エロサイト見たら…助けてください！Part22

エロサイトに限らずWEBを見て回ってたらブラウザ乗っ取られて大変なことに…
いったいどうしたらいいの？って人のためのスレッドです。

▼━質問のしかた ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
　・ E-mail欄(省略可) には何も記入しないこと。(ID出す→偽者対策・質問者の区別)
　・ 2回目以降の書込は、名前欄に最初に質問した際の「発言番号」を入力すること。
　・他のスレから誘導された場合は、その旨書く。(マルチポストとの区別)
　・ OSの種類、ブラウザ、セキュ関係ソフトの有無、実行結果を報告。（特にOSの種類）

この後に貼ってある《緊急処置》テンプレをできるとこまで実行しましょう。何も読まず
にいきなり質問するとネタ回答を食う可能性大ですｗ

なお、最近大流行の架空請求、罠サイト、ぼったくりサイトなどの悪質商法関係はこちら
で相談してください。
【メール･葉書】総合スレッドPartⅡ【架空請求】
　http://that2.2ch.net/test/read.cgi/bouhan/1083110757/

2 ：ひよこ名無しさん：04/04/29 21:39 ID:???

《ブラウザハイジャッカーと戦うときの必須ツール》
レジストリのスキャンと修復ツール Hijackthis
　http://higaitaisaku.web.infoseek.co.jp/HijackThis.exe
日本語解説　http://higaitaisaku.web.infoseek.co.jp/hijackthis.html
このスレのテンプレにも入門チュートリアルがあります。
《アンチスパイソフト》
■CWShredder　CoolWebSearch専用駆除ソフト　更新：高
　☆本家　ttp://www.spywareinfo.com/~merijn/downloads.html
■Ad-aware 6.0 Build181 非常駐・検索・削除（有料版は常駐監視機能あり）
　☆本家　ttp://www.lavasoftusa.com/　更新：中　
　使用法　http://www.dream-seed.com/server/spy.html
　専用スレ　http://pc3.2ch.net/test/read.cgi/sec/1078600708/
■Spybot Search&Destroy 1.2 ＆ 1.3β4非常駐・検索・削除・一部予防
　本家　ttp://www.safer-networking.org/　更新：低　日本語対応済み。
　使用法　http://www.dream-seed.com/server/spybot.html
　専用スレ　http://pc3.2ch.net/test/read.cgi/sec/1081764816/
　-------------以上３大定番は必ずインストールしておきましょう---------
■SpywareBlaster 2.6.1　非常駐・予防　☆更新頻度：中
　専用スレ　http://pc3.2ch.net/test/read.cgi/sec/1080635851/
■SpywareGuard 2.2.0　常駐・予防　☆更新頻度：低
■MRU-Blaster 1.5　IE履歴キャッシュ・クッキー削除。常駐可能　頻度：低
　本家　ttp://www.javacoolsoftware.com/index.html
■Ad-aware 6.0 Build181 日本語化ツール SpywareBlaster　日本語化
　SpywareGuard 日本語ヘルプ　など
　http://bdc.s15.xrea.com/index.php?option=com_remository&Itemid=59&func=selectfolder&filecatid=1
■IE-SPYAD 　IEの制限ゾーンに危険サイトを一括登録　　頻度：高
　本家　ttp://www.staff.uiuc.edu/~ehowes/resource.htm
　更新用スクリプト　ttp://briefcase.yahoo.co.jp/iespyad
　IE-SPYAD導入の手引き（日本語解説ページ）
　http://www.geocities.jp/ie_spyad_japanese_manual/index.html
　専用スレ　http://pc3.2ch.net/test/read.cgi/sec/1076041687/

3 ：ひよこ名無しさん：04/04/29 21:39 ID:???

《ブラウザハイジャッカーと戦うときの必須ツール》
レジストリのスキャンと修復ツール Hijackthis
　http://higaitaisaku.web.infoseek.co.jp/HijackThis.exe
日本語解説　http://higaitaisaku.web.infoseek.co.jp/hijackthis.html
※このスレのテンプレの後の方にも入門チュートリアルがあります。
《アンチスパイソフト》
■CWShredder　CoolWebSearch専用駆除ソフト　更新：高
　☆本家　ttp://www.spywareinfo.com/~merijn/downloads.html
■Ad-aware 6.0 Build181 非常駐・検索・削除（有料版は常駐監視機能あり）
　☆本家　ttp://www.lavasoftusa.com/　更新：中　
　　http://www.dream-seed.com/server/spy.html　使用法
■Spybot Search&Destroy 1.2 ＆ 1.3β4非常駐・検索・削除・一部予防
　本家　ttp://www.safer-networking.org/　更新：低　日本語対応済み。
　　http://www.dream-seed.com/server/spybot.html　使用法
　-------------以上３大定番は必ずインストールしておきましょう---------

■SpyywareBlaster 2.6.1　非常駐・予防　☆更新頻度：中
■SpywareGuard 2.2.0　常駐・予防　☆更新頻度：低
■MRU-Blaster 1.5　IE履歴キャッシュ・クッキー削除。常駐可能　頻度：低
　本家　ttp://www.javacoolsoftware.com/index.html
■Ad-aware 6.0 Build181 日本語化ツール SpywareBlaster　日本語化
　SpywareGuard 日本語ヘルプ　など
　http://bdc.s15.xrea.com/index.php?option=com_remository&Itemid=59&func=selectfolder&filecatid=1
■IE-SPYAD 　IEの制限ゾーンに危険サイトを一括登録　　頻度：高
　本家　ttp://www.staff.uiuc.edu/~ehowes/resource.htm
　更新用スクリプト　ttp://briefcase.yahoo.co.jp/iespyad
　IE-SPYAD導入の手引き（日本語解説ページ）
　http://www.geocities.jp/ie_spyad_japanese_manual/index.html
　専用スレ　http://pc.2ch.net/test/read.cgi/sec/1076041687/

4 ：ひよこ名無しさん：04/04/29 21:39 ID:???

《その他リンク集》
■ウィルス関係はこちら↓
【正式】ウィルス情報＆質問　総合スレッド☆Part18
　http://pc3.2ch.net/test/read.cgi/sec/1081735712/
■その他セキュリティ関係の質問は↓
セキュリティ初心者質問スレッドpart40
　http://pc3.2ch.net/test/read.cgi/sec/1082207307/
■アダルトサイト被害対策の部屋
　http://higaitaisaku.web.infoseek.co.jp/
　　↑定番サイト。Hijackthis、その他ツールの使い方が詳しい。質問掲示板あり
■ダイヤルQ2、国際電話、罠サイト、架空請求関係のトラブルはここらで相談。
【メール･葉書】総合スレッドPartⅡ【架空請求】
　http://that2.2ch.net/test/read.cgi/bouhan/1083110757/
　アダルトサイト対策の部屋
　http://www002.upp.so-net.ne.jp/dalk/higai24.html
　　↑「被害対策の部屋」とは別サイト。有料エロサイト関係のトラブル対策
■国際電話・ダイヤルQ2関連
　http://www.ntt-east.co.jp/q2/　NTT東日本ダイヤルQ2サービス
　http://www.ntt-west.co.jp/q2/　NTT西日本ダイヤルQ2サービス
　　↑ダイヤルQ2接続チェックプログラムもここからダウンロードできます。
　http://www.emurasoft.com/jp/chintcal/index.htm　　　　　No! 国際電話
　http://mitsu98.fc2web.com/bbs/index2.html　　　　　　　　　Dial Saver
　http://www.kddi.com/topics/atx/image.html　　　　　　　　　ダイヤルアップチェッカー
■バナー・ブラクラ対策
　http://member.nifty.ne.jp/hayazo/myprg.html　　　　　　 ClosePopup
　http://www.proxomitron.org/　　　　　　　　　　　　　　　　 Proxomitron（公式サイト）
　http://www.pluto.dti.ne.jp/~tengu/proxomitron/　　　　　　 Proxomitron（日本語解説）
　http://pc5.2ch.net/test/read.cgi/win/1077360806/l50　　Proxomitron（Windows板・現行スレ）
　http://pc5.2ch.net/test/read.cgi/software/1060792740/l50　　Proxomitron（ソフトウェア板・現行スレ）

5 ：ひよこ名無しさん：04/04/29 21:40 ID:???

6 ：ひよこ名無しさん：04/04/29 21:40 ID:???

《緊急処置》
WEB見ててブラウザが変になったらとりあえず以下を実行。ブラクラ、ジョークソフト、
ブラウザジャッカー、スパイウェアなどの迷惑ソフトの8割はこれで撃退できますよん。

Secure(You are visitin PEDO sites..と黄色い窓が出る）やfreednshotというサイトに
飛ばされる場合は、この後の対策情報も見てください。.

1) 閉じない窓を強制的に閉じる→alt+F4
2) IEのホーム、検索ページを標準に戻す→ツール→インターネットオプション→
　プログラム→WEB設定のリセット
3）IEの履歴削除→ツール→インターネットオプション→全般→インターネット
　一時ファイル→クッキーの削除+ファイルの削除
4) 削除したいファイルがあるが「アクセスできません。使用中です」とかいわれて
　削除できない→セーフモード（F8を連打）でOSを起動→削除→OS再起動
5) 勝手に追加されたアプリをアンインストする→スタート→コントロールパネル→
　アプリケーションの追加と削除（JWordはここでアンインストのこと）→OS再起動

6) ブラウザジャッカーCoolWebSearch駆除ツール　CoolWebShredderをダウン→実行
　 http://higaitaisaku.web.infoseek.co.jp/removecws.html#jyokyo　→OS再起動
7) 定番スパイウェア除去ソフト↓をインストール(併用推奨)
　 Ad-Aware　http://www.lavasoftusa.com/　Spybot-S&D　http://www.safer-networking.org/

8）Me/XPの場合「システムの復元」で直近の正常な状態に復帰させる、という手もアリ。
　［スタート］→［すべてのプログラム］→［アクセサリ］→［システムツール］
　 →［システムの復元］
　復元フォルダに悪プログラムが残ったままになるのでアンチウィールスのスキャン
　で警告が出たり、うっかり再度復元して緊急事態に逆戻りしたりwに注意。また復元
　ポイントは日付の古いほうから順に消えていきます。正常なポイントがどれだったか
　紙にメモ取るなりして管理しときましょう。

7 ：ひよこ名無しさん：04/04/29 21:41 ID:???

《Secure系ブラウザジャッカー関係情報》
★You are visiting PEDO sites!　　Click Here To Protect Yourself★
とか黄色い窓にコケ脅しが出たら、Secure（troj_HARNIG.Aや亜種)喰らってます。
【緊急処置】に加えて次↓を実行。Hijackthis使用法はこの後の解説参照
Hijackthisを実行、次の項目をチェックして削除します。
　O4 - HKLM\..\Run: [Reg32] C:\WINDOWS\reg32.exe
　O4 - HKLM\..\Run: [Reg32] C:\WINDOWS\reg33.exe
　O4 - HKLM\..\Run: [Online Secuirity] C:\WINDOWS\svchost.exe
　O4 - HKLM\..\Run: [Dial32] C:\WINDOWS\dl.exe
　O4 - HKLM\..\Run: [Dial33] C:\WINDOWS\dlm.exe
　O4 - HKLM\..\Run: [Cons] C:\WINDOWS\consol32.exe
　O4 - HKLM\..\Run: [Serv] C:\WINDOWS\msstasks.exe
　O4 - HKLM\..\Run: [Upgrade Service] C:\WINDOWS\winupd.exe
　O4 - HKLM\..\Run: [Upgrade Service] C:\WINDOWS\sxchost.exe
　O4 - HKLM\..\Run: [Service Expration] C:\WINDOWS\szchost.exe
　O4 - HKLM\..\Run: [Services Process] C:\WINDOWS\system32\config\services.exe
　O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.
　mht!h ttp:// hard-virgins.com/dl/ms/x.chm::/load.exe
仕込まれた悪ファイルの削除：上のHighjackThisで見つかったブラウザジャッカーの本体
ファイル(C:\WINDOWS\dlm.exeなど)を検索、削除。システムファイルと紛らわしい名前が
ついてるので、本物を削除しないよう、ファイル名とディレクトリを確認しながら慎重に
作業→OS再起動
その他secure関係では以下のようなファイルが報告されています。更新日付は全部同一と
なるのでエクスプローラの表示を「詳細」にしてC:\WINDOWSを目視検査すれば容易に発見
できます。言うまでもありませんが、発見したら全部削除してください。
C:\WINDOWS\System32\child.dll
C:\WINDOWS\dlm.htm
C:\WINDOWS\secure.html
　その他同じC:\WINDOWS\ディレクトリに
securea.html、secureb.html　等々の報告もあり

8 ：ひよこ名無しさん：04/04/29 21:41 ID:???

9 ：ひよこ名無しさん：04/04/29 21:42 ID:???

《freednshost関連情報》
これもけっこう流行ってます。情報歓迎。

ランダム名のユーザースタイルシートを投げ込んでくるのが特徴なので
Hijackthis　O19エントリを見逃さぬよう。
（例）O19 - User stylesheet: C:\WINDOWS\system32\udmw6g.wjx

10 ：ひよこ名無しさん：04/04/29 21:43 ID:???

----------------参考資料　IE関連の重要レジストリ項目----------------------
IEのスタートページの設定
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
→Start Page (文字列)
IEの検索ページの設定
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
→Search Page　（文字列）
IEのインターネットオプション・全般・ホームページを無効にする
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel
→Homepage　（DWORD値）=1 無効　　=0 有効　↓詳しい解説
http://www.winguides.com/registry/display.php/537/
IEのインターネットオプションを無効にする
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions
→NoBrowserOptions （DWORD値）=1 無効　　=0 有効　　↓詳しい解説
ttp://support.microsoft.com/default.aspx?scid=kb;ja;823057

11 ：ひよこ名無しさん：04/04/29 21:43 ID:???

《Highjackthis 入門チュートリアル　1》

ウィルス、ワーム、スパイ、ブラウザジャッカーなどの悪プログラムはレジストリを改変
して、自分が自動的に実行されたり、削除されても復活したり、IEのホムペをエロサイト
にしたり、仏壇の下の引出しからおばあちゃんの定期預金通帳を持ち出したり好き勝手を
します。Windowsにはregeditというレジストリ編集ツールが付属してますが、膨大な
レジストリ項目の中を探すのが大変だし、間違ったときの復旧処理も面倒です。

Hijackthisは悪プログラムが改変しそうな項目をスキャンして表示し、簡単に削除/復旧
する非常に便利なツールです。

1)デスクトップに新しいフォルダを作る。デスクトップ上の何も無い場所を右クリック
「新規作成」→「フォルダ」を左クリック名前をつける、HJThisなど、適当な名前でよい。
http://higaitaisaku.web.infoseek.co.jp/HijackThis.exe　（被害対策）
http://www.spywareinfo.com/~merijn/downloads.html　（本家）
「保存」を押す。保存先には、今作成した新しいフォルダを指定。
2)Hijackthis以外の窓を全部閉じる。Main画面でSCAN→SCANボタンがSave Logボタン
に変わる→ボタンを押す→Highjackthisが存在するディレクトリを選んで実行→ログ
ファイルが作成されメモ帳で開かれる→エライ人から「ログを貼れ」といわれたらこの
ログを貼ってください。
7)　Main画面で削除項目を選択反転→Fix Chekedボタンを押す
8)　間違えて削除した場合は、config→BACKUPS→復元したい項目を選択反転→Restore
ボタン

「被害対策」サイトのこの辺が詳しいので参考にしてください。
http://higaitaisaku.web.infoseek.co.jp/hijackthis.html

12 ：ひよこ名無しさん：04/04/29 21:44 ID:???

《Hijackthis 入門チュートリアル　２》
ログの読み方-１

・Running processes - 起動中のプロセス一覧→妙なものがないかチェック
・R1～R3 - 【重要】Internet Explorerのスタートページやサーチページの値→
　後からどうにでもできる。見覚えないもの、分からないものは全部削除
・F0～F4 - .iniファイルにあるスタートアッププログラム→XP、Win2000では文字
　化けしている。バグなのでこの項目は無視
・O1 - Hosts ファイルの改変。→自分で書き換えてなければ削除
・O2～O3 - IEの補助機能やツールバー→見慣れないものや身に覚えのないものは削除
・O4 - HKxxx【重要】自動起動のレジストリ。多くの悪者はここに現れる。google、2ch
　その他で情報収集。怪しければ削除。後で本体プログラムを削除するのを忘れぬよう。
・O4 - Startup 日本語環境では正常にスキャンされない→この項目は無視
・O5～O6 - IE オプションが無効にされる/隠される→削除
・O7 - レジストリエディタRegeditが無効にされる→削除
・O8～09 - IE 右クリックメニュー、ツールバーへの追加→不要な項目があったら削除
・O10 - Winsock ハイジャッカー→削除。削除できない場合はSpybotで削除。
・O11 - IE 'Advanced Options'窓の追加 →削除
・O12 - IE プラグイン→たいていは安全。OnFlow はスパイなので (．ofb)削除。

13 ：ひよこ名無しさん：04/04/29 21:45 ID:???

《Hijackthis 入門チュートリアル　３》
ログの読み方-2

・O13 - IE DefaultPrefix ハイジャック →こに出たのは全部悪。削除
・O14 -「WEB設定のリセット」ハイジャック→見覚えないURLなら削除
・O15 -「信頼済みサイト」ゾーンへの侵入→自分で入れたURL以外は削除
・O16 - 【重要】インストールされているActiveXプログラム→見慣れないものや身に
　覚えのないものは削除。必要なものは後でいくらでもダウンロード可能。
・O17 - Lop．com ドメイン・ハイジャッカー →プロバ、あるはローカルのLANのドメイン
　以外は削除。DNS サーバはGoogle でIP を検索してみれば素性がわかる。
・O18 -プロトコル・ハイジャッカー →cn (CommonName)、 ayb (Lop．com) 、relatedlinks
　(Huntbar)だったら削除
・O19 - ユーザースタイルシート・ハイジャッカー→CoolWebSearchです。CWShredder
で駆除

最終的に正常な状態に戻ったら、そこまでに削除した項目の本体ファイルも探して消す！
ログファイルには本体ファイルのパスとファイル名が出ているので参考にする。

念のため注意：
Hijackthisのログに現れた項目は全部が悪ではない。いきなり削除するとパソコンが
不調になることも。このスレのレス、回答者の指示、google検索などで悪と判断された
ものだけを削除すること。

間違って削除した場合：
Config... →Backups→復活したい項目を選択反転→Restore

14 ：ひよこ名無しさん：04/04/29 21:47 ID:???

《servicespｙ関連情報》
SexVideo.wmv、MORO-MOVIE.wmv、URA-VIDEO.wmvなどという
ファイルがデスクトップ上に作成され削除できない。再生後自動的
にIEが起動し、click－monkey.comのサイトに飛ばされる。Hijackthis
から削除できない。

対処方法：
C:\TEMP\DS\DS.exe ← これが本体の実行ファイル。XP Win2000nの
サービスに登録して実行されるタイプなのでまずサービスを無効にする。
（以下はRptServiceという表示名になっている場合の例）

　スタート→設定→コントロールパネル→管理ツール→サービス
　RptServiceを選択反転→プロパティを開く→実行パスが
　C:\TEMP\DS\DS.exeなのを確認→サービスの状態「停止」→
　スタートアップの種類「無効」

レジストリエディタで以下のキーを削除
　[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RptService]
　[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\RptService]
　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RptService]

OSを再起動→C:\TEMP\DS\DS.exeを削除。（またはDS.exe.safeにリネーム）

15 ：ひよこ名無しさん：04/04/29 21:48 ID:???

○関連スレ
【総合】スパイウェア予防駆除 Part2
http://pc3.2ch.net/test/read.cgi/sec/1076187801/
セキュリティ初心者質問スレッドpart40
http://pc3.2ch.net/test/read.cgi/sec/1082207307/
【正式】ウィルス情報＆質問　総合スレッド☆Part18
http://pc3.2ch.net/test/read.cgi/sec/1081735712/

スパイウェア発見専用ソフト「Ad-aware」Part10
http://pc3.2ch.net/test/read.cgi/sec/1078600708/
【雑談禁止】スパイウェア削除ソフトSpybot 11
http://pc3.2ch.net/test/read.cgi/sec/1081764816/
常駐させなくても（・∀・）ｲｲ!! SpywareBlaster ２
http://pc3.2ch.net/test/read.cgi/sec/1080635851/
制限付きサイトへ登録　IE-SPYAD
http://pc3.2ch.net/test/read.cgi/sec/1076041687/

16 ：天麩羅屋：04/04/29 21:51 ID:???

>>１　スレ立て乙

テンプレ貼ってくれたヤシ乙。　２、３かぶらせてしまって、スマソｗ

17 ：ひよこ名無しさん：04/04/29 21:53 ID:???

　　　　　　／￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
　　　　　　| 　マスター、新装開店おめでとう♪
　　　　　ﾚヽ＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
　　　∧＿∧　　　　　　∧＿∧　　／￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
　　（　　・∀） /￣ヽ　　(´∀｀　 )　＜　ありがとうございますモナ
　　（　　　`つ　日凸　（　つ　つヽ　＼＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
　　（＿　⌒./　　　凵ヽ |　｜｜　|ヽ.凸|　　 |
　　「　（＿/Ｙ　　　　　ヽ _（＿_）　|　|＼| 　　|
　　┗┳━|￣￣￣￣￣|　　 .. 　＼|. │ 　｜
　　　 ┻＼|　　　　　.｜　　　　　＼.| 　 │

18 ：ひよこ名無しさん：04/04/29 21:57 ID:???

98で復元したいなら一応試してみ。（一番古い日付は不可）

1. パソコンの電源を入れたら[Ctrl]キーを押しっぱなしにする
2. “Startup Menu”が表示されたら“Command Prompt Only”（コマンドプロンプトのみ）を選択する
3. 入力可能状態になったら、“scanreg”と入力してから[Enter]キーを押す
4. 日付の一覧が表示されるので、その中で復元したいと思うバックアップデータを選んで[Enter]キーを押す
5. 再起動を求められるので、再起動する

19 ：ひよこ名無しさん：04/04/29 21:58 ID:???

乙です

20 ：ひよこ名無しさん：04/04/29 22:03 ID:???

乙です！

でさ、誰かこのスレの「まとめサイト」つくんない？　っていうと
「お前がｒｙ」って言われるんだけど。漏れスキルないし、連Qくらい
しか時間とれんし…