エロサイト見てたら…助けてください! part30

このエントリーをはてなブックマークに追加
1ひよこ名無しさん
エロサイトに限らずWEBを見て回ってたらブラウザ乗っ取られて大変なことに…
いったいどうしたらいいの? って人のためのスレッドです。

▼━質問のしかた ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 ・ E-mail欄(省略可) には何も記入しないこと。(ID出す→偽者対策・質問者の区別)
 ・ 2回目以降の書込は、名前欄に最初に質問した際の「発言番号」を入力すること
 ・ 他のスレから誘導された場合は、その旨書く。同時質問(マルチポスト)は厳禁
 ・ OSの種類(必須)、ブラウザ、セキュ関係ソフトの有無、やってみたことを明記

1) このスレのテンプレは★まとめサイト http://haiiro.info/my/text/template.html
 が見やすいです。(セキュリティ関係の情報サイト「スターマジック」の「はいいろ」
 さんのご好意で作成されています。感謝。リンク集も充実してます)
2) まず「まとめサイト」の★応急処置できるとこまでやってみてください。Me/XPの
 人は★応急処置「システムの復元」を試してください。いきなり教えて君はネタ回答
 食う可能性大w
3) 迷惑ソフトはまず「プログラム(アプリケーション)の追加と削除」からアンインスト
 できないか確認。迷惑画面に★uninstallとか★removal instructionsというリンクが
 貼られていたらダメもとで試してみましょう。
4) ★重要★IEの部品を利用しないブラウザを利用するとハイジャックや強制ダウンロード
  などほとんどのトラブルが防げます。
 Opera7.5(最新版) http://download.opera.com/
  Opera7.5 日本語ファイル http://my.opera.com/community/customize/langs/
  Operaをinstallしたフォルダへdownload→OperaのmenuのTools→
  Preferences→ Languages→ User Interface Languageでchooseボタンを押し、
  downloadしたja_7818.lngを選択→OK
 Firefox http://jt.mozilla.gr.jp/products/firefox/ ←窓左上のWindows-日本語版
5) ★Windows Updateも必須  http://v4.windowsupdate.microsoft.com/ja/default.asp
6) テンプレを変造した危険なリンクに注意。cgi, php, htm, html など実行可能なリンク、
  nu, ru, tv, wsのような地域、img-box、galleryなどの公共ファイル置場は地雷多し
2ひよこ名無しさん:04/06/27 21:35 ID:???
●.....●..●..●...●●..●●...●●..●●●....●●●●..●●.....●●●..●..●

無料のウイルス対策ソフトなどのセキュリティソフト一覧
http://www.geocities.co.jp/SiliconValley-Cupertino/2010/security.html

●.●.●.●..●...●●.●..●●.●●......●..●●...●●...●●●.....●.●...●


3ひよこ名無しさん:04/06/27 21:36 ID:???
《応急処置》
WEB見ててブラウザが変になったらとりあえず以下を実行。ブラクラ、ジョークソフト、
ブラウザジャッカー、スパイウェアなどの迷惑ソフトの8割はこれで撃退できますよん。

1) 閉じない窓を強制的に閉じる→alt+F4
2) IEのホーム、検索ページを標準に戻す→ツール→インターネットオプション→
  プログラム→WEB設定のリセット(作業中頻繁に実行してください。無限ループ防止)
3)IEの履歴削除→ツール→インターネットオプション→全般→インターネット
  一時ファイル→クッキーの削除+ファイルの削除
4) 削除したいファイルがあるが「アクセスできません。使用中です」とかいわれて
  削除できない→セーフモード(F8を連打)でOSを起動→削除→OS再起動
5) 勝手に追加されたアプリをアンインストする→スタート→コントロールパネル→
  アプリケーションの追加と削除→OS再起動
6)Me/XPの場合「システムの復元」を試してください。正常な状態に復帰できるかも。
 [スタート]→[すべてのプログラム]→[アクセサリ]→[システム ツール]
  →[システムの復元]
 復元フォルダに悪プログラムが残ったままになるのでアンチウィールスのスキャン
 で警告が出たり、うっかり再度復元して緊急事態に逆戻りしたりに注意。また復元
 ポイントは日付の古いほうから順に消えていきます。正常なポイントがどれだったか
 紙にメモ取るなりして管理しときましょう。
7) 定番駆除ツールで駆除  a)→b)→c)の順に実行してください。
 a)CoolWebShredder 他のツールで駆除しにくいブラウザジャッカーCoolWebSearch
  専用の駆除ツールです。まずこれから実行。
  http://higaitaisaku.web.infoseek.co.jp/removecws.html#jyokyo 
  本家 http://www.spywareinfo.com/~merijn/downloads.html(更新頻度高)
 b) Ad-Aware http://www.lavasoftusa.com/ (更新頻度高)
 c) Spybot-S&D http://www.safer-networking.org/ (最新版 v1.3)
8)「助けて」状態が一段落したらWindows Updateでセキュ穴を埋めておきましょう。
  http://v4.windowsupdate.microsoft.com/ja/default.asp

4ひよこ名無しさん:04/06/27 21:36 ID:???
《ブラウザハイジャッカーと戦うときの必須ツール》
レジストリのスキャンと修復ツール Hijackthis
 http://higaitaisaku.web.infoseek.co.jp/HijackThis.exe 
日本語解説 http://higaitaisaku.web.infoseek.co.jp/hijackthis.html (詳しい)
入門チュートリアル http://haiiro.info/my/text/template.html#5 (簡易版)

《アンチスパイソフト》
■CWShredder CoolWebSearch専用駆除ソフト 更新:高
  本家 ttp://www.spywareinfo.com/~merijn/downloads.html
■Ad-aware 6.1 スキャン、駆除 非常駐(有料版は常駐監視機能あり)
  本家 ttp://www.lavasoftusa.com/ 更新:高 
  オリジナルの使用法 http://higaitaisaku.web.infoseek.co.jp/adaware.html
  日本語化使用法 http://www.dream-seed.com/server/spy.html 
■Spybot Search&Destroy 1.3 常駐機能あり・スキャン、削除、予防 更新:低
  本家 ttp://www.safer-networking.org/ 更新:低 日本語対応済み
  1.3新機能対応使用法 http://higaitaisaku.web.infoseek.co.jp/spybot2.html
 -----3大定番は必ずインストールして、最新版にアップデートしておこう------

■SpyywareBlaster 2.6.1 予防 ☆更新頻度:中
■SpywareGuard 2.2.0 常駐・予防 ☆更新頻度:低
■MRU-Blaster 1.5 各種履歴キャッシュ・クッキー削除。常駐 頻度:低
 以上3種類本家 ttp://www.javacoolsoftware.com/index.html
■各種フリーウェア日本語化パッチ配布所(Ad-aware 6.0 Build181 日本語化ツール
 SpywareBlaster 日本語化、SpywareGuard 日本語ヘルプ など)
 http://bdc.s15.xrea.com/index.php?option=com_remository&Itemid=59&func=selectfolder&filecatid=1
■IE-SPYAD  IEの制限ゾーンに危険サイトを一括登録  頻度:高
 本家 ttp://www.staff.uiuc.edu/~ehowes/resource.htm
 IE-SPYAD導入の手引き(日本語解説ページ)
 http://www.geocities.jp/ie_spyad_japanese_manual/index.html
 専用スレ http://pc.2ch.net/test/read.cgi/sec/1076041687/

5ひよこ名無しさん:04/06/27 21:37 ID:???
《その他リンク集》
■ウィルス関係はこちら↓
ウィルス情報&質問 総合スレッド☆Part20
http://pc5.2ch.net/test/read.cgi/sec/1086098775/
■その他セキュリティ関係の質問は↓
 セキュリティ初心者質問スレッドpart43
http://pc5.2ch.net/test/read.cgi/sec/1087093973/
■アダルトサイト被害対策の部屋
 http://higaitaisaku.web.infoseek.co.jp/
 定番老舗サイト。Hijackthis、その他ツールの使い方が詳しい。質問掲示板あり
■架空請求、ダイヤルQ2、国際電話、罠サイトなどのトラブルはここらで相談。
【Mail・葉書】総合スレッドPartW【架空請求】
http://that3.2ch.net/test/read.cgi/bouhan/1086362147/
  アダルトサイト対策の部屋
   http://www002.upp.so-net.ne.jp/dalk/higai24.html
  「被害対策の部屋」とは別サイト。有料エロサイト関係のトラブル対策
■国際電話・ダイヤルQ2関連
  http://www.ntt-east.co.jp/q2/ NTT東日本 ダイヤルQ2サービス
  http://www.ntt-west.co.jp/q2/ NTT西日本 ダイヤルQ2サービス
   ダイヤルQ2接続チェックプログラムもここからダウンロードできます。
 http://www.emurasoft.com/jp/chintcal/index.htm      No! 国際電話
 http://mitsu98.fc2web.com/bbs/index2.html         Dial Saver
 http://www.kddi.com/topics/atx/image.html         ダイヤルアップチェッカー
■バナー・ブラクラ対策
 http://homepage3.nifty.com/hayazo/myprg.html     ClosePopup
 http://www.proxomitron.org/                  Proxomitron(公式サイト)
 http://www.pluto.dti.ne.jp/~tengu/proxomitron/       Proxomitron(日本語解説)
 http://pc5.2ch.net/test/read.cgi/win/1084124599/l50  Proxomitron(Windows板)
 http://pc5.2ch.net/test/read.cgi/software/1060792740/l50  Proxomitron(ソフトウェア板)


6ひよこ名無しさん:04/06/27 21:37 ID:???
■流行中のハイジャッカーjksearch.biz対策
★症状:IEのホームページが以下のようなエロ系サーチサイトに固定される。
  http:// greatsearch.biz/
  http:// jksearch.biz/redir.php
  http:// cashsearch.biz/redir.php
  http:// 213.159.117.130/cgi-bin/index.cgi?c=1
★HijackThisでログを取っても異常が現れない。
★ハイジャッカーの本体はCWSearchの亜種。ただしHijackthisがスキャンしない
レジストリ項目 shellServiceObjectDelayLoadに巣食うので駆除が面倒。
http://higaitaisaku.web.infoseek.co.jp/removesearchbiz.html
被害対策のページ↑は初心者でも確実に駆除できるよう各種ツールを利用しているが、
ここではもう少し簡略な手動駆除方法を紹介。
★感染確認
スタート→ファイル名を指定して実行→regedit
レジストリエディタを起動したら左窓で順次ツリーを開いて以下のキーを開く。
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\shellServiceObjectDelayLoad"
ここに"system"というエントリができていれば感染している。
★駆除方法
1)system エントリのCLSIDの値をメモする。(メモ帳にコピペして.txtファイルで保存しておく)
 (例) System = {362A19F1-EA5D-4733-8292-58DECE98C0BC} ←この{ }内の英数字
2)System 項目をレジストリエディタで選択→右クリック→削除。
 HKEY_CLASSES_ROOT\CLSID\にもこの値が登録されているので問題のCLSIDの値で検索し、
 同様に削除。 (左窓でHKEY_CLASSES_ROOT\CLSID\を選択反転→メニュー→編集→検索)
3)Hijackthisでスキャン→R1〜R3 -Internet Explorerのスタートページやサーチページの値→
 後からどうにでもできるから、見覚えないもの、分からないものは全部削除
4)IEのホーム、検索ページを標準に戻す→ツール→インターネットオプション→プログラム→
 WEB設定のリセット  IEの履歴削除→ツール→インターネットオプション→全般→インターネット
 一時ファイル→クッキーの削除+ファイルの削除→OS再起動
5)本体ファイル↓を削除
 C:\WINDOWS\system32\system32.dll / C:\WINDOWS\system.exe
7ひよこ名無しさん:04/06/27 21:39 ID:???
おいこそがラッキー7
8ひよこ名無しさん:04/06/27 21:39 ID:???
過去ログ
part29 http://pc6.2ch.net/test/read.cgi/pcqa/1087573951/ 前スレ
part28 http://pc6.2ch.net/test/read.cgi/pcqa/1086932629/
part27 http://pc6.2ch.net/test/read.cgi/pcqa/1086459144/
part26 http://pc6.2ch.net/test/read.cgi/pcqa/1085884342/
part25 http://pc5.2ch.net/test/read.cgi/pcqa/1085408554/
part24 http://pc5.2ch.net/test/read.cgi/pcqa/1084800180/
part23 http://pc5.2ch.net/test/read.cgi/pcqa/1083768109/
part22 http://pc5.2ch.net/test/read.cgi/pcqa/1083241874/
part21 http://pc5.2ch.net/test/read.cgi/pcqa/1082454987/
part20 http://pc5.2ch.net/test/read.cgi/pcqa/1081541559/
Part19 http://pc5.2ch.net/test/read.cgi/pcqa/1079883028/
Part18 http://pc2.2ch.net/test/read.cgi/pcqa/1077184761/
Part17 http://pc2.2ch.net/test/read.cgi/pcqa/1074003703/
Part16 http://pc5.2ch.net/pcqa/kako/1070/10709/1070987138.html
Part15 http://pc5.2ch.net/pcqa/kako/1067/10676/1067657959.html
Part14 http://pc5.2ch.net/pcqa/kako/1063/10634/1063426852.html
Part13 http://pc5.2ch.net/pcqa/kako/1057/10575/1057575418.html
Part12 http://pc5.2ch.net/pcqa/kako/1052/10529/1052909722.html
Part11 http://pc5.2ch.net/pcqa/kako/1047/10473/1047359426.html
Part10 http://pc5.2ch.net/pcqa/kako/1043/10439/1043963296.html
Part9  http://pc5.2ch.net/pcqa/kako/1041/10415/1041587359.html
Part8  http://pc.2ch.net/pcqa/kako/1038/10380/1038097140.html
Part7  http://pc.2ch.net/pcqa/kako/1035/10351/1035125416.html
Part6  http://pc.2ch.net/pcqa/kako/1031/10313/1031391849.html
Part5  http://pc.2ch.net/pcqa/kako/1027/10273/1027339934.html
Part4  http://pc.2ch.net/pcqa/kako/1022/10228/1022827947.html
Part3  http://pc.2ch.net/pcqa/kako/1019/10191/1019182804.html
Part2  http://pc.2ch.net/pcqa/kako/1016/10168/1016896969.html
Part1  http://pc.2ch.net/pcqa/kako/988/988993220.html
9ひよこ名無しさん:04/06/27 21:40 ID:???
     ●【緊急】 早く治したい方は以下を実行して下さい 【処置】●

   WEB設定のリセットは、こまめに実行しましょう(無限ループ防止の為) 

1)  IEのホーム、検索ページを標準に戻す→ツール→インターネットオプション→
   プログラム→WEB設定のリセット

2) IEの履歴削除→ツール→インターネットオプション→全般→インターネット
   一時ファイル→クッキーの削除+ファイルの削除

3)  削除したいファイルがあるが「アクセスできません。使用中です」等といわれて
   削除できない→セーフモード(F8を連打)でOSを起動→削除→OS再起動

4)  勝手に追加されたアプリをアンインストする→スタート→コントロールパネル→
    アプリケーションの追加と削除(JWordはここでアンインストする)→OS再起動

5)  ブラウザジャッカーCoolWebSearch駆除ツール CoolWebShredderをDL
    http://higaitaisaku.web.infoseek.co.jp/removecws.html#jyokyo →OS再起動

6) 定番スパイウェア除去ソフト↓をインストール(併用推奨)

    ・定番 スパイウェア除去ソフト Ad-Aware 使用法
     http://www.dream-seed.com/server/spy.html
    ・定番 スパイウェア除去ソフト Spybot-S&D 使用法
    http://www.dream-seed.com/pukiwiki/index.php?Windows%2FSpybot%A4%CE%BB%C8%A4%A4%CA%FD

7) Me/XPの場合「システムの復元」で正常な状態に復帰させる方法もあります。
   [スタート]→[すべてのプログラム]→[アクセサリ]→[システム ツール]
    →[システムの復元]

------以上実行してまだトラブってたら(OS種類必須)再度質問して下さい----
10ひよこ名無しさん:04/06/27 21:40 ID:???
●まず、デスクトップに新しいフォルダを作る。
デスクトップ上の何も無い場所を右クリック「新規作成」→「フォルダ」を左クリック
名前をつける、Hijackthisなど(適当な名前でよい)。
http://higaitaisaku.web.infoseek.co.jp/HijackThis.exe
「保存」を押すと、保存先を聞かれる。
保存先には、先ほど作成した新しいフォルダを指定する。

●Hijackthis以外の窓を全部閉じる
Main画面でSCAN→SCANボタンがSave Logボタンに変わる→ボタンを押す→
Highjackthisが存在するディレクトリを選んで実行→ログファイルが作成されメモ帖で開かれる。
このログを貼り付ける。

●コントロールパネルの「アプリケーションの追加と削除」(Win XPの場合)「プログラムの追加と削除」に怪しいものがあったら書く。(重要)

●ウィルススキャンの結果も必ず書くこと。

ウイルスバスターオンラインスキャン
http://www.trendmicro.co.jp/hcall/index.asp

*************やさしい鑑定人さんが来るまで気長に待つ************
11ひよこ名無しさん:04/06/27 21:41 ID:???
>>1の4)はこちらを参考に

4) ★重要★IEの部品を利用しないブラウザを利用するとハイジャックや強制ダウンロード
  などほとんどのトラブルが防げます。
 Mozilla Firefox0.9(最新版) http://jt.mozilla.gr.jp/products/firefox/
  ※Mozilla Firefox0.9 日本語版 http://www5e.biglobe.ne.jp/%7Elevel0/mozilla/jp.html#Firefox
  ダウンロードしたFirefoxSetup-0.9-jaJP-2.exeをダブルクリックでインストール
  詳しくはMozilla Firefox 0.9 (One Tree Hill) リリースノート
  http://jt.mozilla.gr.jp/products/firefox/releases/0.9.html
12ひよこ名無しさん:04/06/27 21:42 ID:???
エロい人かもーん♪
13ひよこ名無しさん:04/06/27 21:43 ID:pdzomv8M
■流行中のハイジャッカー対策 about:blank、search for型

症状:IEのホームページの設定がabout:blank(空白)であるにもかかわらず、CoolWebSearch系
のsearchexe.comや、search for…と表示されるサイトに飛ばされる。
「被害対策」に詳しい専用ページ↓があるが、詳しすぎて初心者は息切れしそうなのでw
「解説の解説」をしておく。http://higaitaisaku.web.infoseek.co.jp/removeaboutblank.html

「レジストリのAppInit_dllsという値の削除」と、「悪サイトの画面のソースコードを解読して
悪ファイル本体を探す」というのがポイント。

1 《応急処置》>>3をまず実行。特にWEB設定のリセットを確実に。
2 レジストリのAppInit_dllsキーの削除→ここには悪以外存在しないので問答無用で削除。
 キー名称:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
 レジストリエディタでこのキーを開く。右側窓でAppInit_dllsを選択、削除。もし削除が拒否
 されたときは、左側窓で\Windowsというキー名称をWindows2などに変更してからAppInit_dlls
 を削除→Windows2を元のWindowsに戻す→Windows再起動
 詳しいことは→ http://higaitaisaku.web.infoseek.co.jp/appinitdlls.html
3 about:blankで「Search For...」に飛ばされる場合、悪ファイルの素性が画面ソースのなかに
 エンコードされているので、解読して削除する。
 方法:Search for画面の適当な場所を右クリック→「ソースの表示」をクリック→
 メモ帳が開く→ <!-- saved from url=res:// エンコードされた文字列>という部分をコピー
(エンコード文字列の例)
 <!-- saved from url=res://%43%3a%5c%57%49%4e%44%4f%57%53%5c%53%59%53%54%45%4d%5c%47%49%4e%43%4e%45%41%2e%44%4c%4c/%73%70%2e%68%74%6d%6c --> ←"<" から ">" までコピーする
 →コピーした文字列をhttp://higaitaisaku.web.infoseek.co.jp/aboutblankdetector.html
 このページに貼り付けてDecode Thisボタンを押して解読→悪ファイルの名称と位置がわかる
 →Windowsをセーフモードで(F8連打して)起動して見つかったファイルを削除する→(゚д゚)ウマー
4 Windowsを再起動、念のため《応急処置》をもう一度実行する。