エロサイト見てたら…助けてください! part30
エロサイトに限らずWEBを見て回ってたらブラウザ乗っ取られて大変なことに…
いったいどうしたらいいの? って人のためのスレッドです。
▼━質問のしかた ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
・ E-mail欄(省略可) には何も記入しないこと。(ID出す→偽者対策・質問者の区別)
・ 2回目以降の書込は、名前欄に最初に質問した際の「発言番号」を入力すること
・ 他のスレから誘導された場合は、その旨書く。同時質問(マルチポスト)は厳禁
・ OSの種類(必須)、ブラウザ、セキュ関係ソフトの有無、やってみたことを明記
1) このスレのテンプレは★まとめサイト
http://haiiro.info/my/text/template.html が見やすいです。(セキュリティ関係の情報サイト「スターマジック」の「はいいろ」
さんのご好意で作成されています。感謝。リンク集も充実してます)
2) まず「まとめサイト」の★応急処置できるとこまでやってみてください。Me/XPの
人は★応急処置「システムの復元」を試してください。いきなり教えて君はネタ回答
食う可能性大w
3) 迷惑ソフトはまず「プログラム(アプリケーション)の追加と削除」からアンインスト
できないか確認。迷惑画面に★uninstallとか★removal instructionsというリンクが
貼られていたらダメもとで試してみましょう。
4) ★重要★IEの部品を利用しないブラウザを利用するとハイジャックや強制ダウンロード
などほとんどのトラブルが防げます。
Opera7.5(最新版)
http://download.opera.com/ Opera7.5 日本語ファイル
http://my.opera.com/community/customize/langs/ Operaをinstallしたフォルダへdownload→OperaのmenuのTools→
Preferences→ Languages→ User Interface Languageでchooseボタンを押し、
downloadしたja_7818.lngを選択→OK
Firefox
http://jt.mozilla.gr.jp/products/firefox/ ←窓左上のWindows-日本語版
5) ★Windows Updateも必須
http://v4.windowsupdate.microsoft.com/ja/default.asp 6) テンプレを変造した危険なリンクに注意。cgi, php, htm, html など実行可能なリンク、
nu, ru, tv, wsのような地域、img-box、galleryなどの公共ファイル置場は地雷多し
■流行中のハイジャッカーjksearch.biz対策
★症状:IEのホームページが以下のようなエロ系サーチサイトに固定される。
http:// greatsearch.biz/
http:// jksearch.biz/redir.php
http:// cashsearch.biz/redir.php
http:// 213.159.117.130/cgi-bin/index.cgi?c=1
★HijackThisでログを取っても異常が現れない。
★ハイジャッカーの本体はCWSearchの亜種。ただしHijackthisがスキャンしない
レジストリ項目 shellServiceObjectDelayLoadに巣食うので駆除が面倒。
http://higaitaisaku.web.infoseek.co.jp/removesearchbiz.html 被害対策のページ↑は初心者でも確実に駆除できるよう各種ツールを利用しているが、
ここではもう少し簡略な手動駆除方法を紹介。
★感染確認
スタート→ファイル名を指定して実行→regedit
レジストリエディタを起動したら左窓で順次ツリーを開いて以下のキーを開く。
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\shellServiceObjectDelayLoad"
ここに"system"というエントリができていれば感染している。
★駆除方法
1)system エントリのCLSIDの値をメモする。(メモ帳にコピペして.txtファイルで保存しておく)
(例) System = {362A19F1-EA5D-4733-8292-58DECE98C0BC} ←この{ }内の英数字
2)System 項目をレジストリエディタで選択→右クリック→削除。
HKEY_CLASSES_ROOT\CLSID\にもこの値が登録されているので問題のCLSIDの値で検索し、
同様に削除。 (左窓でHKEY_CLASSES_ROOT\CLSID\を選択反転→メニュー→編集→検索)
3)Hijackthisでスキャン→R1〜R3 -Internet Explorerのスタートページやサーチページの値→
後からどうにでもできるから、見覚えないもの、分からないものは全部削除
4)IEのホーム、検索ページを標準に戻す→ツール→インターネットオプション→プログラム→
WEB設定のリセット IEの履歴削除→ツール→インターネットオプション→全般→インターネット
一時ファイル→クッキーの削除+ファイルの削除→OS再起動
5)本体ファイル↓を削除
C:\WINDOWS\system32\system32.dll / C:\WINDOWS\system.exe
おいこそがラッキー7
●まず、デスクトップに新しいフォルダを作る。
デスクトップ上の何も無い場所を右クリック「新規作成」→「フォルダ」を左クリック
名前をつける、Hijackthisなど(適当な名前でよい)。
http://higaitaisaku.web.infoseek.co.jp/HijackThis.exe 「保存」を押すと、保存先を聞かれる。
保存先には、先ほど作成した新しいフォルダを指定する。
●Hijackthis以外の窓を全部閉じる
Main画面でSCAN→SCANボタンがSave Logボタンに変わる→ボタンを押す→
Highjackthisが存在するディレクトリを選んで実行→ログファイルが作成されメモ帖で開かれる。
このログを貼り付ける。
●コントロールパネルの「アプリケーションの追加と削除」(Win XPの場合)「プログラムの追加と削除」に怪しいものがあったら書く。(重要)
●ウィルススキャンの結果も必ず書くこと。
ウイルスバスターオンラインスキャン
http://www.trendmicro.co.jp/hcall/index.asp *************やさしい鑑定人さんが来るまで気長に待つ************
エロい人かもーん♪
13 :
ひよこ名無しさん:04/06/27 21:43 ID:pdzomv8M
■流行中のハイジャッカー対策 about:blank、search for型
症状:IEのホームページの設定がabout:blank(空白)であるにもかかわらず、CoolWebSearch系
のsearchexe.comや、search for…と表示されるサイトに飛ばされる。
「被害対策」に詳しい専用ページ↓があるが、詳しすぎて初心者は息切れしそうなのでw
「解説の解説」をしておく。
http://higaitaisaku.web.infoseek.co.jp/removeaboutblank.html 「レジストリのAppInit_dllsという値の削除」と、「悪サイトの画面のソースコードを解読して
悪ファイル本体を探す」というのがポイント。
1 《応急処置》
>>3をまず実行。特にWEB設定のリセットを確実に。
2 レジストリのAppInit_dllsキーの削除→ここには悪以外存在しないので問答無用で削除。
キー名称:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
レジストリエディタでこのキーを開く。右側窓でAppInit_dllsを選択、削除。もし削除が拒否
されたときは、左側窓で\Windowsというキー名称をWindows2などに変更してからAppInit_dlls
を削除→Windows2を元のWindowsに戻す→Windows再起動
詳しいことは→
http://higaitaisaku.web.infoseek.co.jp/appinitdlls.html 3 about:blankで「Search For...」に飛ばされる場合、悪ファイルの素性が画面ソースのなかに
エンコードされているので、解読して削除する。
方法:Search for画面の適当な場所を右クリック→「ソースの表示」をクリック→
メモ帳が開く→ <!-- saved from url=res:// エンコードされた文字列>という部分をコピー
(エンコード文字列の例)
<!-- saved from url=res://%43%3a%5c%57%49%4e%44%4f%57%53%5c%53%59%53%54%45%4d%5c%47%49%4e%43%4e%45%41%2e%44%4c%4c/%73%70%2e%68%74%6d%6c --> ←"<" から ">" までコピーする
→コピーした文字列を
http://higaitaisaku.web.infoseek.co.jp/aboutblankdetector.html このページに貼り付けてDecode Thisボタンを押して解読→悪ファイルの名称と位置がわかる
→Windowsをセーフモードで(F8連打して)起動して見つかったファイルを削除する→(゚д゚)ウマー
4 Windowsを再起動、念のため《応急処置》をもう一度実行する。
Opera v7.51のインストールと日本語化の手順
■v7.23以前をインストールしている場合は「アプリケーションの(プログラム)の
追加と削除」からアンインストール。(7.5からは上書きインストで問題ない)
■Opera本家から本体をダウンロード
Opera7.51(最新版)
http://www.opera.com/download/?lng=en&ver=7.51 いちばん下の赤い DOWNLOAD ボタンを押す。
■Opera本家から言語ファイルをダウンロード
http://my.opera.com/community/customize/langs/ Select Opera Version and Language ←バージョンと言語の選択ボックス
▼ボタンを押してリストを開く→Windows-7.50 Japnese(1) をそれぞれ選択→
地球儀アイコンをクリック→ja_74818.lngという日本語用言語ファイルが選択される→
Opera.exeが存在するフォルダにダウンロードする。
■Operaに日本語言語ファイルを設定
Operaを起動→OperaのメニューのTools→Preferences→ Languages→
User Interface Languageでchooseボタンを押す→ダウンロードしたja_74818.lng
を選択→OK
これでメニューは日本語で表示されるはず。念のため次の設定もしておこう。
Tools→設定→言語→「ウェブページの閲覧で優先する言語」で「追加」→
japanese(ja)選択→「上へ移動」ボタンで一番上にする→「エンコード情報が不足
しているページに使用するエンコード方法」→shift_jisを選択→適用→OK
974 名前:ひよこ名無しさん[sage] 投稿日:04/06/27 17:48 ID:???
>>972 テンプレの提案はいいが、どっかの糞スレを使えよ
まだ次スレもねーんだし、このスレが勿体ねえだろ
16 :
15:04/06/27 22:06 ID:???
スマソ。972のバカもいっしょに貼ってしまいますた。
17 :
15:04/06/27 22:07 ID:???
ちがた。バカは974だった。鬱。
(・∀・)イイヨイイヨー
20 :
ひよこ名無しさん:04/06/27 23:25 ID:Drht/o/Y
昨日からきゅうにマウス(ワイヤレス)の動きがおかしくなってしまいました
症状はマウスを数秒何もしないでいると固まってしまつて動かなくなります
5分くらいすればまた動くようになるんですが、また動かさないでいると止まってしまって
同じことの繰り返しで・・・
考えられる原因としては
1、ウイルス
2、プラクラ(前日に踏んでしまってます)
3、HDDが前日の大漁DLによる容量不足(でもまだHDD100G中残り8Gあり)
ウイルスチェックはノートン2004でした限りでは反応なしでした
どなたか同じような経験した方いませんか?
いい対処方法ないでしょうか?
> 3、HDDが前日の大漁DLによる容量不足
エロ動画捨てれ
どうせワレ厨でしょ( ゚д゚)、ペッ
25 :
ひよこ名無しさん:04/06/27 23:44 ID:TODLnUwO
まとめのページを参考にしあらゆる処置を施したのですが
まだ起動直後にエロサイトが開かれたりします。
↓をどうすれば直るのでしょうか。ご教授お願いします。
F0 - syst>m.ini: Shell=
F0 - R >ystem.ini: Shel>=
F0 - R >ystem.ini: UserInit=
O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [IrMon] IrMon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [IrDA Control] IrDongle.exe -t
O4 - HKLM\..\Run: [RemoteController] RCU.exe
O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [CMESys] "C:\PROGRAM FILES\COMMON FILES\CMEII\CMESYS.EXE"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [sr64] C:\WINDOWS\SYSTEM\SR64\PDIEENFC.EXE
>>1 Operaを入れようと思いソフトウェアの板を覗いたんですが、
7.5は人柱用との住民のレスが目立ちました。本当にそれを使っても
大丈夫ですか?
>>25 やったことも書かない、ログは一部だけを貼る
典型的な煽りレスしか貰えない輩のやることだなw
29 :
ひよこ名無しさん:04/06/28 00:19 ID:p0kCoNRF
30 :
29:04/06/28 00:20 ID:p0kCoNRF
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Roland\VSC32\vscvol.exe
C:\Program Files\Roland\VSC32\vsc32cnf.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\FinePixViewer\QuickDCF.exe
C:\Program Files\Sony\VAIO Action Setup\VAServ.exe
C:\Program Files\ChIntCal\CHINTCAL.EXE
C:\WINDOWS\System32\NDrv.exe
C:\Documents and Settings\Makoto Nakasa.YOUR-K3QY50K1M1.001\デスクトップ\Downroad\HijackThis\HijackThis.exe