選択反転→プロパティを開く→実行パスが
　C:\TEMP\DS\DS.exeなのを確認→サービスの状態「停止」→
　スタートアップの種類「無効」

レジストリエディタで以下のキーを削除
　[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RptService]
　[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\RptService]
　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RptService]

OSを再起動→C:\TEMP\DS\DS.exeを削除。（またはDS.exe.safeにリネーム）

○関連スレ
【総合】スパイウェア予防駆除 Part2
http://pc3.2ch.net/test/read.cgi/sec/1076187801/
セキュリティ初心者質問スレッドpart40
http://pc3.2ch.net/test/read.cgi/sec/1082207307/
【正式】ウィルス情報＆質問　総合スレッド☆Part18
http://pc3.2ch.net/test/read.cgi/sec/1081735712/

スパイウェア発見専用ソフト「Ad-aware」Part10
http://pc3.2ch.net/test/read.cgi/sec/1078600708/
【雑談禁止】スパイウェア削除ソフトSpybot 11
http://pc3.2ch.net/test/read.cgi/sec/1081764816/
常駐させなくても（・∀・）ｲｲ!! SpywareBlaster ２
http://pc3.2ch.net/test/read.cgi/sec/1080635851/
制限付きサイトへ登録　IE-SPYAD
http://pc3.2ch.net/test/read.cgi/sec/1076041687/

>>１　スレ立て乙

テンプレ貼ってくれたヤシ乙。　２、３かぶらせてしまって、スマソｗ

　　　　　　／￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
　　　　　　| 　 マスター、新装開店おめでとう♪
　　　　 　 ﾚヽ＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
　　　∧＿∧　　 　 　　　∧＿∧　 　 ／￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
　　 （　　・∀） /￣ヽ　　(´∀｀　 )　＜　ありがとうございますモナ
　　 （　　　`つ　日 凸　（　つ　つヽ　 ＼＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
　　 （＿　⌒./　　　凵ヽ |　｜ ｜　|ヽ.凸|　　 |
　　 「 　（＿/Ｙ　　　　　ヽ _（＿_）　|　|＼| 　　|
　　┗┳━|￣￣￣￣￣|　 　 .. 　 ＼|. │ 　｜
　　　 ┻＼|　　 　 　 　.｜　　　 　 　 ＼.| 　 │

98で復元したいなら一応試してみ。（一番古い日付は不可）

1. パソコンの電源を入れたら[Ctrl]キーを押しっぱなしにする
2. “Startup Menu”が表示されたら“Command Prompt Only”（コマンドプロンプトのみ）を選択する
3. 入力可能状態になったら、“scanreg”と入力してから[Enter]キーを押す
4. 日付の一覧が表示されるので、その中で復元したいと思うバックアップデータを選んで[Enter]キーを押す
5. 再起動を求められるので、再起動する

乙です

乙です！

でさ、誰かこのスレの「まとめサイト」つくんない？　っていうと
「お前がｒｙ」って言われるんだけど。漏れスキルないし、連Qくらい
しか時間とれんし…

参考になるか分からんが
http://foffo-gunkanmaki.hp.infoseek.co.jp/url.htmlのミニ特集にfreednshost.infoとかのレスのまとめが載ってる

テンプレ保存しておいた、次スレ立てる時にでも使ってくれ。
http://pcqa.s3.xrea.com/upload/source/up0097.txt

>>22　tnx

　 ∧＿∧　 ／￣￣￣￣￣￣￣￣￣￣￣￣￣￣
　（　´∀｀）＜　みんな、どんどん質問するモナ
　（　　　　） |
　｜ ｜　|　 ＼＿＿＿＿＿＿＿＿＿＿＿＿＿＿
　（_＿）＿）

■質問の前に>>1-15を全部読んで「実行」しろ！■

一通り「実行」してもお手上げの場合は質問しても良し。
OSの種類、ブラウザ、セキュ関係ソフトの有無、実行結果を書かないと放置orネタ回答

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

Kerio Personal Firewall 4

・「システムセキュリティ」というプログラム起動を監視する機能により、
　キンタマウイルス　http://www.symantec.com/region/jp/sarcj/data/w/w32.antinny.k.html
　などのアイコンを偽装したEXEファイルをクリックしても警告が出て感染を防げる
　（玄人向けで有料だがTiny5でも防げる。
　　Sygate・Zone Alarmには似たような機能があるが防げない。
　　Outpost・Kerio2・ノートン・バスター・マカフィー・ウイルスセキュリティに至っては類似機能もない）

・現時点では日本語化できない
・2バイト文字には対応していない
・Kerio2よりはわかりやすく、Zone AlarmのようにYES/NOだけでもいけるし
　kerio2のように詳細ルールも作れる
・SPIとIDS、トロイ対策のDLL監視機能もある（広告ブロックは有償版のみ）
・Outpostなみに軽い
http://pc2.2ch.net/test/read.cgi/win/1077780039/233

●「Firewallと森で遊ぼう」Kerio Personal Firewall 4解説サイト
http://eazyfox.homelinux.org/Firewall/Kerio/Kerio41.htm

●Kerio Personal Firewall 4のログビューア
http://www.geocities.jp/masagooooool/

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

/////////////////////////////////////////////////////////////////

System Safety Monitor(SSM)

・リアルタイムでシステムの活動をモニターし、常駐させればKerio4のようにHTMLからのexe起動を含め、
　キンタマウイルス　http://internet.watch.impress.co.jp/static/index/2004/04/09/antinny.htm
　などの(ルールが)未決定のアクションを防げる（PFWではない）

・無料
・日本語化できる
・レジストリキーの変更も監視できる

●SSMヘルプ翻訳テキスト+HTML配布サイト
http://www.geocities.co.jp/Outdoors-Mountain/9671/ssm/

/////////////////////////////////////////////////////////////////

901 名前：900[sage] 投稿日：04/04/02 22:14
アンチウイルスソフト検出力結果報告(・∀・)

ANTIDOTE / avast! 4 / AVG / AntiVir / BitDefender / eTrust
◇ウイルス
EBCVGにてBinary VirusesとVirus codesを合計722ファイル（重複あり）
全てzip圧縮に変換
Linux/Macウイルスあり
◇アンチウイルスソフト
4/2 18：00頃の最新パターン適用
比較対照としてトレンドマイクロオンラインスキャンを使用・・・したかったけど結果悪いのでBitDefenderを基準に

☆結果 （検出数/検出率）
BitDefender (*1） 580　　100.0％
AVP (*2) 545　　93.97％
Trend Micro 539　　92.93％
Antidote (*3) 524 90.34％
avast!4 (*4) 470　　81.03％
eTrust (*5) 444　　76.55％
AVG (*6) 212　　36.55％

*1 懐疑ファイル13含む
*2 懐疑ファイル2含む
*3 コード解析/圧縮ファイル/詳細検索にチェック。詳細検索にチェックを入れない場合は520。なお懐疑ファイルはどちらも3。
*4　迅速な検査＝261　　標準検査＝286　　完全な検査＝470
*5 Heuristic有効。SafetyLevel → Reviewer　　 ScanningEngine → InoculateIT
*6 Heuristic有効。

AVGの検出率が悪すぎる。何かおかしい気が・・・(・∀・)？
【cool】BitDefender Free Edition【free】
http://pc3.2ch.net/test/read.cgi/sec/1029516867/901

802 名前：Bitｽﾚ901[sage] 投稿日：04/04/04 19:02
BitDefender（以下BD）が全てのウイルスを検出したわけではないです。
BDが検出したウイルス数の580を100%として出した結果です。
要するにAVGだとBDの37%ということです。

誤解してる人がいるかもしれないので念のため。

※AVGの検出は悪すぎたので"3回再ｲﾝｽﾄ＆4回検査”してます。
　で、結果は全て同じ(ﾟдﾟ)

非圧縮時の検出率を知りたい人は適当にウイルス集めて試してください（´・ω・｀）

【フリー】AVG Anti-Virus　Version１５
http://pc3.2ch.net/test/read.cgi/sec/1079833302/802

831 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：04/04/05 01:03
去年(031207)同じようにやった結果

定義ファイル、プログラムは当時最新
圧縮なんかの設定はebcvgから落としてきたまま(rar,zip,b64)
ただしほとんどはzipだから誤差は少ないと思う

Antidote (*1) 549 100.00%
eTrust (*2) 537 97.81%
BitDefender (*3) 502 91.44%
avast!4 (*4) 484 88.16%
AVG (*5) 366 66.67%

*1 ｺｰﾄﾞ解析,圧縮ﾌｧｲﾙ,電子ﾒｰﾙ, 懐疑5
*2 設定が多いから略。たぶん最高
*3 圧縮ﾌﾟﾛｸﾞﾗﾑ 圧縮ﾌｧｲﾙ, ﾒｰﾙ, ﾋｭｰﾘｽﾃｨｯｸ
ただしvirus bodiesは584, 懐疑22
*4 圧縮ﾌｧｲﾙ
*5 圧縮ﾌﾟﾛｸﾞﾗﾑ 圧縮ﾌｧｲﾙ, ﾒｰﾙ, ﾋｭｰﾘｽﾃｨｯｸ
（一応どれも設定は最高にしてやったつもり）

>>731と見比べると向こうはBitdefenderの検出数をvirus bodiesで
数えてるんじゃないかと思う。
おれはIdentified virusesが検出数だと思うから上はそっちを採用してる。

AVGの検出が悪いのはたぶん設定の問題。でも良くはない
むしろ>>742と同じような結果だから、AVGの検出力はこんなもんだと思ってる。

【フリー】AVG Anti-Virus　Version１５
http://pc3.2ch.net/test/read.cgi/sec/1079833302/831

BitDefender（フリーの最新版）
・リアルタイムスキャンできない、メールスキャンできない
・まだ日本語化できない
http://ringonoki.net/tool/antiv/bitdef.html

AntiVir（フリー版）
・リアルタイムスキャンできる
・メールスキャンできない（常駐オンでread and write時有効な場合、添付ファイルを選択すればチェックできる）
・まだ日本語化できないに等しい
http://eazyfox.homelinux.org/SecuTool/AntiVir/AVguard1.htm

avast! 4（フリー版）
・リアルタイムスキャンできる、メールスキャンできる
・日本語版がある、2バイト文字に対応
http://iso-g.hp.infoseek.co.jp/alwil/avast_home/avast_home.html

eTrust（フリーのプロモーション版）
・リアルタイムスキャンできる、メールスキャンできる
・日本語化できる、2バイト文字に対応
・導入時に修正パッチをインストールするのがめんどう
http://etavfp.hp.infoseek.co.jp/

AVG（フリー版）
・リアルタイムスキャンできる、メールスキャンできる
・日本語化できる、2バイト文字に対応
http://eazyfox.homelinux.org/SecuTool/AVG6/AVG61.htm

　　　　　　／￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
　　　　　　| 　 マスター、新スレおめでとうモナ
　　　　 　 ﾚヽ＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
　　　∧＿∧　　 　 　　　∧＿∧　 　 ／￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
　　 （　　・∀） /￣ヽ　　(´∀｀　 )　＜　テンプレちゃんと読んで質問するモナ
　　 （　　　`つ　日 凸　（　つ　つヽ　 ＼＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
　　 （＿　⌒./　　　凵ヽ |　｜ ｜　|ヽ.凸|　　 |
　　 「 　（＿/Ｙ　　　　　ヽ _（＿_）　|　|＼| 　　|
　　┗┳━|￣￣￣￣￣|　 　 .. 　 ＼|. │ 　｜
　　　 ┻＼|　　 　 　 　.｜　　　 　 　 ＼.| 　 │

■質問の前に>>1-31を全部読んで「実行」しろ！■

一通り「実行」してもお手上げの場合は質問しても良し。
OSの種類、ブラウザ、セキュ関係ソフトの有無、実行結果を書かないと放置orネタ回答

　 ∧＿∧　 ／￣￣￣￣￣￣￣￣￣￣￣￣￣￣
　（　´∀｀）＜　みんな>>1-31を全部読んで実行してから質問するモナ
　（　　　　） |
　｜ ｜　|　 ＼＿＿＿＿＿＿＿＿＿＿＿＿＿＿
　（_＿）＿）

質問です。
ネットサーフィンしてたら
知らない間に>>6の事態に陥ったので
1）から順番に作業を薦めようとしてたら
ＷＥＢ設定のリセットをクリックする前に
強制的にﾌﾟﾛｸﾞﾗﾑが閉じられてしまいます。
こういった場合はどうすればいいんでしょうか？　

>>35

●CoolWebShredderによる自動削除
　http://higaitaisaku.web.infoseek.co.jp/removecws.html#jyokyo

●定番スパイウェア除去ソフト↓をインストール(併用推奨)

　・定番　スパイウェア除去ソフト Ad-Aware 使用法
　　　http://www.dream-seed.com/server/spy.html

　・定番　スパイウェア除去ソフト Spybot-S&D　使用法
　　　http://www.dream-seed.com/server/spybot.html

------以上実行してまだトラブってたら（OS種類必須）再度質問して下さい----

ぺすとぱとろーるってなにぃ？？

>>35
まず>>6- 6)　CWShredderのインスコ→実行　以降を実行して味噌。

そこまで行き着かない場合は、ウィルスかも。ウィルススキャンは
【正式】ウィルス情報＆質問　総合スレッド☆Part18
http://pc3.2ch.net/test/read.cgi/sec/1081735712/1>>37
シマンテックかトレンドのスキャンをかけてみ。

>>37
アンチウィルスソフトだけでは不十分。
そこで登場するのがPastPatrol、アンチウィルスソフトと併用することによりＰＣを悪意のあるソフトから守ってくれる。
フリーのスパイウェアと決定的に違うのは、PastPatrolは守備範囲が広いと言うこと。
アンチウィルスソフト＋PastPatrol（＋PFW）で総合セキュリティも完全です。

>>37
よく知らんが、専用スレはあるようだ。
アンチスパイウェア　PestPatrol　Part2
http://pc3.2ch.net/test/read.cgi/sec/1080266204/

コントロールパネルからアプリケーションの追加と削除がなくなってしまいました。
そもそもホームページがC:\WINDOWS\secure32.htmlになるのでいろいろ
直したのですがまだ完全ではないようです。
どうしたらいいですか？

>>37　>>39
信者さん、ｼﾞｻｸｼﾞｴﾝご苦労様。

ありがとうございます。
自演ではありませぬ（ｗ

？？？？？？？？？？？？？？？？

>>42
氏ね

ラプラスってよした方がいいのでしょうか。
スパイウエハ仕込まれいるからやめれと
某匿名掲示板群で言われました。
でもラプラス以外の回答ソフトに違和感を
感じるのです。こんな私はどうすればいいのでしょうか。
昭和48年生まれです。

>>41
OSは何なの？

>>47
XPです。

>>48
XPの場合は、「プログラムの追加と削除」

ラプラスってよした方がいいのでしょうか。
スパイウエハ仕込まれいるからやめれと
某匿名掲示板群で言われました。
でもラプラス以外の回答ソフトに違和感を
感じるのです。こんな私はどうすればいいのでしょうか。
昭和48年生まれです。

ネタか・・・・・？

>>41
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\

ここらへんを捜索して関係ありそうなキー、値が登録されてないか調べてみ

XPには最初から「アプリケーションの追加と削除」はないっす。

　　　　■質問の前に>>1-31を全部読んで「実行」しろ！■

一通り「実行」してもお手上げの場合は更にもう一度>>1-31を読み直し
それでもダメな場合だけ質問しても良し。
OSの種類、ブラウザ、セキュ関係ソフトの有無、実行結果を書かないと放置orネタ回答

(=^u^=)随分厳しい掟なり♪

>>53　「プログラムの追加と削除」だがｗ、中身は同じ。

>>54　それじゃお前より詳しくなっちまうな…

今回のテンプレは自信作なのでノートに清書して
持ち歩ける様にしてくれ。

▼━質問のしかた ━━━━━━━━━━━━━━━━━━━━━━━━━━━
　・ E-mail欄(省略可) には何も記入しないこと。(ID出す→偽者対策・質問者の区別)
　・ 2回目以降の書込は、名前欄に最初に質問した際の「発言番号」を入力すること。
　・ 他のスレから誘導された場合は、その旨書く。(マルチポストとの区別)
　・ OSの種類、ブラウザ、セキュ関係ソフトの有無、実行結果を報告。（特にOSの種類）

■ 重 要 ■
《緊急処置》　>>6　なにはともあれ、落ち着いてこれやるだけで8割は解決します。
何も読まずにいきなり質問するとネタ回答を食う可能性大ですｗ

《Secure系ブラウザジャッカー関係情報》 >>7 ★You are visiting PEDO sites!★
　とか黄色い窓にコケ脅しが出たらSecureにやられてます。これを実行
《アンチスパイソフト》　>>2　CWShredder、Ad-aware、Spybot 始め定番アンチスパイ
　のリンク、解説サイトなど一覧。《緊急処置》実行するときにも参考にしてください。
《Highjackthis 入門チュートリアル　1》　>>11　エライ人から「Hijackthisのログ貼れ」
　と言われたらここ見て実行です。指示があるまで「削除」はしないこと。

----------------以下は主に回答者向け情報です-------------------------
《Hijackthis 入門チュートリアル　２-３》 >>12 >>13　ログ解読入門
《参考資料　IE関連の重要レジストリ項目》　>>10
《freednshost関連情報》　>>9　
《servicespｙ関連情報》 >>14　
《関連スレ一覧》 >>15　調べ物に利用してください

　　　　■質問の前に>>1-31を全部読んで「実行」しろ！■

一通り「実行」してもお手上げの場合は更にもう一度>>1-31を読み直し
それでもダメな場合だけ質問しても良し。
OSの種類、ブラウザ、セキュ関係ソフトの有無、実行結果を書かないと放置orネタ回答

今回のテンプレは自信作なのでノートに清書して
持ち歩く様にしてくれ。

コンピューターを立ち上げる度に
「ファイルC\WINDOWS\TEMP\CNSMINS.BATがみつかりません。
システムにファイルが存在するかパスおよびファイル名が正しいか確認してください」
のメッセージがでるのですが、直すにはどうすればよいですか？
申し訳ありませんが、よろしくお願いします。

>>60
CnsMinの除去方法
http://higaitaisaku.web.infoseek.co.jp/removecnsmin.html

　 [二二]__　　流石だよな俺ら
　 (,,´ー｀)　　(ﾟ∀ﾟ,,)
＿（__つ/￣￣/　　i)
　　＼./＿＿/￣￣￣

CoolWebShredderの使い方
http://higaitaisaku.web.infoseek.co.jp/removecws.html
Ad-aware 6.0によるスパイウェアの除去方法
http://higaitaisaku.web.infoseek.co.jp/adaware.html
Spybot1.2によるスパイウェアの除去方法
http://higaitaisaku.web.infoseek.co.jp/spybot2.html
スパイウェアごとの情報、対応方法
http://higaitaisaku.web.infoseek.co.jp/menu5.html

ありがとう

　　　　　●【緊急】　早く治したい方は以下を実行して下さい　【処置】●

　　　WEB設定のリセットは、こまめに実行しましょう（無限ループ防止の為）　

1) 　IEのホーム、検索ページを標準に戻す→ツール→インターネットオプション→
　　 プログラム→WEB設定のリセット

2）　IEの履歴削除→ツール→インターネットオプション→全般→インターネット
　　 一時ファイル→クッキーの削除+ファイルの削除

3)　 削除したいファイルがあるが「アクセスできません。使用中です」等といわれて
　　 削除できない→セーフモード（F8を連打）でOSを起動→削除→OS再起動

4) 　勝手に追加されたアプリをアンインストする→スタート→コントロールパネル→
　 　 アプリケーションの追加と削除（JWordはここでアンインストする）→OS再起動

5) 　ブラウザジャッカーCoolWebSearch駆除ツール　CoolWebShredderをDL
　 　 http://higaitaisaku.web.infoseek.co.jp/removecws.html#jyokyo　→OS再起動

6）　定番スパイウェア除去ソフト↓をインストール(併用推奨)

　　　　・定番　スパイウェア除去ソフト Ad-Aware 使用法
　　　　　http://www.dream-seed.com/server/spy.html
　 　　・定番　スパイウェア除去ソフト Spybot-S&D　使用法
　　　　　http://www.dream-seed.com/server/spybot.html

7）　Me/XPの場合「システムの復元」で正常な状態に復帰させる方法もあります。
　　　［スタート］→［すべてのプログラム］→［アクセサリ］→［システム ツール］
　　 　→［システムの復元］

------以上実行してまだトラブってたら（OS種類必須）再度質問して下さい----

searchpageってゆうのはどうやって削除すればいいでしょうか？？
おしえてください！！！

すいません、昨日相談したものです。
なんかウイルスかスパイウェアがはいってしまったのですが、
ここに書いてあることを試してもだめでした。
しかたがないので、XPを再インストールしようと思うんですが、
それでウイルスやスパイウェアは消えるでしょうか？
漏れのはトップページが書き換えられてしまうというものだったんですが・・・

消える。きれいさっぱり。

>>68
即レスども。
今バックアップとっているところです。
ハードディスクは全部フォーマットされるんですよね？

>>67
Hijackthisのログを見てみたいな

Hijackthisは昨日やってみましたが、だめでした。
ログ晒します。
Logfile of HijackThis v1.97.7
Scan saved at 23:11:36, on 2004/04/30
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\svcc.exe
C:\Program Files\ISTsvc\istsvc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\gikoNavi\gikoNavi.exe
C:\Documents and Settings\かおる\デスクトップ\HIjack\HijackThis.exe

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F0 - syst>m.ini: Shell=
F0 - R>ystem.ini: Shel>=
F0 - R>ystem.ini: UserInit=
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RecSche] C:\LifeView FlyVideo\RecSche.exe
O4 - HKLM\..\Run: [AtiPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\svcc.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [pqp] C:\WINDOWS\pqp.exe
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .mpg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll

O13 - DefaultPrefix: http://world-search.biz/search.php?url=
O13 - WWW Prefix: http://world-search.biz/search.php?url=
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37899.0635185185
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF86873F-04C2-4A95-A373-5703C08EFC7B} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FC09B611-6311-4AAE-9C90-A0647DD060BF}: NameServer = 211.129.14.138 211.129.12.47
なんかやばいところあるでしょうか？

>>73
O13 - DefaultPrefix: http://world-search.biz/search.php?url=
O13 - WWW Prefix: http://world-search.biz/search.php?url=

これもヤバイ

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

これもね

O16 - DPF: {EF86873F-04C2-4A95-A373-5703C08EFC7B} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006.cab

つきあってくれてどうもありがとうございます。
013の奴はさっき気づいて削除しましたが、すぐ復活してしまいます。
R3って奴は今削除しました。ありがとうございました。
ちょっと様子を見たいと思います。

Symantec Security Response - Adware.WorldSearch
http://www.symantec.com/region/jp/sarcj/data/a/adware.worldsearch.html

O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\svcc.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [pqp] C:\WINDOWS\pqp.exe
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe

ほんとうにありがとうございます。
直していってますが、すぐに復活してしまいます。
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
ってのは昨日も削除しようとしましたが、すぐ復活します。
復活しないようにするには、もう再インストールしかないのでしょうか？

TROJ_ISTBAR.N - 概　要
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_ISTBAR.N

つきあってくれてありがとうございました。
再インストールきめました。
では失礼します。

★質問者はメール欄には何も書かずに投稿しましょう★

　　　　　∧_∧　　
　　　　 （´Д｀） ＜おまえは誰だ！名を名乗れ！名前欄に番号書けよ！
　　 　 (m9 ∧_つ　((( )))
　　　/　 　 |　　　 （´Д｀） ＜ おまえは誰だ！メール欄には何も書くなよ！
　　/ ／~>　）　　　(m9　つ　　　　　　
　 （__)　　＼_つ　 （_/＼っ　　

★質問者は名前欄に最初に質問した時の番号を書きましょう★

ネットから切断してWeb設定のリセットをしなかったんだろう。

　　　　■質問の前に>>1-31を全部読んで「実行」しろ！■

一通り「実行」してもお手上げの場合は更にもう一度>>1-31を読み直し
それでもダメな場合だけ質問しても良し。
OSの種類、ブラウザ、セキュ関係ソフトの有無、実行結果を書かないと放置orネタ回答

今回のテンプレは自信作なのでノートに清書して
持ち歩く様にしてくれ。

時間の無いヤツは>>65をやれ！

すいません今からこのスレで質問させていただきたいので、このスレをお気に入りに追加したいんですが
左にフレームがあって、お気に入りのURLがhttp://www2.2ch.net/2ch.htmlになってしまいます
どうしたらいいんでしょうか・・・わけわからん質問ですいません

>>86
上位100スレの一覧があるでしょ。そこのとこに「スレッド一覧はこちらから」ってとこクリックしてから、
そっからこのスレ入ってください。

エロサイト見たら…助けてください！Part22
http://pc5.2ch.net/test/read.cgi/pcqa/1083241874/l10

なんて文章書いてるんだ俺は。

>>87さま、どうもありがとうございます。私はPC初心者です。ノートパソコンでOSはWindows XP HomeEditionです。昨日、２ｃｈに来て、
紹介されたエロサイトをクリックしてしまったら、PCがおかしくなり、全画面が真っ青になり白い英文が出てきたと思ったら電源がしま
って、今日PCを使おうとしたら、Nortonが『ウイルスに感染しました』と言って来ました。そこで、Nortonでスキャンしたところ、一見
駆除は出来たかの様なんですが、おかしな症状が改善されません。どうしたらいいんでしょうか・・・

【おかしな症状】
�@毎回Windowsを起動するたびに、『C:\Program』『Files\Windows』『Player\wmplayer.exe』という３つのダイアログが出てきて、
「'C:\Program''Files\Windows''Player\wmplayer.exe'が見つかりません」というエラーメッセージが出ます
レジストリに指定されている
�A毎回Windowsを起動するたびに、『デスクトップ』という3つのダイアログが出てきて、
「'C:\Program'Files\Windows''Player\wmplayer.exe'を読み込めないか、または実行できません。ファイルがあるか確認してください。
またはレジストリの参照を削除してください。」という警告メッセージが出ます
�B毎回Windowsを起動するたびに『Windows Media Player』 がいきなり開いて、真っ黒な画面が表示され、中心に『･･･読み込んでいま
す･･･』とかいう大きな文字が表示され続けます。
�CIEを起動すると、ホームページアドレスの標準設定が、PCメーカーのURLのはずなのに、URLが『about:blank』にというのになっていて、
毎回真っ白なページが表示されます。何度設定し直しても、再起動するたびにabout:blankに戻ってしまいます。

>>86
http://pc5.2ch.net/test/read.cgi/pcqa/1083241874/

>>91さまもどうもありがとうございます。
【やった事】
�D覚えの無いプログラムのアンインストール（10個位削除）
�ENortonのスキャンを通常モードとセーフモードで1回ずつ実行
�Fhijackthisのダウンロード（HijackThis.exeのアイコンを実行しようとしても『Warning』というダイアログと共に英文が表示され、実行できないです）

【最初のNortonスキャン】
Norton AntiVirus　が11個の感染ファイルを見つけました。
Norton AntiVirus　が修復した感染は9個。
enbiei.exe W32.Blaster.F.Worm　修復できませんでした
svchost.exe W32.Welchia.B.Worm　削除できませんでした
Norton AntiVirus　が修復した感染は9個。検疫した感染は1個。
svchost.exe W32.Welchia.B.Worm　検疫できませんでした。

【セーフモードで再びNortonスキャン時のログ】
Norton AntiVirus　が1個の感染ファイルを見つけて修復しました。

あ、すいません大切な事忘れてました
86＝90＝92です

>>86
CoolWebShredderの使い方
http://higaitaisaku.web.infoseek.co.jp/removecws.html

>>90>>92
酷すぎだな・・・
まずはW32.Blasterから（一番深刻）

ここから修正パッチをダウンロードしてパッチ当てる（exeクリック）
http://download.microsoft.com/download/c/9/3/c93838c2-2d8a-4b43-9a32-4846b5e950dc/WindowsXP-KB824146-x86-JPN.exe

次にここから駆除ツール（XP用）をダウンロードして駆除
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.blaster.worm.removal.tool.html
駆除ツールの使用法よく読んでから実行
http://service1.symantec.com/SUPPORT/INTER/tsgeninfojapanesekb.nsf/jdocid/20030818215524953

では今から>>95でご教示いただいた方法を試してみます
後ほど報告させていただきます

ノートン無効にするから感染するんだよ

　　　　　　／￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
　　　　　　| 　 マスター、今晩も繁盛してるね♪
　　　　 　 ﾚヽ＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
　　　∧＿∧　　 　 　　　∧＿∧　 　 ／￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
　　 （　　・∀） /￣ヽ　　(´∀｀　 )　＜　ありがとうございますモナ
　　 （　　　`つ　日 凸　（　つ　つヽ　 ＼＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
　　 （＿　⌒./　　　凵ヽ |　｜ ｜　|ヽ.凸|　　 |
　　 「 　（＿/Ｙ　　　　　ヽ _（＿_）　|　|＼| 　　|
　　┗┳━|￣￣￣￣￣|　 　 .. 　 ＼|. │ 　｜
　　　 ┻＼|　　 　 　 　.｜　　　 　 　 ＼.| 　 │

インターネットエクスプローラーのトップページがエロサイトになってしまったのですが、WEB設定のリセットやクッキーの削除+ファイルの削除を実行しても直りません。
他に方法があったら教えてください。お願いします。

>>99
そのアドレスは？

http://aifind.info/

ここです。

>>99
窓の手使え。

>>101
http://aifind.info/uninstall.exe

↑このアドレスは？

俺も信用してもいいのか知りたい。

>>104
公式アンインストーラ

治りました！皆様、どうもありがとうございました。

>>99
>>2のAd-awareとSpybot

公式アンインストーラ信用してもいいんだね。

おかげさまで、95の方法どおり、駆除ソフトFixBlast.exeを実行できました。結果はW32.Blaster Worm はもういなかったようです。
どうやら幸いにも1回目か2回目のスキャンで駆除が成功した様です。
ちなみに>>90で報告しました【おかしな症状】はいまだ改善されておりません。（当たり前かもしれませんが）
次は何をすればよろしいでしょうか？

>>110
糞して寝ろｳﾞｫｹ

緊急処置テンプレ追加候補…

■うざいアドレス、ファイル名をぐぐって、うｎインストプログラムを探す

このケース意外にあるモナ

>>110
CoolWebShredderの使い方
http://higaitaisaku.web.infoseek.co.jp/removecws.html

>>110
●【緊急】　早く治したい方は以下を実行して下さい　【処置】●

　　　WEB設定のリセットは、こまめに実行しましょう（無限ループ防止の為）　

1) 　IEのホーム、検索ページを標準に戻す→ツール→インターネットオプション→
　　 プログラム→WEB設定のリセット
2）　IEの履歴削除→ツール→インターネットオプション→全般→インターネット
　　 一時ファイル→クッキーの削除+ファイルの削除
3)　 削除したいファイルがあるが「アクセスできません。使用中です」等といわれて
　　 削除できない→セーフモード（F8を連打）でOSを起動→削除→OS再起動
4) 　勝手に追加されたアプリをアンインストする→スタート→コントロールパネル→
　 　 アプリケーションの追加と削除（JWordはここでアンインストする）→OS再起動
5) 　ブラウザジャッカーCoolWebSearch駆除ツール　CoolWebShredderをDL
　 　 http://higaitaisaku.web.infoseek.co.jp/removecws.html#jyokyo　→OS再起動
6）　定番スパイウェア除去ソフト↓をインストール(併用推奨)

　　　　・定番　スパイウェア除去ソフト Ad-Aware 使用法
　　　　　http://www.dream-seed.com/server/spy.html
　 　　・定番　スパイウェア除去ソフト Spybot-S&D　使用法
　　　　　http://www.dream-seed.com/server/spybot.html

7）　Me/XPの場合「システムの復元」で正常な状態に復帰させる方法もあります。
　　　［スタート］→［すべてのプログラム］→［アクセサリ］→［システム ツール］
　　 　→［システムの復元］

------以上実行してまだトラブってたら（OS種類必須）再度質問して下さい----

今回、７）はダメ。相当以前の復元ポイントにも悪プログラムが入ってる可能性大。
1-6をできるとこまで実行。

>>110
『about:blank』はこれ
CoolWebShredderによる自動削除
http://higaitaisaku.web.infoseek.co.jp/removecws.html

WMPは削除して再インストールしてみるとか
セーフモードでやったほうがいい

もう寝るんで、あとは誰か偉い人の回答待ってくださいです

テンプレに公式アンインストーラ特集作って下さい。

>>116
被害対策のここ見れ　↓コンパネに現れるアンインストーラ特集
　http://higaitaisaku.web.infoseek.co.jp/uninstallinfo.html

レジストリのアンインストール情報
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall"

>>117
いいですねそれ、さっそく天麩羅屋さんにパクッテ貰って

テンプレメニューに加えましょう。

みなさん、ありがとう御座いました。
テンプレやリンク先、過去ログを読んで
なんとか復旧できました。
２日ほどかかりましたが、、、。

>>119
あんた誰？

　 [二二]__　　流石だよな俺ら
　 (,,´ー｀)　　(ﾟ∀ﾟ,,)
＿（__つ/￣￣/　　i)
　　＼./＿＿/￣￣￣

私はだだの名も無き119ですよ。

町で見かけたら気軽に声をかけてくださいね。

ただの御礼です。
質問はしてないけど、ココのスレッド読んで解決したので。

暇なヤシ、この↓スレ1からじっくり読んでみ。経済小説なんか買うより
ずっと面白いぞ。ヤフー掲示板のkitty女とか自殺予告とか登場人物も
ありったけ豪華。

{嵌め込み}　8925アルデプロ {子株人質}
http://ex3.2ch.net/test/read.cgi/stock/1082815279/

ゴールデンウィーク明けには一般紙の経済面や週刊誌に出るだろうが、
そのときに内幕の薀蓄をたれるチャンスがある。

参考情報

【正式】ウィルス情報＆質問　総合スレッド☆Part18
http://pc3.2ch.net/test/read.cgi/sec/1081735712/464
　> 未知のウイルスに感染して大変困っています。
http://pc3.2ch.net/test/read.cgi/sec/1081735712/520
　> レジストリの　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\　の
　> Run/RunServices に　scvhost.exe　のレジストリを作っている。
http://pc3.2ch.net/test/read.cgi/sec/1081735712/527-528
　> Microsoft.exe→それは別名Fuckyou.exeという奴だ。

《Blaster型攻撃が数日内に再来の兆し、専門家が警告》
> ウイルス対策各社は、異常なポートスキャン行為が検出され、
> MicrosoftのIISサーバの既知の脆弱性を突いてマシンが
> トロイの木馬に感染している証拠があるとして警告を発した。
Blasterスレ　part5
http://pc3.2ch.net/test/read.cgi/sec/1065964513/787-790

　　　　　　＿人人人人人人人人人人人人人人＿
　 　 　 　 ＞　　　な・・・・なんだってー！！　　　＜
　　　　 　 ￣^Ｙ^Ｙ^Ｙ^Ｙ^Ｙ^Ｙ^Ｙ^Ｙ^Ｙ^Ｙ^Ｙ^Ｙ^Ｙ^￣
　 　 　 　 _,,.-‐-..,,_　　　　　　 _,,..--v--..,_
　　　　／　　　　　｀''.v'ν　Σ´　 　 　 　 `､_,.-'""｀´""ヽ
　　　 i' 　 ／￣""''--i 7　　 | ,.ｲi,i,i,､ ､,､ Σ　　　 　 　 　 ヽ
. 　 　 !ﾍ /‐- 、u.　　 |' 　 　 |ﾉ-､ ' ` `,_`　| /i'i^iﾍ､ ,､、 　 |
　　　 |'' !ﾞ　i.oﾆ'ｰ'〈ｭﾆ! 　 　 iiヽ~oj.`'<_o.7 !'.__ ' ' ``_,,....､　.|
.　　　,`| u 　 　 　 ..ゝ! 　 　 ‖　 .j　　　　 (} 'o〉 `''o'ヽ　|',`i
_,,..-<:::::＼ 　 (二> ／　 　 　 ! 　_`-っ　 / | 　7　　￣ u |i'/
. |、　＼:::::＼　'' ／　　　 　 　 ＼　''　／〃.ヽ `''⊃　　,　'v>、
　!､＼　 ＼.　,￣　　　　　　　 γ/|￣　〃　 　 ＼二-‐' ／／

【やってみた事】
>>95　で教示された事
�GSpybot Search&Destroy 1.2の実行･･･問題箇所を検出後修正・削除
�HCWShredder.exeの実行･･･問題箇所を検出後修正・削除
�IWindows Media Player の削除と最インストール
�JHijackThisの実行

【やろうとしたけどやれなかった事】
システムの復元（なぜか今日以降急に過去の復元ポイントが無くなった）

【解決された問題点】
HijackThis.exeが使える様になった。>>2にあるHijackThisの日本語解説のURLを見てもIEが強制終了しなくなった
>>90の�Bの一部…OS起動と共にメディアプレイヤーが勝手に開いて自分が持っている動画が勝手に再生されるのだけはおさまった
>>90の�Cの一部…再起動するたびホームページが『about:blank』にはならなくなった


【解決されなかった問題点】
>>90の�@�A
>>90の�Bの一部…OS起動するたびにC:\WINDOWS\Mediaというフォルダが勝手に開く
>>90の�Cの一部…ホームページの標準設定は、ＰＣメーカーのHPではなく、依然として『about:blank』

【hijackthisを使った結果】
一つ一つ消去＆Destoreを試しましたが、どれを消しても症状が変わりません。最後に試しに全部消してみましたがダメでした。。。

>>129
OS入れなおせよ
半日もかからん。そして確実に解決する。

WINDOWS2000です。

無効な構文エラーとなって全く使えない状態になったので試行錯誤をした結果・・・。
間違ってアプリケーションの追加と削除でインターネットエクスプローラーをアンインストールしてしまいました。

インターネットエクスプローラーをiesetup.exeで再インストールしても状態が変わらないんですが、どうすれば確実に再インストールできるんでしょうか。

>>131
氏ね

>>131
> WINDOWS2000です。
> 無効な構文エラーとなって全く使えない状態になったので試行錯誤をした結果・・・。
> 間違ってアプリケーションの追加と削除でインターネットエクスプローラーをアンインストールしてしまいました。
> インターネットエクスプローラーをiesetup.exeで再インストールしても状態が変わらないんですが、どうすれば確実に再インストールできるんでしょうか。

インターネットエクスプローラー？IE？？
ってアンインストールできるの？？

ここでダウソしてみ。
http://www.benribbs.com/bbs2/cute/cute.cgi?id=tippu&subdir=o

>>133
(((((((( ；ﾟДﾟ)))))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙｶﾞﾀｶﾞﾀﾌﾞﾙｶﾞﾀｶﾞｸｶﾞｸｶﾞｸｶﾞｸｶﾞｸ

　　　　■質問の前に>>1-31を全部読んで「実行」しろ！■

一通り「実行」してもお手上げの場合は更にもう一度>>1-31を読み直し
それでもダメな場合だけ質問しても良し。
OSの種類、ブラウザ、セキュ関係ソフトの有無、実行結果を書かないと放置orネタ回答

今回のテンプレは自信作なのでノートに清書して
持ち歩く様にしてくれ。

時間の無いヤツは>>65をやれ！

>>133
乙。

>>133
もっと騙しやすいの貼りなよ。

■緊　急　処　置■
WEB見ててブラウザが変になったらとりあえず以下をできるとこまで実行。ブラクラ、
ジョークソフト、ブラウザジャッカー、スパイウェアなどの迷惑ソフトの8割はこれで
撃退できますよん。途中で分からなくなったら質問可。（必ずOSとブラウザを明記）

1) 閉じない窓を強制的に閉じる→alt+F4
2) IEのホーム、検索ページを標準に戻す→ツール→インターネットオプション→
　 プログラム→WEB設定のリセット★作業中ひんぱんに実行。無限ループを防ぐ★
3）IEの履歴削除→ツール→インターネットオプション→全般→インターネット
　 一時ファイル→クッキーの削除+ファイルの削除
4) 削除したいファイルがあるが「アクセスできません。使用中です」とかいわれて
　 削除できない→セーフモード（F8を連打）でOSを起動→削除→OS再起動
5) コントロールパネルからアンインストする→スタート→コントロールパネル→
　 アプリケーションの追加と削除（JWordはここでアンインストのこと）→OS再起動
6) アンインストーラを探す→[うざサイト名、悪プログラム名、uninstall]でgoogle検索
7) CoolWebSearch専用駆除ツールCWShredder、定番アンチスパイAd-Aware、
　　Spybot-S&Dをインスト、実行　>>3

8）Me/XPの場合★「システムの復元」で直近の正常な状態に復帰させる、という手もアリ。
　［スタート］→［すべてのプログラム］→［アクセサリ］→［システム ツール］
　 →［システムの復元］
　復元フォルダに悪プログラムが残ったままになるのでアンチウィールスのスキャン
　で警告が出たり、うっかり再度復元して緊急事態に逆戻りしたりwに注意。正常な
　ポイントがどれだったか紙にメモ取るなりして管理しときましょう。

9）　★Secure(You are visitin PEDO sites..と黄色い窓が出る）★にやられてたら以上、
　1)-9)を実行した後、対策情報>>7を実行。Hijackthisというツールを使った駆除になる
　ので使い方は>>11を見てください。レジストリの操作になるので実際にFix（削除）
　する操作はスレで指示をもらってから実行したほうが安全

▼━質問のしかた ━━━━━━━━━━━━━━━━━━━━━━━━━━━
　・ E-mail欄(省略可) には何も記入しないこと。(ID出す→偽者対策・質問者の区別)
　・ 2回目以降の書込は、名前欄に最初に質問した際の「発言番号」を入力すること。
　・ 他のスレから誘導された場合は、その旨書く。(マルチポストとの区別)
　・ OSの種類、ブラウザ、セキュ関係ソフトの有無、実行結果を報告。（特にOSの種類）

■ 重 要 ■
《緊急処置 v2.0》　>>138　なにはともあれ、落ち着いてこれやるだけで8〜9割は解決
します。何も読まずにいきなり質問するとネタ回答を食う可能性大ですｗ

《Secure系ブラウザジャッカー関係情報》 >>7 ★You are visiting PEDO sites!★
　とか黄色い窓にコケ脅しが出たらSecureにやられてます。
《アンチスパイソフト》　>>2　CWShredder、Ad-aware、Spybot 始め定番アンチスパイ
　のリンク、解説サイトなど一覧。《緊急処置》実行するときにも参考にしてください。
《Highjackthis 入門チュートリアル　1》　>>11　エライ人から「Hijackthisのログ貼れ」
　と言われたらここ見て実行です。指示があるまで「削除」はしないこと。

--------------------以下は主に回答者向け情報です-----------------------
《Hijackthis 入門チュートリアル　２-３》 >>12 >>13　ログ解読入門
《参考資料　IE関連の重要レジストリ項目》　>>10
《freednshost関連情報》　>>9　
《servicespｙ関連情報》 >>14　
《関連スレ一覧》 >>15　調べ物に利用してください

　　 ／￣￣￣￣￣ ミ
　 /　　 ,――――-ミ
　/　　／　 ／　　 ＼ |
　|　 /　　　,（･）　（･） |
　 (6　　　　　　 つ　　|
　 |　　　　　　＿＿_　 |　　 ／￣￣￣￣￣￣￣￣￣￣
　 | 　　　　 /＿＿/ ／　 ＜　　わかんねえよ！
／|　　　　　　　　 ／＼　　 ＼＿＿＿＿＿＿＿＿＿＿

>>65

>>100

私もなってしまいます。
http://s5.th.msie.cc/index.php
です。やはり、再インストールしかないでしょうか・・・

>>142
んで、このスレに載ってる対策は全部やった上でか？

>>143

他スレなどに載っている基本的なことは
ぜんぶ試したんですけどダメでした・・・
このスレは今きました。

>>144
じゃ、>>1から読め。そしてやってないことを実行しろ。それでダメなら自分の状況を
詳しく書いて改めて質問してくれ。

>>145
いま読んできました。
とりあえず、ログ晒します。なんか分かりますか？？
お願い致します

Logfile of HijackThis v1.97.7
Scan saved at 14:19:28, on 04/05/01
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ATI2PLXX.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\WINDOWS\SYSTEM\ATI2CWXX.EXE
C:\WINDOWS\LTSMMSG.EXE
C:\PROGRAM FILES\APOINT\APOINT.EXE
C:\PROGRAM FILES\FUJITSU\BTNHND\BTNHND.EXE
C:\WINDOWS\SYSTEM\IMEJPMGR.EXE
C:\PROGRAM FILES\FUJITSU\FUJITSU QUICK TOUCH\QUICKTOUCH.EXE
C:\PROGRAM FILES\ADAPTEC\DIRECTCD\DIRECTCD.EXE
C:\PROGRAM FILES\REAL\REALPLAYER\REALPLAY.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\WINDOWS\TPPALDR.EXE
C:\PROGRAM FILES\COMMON FILES\CMEII\CMESYS.EXE
C:\WINDOWS\SYSTEM\WUPDMGR.EXE
C:\PROGRAM FILES\FUJITSU\PMSET98\PMSET98.EXE
C:\PROGRAM FILES\APOINT\APWHEEL.EXE
C:\PROGRAM FILES\DI\HATCHINSIDE\HATCHINSIDE.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\COMMON FILES\GMT\GMT.EXE
C:\WINDOWS\NOTEPAD.EXE
C:\WINDOWS\ﾃﾞｽｸﾄｯﾌﾟ\新しいフォルダ\HIJACKTHIS.EXE

F0 - syst>m.ini: Shell=
F0 - R>ystem.ini: Shel>=
F0 - R>ystem.ini: UserInit=
O1 - Hosts: 66.40.16.218 auto.search.msn.com
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\
O2 - BHO: (no name) - {4449EEE1-2955-11D3-8B43-0000E20DA208} - C:\PROGRA~1\INETLITE\ATLIE.DLL
O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\PROGRAM FILES\CANON\EASY-WEBPRINT\TOOLBAND.DLL
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe

O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [AlpsPoint] C:\Progra~1\Apoint\Apoint.exe
O4 - HKLM\..\Run: [LoadBtnHnd] C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe
O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\Program Files\Fujitsu\Fujitsu Quick Touch\QuickTouch.exe
O4 - HKLM\..\Run: [FM Mobile Switcher] C:\Program Files\FUJITSU\FM
O4 - HKLM\..\Run: [FM Mobile Switcher start up] C:\Program Files\FUJITSU\FM
O4 - HKLM\..\Run: [FMVSCAN] c:\fjuty\fmvscan\fmvscan.exe
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\ADAPTEC\DIRECTCD\DIRECTCD.EXE
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\TPPALDR.EXE
O4 - HKLM\..\Run: [CMESys] "C:\PROGRAM FILES\COMMON FILES\CMEII\CMESYS.EXE"
O4 - HKLM\..\Run: [sys] regedit -s sys.reg
O4 - HKLM\..\Run: [Kernel32] C:\WINDOWS\SYSTEM\Kernel.dll
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2plxx.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [System Update2] c:\windows\system\wupdmgr.exe
O4 - Startup: PMSet98.lnk = C:\Program Files\Fujitsu\PMSet98\PMSet98.exe
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Startup: 警戒君(KKK).lnk = C:\Program Files\KKK\KKK.exe
O4 - Startup: hatchinside.exe.lnk = C:\Program Files\DI\HatchInside\hatchinside.exe
O4 - Startup: Yahoo! BB.lnk = C:\Program Files\Internet Explorer\IEXPLORE.EXE
O4 - Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe
O4 - Startup: 2chtubo.lnk = D:\2ch\2chtubo.exe
O4 - Startup: FOLDER.HTT

O8 - Extra context menu item: FlashGetでダウンロード - D:\
O8 - Extra context menu item: FlashGetで全てダウンロード - D:\
O8 - Extra context menu item: Easy-WebPrint 印刷 - res://C:\PROGRAM FILES\CANON\EASY-WEBPRINT\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint 高速印刷 - res://C:\PROGRAM FILES\CANON\EASY-WEBPRINT\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint プレビュー - res://C:\PROGRAM FILES\CANON\EASY-WEBPRINT\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint 印刷リストに追加 - res://C:\PROGRAM FILES\CANON\EASY-WEBPRINT\Resource.dll/RC_AddToList.html
O9 - Extra button: Net2Phone (HKLM)
O9 - Extra 'Tools' menuitem: Net2Phone (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {F82C37EC-935C-11DC-A25B-006097755A02} (avchatAtx Class) - http://www.ohmylove.co.jp/japan/avchatatx.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20030530/qtinstall.info.apple.com/bonnie/jp/win/QuickTimeInstaller.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38081.3508217593
O16 - DPF: {6C9DF694-FA29-435A-BDFC-5E03F391CB14} (AVChat_InstProj1 Control) - http://www.4nb.co.kr/avchat_asp/okidas/AVChat_InstProj1Proj1.cab

以上です。

ざっと見たが…

これは何？
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe

怪しい。心当たりなければ削除
O16 - DPF: {F82C37EC-935C-11DC-A25B-006097755A02} (avchatAtx Class) - http://www.ohmylove.co.jp/japan/avchatatx.cab
O16 - DPF: {6C9DF694-FA29-435A-BDFC-5E03F391CB14} (AVChat_InstProj1 Control) - http://www.4nb.co.kr/avchat_asp/okidas/AVChat_InstProj1Proj1.cab

これはサーチ頁乗っ取り。削除
O1 - Hosts: 66.40.16.218 auto.search.msn.com

心あたりなければ削除
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\
O2 - BHO: (no name) - {4449EEE1-2955-11D3-8B43-0000E20DA208} - C:\PROGRA~1\INETLITE\ATLIE.DLL

Ad-aware 6.0によるスパイウェアの除去方法
http://higaitaisaku.web.infoseek.co.jp/adaware.html
Spybot1.2によるスパイウェアの除去方法
http://higaitaisaku.web.infoseek.co.jp/spybot2.html

IE開くと強制的にエロサイト飛ばされるんで、
テンプレ見てMEだったんでシステム復元しました（IEはもとに戻りました）。
その後hijackで検索したのですが、>>7にあるようなファイルは発見できませんでした。
私が何か見落としているんでしょうか？
それとも、システム復元したことで解決したのでしょうか？

O1 - Hosts: 66.40.16.218 auto.search.msn.com
O4 - HKLM\..\Run: [CMESys] "C:\PROGRAM FILES\COMMON FILES\CMEII\CMESYS.EXE"
O4 - HKLM\..\Run: [sys] regedit -s sys.reg
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\TPPALDR.EXE
O4 - Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe

>>154、テンプレ>>2　など見てCWShredderとAd-aware、Spybotを
（まだ実行してないなら）実行。その後Hijackthisのログ取り直して
まだ>>152-153　>>156で指摘された項目が出てたら削除(FIX)。

>>138見て2、3、5を実行。OS再起動。

それだけやってまだトラぶってたらHijackthisのログ貼りなおせ。

エロサイト見てたら僕の息子がおっ立っちゃたんですけど、どうすればいいでしょうか！

>>158
高速でしごくんだ

>>158
切れ！

>>158
>>1-15　を声に出して３回読め。

>>158
金髪釣り目少女に黒ストッキング履いた足で足コキして貰って下さい

お前ら、超適当にこたえてるな

>>152
下の二つは、韓国のビデオチャット

>>153
サーチ乗っ取りだけど、それは別段問題ない

>>156
TPPALDR.EXEとGMT.exeは改変されてなきゃ潔白

だいたい、この辺だろう↓
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\
O2 - BHO: (no name) - {4449EEE1-2955-11D3-8B43-0000E20DA208} -
O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} -

あと漏れには、下の二つはよくわからない。
ググる気力はないので、怪しいと思ったら自分で調べてくれ
O4 - HKLM\..\Run: [CMESys] "C:\PROGRAM FILES\COMMON FILES\CMEII\CMESYS.EXE"
O4 - Startup: hatchinside.exe.lnk = C:\Program Files\DI\HatchInside\hatchinside.exe

>>162
お前はエロいな

>>152
オイオイ、チミ。素人さんに変な指南しちゃいかんぜｙ。
>これは何？
>O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
>O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe
>
>怪しい。心当たりなければ削除

オマエが勉強汁
http://higaitaisaku.web.infoseek.co.jp/iru.html

>>156
これは消しちゃダメ
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\TPPALDR.EXE

鑑定人はトリップつけろや。

《Hijackthis関連の調べ物リンク》

Browser Helper Object の素性→ TonyK の 「BHO & Toolbar List」
class ID (CLSID, [内の数字])で引きます。 'X'はスパイウェア、 'L'は安全。
　http://sysinfo.org/bholist.php

スタートアッププログラムの素性→Pacman's Startup List
　http://www.sysinfo.org/startuplist.php

HijackThisログに現れる問題ないエントリの例
　http://higaitaisaku.web.infoseek.co.jp/iru.html

広告付きDivxProをインストールしたのでしょう。

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\
↑たとえばこれを　http://sysinfo.org/bholist.php　検索すると、

GUID　{A5366673-E8CA-11D3-9CD9-0090271D075B}

Status　　　Filename　　Description
L　BHO　　Jccatch.dll　FlashGet

なのでFlashGet関連のヘルパーでいちおう「安全」とわかります。
(゜д゜)ウマー

>>170
ああ、なるほど
漏れも超適当にこたえちゃった。スマソ
Toolbar: ?????も大事なやつなんだね。削除したらダメっぽい。スマソ
便利なサイトを教えてくれてありがとう

＞漏れも超適当にこたえちゃった。スマソ

(((((((( ；ﾟДﾟ)))))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙｶﾞﾀｶﾞﾀﾌﾞﾙｶﾞﾀｶﾞｸｶﾞｸｶﾞｸｶﾞｸｶﾞｸ

スタートアッププログラムの素性→Pacman's Startup List
　http://www.sysinfo.org/startuplist.php　こっちで調べると

Kernel32XKernel.dllAdded as a result of the REDLOF.M VIRUS

どうやらこのkernell.dllはREDLOFウィルス関連の悪らしい…
プロセス停止（またはセーフモードで）→kernell.dll.safeなどにリネームして
様子見でしょう。

この２つのリストはもちろん「全部網羅」ではありませんが、
かなりでかいリストなので、けっこうヒットします。ｵｽｽﾒ。

まあ初心者が回答者ぶって適当に指示するなってことです。

>>142は釣り師

結局なおったのかい？

168さん、後学のために削除項目をまとめていただけませんか？

>>174　←これはニセモノです。しょうがねーな。トリップつけます。

回答者の皆さん、ボランティアでお仕事乙です。ウィルススレとかけもち
の方も多いと思いますが、スパイ・ブラウザハイジャッカー対策はウィルス
よりﾏﾝﾄﾞｸｾです。

１　ウィルスは巨大企業が中心になってアンチウィルスビジネスがすでに
　　成立している。ウィルス作者は自己顕示欲の強い愉快犯＝アマチュア
２　スパイ、ブラウザハイジャッカーはその逆で、アンチ・ハイジャッカー
　　ビジネスは小規模。
３　スパイ、ハイジャッカーの作者は職業的犯罪者。主な目的は、
　　　a) 不正に広告クリックを稼ぐ
　　　b) スパムメールの踏み台マシンを作る
　　　c) クレカ番号その他情報の窃取
　　…と非常に悪質です。

そんなわけでこういうスレが糞業者をのさばらせないためにもたいへん
重要かと。自分もそれほど詳しいわけではないですが、いっしょに勉強
しましょう。

　
　　　

>>146-151さん、まだ見てるなら…

>>157　実行して、ログ貼りなおして回答者諸氏の意見聞いてください。
なお、怪しい本体ファイルについてはまだ削除しないで、拡張子を.safeなど
実行できないものにリネームするだけにしてください。

補足。
HijackthisのFIXはConfig→Backups→Restoreボタンで簡単に復旧
できますから間違ってもあまり心配ありません。ファイル本体を削除
してゴミ箱も空にしてしまうとやっかいなことになるのでご注意ｗ

168さん、そのコテで常駐してよ。

結局正解の削除項目はどれなんですか？

Ad-awareでスキャンしてみたら１２１個も引っかかりました。
削除していいんですよね？
数があまりにも多くて不安なんですが。

>>182
そんなに心配なら隔離しとけ

168 ◆r/dmhj5CHMさん、乙です

前スレの鑑定人さん、ここを訪れたら是非

後学のために模範解答よろしくです。

誘導されたので書き込み

当方ＷＩＮＸＰですが
３日ほど前から、ＰＣが何の前触れもなく再起動するという症状に見舞われています
それと、起動時に「Windriv32.exe」という窓が出現するという謎の症状も発生しています

スパイウェアも全て駆除したと思うのですが、症状の改善がありません
他に考えられる原因は何かありませんでしょうか・・・

>>186
ウィルスです

>>186
「ニムダ」の除去方法
http://www.inti.co.jp/cd/index.htm

>>186
ウィルススキャンは？

>>186
AD-Awarで駆除出来るってあるぞ
もう１回駆除ツール使ってみ

それでダメならHijackThis>>11
こっちはレジストリ弄らなきゃいけないので、削除は詳しい人に聞いてから実行するように

IE開くと
http://www.incredifind.com/
のページになっちゃいます。
>>6の6）までやって7)やろうとしたんですがincredifindのページがになって
インストールできません。
Highjackthis も開こうとすると有効なWin32アプリケーションではありませんてできて
実行できません。どうすればいいんでしょうか？
よろしくお願いします。
でてくるんですけど・・・

186さんは治ったの？

>>191
http://www.incredifind.com/

Copyright c 2004 IncrediFind.com All Rights Reserved
Support | Privacy Policy | Remove | Having Trouble Uninstalling?

　　　　　●【緊急】　早く治したい方は以下を実行して下さい　【処置】●

　　　WEB設定のリセットは、こまめに実行しましょう（無限ループ防止の為）　

1) 　IEのホーム、検索ページを標準に戻す→ツール→インターネットオプション→
　　 プログラム→WEB設定のリセット

2）　IEの履歴削除→ツール→インターネットオプション→全般→インターネット
　　 一時ファイル→クッキーの削除+ファイルの削除

3)　 削除したいファイルがあるが「アクセスできません。使用中です」等といわれて
　　 削除できない→セーフモード（F8を連打）でOSを起動→削除→OS再起動

4) 　勝手に追加されたアプリをアンインストする→スタート→コントロールパネル→
　 　 アプリケーションの追加と削除（JWordはここでアンインストする）→OS再起動

5) 　ブラウザジャッカーCoolWebSearch駆除ツール　CoolWebShredderをDL
　 　 http://higaitaisaku.web.infoseek.co.jp/removecws.html#jyokyo　→OS再起動

6）　定番スパイウェア除去ソフト↓をインストール(併用推奨)

　　　　・定番　スパイウェア除去ソフト Ad-Aware 使用法
　　　　　http://www.dream-seed.com/server/spy.html
　 　　・定番　スパイウェア除去ソフト Spybot-S&D　使用法
　　　　　http://www.dream-seed.com/server/spybot.html

7）　Me/XPの場合「システムの復元」で正常な状態に復帰させる方法もあります。
　　　［スタート］→［すべてのプログラム］→［アクセサリ］→［システム ツール］
　　 　→［システムの復元］

------以上実行してまだトラブってたら（OS種類必須）再度質問して下さい----

エロサイト見てホームボタン押したらabout:blankという真っ白のページが表示されてコントロールパネルで元に戻せたのですがこのabout:blankってのは
なにかヤバイのでしょうか？？ちなみに９８使用者です。

>>195
http://higaitaisaku.web.infoseek.co.jp/removecws.html

>>195
about:blankを翻訳してみると・・・
http://x.plala.jp/cgi-bin/link/link.cgi?links=102

>>197
ブラクラ注意

はじめましてパペポと申します。
>>6の2）のような症状なのですが2）の方法でも直らず8）番の復元ポイントも
作成されてなくどうすればよいのでしょうか？
OSがwindows MEでInternet Explorer 6を使用しています。
どうかおねがいします。

>>191
spybot
クリックしたらDL始まるはず
http://higaitaisaku.web.infoseek.co.jp/spybotinst.html

>>188

二ムダそのもの注意！！

>>199
>>6の駆除ツール
パペポじゃなく次は最初の発言番号入れる

どうしても直らないのでこちらにお伺いさせて頂きます
ブラウザジャッカーだと思うのですが
ブラウザのHomeが勝手に　about:blank　に書き換えられてしまい
Search for...　というページが立ち上がるようになってしまいました
AD-aware6.0とSpybotを使って毎回駆除するのですが、ブラウザを落すたびに戻ってしまいます
AD-awareを何度やっても消せません
AVGを使っても何も引っかかりません（再起動後にAD-awareやSpybotを使う前にAVGを使っても引っかかりません）
これを直すにはどうすればいいのでしょうか？
HijackThisのログは取ってあります

地雷原と化してるなここは即死注意！！！

>>203
>>195-196

>>205
そこのツールを使ったのですが直りません・・・

>>206
IEを閉じてネットから切断してやらないと効果ないよ。

>>202
ありがとうございます。
やってみます。

　　　　　　／￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
　　　　　　| 　 マスター、詳しい人は出払ってるの？
　　　　 　 ﾚヽ＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
　　　∧＿∧　　 　 　　　∧＿∧　 　 ／￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
　　 （　　・∀） /￣ヽ　　(´∀｀　 )　＜　すこし待ってくださいモナ
　　 （　　　`つ　日 凸　（　つ　つヽ　 ＼＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
　　 （＿　⌒./　　　凵ヽ |　｜ ｜　|ヽ.凸|　　 |
　　 「 　（＿/Ｙ　　　　　ヽ _（＿_）　|　|＼| 　　|
　　┗┳━|￣￣￣￣￣|　 　 .. 　 ＼|. │ 　｜
　　　 ┻＼|　　 　 　 　.｜　　　 　 　 ＼.| 　 │

前スレのHijackthis鑑定人はまたアク禁喰らってるのか？

なんか最近ネットしてたら宣伝めいたページが勝手に開くんですが
リンクがめまぐるしくありますがどれをやれば解決しますでしょうか？98です。

　　　　　●【緊急】　早く治したい方は以下を実行して下さい　【処置】●

　　　WEB設定のリセットは、こまめに実行しましょう（無限ループ防止の為）　

1) 　IEのホーム、検索ページを標準に戻す→ツール→インターネットオプション→
　　 プログラム→WEB設定のリセット

2）　IEの履歴削除→ツール→インターネットオプション→全般→インターネット
　　 一時ファイル→クッキーの削除+ファイルの削除

3)　 削除したいファイルがあるが「アクセスできません。使用中です」等といわれて
　　 削除できない→セーフモード（F8を連打）でOSを起動→削除→OS再起動

4) 　勝手に追加されたアプリをアンインストする→スタート→コントロールパネル→
　 　 アプリケーションの追加と削除（JWordはここでアンインストする）→OS再起動

5) 　ブラウザジャッカーCoolWebSearch駆除ツール　CoolWebShredderをDL
　 　 http://higaitaisaku.web.infoseek.co.jp/removecws.html#jyokyo　→OS再起動

6）　定番スパイウェア除去ソフト↓をインストール(併用推奨)

　　　　・定番　スパイウェア除去ソフト Ad-Aware 使用法
　　　　　http://www.dream-seed.com/server/spy.html
　 　　・定番　スパイウェア除去ソフト Spybot-S&D　使用法
　　　　　http://www.dream-seed.com/server/spybot.html

7）　Me/XPの場合「システムの復元」で正常な状態に復帰させる方法もあります。
　　　［スタート］→［すべてのプログラム］→［アクセサリ］→［システム ツール］
　　 　→［システムの復元］

------以上実行してまだトラブってたら（OS種類必須）再度質問して下さい----

ウイルス検査したら何も引っかからなかったけど最近ＬＳＡshellとかいうのにやられて
秒読み開始になりシャットダウンされることが多くなりました。
http://www362581.nu.nun.nu/srd.yahoo.co.jp/PAGE=P/LOC=P/R=1/*-http://www.curio-city.com/curio-buzoo/users/kogekoge/
ここ読んでもよくわからないのでわかりやすい言葉で対処法教えてください。

前はできてたけど少し前からソウフトウェアの更新が不完全でwindows updateできなくなりました。

ID:???の人には嘘を教えますよ。

>>213リンク先移動URL、ブラクラ・ウィルスの可能性あり

プライベートIPを無効にする方法ってありますか？
アプリが起動できないんです。
それとすぐ元に戻せる方法を教えてください。暇な方お願いします。

>>216
暇じゃないので嫌です

>>216
スレ違い

>>216
http://x.plala.jp/cgi-bin/link/link.cgi?links=103

>>212
ありがとうございます。
試してみます。

すみません。間違えてましたね。

>>219
ありがとうございます。
見てみます。

アドレス表示のところにDoneと出て
ところどころのURLが下のようになってしまうんですが…
http://1-2-3-4-5-6-7-8-9-8-7-6-5-4-3-2-1.sexocean.biz/index.php
対処法わかりますか？
ＸＰです。

>>219はワーム注意！！！
The Win32/MTX.Attachment.Worm

>>223
このスレをよく読んで実行しろ

マイドキュメントに保存しようとすると、
ダウンロード先「インターネットキャッシュ」と表示されるんですけど
インターネットキャッシュってなんのことですか？
しかも保存されてないんです。
http://members.tripod.co.jp/FFFFFFFFF/cgi-bin/j/j/j/joker.html
ここの動画なんですけど・・

>>226
このスレをよく読んで実行しろ

>>223
>>6をちゃんと読みなさい。

>>226URLはウィルス

　　　　■質問の前に>>1-31を全部読んで「実行」しろ！■

一通り「実行」してもお手上げの場合は更にもう一度>>1-31を読み直し
それでもダメな場合だけ質問しても良し。
OSの種類、ブラウザ、セキュ関係ソフトの有無、実行結果を書かないと放置orネタ回答

今回のテンプレは自信作なのでノートに清書して
持ち歩く様にしてくれ。

時間の無いヤツは>>65をやれ！

Norton Internet Security 2004
圧縮ファイルもリアルタイムで監視可能だが、ONにすると重すぎ
スクリプト遮断機能がある
広告ブロックがアメリカ仕様で、お絵かき掲示板などの画像も消してしまう
スレに貼り付けてあるだけのウイルスコードに反応する
2chの過去ログ取得する時はFWを無効にしないといけない
Antispamが勝手にメーラーと統合する上に不安定（OEと相性が悪い？）
ポップアップ通知が鬱陶しい
LiveUpdateが遅い
ｗｅｂごとにスプリクト遮断やActiveX遮断やプライバシー制御の設定ができる
WEB閲覧するときHTMLファイルにスクリプトを埋め込む処理が重い
　（XPSP2ではデフォルトでポップアップ広告遮断機能があるので無駄になる）
回線速度が遅くなるという報告
ルールが適切ではないとの声もあるがPFWルールの自動作成が進んでいる
不正コピー・不正期限延長ユーザーが多い
個人情報を送ってるかについては疑惑は晴れず。
http://www.symantec.com/region/jp/products/nis/features.html
http://www.symantec.com/region/jp/products/nav/features.html

ウイルスバスター2004
圧縮ファイルもリアルタイムで監視可能だが、ONにすると重すぎ
FWレベル高にしないとアプリごとの制御ができない等、おまけ程度
スパイウェアの検出をするが削除は出来ない
迷惑メール検出の判定精度が悪い上に検出しても件名に[MEIWAKU]と付けるだけで意味がない
ユーザー登録しないとウィルス定義をUPできないので不正コピーユーザーは少ない
http://www.trendmicro.com/jp/products/desktop/vb/evaluate/features.htm

FWがしょぼい代わりに不具合が少ないバスターとFWにいろいろと機能が付いてる
代わりに不具合大盛りなNISって感じかな。
どちらもアンチウイルス機能自体には文句が出ないのは例年通り。

http://pc3.2ch.net/test/read.cgi/sec/1067918099/321

ttp://erotic.redclouds.com/jpvideo/mlist.cgi?action=movasx&k=gallery3&d=a1042&p=scene13&lv=2&c=03&lg=e
これは診れないんですか？

>>200
ありがとうございました。
DLできました。

>>233
使い方は>>212参照

Windowsが謎のシャットダウンしちゃうヤシ、SASSERにやられてるぞ。
やらてないヤシも予防のためにWindowsアップデートをさっさーと（ｒｙ

■トレンドマイクロ、SASSERにイエローアラート発令■
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A
> ワームはWindowsの「LSASSの脆弱性 (CAN-2003-0533)」と呼ばれる
> セキュリティホールを利用してワーム活動を行います。ワームの被害に
> 遭わないために以下のマイクロソフト社の説明を参照し、セキュリティ
> ホールを修正してください：

Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011)
　http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp
（重い。すでに群集が殺到しているもよう）

> 汎用駆除ツール「トレンドマイクロ ダメージクリーンナップサービス」にて
> このワームのシステム改変の修復に対応いたしました。
> 「トレンドマイクロ ダメージクリーンナップサービス」の使用方法
　http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700i

　　　　　　／￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
　　　　　　| 　 マスター、ウィルスのリンクを貼るアフォがいるね
　　　　 　 ﾚヽ＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
　　　∧＿∧　　 　 　　　∧＿∧　 　 ／￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
　　 （　　・∀） /￣ヽ　　(´∀｀　 )　＜　地雷かどうかアドレスをよく見て踏んでモナ
　　 （　　　`つ　日 凸　（　つ　つヽ　 ＼＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
　　 （＿　⌒./　　　凵ヽ |　｜ ｜　|ヽ.凸|　　 |
　　 「 　（＿/Ｙ　　　　　ヽ _（＿_）　|　|＼| 　　|
　　┗┳━|￣￣￣￣￣|　 　 .. 　 ＼|. │ 　｜
　　　 ┻＼|　　 　 　 　.｜　　　 　 　 ＼.| 　 │

古参の回答者さん今日来なかったね。

>>237
ごめんね、今日仕事だったんだよ。
さてと、ﾛｸﾞ見直すかな…

>>238
>>147-151の模範回答よろしくお願いしますよ。

>>239
飲みながらなんで、勘弁してくれYO

>>240
そこをナントカたのみますよ。(　ー人ｰ)|||~~~ ナムナム

　　　　　　／￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
　　　　　　| 　 マスター、もうみんな寝ちゃったのかな？
　　　　 　 ﾚヽ＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
　　　∧＿∧　　 　 　　　∧＿∧　 　 ／￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
　　 （　　・∀） /￣ヽ　　(´∀｀　 )　＜　ゆっくり飲んでって下さいモナ
　　 （　　　`つ　日 凸　（　つ　つヽ　 ＼＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
　　 （＿　⌒./　　　凵ヽ |　｜ ｜　|ヽ.凸|　　 |
　　 「 　（＿/Ｙ　　　　　ヽ _（＿_）　|　|＼| 　　|
　　┗┳━|￣￣￣￣￣|　 　 .. 　 ＼|. │ 　｜
　　　 ┻＼|　　 　 　 　.｜　　　 　 　 ＼.| 　 │

>>241
http://x.plala.jp/cgi-bin/link/link.cgi?links=102

>>243
もっと違うブラクラはないの？

>>244
>>219や>>243は馬鹿の一つ覚えだからねｗ

>>245
524 名前：名無しさん？[sage] 投稿日：04/05/02 02:26 ID:???
ttp://x.plala.jp/cgi-bin/link/link.cgi?links=101
ttp://x.plala.jp/cgi-bin/link/link.cgi?links=102
ttp://x.plala.jp/cgi-bin/link/link.cgi?links=103
ttp://x.plala.jp/cgi-bin/link/link.cgi?links=104
ttp://x.plala.jp/cgi-bin/link/link.cgi?links=105

おねがい

528 名前：名無しさん？[sage] 投稿日：04/05/02 02:33 ID:???
>>523
エロサイト。PC無害。

>>524
403エラー。リンク先のURL情報が見当たりません。

ttp://ex2.2ch.net/test/read.cgi/entrance/1083146689/

>>246
403は101、104、105で
102と103はウイルスとブラクラだが何か？

>>246
思いっきりブラクラだよ自分で踏んでごらんよ。

エロサイトを見ていたらIEの
ホームページがhttp://world-search.biz/
に勝手に改ざんされてしまいます。

再起動するたびになにかのアプリが起動しているようですが
すぐさま消えるのでなにか特定できません。
OSはWINDOWS2000、ﾌﾞﾗｳｻﾞはIE６です。

Logfile of HijackThis v1.97.7
Scan saved at 3:04:28, on 2004/05/02
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe

C:\WINNT\Explorer.EXE
C:\WINNT\system32\imejpmgr.exe
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\System32\TrayIcon.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\WINNT\system32\svcc.exe
C:\WINNT\system32\Internat.exe
C:\Documents and Settings\Koichi_Honchu\Application Data\aspn.exe
C:\WINNT\system32\wintsvsu.exe
C:\Program Files\Chibindar\Chibindar.exe
C:\Program Files\katjusha\Katjusha.exe
D:\HijackThis\HijackThis.exe

F0 - syst>m.ini: Shell=
F0 - R>ystem.ini: Shel>=
F0 - R>ystem.ini: UserInit=
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINNT\twaintec.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINNT\nem214.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DisplayTrayIcon] C:\WINNT\System32\TrayIcon.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINNT\system32\svcc.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [msbb] c:\program files\180solutions\msbb.exe
O4 - HKCU\..\Run: [Internat.exe] Internat.exe
O4 - HKCU\..\Run: [Sree] C:\Documents and Settings\Koichi_Honchu\Application Data\aspn.exe
O4 - HKCU\..\Run: [WCPS] C:\WINNT\system32\wintsvsu.exe
O4 - Startup: NTUSER.DAT
O4 - Startup: ntuser.dat.LOG
O4 - Startup: ntuser.ini
O4 - Startup: ~

O4 - Global Startup: ntuser.pol
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O13 - DefaultPrefix: http://world-search.biz/search.php?url=
O13 - WWW Prefix: http://world-search.biz/search.php?url=

O16 - DPF: Yahoo! Japan Chess - http://yog20.yahoo.co.jp/yog/yj/cm5_x.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://cs.chat.yahoo.co.jp/v43/yacscom.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/jp/win/QuickTimeInstaller.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/28355e9fcf27d088d817/netzip/RdxIE601_ja.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/ja/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37896.3506018519
O16 - DPF: {A16C2BF4-501E-45FA-8A14-F26E022D5E16} (MidRadioCtrl Class) - http://adweb.music-eclub.com/php/adweb.php3?aid=143&arg=win%2Fmrinst.cab&ptx=mratdl
O16 - DPF: {B469C508-9A75-4A62-BFA9-62802D653A4B} (HanGamePluginJP15 Class) - http://down.hangame.co.jp/jp/dist/hgstart/HanGamePluginJP15.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
以上です　よろしくお願いします

>>249
CoolWebShredderを実行
http://higaitaisaku.web.infoseek.co.jp/removecws.html#jyokyo

IE一時ファイルとクッキーの削除
http://higaitaisaku.web.infoseek.co.jp/icsakujyo.html

HijackThis以外のウィンドウをすべて閉じて、まずこの4つ削除だ
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ControlPanel] C:\WINNT\system32\svcc.exe internat.dll,LoadKeyboardProfile
O13 - DefaultPrefix: http://world-search.biz/search.php?url=
O13 - WWW Prefix: http://world-search.biz/search.php?url=

n-CASE Alert

WARNING

The system has detected that a third-party application has remoed
n-CASE , possibly without your consent. Thia may cause some
programs not to run as expected. Please choose an option below.


Option


〇　　　Re-install n-CASE so that your programs will run
as expected. Requires internet connectivity.

〇　　　Leave n-CASE　un-installed, and clean up any
n-CASE files or settings that remain.

〇　　　Remind me later.


Continue


ってでてきたんですけど、、、、
どうすればよいんでしょうか？

>>257
〇　　　Leave n-CASE　un-installed, and clean up any
n-CASE files or settings that remain.

>>249
これも削除しる
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/28355e9fcf27d088d817/netzip/RdxIE601_ja.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

>>257
2番目のLeave〜にチェック入れてリブートしる

↓これ何だろう？

O4 - HKCU\..\Run: [Sree] C:\Documents and Settings\Koichi_Honchu\Application Data\aspn.exe

>>261
確かに位置からしても怪しいね。見過ごしたわｗ

追加して以下も削除。

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

>>256
でも判定早いですね驚きました。

ありがとうございました
無事解決しました。

酒飲みながらなんでバラバラと指示して悪いｗ
nwiz.exeとInternet Optimizerとmsbb.exeも少し怪しいと思うので
位置とプロパティ情報がわかれば教えて欲しい

まとめときます　（臨時）　

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ControlPanel] C:\WINNT\system32\svcc.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [Sree] C:\Documents and Settings\Koichi_Honchu\Application Data\aspn.exe

O13 - DefaultPrefix: http://world-search.biz/search.php?url=
O13 - WWW Prefix: http://world-search.biz/search.php?url=

O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/28355e9fcf27d088d817/netzip/RdxIE601_ja.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

ｽﾏｿ
>>266は激しく無視してくれ
nwizは削除でOK

酔ってきたから危険なんで帰るわ

>>268

>>168と同じ方ですか？

>>269
違いますよ
エロ助スレにはpart18辺りから書き始めた新参者です

そうですか失礼しました↓ビンゴでした

O4 - HKLM\..\Run: [msbb] c:\program files\180solutions\msbb.exe

>>249
もう見てないだろうけど一応

コントロールパネルの「アプリケーションの追加と削除」から
下記をネットに繋いだ状態で削除

Internet Optimizer

再起動後、HijackThis以外のウィンドウを全て閉じ、
HijackThisから下記エントリを削除後、PCを再起動

O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"

亀スマソ。GWなのにただいま帰宅（泣

へぼ診断：酔眼もうろうですから自己責任で…（同士の方もおられるようでｗ）

C:\PROGRAM FILES\COMMON FILES\GMT\GMT.EXE　★Gator
O1 - Hosts: 66.40.16.218 auto.search.msn.com　★hosts書き換え
O4 - HKLM\..\Run: [CMESys] "C:\PROGRAM FILES\COMMON FILES\CMEII\CMESYS.EXE"★Gator
O4 - HKLM\..\Run: [Kernel32] C:\WINDOWS\SYSTEM\Kernel.dll　◆Redlofか？
O4 - Startup: FOLDER.HTT　◆Redlofか？
O4 - Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe　★Gator
　以下２つは心当たりがあり、リンク先が信用できるなら保存。そうでなければFIX
O16 - DPF: {F82C37EC-935C-11DC-A25B-006097755A02} (avchatAtx Class) - http://www.ohmylove.co.jp/japan/avchatatx.cab
O16 - DPF: {6C9DF694-FA29-435A-BDFC-5E03F391CB14} (AVChat_InstProj1 Control) - http://www.4nb.co.kr/avchat_asp/okidas/AVChat_InstProj1Proj1.cab

結論：★Gatorが入ってます。Hijackthisから手動FIXするより、まずad-awares、spybotで
退治してみてください。ポピュラーなスパイなので当然対応してます。ツールで削除できる
ものは自動削除のほうが間違いないです。

◆ワーム REDLOFに感染してるっぽいですが、Hijackthisはアンチウィルスではないので
確定診断はできません。kernel関係は間違うとPCが起動不可能になるなど、オオゴトになる
ので、オンラインスキャンをまずかけてください。確定ならトレンドのウィルスデータベースを
検索して対処のこと。（シマンテックはノートン使えで終わりだからｒｙ）　

>>178で>>157を先に実行しれと言ったのは、ざっと見でGatorとRedlof？が目についたので、
ならツールで削除してからと…でもいろいろ見落としがあるかもしれません。群青さんの
とこの回答者の皆さんが大学病院の先生なら自分などは野戦病院の軍医程度ｗ

ええと、>>146-151のログに対するレスでした…

>>273
お疲れ様ですｍ（＿　＿）ｍ

リアルタイム判定って所が野戦病院そのものでよね。

間違った・・・

>>271>>272
結果的に>>266は全部ビンゴだったのか・・・

しかもあの短時間で・・・ただものじゃないっす。

奥が深い世界だ…

あんなたくさん項目があるわけだけど、どうやって「問題ない」項目を
見分けるんですか？　全部ググルの？

個人的に、今ウイルススレに居る人のログが
是非見てみたいっす。

パッと見て解からない項目はクグリます
自分はスキルないんでほとんど・・・・・

この文章を見た人には、身の回りで、３日後に何かとても悪いことがおきます。
悪いことを起きなくさせるためにはこれと同じ文を２日以内に、
違うところに書き込んでください。
５回書き込まなかった女子中学生が書き込みを見た後、
３日後に死にました。

他のヤツと比べると、もっとひねりがほしいね〜

動画をダウンロードしたんだけど、
お金はかかるのですか？
利用規約等はなかったですが・・・

>>284
かかんないでしょ
URL書いてみろ

>>284
E-MAILｱﾄﾞﾚｽやクレジットカード番号を入力していなければ
とりあえず面倒なことは起こらないだろう。

ただし、そのサイトに入る際、「18歳以上ですか？　OK/No」みたいな
画面がポップアップして、あなたがOKを押してしまった場合は
変なソフトがインストールされた可能性が高い。

>>285
>>286
よかった　ホッとしました。
落としてたら　0/3回　再生日数残　3日などと表示されましたから
ビビッてしましました。

>>284
ていうか、そんなことが心配になるようならエロサーフなんかやめた方がいいぞ。
速攻でPCいかれるか、変な有料サイトにボッタくられるのがオチ。

漏れは日本の企業がHPを立ち上げたらニュースになる時代からネットやってるから
無料／有料問わず　日本・海外の優良サイトを知っている。
知っているサイト以外は行かないな。

エロで無料の日本・海外の優良サイト教えてください

昨日は仕事が忙しく、報告できずに申し訳ないです
「システムの復元」を使用した後、レジストリを弄って「svchost」の起動を停止後
ウイルススキャンで「WORM_RANDEX.F」を発見、無事に駆除することができました
報告すべき事もよくわからないのですが、レスを付けて下さった方々、謝々です
それでは、ありがとうございました

>>289
氏ね

>>291
お前が死ね

>>288
はい　すいませんでした・・

>>289
スレ違いだが被害拡大防止のためヒントだけはやろう。
無料の有料サイトで高画質動画が無料のサイトはない。裏本系は今年の初めから
急に店じまいが多く、漏れの知ってる限りで高画質・無料と呼べるサイトは2つくらいしかない。
無料裏本系以外（のぞき）とかはかかわるとロクなことがないぞ。きっと。

海外は５つくらいのサイトが高画質画像の総元締めであとはその劣化コピーとか
元締めサイトが出している雑誌をスキャンした低画質画像がほとんど。

海外の高画質画像をを手にしたければＨＰよりニュースグループだ。
ニュースグループには元締めサイトの画像が大量にUPされてるし、
元締めサイトがどこかはわかってくるはず。

>>203なのですが直りません・・・
Search for...　のページが表示される時、URLはabout:blankのままです
ブラウザ自体がジャックされてるのでしょうか
>>196のツールを実行しても、一時的には直るのですが、また復活してしまいます

ID:???

>>203
ID出せ！OSも書け！
やったことを全て書け

>>297
申し訳ないです
エロサイトは見てませんが、ブラウザジャッカーくらいました
症状は>>203です

やったこと
・シマンテック　オンラインウィルス・トロイスキャン
・AD-aware6.0による駆除（定義ファイルも最新に更新済み）
・Spybotによる駆除（アップデータ確認済み）
・CWShredder　v1.57.0を使用（IEなどすべて落して、LANぶっこぬいて使用後再起動済み）
・AVGによるウィルス検索（これはひっかかりませんでした）
・スキャンディスク
・インターネットキャッシュ、クッキー削除および履歴の削除
・IEの修復
・CheckUninstallList.batを使ってアンインストール情報のチェック
ここまでやりました

>>298
飛ばされるアドレスは？

>>299
URLはabout:blankです

>>203
まだ居る？
HijackThisのログ貼った方が良さげ
かなり面倒な作業が予想出来るけど

>>299
http://freednshost.info/

http://213.159.118.226/
c Company 2004. Uninstall　←

>>303　これ何だ？　ロシアの怪しいサイトの空白頁しか表示されないぞ。

書き忘れていました
OSはWindows2K　SP4です
HijackThisでログを取りましたので張ります
Logfile of HijackThis v1.97.7
Scan saved at 11:55:39, on 2004/05/02
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Program Files\D-Tools\daemon.exe
C:\WINNT\system32\Internat.exe
C:\Program Files\Silicon Prairie Software\MemTurbo2\MemTurbo.exe
C:\Documents and Settings\Administrator\ﾃﾞｽｸﾄｯﾌﾟ\HijackThis.exe

F0 - syst>m.ini: Shell=
F0 - R>ystem.ini: Shel>=
F0 - R>ystem.ini: UserInit=
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {8D0B2894-2543-468B-A426-3D10F171B53A} - (no file)
O2 - BHO: (no name) - {92FFE7E7-A0A8-40E0-94D4-9C30245F1012} - (no file)
O2 - BHO: (no name) - {C30E26A7-B682-473D-AC6D-829482E02152} - (no file)
O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [Internat.exe] Internat.exe
O4 - Startup: NTUSER.DAT
O4 - Startup: ntuser.dat.LOG
O4 - Startup: ntuser.ini
O4 - Global Startup: ntuser.pol
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

O16 - DPF: {096ABB46-65A8-4049-9513-5051A8C95285} (IMBBGooACX01 Control) - http://number.goo.ne.jp/sports/baseball/live/agbb2004.cab
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.236/buka.chm::/x.exe
O16 - DPF: {11311111-1111-1111-1111-111111111157} -
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {2F745B25-915B-45A4-A80E-5F0CE37709B1} (HanGamePlugin18 Class) - http://down.hangame.com/dist/activex/HanGamePlugin18.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (ｳｲﾙｽﾊﾞｽﾀｰ On-Line Scan) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38028.2745949074
O16 - DPF: {CDA94496-ED6F-4C72-94C8-2C485DC63390} (VCDS Control) - http://vcds-client.nefficient.co.kr/vcds-client/vCDS.CAB
O16 - DPF: {CFCB7308-782F-11D4-BE27-000102598CE4} (NPX Control) - http://kr.pristontale.com/nprotect/nprotect/npx.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

WebCoolSearch * Search the web. Pay-per-click search engine. Pay per click advertising.
http://213.159.117.236/
FAQ
How can I change my default homepage?
Goto Tools -> Internet Options -> Home Page -> Use Blank and then click OK
UINSTALL

O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.236/buka.chm::/x.exe
O16 - DPF: {11311111-1111-1111-1111-111111111157} -

Hijackthis以外を全て閉じて、以下を削除してから立ち上げ直してみて
O2 - BHO: (no name) - {8D0B2894-2543-468B-A426-3D10F171B53A} - (no file)
O2 - BHO: (no name) - {92FFE7E7-A0A8-40E0-94D4-9C30245F1012} - (no file)
O2 - BHO: (no name) - {C30E26A7-B682-473D-AC6D-829482E02152} - (no file)

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.236/buka.chm::/x.exe
O16 - DPF: {11311111-1111-1111-1111-111111111157} -

これは身に覚えが無ければ削除
O16 - DPF: {2F745B25-915B-45A4-A80E-5F0CE37709B1} (HanGamePlugin18 Class) - http://down.hangame.com/dist/activex/HanGamePlugin18.cab
O16 - DPF: {CFCB7308-782F-11D4-BE27-000102598CE4} (NPX Control) - http://kr.pristontale.com/nprotect/nprotect/npx.cab

ｽﾏｿ
これは残して！！
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

>>203は俺のと同じ症状だ・・・。
こっちはセーフモードで再度Ad-aware 6.0を試したら大分良くなったけど。
人事じゃない感じで応援したくなるなー。

>>310
言われたとおりに
O2 - BHO: (no name) - {8D0B2894-2543-468B-A426-3D10F171B53A} - (no file)
O2 - BHO: (no name) - {92FFE7E7-A0A8-40E0-94D4-9C30245F1012} - (no file)
O2 - BHO: (no name) - {C30E26A7-B682-473D-AC6D-829482E02152} - (no file)
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.236/buka.chm::/x.exe
O16 - DPF: {11311111-1111-1111-1111-111111111157} -
O16 - DPF: {CFCB7308-782F-11D4-BE27-000102598CE4} (NPX Control) - http://kr.pristontale.com/nprotect/nprotect/npx.cab
を削除して再起動してみました
DAEMONtoolとHanGamePluginは出所がわかっているのでそのままですが

現在症状は現れません
AD-awareでもひっかからなくなりました
もう少し様子を見てみますが、皆さんありがとうございます

>>312
CoolWebShredderによる自動削除
http://higaitaisaku.web.infoseek.co.jp/removecws.html

>>203
う〜ん直ったならOKだけど
また再現しそうな予感がする・・・

それとアンチウイルスソフトを常駐させないと
今後も各種トロイが入りまくるぞ

>>315
ノートンインターネットセキュリティを買ってこようかと思っています
色々とありがとうございました

>>203>>316
確認だけどログにかな〜り違和感があるよ、もしかして

スタート＞ファイル名を指定して実行＞msconfig＞スタートアップの項目に

ついてるチェックを一部外してないかい？

>>317
そーなんだよね
>>315で「再現しそうな予感」と書いたのは
根本的な解決にならない部分だけ弄った段階だったし・・・
O4見る限り通常の状態じゃないのは確かだと思う

自己努力の跡がかなりみられるね。

ゴメンよく見ると2000か　窓の手　使ったのかな？

あと自分で消したか。

>>320
いじくるつーる使ってます

>>258
>>256
ありがとうございます。

>>321
今の設定じゃマズイよ。

再アップロードしたらＰＣ起動するたびパスワードの要求がでるのですがどうすれば出なくなるのでしょうか？？ちなみに９８です。

すいません…。書くとこ間違えました…。

>>324
リカバリー

>>323
えと・・・窓の手を使って直した方が良いという事でしょうか？

申し訳ありませんが、今んとこ常駐できませんので、適当なことも
言えないし、参考情報の提供ということでご勘弁…m（. .）m

《Hijackthisを利用したfreednshost対策》
・以下の項目は全部が存在するわけではありません。
・svchost.exeの本物は★重要な★システムファイルです。本物がある場所は
　★WINDOWS(WINNT)\system32 またはWINDOWS(WINNT)\system32\dllcache★です。
・万一の事故を防ぐために実行ファイル（exe、dll）はいきなり削除せず
　hoge.dll→hoge.dll.safeのように実行不可能な拡張子にリネームして様子
　を見ましょう。

《対策》
■探す場所：ログ全体
　探すもの："freednshost"を含むURL、"213.159.118.226"を含むURL
　対処：FIX
■探す場所：R0-R1
　探すもの：自分で登録した覚えのないURLすべて
　対処：FIX
■探す場所：O4 - HKLM / O4 - HKCU
　探すもの：Runの下のsvchost.exe sysupd.exe　↓例
　O4 - HKLM\..\Run: [Network Service] C:\WINDOWS\Help\svchost.exe -sr -0
　O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\sysupd.exe
　O4 - HKCU\..\Run: [Network Service] C:\WINDOWS\Help\svchost.exe -sr -0
　対処：FIX→再起動後本体削除（本物を誤って削除しないようディレクトリに注意）
■探す場所：O9
　探すもの：自分で入れたツール以外のツール全部　↓例
　O9 - Extra 'Tools' menuitem: Home Equity Loan (HKLM)
　O9 - Extra 'Tools' menuitem: Refinancing My Mortgage (HKLM)
　対処：FIX
■探す場所：O19
　探すもの：ランダム名のユーザースタイルシート
　O19 - User stylesheet: C:\WINDOWS\system32\o4.2t4
　対処：FIX→再起動後本体削除

[エロサイト見たら…助けてください！テンプレまとめ]

ttp://haiiro.info/up/img/030.html

>>327
いじくるつーる でどんな作業をしたのか解からないので

具体的なことは言えないんだけど、戻せるものは戻しとく

あと　Hijackthis　は専用フォルダ作ってその中に入れといてね。

>>330
乙

>>331
戻せる物が全くありません・・・削除などはしてないつもりなんですが
Hijackは専用フォルダに入れておきました

　「高画質キャプをうpするスレ」で踏んでしまい、以後三日間
不自由しております。
　1-31を試したのですが以下の状況が改善されません。
　IEからサイトへ飛ぼうとするとすべて「ページを表示できま
せん」になってしまい、mplayerc.exeやsleipnirを叩くも起動
しなくなってしまいました。
　以下HijackThisのログです。ご指摘ください。

Logfile of HijackThis v1.97.7
Scan saved at 14:36:16, on 2004/05/02
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\DRIVERS\CDANTSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\SymTray.exe
C:\WINNT\system32\imejpmgr.exe
C:\WINNT\system32\TCAUDIAG.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\system32\ezSP_Px.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINNT\system32\Internat.exe
C:\Program Files\Silicon Image\SiISATARaid\SATARaid.exe
E:\Dl\040502\HijackThis.exe

F0 - syst>m.ini: Shell=
F0 - R>ystem.ini: Shel>=
F0 - R>ystem.ini: UserInit=
N3 - Netscape 7: user_pref("browser.startup.homepage", "http://home.netscape.com/ja/"); (C:\Documents and Settings\IS7Gpui5\Application Data\Mozilla\Profiles\default\qcwkoh8v.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CAOL_Japan.src"); (C:\Documents and Settings\IS7Gpui5\Application Data\Mozilla\Profiles\default\qcwkoh8v.slt\prefs.js)

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.exe -on
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1041
O4 - HKLM\..\Run: [DaemonUI] C:\Program Files\DaemonUI\DaemonUI.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINNT\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINNT\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINNT\system32\ezSP_Px.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealOne Player\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Program Files\Common Files\Symantec Shared\Symtray.exe SetReg
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKCU\..\Run: [Internat.exe] Internat.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKLM\..\RunOnce: [SymTray - Norton SystemWorks] C:\Program Files\Common Files\Symantec Shared\Symtrdr.exe
O4 - Startup: lw3.bak
O4 - Startup: lw3.cfg
O4 - Startup: lwext3.bak
O4 - Startup: lwext3.cfg
O4 - Startup: lwhub.bak
O4 - Startup: lwhub.cfg
O4 - Startup: lwm3.bak
O4 - Startup: lwm3.cfg
O4 - Startup: NTUSER.DAT
O4 - Startup: ntuser.dat.LOG
O4 - Startup: ntuser.ini
O4 - Global Startup: ntuser.pol
O8 - Extra context menu item: Irvineへ登録 - C:\fsw\irvine1_0_8b\ie_menu\iemenu11.htm
O9 - Extra button: Irvine (HKLM)
O9 - Extra 'Tools' menuitem: Irvine(&I) (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37940.8368402778
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

以上です。

またまたすいません。
spybot 使っても症状が治りません。
それからｉｎｃｒｅｄｉｆｉｎｄの他にも変なページがたまにでてきます。
トップ？にLhasaっていう怪しいのがあったので削除しようとしたんですが
プログラムの追加と削除のとこを探してもみつかりません。
どうすればよいんでしょうか？？

>>340
Lhasaは解凍ソフトじゃないのか？

こんなやつ
http://www.vector.co.jp/vpack/browse/pickup/pw0/pw000825.html

>>334
みんなの意見がまとまってから削除したほがいいよ。

>>334
（・３・）　エェー　ぶっちゃけ怪しいのないと思うYO
　　　　　　　　　　どの実行ファイル叩いても起動しないのかYO　エラーとか出ないのかYO
　　　　　　　　　　あるいは画面外にすっ飛んでるとKA　一応これも貼っとくYO
　　　　　　　　　　http://homepage2.nifty.com/winfaq/wxp/trouble.html#1251

>>341
そういやそうかもです・・・
スタートページはどうすれば元にもどるんでしょうか？？

>>344
（・３・）　ボルェー　http://www.incredifind.com/　よく見てみろYO
　　　　　　　　　　　下の方にREMOVEって項目あるYO　アンインストーラだYO

↓これ何んだろう？

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINNT\system32\PSDrvCheck.exe

>>346
（・３・）　アルェー　メディアコピーツールみたいだYO　本件には関係ないと思うC　ボク見なかったことにするYO
　　　　　　　　　　　 http://www.kephyr.com/filedb/index.php?viewtopic=PSDrvCheck.exe

>>347
なるほど、どうもです。

ログには問題なしだね。

>>347
それはC:\WINDOWS\system32にファイルがある場合だべ
それ以外はスパイウェアだったと思うんだけどな・・・

>>346
あやふやなんで詳しい鑑定人さんが来るまでお待ち下さい

>>333
・・・・そうか

>>349
（・３・）　アルェー　違うC　2000にはそもそもWindowsフォルダなんてないYO　デフォルトはWINNTだYO
　　　　　　　　　　　　

>>351
あぁ、ｽﾏｿ
>>346はNTだったね

C:\WINDOWS\system32やC:\WINNT\system32に・・・に訂正

>>351
>>305-307はどう思います？

ぼるじょあさんありがとうございます。
今度はIE開くとｌｙｃｏｓseachになってそのあと一瞬違うURLになって
サーバーが見つかりませんになっちゃうんですが・・・・

>>354
（・３・）　エェー　lycosってどっかと合併したから　もう無かった気がするYO
　　　　　　　　　　インターネットオプションでホーム直したかYO

>>353
（・３・）　ボルェー？　ゴメンYO　既に解決してるみたいだC　なにをコメントすればいいのかわからないYO

>>356
04-項目が少なすぎる気がするんだけど？いいのかな・・

>>357
（・３・）　アルェー　なるほどNE　でもアレでOKだと思うYO
　　　　　　　　　　 　ボクの環境も個人的な常駐除けば　あるのは変わらないYO

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: NTUSER.bak
O4 - Startup: NTUSER.DAT
O4 - Startup: ntuser.dat.LOG
O4 - Startup: ntuser.ini
O4 - Startup: NTUSER.tmp.LOG
O4 - Global Startup: ntuser.pol

>>358
え〜　それはすごすぎるっす。

　　　　　　／￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
　　　　　　| 　 マスター、今日の回答者はレベルが高いね♪
　　　　 　 ﾚヽ＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
　　　∧＿∧　　 　 　　　∧＿∧　 　 ／￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
　　 （　　・∀） /￣ヽ　　(´∀｀　 )　＜　ありがとうございますモナ
　　 （　　　`つ　日 凸　（　つ　つヽ　 ＼＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
　　 （＿　⌒./　　　凵ヽ |　｜ ｜　|ヽ.凸|　　 |
　　 「 　（＿/Ｙ　　　　　ヽ _（＿_）　|　|＼| 　　|
　　┗┳━|￣￣￣￣￣|　 　 .. 　 ＼|. │ 　｜
　　　 ┻＼|　　 　 　 　.｜　　　 　 　 ＼.| 　 │

>>355
直したのに出てきます。
検索のとこにはなぜかneって入ってます。

>>361
ID出せ
>>1からちゃんと読め

はーやっと脱出できた。
このスレ作ってくれた人、感謝。

>>361
（・３・）　アルェー　ゴメンYO　incredifindは既に終わってるんだNE
　　　　　　　　　　　 一回Internet Explorer全部閉じてCoolwebShredder実行
　　　　　　　　　　　 それで無理ならこの辺見て　IEの設定デフォルトに戻してみてYO
　　　　　　　　　　 　http://higaitaisaku.web.infoseek.co.jp/cleanfixreg.html

　　　　■質問の前に>>1-31を全部読んで「実行」しろ！■

一通り「実行」してもお手上げの場合は更にもう一度>>1-31を読み直し
それでもダメな場合だけ質問しても良し。
OSの種類、ブラウザ、セキュ関係ソフトの有無、実行結果を書かないと放置orネタ回答

今回のテンプレは自信作なのでノートに清書して
持ち歩く様にしてくれ。

時間の無いヤツは>>65をやれ！

スパイウェアのことで教えてください
念のためにSpywareBlasterを入れていますが、
画像掲示板などでスパイウェアを踏んでしまったらガードしてくれるのですか？

>>366
Spyware Blasterは、SpybotやAd-awareと違って感染したスパイウェアを見つけて除去するものではなく、スパイウェアを防ぐためのアプリケーションです。
これは、アップデートさえマメにやって設定しておけば、起動しなくてもスパイウェアを防いでくれる優れものです。
つまりSpywareBlasterは、感染してしまった状態の改善には何の役にも立たないが、これからスパイウェアに感染することを防止する
http://higaitaisaku.web.infoseek.co.jp/spywareblaster.html

だそうです

ありがとうございます、そちらで聞いてみます。

>>367
早々と回答ありがとうございました。

漏れはここでチェックしています。
http://so.7walker.net/guide.php?subaction=showfull&id=1081657087&archive=1083042368&start_from=&ucat=2&do=archives
32〜33kbのJepgファイルは危険です

Jpegの間違いでした。スミマソン

■プログラムの身元調べサイト
AnswerThatWorksの Tasklist　（OS、ユーティリティなど正常な
アプリのファイルを中心に機能を解説している）
http://www.answersthatwork.com/Tasklist_pages/tasklist.htm

■Hijackthisの日本語（２バイト文字）対応のバグ
日本語名の「ｽﾀｰﾄｱｯﾌ」ﾟフォルダの内容は正常に表示されないので
注意。（>>12にｶﾞｲｼｭﾂ、>>358氏はもちろん知ってるでしょうが、念の
ため）以下のような項目はスルー。

O4 - Startup: NTUSER.bak
O4 - Startup: NTUSER.DAT
O4 - Startup: ntuser.dat.LOG
O4 - Startup: ntuser.ini
O4 - Startup: NTUSER.tmp.LOG

（参考）スタートアップフォルダの中身は表示されない
HijackThisの日本語OSに対するバグ
http://higaitaisaku.web.infoseek.co.jp/hijackthis.html

　　　　■質問の前に>>1-31を全部読んで「実行」しろ！■

一通り「実行」してもお手上げの場合は更にもう一度>>1-31を読み直し
それでもダメな場合だけ質問しても良し。
OSの種類、ブラウザ、セキュ関係ソフトの有無、実行結果を書かないと放置orネタ回答

今回のテンプレは自信作なのでノートに清書して
持ち歩く様にしてくれ。

時間の無いヤツは>>65をやれ！

>>373
お前ちょっとｼﾂｺｲぞ。自分で書いたテンプレじゃあるまいし。

>>374
ID出してテンプレ読め。

>>330
GJ!

弟がエロサイトを見ていたようでパソコンを起動したときに
PORN FIND-ONLINE.netというサイトが出てきます。
お気に入りにもPORN FIND-ONLINE.netとPORN FINDというのが追加されており
消しても再起動させるとお気に入りに出てきてしまいます。
書いてあることをやってもダメでした・・。
どうしたら消せるか、起動時に出てこなくなるか教えてください

>>377
>>65
------以上実行してまだトラブってたら（OS種類必須）再度質問して下さい---- ←

該当サイトに削除ツールが置かれている場合があるので
サイト名ではなく具体的なURLを書きましょう

>>377
弟さんに責任もって再インストールさせるべし。
自己責任ということで。

質問文からスキルを想像するとアレコレいじるよりその方が早いよきっと。

>>377
CoolWebShredderを実行
http://higaitaisaku.web.infoseek.co.jp/removecws.html#jyokyo

みんなで助けてあげて。

>>377
テンプレ見て勉強してください。ここのテンプレは長いのでまとめサイトが
見やすいです。。

[エロサイト見たら…助けてください！テンプレまとめ]
ttp://haiiro.info/up/img/030.html
※このStarMagicというサイトには他にもいろいろ役に立つ情報があります

>>330　乙です。　good job v（･∀･）ｲｲ!
「まとめサイト」誘導に活用しましょう。新スレ立てるたびにテンプレが長く
なってきて、立てるひとも大変だし、質問者も読みにくい…

ところで、このまとめサイトは「はいいろ」さんが直接管理されてるんですか？
管理人さんにどの程度メンテをしていただけるかと…スレが900番くらい
行った時点でスレ内に更新（ないし追加）一覧みたいなのをうｐしたらそれを
「まとめサイト」に反映してもらえると大吉なんですが。

380さんをはじめみなさんありがとうございました。
何とかでなくなりました

ブラウザ、スﾌﾟニル使っててなんか外国のサイトいってからというもの、別のウインドウで広告等が出てきます。
（IEみたく、なんどもウインドウが出てくる状態）
プログラムの追加と削除のコマンドでそれらしきを削除してるのですがしばらくしてるとまだでできます。
どうすればいいでしょうか？

>>384
■質問の前に>>1-31を全部読んで「実行」しろ！■

一通り「実行」してもお手上げの場合は更にもう一度>>1-31を読み直し
それでもダメな場合だけ質問しても良し。
OSの種類、ブラウザ、セキュ関係ソフトの有無、実行結果を書かないと放置orネタ回答

時間の無いヤツは>>65をやれ！

このスレには鉄の掟があるんだ。

IEのお気に入りにFree mature porn と言うのがあり、
ttp://www.mature-thumbs.biz/と言うエロサイトです。
これをゴミ箱に入れて削除しても、お気に入り戻ってきて
ホームサイトがttp;//spearchpage.cc/になってしまいます。
今はFree mature porn をデスクトップに持ってきていて
IEに問題はないのですが、Free mature porn を
お気に入りに戻ってこない様に削除するにはどうやったら
いいでしょうか？
一応６５のも、それとなくはやってみたのですが、
Free mature porn は消えませんでした。

気に入ってるんだろ？

>>387
じゃさっそく「まとめサイト」活用…
http://haiiro.info/up/img/030.html#2
まずここの３大定番アンチスパイを導入、実行してください。

それから再質問。

●まず、デスクトップに新しいフォルダを作る。
デスクトップ上の何も無い場所を右クリック「新規作成」→「フォルダ」を左クリック
名前をつける、Hijackthisなど(適当な名前でよい)。
http://higaitaisaku.web.infoseek.co.jp/HijackThis.exe
「保存」を押すと、保存先を聞かれる。
保存先には、先ほど作成した新しいフォルダを指定する。

●Hijackthis以外の窓を全部閉じる
Main画面でSCAN→SCANボタンがSave Logボタンに変わる→ボタンを押す→
Highjackthisが存在するディレクトリを選んで実行→ログファイルが作成されメモ帖で開かれる。
このログを貼り付ける。

●コントロールパネルの「アプリケーションの追加と削除」（Win XPの場合）「プログラムの追加と削除｣に怪しいものがあったら書く。(重要)

●ウィルススキャンの結果も必ず書くこと。

ウイルスバスターオンラインスキャン
http://www.trendmicro.co.jp/hcall/index.asp

*************やさしい鑑定人さんが来るまで気長に待つ************

ログ貼り付けるんだ。

ログ貼り付けもいいけど、その前に最低限テンプレだけは実行して欲しい
それだけでかなりの部分が綺麗さっぱりするはずだし・・・

それもそうだねじゃあその後で。

>>392
同意
ログ見てくれてる人だってそんなに暇じゃないと思うし

群青さんとこみたいに、とりあえず貼ってもらって
暇な人が判定しとくのもいいかもね。
Jwordなんか中途半端にSpybotで除去すると話がややこしくなるしね。

っつーかこのスレ的にはJwordなんて放置だろｗ

「プログラムの追加と削除｣に
PAD Lookups by 180 search Assistant
と言うのはありますが、アンインストール
しようとしたらn-CACEと言うサイトに行きます。
他のは今から試して見ます。

何でもいいからテンプレ読め。

今「まとめｻｲﾄ」見てきますた。ただのコピペじゃなくて、
ちゃんと編集されてる…。ｽｺﾞｲ。皆さんも見て味噌。
http://haiiro.info/up/img/030.html

そうだみんな見ろよ。

今、見てきた確かにスゴイ。

>>396
でもテンプレにJwordの削除方法載ってるじゃん。

ウイルスバスタースキャンサイトでウイルス見つかりました。
TROJ_ISTBAR.DH と言うので２個あります。削除可能は、いいえに
なってます。
削除不可能のウイルスってことですか？

>>399
もうすでにブックマーク済み
でもホント凄いよなぁ

このサイトでageって入力したら凄い画像でてきました。
なんていうか、目が回ります田
http://molcal-web.hp.infoseek.co.jp/

>>397
n-CASEというワルの本体は↓これだ
\Windows(WINNT)\System32\msbb.exe

３大定番でも退治できなかったら、Hijackthisで以下の項目を削除
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
　Windows(WINNT)\System32\msbb.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nCASE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\msbb
HKEY_CURRENT_USER\Software\180solutions.
OS再起動して\Windows(WINNT)\System32\msbb.exeを削除

Hijackthisの使い方とか大評判の「まとめサイト」を見るように。見ないで
帰ってくると罵倒されるかもですｗ

>>402　おお、ほんとだ。でもよっぽど熟読してないと気づかない。トリビア出られるよん。

>>403
トレンドのスキャンでみつかったトロイについて
トレンドのウィルスデータベースで対処方法を
検索するという考えは浮かばないのかい？

すみません。
dlm.exeを削除しよとしたら「windowsが使っています」とメッセージが出ました。
どうすれば削除できますでしょうか？

セーフモードで。

ありがとうございます！

>>408
4) 削除したいファイルがあるが「アクセスできません。使用中です」とかいわれて
　 削除できない→セーフモード（F8を連打）でOSを起動→削除→OS再起動

はは、まとめサイトはは回答コピペするにも便利だ。感動。

>>407
お探しのウイルスはデータベース上に見つかりませんでした
と出ます。

n-CASEってワルいプログラムですか。
ではHijackthisで削除してみます。

お気に入りの問題のリンクを消すだけ
で、ここまで苦労するとは

>>412
コントロールパネルの、「プログラムの追加と削除」から、
インターネットに接続した状態で下記のものを削除。

・n-Caseが名前の中に含まれるもの

h t t p://c.coolshader.com/download/index.html

c windows dl.html

っていう上記の２つが勝手に起動されて、とつぜん画面をジャックされたりしてしまいます。
ノートンとかでなんどｓキャンをしてもでてこないんです・・・。

さらにこのせいかはわかりませんが、ログインとかが必要なサイトで、
ログインをしようとすると、ブラウザがおちてしまいます。本当に困っております・・・。

お助け下さい。


ちなみにＯＳはｗｉｎｄｏｗｓ９８で、エクスプローラは最新のバージョンを使用しております・・・

>>413、
「プログラムの追加と削除」から、
インターネットに接続しても
Download ncace uhinstallerとか言う
欄しかないのですが。
何処で削除するのかわからないです。

４０６さんが書いていることを
やってみたいと思います。

CoolWebSearch専用駆除ソフト　を使用したらレジストリを書き換えたり
メモリに進入したりされることは完全になくなるのでしょうか？

ＩＥ起動時にエロサイトに飛ばされることはなくなったのですが、目に見えない
部分がよくわかりません。

数十種類のウイルスと、スパイウエアにやられまして
リカバリーしたのですが、アフォな事聞くようで大変申し訳ないのですが、、、、、
ルーターってスパイウエアとかウイルスには感染しませんよね；

・・・こちらも初期状態にもどした方がいいのでしょうか；

かなり強烈なブラクラ踏んでPC再起動したら、IEのホームが勝手に
C:\searchpage.html　というサイトになってました。
インターネットオプションでも元に戻せません。
あとMadiaPlayerも起動しません。
どうやったら直りますか?　(´･ω･`)

>>418
氏ね

あのぉ〜、お聞きしたいんですが、
知らない内に勝手に「外国のエロサイトのホームページ」
がインターネットの起動時のホームページに設定されました。
「　C:\WINDOWS\secure.html　」という外国のエロサイトです。

アイコンを消してもダメだし、コントロールパネルのインター
ネットオプションで変更しようとしても画面がすぐに消えてし
まいます。　どうすればいいのでしょうか？
メーカーでハードディスク内を一度全部消去してもらわないと
直らないのでしょうか。
このままでは、妹がインターネットをするときにもエロサイト
のホームページが開いてしまい、やばいです。。。
どなたか直す方法を教えてくれませんか？
よろしくお願いします！

>>418>>420
>>1から読んでいけば解決

>>418
>>420
>>1から読め

ttp://vladimir.ddo.jp/cgi-bin/onakin2/src/kin1001.jpg

↑ここ踏んだらなんかウイルスに感染したみたいなんですが、スキャンしても反応がありません。
ちなみに、ノートン２００３でつ。OSはXP。だれか助けて〜
エロい人でごめん(´･ω･｀)

>>423
でつとか顔文字とかｷﾓｲ

>>424
ごめん（ｒｙ

>>423
ウィルスなんぞ入ってませんが？

>>426
確かめてみたら、「MHTMLRedir.Exploit」に感染したって出る・・・・
しかもこれ、前回と違うウイルス名だった・・・・・

>>423
それあれだろ、jpgとみせかけたhtmlファイルで
ロリサイトに飛ばされて、ワームだか何だか喰らうやつ。
どっかに対処方法があったので探して。

アップされてるだましファイルが32kbなのが特徴だったよな。

36kbあった

>>428
そ・・・そんなのがあったんだ、知らなかった（汗）
ありがとう、もう一度このスレの>>1-から探してみるよ。

>>423
xp最新のアップデートしていて、ノートンが駆逐したのなら大丈夫だと思います、
ソースをみるとttp://213.159.117.5１:80/hp.eｘeをダウンさせようとするみたい。
どうやらスパイウエアダウンロードプログラムのようです。

普段はIEを使用しないからわからないんだけど
>>423みたいのをIEだとhtmlに解釈しちゃって表示するの？
Firefoxだと表示できませんとしか出ない
view-source:を使えなソース出るけど・・・

どなたか、>>416をお願いします。

ieだとサイトが開きます。

俺は踏んだことないけど、たしか画像は表示されず、
DARK LOLITAとかいうサイトに飛ばされるはず。
ファイル名表示だけのアップローダー等で順番にクリックしていくと踏みやすい。
サムネイルが生成されるアップローダーでは、サムネイル画像が表示されないので偽装がわかる。

別名にTrojanDownloaderとあるから、駆除は出来てないんじゃないかな

>>431
わざわざ、どうもありがとうございました。
２回目の方は、削除した・・・って出たと思うんですが、一回目は削除したとは出ませんでした。
けど、スキャンしても反応しないのは、駆逐したと見て大丈夫ですよね？

初期化したばかりでいきなりウイルス食らってちょっと鬱気味

＞CoolWebSearch専用駆除ソフト　を使用したらレジストリを書き換えたり
＞メモリに進入したりされることは完全になくなるのでしょうか？
駆除した後にセキュリティの甘い以前の状態ならまた同じことです。
セキュリティを高レベルにするとか、IEを使わないとか、アンチウイルスソフトを
リアルタイムにいれておかないと感染します。

>>436
やっぱり、そうなのかな〜、ちょっと心配になってきた

>>439
データベースで検索したけど英語なので読めませんｗ
対応方法翻訳してみたけどｻﾊﾟｰﾘ
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=HTML_REDIR.A

>>438
一旦駆除は成功したとみてもいいんですね。ＩＥをやめてオペラを導入し、迂闊に
クリックも踏まないようにします。
一番古いPCを２ｃｈ専用にしているので（WIN95です）ｽﾊﾟｲﾎﾞｯﾄが上手く起動しな
くて困っていました。
レスありがとうございました。

MHTMLRedir.Exploitは、エクスプロイト(脆弱性の攻撃手法)であり、
駆除するものは何もないため、駆除方法はありません。
MHTMLRedir.Exploitは、ユーザのコンピュータ上で有害なコンテンツを
実行可能にするエクスプロイトに対する検出名です。
シマンテックのウイルス対策製品は、
このエクスプロイトを検知することによって、
その実行を阻止します。
↑
シマンテックの説明もよくわからん

>>439
シマンテックのほうにあった
http://www.symantec.com/region/jp/sarcj/data/d/download.trojan.html

これってどうなんですかね？
トレンドでは別名でTrojanDownloaderってあったんで>>443探したんですが・・・
>>442さんのｔこには別名って無いですよね

>>442-444
本当にどうもありがとうございます。
シマンテック・・・見てみたけど自分にはさっぱり（汗）
それはそうと、さっきいきなりカジノの広告が出てきたんだけど、これって関係あるのかな？

>>445
ここにぐだぐだ書いてる暇があるなら
テンプレ作業やった方が(・∀・)ｲｲ!

>>445
それはスパイウェアだね
まとめサイト作ってくれた方がいるので、ここを参考に駆除
http://haiiro.info/up/img/030.html

>>447
どうもありがとうございました。
Spybotっていうのでやってみます。

>>406さんの
Hijackthis
で調べたんですけど、HKEYと言うのは
見当たりませんでした。
これで調べる前にSpybot - Search & Destroy
と言うのをインストしてスキャンもして
いろいろとしたからかもしれません。
それで、プログラムの追加と削除で
n-CASEの欄がさっきまでは別のアイコンでMB数も
書いてあった物がPCのアイコンになり
MB数も表示されなくなりました。
InterstitialAdDelivery by n-CASEと表示されている
だけです。
ほかにMacromedia Shockwave player、
SoftV92 SmartSpeakerphne Modemも
怪しいからず、あります。

問題のFree mature pornはどうやって
削除しようかな、もう寝るので
明日も書き込こませてもらいます。

>>444　>>427から

>>445　あやしいので>>2からやるしかないかもです。
ActivXコンポーネントを警告なしでダウンロードするレベルだと、
間違いなく感染してます。

セキュリティの設定がスクリプトを実行しても安全だとマークされて
いないActivXコントロールの初期化とスクリプトの実行
↑無効にするなら大丈夫ですが、今どうなっています。

>>406さんの
Hijackthis
で調べたんですけど、HKEYと言うのは
見当たりませんでした。
これで調べる前にSpybot - Search & Destroy
と言うのをインストしてスキャンもして
いろいろとしたからかもしれません。
それで、プログラムの追加と削除で
n-CASEの欄がさっきまでは別のアイコンでMB数も
書いてあった物がPCのアイコンになり
MB数も表示されなくなりました。
InterstitialAdDelivery by n-CASEと表示されている
だけです。
ほかにMacromedia Shockwave player、
SoftV92 SmartSpeakerphne Modemも
怪しいからず、あります。

問題のFree mature pornはどうやって
削除しようかな、もう寝るので
明日も書き込こませてもらいます。

>>450
本当にごめん、全然わからない・・・・・
ActivXコンポーネント・・・・・？

>>416
> CoolWebSearch専用駆除ソフト
専用という意味を考えろｗ

「まとめサイト」http://haiiro.info/up/img/030.html#12
「無料ツール」の最後で紹介されているSystem Safety Monitor(SSM)が
レジストリの書き換え防止ソフトとしてはいちばん強力だ。常駐させて
おかないでも、怪しいサイト見るときだけ起動してもいい。

どうしてもだめならば
詳しい状況とか全部かいて被害対策の掲示板に書き込むとか。
ま、たいていはテンプレの通りにしとけば普通は解決するはずだが。

>>423
難しいことは気にしないで、
>>447のサイトを見て実行したほうがいいかと。

　　　　　　／￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
　　　　　　| 　 マスター、詳しい人は出払ってるの？
　　　　 　 ﾚヽ＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
　　　∧＿∧　　 　 　　　∧＿∧　 　 ／￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
　　 （　　・∀） /￣ヽ　　(´∀｀　 )　＜　すこし待ってくださいモナ
　　 （　　　`つ　日 凸　（　つ　つヽ　 ＼＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
　　 （＿　⌒./　　　凵ヽ |　｜ ｜　|ヽ.凸|　　 |
　　 「 　（＿/Ｙ　　　　　ヽ _（＿_）　|　|＼| 　　|
　　┗┳━|￣￣￣￣￣|　 　 .. 　 ＼|. │ 　｜
　　　 ┻＼|　　 　 　 　.｜　　　 　 　 ＼.| 　 │

>>451
Hijackthisのログに
　O4 - HKLM
　O4 - HKCU
という項目がないかもいっぺん探してみてください。
　HKLM=HKEY_LOCAL_MACHINE
　HKCU=HKEY_CURRENT_USER
の省略。

>>423
このスレのテンプレ長いので「まとめサイト」http://haiiro.info/up/img/030.html
が見やすいです。まずそこの「緊急処置」できるとこまでやってみてください。
よほどしつこいヤツ以外は解決するはず。

それでダメだったら何やったか明記してまた質問。

>>455 >>458
わかりました、挑戦してみます。
どうもありがとうございました。

▼━質問のしかた ━━━━━━━━━━━━━━━━━━━━━━━━━━━
　・ E-mail欄(省略可) には何も記入しないこと。(ID出す→偽者対策・質問者の区別)
　・ 2回目以降の書込は、名前欄に最初に質問した際の「発言番号」を入力すること。
　・ 他のスレから誘導された場合は、その旨書く。(マルチポストとの区別)

　■このスレのテンプレ長いので「まとめサイト」http://haiiro.info/up/img/030.html
　　 が見やすいです。（回答者の皆さんも誘導に利用してください）

　■まず「まとめサイト」の「緊急処置」できるとこまでやってみてください。８割は解決
　　 するはず。な〜んにもしないで質問するとネタ回答食う可能性大ｗ

　■それでダメだったら、OSの種類、ブラウザ、セキュ関係ソフトの有無、実行結果を
　　 明記して質問してください。（特にOSの種類必須）

>>451
コントロールパネルから攻めないと中途半端に残るぞ。

すいません。エロサイト見てないのになぜか
インターネット繋げるといつもヤフーから開くけど
グレートサーチにリンクされるんですが
グレートサーチってヤバイんですか？
あとどうやったらグレートサーチを削除できるんですか？
教えて下さい。宜しくお願いします。

>>462
マルチ乙

>>421、422
ありがとうございました。
なんとか、CWShredderで変なファイルは除去でき、起動時
エロサイト行きは免れました。
コントロールパネルでインターネットオプションも開くよ
うになり、起動時のホームページもヤフーに戻しました。

明日妹がPC使うだろうし、これで兄貴としての面目はつぶ
れずにすみました。。。

>>462
●【緊急】　早く治したい方は以下を実行して下さい　【処置】●

　　　WEB設定のリセットは、こまめに実行しましょう（無限ループ防止の為）　

1) 　IEのホーム、検索ページを標準に戻す→ツール→インターネットオプション→
　　 プログラム→WEB設定のリセット

2）　IEの履歴削除→ツール→インターネットオプション→全般→インターネット
　　 一時ファイル→クッキーの削除+ファイルの削除

3)　 削除したいファイルがあるが「アクセスできません。使用中です」等といわれて
　　 削除できない→セーフモード（F8を連打）でOSを起動→削除→OS再起動

4) 　勝手に追加されたアプリをアンインストする→スタート→コントロールパネル→
　 　 アプリケーションの追加と削除（JWordはここでアンインストする）→OS再起動

5) 　ブラウザジャッカーCoolWebSearch駆除ツール　CoolWebShredderをDL
　 　 http://higaitaisaku.web.infoseek.co.jp/removecws.html#jyokyo　→OS再起動

6）　定番スパイウェア除去ソフト↓をインストール(併用推奨)

　　　　・定番　スパイウェア除去ソフト Ad-Aware 使用法
　　　　　http://www.dream-seed.com/server/spy.html
　 　　・定番　スパイウェア除去ソフト Spybot-S&D　使用法
　　　　　http://www.dream-seed.com/server/spybot.html

7）　Me/XPの場合「システムの復元」で正常な状態に復帰させる方法もあります。
　　　［スタート］→［すべてのプログラム］→［アクセサリ］→［システム ツール］
　　 　→［システムの復元］

------以上実行してまだトラブってたら（OS種類必須）再度質問して下さい---

>>464
お礼は妹の写真うｐでよろ。

>>466
あの・・妹は今年54才になるのですが。

はう。。。スルーみたいですねorz
スレ汚しすんませんでした。

>>453
えっと、駆除できたのはブラウザジャッカーだけでｽﾊﾟｲｳｪｱはまだ中にいると
いうことですか？
ｽﾊﾟｲﾎﾞｯﾄが普通に起動できなくて（WIN９５なので）よくわからないので
色々試してからまた明日にでもお世話になると思います。すみません。

▼━質問のしかた ━━━━━━━━━━━━━━━━━━━━━━━━━━━
　（略）
　・ネカマ禁止
　・妹ネタ禁止
　・実際にオカマの香具師、妹がいる香具師もこのスレでの言及は避けてください。

>>466-467
ωαγατα..._φ(ﾟｰﾟ*)

いろいろ厳しいんだな。

>>468
ルータは基本的にウィルスには感染しない。（リモート管理用のパスワードを
クラックされた例が若干あるが、それはまた別の話）

他に心配することはいくらでもあるｗから気にしないでいい。ただ設定はときどき
チェックすること。メーカーのサイト見てファームウェアがバージョンアップしてる
ようならアップデートしておく。

>>470
ネナベはどうなりますか？

>>474
タタタタタ ・・・（（（(ノ~ 〓~)ノ　ちゅ〜して〜ん♪

Sasser ワームについてのお知らせ
公開日: 2004年5月1日 | 最終更新日: 2004年5月2日

現在、インターネット上では W32.Sasser.worm が活動を活発化しており、
マイクロソフトおよびセキュリティ関連組織は、このワームに対する調査を行っています。
このワームは 2004 年 4 月 14 日 （日本時間） のマイクロソフト セキュリティ情報
MS04-011 で修正される Local Security Authority Subsystem Service (LSASS) の脆弱性を悪用している事が確認されました。

http://www.microsoft.com/japan/security/incident/sasser.mspx

《SASSER基本情報》
トレンドマイクロ(手動削除手順はこちらが詳しい)
SASSER.A
　http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A
SASSER.B
　http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B
シマンテック
SASSER.A
　http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.worm.html#technicaldetails
SASSER.B
　http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.b.worm.html#technicaldetails

■症状：以下のような窓が出てカウントダウンの後OSが強制的にシャットダウンする。
　LSA Shell(Export Version) has encountered a problem
　This system is shutting down...by NT AUTHORITY\SYSTEM

■予防法：WindowsのLSAに関するセキュリティホールにパッチを当てる。
　Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011)
　http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp

■感染確認： Windowsのシステムフォルダ内（\Windows\ または\WINNT\）に
　 "＜ランダムな数字＞_up.exe"（ファイル名例："12345_up.exe"）というファイルが
　作成される。

■駆除方法：セーフモードで（F8を連打しながら）起動→スタート→ファイル名を指定して
　実行→regedit→以下の項目を削除
　　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
　　　値　： avserve.exe = %Windows%\avserve.exe　（SASSER.Bの場合　avserve2.exe）
　→本体ファイルavserve.exeを削除→再起動→再度オンラインスキャンをかける→
　さらにウィルスとして発見されたファイルがあれば削除

>>474
ネナベのみ可。（ネタチは不可）

　　　　　　　豆知識
,,-―＝'''￣　　　　　 ＿＿＿,,-―――＝''￣ ＿_,-―＝''￣　　 / .　　　.　.
　　　＿,,-―＝'''￣　　　　　　　 ＿,,-―＝''￣　ヽ　　　　　　　／　　+
￣￣　　　　　　　 ＿,,-―＝'''￣　　　　　　　　　　＼　　　　／　　. .　.　　.
　　　　　 ,,-＝''￣　　　　　　　　　　　　　　　　　　　ヽ　　／　　　　.　　。. ★　　☆
　　　 ,,,-''　　　　　　　　　　　　　　　　　　　　 　 　　 ヽ／　　　　　。.　　　　.
-―''￣　　　　　　　／＼　　　　　＿＿＿,　　／＼　　 |　　　.　☆　　+
.　　|　　　 　 　 ..::::::::::::... 　 　 　 |　　 　 /　　 　..:::::::...キター 　+　.　　　.　.
　　 |　　　　　 　 　 　 　 　 　 　 | 　 　 /　　　　　　　　|　　　　.　.　　　☆
　　ヽ　 　 γ´~⌒ヽ.　　　　 　　 |　　 /　　　　　 　 　 /☆　.　*　　+.　　.
――ヽ 　 /　　　　　 ヽ　　　　　 |　 /　　　　　　　　 /⌒ヽ、.　　.　　.　.
　　　　＼/　　　　　　　|　　 　 　 |_/　　　 　 　 　 ／　　　 ヽ +★

>>475
ヤだ

>>478
ありがとう

　　　　　　／￣￣￣￣￣￣￣￣￣￣￣
　　　　　　| 　 マスター、ネナベってな〜に？
　　　　 　 ﾚヽ＿＿＿＿＿＿＿＿＿＿＿
　　　∧＿∧　　 　 　　　∧＿∧　 　
　　 （　　・∀） /￣ヽ　　(´∀｀　 )　　
　　 （　　　`つ　日 凸　（　つ　つヽ　 ＼＿＿
　　 （＿　⌒./　　　凵ヽ |　｜ ｜　|ヽ.凸|　　 |
　　 「 　（＿/Ｙ　　　　　ヽ _（＿_）　|　|＼| 　　|
　　┗┳━|￣￣￣￣￣|　 　 .. 　 ＼|. │ 　｜
　　　 ┻＼|　　 　 　 　.｜　　　 　 　 ＼.| 　 │

飲んで帰ってきたらまたやられてました＿|￣|○

>>457
HKLMとHKCUならけっこうあります。
１個リストに該当しそうなのがありました。
O4 - HKLM\..\Run: [msbb] c:\windows\msbb.exe
これなんですけど。
削除してもいいでしょうか？

>>483
>>406

freednshot関連

higaitaisakuのハイジャック対策を開こうとすると、アイコン全部消えて
画面が青一色になった。このケースは既出？

>>484
と言うことは削除してみます。
コントロールパネルで
n-CASEのサイトにアクセスして
ｎCACE Ads Uninstaller.exeと言うのは
ダウンロードしてもアンインストールできる
わけじゃないですよね。
ｎCACEのサイトに行った時点でアウトですか。

hijackthisを落とそうとするんですがいつまで経ってもDL許可？の画面になりません。
また説明ページにも数秒つなぐと勝手に落ちてしまいます。
どうすればいいでしょうか？

>>488
誰かに落としてもらえ。
ウイルスに感染してるんじゃないのか？

>>489
おそらくそうだと思います。
勝手にホームが書き換えられたりしてますし。
今本家から直接落としたら成功したんですが全て落とし終わった後
「ファイルをコピーできません。送り側のファイルまたはディスクから読み取れません」
と出ました。
本家なのにこれっておかしいですよね？
やっぱり感染してますか？

すいません。sageました。

>>486
ウィルススキャンしたほうがいいんじゃないですか

>>487
いや〜、おいらは>>406さんじゃないんでよく解らんです
ただログ漁ってたらあなた宛の回答見つけたので
書いてくれてる通りにやればいいのではないかと

>>４９２
ハイジャックで削除しました。
まだ、同じフォルダにbackupとして
残っていますけど。
n-CACEについて、まとめサイトでみても
コントロールパネルからの削除
「可能？」と書かれているのですが、
n-CACE Ads Unin ataller.exe
で削除できるかな？。

？

n-CACE
プログラムからなくなりました。
Ad-aware 6.0で思い切ってスキャン
しかからだと思います。
でも、バックアップ取るのやってない
Ad-aware 6.0の日本語パッチなんか
ならないので、6.0ではないんでしょうか？

あとは、始からの問題の消しても戻ってくるお気に入りの
リンクを削除したいのですが。
（今はどうかわかりませんが）
復旧って言うやつで完全消去したらどうなりますか？
一応試してみますけど、自信ない。

>>493
n-CACEはｱﾝｲﾝｽｺ使える状態なら
それでやった方が良いと思う。
つーか順番的には先にｱﾝｲﾝｽｺやって
その後にゴミ掃除が正解だ・・・

CWShredderによるとCSW.Searchxという物だそうです
ウイルスバスター2004評価版を入れてみましたが、全く無反応・・・
明らかに感染してるだろうに＿|￣|○

まとめサイトの中の人見てたらお願いしたいのですが、
コントロールパネルの「〜の追加と削除」に現れるものがあれば、
そこでｱﾝｲﾝｽｺしてからレジストリなどのゴミ情報を削除することを
どこかに書いておいた方が吉だと思うんだけど

エロくなった人はとにかく状態を早く解消したいから「緊急」に
誘導するのも間違ってはいないと思いますが・・・

>>203
飲んで帰ってきたらって状態は誰かがPC弄ったってこと？
もしそうじゃないんだったら根本部分にトロイが残ってると思うけど

>>498
あ！緊急の5)に書いてありましたozr
正直ｽﾏﾝﾃｯｸ

>>498
一人暮らしなのでPCは動いてません
その根本部分のトロイが発見できず困っています
ウイルスバスターでも発見できませんでしたし
AD-aware、Spybot、CWShredderを使ってもダメです
もちろん、テンプレにある事は試しました

今はどんな症状が出ますか？

　　　　　　／￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
　　　　　　| 　 マスター、詳しい人は出払ってるの？
　　　　 　 ﾚヽ＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
　　　∧＿∧　　 　 　　　∧＿∧　 　 ／￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
　　 （　　・∀） /￣ヽ　　(´∀｀　 )　＜　すこし待ってくださいモナ
　　 （　　　`つ　日 凸　（　つ　つヽ　 ＼＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
　　 （＿　⌒./　　　凵ヽ |　｜ ｜　|ヽ.凸|　　 |
　　 「 　（＿/Ｙ　　　　　ヽ _（＿_）　|　|＼| 　　|
　　┗┳━|￣￣￣￣￣|　 　 .. 　 ＼|. │ 　｜
　　　 ┻＼|　　 　 　 　.｜　　　 　 　 ＼.| 　 │

>>203
CWS.Searchxが発見されてabout:blankが変な検索サイトになってるなら以下をFixしてみて

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\gfmnaaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\gfmnaaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res:// C:\WINDOWS\System32\gfmnaaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {48918FB4-1FD5-4DF3-87F0- 12C36350039D} - C:\WINDOWS\System32\gfmnaaa.dll

症状が止まったらC:\WINDOWS\System32\gfmnaaa.dllをリネームか削除

>>501
>>203と同様です
URL部分がabout:blankのままで
Search for...　がホームになっています

>>503
>>305-307

>>503
>>313

>>505
なる一回ログ晒してるんだ
ちょっと見てみます

ありゃ>>301で回答してるのも漏れじゃんｗ

>>508
d (￣ ・￣)ヾ(^o^; ）オイオイ

>>203
一度状態が解消されたんだったら
もう一回ログ取り直して欲しいかも
出来ればConfigからスタートアップ情報も取って欲しい
>>315が当たってしまったなぁｗ

Logfile of HijackThis v1.97.7
Scan saved at 10:38:28, on 2004/05/03
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Trend Micro\Virus Buster 2004\Tmntsrv.exe
C:\Program Files\Trend Micro\Virus Buster 2004\tmproxy.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Trend Micro\Virus Buster 2004\PccPfw.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Trend Micro\Virus Buster 2004\pccguide.exe
C:\Program Files\Trend Micro\Virus Buster 2004\PCClient.exe
C:\Program Files\Trend Micro\Virus Buster 2004\TMOAgent.exe
C:\WINNT\system32\Internat.exe
C:\Program Files\Silicon Prairie Software\MemTurbo2\MemTurbo.exe
C:\Documents and Settings\Administrator\ﾃﾞｽｸﾄｯﾌﾟ\tool\Hijack\HijackThis.exe

F0 - syst>m.ini: Shell=
F0 - R>ystem.ini: Shel>=
F0 - R>ystem.ini: UserInit=
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {64E5EFCF-A38B-4349-9BD8-67396894C183} - C:\WINNT\system32\naoel.dll
O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Virus Buster 2004\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Program Files\Trend Micro\Virus Buster 2004\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Program Files\Trend Micro\Virus Buster 2004\TMOAgent.exe" /run
O4 - HKCU\..\Run: [Internat.exe] Internat.exe
O4 - Startup: NTUSER.DAT
O4 - Startup: ntuser.dat.LOG
O4 - Startup: ntuser.ini
O4 - Global Startup: ntuser.pol
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

O16 - DPF: {096ABB46-65A8-4049-9513-5051A8C95285} (IMBBGooACX01 Control) - http://number.goo.ne.jp/sports/baseball/live/agbb2004.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (ｳｲﾙｽﾊﾞｽﾀｰ On-Line Scan) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38028.2745949074
O16 - DPF: {CDA94496-ED6F-4C72-94C8-2C485DC63390} (VCDS Control) - http://vcds-client.nefficient.co.kr/vcds-client/vCDS.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O2 - BHO: (no name) - {64E5EFCF-A38B-4349-9BD8-67396894C183} - C:\WINNT\system32\naoel.dll
これは消した方がいいのはわかるのですが・・・

また、レジストリのHKCU\Software\Microsoft\Internet Explorer\
の中にHOMEOｌｄSPの項目などがありますので、この辺が消えない限り
完全に消去では無いですよね？

>>203
>>316
>>497

>>515
インターネットセキュリティを買ってこようかとは思ったのですが
昨日は飲みに行ってしまったので
緊急措置としてウィルスバスター2004の評価版を入れています

>>203
「about:blankが表示される」というのは、真っ白の空白が表示されるのではなく、
変な検索サイトが表示されるんだよね？

これをFixしてから
O2 - BHO: (no name) - {64E5EFCF-A38B-4349-9BD8-67396894C183} - C:\WINNT\system32\naoel.dll
naoel.dllをレジストリエディタで検索してみて下さい

それと自分は家にはWin2K環境が無いんだけどこういうキーってあります？
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs
あれば中身を全て書き出して欲しい

これはオンラインゲームか何か？
O16 - DPF: {CDA94496-ED6F-4C72-94C8-2C485DC63390} (VCDS Control) - http://vcds-client.nefficient.co.kr/vcds-client/vCDS.CAB

>>518
>>514

>>519
さっきから粘着してる揚げ足くん
暇そうだねぇ？オマエが回答してやれ

>>517
そうです

>>518
fix後、naoel.dllはレジストリから発見されませんでした
またHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLsを発見しましたので書き出しておきます
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs]
"NavigationFailure"="res://shdoclc.dll/navcancl.htm"
"DesktopItemNavigationFailure"="res://shdoclc.dll/navcancl.htm"
"NavigationCanceled"="res://shdoclc.dll/navcancl.htm"
"OfflineInformation"="res://shdoclc.dll/offcancl.htm"
"Home"=dword:0000010e
"blank"="res://mshtml.dll/blank.htm"
"PostNotCached"="res://mshtml.dll/repost.htm"
"mozilla"="res://mshtml.dll/about.moz"

さいごのはオンラインゲームの物です

>>521
URLの欄に、「about:blank」と打ち込んでも同じ画面が表示されますか？

>>522
はい、表示されます

>>523
このタイプのabout:blankは手強いです、もう一度

CoolWebShredderをCoolWebShredder以外の
ウィンドウは閉じた状態でやって下さい。

その後にIE関連レジストリの全リセット
http://higaitaisaku.web.infoseek.co.jp/cleanfixreg.html

>>524
やってみましたが、しばらくは良かったのですが
また元に戻ってしまいました

>>525
正直なところ手詰まりです>>521のログも問題なさそうですし。

>>203
「システムの復元」で直近の正常な状態に復帰させる、という手もアリ。

Me/XPの場合
［スタート］→［すべてのプログラム］→［アクセサリ］→［システム ツール］→［システムの復元］

　復元フォルダに悪プログラムが残ったままになるのでアンチウィールスのスキャン
　で警告が出たり、うっかり再度復元して緊急事態に逆戻りしたりwに注意。また復元
　ポイントは日付の古いほうから順に消えていきます。正常なポイントがどれだったか
　紙にメモ取るなりして管理しときましょう。

98で復元したいなら一応試してみ。（一番古い日付は不可）

1. パソコンの電源を入れたら[Ctrl]キーを押しっぱなしにする
2. “Startup Menu”が表示されたら“Command Prompt Only”（コマンドプロンプトのみ）を選択する
3. 入力可能状態になったら、“scanreg”と入力してから[Enter]キーを押す
4. 日付の一覧が表示されるので、その中で復元したいと思うバックアップデータを選んで[Enter]キーを押す
5. 再起動を求められるので、再起動する

海外サイトに飛ばされてネットに接続できなくなってしまいました。PCの自動終了もできません。W98です助けて

ホームも変な海外サイトに固定されてて直せません。接続するときに出るダイヤログもすぐ閉じてしまいます

>>527
2000の様ですよ。

>>528
真上に解答が・・・

Hijackthisとかテンプレにあるソフト落とそうとしても、ブラウザごと勝手に閉じられてまうんです。
だれか助けて

>>532
窓の手使え。

今窓の手を落としています・・・
これでダウンできるんでしょか

てゆうかエロサイト見てないのに何かに感染したような感じ。
スタートページは
http://smlcps.outhost.info/
とかになるし、Janeも時々勝手に閉じるし

いったいなにこれ？

>>534
ウイルスです。

ノートンでアップデートかけてスキャンしたら
Backdoorなんとやらが検出されて削除されたのに
なおんない

　　　　　●【緊急】　早く治したい方は以下を実行して下さい　【処置】●

　　　WEB設定のリセットは、こまめに実行しましょう（無限ループ防止の為）　

1) 　IEのホーム、検索ページを標準に戻す→ツール→インターネットオプション→
　　 プログラム→WEB設定のリセット

2）　IEの履歴削除→ツール→インターネットオプション→全般→インターネット
　　 一時ファイル→クッキーの削除+ファイルの削除

3)　 削除したいファイルがあるが「アクセスできません。使用中です」等といわれて
　　 削除できない→セーフモード（F8を連打）でOSを起動→削除→OS再起動

4) 　勝手に追加されたアプリをアンインストする→スタート→コントロールパネル→
　 　 アプリケーションの追加と削除（JWordはここでアンインストする）→OS再起動

5) 　ブラウザジャッカーCoolWebSearch駆除ツール　CoolWebShredderをDL
　 　 http://higaitaisaku.web.infoseek.co.jp/removecws.html#jyokyo　→OS再起動

6）　定番スパイウェア除去ソフト↓をインストール(併用推奨)

　　　　・定番　スパイウェア除去ソフト Ad-Aware 使用法
　　　　　http://www.dream-seed.com/server/spy.html
　 　　・定番　スパイウェア除去ソフト Spybot-S&D　使用法
　　　　　http://www.dream-seed.com/server/spybot.html

7）　Me/XPの場合「システムの復元」で正常な状態に復帰させる方法もあります。
　　　［スタート］→［すべてのプログラム］→［アクセサリ］→［システム ツール］
　　 　→［システムの復元］

------以上実行してまだトラブってたら（OS種類必須）再度質問して下さい----

どうしようもないのでOS再インストすることにしました
皆様ご迷惑をおかけしたことをお詫びするとともに
色々と手を貸してくださった事を感謝いたします

>>538
二度と来んなｳﾞｫｹ

▼━質問のしかた ━━━━━━━━━━━━━━━━━━━━━━━━━━━
　・ E-mail欄(省略可) には何も記入しないこと。(ID出す→偽者対策・質問者の区別)
　・ 2回目以降の書込は、名前欄に最初に質問した際の「発言番号」を入力すること。
　・ 他のスレから誘導された場合は、その旨書く。(マルチポストとの区別)

　■このスレのテンプレ長いので「まとめサイト」http://haiiro.info/up/img/030.html
　　 が見やすいです。（回答者の皆さんも誘導に利用してください）

　■まず「まとめサイト」の「緊急処置」できるとこまでやってみてください。８割は解決
　　 するはず。な〜んにもしないで質問するとネタ回答食う可能性大ｗ

　■迷惑ソフトは意外に「プログラム（アプリケーション）の追加と削除」から削除できる
　　ことあり。google で迷惑なヤシの名+uninstallでアンインストーラがヒットすることも。

　■それでダメだったら、OSの種類、ブラウザ、セキュ関係ソフトの有無、実行結果を
　　 明記して質問してください。（特にOSの種類必須）

>>538
的外れな解答ばかりで申し訳なかったです。

窓の手をいれたけどどうすりゃいいんでしょか？

WINXPなので、msconfigでスタートアップは全部切ったし
けどダウンできない！

>>542
テンプレにあるソフト落せなくて窓の手は落とせたのかい？

落とせなくてっていうか、ダウンの最中に勝手に閉じられるねん

http://higaitaisaku.web.infoseek.co.jp/HijackThis.exe
これは途中で閉じられる

日本語解説　http://higaitaisaku.web.infoseek.co.jp/hijackthis.html
これは開いてページを読み込む最中に閉じられる

■CWShredder　CoolWebSearch専用駆除ソフト　更新：高
　☆本家　ttp://www.spywareinfo.com/~merijn/downloads.html
こっちからダウンしようとしても途中で閉じられる

どないなってるんやら

ちなみにＺＩＰ圧縮のをダウンしたら、ダウン終了後

ファイルをコピーできません。送り側のファイルまたはディスクから読み取れません。

でアウト。

おお！！すごい情報サンクス

誤爆？

>>546
CoolWebShredderによる自動削除
http://higaitaisaku.web.infoseek.co.jp/removecws.html#jyokyo

>549
ありがとう
でも、やはりダウン中に閉じられる。

>>550
コントロールパネルの「プログラムの追加と削除」に
怪しいものはない？

それがないんよ・・・

>>552
7）　Me/XPの場合「システムの復元」で正常な状態に復帰させる方法もあります。
　　　［スタート］→［すべてのプログラム］→［アクセサリ］→［システム ツール］
　　 　→［システムの復元］

プロセスにあるlsass.exeがあやしいようなきもするんだけど
重要なシステムプロセスです
とやらで終了できない・・・

C:\WINDOWS\system32\lsass.exe　は正常なもの。

>>554
Sasser ワームについてのお知らせ
公開日: 2004年5月1日 | 最終更新日: 2004年5月2日

現在、インターネット上では W32.Sasser.worm が活動を活発化しており、
マイクロソフトおよびセキュリティ関連組織は、このワームに対する調査を行っています。
このワームは 2004 年 4 月 14 日 （日本時間） のマイクロソフト セキュリティ情報
MS04-011 で修正される Local Security Authority Subsystem Service (LSASS) の脆弱性を悪用している事が確認されました。

http://www.microsoft.com/japan/security/incident/sasser.mspx

>>554
それW32.Sasser.wormだろ

自分のPC怖くて開けたくなくなったので、町へでるたびに、ネットカフェで書いてます。今日もそうです。
訳を話します。
実は、僕のPC、非接続の時も、インターネットエクスプローラーを立ち上げていると、
そのうち、変なのがでます。一番全画面に出てきます。
要するに、新たに、勝手にもうひとつインターネットエクスプローラーが立ち上がってきます。
昔、一回接続中に出てきたので、途中で止めたやつですが
（画像のダウンロード自体、時間がかかるので、とても重いやつです＝ちなみにうちは、ダイヤルアップ接続）、
それが、出てくるのです。もちろん、画像も途中までしか出てきませんでした。
つなげた状態でやると、それが立ち上がって勝手に接続していくんだと思います。

そのあと、エクスプローラーで、Historyというフォルダへ辿り、中を空にしたところ、
画像はでませんが、画面が全部真っ白になり、操作するバーがすべてなくなります。
Ctrl+Alt+Delで、タクスマネジャを出し、アプリケーションタブで見ると、その変なのが立ち上がっているように
見えます。
これは、ttp://floor-teens.com/diman.html-Microsoft Internet Explore
となっていて、ロリ系の、きわめて特殊な画像サイトです。

どこかに勝手のこいつを呼び出すような、
インターネットエクスプローラーにこのアドレスを入れて新たに作動させる
ものが、僕のPCに仕込まれてしまったようなのです。

セットアップしなおす前に、なんとか簡単に蹴りをつけたいのですが。
どうでしょうか。

>>558
ここのテンプレを印刷して持ち帰れ。

>>557
おれのとこにもいるぜ！
lsass.exe

でもここでチェックしたが大丈夫らしいぞ。
http://www.microsoft.com/security/incident/sasser.asp

システムの復元で今日の朝に戻したけどあかんかった！

>>557
でもノートン反応せぇへんねん
ウィルス定義は5/1

>>558
そこのネカフェはCD焼いたり印刷したりできる？
出来るならここにあるスパイウェア関連のソフトを全部落として焼いて帰る
そして家に帰って実行
http://haiiro.info/up/img/030.html

ただしHijackThisだけはレジストリ弄るので、ログを取っておいて、このスレで詳しい人に見てもらう

あとWindowsのセキュリティパッチも、入れてないものは落として焼いて帰って入れる

>>561
じゃあBackdoorなんちゃらのなんちゃらの部分
Backdoorだけじゃウィルスデータベースで検索かけても多すぎて的絞れない

Backdoor.HackDefender
でした
ファイル名はhxdefv.sysです

　　　　　　／￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
　　　　　　| 　 マスター、ランチタイムには表に行列ができるね♪
　　　　 　 ﾚヽ＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
　　　∧＿∧　　 　 　　　∧＿∧　 　 ／￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
　　 （　　・∀） /￣ヽ　　(´∀｀　 )　＜　おかげさまモナ
　　 （　　　`つ　日 凸　（　つ　つヽ　 ＼＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
　　 （＿　⌒./　　　凵ヽ |　｜ ｜　|ヽ.凸|　　 |
　　 「 　（＿/Ｙ　　　　　ヽ _（＿_）　|　|＼| 　　|
　　┗┳━|￣￣￣￣￣|　 　 .. 　 ＼|. │ 　｜
　　　 ┻＼|　　 　 　 　.｜　　　 　 　 ＼.| 　 │

やあ　（´・ω・｀)

とか言ってる場合じゃなく原因がわからん。
一応Backdoor.HackDefenderでおかされるレジストリは
戻ってるっぽい

まとめ

１
IE6のスタートページが
http://gajrwb.outhost.info/　　　（213.159.118.228）
にかわる
WEB設定のリセットをしたら一時的に戻るが、また上記ページに戻る

２
ノートンスキャンかけてもだめ

３
テンプレの
　http://higaitaisaku.web.infoseek.co.jp/HijackThis.exe
をダウンしようとしても、途中でダウンロードのウィンドウもブラウザのウィンドウも勝手に閉じる
ZIPをダウンしても
ファイルをコピーできません。送り側のファイルまたはディスクから読み取れません。
でダメ

４
日本語解説　http://higaitaisaku.web.infoseek.co.jp/hijackthis.html
を開くと読み込み途中でブラウザ閉じる

５
CoolWebShredderによる自動削除
http://higaitaisaku.web.infoseek.co.jp/removecws.html#jyokyo
も上記同様

さぁ困った

>>566
レジストリじゃないよねぇ・・・なんだろ？

一度セーフモードでスキャンディスクかけて、セキュリティレベル下げてDLしてみたら？

やってみるー

558です。
５５９，５６２サン、ありがとうございます。
スパイウエア関連といわれても、どれがどれなやら、恥ずかしいことです。
それは初心者向けスレで聞くべきでしょうか。

それと残念ながら、CDに焼くとかここでは無理でした。
家のPCで、2ちゃんねるにつないで、そこから落としてはどうでしょうか。
つないでいる際も、スパイウエアが働くかもしれませんから、
その前に、全部、情報はメデイアに退避させようと思います（そんなに入れていませんから）。
（もっとも、ゴミ箱にいれて更にゴミ箱から消しても、本当は情報は残っている訳で、
スパイウエアは、それも復元して拾うようなものならだめですが。）

リカバリ
これ最強の治療法

スパイウェアに感染したようです。
スパイウェア対策のHPを開こうにも強制的にブラウザを閉じられてしまいます。
このスレの>>3からHijackthisやCWShredderを落とそうとしても、落とすことが出来ません。
こう言う場合はどうすればいいのでしょうか？ご教授お願い致します。

あぁ！ログ読んだんですけど。>>532さんと全く同じ症状っぽい。
とりあえず色々試してみます。

http://www.vector.co.jp/soft/win95/net/se248258.html
これを使って hostsファイルの
127.0.0.1 localhost 以外の行を削除したらどう？

Ad-aware6は落とせました。
スキャンも掛けファイルも駆除しました。

IEのポータプルページが勝手に変更されてしまうのは直りましたが。
http://higaitaisaku.web.infoseek.co.jp/HijackThis.exe
などのスパイウェア対策のHPを開こうとすると勝手にブラウザが閉じられてしまいます。

>>575
うちもまったく同じ状況だ

（・３・）　エェー　Iriaみたいなツールで落とせBA

>>577
Irvineで試しましたがすぐに×になります。
何度やっても変わりません。

http://magical.site.ne.jp/futaba/hitomede/src/1082545724903.jpg
女子高生アナル丸見え

>>575-576
他のサイト表示でもブラウザ閉じられるの？
Vectorとかでフリーソフトとかは落とせたりする？

>>579
氏んでろ糞業者…ってこのスレタイじゃ無理ないかｗ

>>580
うちの場合は他のサイト表示には全く問題ありません。
スパイウェア関係のHPを見る時だけブラウザが閉じられます。
フリーソフトも同様でスパイウェアに関係ないものは落ちてきます。

HijackThis (zipped):
http://www.zerosrealm.com/downloads/hjt.zip
CWShredder: (zipped)
http://www.zerosrealm.com/downloads/CWShredder.zip

>>583
どうもありがとうございます。
それはDLできました。
これからいろいろ試してみます。

>>583
訂正です。
上の「hjt.zip」は問題ありませんでしたが
「CWShredder.zip」の方は今までと同じく途中まで落としていると勝手に消える状態になります。

>>582
HijackThisの作者さんのサイトが落ちてて確認出来ないんだけど、
何日か前にHijackThisをDLするのを阻止するスパイウェアが出てきてるみたいなこと書いてあったんだよね
作者さんも詳細は不明みたいだったけど
英文が分からないから翻訳して読んだからあやふやで申し訳ないけど

hjt.zipを解凍したところ中身がありませんでした・・・（ﾟ∀ﾟ）
WINRARの修復とかも使ってみたんですが特に変わりませんでした。

（・３・）　エェー　URLの文字列を見ているのかNA
　　　　　　　　　 タスクマネージャでスパイウェアらしきプログラムを終了させるとKA

ツール→インターネットオプション→ホームページ
の「標準設定」が、あやしい中国語のページで困っています。
賢明な皆様、以下のログをご笑納の上ご教示ください。

（・３・）　エェー　断るYO

Logfile of HijackThis v1.97.7
Scan saved at 16:14:52, on 04/05/03
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ATI2PLAB.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAM FILES\COMMON FILES\EPSON\EBAPI\SAGENT2.EXE

C:\WINDOWS\SYSTEM\HIDSERV.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAAB.EXE
C:\WINDOWS\SYSTEM\IMEJPMGR.EXE
C:\WINDOWS\SYSTEM\ATI2CWXX.EXE
C:\PROGRAM FILES\APOINT\APOINT.EXE

C:\WINDOWS\SYSTEM\NMFTASK.EXE
C:\CYBERTRIO\SHOWMODE.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAM FILES\CREATIVE\SHAREDLL\CTNOTIFY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\WINAMP\WINAMPA.EXE
C:\PROGRAM FILES\COMMON FILES\CMEII\CMESYS.EXE
C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAM FILES\APOINT\APWHEEL.EXE
C:\PROGRAM FILES\COMMON FILES\GMT\GMT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\CREATIVE\SHAREDLL\MEDIADET.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\ﾃﾞｽｸﾄｯﾌﾟ\HIJACK THIS\HIJACKTHIS.EXE

>>588
どれがスパイウェアか分かりません（つД｀）

F0 - syst>m.ini: Shell=
F0 - R>ystem.ini: Shel>=
F0 - R>ystem.ini: UserInit=
O2 - BHO: (no name) - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\SYSTEM\IEHELPER.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX (file missing)
O2 - BHO: IDN Helper Object - {118CE65F-5D86-4AEA-A9BD-94F92B89119F} - C:\WINDOWS\DOWNLO~1\CNSMIN~1.DLL (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLENAV.DLL
O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] Atiptaab.exe
O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe
O4 - HKLM\..\Run: [AlpsPoint] C:\Progra~1\Apoint\Apoint.exe
O4 - HKLM\..\Run: [NMFTASK] NMFTASK.EXE /RESET
O4 - HKLM\..\Run: [LUNCH] C:\WINDOWS\REGEDIT.EXE /S C:\WINDOWS\LUNCH.REG
O4 - HKLM\..\Run: [CyberTrioModeInfo] C:\CyberTrio\ShowMode.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [ara-key] C:\Program Files\Lhaca\Lhaca266d.exe -StartUp

O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAM FILES\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [CMESys] "C:\PROGRAM FILES\COMMON FILES\CMEII\CMESYS.EXE"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2plab.exe
O4 - HKLM\..\RunServices: [Hidserv] Hidserv.exe run
O4 - HKLM\..\RunServices: [SAService] C:\CyberTrio\SaService.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
O4 - HKCU\..\Run: [MsnMsgr] "c:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Iriaでダウンロード - C:\WINDOWS\ﾃﾞｽｸﾄｯﾌﾟ\IRIA107A\iria_ie1.htm
O8 - Extra context menu item: Iriaへ全てのURLを送る - C:\WINDOWS\ﾃﾞｽｸﾄｯﾌﾟ\IRIA107A\iria_ie2.htm
O8 - Extra context menu item: Iriaでリンクのインポート - C:\WINDOWS\ﾃﾞｽｸﾄｯﾌﾟ\IRIA107A\iria_ie3.htm
O8 - Extra context menu item: Iriaで選択範囲をダウンロード - C:\WINDOWS\ﾃﾞｽｸﾄｯﾌﾟ\IRIA107A\iria_ie4.htm
O8 - Extra context menu item: Iriaですぐにダウンロード - C:\WINDOWS\ﾃﾞｽｸﾄｯﾌﾟ\IRIA107A\iria_ie5.htm
O8 - Extra context menu item: FlashGetでダウンロード - C:\PROGRAM FILES\FLASHGET\jc_link.htm
O8 - Extra context menu item: FlashGetで全てダウンロード - C:\PROGRAM FILES\FLASHGET\jc_all.htm
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLENAV.DLL/cmsearch.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLENAV.DLL/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLENAV.DLL/cmsimilar.html
O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLENAV.DLL/cmbacklinks.html
O8 - Extra context menu item: Irvineでダウンロード - C:\WINDOWS\ﾃﾞｽｸﾄｯﾌﾟ\IRVINE1_0_9\ie_menu\iemenu1.htm
O8 - Extra context menu item: IrvineへすべてのURLを送る(IMGを含む) - C:\WINDOWS\ﾃﾞｽｸﾄｯﾌﾟ\IRVINE1_0_9\ie_menu\iemenu5.htm

O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.creative.com
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/ja/deleon/1.1.62-deleon/GoogleNav.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/07081bc1680e0889a414/netzip/RdxIE601_ja.cab

以上です。と思ったら
>>590
無念です。

O2 - BHO: IDN Helper Object - {118CE65F-5D86-4AEA-A9BD-94F92B89119F} - C:\WINDOWS\DOWNLO~1\CNSMIN~1.DLL (file missing)

FlashGet入れてる時点でアレだな

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O4 - HKLM\..\Run: [ara-key] C:\Program Files\Lhaca\Lhaca266d.exe -StartUp

http://www.symantec.com/region/jp/sarcj/data/w/w32.hllw.antinny.html

>>583
ありがとうございます。
ーっが。HijackThisは解凍できないです。
CWShredderはDLすらできないです。

タスクマネージャーのプロセスを見てみましたが。
どれがスパイウェアなのか・・・
ttp://v.isp.2ch.net/up/b3940bdf15c1.gif

>>606
39……プロセス大杉

ＩＥで最近、ＰＣの電源を切るたびにＩＥを起動したときのトップページが
変更されてるんですけど、治す方法はあるでしょうか？
アメリカ系のＨＰが出てきます

　　　　　●【緊急】　早く治したい方は以下を実行して下さい　【処置】●

　　　WEB設定のリセットは、こまめに実行しましょう（無限ループ防止の為）　

1) 　IEのホーム、検索ページを標準に戻す→ツール→インターネットオプション→
　　 プログラム→WEB設定のリセット

2）　IEの履歴削除→ツール→インターネットオプション→全般→インターネット
　　 一時ファイル→クッキーの削除+ファイルの削除

3)　 削除したいファイルがあるが「アクセスできません。使用中です」等といわれて
　　 削除できない→セーフモード（F8を連打）でOSを起動→削除→OS再起動

4) 　勝手に追加されたアプリをアンインストする→スタート→コントロールパネル→
　 　 アプリケーションの追加と削除（JWordはここでアンインストする）→OS再起動

5) 　ブラウザジャッカーCoolWebSearch駆除ツール　CoolWebShredderをDL
　 　 http://higaitaisaku.web.infoseek.co.jp/removecws.html#jyokyo　→OS再起動

6）　定番スパイウェア除去ソフト↓をインストール(併用推奨)

　　　　・定番　スパイウェア除去ソフト Ad-Aware 使用法
　　　　　http://www.dream-seed.com/server/spy.html
　 　　・定番　スパイウェア除去ソフト Spybot-S&D　使用法
　　　　　http://www.dream-seed.com/server/spybot.html

7）　Me/XPの場合「システムの復元」で正常な状態に復帰させる方法もあります。
　　　［スタート］→［すべてのプログラム］→［アクセサリ］→［システム ツール］
　　 　→［システムの復元］

------以上実行してまだトラブってたら（OS種類必須）再度質問して下さい----

>>608
>>1-15 をできるとこまで実行しろ。

■悪質ウィルスSASSERが大暴れ始めたもよう
■トレンドマイクロ、レッドアラート発令
■専用スレで対策・予防しましょう

　sasser【スタコラサッサ】sasser　Part1
　http://pc3.2ch.net/test/read.cgi/sec/1083573189/

Ad awareやｓｐｙbotを使用してウイルスを全部駆除しても
後からどんどん増えてきます、元を断つにはどうしたら良いのでしょうか？

どうか助けて下さい、お願いします

すいませんsageてしまいました
どうか宜しくお願いします

>>530
窓の手使え。

“接続しているだけで感染する”Blasterタイプのウイルス「Sasser」発生
http://headlines.yahoo.co.jp/hl?a=20040503-00000001-imp-sci

＞612
あのー、Ad-awareやSpybotは「スパイウェア」対策ソフトであって
「ウィルス」対策ソフトではないんですけど・・・。
ウィルスの駆除はウィルス対策ソフトを使ってネ♪

なるほど。

HijackThis.exeの拡張子外して、ただのWindowsファイルとしてうｐ、
DL後名前を元に戻したHijackThis.exeは使えるんだろうか・・・

自分も532氏と同じ状況になってます。
Ad-aware、AVGでスキャンしてみてもこれといった反応は無し。
ホームページが「http://jvpiha.outhost.info/」に書き換えられていて、上で挙げられているようなサイトを見ると閉じられます。
Spybotは落とせましたが、インストールしようとするとこれまた勝手に閉じられます。
Highjackthisは落とそうとすると同じように消えるけど、回線が早いからか何度かやったら消える前に落とせました。
でも実行するとまた消える。そしてこれも何度もやって消える前に素早くログを取れました。
ということで貼ってみます。

Logfile of HijackThis v1.97.7
Scan saved at 19:23:48, on 2004/05/03
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\GRISOFT\AVG6\AVGSERV9.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\IMEJPMGR.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\HIDSERV.EXE
C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\IGFXTRAY.EXE
C:\WINDOWS\SYSTEM\HKCMD.EXE
C:\PROGRAM FILES\MELCO INC\IP設定ユーティリティ\ABRECEIVER.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAM FILES\GRISOFT\AVG6\AVGCC32.EXE
C:\WINDOWS\SVCHOST.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\RunDLL.exe
C:\WINDOWS\ﾃﾞｽｸﾄｯﾌﾟ\HIJACKTHIS.EXE

F0 - syst>m.ini: Shell=
F0 - R>ystem.ini: Shel>=
F0 - R>ystem.ini: UserInit=
O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [PCTVOICE] pctvoice.exe
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Hidserv] Hidserv.exe run
O4 - HKLM\..\Run: [NMFTASK] NMFTASK.EXE /RESET

O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\SYSTEM\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\SYSTEM\hkcmd.exe
O4 - HKLM\..\Run: [ABRECEIVER] "C:\PROGRAM FILES\MELCO INC\IP
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\GRISOFT\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [Network Service] C:\WINDOWS\SVCHOST.EXE -sr -1
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [Avgserv9.exe] C:\PROGRA~1\GRISOFT\AVG6\Avgserv9.exe

O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [NEPGRsvReScheduler] C:\Program Files\NEC\SmartVision\NEPGRsvReSche.exe
O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\svchost.exe
O4 - HKCU\..\Run: [Network Service] C:\WINDOWS\SVCHOST.EXE -sr -1
O4 - HKCU\..\RunServices: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\RunServices: [NEPGRsvReScheduler] C:\Program Files\NEC\SmartVision\NEPGRsvReSche.exe
O4 - HKCU\..\RunServices: [System Update] C:\WINDOWS\System\svchost.exe
O4 - HKCU\..\RunServices: [Network Service] C:\WINDOWS\SVCHOST.EXE -sr -1
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NetShow PowerPoint Helper.lnk = C:\Program Files\NetShow Services\Tools\nsppthlp.exe

>>619
【便利なツール】
ぁゃιぃと思ったらウイルスチェッカー （停止することもあります）
http://pawatuku.cside9.com/cgi/glight/glight.cgi?

「システムの復元」で直近の正常な状態に復帰させる、という手もアリ。

Me/XPの場合
［スタート］→［すべてのプログラム］→［アクセサリ］→［システム ツール］→［システムの復元］

　復元フォルダに悪プログラムが残ったままになるのでアンチウィールスのスキャン
　で警告が出たり、うっかり再度復元して緊急事態に逆戻りしたりwに注意。また復元
　ポイントは日付の古いほうから順に消えていきます。正常なポイントがどれだったか
　紙にメモ取るなりして管理しときましょう。

98で復元したいなら一応試してみ。（一番古い日付は不可）

1. パソコンの電源を入れたら[Ctrl]キーを押しっぱなしにする
2. “Startup Menu”が表示されたら“Command Prompt Only”（コマンドプロンプトのみ）を選択する
3. 入力可能状態になったら、“scanreg”と入力してから[Enter]キーを押す
4. 日付の一覧が表示されるので、その中で復元したいと思うバックアップデータを選んで[Enter]キーを押す
5. 再起動を求められるので、再起動する

2000の場合は窓の手使え。

O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38109.0370949074
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (ｳｲﾙｽﾊﾞｽﾀｰ On-Line Scan) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} (SassCln Object) - http://www.microsoft.com/security/controls/SassCln.CAB
O19 - User stylesheet: C:\WINDOWS\system\seiyar.u8j

以上です。なんか自分でもPCの中身をあまり把握してなかったので
変なものいっぱいあるかも知れませんがよろしくお願いします。

はて、WindowsMeにSvchost.exeは必要だったかな？

(((((((( ；ﾟДﾟ)))))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙｶﾞﾀｶﾞﾀﾌﾞﾙｶﾞﾀｶﾞｸｶﾞｸｶﾞｸｶﾞｸｶﾞｸ

ＩＥを開くとＵＬＲの欄の下にへんてこなツールバーと、それとは別で画面の下にツールバーが出るようになりました。

ウェブブラウザを開いているとそのうち（すぐのときもあれば数分してからのときもあります）「システムのシャットダウン」という窓が開いて勝手にシャットダウンが実行されます。
本文のようなところに「シャットダウンはＮＴ　ＡＵＴＨＯＲＩＴＹ￥ＳＹＳＴＥＭによって開始されました」
その下に　メッセージ：システムプロセス　Ｃ￥ＷＩＮＮＴ￥ＳＹＳＴＥＭ３２￥ＬＳＡＳＳ．ＥＸＥは状態コード１２８で突然終了しました。システムをシャットダウンし、再起動します。

またしばらく前から起動時に「ＷＩＮＮＴ￥ＳＹＳＴＥＭ３２￥ＣＭＤ．ＥＸＥ」というファイルが自動実行されRun time error File not foundというメッセージを伴って「ＳＥＸ」という窓が開きます。
ｍＩＲＣというチャットソフト（？）も起動時に勝手に開いていたのですがセーフモードでアンインストールしたところ，今度は「ファイルがないので開けません」といった感じのメッセージの｢ＥＲＲＯＲ｣窓が開くようになりました。

かちゅーしゃでもシャットダウンしてしまう可能性があるのでＩＤが変わったりレスに時間がかかることがあるかもしれませんがよろしくお願いします。
シャットダウンがあるとウェブ上でいろいろ調べたりできないので今の段階ではこれが限界です。
知人からは必要なファイルだけを保存してＯＳ再インストールしたほうがいいかもしれない，といわれました。
それではよろしくおねがいします。

ＯＳはＷｉｎ２０００（プロフェッショナル）　セキュリティにＮＯＲＴＯＮ
ＨＩＪＡＣＫＴＨＩＳを実行したところ，以下のような結果でした。

Logfile of HijackThis v1.97.7
Scan saved at 18:59:50, on 2004/05/03
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\SYSTEM32\DNTUS26.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\gearsec.exe
C:\PROGRA~1\Navnt\rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\CatRoot\{F750E6C3-38EE-11DD1-85E5-00C04FC295EE}\rmtcfg.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\imejpmgr.exe
C:\WINNT\SOUNDMAN.EXE
C:\PROGRA~1\Navnt\vptray.exe
C:\PROGRA~1\shimgpl\Meow Iso.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\WINNT\system32\conime.exe
C:\Program Files\AutoUpdate\AutoUpdate.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINNT\system32\Internat.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINNT\System32\winmine.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINNT\system32\wuauclt.exe
C:\Program Files\katjusha\Katjusha.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\hige\デスクトップ\HijackThis\HijackThis.exe

F0 - syst>m.ini: Shell=
F0 - R>ystem.ini: Shel>=
F0 - R>ystem.ini: UserInit=
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {90B84CCA-C7E3-AE2E-44B7-70FB6383D0CF} - C:\PROGRA~1\Forkflag\Enc Log.dll
O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: date info balm - {DDD8D84C-ACF4-5A3B-CA7D-0A6290DA2B97} - C:\PROGRA~1\Forkflag\Enc Log.dll

04 - HKLM\..\Run: [WinHandAutoClean] "C:\Program Files\WinHand\AUTOCLN.EXE"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\Navnt\vptray.exe
O4 - HKLM\..\Run: [Services] C:\WINNT\system32\cab\back32.exe C:\WINNT\system32\cab\service.exe
O4 - HKLM\..\Run: [Trickler] "c:\temp\~vis0000\fsg_4104.exe"
O4 - HKLM\..\Run: [intrapoll] C:\PROGRA~1\shimgpl\Meow Iso.exe
O4 - HKLM\..\Run: [rundll] C:\WINNT\SYSTEM32\CATROOT\{F750E6C3-38EE-11DD1-85E5-00C04FC295EE}\FILES\mdllstart.bat
O4 - HKLM\..\Run: [Bckp] C:\WINNT\SYSTEM\Backup\001\009\0012\backup.bat
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ara-key] C:\Program Files\Lhasa\LHASA1c90.exe -StartUp
O4 - HKLM\..\Run: [Application] C:\winnt\system32\rmtcfg\files\hiddenrun.exe mdll.exe
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [Internat.exe] Internat.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Startup: NTUSER.DAT
O4 - Startup: ntuser.dat.LOG
O4 - Startup: ntuser.ini
O4 - Global Startup: ntuser.pol
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} - http://www.positivebeats.com/dlmp3.exe
O16 - DPF: {2882C368-D508-11D4-A2AB-000102598CE4} (LProtect Control) - http://download.hauri.net/Jpn/on-line/livecall.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/285f9dcca95dd0383316/netzip/RdxIE601_ja.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37907.276712963
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

以上です

>>579
うおげぇぇ〜おぇ
なんてもの貼ってるんだ！！みてもうた・・・。

>>626
O19 - User stylesheet: C:\WINDOWS\system\seiyar.u8j

CoolWebShredderによる自動削除
http://higaitaisaku.web.infoseek.co.jp/removecws.html#jyokyo

HijackThisはフォルダにいれて。

DNTUS26.EXEとかAutoUpdate.exeとかhiddenrun.exeって何だべさ

>>629

O4 - HKLM\..\Run: [ara-key] C:\Program Files\Lhasa\LHASA1c90.exe -StartUp

http://www.symantec.com/region/jp/sarcj/data/w/w32.hllw.antinny.html

>>589　亀レスだが、

O4 - Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe

これGator（有名なスパイ）　Ad-aware、Spybotで自動削除できるはずだから、
ダウンロード、実行できるなら先に実行する。CWShredderも念のため実行

>>638
サンクス

HijackThis.exeが起動できない自分はどうやって手を打てば・・・

>>640
そうだ、この問題。ううむ。

リカバ…いやいやまだまだ、２ｃｈ最強鑑定士軍団の力を信じて
もうちょっと待たれよ。

>>635
有り難うございます。解決しました。
消える消えるってことだけに目が行って、聞く前にやるべき事を見逃していました。
申し訳ありませんでした。

>>575
HijackThisを立ち上げるとすぐに終了してしまう場合

ある種のCoolWebSearchに感染している場合にこの現象が起きる。
その場合はまずCoolWWWSearch.SmartKiller removal toolをまずダウンロードして実行。
下記のリンクをクリックすると「delcwssk.zip」のダウンロードがはじまるので、
これをデスクトップなどに保存して下さい
ダウンロードした「delcwssk.zip」を、Lhacaなどを使って解凍。
解凍してできた実行ファイル「miniremoval_coolwebsearch_smartkiller.exe」をダブルクリックするだけでOK。
http://www.safer-networking.org/files/delcwssk.zip

実行時にエラーが出る場合

HijackThisを起動するには、VisualBasic 6.0のランタイムが必要。
起動時にエラーが出る場合にはこれが入ってませんので、
下のリンクをクリックして「vbrun60sp6.exe」をダウンロードして実行。
http://higaitaisaku.web.infoseek.co.jp/vbrun60sp6.exe

>637

ウイルススキャンは何度も実行しており今のところそのようなウイルス（もといウイルスそのもの）
が検出されないのですが（セーフモードのスキャンでも）
この場合はＨＩＪＡＣＫＴＨＩＳで、指摘されたぶんを削除すればよいのでしょうか？

たぶん直ったと思います。
Free mature porn は普通にゴミ箱で削除してしまった。
みたいなんですけど、お気に入りに戻ってきてないみたいなので。
３種の神器のおかげでスパイフェアから防御方法を
学びました。ありがとうございます
スパイウェアってあんまり有名じゃないですよね、
全部海外サイトの防御ソフトだし。はじめて知った

でもまだ、spybotのリカバリーの欄には
削除していいのかわからないファイルを
眠らせてます。
今の状態で問題ないってことは全部削除で
ＯＫでしょうか？

下げてしまった。
最後また質問しました。

>>644
O2 - BHO: (no name) - {90B84CCA-C7E3-AE2E-44B7-70FB6383D0CF} - C:\PROGRA~1\Forkflag\Enc Log.dll

O3 - Toolbar: date info balm - {DDD8D84C-ACF4-5A3B-CA7D-0A6290DA2B97} - C:\PROGRA~1\Forkflag\Enc Log.dll

O4 - HKLM\..\Run: [Bckp] C:\WINNT\SYSTEM\Backup\001\009\0012\backup.bat

O4 - HKLM\..\Run: [rundll] C:\WINNT\SYSTEM32\CATROOT\{F750E6C3-38EE-11DD1-85E5-00C04FC295EE}\FILES\mdllstart.bat

チョコチョコ申し訳ない。
O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} - http://www.positivebeats.com/dlmp3.exe

http://haiiro.info/up/img/030.html
404テストって何よ？

http://haiiro.info/upp/upload.php

今知人のPCからここに載ってるソフトを一通り落としてきまして
自分のPCで確認したら・・・・ない！！なにもない！！
容量では確かに4Mほど使われていますがなにもないです。
向こうで確認した時は確かにあったのに・・・。
もうどうせいとゆうんじゃ（ﾟ∀ﾟ）ｱﾋｬ

消えちゃったのか？短い命だったな。

http://haiiro.info/upp/img/030.html

>>652
CD-Rの中にです。

>>651
>>654
意味わかんね

あ、知人のとこでCDに焼いてもって帰ってきたら読み込めなかったってオチか。

>>656
そうです。分かりづらくてｽﾏｿ。テンパってたもんで。

>>576　>>654
>>650のアップローダーにあげようか？
多分信用しないと思うけど。

>>658
どうもです。おながいします。

048ｔｘｔをHijackThis.exeに変えてね。

元に戻ってる
http://haiiro.info/up/img/030.html

アップしたけどダウンできない。>>658だけど

http://haiiro.info/up/upload.php
アップロダはこっちになったみたい

>>660
どうもありがとうございます。
でも650に繋がらない・・・(；´Д`)
気長にやりまつ。

>>576
ファイルが壊れてたのでダウンしないように。

>>649
>>653
>>661
自作自演ご苦労さん┐(´〜`；)┌ﾔﾚﾔﾚ

ここの管理人工房？
以前、これ→http://earth.prohosting.com/magic11/cgi-bin/petit.cgiのログ
取ってたよ。

>>666
って思いっきりブラクラじゃない？

>>663
ありがとうございます。
おかげさまで無事落とせました。
早速起動したところ数秒で落ちました。
なので説明HPにも書いてあった「smartkiller removal tool」を落としてきて実行しました。
すると「このPCには入ってませんよ」みたいなメッセージが出ました。
その後もう一度Hijackthisを起動しましたが状況は変わりません。

なぜ？(´･ω･`)

http://higaitaisaku.web.infoseek.co.jp/HijackThis.exe
こっから落としてください。

HijackThisを起動するには、VisualBasic 6.0のランタイムが必要です
http://higaitaisaku.web.infoseek.co.jp/vbrun60sp6.exe

>>669
そこのページからだとDL中又はDL場所指定中に弾かれます。
わざわざ知人のところまで行ったのもそのためです。
スパイウェア関係のHPやツールを落とそうとすると強制的に弾かれます。

すいません。sageました。

>>670
起動まではするんですがその後2秒ほどで強制終了です。
なのでログも取れません・・・(´･ω･`)

>>672
相変わらずの状態なんだねぇ

すまんです、ループした。
XPやMEならシステム復元できるのだが、2000にはないのか

ない

>>674
ないです

>>423のＵＲＬ踏んでから、自分も576他と全く同じ状況です。。。
ad-aware6のみ動くので検索しております。
OSはXPで、プロセスは41もあるんで上げても無駄ですよね。。。
あと、たまにホットゾヌやsleipnirが落ちます。
デスクトップ上のaaw6.exeのアイコン（ad-aware6の）を右クリックするとexploreが再起動します。

>>576
http://oldtoybox.hp.infoseek.co.jp/HijackThis.exe
ここから落ちるかな？
いつかまとめサイトを作りたくて置いてあるサイトだけど。

>>678
名前を変えてみたり工夫したら

>>678
同上です。落とせたと思っても常套句の「ファイルをコピーできません〜」が出ました。

Ad-aware6、検索終わりました。
発見数315･･･
>>678
「ファイルをコピーできません。送り側のファイルまたはディスクから読み取れません。」

>>423のサイトを自分で踏んで見たいが、今は出来ないのがつらいです。

>>576
http://oldtoybox.hp.infoseek.co.jp/HT.exe
名前を変えてみた。

>>682
落とせましたが672にループです。

色々レスいただいたぶんに対応して，起動時に
「ＷＩＮＮＴ￥ＳＹＳＴＥＭ３２￥ＣＭＤ．ＥＸＥ」というファイルが自動実行されRun time error File not foundというメッセージを伴って「ＳＥＸ」という窓が開きます。
というぶんに関しては解決しました。

しかし依然としてほかはそのまま（何度となくシャットダウン。いらないツールバーも出ます）です。

C:\WINNT\SYSTEM32\DNTUS26.EXE
こいつがエクスプローラーからも削除できません（送り側のファイルが使用中，というメッセージが）。

あと>>632の
O4 - HKLM\..\Run: [intrapoll] C:\PROGRA~1\shimgpl\Meow Iso.exe
これがなんとなく怪しいように思えるのですがどうなのでしょう？

>>643
ありがとうございます。
それを実行して見たのですが。
＞MiniRemoval Copyright(c) 2004 Safer Networking Limited.
＞coolWWWsearch.SmartKiller (v1/v2) has not been found on your system.
っと言う表示のダイアログが出ました。CoolWebSearchに感染していないっと言うことですよね・・・

そもそもHijackThis.exe実行する以前にHijackThis.exe 自体を落としたり解凍したり出来ないです。

今助けて下さいでこれがあるヤツは速攻Fixしれ
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

>>576
サイトから開いて実行も出来ないだろうか？
力及ばず申し訳ない。

>>682
落とせました！動きました！
やっぱりファイル名が原因みたいですね。
ありがとうございます。
でも・・すぐ落とされます・・・・

>>687
いえいえここまでしてくださり感謝です。

どうやら私は575さんとまったく同じ状況のようですね。
おそらく同じウィルス？に感染していると思われます。

やっと見つけたー！

エロサイト見たら…助けてください！Part21
http://pc5.2ch.net/test/read.cgi/pcqa/1082454987/

787 名前：ぼるじょあ ◆yBEncckFOU sage 投稿日：04/04/28 01:10 ID:???
（・３・）　アルェー　と言うかよく見たらサイトトップに書いてあるC〜
　　　　　　　　　　　　どうも新種はCWSやHijackThisのプロセス殺すっぽいYO　イヤらしいNE
　　　　　　　　　　　　対処法だけDO
　　　　　　　　　　　　http://www.safer-networking.org/files/delcwssk.zip
　　　　　　　　　　　　落として実行させてから　CWS他を実行させるようにするようだYO

792 名前：ぼるじょあ ◆yBEncckFOU sage 投稿日：04/04/28 01:40 ID:???
>>791
（・３・）　ボルェー　なんかまた新種な気がしてきたYO…
　　　　　　　　　　　 さっきのHijackThis　起動するようにならなかったかYO

なんか同じ症状の人が居るみたいで・・微妙に安心したり・・・

>>686
Fixって固定って意味ですよね。
とりあえず、タスクマネージャーのプロセスを終了させました。
あと、ファイル本体をゴミ箱に移しました。

セーフモードでもだめ？
落ちます。

>>658 ◆idlLr81WdAﾀｿ
>>256ですけどしばらく時間あるんで常駐できます
手分けした方が良ければ少しお手伝いできます

>>423を踏んだ人は

CoolWebShredderによる自動削除
http://higaitaisaku.web.infoseek.co.jp/removecws.html#jyokyo

これをやるとたぶん治ると思いますよ。
自分もその口でしたから・・・

>>691
過去ログで同じ症状でHijackThis起動出来ないって人見つけた
で、その回答が>>690
やってみる価値はあるかも

>>695
575さんと同じようにやってみましたが

MiniRemoval Copyright(c) 2004 Safer Networking Limited.
coolWWWsearch.SmartKiller (v1/v2) has not been found on your system.

が出ますね。

>>690
>>685になります・・・

>>696
>>690のリンク先のDL出来ない？

>>698
できますよ。
このツールだけは何故か落とせます(；´Д`)
でも結果は>>685ですね。

>>698
DLはできます。
miniremoval_coolwebsearch_smartkiller.exeを実行すると。

MiniRemoval Copyright(c) 2004 Safer Networking Limited.
coolWWWsearch.SmartKiller (v1/v2) has not been found on your system.

と言うダイアログが出ます。

あぁ・・・すでにもう出てたのね
出かけてたもんでログ斜め読みした、ｽﾏｿ

もう打つ手なしなのか・・・

>落として実行させてから　CWS他を実行させるようにするようだYO
↑これの意味が微妙に解らなかったり
miniremoval_coolwebsearch_smartkiller.exeをクリックするだけでは駄目なのでしょうか？

他に同じ。

>>703
クリックするだけだよ

>>629>>684
それも削除していい。

コントロールパネル＞アプリケーションの追加と削除に下記のモノがあればアンインストール

●AutoUpdater

O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"