エロサイト見たら・・・助けてください！Part38

1 ：ひよこ名無しさん：04/08/22 11:12 ID:fHyObY6d

エロサイトに限らずWEBを見て回ってたらブラウザ乗っ取られて大変なことに…
いったいどうしたらいいの？って人のためのスレッドです。

▼━質問のしかた ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
　・ E-mail欄(省略可) には何も記入しないこと。(ID出す→偽者対策・質問者の区別)
　・ 2回目以降の書込は、名前欄に最初に質問した際の「発言番号」を入力すること。
　・他のスレから誘導された場合は、その旨書く。(マルチポストとの区別)
　・ OSの種類、ブラウザ、セキュ関係ソフトの有無、実行結果を報告。（特にOSの種類）
　・まず、テンプレサイト（http://haiiro.info/my/text/template.html）を必ず読む。
　・テンプレサイトの補足（>>2-10あたり）を必ず読む。

▼━回答者の方へ ━━━━━━━━━━━━━━━━━━━━
　・テンプレの方法を実行せずに質問する人は、徹底放置して下さい。
　・出された指示を実行せずにレスする人は、徹底放置して下さい。
　・ HijackThisの分析から嘘が判明した場合は、徹底放置して下さい。
　・放置ができない回答者は、質問者が自作自演していると見なされます。

▼━禁止事項 ━━━━━━━━━━━━━━━━━━━
　・マルチポスト(複数の板・スレで同じことを質問)
　・情報の小出し(始めにOSやソフト名等を必ず明示)
　・違法な話題や質問(WinMX,Winny,エミュレータ等)
　・天麩羅屋　&　薮パソユーザーは立ち入り禁止。HNを変えてもダメです。
　・ Opera房立ち入り禁止。HNを変えてもダメです。またその話題も違法です。

2 ：ひよこ名無しさん：04/08/22 11:13 ID:???

質問する前に

1) 　IEのホーム、検索ページを標準に戻す→ツール→インターネットオプション→
　　プログラム→WEB設定のリセット
　　※WEB設定のリセットは、こまめに実行しましょう（無限ループ防止の為）　

2）　IEの履歴削除→ツール→インターネットオプション→全般→インターネット
　　一時ファイル→クッキーの削除+ファイルの削除

3)　削除したいファイルがあるが「アクセスできません。使用中です」等といわれて
　　削除できない→セーフモード（F8を連打）でOSを起動→削除→OS再起動

4) 　勝手に追加されたアプリをアンインストする→スタート→コントロールパネル→
　　アプリケーションの追加と削除→OS再起動

※コントロールパネルからアンインストールしなければならない主なもの
CnsMin（Jwordとかで使われてるスパイウェア）
http://higaitaisaku.web.infoseek.co.jp/removecnsmin.html
その他のコントロールパネルからアンインストールできる主なもの
http://higaitaisaku.web.infoseek.co.jp/uninstallinfo.html

※コントロールパネルからアンインストールしてはならないもの
ttp://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=217
Home Search Assistantという名前のものがコントロールパネルのアプリケーションにある場合、
もしくはres://*****.dll/index.html#96676（*****はランダム）というスタートページに固定されてしまう場合、
この場合はコントロールパネルからの削除はやらないで下さい。

3 ：ひよこ名無しさん：04/08/22 11:13 ID:???

5) アンチウィルスソフトでウィルスを除去。
　　アンチウィルスソフトを持っていない場合は、オンラインスキャンを必ず行なって除去する事。

トレンドマイクロオンラインスキャン
http://www.trendmicro.co.jp/hcall/index.asp
シマンテックセキュリティチェック
http://security.symantec.com/sscv6/home.asp?productid=symhome&langid=jp&venid=sym&close_parent=true&bhcp=1
Panda Active Scan
http://www.pandasoftware.com/activescan/jp/activescan_principal.htm

6) 　ブラウザジャッカーCoolWebSearch駆除ツール　CoolWebShredderをDL
　　 http://higaitaisaku.web.infoseek.co.jp/removecws.html#jyokyo　→OS再起動

7）　定番スパイウェア除去ソフト、Ad-awareSEとSpybotS&Dを使って除去。

Ad-awareSE　http://lavasoft.element5.com/default.shtml.ja
Ad-awareSE日本語化パッチhttp://bdc.s15.xrea.com/index.php?option=com_remository&Itemid=59&func=fileinfo&parent=folder&filecatid=9

SpybotS&D　http://www.safer-networking.org/
Spybot1.3によるスパイウェアの除去方法
http://higaitaisaku.web.infoseek.co.jp/spybot2.html

8）　Me/XPの場合「システムの復元」で正常な状態に復帰させる方法もあります。
　　　［スタート］→［すべてのプログラム］→［アクセサリ］→［システムツール］→［システムの復元］

4 ：ひよこ名無しさん：04/08/22 11:14 ID:???

5 ：ひよこ名無しさん：04/08/22 11:15 ID:???

10）テンプレを全部やったが直らない！
HijackThisのダウンロード
http://www.net-integration.net/tools/hijackthis.html
自動的に診断してくれるページがあるので、ここにログを貼って診断してみる。
http://www.hijackthis.de/index.php?langselect=english

それでも直らない場合は、このスレにHijackThisのログを貼って質問してみて下さい。

その他まとめページの主なコンテンツ
無料のアンチウィルスソフト　　http://haiiro.info/my/text/template.html#tool
Opera・FireFox（非IEブラウザ）http://haiiro.info/my/text/template.html#10
その他のリンク集・過去ログ　　http://haiiro.info/my/text/template.html#other

6 ：ひよこ名無しさん：04/08/22 11:22 ID:???

関連スレッド・関連板

防犯・詐欺対策板
http://that3.2ch.net/bouhan/

コンピュータウィルス総合スレッド VOL.40
http://pc6.2ch.net/test/read.cgi/pcqa/1092168060/
【初心者向】ウイルス対策ソフト質問スレ part3
http://pc6.2ch.net/test/read.cgi/pcqa/1086590699/
■■■■Proxomitron入門スレッド■■■■4
http://pc6.2ch.net/test/read.cgi/pcqa/1083071062/
スパイウェア゛削除゛ソフト「Ad-aware」Part14
http://pc5.2ch.net/test/read.cgi/sec/1092843146/
【雑談禁止】スパイウェア削除ソフトSpybot 15
http://pc5.2ch.net/test/read.cgi/sec/1090594050/
【分析】HijackThis【研究】
http://pc5.2ch.net/test/read.cgi/sec/1091346741/

7 ：ひよこ名無しさん：04/08/22 11:30 ID:???

>>3の補足

主なアンチウィルスソフトのサポート終了一覧
Symantec（Norton）
http://service1.symantec.com/SUPPORT/INTER/japanesecustserv.nsf/jdocid/20030919114134945?Open&src=&docid=20040206144851945&nsf=SUPPORT%5CINTER%5Cjapanesecustserv.nsf&view=jdocid&dtype=&prod=&ver=&osv=&osv_lvl=
TrendMicro（ウィルスバスター）
http://www.trendmicro.com/jp/support/old-versions/old-versions/products/vb.htm

サポート期間が終了しているアンチウィルスソフトでスキャンしても、最新のウィルスは取り逃します。
サポート期間が終了している場合には、必ず>>3のオンラインスキャンを行なって下さい。

8 ：ひよこ名無しさん：04/08/22 12:11 ID:???

《その他リンク集》
■アダルトサイト被害対策の部屋
　http://higaitaisaku.web.infoseek.co.jp/
■WEB110[インターネットの犯罪・被害]追跡調査
　http://www.web110.com/
■アダルトサイトは安全？危険？
　http://www.kitanet.ne.jp/~ababu/sexy/index.html
■えっと驚く前に―国際電話･Q2からの事前防御策―
　http://www3.plala.or.jp/hiro-mg3920/tel.html
■アダルトサイト対策の部屋（ネット被害対策室）
　http://www002.upp.so-net.ne.jp/dalk/higai24.html
■このスレのテンプレの「まとめサイト」
　http://haiiro.info/my/text/template.html
■国際電話・ダイヤルQ2関連
　http://www.ntt-east.co.jp/q2/　NTT東日本ダイヤルQ2サービス
　http://www.ntt-west.co.jp/q2/　NTT西日本ダイヤルQ2サービス
　ダイヤルQ2接続チェックプログラムもここからダウンロードできます。
　http://www.emurasoft.com/jp/chintcal/index.htm　　　　　No! 国際電話
　http://mitsu98.fc2web.com/bbs/index2.html　　　　　　　　　Dial Saver
　http://www.kddi.com/topics/atx/image.html　　　　　　　　　ダイヤルアップチェッカー
■バナー・ブラクラ対策
　http://homepage3.nifty.com/hayazo/myprg.html　　　　　ClosePopup
　http://www.proxomitron.org/　　　　　　　　　　　　　　　　 Proxomitron（公式サイト）
　http://www.pluto.dti.ne.jp/~tengu/proxomitron/　　　　　　 Proxomitron（日本語解説）

9 ：ひよこ名無しさん：04/08/22 12:17 ID:???

■流行中のハイジャッカー対策　about:blank、search for型

症状：IEのホームページの設定がabout:blank(空白)であるにもかかわらず、CoolWebSearch系
のsearchexe.comや、search for…と表示されるサイトに飛ばされる。
「被害対策」に詳しい専用ページ↓があるが、詳しすぎて初心者は息切れしそうなのでｗ
「解説の解説」をしておく。http://higaitaisaku.web.infoseek.co.jp/removeaboutblank.html

「レジストリのAppInit_dllsという値の削除」と、「悪サイトの画面のソースコードを解読して
悪ファイル本体を探す」というのがポイント。

１　《応急処置》>>3をまず実行。特にWEB設定のリセットを確実に。
２　レジストリのAppInit_dllsキーの削除→ここには悪以外存在しないので問答無用で削除。
　キー名称：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
　レジストリエディタでこのキーを開く。右側窓でAppInit_dllsを選択、削除。もし削除が拒否
　されたときは、左側窓で\Windowsというキー名称をWindows2などに変更してからAppInit_dlls
　を削除→Windows2を元のWindowsに戻す→Windows再起動
　詳しいことは→　http://higaitaisaku.web.infoseek.co.jp/appinitdlls.html
３　about:blankで「Search For...」に飛ばされる場合、悪ファイルの素性が画面ソースのなかに
　エンコードされているので、解読して削除する。
　方法：Search for画面の適当な場所を右クリック→「ソースの表示」をクリック→
　メモ帳が開く→ 　←"<" から ">" までコピーする
　→コピーした文字列をhttp://higaitaisaku.web.infoseek.co.jp/aboutblankdetector.html
　このページに貼り付けてDecode Thisボタンを押して解読→悪ファイルの名称と位置がわかる
　→Windowsをセーフモードで（F8連打して）起動して見つかったファイルを削除する→(ﾟдﾟ)ｳﾏｰ
４　Windowsを再起動、念のため《応急処置》をもう一度実行する。

10 ：ひよこ名無しさん：04/08/22 12:18 ID:???

■流行中のハイジャッカーjksearch.biz対策
★症状：IEのホームページが以下のようなエロ系サーチサイトに固定される。
　　http:// greatsearch.biz/
　　http:// jksearch.biz/redir.php
　　http:// cashsearch.biz/redir.php
　　http:// 213.159.117.130/cgi-bin/index.cgi?c=1
★HijackThisでログを取っても異常が現れない。
★ハイジャッカーの本体はCWSearchの亜種。ただしHijackthisがスキャンしない
レジストリ項目　shellServiceObjectDelayLoadに巣食うので駆除が面倒。
http://higaitaisaku.web.infoseek.co.jp/removesearchbiz.html
被害対策のページ↑は初心者でも確実に駆除できるよう各種ツールを利用しているが、
ここではもう少し簡略な手動駆除方法を紹介。
★感染確認
スタート→ファイル名を指定して実行→regedit
レジストリエディタを起動したら左窓で順次ツリーを開いて以下のキーを開く。
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\shellServiceObjectDelayLoad"
ここに"system"というエントリができていれば感染している。
★駆除方法
1)system エントリのCLSIDの値をメモする。（メモ帳にコピペして.txtファイルで保存しておく）
　（例） System = {362A19F1-EA5D-4733-8292-58DECE98C0BC}　←この｛　｝内の英数字
2)System　項目をレジストリエディタで選択→右クリック→削除。
　HKEY_CLASSES_ROOT\CLSID\にもこの値が登録されているので問題のCLSIDの値で検索し、
　同様に削除。　（左窓でHKEY_CLASSES_ROOT\CLSID\を選択反転→メニュー→編集→検索）
3)Hijackthisでスキャン→R1～R3 -Internet Explorerのスタートページやサーチページの値→
　後からどうにでもできるから、見覚えないもの、分からないものは全部削除
4）IEのホーム、検索ページを標準に戻す→ツール→インターネットオプション→プログラム→
　WEB設定のリセット　　IEの履歴削除→ツール→インターネットオプション→全般→インターネット
　一時ファイル→クッキーの削除+ファイルの削除→OS再起動
5）本体ファイル↓を削除
　C:\WINDOWS\system32\system32.dll / C:\WINDOWS\system.exe