エロサイト見てたら…助けてください! part26
1 :
質問する前に、まずテンプレ読んで自己努力 :
04/05/30 11:32 ID:I0RVyk2k エロサイトに限らずWEBを見て回ってたらブラウザ乗っ取られて大変なことに…
いったいどうしたらいいの? って人のためのスレッドです。
▼━質問のしかた ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
・ E-mail欄(省略可) には何も記入しないこと。(ID出す→偽者対策・質問者の区別)
・ 2回目以降の書込は、名前欄に最初に質問した際の「発言番号」を入力すること。
・ 他のスレから誘導された場合は、その旨書く。(マルチポストとの区別)
・ OSの種類(必須)、ブラウザ、セキュ関係ソフトの有無、やってみたことを明記。
1) このスレのテンプレは★まとめサイト
http://haiiro.info/my/text/template.html が見やすいです。(セキュリティ関係の情報サイト「スターマジック」の「はいいろ」
さんのご好意で作成されています。感謝。リンク集も充実してます)
2) まず「まとめサイト」の★応急処置できるとこまでやってみてください。Me/XPの
人は★応急処置「システムの復元」を試してください。いきなり教えて君はネタ回答
食う可能性大w
3) 迷惑ソフトはまず「プログラム(アプリケーション)の追加と削除」からアンインスト
できないか確認。googleで「迷惑なヤシの名 + uninstall または uninstaller」で
公式アンインストーラがヒットすることもあります。
4) 2ch他スレ、その他質問サイトとの★マルチポスト(同時に質問)は禁止です。
回答者に誘導されたか、または質問取り下げた後で移動してください。
5) ハイジャッカーの99%はIE以外では作動しません。IEの部品を利用しないブラウザ
を利用するとほとんどのトラブルが防げます。
Opera7.5(最新版)
http://download.opera.com/ Opera7.5 日本語ファイル
http://my.opera.com/community/customize/langs/ Operaをインストールしたフォルダへダウンロード→OperaのメニューのTools→
Preferences→ Languages→ User Interface Languageでchooseボタンを押し、
ダウンロードしたja_7818.lngを選択→OK
Firefox
http://www.mozilla.org/products/firefox/ 6) Windows Updateも必須
http://v4.windowsupdate.microsoft.com/ja/default.asp ◆ URLを確認! ◆ 有害なページのを貼るヤツが居る!
2 :
質問する前に、まずテンプレ読んで自己努力 :04/05/30 11:32 ID:W4DIVZbH
3 :
質問する前に、まずテンプレ読んで自己努力 :04/05/30 11:33 ID:W4DIVZbH
4 :
質問する前に、まずテンプレ読んで自己努力 :04/05/30 11:33 ID:W4DIVZbH
5 :
質問する前に、まずテンプレ読んで自己努力 :04/05/30 11:34 ID:W4DIVZbH
Opera使用中のお客様の声 Operaで503全部踏んでみたが、ブスなねえちゃん拝見した だけでどこも無傷。途中でxxxinstallerみたいなのがワルをインストール しようと努力していたが、失敗して諦めた。ザマミロ 892をOperaで開いてみた 全然OK でもウィルス付なので注意 本当に!スゴイなOperaは。
■greatsearch.biz、jksearch.biz などに飛ばされるハイジャッカー対策
IEのホームページが
http:// greatsearch.biz/ と
http:// jksearch.biz/redir.php
などに固定されるというハイジャッカーが流行中とのこと。このハイジャッカーは
通常のHijackThisのログに現れない場所に巣食うので駆除が面倒。
http://higaitaisaku.web.infoseek.co.jp/removesearchbiz.html 被害対策のページ↑は初心者でも確実に駆除できるよう各種ツールを利用
しているが、ここでは、回答者や経験者向けに手動駆除方法を紹介。
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\shellServiceObjectDelayLoad"
ここに"system"というエントリができていれば感染している。その値(CLSID)
をメモ。(例) System = {362A19F1-EA5D-4733-8292-58DECE98C0BC}
セーフモードで起動、regeditを起動、System という項目を値ごと削除。
HKEY_CLASSES_ROOT\CLSID\にもこの値が登録されているので問題のCLSID
の値で検索し、削除。
続いて本体ファイル↓を削除
C:\WINDOWS\system32\system32.dll / C:\WINDOWS\system.exe
OS再起動
13 :
ひよこ名無しさん :04/05/30 11:52 ID:ES6IOtuO
マウスの矢印がでません。 デスクトップの壁紙やらアイコンやらがいつもより大きいです。 どうすればいいですか?
ヾヽヽ
( ・∀・)コンニチハ!!
ミ_ノ
まずテンプレ
>>1-11 を読んでやってみてから質問しよう。
└( ̄▽ ̄*)こんちわ♪
| .___ | | | |__| | | | .__ (,,゚Д゚) | |__|(/ |) |____|_| し`J .________ | .|. ヨ.|ヨ.|___| | ロ |. ニ ニ∧∧ | ロ |ノ ノ_/ (,,゚Д゚) |_._|_|.ロ iニ(ノ |) |.ロ iニi___|  ̄ ̄ し`J _______ | .___ | | | |__| | | | .__ (,,゚Д゚) | |__|(/ |) |____|_| し`J
http://bubalom.by.ru/luisa/gallery1.html CDT inc インストールして実行しますか?
Integrated Search Technologies インストールして実行しますか?
TEMP\install.exe インターネットに接続
Program Files\Istsvc\istsvc.exe インターネットに接続
Program Files\Internet Optimizer\optimize.exe インターネットに接続
TEMP\bdl14173.exe インターネットに接続
Program Files\ClockSync\Sync.exe インターネットに接続
Program Files\180Solutions\msbb.exe インターネットに接続
C:\WINDOWS\Downloaded Program FilesにダウンロードされたActiveX コントロール
brdg Class ID={9C691A33-7DDA-4C2F-BE4C-C176083F35CF}
Installer Class ID={12398DD6-40AA-4C40-A4EC-A42CFC0DE797}
追加
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run : ClockSync
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
追加 Internet Optimizer := "C:\Program Files\Internet Optimizer\optimize.exe"
追加 IST Service := C:\Program Files\ISTsvc\istsvc.exe
追加 msbb := c:\program files\180solutions\msbb.exe
追加 RunDLL := rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load ※ これも、起動時に毎回同じものをインストールさせようとしている。
追加 imwwjxgdb := C:\WINDOWS\System32\vgatojf.exe ※ 起動時に毎回設定を書き替えている諸悪の根源
インターネットにも接続しに行く
つづき SPYBOTにて検索 WhenU.SaveNow BlsxeFind.Bridge CoolWWWSearch DyFuCA.InternetOptimizer ISTbar.Slotch n-Case VX2/f SPYBOTで削除後にAd-awareにて検索 180Solutions istbar VX2.BetterInternet Possible Browser Hijack attempt imwwjxgdb := C:\WINDOWS\System32\vgatojf.exe ※ SPYBOTでは、レジストリ値、ファイル共に発見されなかった。 しかしこれは、本当に興味深い結果が出た。起動している状態だと、Ad-awareでの発見を妨害するようだ。 いや、参ったね。最近のはここまで巧妙化してきたとは! 感染させないのが一番だな。 ※ 結論 SPYBOTの免疫を設定していれば、このサイトなどは制限付きサイトにされてしまうので、 ActiveXコントロールも実行されないし、ウイルス対策ソフトが五月蠅く騒ぐので、削除してしまえば はい、をクリックしてもインストールされないので、普通の人なら感染しないし、 スパイウェアをインストールされても、SPYBOTとAd-awareでほぼ完全に除去出来る。 レジストリを調べてみたが、ほぼ完全に除去されていた。これなら、支障はないだろう。 それと、ウィルス駆除ソフトを起動出来なくなってたり、 オンラインスキャンで、ActiveXコントロールをインストール出来なくなって、エラーになっている奴は、 %USERPROFILE%\Local Settings\Temp このフォルダを削除してしまっていないか?中身は消してもいいが、フォルダがないとまずいぞ。勝手には作ってくれないようだ。 俺も消してみてはじめて気づいたんだが、エラーになる。
>>21 あぶねぇ・・・だんだん手口が巧妙になってきてるなw
>>21 何のこれしき、こっちには前スレ
>>903 さんがいるぜ!!
先生、鑑定よろしくお願いします m(_ _)m
26 :
ひよこ名無しさん :04/05/30 13:39 ID:EK+8zKZx
>>21 をFirefox 0.8で踏んでみた
まずbubalom.by.nuからクッキー飛んできたので撃退
リフレッシュで
http://gb.bbs.ws/book.php?book=xtrimeへ飛ぶ gb.bbs.wsからもクッキー飛来するも「いいえ」で迎撃
ポップアップ攻撃に入るもFirefoxデフォルト設定で撃墜
Free Access Plugin 1.117をインストールしますか?
と攻撃されたので「いいえ」で撃退
以上ですた。その後の不具合など一切なし。
29 :
ひよこ名無しさん :04/05/30 13:47 ID:EK+8zKZx
>>27 C:\Documents and Settings\
以下のウイルスチェックをしといたほうがいいよ
Firefox 0.8が撃退したんでしょ?
31 :
ひよこ名無しさん :04/05/30 13:52 ID:EK+8zKZx
モジラ系だと\Sun\Java以下にウイルスが入ってる場合あり
● Firefox 0.8はOperaを超えた!? ●
Firefox 0.8を使用中のお客様の声
>>21 をFirefox 0.8で踏んでみた
まずbubalom.by.nuからクッキー飛んできたので撃退
リフレッシュで
http://gb.bbs.ws/book.php?book=xtrimeへ飛ぶ gb.bbs.wsからもクッキー飛来するも「いいえ」で迎撃
ポップアップ攻撃に入るもFirefoxデフォルト設定で撃墜
Free Access Plugin 1.117をインストールしますか?
と攻撃されたので「いいえ」で撃退
以上ですた。その後の不具合など一切なし。
33 :
ひよこ名無しさん :04/05/30 14:01 ID:1xYoT4eW
>>21 SEX LINKSってエロ英語検索サイトへ飛びますた。
悪質化してきてるな・・・。
いい加減にした方がいいお・・・。
下の文章はどこのコピペだろ?
/ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ | はい、ありがとうございます! | Firefox日本語版インストールセンターです。 \______ _______ ∨ (⌒) ∧_∧ D ( ) ( ・∀・)○ ___ パイプ→┗⊂ )D……/◎\ =============================
スレ違いだが(w FirefoxもOperaもNetscapeも同じMozillaなのだからそれほど違いはないと思うよ。 違いは機能の差とスマートか肥大してるかくらい。 自分は初期状態ではほとんど何の機能もなく、 好きな機能だけ組み込んで使えるFirefoxがいまのところ一番いい。 OperaやNetscapeはやや肥大しすぎ。
37 :
ひよこ名無しさん :04/05/30 14:14 ID:EK+8zKZx
漏れはOPERA買っちまったからな・・・
38 :
27 :04/05/30 14:56 ID:???
ウイルス系はC:以下をAVGでスキャン→何も無し
スパイウェア系はAd-aware6とSpybot1.3でスキャン→何も無し
トロイ系はa2でスキャン→何も無し
終了後にAd-awareのうpだてが来たんで再度やってて時間がかかった。
なんかFirefox工作員化してきてしまったが、
エロ巡りするなら非IEを使用しろってことです。
テンプレのURLは英語版になってるので、
>>24 を参考に
>>36 Operaって非Mozillaなのでは?
User_AgentのIE詐称が初期設定になってる自信の無さでOpera萎え
激しくスレ違いスマソでした。
39 :
ひよこ名無しさん :04/05/30 15:11 ID:B88Bdq2Z
greatsearch.bizに飛ばされるハイジャッカーにかかって 色々調べて、直したのですが IEのプロパティのホームページの設定で 標準設定を押すとgreatsearch.bizになってしまいます 一応ここに書いてあるようにレジストリや本体ファイルを削除はしました 動作も問題ありません とても不安です どうすればいいのでしょうか
40 :
ひよこ名無しさん :04/05/30 15:26 ID:EK+8zKZx
RealPlayer Basicの履歴って どうやって消すの?
44 :
42 :04/05/30 15:36 ID:???
45 :
36 :04/05/30 15:47 ID:???
46 :
ひよこ名無しさん :04/05/30 15:47 ID:k7FuZMyi
ネットに接続していない(オフライン)状態なのに、かってにIEが開いてカジノオンラインのページに飛ばされてしまうんですが、どうすれば直りますか(´・ω・`)
>>46 質問する前に、まずテンプレ読んで自己努力
48 :
ひよこ名無しさん :04/05/30 15:52 ID:erxsPyEk
カジノ会社に抗議の電話をする
>>46 漏れの知人も今同じ症状で困ってる
Spybot入れさせようとしても
他のサイトに移動できないし
アーカイブを送ってやってもファイルが行方不明になってしまうし
ウィルスももらってるんじゃないと思ってスキャンさせたら
トロイが一個だけで特に関連なさそうだし、駆除もさせたし・・・
もうOS再インスコしろってところまできてるのだが
こまったこまった
リカバリ最強
51 :
ひよこ名無しさん :04/05/30 16:09 ID:k7FuZMyi
46です。みなさん色々ありがとうございます。 漏れの場合はまだ他のサイトに移動できるので、いろいろためしてみます。。 それでもダメならカジノで一山あてます。
>49 他のサイトに行けないってどういう意味? ブラウザがIEじゃないものでも駄目なの? リアルプレーヤーとか。
53 :
ひよこ名無しさん :04/05/30 16:13 ID:RlT+uMfj
>>51 >それでもダメならカジノで一山あてます。
( ゚∀゚)アハハ八八ノヽノヽノヽノ \ / \/ \
54 :
49 :04/05/30 16:37 ID:???
>>52 アドレスとか打ち込んでも
移動した先のサイトが一瞬表示されるけど
すぐにカジノのページに戻るか、IEが落ちちゃうそうです
IEしか入ってなかったから
他のブラウザで試したかったけど
ダウンロードページまでたどり着けなくて挫折
リアルプレーヤーって手は考えてなかったので
ちょっとやらせてみます
55 :
ひよこ名無しさん :04/05/30 16:37 ID:svcMk1mI
漏れもおととい45と同じ症状に・・・トロイでした・・・再インスコしますた・・・○| ̄|_
>>54 もしイリアとかアーバインとか持ってるなら、
spybotとかad-awareのexeファイルがおいてあるところに直リンで
ダウンロードできるかどうかやらせてみる、とか。
57 :
ひよこ名無しさん :04/05/30 16:48 ID:XIO50EeH
31 名前:前スレ877[] 投稿日:04/05/30 11:09 ID:EUqw01fX すみませんが、もう一度書き込ませてもらいます。 前スレ277を実行して、以下のとこまで進み、それからどうすればいいのか分かりません。 >regedit /e/a test1.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad" >regedit /e/a test2.txt "HKEY_CLASSES_ROOT\CLSID\{362A19F1-EA5D-4733-8292-58DECE98C0BC}" >copy test1.txt+test2.txt CLSID.txt >del test1.txt >del test2.txt >この様になります。必ず赤字の部分は自分の「shellServiceObjectDelayLoad.txt」で得られたCLSIDを使って下さい。 >ファイルを作成したら、「bizconfirm.bat」の名前でデスクトップに保存して下さい(拡張子が「.bat」であればファイル名は何でも可)。 >保存したファイルをダブルクリックして実行し、同じデスクトップに生成される「CLSID.txt」を開き、 ここまではいいのですが、実際にtxtを開いても、 REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" "DDE Control Module"="{3F143C3A-1457-6CCA-03A7-7AA23B61E40F}" "System"="{A640A840-B168-11D8-ACAE-0007404E8C21}" "OLE Automation Module"="{3F143C3A-1457-6CCA-03A7-7AA23B61E40F}" これだけのログしか出てきません、これは感染してるんでしょうか? いつもトップページは決められてるんですが… テンプレは一通り実行してから質問させてもらっています。
32 名前:ひよこ名無しさん[sage] 投稿日:04/05/30 11:18 ID:???
>>31 ビンゴで感染してるよ
33 名前:ひよこ名無しさん[sage] 投稿日:04/05/30 11:22 ID:???
>>31 HijackThisは実行した?
34 名前:ひよこ名無しさん[sage] 投稿日:04/05/30 11:25 ID:???
>>31 >>必ず赤字の部分は自分の「shellServiceObjectDelayLoad.txt」で得られたCLSIDを使って下さい。
って書いてあるだろ!おまいの場合はA640A840-B168-11D8-ACAE-0007404E8C21だ!
ちゃんとあのページを良く読んでやれば出来るはずだ。アタマを使って考えろ
テンプレ読めよ
すみません、ネタスレからのコピなのですが
>>33 実行したけど、どれが感染元なのかわかりません
>>34 当然自分のCLSIDを使って、bizconfirm.batのファイルを実行しましたけど…
結果できたテキストのログが、下の5行だけなのです。
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"DDE Control Module"="{3F143C3A-1457-6CCA-03A7-7AA23B61E40F}"
"System"="{A640A840-B168-11D8-ACAE-0007404E8C21}"
"OLE Automation Module"="{3F143C3A-1457-6CCA-03A7-7AA23B61E40F}"
サイトのとうりだと他にも
REGEDIT4
[HKEY_CLASSES_ROOT\CLSID\{362A19F1-EA5D-4733-8292-58DECE98C0BC}]
[HKEY_CLASSES_ROOT\CLSID\{362A19F1-EA5D-4733-8292-58DECE98C0BC}\InProcServer32]
@="C:\\WINDOWS\\system32\\system32.dll"
"ThreadingModel"="Apartment
みたいなログが出るのですよね??
63 :
56 :04/05/30 17:10 ID:???
済みませぬ、「ネチケット違反だ」というのは知っていたけど 「最後の試みとしてはこういう手段も考えられる」という意味で 書きました。 ただ、やはり「ネチケット違反」と一言添えておくべきでしたね。
>>前スレ877 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\shellServiceObjectDelayLoad" ここに"system"というエントリができていれば感染している。その値(CLSID) をメモ。(例) System = {362A19F1-EA5D-4733-8292-58DECE98C0BC} セーフモードで起動、regeditを起動、System という項目を値ごと削除。 HKEY_CLASSES_ROOT\CLSID\にもこの値が登録されているので問題のCLSID の値で検索し、削除。 続いて本体ファイル↓を削除 C:\WINDOWS\system32\system32.dll / C:\WINDOWS\system.exe この方法でも除去できるらしい。 前スレの277さんの"回答者や経験者向けに手動駆除方法を紹介"のコピペより。
66 :
65 :04/05/30 17:51 ID:???
解決しますた。ありがとうぼるじょあさん。
>>66 (・3・)エェー どういたしましてだYO
>>67 今直リンでダウンしようとしましたが「ファイルをダウンできません、送り側のファイル、またはディスクから読み取れませんと出ます
ツールを使ってもダウンできませんでした hijackthisはhigaitaisakuという名前で そのサイトでダウンできましたが・・・
71 :
65 :04/05/30 18:00 ID:???
>>68 ありがとうございます いろいろやってみてダメだったらまたよろしく御願いします
72 :
49 :04/05/30 18:04 ID:???
>>68 ぼるじょあさんありがとう
何とかその方法でいけそうです
73 :
65 :04/05/30 18:04 ID:???
だめでした・・・
74 :
65 :04/05/30 18:10 ID:w4COyZB9
やべ テンプレ読んでなかった 申し訳ないです・・・
>>70 >>71 が自分です・・・
75 :
65 :04/05/30 18:11 ID:???
・゚・(ノД`)・゚・。
76 :
65 :04/05/30 18:13 ID:???
氏ね
77 :
65 :04/05/30 18:13 ID:???
吉場age!!#吉場age!!
78 :
65 :04/05/30 18:18 ID:???
┌─┐ |も.| |う | │来│ │ね│ │え .| │よ .| バカ ゴルァ │ !!.│ └─┤ プンプン ヽ(`Д´)ノ ヽ(`Д´)ノ (`Д´)ノ ( `Д) | ̄ ̄ ̄|─| ̄ ̄ ̄|─| ̄ ̄ ̄|─□( ヽ┐U 〜 〜  ̄◎ ̄ . ̄◎ ̄  ̄◎ ̄ ◎−>┘◎
いまどき「ネチケット」ってのもw ひさびさに聞いたが…やっぱり恥ずかしい。
( ´,_ゝ`)
81 :
ひよこ名無しさん :04/05/30 19:02 ID:o8V3Exmh
エロサイトいったらヤフメのウィンドウ開くときに英語のPOP-UPウィンドウがでます。 プログラムファイルフォルダには消しても消しても復活するファイルがあったり。 どうすればいいれすか?
82 :
81 :04/05/30 19:04 ID:???
すみません。テンプレ読んでいませんでした。全て読み終えるまで質問しません。
/ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ | マスター、今夜も賑わってるね♪ レヽ___________________ ∧_∧ ∧_∧ / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ( ・∀) / ̄ヽ (´∀` ) < ゆっくりしてって下さいモナ ( `つ 日 凸 ( つ つヽ \________________ (_ ⌒./ 凵ヽ | | | |ヽ.凸| | 「 (_/Y ヽ _(__) | |\| | ┗┳━| ̄ ̄ ̄ ̄ ̄| .. \|. │ | ┻\| .| \.| │
祭が終わりました。次ネタ待ってるよ〜
85 :
ひよこ名無しさん :04/05/30 22:05 ID:maktp024
自動起動プログラムが邪魔して何をするにも重いです。プログラムの名前見る限り
何かここでも出てきてるスパイウェアとかウィルスっぽいんですが…リカバリして
すぐ後でも出てくるんです。もちろんその間エロサイトは行ってません。家にある
ほかのPCから何かを経由してうつるなんてあるんでしょうか。何かめちゃくちゃで
すいません。リカバリ何度もしてるのに無くならないんで精神的にまいってます。
しかもこれは自分のPCではなくてうちの親父がさんざん注意したにもかかわらずエロ
サイトめぐりをして感染してるんだと思います。だって自分は最初の設定以外一切
さわってないんですから。まだテンプレのは試してないんですがやってみたほうが
いいでしょうか?先に書いてるとおりリカバリしてこの有様なのです。どなたかアド
バイスお願いします。タスクマネージャはこんな感じです。
http://up.isp.2ch.net/up/3390f0302c8c.jpg
>>85 2000かXPでルーターもファイアーウォールも使ってなくて、BlasterとSasserのパッチを当てる前の状態なら、
30秒で感染します。あなたのような人がいっぱいいるせいなんですよ。
サービスがネット上にデフォルトでオープンにしているポートがあるのです。
88 :
ひよこ名無しさん :04/05/30 22:27 ID:maktp024
>86 自分のPCはXP、渦中の親父が使ってるのは98です。両方ともルーターを使って 無線でつないでます。これはどうでしょうか?
90 :
ひよこ名無しさん :04/05/30 22:28 ID:maktp024
>86 自分のPCはXP、渦中の親父が使ってるのは98です。両方ともルーターを使って 無線でつないでます。これはどうでしょうか?
>>88 親父が、アクティブXコントロールの確認画面で、インストールして実行しますか?で、
エロサイトに行って、はい、をクリックしているようなら、リカバリー
93 :
ひよこ名無しさん :04/05/30 22:34 ID:2euxRx0h
昨日PCのメールボックス整理してたらフリーズして、 前にウイルスにやられた時と同じような感じになって、 それ以降ad-awareやったらウイルスがあってそれは消したんですが、 HJTHISやっても再起動する都度 O4 - HKLM\..\Run: [PTSNOOP] ptsnoop.exeが出てきます。 HJTHISのやつ貼ってもいいでしょうか? ちなみに特にめだった害はないんですが、 じゃっかん重い感じがあります。
95 :
93 :04/05/30 22:47 ID:2euxRx0h
>>94 前にこのスレでお世話になったときに
O4 - HKLM\..\Run: [PTSNOOP] ptsnoop.exe
これは消せと言われてfixしたので覚えていたんですが、
再起動する度にこれが何度fixしてもでてきます。
ただウイルススキャンやad-awareしても何も出てこないんですが
単なる自分の勘違いですかね?
>>95 じゃあログ貼ってみれば?(きっと誰かが見てくれる)
切らずに全部ね
98 :
93 :04/05/30 22:53 ID:2euxRx0h
おねがいします。 Logfile of HijackThis v1.97.7 Scan saved at 1:37:00, on 04/05/29 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MDM.EXE C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WEBSCANX.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\HIDSERV.EXE C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSSTAT.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\IMEJPMGR.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAM FILES\FUJITSU\BTNHND\BTNHND.EXE C:\PROGRAM FILES\FUJITSU\FUJITSU QUICK TOUCH\QUICKTOUCH.EXE C:\PROGRAM FILES\FUJITSU\INETCONDSP\INETCONDSP.EXE C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\AVCONSOL.EXE C:\PROGRAM FILES\ELECOM\WHEELUTILITY\ECIUHOOK.EXE
99 :
93 :04/05/30 22:54 ID:2euxRx0h
C:\WINDOWS\ptsnoop.exe C:\PROGRAM FILES\DI\HATCHINSIDE\HATCHINSIDE.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAM FILES\GIKONAVI\GIKONAVI.EXE C:\WINDOWS\AT?,A ̄Is\HJTHIS\HIJACKTHIS.EXE F0 - syst>m.ini: Shell= F0 - R >ystem.ini: Shel>= F0 - R >ystem.ini: UserInit= O2 - BHO: (no name) - {4449EEE1-2955-11D3-8B43-0000E20DA208} - C:\PROGRA~1\INETLITE\ATLIE.DLL O2 - BHO: (no name) - {2843DAC1-05EF-11D2-95BA-0060083493D6} - C:\WINDOWS\SPEECH\DRAGON\WEB_IE.DLL O2 - BHO: IDN Helper Object - {118CE65F-5D86-4AEA-A9BD-94F92B89119F} - C:\WINDOWS\DOWNLO~1\CNSMIN~1.DLL O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [internat.exe] internat.exe O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [CountrySelection] pctptt.exe O4 - HKLM\..\Run: [LoadBtnHnd] C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\Program Files\Fujitsu\Fujitsu Quick Touch\QuickTouch.exe O4 - HKLM\..\Run: [INETCONDSP] C:\Program Files\Fujitsu\iNetConDsp\iNetConDsp.exe O4 - HKLM\..\Run: [FMVSCAN] c:\fjuty\fmvscan\fmvscan.exe
100 :
93 :04/05/30 22:54 ID:2euxRx0h
O4 - HKLM\..\Run: [AvconsoleEXE] C:\Program Files\Network Associates\McAfee VirusScan\avconsol.exe /minimize O4 - HKLM\..\Run: [Vshwin32EXE] C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE O4 - HKLM\..\Run: [VsStatEXE] C:\Program Files\Network Associates\McAfee VirusScan\VSSTAT.EXE /SHOWWARNING O4 - HKLM\..\Run: [McAfeeWebScanX] C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe O4 - HKLM\..\Run: [Elecom wheel extention] C:\Program Files\Elecom\WheelUtility\eciuhook.exe O4 - HKLM\..\RunServices: [Hidserv] Hidserv.exe run O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE O4 - HKLM\..\RunServices: [Vshwin32EXE] C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE O4 - HKLM\..\RunServices: [McAfeeWebScanX] C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe /RUNSERVICES O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Startup: hatchinside.exe.lnk = C:\Program Files\DI\HatchInside\hatchinside.exe
101 :
93 :04/05/30 22:55 ID:2euxRx0h
ところでネタスレどうするよ? このままだと次スレpart 27がネタスレと モロにかぶるわけだが…(ネタスレは!びっくりマークがない)
トレンドマイクロのウイルススキャンで前は出来た削除が出来なくなってるな
104 :
93 :04/05/30 23:02 ID:2euxRx0h
すみません、間違えて別の古いやつを貼ってました・・・・
>>104 (;・3・) アルェー あとO18のヤツって書こうと思ったら騙されたYO
108 :
93 :04/05/30 23:08 ID:2euxRx0h
>>107 すみません・・・・まったくの不注意でした。
以下がそうです。
Logfile of HijackThis v1.97.7
Scan saved at 23:07:46, on 04/05/30
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE
C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WEBSCANX.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\HIDSERV.EXE
C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSSTAT.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSSTAT.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IMEJPMGR.EXE
109 :
93 :04/05/30 23:09 ID:2euxRx0h
C:\PROGRAM FILES\FUJITSU\BTNHND\BTNHND.EXE C:\PROGRAM FILES\FUJITSU\FUJITSU QUICK TOUCH\QUICKTOUCH.EXE C:\PROGRAM FILES\FUJITSU\INETCONDSP\INETCONDSP.EXE C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\AVCONSOL.EXE C:\PROGRAM FILES\ELECOM\WHEELUTILITY\ECIUHOOK.EXE C:\WINDOWS\ptsnoop.exe C:\PROGRAM FILES\DI\HATCHINSIDE\HATCHINSIDE.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAM FILES\GIKONAVI\GIKONAVI.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\デスクトップ\HJTHIS\HIJACKTHIS.EXE F0 - syst>m.ini: Shell= F0 - R>ystem.ini: Shel>= F0 - R>ystem.ini: UserInit= O2 - BHO: (no name) - {4449EEE1-2955-11D3-8B43-0000E20DA208} - C:\PROGRA~1\INETLITE\ATLIE.DLL O2 - BHO: (no name) - {2843DAC1-05EF-11D2-95BA-0060083493D6} - C:\WINDOWS\SPEECH\DRAGON\WEB_IE.DLL O2 - BHO: IDN Helper Object - {118CE65F-5D86-4AEA-A9BD-94F92B89119F} - C:\WINDOWS\DOWNLO~1\CNSMIN~1.DLL O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [internat.exe] internat.exe O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
110 :
93 :04/05/30 23:10 ID:2euxRx0h
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [CountrySelection] pctptt.exe O4 - HKLM\..\Run: [LoadBtnHnd] C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\Program Files\Fujitsu\Fujitsu Quick Touch\QuickTouch.exe O4 - HKLM\..\Run: [INETCONDSP] C:\Program Files\Fujitsu\iNetConDsp\iNetConDsp.exe O4 - HKLM\..\Run: [FMVSCAN] c:\fjuty\fmvscan\fmvscan.exe O4 - HKLM\..\Run: [AvconsoleEXE] C:\Program Files\Network Associates\McAfee VirusScan\avconsol.exe /minimize O4 - HKLM\..\Run: [Vshwin32EXE] C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE O4 - HKLM\..\Run: [VsStatEXE] C:\Program Files\Network Associates\McAfee VirusScan\VSSTAT.EXE /SHOWWARNING O4 - HKLM\..\Run: [McAfeeWebScanX] C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe O4 - HKLM\..\Run: [Elecom wheel extention] C:\Program Files\Elecom\WheelUtility\eciuhook.exe O4 - HKLM\..\RunServices: [Hidserv] Hidserv.exe run
111 :
93 :04/05/30 23:10 ID:2euxRx0h
ココへ質問しに来たオマエらへ
まず、
>>1-8 と
>>11 に目を通し、
それでもダメだった時点で質問すれ。
114 :
93 :04/05/30 23:21 ID:2euxRx0h
115 :
65 :04/05/30 23:22 ID:w4COyZB9
もういい加減 ノートンの2004買ってこよう _| ̄|〇
118 :
65 :04/05/31 00:10 ID:rGYMs1N0
>>117 ホントにありがとう 最終手段はOSの再インストールも考えています
それとhijack〜のログが取れないって言ったけど できました
119 :
65 :04/05/31 00:13 ID:rGYMs1N0
Logfile of HijackThis v1.97.7 Scan saved at 23:43:27, on 2004/05/30 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Documents and Settings\All Users\Documents\HJthis\higaitaisaku.exe
120 :
65 :04/05/31 00:13 ID:rGYMs1N0
F0 - syst>m.ini: Shell= F0 - R>ystem.ini: Shel>= F0 - R>ystem.ini: UserInit= O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Virus Buster 2004\pccguide.exe" O4 - HKLM\..\Run: [PCClient.exe] "C:\Program Files\Trend Micro\Virus Buster 2004\PCClient.exe" O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Program Files\Trend Micro\Virus Buster 2004\TMOAgent.exe" /run O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - Startup: ntuser.dat O4 - Startup: ntuser.dat.LOG O4 - Startup: ntuser.ini O4 - Global Startup: NTUSER.DAT.LOG O9 - Extra button: Irvine (HKLM) O9 - Extra 'Tools' menuitem: Irvine(&I) (HKLM) セーフモードでしか実行できなかったけど 怪しいのありますか?
>>120 (・3・) エェー ゴメンYO 少なくともボクの見る限り この中には怪しいエントリないYO
>>119 O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
これは確かCD革命のライティングエンジンだと思うのだけど、インストしている?
もしそうならば、 ぼるじょあさん同様アヤシイのなし。
125 :
65 :04/05/31 00:28 ID:???
>>121 >>122 どうもありがとうございます やっぱウイルスでしょうか
もういい加減ウイルスソフト買ってきます
一ヶ月前あわててダウンロードしたトレンドマイクロのウイルスバスターの体験版が終了したもので_| ̄|〇
めんどくさがって以前からノートンの旧製品のアンインストールもしてない・・・
どっちか迷いますがノートン2004買ってきます ホントに親切にありがとうございました
>>124 これから調べようと思います
126 :
65 :04/05/31 00:29 ID:rGYMs1N0
またsageて書いた・・・ すいません
>>123 本当だ知らなかった。。。
勉強になります。。。
買うならダウンロード製品はやめとけ CDにしなさいよ
IEがあまりにも絶不調なのでOpera導入しました。快適です。 これって感染しづらいのでしょうか。
>>129 確かにIEの脆弱性を突くものはOperaなどの非IEコンポネートだと感染出来ない。
しかし前スレ
>>892 のような新型地雷も登場しつつあるので完全に安全とは言い難い。
ま、一番大事なのは用心に用心を重ねるこった。
>>129 というかIEが絶不調のままだとやばいんじゃないか?
>131 はい、明日とりあえずウイルスバスター買ってきてインストールします。 今までMeなのでわりといーかげんにやってたので…。 それでダメならまた考えますが。でもIEを立ち上げるのが恐い…。 CWshuredderかけるとホームとかはもとに戻るんですが、ポップアップ出たり 対策ページに行くと落ちたり。でしばらくするとまたホームがヘンなサイトになったり…。
そして、今日も地雷師と鑑定人さんの戦いは続くのであった・・・
タイプ892新型地雷はスゴイんだな。
ここに貼ってるヤツは、ラウンジの鑑定スレを地獄絵図にした 伝説の地雷師だろう。
荒らしの自画自賛か
137 :
130 :04/05/31 01:17 ID:???
>>132 俺もその症状に近いものになったけど三日かかった。
前277氏が解説してくれているので参考までに。
もう少し早くこの情報見せてくれれば三日もかからなかったfじぇ;あpふじこlp
277 名前: ひよこ名無しさん [sage] 投稿日: 04/05/26 03:29 ID:???
■greatsearch.biz、jksearch.biz などに飛ばされるハイジャッカー対策
IEのホームページが
http:// greatsearch.biz/ と
http:// jksearch.biz/redir.php
などに固定されるというハイジャッカーが流行中とのこと。このハイジャッカーは
通常のHijackThisのログに現れない場所に巣食うので駆除が面倒。
http://higaitaisaku.web.infoseek.co.jp/removesearchbiz.html 被害対策のページ↑は初心者でも確実に駆除できるよう各種ツールを利用
しているが、ここでは、回答者や経験者向けに手動駆除方法を紹介。
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\shellServiceObjectDelayLoad"
ここに"system"というエントリができていれば感染している。その値(CLSID)
をメモ。(例) System = {362A19F1-EA5D-4733-8292-58DECE98C0BC}
セーフモードで起動、regeditを起動、System という項目を値ごと削除。
HKEY_CLASSES_ROOT\CLSID\にもこの値が登録されているので問題のCLSID
の値で検索し、削除。
続いて本体ファイル↓を削除
C:\WINDOWS\system32\system32.dll / C:\WINDOWS\system.exe
OS再起動
>>135 ラウンジの鑑定師たちはIEで見てたのか
お、鯖移転か?
>>138 ここの改造テンプレが貼られて依頼人がバタバタと引っ掛かった
ある程度被害が拡大するまで誰も気が付かなかった。
コワ-
>>140 いかに偉ぶってる香具師が多いかを物語ってるな。
ROMっていると鑑定スレ全体がそういった香具師の、 実験場になっているような気がしてならない。 名無しで御鑑定をわざとして、普通の人まで巻き込んで、 ブラクラやウイルス踏まそうとする香具師までいるし。。。
>>129 ちなみに、IEは、使用していないからといって害がないわけではないので注意。
これはwindows updateのアップデートをすれば、とりあえずはOKだけど。
(正確にはIEに限った話ではないのだが、IEが多い)
>>129 だいたい
>>130 のようなことだが…
ハイジャッカーにはほぼ不死身のOperaやFirefoxだが、ほいほいいろいろな
リンクやボタン押してたらいつかウィルスをダウンロードして起動する羽目になる。
そのとき水際で実行を防いでくれるのがアンチウィルス。検出率がどうのこうの
というが、ウィルス博物館作るわけじゃあるまいし、実際に出会うウィルスはフリー
のAntivirやAVGでほぼ99%防げる。必ずインストしておこう。
______ | ___ | | | ___ | | | ___ (,,゚Д゚) ノ ノ ノ..__|(ノ |) /// .\_| __|  ̄ し`J .________ | .|. ヨ.|ヨ.|___| | ロ |. ニ ニ∧∧ | ロ |ノ ノ_/ (,,゚Д゚) |_._|_|.ロ iニ(ノ |) |.ロ iニi___|  ̄ ̄ し`J _______ | .___ | | | |__| | | | .__ (,,゚Д゚) | |__|(/ |) |____|_| し`J
150 :
ひよこ名無しさん :04/05/31 05:03 ID:KMzPExuq
151 :
ひよこ名無しさん :04/05/31 05:05 ID:KMzPExuq
↑すいません誤爆です
(^◇^)ノ おはようございます♪
漏れんとこの ルーター+バスタ2004+ゾヌ+BlackICE+OPERA7.5の環境で BlackICEのみが反応するサイトがある。多くの人が被害にあってるとこだけど。 [不正アクセスの試み] このシグネチャは、「application/hta」値と等しい HTTP Content-Type ヘッダーを検出します。 わざと何種類か踏んでみたけど侵入者は 69.31.79.146 で同じだった。
去年ロサンゼルス郡が所有している/16(つまり6500個)のアドレス
ブロックが何者かに盗まれる(偽造レターヘッドなどの小道具
でARINを騙して割り当ての変更を受けた)という事件があった。
盗まれたアドレスの一部はカリフォルニアでEmile Kacperskiという男が
やっているAtrivoという零細プロバがスパマーやエロサイトにリースして
いたのが発覚。AtrivoはニューヨークのnLayer Communicationsという
プロバからまた借りしているのだが、nLayerも盗難アドレスを扱っている
ことがばれている。
http://www.securityfocus.com/news/5654 で、この69.31.79.146というアドレスの身元を調べると、
05/31/04 10:24:37 whois
[email protected] whois -h whois.arin.net 69.31.79.146 ...
nLayer Communications, Inc. NLYR-ARIN-BLK2 (NET-69-31-0-0-1)
69.31.0.0 - 69.31.143.255
Atrivo NLYR-69-31-64-0-1 (NET-69-31-64-0-1)
69.31.64.0 - 69.31.79.255
↑というわけでこいつらまだせっせと悪事を働いている…
>>148 CWShredderはやってみた?
とにかく「まとめサイト」
http://haiiro.info/my/text/template.html 行って応急処置その他やってみて。あとSpybot SDは最新版
v1.3を使うこと、Ad-awareはスキャン前にWebUpdate(左上の
地球儀アイコン)を実行して定義ファイルを更新しておくのを忘れ
ないよう。
飛ばされるサイトからみて違うとは思うけど、
>>137 のjksearchみたい
なハイジャッカーもあるからHijackthisも万能ではない。
>>147 >AntivirやAVGでほぼ99%防げる。
うそはいかん
>>156 お前こそ汚い歪曲のウソはいかん。原文は、
> 検出率がどうのこうのというが、ウィルス博物館作るわけじゃあるまいし、
> 実際に出会うウィルスはフリーのAntivirやAVGでほぼ99%防げる。
158 :
156 :04/05/31 12:50 ID:???
>>157 了解、おそらく主観だろうからそうかもしれんな。
俺の場合Windows使っている時点でソフトで99%防ぐのは無理。
>>156 ソース寝糞トの社員がインドの山奥で開発された優秀なアンチウィルス
売り込もうとして必死だな。
NOD32ならどんなウィルスでも120%防げる。漏れを信じてくれ。
>>159 どこからソースネクストが出てくるのか知りたい、小一時間問い詰めたい(プフ
>>161 糞アンチウィルスといったら自然に思いつくから。他意ない。
【ソースネクスト】ウイルスセキュリティ2004 Part7【K7】
http://pc5.2ch.net/test/read.cgi/sec/1082313491/ ・パターンファイル更新が少ない。
・administrator権限でしか使えない。
・LANカード2枚挿しはダメ
・ネット加速ソフトとの共存不可能(同じソースの商品も!!)
・一部のスパイウェア除去ソフトとの干渉。
・プロキシが使えない!!
・XPではブルー画面表示の報告も・・。
・アンインストールするとインターネット接続ができない事態も。
β版、いやそれ以下の完成度と言われてしまっている現状を、
今後打開できるのか!?
アンチ糞ースネクストが必死だな
164 :
156 :04/05/31 14:09 ID:???
悪いが糞ネクストなんか売り込む気はないぞ。それならAVGのほうがいい
こっちの方よりあっちの方が本当の雰囲気だと疑っていたからごめんなさい。
877もあっちのは読むのも書かないです。
>>148 英語のはだかのインターネットはモジラーカオペラでみないとむずかしくなるぞ
だからIEだと早く他のを羨ましくないといけない。
嘘はいかんぞ〜初心者どもよ良く聞け。 IEはウイルスに感染などしないから、対策ソフトはいらないぞ。 それにエロサイトにウイルスなど置いてない。
まいった、本当にどうしようか? エロサイトを見ていたら…助けて下さい part27 の方がスレ上位にきちゃってるよ。 間違えて入ってテンプレ実行して被害者が増えなければいいが。 とりあえず、1age。
>>168 エロサイトを見ていたら…助けて下さい part27のテンプレ実行したら…助けて下さい part1
でも立てよっか?
>>171 誰も削除依頼を出していないからでしょう。
>>172 削除依頼は出てたよ
削除人が見てないだけ
>>173 本当だ。出ていた。移転前アドレスのほうを見ていた。
175 :
ひよこ名無しさん :04/05/31 15:56 ID:BXOXz9+d
age
176 :
ひよこ名無しさん :04/05/31 16:12 ID:BXOXz9+d
スタート→ファイル、フォルダの検索で、jdbgmgr.exe と書いて検索したら、クマの絵が出てきました。 以前どこかのスレでそれはウイルスだから右クリックで削除してゴミ箱も削除したのですが、また検索すると、クマはまたいます。 どうしたら完全に消せるのでしょうか??
>>176 なんだ、まだこんな初心者がいたのか?
れじすとりも、全部消さなきゃダメじゃないか。
HKEY_CLASSES_ROOT\AppID\jdbgmgr.exe
HKEY_CLASSES_ROOT\CLSID\{275D9D50-5FF5-11CF-A5E1-00AA006BBF16}
HKEY_CLASSES_ROOT\CLSID\{275D9D51-5FF5-11CF-A5E1-00AA006BBF16}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\jdbgmgr.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{275D9D50-5FF5-11CF-A5E1-00AA006BBF16}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{275D9D51-5FF5-11CF-A5E1-00AA006BBF16}
180 :
65 :04/05/31 18:05 ID:rGYMs1N0
なんとか解決しますた
>>180 お疲れ様。
今後この場所を訪れた人のために、
どの方法で解決したか書いておいてくれると参考になりますので、
まだいっらしゃいましたら自分がやった解決法を書いておいて下さりませんか。
182 :
65 :04/05/31 18:54 ID:rGYMs1N0
一応書いてみるけど、 初めてspy-bo使った人、アドバンスモードで使用してない とか言わないよね?
>>182 本当にお疲れ様でした。
状態がよく分からなくうまくアドバイスがうまく出来なかったのですが、CnsMinでしたか。
データは今後の参考にさせていただきます。ありがとうございました。
185 :
65 :04/05/31 19:12 ID:rGYMs1N0
スパイウェアをわざとインストールして通信許可したら、中国のIPアドレスから、 エロサイト紹介のスパムメールが毎日届くようになった。 あまり酷いようなら、サーバで受け取らんように設定してやる。 ざまあみさらせ、エロサイト運営者よ。 当然、バックアップソフトで速攻で以前の状態に戻してあるよ。
アドバンスモードって何ですか?
189 :
HELP :04/05/31 21:17 ID:wVLoKLXy
あ!IDはこれです!
190 :
HELP :04/05/31 21:21 ID:wVLoKLXy
たのむ!わからない!
191 :
HELP :04/05/31 21:25 ID:wVLoKLXy
だれかー!!!!
>>188 二十四時間体制で見てると思うなよ。
まずはテンプレを読むことから始めるんだな。
必死なのは分かるがテンプレも読まず訴えても叩かれるだけだな
195 :
HELP :04/05/31 21:36 ID:wVLoKLXy
テンプレ読んでもわからないよー! どうすればいいのー!! とりあえず IEのホーム、検索ページを標準に戻す→ツール→インターネットオプション→ プログラム→WEB設定のリセット って何度もやってみたけどなにかわらないよー!
>>179 通報するぞ
jdbgmgr.exe (java debug manager)はWindowsの重要な
システムファイルだから削除してはいけない。
アフォを騙して削除させようという、いわゆるデマウィルス
の典型。
198 :
HELP :04/05/31 21:52 ID:wVLoKLXy
>>197 ありがおう!!
なおったー!!いえあー!!
ほうほうほうほうほうhじょうほう!!!
■greatsearch.biz、jksearch.biz などに飛ばされるハイジャッカー対策(v2.0)■
★症状:IEのホームページが以下のようなエロ系サーチサイトに固定される。
http:// greatsearch.biz/
http:// jksearch.biz/redir.php
http:// cashsearch.biz/redir.php
http:// 213.159.117.130/cgi-bin/index.cgi?c=1
・HijackThisでログを取っても異常が現れない。
★ハイジャッカーの本体はCWSearchの亜種。ただしHijackthisがスキャンしない
レジストリ項目 shellServiceObjectDelayLoadに巣食うので駆除が面倒。
http://higaitaisaku.web.infoseek.co.jp/removesearchbiz.html 被害対策のページ↑は初心者でも確実に駆除できるよう各種ツールを利用しているが、
ここではもう少し簡略な手動駆除方法を紹介。
★感染確認方法
スタート→ファイル名を指定して実行→regedit
レジストリエディタを起動したら左窓で順次ツリーを開いて以下のキーを開く。
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\shellServiceObjectDelayLoad"
ここに"system"というエントリができていれば感染している。
★駆除方法
1)感染が確認されたらsystem エントリのCLSIDの値をメモする。
(例) System = {362A19F1-EA5D-4733-8292-58DECE98C0BC} ←この{ }内の英数字
2)セーフモードで(F8連打して)起動→regeditを起動、System という項目を値ごと削除。
HKEY_CLASSES_ROOT\CLSID\にもこの値が登録されているので問題のCLSIDの値で検索し、削除。
(左窓でHKEY_CLASSES_ROOT\CLSID\を選択反転→メニュー→編集→検索)
3)レジストリを削除したら、本体ファイル↓を削除
C:\WINDOWS\system32\system32.dll / C:\WINDOWS\system.exe
4)OSを再起動後、念のためCWShredder、Ad-aware、Spybot SDv1.3でスキャン。
>>4
XPを使っています。 一月ほど前に、スパイウェアに感染して IEを立ち上げるたびにホームが「Search for... 」というサイトに 飛ばされ「Spyware Detected」という小窓が毎回ひらきます。 このスレを見て キャッシュ等の削除 セーフモードにしてad-awareやsrabotやCWShredderやhijack this等を使って 削除などをしているのですが、一時的には直っても 1〜2日すると、またいつのまにか上記のサイトに飛ばされます。 そのたびに、上記スパイウェア駆除ソフトを使って駆除して いつかは本当に直るだろうとやっていたのですが、1ヶ月たった今でも あいかわらず、それらのソフトで一時的に直っても1〜2日でもとに戻ります。 なんかもう泣きたくなってきたのですが 完全に治す方法はないのでしょうか?
201 :
200 :04/05/31 22:22 ID:5S5HQrS8
設定がsageのままになっていました。
203 :
ひよこ名無しさん :04/05/31 22:36 ID:5S5HQrS8
>スタート→ファイル名を指定して実行→regedit
>レジストリエディタを起動したら左窓で順次ツリーを開いて以下のキーを開く。
>"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\shellServiceObjectDelayLoad"
>ここに"system"というエントリができていれば感染している。
\shellServiceObjectDelayLoadという所までは進めたのですが
「system」が見つかりません。
つまり
>>200 のとは違う問題だということでしょうか?
(既定) CD Burn Post BootReminder Sys Tray WebCheck は見つかるのですが。 これは違いますよね?
205 :
ひよこ名無しさん :04/05/31 22:40 ID:5S5HQrS8
204は自分です。
▼━質問のしかた ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ・ E-mail欄(省略可) には何も記入しないこと。(ID出す→偽者対策・質問者の区別) ・ 2回目以降の書込は、名前欄に最初に質問した際の「発言番号」を入力すること。 ・ 他のスレから誘導された場合は、その旨書く。(マルチポストとの区別) ・ OSの種類(必須)、ブラウザ、セキュ関係ソフトの有無、やってみたことを明記。
207 :
ひよこ名無しさん :04/05/31 22:42 ID:cdr09gtO
あるサイトを踏んだらIEが勝手に立ち上がって ホームページが書き換えられる症状になってしまったので テンプレに書いてあることを実行し、ほぼ元通りに戻ったのですが IEのいちばん上がおかしいままで、サイト名のあとに --散哭恵諒 WWW.CCTV8.NET-- と表示されてしまいます これを元に戻す方法をありますか? OSはwin98、ブラウザはIE6.0です
208 :
200 :04/05/31 22:45 ID:5S5HQrS8
>>206 はい。
どうもすみません。
名前は200です。
OSとやってみたことはもう書きました。
ブラウザはIE5です。
209 :
ひよこ名無しさん :04/05/31 22:46 ID:IvAYI23P
中国が尖閣諸島周辺の国境付近で、資源採掘を開始ししだしました。 ガス採掘施設となってますが、それだけではなく、 ここにはイラク・イランに匹敵する 世界2位の規模の原油(推定、約600兆円分)が埋蔵されています。 そしてほとんど日本の領土側に埋蔵されている資源が、 ジュースをストローで吸い上げるように、中国に持っていかれようとしています。 しかしマスコミは国家の一大事であるにもかかわらずほとんど報道していないのです。 今、声を上げないと、この国は終わるかもしれません。 ここら採掘、全部中国へ . ‖ 〜〜〜〜〜〜〜‖〜|〜〜〜〜〜〜海面〜〜〜〜〜〜〜〜〜〜〜〜 ‖ | +*************‖**|********海底*************************** . ‖ | . ‖. |■■■■■■■■■■■■■■■■■■■■ ■■|■■■■■■■■資源■■■■■■■■■■■■ ■■|■■■■■■■■■■■■■■■■■■■■■■ .. 中国領土←|→日本領土■■■■■■■■■■■■■■■
210 :
鑑定士 :04/05/31 22:51 ID:xiwCr7Mh
211 :
200 :04/05/31 22:56 ID:???
>>199 の通りにやってもやっぱり駄目です。
「SYSTEM」というのがそもそもないので
感染していないようです。
212 :
ひよこ名無しさん :04/05/31 22:57 ID:5S5HQrS8
またなんか勝手にsageにチェック入ってて… もう駄目だ。失敗しまくり。 もう誰も答えてくれませんね。 日を改めます。
213 :
ひよこ名無しさん :04/05/31 23:00 ID:y9OKpD8m
>200さん 直りました!ありがとうございました!
214 :
213 :04/05/31 23:02 ID:y9OKpD8m
あ、199さんでした。ありがとうございました!
>>211 systemエントリがなければjksearchではないが…
そもそもどういうサイトに飛ばされるのかわからなくては
どうにもならなない。正確なサイト名を書け。
Spybot SD v1.3で「モード→高度なモード」に設定して
左側の「ツール」をクリック左側にいろいろアイコンが
出てくるから全部チェック入れて有効にする。
それから左窓で「ブラウザページ」をクリックするとブラウザ
のスタートページの一覧が出てくるから報告しろ。
>>216 スマソ。誤植だ。
左側の「ツール」をクリック左側にいろいろアイコンが ×
左側の「ツール」をクリック、右側にいろいろアイコンが ○
>>64 すみません、レスもらっておいてやっと接続できるようになったので。
セーフモードで起動、regeditを起動、System という項目を値ごと削除。
HKEY_CLASSES_ROOT\CLSID\にもこの値が登録されているので問題のCLSID
の値で検索し、削除。
続いて本体ファイル↓を削除
C:\WINDOWS\system32\system32.dll / C:\WINDOWS\system.exe
これらの手順の仕方がわかりません。Safeモードはキーのどこ押しながら起動させるのでしたっけ…?
regeditというのもわかりません…
219 :
207 :04/05/31 23:38 ID:cdr09gtO
>>215 "Internet Explorer関連レジストリの完全なリセット"を実行したら治りました
ありがとうございます!!
>>218 あなたは、リカバリーから覚えなくてはダメだね。
>>220 に同意
レジストリ弄れる段階まで来てない
>218 XPなら、 スタート→ファイル名を指定して実行→msconfigと入力 →BOOT.INTタブ→SAFEBOOTにチェックを入れる→再起動 でも可能。 セーフモードを止めるときは同じ手順でSAFEBOOTのチェックを外す。
Operaで503全部踏んでみたが、ブスなねえちゃん拝見した だけでどこも無傷。途中でxxxinstallerみたいなのがワルをインストール しようと努力していたが、失敗して諦めた。ザマミロ 892をOperaで開いてみた 全然OK でもウィルス付なので注意 本当に!スゴイなOperaは。
OperaOperaウザイのでやめとこ
>>225 IEをカスタマイズして何とかするのが男ってもんだろう。
そうやって、逃げるなよ。
230 :
226 :04/06/01 00:34 ID:???
いや、たまにここで回答してた者だけど宣伝みたいでUzeeと思っただけだ。 同じような書き込みばかりだからね。しばらくいてわかったよ。
このスレ読んでいるとわかりやすいんだが Opera厨は踏まずに適当に書いている Firefox厨はマジで踏んで検証している IE厨は知らずに踏んでここの患者になっている
232 :
226 :04/06/01 00:52 ID:???
Opera、Firefoxはハイジャッカーには非常に強いが、ウィルスを実行 してしまえば当然ながら感染する。フリーでもいいからアンチウィルス を入れておこう。AntivirかAVGが定番。 有料製品ならシマンテックのNorton AntiVirus(NAV)かトレンドマイクロ のVirus Buster(VB)が無難。シマンテックのNISはオマケ機能にいろいろ 問題があり、かつ激重なので敬遠が吉。
● Firefox 0.8はOperaを超えた!? ●
Firefox 0.8を使用中のお客様の声
>>21 をFirefox 0.8で踏んでみた
まずbubalom.by.nuからクッキー飛んできたので撃退
リフレッシュで
http://gb.bbs.ws/book.php?book=xtrimeへ飛ぶ gb.bbs.wsからもクッキー飛来するも「いいえ」で迎撃
ポップアップ攻撃に入るもFirefoxデフォルト設定で撃墜
Free Access Plugin 1.117をインストールしますか?
と攻撃されたので「いいえ」で撃退
以上ですた。その後の不具合など一切なし。
◎スレ違いだが(w
FirefoxもOperaもNetscapeも同じMozillaなのだからそれほど違いはないと思うよ。
違いは機能の差とスマートか肥大してるかくらい。
自分は初期状態ではほとんど何の機能もなく、
好きな機能だけ組み込んで使えるFirefoxがいまのところ一番いい。
OperaやNetscapeはやや肥大しすぎ。
◎ このスレ読んでいるとわかりやすいんだが
Opera厨は踏まずに適当に書いている
Firefox厨はマジで踏んで検証している
IE厨は知らずに踏んでここの患者になっている
/ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ | はい、ありがとうございます! | Firefox日本語版インストールセンターです。 \______ _______ ∨ (⌒) ∧_∧ D ( ) ( ・∀・)○ ___ パイプ→┗⊂ )D……/◎\ =============================
ちょっと分からないんですがスパイウェアを仕込ませようとするサイトは
>>234 のように
「いいえ」を押したとしてもDLさせてくるような悪質なサイトもあると聞きました。
そのような場合でもFirefoxやOperaは回避してくれるという事なのでしょうか?
237 :
27 :04/06/01 02:00 ID:???
ウイルス系はC:以下をAVGでスキャン→何も無し
スパイウェア系はAd-aware6とSpybot1.3でスキャン→何も無し
トロイ系はa2でスキャン→何も無し
終了後にAd-awareのうpだてが来たんで再度やってて時間がかかった。
なんかFirefox工作員化してきてしまったが、
エロ巡りするなら非IEを使用しろってことです。
テンプレのURLは英語版になってるので、
>>24 を参考に
>>36 Operaって非Mozillaなのでは?
User_AgentのIE詐称が初期設定になってる自信の無さでOpera萎え
激しくスレ違いスマソでした。
どうもお前らは、本当にわかっていないようだな。 ウィルスとして検知されるのは、Temporary Internet Filesに読み込まれた時、 大抵はActiveXのインストールファイルの複合型だから、この段階では削除しなくても、ただのごみファイル。 この先、スクリプトが実行されて、%USERPROFILE%\Tempに送り込まれる。 この段階でもまだ、ごみファイルだ。 インストールして、実行しますか?に、はい、と答えると この先、ActiveXが実行されて、Windows\Downloaded Program Filesにファイルがあると、 まずインストールされてしまっている。トロイやキーロガーが活動を始めている。 また、スパイウェアの症状も現れるはずだ。 つまりだ、スキャンしても、Temporary Internet Filesと%USERPROFILE%\Tempに発見されただけなら、 まだ、発病はしていないから、削除すれば害はない。
>>236 ない、新しい未知のセキュリティホールを使っていなければない。
あり得ん。
>>236 ものにもよるけど、拒否しても何度もしつこく聞いてきたり、
半ブラクラ状態にしてからダウンロードさせようとする所もある。
全て防げるかどうかは知らない。
あまりにやばそうだと思ったら回線切るとか。
242 :
236 :04/06/01 02:26 ID:???
>>241 何度も確認メッセージを出してくるやつは、タスクマネージャから、
IEXPLORE.EXEを強制終了する。
開いていた窓が、全部閉じる。
244 :
236 :04/06/01 02:34 ID:???
ありがとうございます。これで安心してエロサイト巡りができます。 明日はロリ系に挑戦してみようかなw
245 :
239 :04/06/01 02:34 ID:???
>>245 タイプ892型・新型地雷よりも強力なの?
>>246 タイプ892型・新型地雷(仮)がこれ(w
"Downloader.Trojan"自体は直接攻撃するタイプのウイルスではないけど、
リモートコントロールを使って強制的にウイルスやスパイをPCのHDのシステムとかに、
ダイレクトに送り届けてくれる。
威力は送り届けられたもので変化する。
248 :
247 :04/06/01 02:58 ID:???
249 :
246 :04/06/01 03:08 ID:???
>>247 詳しく教えていただき、ありがとうございます。m(_ _)m
>>238 書き忘れたけど、あくまでIE6SP1での話な。
>>234 ★OperaとFirefoxは全く無関係★
Netscapeのオープンソース版としてMozzillaプロジェクトが
スタートした。最新のMozillaがFirefox(旧Firebird)
これに対してOperaは最初から独自エンジン。IEともNetscape
とも共通点はない。
252 :
初心者。 :04/06/01 12:42 ID:y1Yv50yo
IEがハイジャックされたときの非常口としてFirefoxをインストールしました。しかし・・・ ドキュメントで保存していたWebページを表示させるとFirefox仕様のウィンドウで表示されてしまいます。 普段は使い慣れたIE仕様のウィンドウで開きたいので困っています。直すにはどうすればよいのでしょうか? ご存知の方、教えた下さい。XPを使ってます。
(ry
255 :
252 :04/06/01 12:56 ID:y1Yv50yo
>>253 釣り師じゃないです! Firefoxは全て英語で表示されているので使いにくいです。
非常用としてだけ持っておきたいのに、
>>252 の困った状態です。
お分かりなら宜しくお願いします。
>>255 仕様が違うといっても具体的にどんな点が問題なのか説明がないから
答えようがない。
日本語メニューが必要なら、
>>7 見てOpera7.5を日本語化して入れろ。
259 :
252 ◆WTfH3549Z6 :04/06/01 13:48 ID:y1Yv50yo
>>257 >仕様が違うといっても具体的にどんな点が問題なのか・・・
ドキュメントで保存していたWebページを表示させるとFirefox仕様のウィンドウ
なんです。例えば、今までは窓の左上にある「IEのWebページのアイコン」が「Firefoxのアイコン」
になっていて、「ファイル(F)編集(E)表示(V)・・・」がFirefox仕様の「File Edit View・・・」と
表示されているんです。窓の右上にある「マイクロソフトのロゴ(4色の旗)」が「鎌のような武器のロゴ」に
なっています。これで分かってくれるでしょうか・・・。
心当たりとしては、「デフォルトブラウザとして設定しますか?」の時に「Yes」をクリックしましたが。
>>258 ありがとうございます。後で是非この日本語版をインストールしてみます。
260 :
これすにはどうすればよいのでしょうか? :04/06/01 15:01 ID:e8UKm6ex
263 :
ひよこ名無しさん :04/06/01 15:07 ID:qu3Nxg1K
200のような状態なんだけど、 199や、それに張ってあるHPに行ってregeditしようとしたんだけど 一瞬砂時計は出るんだけど、起動しない… ノートンで検索かけたけど、特にウイルス反応は無し。 Ad-AwareとSpybot-S&Dも使ったけど、暫くすると、また症状が出てしまいます…
>>259 アイコンが違う→違うソフトでは違うアイコンなのだと記憶する
266 :
252 ◆WTfH3549Z6 :04/06/01 15:13 ID:y1Yv50yo
>>263 アンカーには>>記号つけろ。いちいちスクロールさせるな。
ためしに、
スタート→ファイル名を指定して実行→CMD(リターン)
CMD窓で、
net stop hackerdefender100(リターン)
と打って、どんなメッセージが出たか報告。
268 :
263 :04/06/01 15:16 ID:qu3Nxg1K
>>264 かとおもったけど、nyで、exeファイルとかDLしてないし…
フォルダに偽装されても、win98だから気が付くと思うし…
nyなんかやってウイルスに引っかかったら自業自得
271 :
263 :04/06/01 15:32 ID:qu3Nxg1K
>>267 すみません。
んで、win98なんでMS-DOSプロンプト
エラー 2185: サービス名が無効です。 有効なサービス名を指定して、やり直してください
と、出ました。
>>269 そこの通りに調べてみたのですが、「"System"=」そのものが出てこないんですよ。
ad-awareやって、一時的に削除されてるだけだから。この両方とも、怪しいところが
無いって事なんでしょうか・・・
272 :
266 ◆WTfH3549Z6 :04/06/01 15:37 ID:y1Yv50yo
273 :
266 ◆WTfH3549Z6 :04/06/01 15:54 ID:y1Yv50yo
zipファイルからダウンしてインストールすると起動できました。。。 ところでFirefoxの日本語版と言うのはインストール方法の解説が日本語なだけで 起動させたFirefoxのページは英語のままなんですね?
277 :
266 ◆WTfH3549Z6 :04/06/01 18:09 ID:y1Yv50yo
>>277 お前はそうやってひとつ上のレスも見ないで一生過ごすのか?
280 :
266 ◆WTfH3549Z6 :04/06/01 18:33 ID:y1Yv50yo
>>280 デスクトップのアイコンじゃなくてマイコンピュータからフォルダ開いて
Program Files/Mozilla Firefox/Firefox.exeをダブルクリックしてみろ。
>>280 デスクトップアイコンのリンク切れに20モジラ
284 :
281 :04/06/01 19:01 ID:???
トラブル状態がよく読み取れないが、XPならアンインストールの後、
デスクトップアイコン
C:\Documents and Settings\ユザー名\Application Data\Mozilla
C:\Documents and Settings\ユザー名\Application Data\Phoenix
の3つを手動で消去。
そいで再インストールもやってみてくれ。
>283
自分もそれに50モジラ
>>281 (修正)
スレ違いの質問先アンカーミス
>>278 さんの場所。
285 :
ひよこ名無しさん :04/06/01 19:34 ID:RDop11ov
行きたいサイトに行くと The page you are trying to visit has generated an error と出るんです。サイトあるのに私のPCからだと入れません どうすればいいんでしょうか? URLがerrorplace.comです
>>285 ちょっと待った。誰もコピペしろとは言ってないが。
それに回答くれたムノーには何もなしか?
287 :
ひよこ名無しさん :04/06/01 19:43 ID:RDop11ov
どうもありがとうございました。 Mozilla Firefox Part11 へ誘導されます。
289 :
ひよこ名無しさん :04/06/01 20:39 ID:fsD3HRUx
IEのホームの書き換えに被害にあってます 立ち上げるたびにドイツ系のサイトに飛ばされます アンチスパイウエアソフトで対処したのですが(SPYBOT ad-aware あともう一つ) メモリー上にあるとのことで削除できません となってしまいます 履歴 クッキーの削除、等もやりましたが 全部ダメです IEだけ再インストールってできるんですか? そうしたら直りますか?
290 :
ひよこ名無しさん :04/06/01 20:55 ID:nvaX8YiK
292 :
ひよこ名無しさん :04/06/01 21:00 ID:O69gzod+
295 :
292 :04/06/01 21:40 ID:O69gzod+
296 :
292 :04/06/01 21:41 ID:O69gzod+
書き忘れました。IE5.5でwin98利用です。
>>296 駆除ソフトなどは入れてスキャンはしたかい?やってなかったらテンプレを見てやってくれ。
あとは
>>169 だな。
最近のエロサイトの手口を解析してみると、 IEのセキュリティホールを狙って、アクティブXコントロールの確認画面なしに、 スパウェアをインストールさせることにある。 ウィルス対策ソフトが反応するのは、これら特定のスクリプトに反応するためだ。 つまり、セキュリティパッチをきちんと当てている健全なユーザーは、 アクティブXコントロールの確認画面がきちんと表示されるはずなので、 はい、をクリックしなければ、これらのスパイウェアを勝手にインストールされる事はない。 サイト運営側は、あなたたちのメールアドレスを知りたいだけなので、 特に神経質にはならなくてもいいかもしれない。 スパイウェアに感染すると、エロサイトのスパムメールが送りつけられるようになるのは、 このためだ。 しかし、あくどいやつらがぶら下がっている可能性は、十分にある。 個人情報を抜き出して、不正な債権請求などしてくる可能性も十分にある。 こうした手口を使っている以上、スパイウェアは慎重に扱わなくてはならない。
301 :
前スレ877 :04/06/01 23:29 ID:n4NX6a1e
たくさんの返事もらっておきながらレス返すのが遅くてすみません。
>>199 の手順でようやく解決できそうな気がするのですが
いざやってみたところsafeモード中、マウスが動きません…キーボードもEnterとか一部の
キー以外反応しなかったりで…最初にキーボードのタイプ選ぶときに英語も漢字型もやってみたのですが
どちらも無理でした。OSはWIN98SEのNECです。
304 :
199 :04/06/01 23:33 ID:???
>>301 んじゃ、駆除方法…
通常モードで起動してレジストリ修正→再起動→本体ファイル削除
でやってみ。
305 :
292 :04/06/01 23:36 ID:O69gzod+
>>297 お騒がせしました。
直った?て思いありがとーって書こうとしたらまた出てきました_| ̄|○
次は
>>196 やりに逝って来ます。もう本当逝きそう…
しばらく非IEなブラウザ講座状態だったようだけど、 このスレの本題的には範囲内な気もするなぁ・・・ エロ(非エロ)助の最も効率的な回避策は IEのやり込み級使いこなし術と非IEの適所利用じゃないかと
>>301 マウスが使えなくても
Tabキーをうまく使えばある程度操作できると思うぞ。
状況が分からないので自信を持っては言えないが。
>>306 ある種、目から鱗的な方法だと思ったw
98系で最終手段として「あり」な解決策かもしれん・・・
>>301 safe modeのキーボード選択を間違えてるに100NEC
うちのネット専用サブ機、 98SE(98Lite、IE無し)にIE5.5SP2とパッチ全部当ててからIE抜いて メインブラウザはOpera。 Operaで不都合の有るサイトのみDonut-Lで対応してる。
314 :
313 :04/06/02 00:23 ID:???
不都合と言っても、一部のアップローダとネットバンキングだけみたい。
テンプレや野戦病院も充実してきたので、 何も読まずに質問するヤツは放置して、 IEとのお付き合いや非IEの紹介も良いと思う。
>>298 おまい何ドサクサにまぎれて。
スパイ満載サイト(上)とブラクラ(下)貼ってんだ。
317 :
ひよこ名無しさん :04/06/02 00:43 ID:kYu7ccuP
IEのホームが
ttp://www.searchhh.comに固定されてしまい お気に入りにwww.roughsearch.com
www.search40.com www.searchhh.comの3つが勝手に追加されてしまいます
CoolWebShredder Ad-Aware Spybot-S&Dを使用しスキャン、削除
IEの履歴、一時ファイルの削除。Reg Cleanerで不要なレジストリの削除をしました
それでも直りません。まだ何か足りないでしょうか?
システムの復元、IEのバージョンupには失敗しました。MEです
>>307 &
>>315 自分はスレ違いでそういったことはセキュ板に任せればいいかなと、
思っていたのだが。なるほど。。。
確かに予防策がきっちり出来ていれば、
ここに困って駆け込んでくる人間も少なくなる。
予防策用だけのテンプレがあってもいいのかも知れないね。
SpybotSD(免疫)+SpywareBlaster+IE-SPYADでの予防とか、
ブラウザMozillaかOperaの導入。ウイルス対策やFWの説明とか。(etc
320 :
前スレ877 :04/06/02 01:18 ID:A5li02Ud
>>304 えっとレジストリの修正とは…とりあえずsafeモードじゃないけど
その駆除方法通りにファイルを削除してみろってことでしょうか?
少し不安なのでアドバイスお願いします…
322 :
ひよこ名無しさん :04/06/02 01:35 ID:js9HAjjW
すいません、パソコンを起動又は再起動すると必ず penis exe がありません!みたいな警告が毎回でてきます。かなりうざい・・・ ノートン2004入れてウイルスは削除したつもりなんですが。 ちなみにパソコンはアス論2500のショぷブランドです。 これの消し方をお教えてください。(´・ω・`)
>>322 どうもお前は、本当にわかっていないようだな。
ウィルスとして検知されるのは、Temporary Internet Filesに読み込まれた時、
大抵はActiveXのインストールファイルの複合型だから、この段階では削除しなくても、ただのごみファイル。
この先、スクリプトが実行されて、%USERPROFILE%\Tempに送り込まれる。
この段階でもまだ、ごみファイルだ。
324 :
199 :04/06/02 01:52 ID:???
>>320 >>199 のマイナーバージョンアップ版…
■greatsearch.biz、jksearch.biz などに飛ばされるハイジャッカー対策(v2.1)■
レジストリを修正(悪プログラムの自動起動を止める)→OS再起動(悪プロセスを
停止する)→悪本体ファイルを削除…という手順になる。
★感染確認
スタート→ファイル名を指定して実行→regedit
レジストリエディタを起動したら左窓で順次ツリーを開いて以下のキーを開く。
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\shellServiceObjectDelayLoad"
ここに"system"というエントリができていれば感染している。
★駆除方法
1)system エントリのCLSIDの値をメモする。(メモ帳にコピペして.txtファイルで保存しておく)
(例) System = {362A19F1-EA5D-4733-8292-58DECE98C0BC} ←この{ }内の英数字
2)System 項目をレジストリエディタで選択→右クリック→削除。
HKEY_CLASSES_ROOT\CLSID\にもこの値が登録されているので問題のCLSIDの値で検索し、
同様に削除。 (左窓でHKEY_CLASSES_ROOT\CLSID\を選択反転→メニュー→編集→検索)
3)Hijackthisでスキャン→R1〜R3 -Internet Explorerのスタートページやサーチページの値→
後からどうにでもできるから、見覚えないもの、分からないものは全部削除
4)IEのホーム、検索ページを標準に戻す→ツール→インターネットオプション→プログラム→
WEB設定のリセット
IEの履歴削除→ツール→インターネットオプション→全般→インターネット一時ファイル→
クッキーの削除+ファイルの削除
5)OS再起動
6)本体ファイル↓を削除
C:\WINDOWS\system32\system32.dll / C:\WINDOWS\system.exe
5)念のためCWShredder、Ad-aware、Spybot SDv1.3で再スキャン。
>>4 6)
>>276 見てOperaかFirefox入れる。IEで怪しいサイトに行かない。
325 :
199 :04/06/02 02:04 ID:???
>>320 書き忘れたけど、あくまでIE6SP1での話な。
327 :
199 :04/06/02 02:21 ID:???
329 :
263 :04/06/02 02:35 ID:9fh1Bw6O
>>274 とりあえず、ググってたら、regedit.exeをregedit.comにすれば起動するってので
起動する事は出来たのですが…
でもCurrentVersion\shellServiceObjectDelayLoadに
systemってのが無いけど、相変わらずsearch for...が出てしまいます…
C:\WINDOWS\system32\system32.dll / C:\WINDOWS\system.exe
いずれも検索されず…
>>200 (同様にsystem無い様だし)と同じ現象のような気がするけど被害数がまだ少ない亜種なのかな…
330 :
292 :04/06/02 02:53 ID:QJLuypZk
>292 レジストリにまだ残っていると思うよ
332 :
292 :04/06/02 03:03 ID:QJLuypZk
>>331 まだ残ってますよね…どれがその原因なのやら全くわからないんですよ
記載されている以外の何かが引っかかっているようで
334 :
292 :04/06/02 03:13 ID:QJLuypZk
>>333 すみませんありがとうございます。
これもやってみます。
336 :
ひよこ名無しさん :04/06/02 09:23 ID:/p/8++UZ
本日は例の小学生女児殺人事件の影響で 怪しげなURLに飛ばされ変なスパイウエアを食らった被害者が 続出するものと思われます。
あれ?今日は曜日を告げるコピペスクリプト働いてない??? なんか悲しいな。。。
水 曜 日
339 :
ひよこ名無しさん :04/06/02 16:33 ID:DhbppgG5
The page you are trying to visit has generated an error. って出るんですが どうすればいいですか
340 :
ひよこ名無しさん :04/06/02 16:40 ID:LaungBsf
直せばいいと思うよ
341 :
ひよこ名無しさん :04/06/02 16:56 ID:DhbppgG5
342 :
ひよこ名無しさん :04/06/02 17:19 ID:LaungBsf
>>341 どうやってもだめなんなら
どうしようもありません。
343 :
ひよこ名無しさん :04/06/02 17:27 ID:DhbppgG5
モウダメポ..._〆(゚▽゚*)
>>339 エロサイト見たら助けてくださいスレ読んで色々試してみな
346 :
前スレ877 :04/06/02 18:00 ID:A5li02Ud
>>324 丁寧にレスありがとうございます。
結果から言わしてもらうと、実行してみたところ、何も変わりません…
>292さんと全く同じ状態です。ほんとに殺意らしきものが芽生えてきた…
3)Hijackthisでスキャン→R1〜R3 -Internet Explorerのスタートページやサーチページの値→
後からどうにでもできるから、見覚えないもの、分からないものは全部削除
これはHijackしたあとに、先頭にR3のつくものがあったのでそれを消したぐらいなのですが
-Internet Explorerのスタートページやサーチページの値というのは何のことでしょうか?
>>前スレの877
確か前スレの877さんのやつは、Hijackthisのログに出ないやつじゃなかったっけ?
その場合Hijackthisではダメで「regedit」を使ってプロセスの根本を一時的に終了、
原因となっているexeの削除の順に実行しないとだめなはず。
regeditの使い方をまずは落ち着いて覚えて、
それを使って
>>324 さんのやつを実行してみて。
>>346 ごめん聞いてることと答えてること間違えてました。
Hijackthisを使ったときに現れる
R3 - URLSearchHook: SearchHookObject Class - {FD9BC004-8331-4457-B830-4759FF704C22} - C:\WINDOWS\APPLICATION
(上は例)エントリーの中で、全く自分が使った覚えのないエントリ全般の削除ということだね。
R1〜R3で始まるエントリーは特に重要なものは無かったような気がします。
後でなんとかなるので取り合えず全てoffにしておいて、
完全に修理してからもう一度必要ならインストールの方向で進めたほうがいいかと思います。
ブラクラ踏んだら、htmlファイルがノートパッドで開けなくなりました(´・ω・`) どうすればよいでしょうか?
窓から投げ捨てろ
351 :
ひよこ名無しさん :04/06/02 19:08 ID:yIDhExBQ
352 :
ひよこ名無しさん :04/06/02 19:09 ID:fyjJPPC+
hijack試してみましたがどれを削除すればいいのか分かりません。。。 どなたか教えてください。お願いします。 ここに貼っていいでしょうか?
353 :
ひよこ名無しさん :04/06/02 19:10 ID:+P+aD7OF
355 :
ひよこ名無しさん :04/06/02 19:25 ID:yIDhExBQ
336 名前:ひよこ名無しさん[] 投稿日:04/06/02 09:23 ID:/p/8++UZ 本日は例の小学生女児殺人事件の影響で 怪しげなURLに飛ばされ変なスパイウエアを食らった被害者が 続出するものと思われます。
腕のいい地雷師がいればね。
357 :
353 :04/06/02 19:40 ID:+P+aD7OF
358 :
ひよこ名無しさん :04/06/02 19:58 ID:PgFbfJau
359 :
358 :04/06/02 20:11 ID:PgFbfJau
同人誌のサイトみてたんですけど、たまに画像が全部表示されず、途切れてしまうことがあります。 どうしたらいいですか?
362 :
358 :04/06/02 20:22 ID:PgFbfJau
363 :
361 :04/06/02 20:30 ID:???
>>358 今、開いてみたけどスパイウエアみたいだね
再起動したらIEのHPがエロサイトに変わっていたり
変なサーチバーが出来たりエロPOPが出てきたりする可能性あり。
364 :
358 :04/06/02 20:37 ID:PgFbfJau
>>363 どうもです。その辺は自分も確認しました。自分が飛んできたスレッドで
国際電話に書き換えられてエライことになるとかウイルスがどうとかでてたので
気になってしまって・・・。
スパイウェアへの対処が必要なのは理解していますが、上記アドレスからの
ウイルス感染はないですよね?それが気がかりで・・・。
365 :
361 :04/06/02 20:41 ID:???
>>358 当方はOPERA7.5で開いたんだけどツールバーを消されました。
OPERAでツールバーを消されたのはこれが始めて。
CACHEのはウイルスは入ってなかったけどこれからウイルススキャン。
開いてしまったことを後悔中。
366 :
358 :04/06/02 20:44 ID:PgFbfJau
>>365 迷惑かけてしまってすみません。迷惑ついでにスキャン結果を教えて頂けないでしょうか?
一応自分もやってるんですが少し時間が掛かりそうで・・・。
>>366 "EPSystems DialerMaker"というスパイウエア。
ウイルス反応はなかった。
IEでしたべて結果。
( ´,_ゝ`)プッ
369 :
358 :04/06/02 20:48 ID:PgFbfJau
370 :
361 :04/06/02 21:06 ID:???
>>358 ウイルスバスタ2004でスキャン→ウイルス検出されず。
念のため再起動→異常なし。
OPERA7.5の消されたツールバーはブラウザ再起動で復旧
今のところはこんなとこです。
371 :
358 :04/06/02 21:11 ID:PgFbfJau
>>370 どうもです。自分もどっかで拾ったトロイの木馬がでた以外は特に検出されません
でした。
>>367 訂正、IEでしたべた → IEで調べた
ついでに。。。スパイウエアの捕獲方法(自己流)
使うものIrvineとIE。
Irvineのオプション設定>ブラウザ>監視する拡張子に
思いつく限りの拡張子を登録する(今回はcabでget)
登録時に確認するon、キャンセルしたURLはブラウザで開くoff(発動防止のため)
ブラウザ監視をonにIEで直に踏んでDLする(スパイget)
あとは、DLフォルダのみをAd-aware(圧縮も調べるon)でスキャンし名前を調べる。
今回のはActivXをふむとtemp内のcax.cabが実行されるタイプで可能。
もちろん素人にはおすすめできないワナ(w
>>371 ここトロイ反応なっかたようだけど。(NAV2003で踏んだ)
373 :
358 :04/06/02 21:22 ID:PgFbfJau
>>372 どうもです。
つかトロイは以前違うとこで拾ったものと思われます。なんとなくどこで拾った
かも分かります。なんか紛らわしい書き方してすみません。
374 :
361 :04/06/02 21:49 ID:???
>>372 勉強になりました
そいじゃ落ちます ノシ
375 :
ひよこ名無しさん :04/06/02 21:50 ID:AxGF/BHY
パンダスキャン遅せーーーーー!!!!!
助けてほしくてきたんだけどテンプレ見たら解決した おまいら最高ですね
素晴らしいテンプレのおかげで無事解決しました。
>>358 Opera6.06(JavaVM無し、JavaスクリプトOFF)で踏んだけど問題なし。
+ . .. :.... .. .. .
+ .. . .. . +..
.. :.. __ ..
.|: |
.|: |
.(二二X二二O
|: | ..:+ ..
∧∧ |: |
/⌒ヽ),_|; |,_,, さようなら
>>381 _,_,_,_,,〜(,, );;;;:;:;;;;:::ヽ,、 君のことは忘れない・・・
"" """""""",, ""/; 安らかに眠れ
"" ,,, """ ""/:;;
"" ,,""""" /;;;::;;
384 :
378 :04/06/02 23:53 ID:???
ちなみにJavaスクリプトはOnで行った Javaは入ってない
385 :
292 :04/06/03 00:14 ID:oBr/8rwO
今の自分に出来ることはやりましたがダメでした…_| ̄|○
>>3 は、システムの復元以外やりました。
あと勝手に追加されたアプリは分からないのでやってません。
CoolWebShredder、Ad-Aware、Spybotもやりました。
safeモードでもやりました。
HijackThisを使ってsecure系の怪しいものを分かるだけ除外しました。
大変申し訳ないんですがHijackThisのログを診断してもらえませんか?
387 :
292 :04/06/03 00:34 ID:oBr/8rwO
ちょっとー! ニュース板の長崎の事件スレにイパーイ貼ってあるじゃない!
390 :
ひよこ名無しさん :04/06/03 01:19 ID:Pn6lV1MZ
391 :
ひよこ名無しさん :04/06/03 02:55 ID:IyVTDoFb
ウイルス関連質問スレッドの45です。案内を受け質問に来ました。 すいません助けてください。実況で変なアドレス踏んでしまって不具合生じてます。 1、IE立ち上げると//www.coolsearch.biz/に飛ばされる。 2、インターネットオプションで戻しても駄目。 3、IEのアドレスバーの下にsearch〜など変なアイコンが一列出る。 4、下のツールバーにやはりsearch〜とでる。 5、仮想メモリ最小値が低すぎる、と出る デスクトップに特に変なアイコンもなくスタートメニューにも見当たりません。 ノートンアンチウィルスでも検出されません。 >11のSYSTEMの値、というものも見当たりません。 いったいどうしたら・・・すいません。どうか助けてください。よろしくお願いします。
さすがプロの地雷師はいい仕事するなw
___ __| |_|__ |__ __|_| / (,,゚Д゚)つ / (ノ \\ / /|_|\ \\  ̄ ̄ し`J  ̄ ̄ ̄ .________ | .|. ヨ.|ヨ.|___| | ロ |. ニ ニ∧∧ | ロ |ノ ノ_/ (,,゚Д゚) |_._|_|.ロ iニ(ノ |) |.ロ iニi___|  ̄ ̄ し`J _______ | .___ | | | |__| | | | .__ (,,゚Д゚) | |__|(/ |) |____|_| し`J
>>395 の 7)のURL踏んでみました。
1.フリーズ。おそらく大量の画像が表示されるハズ
2.KILLXPPOUPSという全く関係ないサイトが表示される
3.ソースをみる限りウィルスかブラクラ
398 :
ひよこ名無しさん :04/06/03 05:16 ID:S9jXvIXX
インターネットエクスプローラーが開けず、強制終了させられてしまうように なってしまいました。詳細を見てみると、EXPLORER の表示違反 と 出ます。解決法をご存知の方、教えてください。お願いします
399 :
ひよこ名無しさん :04/06/03 07:14 ID:5mm+X9hB
IEの「お気に入り」を オペラに移動できますか? あとIEのホームに当たるボタンって オペラには無いんですか?
400 :
361 :04/06/03 07:29 ID:???
うん出来るしあるね。
402 :
ひよこ名無しさん :04/06/03 07:47 ID:13rZUBon
なぜ会社のパソで? なぜで他の人が踏む事を考えずにブラクラリンクを張る? それでいてタスケテなんて虫が良すぎ
>>402 そこはただのブラクラじゃなくてスパイウエアを食らわす超悪質なところです。
もちろんウイルスもついてます。
>>402 JAVA_BYTEVER.A
HTML_REDIR.A
HTML_AGENT.K
VBS_ZEROLIN.A
JAVA_BYTEVER.A-1
釣りなら怒るぞ!
406 :
ひよこ名無しさん :04/06/03 09:00 ID:+lUjp3P/
釣りか
>>406 IDが3Pってあんた・・・
(;´Д`)ハァハァ
409 :
血が止まらねぇよぉ :04/06/03 09:26 ID:igsb5fMT
>>406 私も踏みました><
どうやらHDを破壊するトロイのようです。
私は今別PCでやってるから大丈夫なのですが
そのまま起動しているとそのうちOSも食われてWINDOWS自体が表示されなくなります。(以前もくらったトホホ)
セーフモードにすれば有効ですか?
このコピペよく見かける 踏んだらやっかいですね
411 :
406 :04/06/03 09:37 ID:wpicwiFH
>>409 セーフモードでもネットワーク全般がダメです。
ネットに繋ぐと「ページが表示されません」になるし、
業務のためのローカルネットは「データベースに接続できません」に
なってしまいます。こりゃもうホントにダメですかねぇ。
あと、決定的なのが私が初心者に近いところ。
ちなみに今は別なPCでカキコしてます。
>>409 様・>>ALL様 何卒助言お願い致します。
412 :
血が止まらねぇよぉ :
04/06/03 09:41 ID:igsb5fMT >>411 セーフモード中ならHDの浸食は停止できますか?