エロサイト見てたら…助けてください! part30
エロサイトに限らずWEBを見て回ってたらブラウザ乗っ取られて大変なことに…
いったいどうしたらいいの? って人のためのスレッドです。
▼━質問のしかた ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
・ E-mail欄(省略可) には何も記入しないこと。(ID出す→偽者対策・質問者の区別)
・ 2回目以降の書込は、名前欄に最初に質問した際の「発言番号」を入力すること
・ 他のスレから誘導された場合は、その旨書く。同時質問(マルチポスト)は厳禁
・ OSの種類(必須)、ブラウザ、セキュ関係ソフトの有無、やってみたことを明記
1) このスレのテンプレは★まとめサイト
http://haiiro.info/my/text/template.html が見やすいです。(セキュリティ関係の情報サイト「スターマジック」の「はいいろ」
さんのご好意で作成されています。感謝。リンク集も充実してます)
2) まず「まとめサイト」の★応急処置できるとこまでやってみてください。Me/XPの
人は★応急処置「システムの復元」を試してください。いきなり教えて君はネタ回答
食う可能性大w
3) 迷惑ソフトはまず「プログラム(アプリケーション)の追加と削除」からアンインスト
できないか確認。迷惑画面に★uninstallとか★removal instructionsというリンクが
貼られていたらダメもとで試してみましょう。
4) ★重要★IEの部品を利用しないブラウザを利用するとハイジャックや強制ダウンロード
などほとんどのトラブルが防げます。
Opera7.5(最新版)
http://download.opera.com/ Opera7.5 日本語ファイル
http://my.opera.com/community/customize/langs/ Operaをinstallしたフォルダへdownload→OperaのmenuのTools→
Preferences→ Languages→ User Interface Languageでchooseボタンを押し、
downloadしたja_7818.lngを選択→OK
Firefox
http://jt.mozilla.gr.jp/products/firefox/ ←窓左上のWindows-日本語版
5) ★Windows Updateも必須
http://v4.windowsupdate.microsoft.com/ja/default.asp 6) テンプレを変造した危険なリンクに注意。cgi, php, htm, html など実行可能なリンク、
nu, ru, tv, wsのような地域、img-box、galleryなどの公共ファイル置場は地雷多し
■流行中のハイジャッカーjksearch.biz対策
★症状:IEのホームページが以下のようなエロ系サーチサイトに固定される。
http:// greatsearch.biz/
http:// jksearch.biz/redir.php
http:// cashsearch.biz/redir.php
http:// 213.159.117.130/cgi-bin/index.cgi?c=1
★HijackThisでログを取っても異常が現れない。
★ハイジャッカーの本体はCWSearchの亜種。ただしHijackthisがスキャンしない
レジストリ項目 shellServiceObjectDelayLoadに巣食うので駆除が面倒。
http://higaitaisaku.web.infoseek.co.jp/removesearchbiz.html 被害対策のページ↑は初心者でも確実に駆除できるよう各種ツールを利用しているが、
ここではもう少し簡略な手動駆除方法を紹介。
★感染確認
スタート→ファイル名を指定して実行→regedit
レジストリエディタを起動したら左窓で順次ツリーを開いて以下のキーを開く。
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\shellServiceObjectDelayLoad"
ここに"system"というエントリができていれば感染している。
★駆除方法
1)system エントリのCLSIDの値をメモする。(メモ帳にコピペして.txtファイルで保存しておく)
(例) System = {362A19F1-EA5D-4733-8292-58DECE98C0BC} ←この{ }内の英数字
2)System 項目をレジストリエディタで選択→右クリック→削除。
HKEY_CLASSES_ROOT\CLSID\にもこの値が登録されているので問題のCLSIDの値で検索し、
同様に削除。 (左窓でHKEY_CLASSES_ROOT\CLSID\を選択反転→メニュー→編集→検索)
3)Hijackthisでスキャン→R1〜R3 -Internet Explorerのスタートページやサーチページの値→
後からどうにでもできるから、見覚えないもの、分からないものは全部削除
4)IEのホーム、検索ページを標準に戻す→ツール→インターネットオプション→プログラム→
WEB設定のリセット IEの履歴削除→ツール→インターネットオプション→全般→インターネット
一時ファイル→クッキーの削除+ファイルの削除→OS再起動
5)本体ファイル↓を削除
C:\WINDOWS\system32\system32.dll / C:\WINDOWS\system.exe
おいこそがラッキー7
●まず、デスクトップに新しいフォルダを作る。
デスクトップ上の何も無い場所を右クリック「新規作成」→「フォルダ」を左クリック
名前をつける、Hijackthisなど(適当な名前でよい)。
http://higaitaisaku.web.infoseek.co.jp/HijackThis.exe 「保存」を押すと、保存先を聞かれる。
保存先には、先ほど作成した新しいフォルダを指定する。
●Hijackthis以外の窓を全部閉じる
Main画面でSCAN→SCANボタンがSave Logボタンに変わる→ボタンを押す→
Highjackthisが存在するディレクトリを選んで実行→ログファイルが作成されメモ帖で開かれる。
このログを貼り付ける。
●コントロールパネルの「アプリケーションの追加と削除」(Win XPの場合)「プログラムの追加と削除」に怪しいものがあったら書く。(重要)
●ウィルススキャンの結果も必ず書くこと。
ウイルスバスターオンラインスキャン
http://www.trendmicro.co.jp/hcall/index.asp *************やさしい鑑定人さんが来るまで気長に待つ************
エロい人かもーん♪
13 :
ひよこ名無しさん:04/06/27 21:43 ID:pdzomv8M
■流行中のハイジャッカー対策 about:blank、search for型
症状:IEのホームページの設定がabout:blank(空白)であるにもかかわらず、CoolWebSearch系
のsearchexe.comや、search for…と表示されるサイトに飛ばされる。
「被害対策」に詳しい専用ページ↓があるが、詳しすぎて初心者は息切れしそうなのでw
「解説の解説」をしておく。
http://higaitaisaku.web.infoseek.co.jp/removeaboutblank.html 「レジストリのAppInit_dllsという値の削除」と、「悪サイトの画面のソースコードを解読して
悪ファイル本体を探す」というのがポイント。
1 《応急処置》
>>3をまず実行。特にWEB設定のリセットを確実に。
2 レジストリのAppInit_dllsキーの削除→ここには悪以外存在しないので問答無用で削除。
キー名称:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
レジストリエディタでこのキーを開く。右側窓でAppInit_dllsを選択、削除。もし削除が拒否
されたときは、左側窓で\Windowsというキー名称をWindows2などに変更してからAppInit_dlls
を削除→Windows2を元のWindowsに戻す→Windows再起動
詳しいことは→
http://higaitaisaku.web.infoseek.co.jp/appinitdlls.html 3 about:blankで「Search For...」に飛ばされる場合、悪ファイルの素性が画面ソースのなかに
エンコードされているので、解読して削除する。
方法:Search for画面の適当な場所を右クリック→「ソースの表示」をクリック→
メモ帳が開く→ <!-- saved from url=res:// エンコードされた文字列>という部分をコピー
(エンコード文字列の例)
<!-- saved from url=res://%43%3a%5c%57%49%4e%44%4f%57%53%5c%53%59%53%54%45%4d%5c%47%49%4e%43%4e%45%41%2e%44%4c%4c/%73%70%2e%68%74%6d%6c --> ←"<" から ">" までコピーする
→コピーした文字列を
http://higaitaisaku.web.infoseek.co.jp/aboutblankdetector.html このページに貼り付けてDecode Thisボタンを押して解読→悪ファイルの名称と位置がわかる
→Windowsをセーフモードで(F8連打して)起動して見つかったファイルを削除する→(゚д゚)ウマー
4 Windowsを再起動、念のため《応急処置》をもう一度実行する。