894 :
837 :04/05/17 13:02 ID:7prRrNcr
895 :
873 :04/05/17 13:22 ID:yY79BQrA
ANTIDOTEというやつのレジストリ検索をやったら LM1 感染 trojandownloader,win32,small,jeというのが C:\WINDOWS\SYSTEM\ms32.exeという場所にあったらしいのですが、 マイコンピュータで上のとこに行ってファイルを削除しようとしても 使用中とかになって消せないんですが、 どう対処したらいいでしょうか?
>>895 O4 - HKLM\..\Run: [System Backup] ms32.exe
900 :
873 895 :04/05/17 13:57 ID:yY79BQrA
>>899 ありがとうございまいた。
とりあえずHighjackthisでやってみました。
これからひととおりまたウイルスチェックとad-awareをして
再起動させてみます。
>>835 《応急処置》
WEB見ててブラウザが変になったらとりあえず以下を実行。ブラクラ、ジョークソフト、
ブラウザジャッカー、スパイウェアなどの迷惑ソフトの8割はこれで撃退できますよん。
1) 閉じない窓を強制的に閉じる→alt+F4
2) IEのホーム、検索ページを標準に戻す→ツール→インターネットオプション→
プログラム→WEB設定のリセット(作業中頻繁に実行してください。無限ループ防止)
3)IEの履歴削除→ツール→インターネットオプション→全般→インターネット
一時ファイル→クッキーの削除+ファイルの削除
4) 削除したいファイルがあるが「アクセスできません。使用中です」とかいわれて
削除できない→セーフモード(F8を連打)でOSを起動→削除→OS再起動
5) 勝手に追加されたアプリをアンインストする→スタート→コントロールパネル→
アプリケーションの追加と削除(JWordはここでアンインストのこと)→OS再起動
6) 定番駆除ツールで駆除 a)→b)→c)の順に実行してください。
a)CoolWebShredder 他のツールで駆除しにくいブラウザジャッカーCoolWebSearch
専用の駆除ツールです。まずこれから実行。
http://higaitaisaku.web.infoseek.co.jp/removecws.html#jyokyo または本家
ttp://www.spywareinfo.com/~merijn/downloads.html →OS再起動
b) Ad-Aware
http://www.lavasoftusa.com/ (更新頻度高)
c) Spybot-S&D
http://www.safer-networking.org/ (強力だが更新頻度低)
8)Me/XPの場合「システムの復元」で直近の正常な状態に復帰させる、という手もアリ。
[スタート]→[すべてのプログラム]→[アクセサリ]→[システム ツール]
→[システムの復元]
復元フォルダに悪プログラムが残ったままになるのでアンチウィールスのスキャン
で警告が出たり、うっかり再度復元して緊急事態に逆戻りしたりwに注意。また復元
ポイントは日付の古いほうから順に消えていきます。正常なポイントがどれだったか
紙にメモ取るなりして管理しときましょう。
903 :
900 :04/05/17 15:28 ID:KdhtsDW3
899さんに言われたやつを消したら なんとか再起動後にウイルススキャンとかしても ウイルスは検出されませんでした。 spybotやったら激重になってフリーズしたのが じゃっかん気がかりですが。。。 ひとまず大変有難うございました。
905 :
ひよこ名無しさん :04/05/17 15:45 ID:Z9PQWtff
僕も
>>886 のサイト踏んでしまって、全然直りません
ダイアログが出てきて消えないんです。
ブラウザのお気に入りにもエロサイトへのリンクが勝手に入ってます(これは削除しましたが)
エロイしと教えて
906 :
ひよこ名無しさん :04/05/17 15:47 ID:TJmsOZM3
>>900 これも必要ない。
O4 - HKLM\..\Run: [PTSNOOP] ptsnoop.exe
>>905 >>886 には「テンプレ読め禿げ」というレスがついてますねぇ
ということは、あなたのやらなきゃいけないことは?
910 :
ひよこ名無しさん :04/05/17 16:21 ID:0YADRpDQ
Win板の「くだらない質問でもべっちょ偉そうに聞くスレ 」
で紹介されてきました。
ttp://firedragon.homelinux.com/moelabo/imgboard.cgi これ踏んじゃってなんかは変なのダウソしちゃったんですが、
スパイウェアでしょうか?
WinXP、セキュリティーソフトは無しです。
ダウソしちゃったやつは全部で3つで、全部消せました。
今現在確認出来る異常は一つで、終了する時に「プログラムの終了中」
という表示が出て、「このプログラムは応答しません」
と出るようになってしまいました。終了自体は出来るのですが、
このような表示画出た事は今まで無く、初めてです。
自分で出来た対処は、ネットとの接続をケーブルから断絶、
その後ウイルスバスター2003を入れて、ウイルスを検索しましたが
何もでませんした。今カキコしているのは別のPCです。
お願いします。
911 :
ひよこ名無しさん :04/05/17 16:23 ID:Z9PQWtff
>>909 テンプレ読んでもできないから困ってます
ウィンXPの場合システムの復元でいけるそうですが、
僕は2000なのでできないんです
912 :
275 :04/05/17 16:25 ID:???
>>911 ●まず、デスクトップに新しいフォルダを作る。
デスクトップ上の何も無い場所を右クリック「新規作成」→「フォルダ」を左クリック
名前をつける、Hijackthisなど(適当な名前でよい)。
http://higaitaisaku.web.infoseek.co.jp/HijackThis.exe 「保存」を押すと、保存先を聞かれる。
保存先には、先ほど作成した新しいフォルダを指定する。
●Hijackthis以外の窓を全部閉じる
Main画面でSCAN→SCANボタンがSave Logボタンに変わる→ボタンを押す→
Highjackthisが存在するディレクトリを選んで実行→ログファイルが作成されメモ帖で開かれる。
このログを貼り付ける。
●コントロールパネルの「アプリケーションの追加と削除」(Win XPの場合)「プログラムの追加と削除」に怪しいものがあったら書く。(重要)
●ウィルススキャンの結果も必ず書くこと。
ウイルスバスターオンラインスキャン
http://www.trendmicro.co.jp/hcall/index.asp *************やさしい鑑定人さんが来るまで気長に待つ************
IEのホームアドレスを勝手に書き換えられます。 応急措置はしたのですが、解決は出来ませんでした。 それは、googleへのショートカットをツールバーに置く事でしのぎました。 ですが、かちゅーしゃやjane、ギコナビを使うときに問題が起こりました。 タブの所に何故か勝手に書き換えられたアドレスのサイトが表示されているのです。 おかげで「新しいタブを開く」を選んだり、スレッドへのリンクを開くと エラーや誤作動が怒ります。 こういう場合はどうすればいいでしょうか?
915 :
911 :04/05/17 16:48 ID:Z9PQWtff
やさしいしとおながいしまつ Logfile of HijackThis v1.97.7 Scan saved at 16:47:40, on 2004/05/17 Platform: Windows 2000 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\Explorer.exe C:\WINNT\System32\imejpmgr.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\WINNT\winupd.exe C:\WINNT\System32\ms32.exe C:\WINNT\System32\Internat.exe C:\PROGRA~1\YAHOO!J\MESSEN~1\YPagerJ.exe C:\Program Files\tora3\2chtubo\tubo\_2chtubo.exe C:\Documents and Settings\administrator\デスクトップ\hijackthi\HijackThis.exe C:\Documents and Settings\administrator\My Documents\openjane-0.1.11.0\Jane2ch.exe
916 :
911 :04/05/17 16:49 ID:Z9PQWtff
F0 - syst>m.ini: Shell= F0 - R>ystem.ini: Shel>= F0 - R>ystem.ini: UserInit= O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Msdmxm] c:\winnt\system32\msdmxm.exe /noconnect O4 - HKLM\..\Run: [Upgrade Service] C:\WINNT\winupd.exe O4 - HKLM\..\Run: [System Backup] ms32.exe O4 - HKCU\..\Run: [Internat.exe] Internat.exe O4 - HKCU\..\Run: [Yahoo!Japan Pager] C:\PROGRA~1\YAHOO!J\MESSEN~1\YPagerJ.exe O4 - Startup: NTUSER.DAT O4 - Startup: ntuser.dat.LOG O4 - Startup: ntuser.ini O4 - Global Startup: ntuser.pol O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL=
917 :
911 :04/05/17 16:49 ID:Z9PQWtff
918 :
ひよこ名無しさん :04/05/17 16:50 ID:anrdM91y
>>886 ネタで何度も申し訳ないですが
僕ものサイトふんで、ここに来て
>>3 の通りに事を進めて行ったんですが、
駆除ツールで解除してアプリケーションの削除しまくってたんですけど、
「xxxToolbar」ってのが削除押しても何故か消えません。
解除ツール落とす前に初めての事だからテンパッてて、Cドライブ見たらxっていう
見慣れないプログラム発見してムカついてごみ箱にぶち込んだからなんでしょうか?
後インターネットオプションのホームページ指定でエロサイトから
標準に変えて、適用押してもまたオプション見たらエロサイトになってるんですが・・
どうすればいいんでしょうか?
914さんと同様の症状になってます。 誰か詳しい人お願いしますm(..)m
923 :
920 :04/05/17 17:19 ID:???
>>921 ありがとう御座います。システムの復元で無事解決
しました.
>>911 とりあえず、
HijackThis 以外のウィンドウをすべて閉じて下記エントリを削除し、
その後PCを再起動してください。
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Msdmxm] c:\winnt\system32\msdmxm.exe /noconnect
O4 - HKLM\..\Run: [Upgrade Service] C:\WINNT\winupd.exe
O4 - HKLM\..\Run: [System Backup] ms32.exe
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!
http://petite-virgins.biz/dl/ms/x.chm::/load.exe
さっきから
>>910 のやつのソース見てるんだけど
なんで飛ばされるかわからん・・・
928 :
900 :04/05/17 17:37 ID:wt3ILQYg
>>907 ありがとうございました。
早速やっときました。
>>900 この辺りも削除した方がいいですよ。
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Startup: hatchinside.exe.lnk = C:\Program Files\DI\HatchInside\hatchinside.exe
931 :
927 :04/05/17 17:53 ID:???
やっとわかった、うまいこと埋め込んでるわ
932 :
910 :04/05/17 18:14 ID:4pVvdaK+
>>932 知っているが童貞の黒チンコがキモイから教えない
掲示板に張られるようなのは
基本的にソースからインラインフレームのタグ探せばすぐ見つかるだろう。
今んとこそれが一番流行ってる(?)ようだし
>>932 トレンドマイクロとかのデータベースで
>>929 のウィルス名で検索かけてみろ
あとはテンプレ参照
935 :
ひよこ名無しさん :04/05/17 18:50 ID:TkibGIIo
パソコンがさっきピピーとか変な音した気がします! なんも異変ないんですけどもちろんADSLですし 何だと思います??
937 :
900 :04/05/17 19:00 ID:wt3ILQYg
>>930 それ消したらやっぱ
Microsoft Officeに支障あったりしますか?
938 :
911 :04/05/17 19:02 ID:Z9PQWtff
>>924 ありがとうございます
削除しようとしてますが、できないんです
>>926 うpデートやってみました。スパイウェアに冒されているらしいです。
スパイウェアの会社にリンクするようになってますが
まさかソフト会社自体がやっているのでは・・
>>938 プロセスを止めて削除。
直ってからWindows updateしたほうがいいよ。
>>937 Microsoft Officeに支障はありません、全く無駄なエントリなのでFixして下さい。
943 :
927 :
04/05/17 19:31 ID:???