1 :
ひよこ名無しさん:
エロサイトに限らずWEBを見て回ってたらブラウザ乗っ取られて大変なことに…
いったいどうしたらいいの?って人のためのスレッドです。
▼━質問のしかた ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
・ E-mail欄(省略可) には何も記入しないこと。(ID出す→偽者対策・質問者の区別)
・ 2回目以降の書込は、名前欄に最初に質問した際の「発言番号」を入力すること。
・ 他のスレから誘導された場合は、その旨書く。(マルチポストとの区別)
・ OSの種類、ブラウザ、セキュ関係ソフトの有無、実行結果を報告。(特にOSの種類)
・ まず、テンプレサイト(
http://haiiro.info/my/text/template.html)を必ず読む。
・ テンプレサイトの補足(
>>2-10あたり)を必ず読む。
▼━回答者の方へ ━━━━━━━━━━━━━━━━━━━━
・ テンプレの方法を実行せずに質問する人は、徹底放置して下さい。
・ 出された指示を実行せずにレスする人は、徹底放置して下さい。
・ HijackThisの分析から嘘が判明した場合は、徹底放置して下さい。
・ 放置ができない回答者は、質問者が自作自演していると見なされます。
▼━禁止事項 ━━━━━━━━━━━━━━━━━━━
・ マルチポスト(複数の板・スレで同じことを質問)
・ 情報の小出し(始めにOSやソフト名等を必ず明示)
・ 違法な話題や質問(WinMX,Winny,エミュレータ等)
・ 天麩羅屋 & 薮パソユーザーは立ち入り禁止。HNを変えてもダメです。
・ Opera房立ち入り禁止。HNを変えてもダメです。またその話題も違法です。
質問する前に
1) IEのホーム、検索ページを標準に戻す→ツール→インターネットオプション→
プログラム→WEB設定のリセット
※WEB設定のリセットは、こまめに実行しましょう(無限ループ防止の為)
2) IEの履歴削除→ツール→インターネットオプション→全般→インターネット
一時ファイル→クッキーの削除+ファイルの削除
3) 削除したいファイルがあるが「アクセスできません。使用中です」等といわれて
削除できない→セーフモード(F8を連打)でOSを起動→削除→OS再起動
4) 勝手に追加されたアプリをアンインストする→スタート→コントロールパネル→
アプリケーションの追加と削除→OS再起動
※コントロールパネルからアンインストールしなければならない主なもの
CnsMin(Jwordとかで使われてるスパイウェア)
http://higaitaisaku.web.infoseek.co.jp/removecnsmin.html その他のコントロールパネルからアンインストールできる主なもの
http://higaitaisaku.web.infoseek.co.jp/uninstallinfo.html ※コントロールパネルからアンインストールしてはならないもの
Home Search Assistant、Shopping Wizard、Search Extender
という名前のものがコントロールパネルのアプリケーションにある場合。
9 :
1:04/08/30 06:56 ID:NyRcn5GM
-----------------------テンプレここまで-----------------------
補足:スレ立て時点の各アンチスパイウェアソフトのバージョン
CWShredder 1.59.1
Spybot S&D 1.3 2004/08/20
Ad-awareSE SE1R5 22.08.2004
HijackThis 1.98.2
※必ず最新の定義、最新のソフトにしてからスキャン・駆除しましょう。
古い定義、古いソフトでスキャン・駆除しても無意味です。
( ´,_・・`)フンッ スレ立てヘタクソ
■流行中のハイジャッカー対策 about:blank、search for型
症状:IEのホームページの設定がabout:blank(空白)であるにもかかわらず、CoolWebSearch系
のsearchexe.comや、search for…と表示されるサイトに飛ばされる。
「被害対策」に詳しい専用ページ↓があるが、詳しすぎて初心者は息切れしそうなのでw
「解説の解説」をしておく。
http://higaitaisaku.web.infoseek.co.jp/removeaboutblank.html 「レジストリのAppInit_dllsという値の削除」と、「悪サイトの画面のソースコードを解読して
悪ファイル本体を探す」というのがポイント。
1 《応急処置》
>>2をまず実行。特にWEB設定のリセットを確実に。
2 レジストリのAppInit_dllsキーの削除→ここには悪以外存在しないので問答無用で削除。
キー名称:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
レジストリエディタでこのキーを開く。右側窓でAppInit_dllsを選択、削除。もし削除が拒否
されたときは、左側窓で\Windowsというキー名称をWindows2などに変更してからAppInit_dlls
を削除→Windows2を元のWindowsに戻す→Windows再起動
詳しいことは→
http://higaitaisaku.web.infoseek.co.jp/appinitdlls.html 3 about:blankで「Search For...」に飛ばされる場合、悪ファイルの素性が画面ソースのなかに
エンコードされているので、解読して削除する。
方法:Search for画面の適当な場所を右クリック→「ソースの表示」をクリック→
メモ帳が開く→ <!-- saved from url=res:// エンコードされた文字列>という部分をコピー
(エンコード文字列の例)
<!-- saved from url=res://%43%3a%5c%57%49%4e%44%4f%57%53%5c%53%59%53%54%45%4d%5c%47%49%4e%43%4e%45%41%2e%44%4c%4c/%73%70%2e%68%74%6d%6c --> ←"<" から ">" までコピーする
→コピーした文字列を
http://higaitaisaku.web.infoseek.co.jp/aboutblankdetector.html このページに貼り付けてDecode Thisボタンを押して解読→悪ファイルの名称と位置がわかる
→Windowsをセーフモードで(F8連打して)起動して見つかったファイルを削除する→(゚д゚)ウマー
4 Windowsを再起動、念のため《応急処置》をもう一度実行する。
■流行中のハイジャッカーjksearch.biz対策
★症状:IEのホームページが以下のようなエロ系サーチサイトに固定される。
http:// greatsearch.biz/
http:// jksearch.biz/redir.php
http:// cashsearch.biz/redir.php
http:// 213.159.117.130/cgi-bin/index.cgi?c=1
★HijackThisでログを取っても異常が現れない。
★ハイジャッカーの本体はCWSearchの亜種。ただしHijackthisがスキャンしない
レジストリ項目 shellServiceObjectDelayLoadに巣食うので駆除が面倒。
http://higaitaisaku.web.infoseek.co.jp/removesearchbiz.html 被害対策のページ↑は初心者でも確実に駆除できるよう各種ツールを利用しているが、
ここではもう少し簡略な手動駆除方法を紹介。
★感染確認
スタート→ファイル名を指定して実行→regedit
レジストリエディタを起動したら左窓で順次ツリーを開いて以下のキーを開く。
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\shellServiceObjectDelayLoad"
ここに"system"というエントリができていれば感染している。
★駆除方法
1)system エントリのCLSIDの値をメモする。(メモ帳にコピペして.txtファイルで保存しておく)
(例) System = {362A19F1-EA5D-4733-8292-58DECE98C0BC} ←この{ }内の英数字
2)System 項目をレジストリエディタで選択→右クリック→削除。
HKEY_CLASSES_ROOT\CLSID\にもこの値が登録されているので問題のCLSIDの値で検索し、
同様に削除。 (左窓でHKEY_CLASSES_ROOT\CLSID\を選択反転→メニュー→編集→検索)
3)Hijackthisでスキャン→R1〜R3 -Internet Explorerのスタートページやサーチページの値→
後からどうにでもできるから、見覚えないもの、分からないものは全部削除
4)IEのホーム、検索ページを標準に戻す→ツール→インターネットオプション→プログラム→
WEB設定のリセット IEの履歴削除→ツール→インターネットオプション→全般→インターネット
一時ファイル→クッキーの削除+ファイルの削除→OS再起動
5)本体ファイル↓を削除
C:\WINDOWS\system32\system32.dll / C:\WINDOWS\system.exe
★ よくある質問とその答え(その1)
Q1:エロサイト見てたら広告がどんどん出るんだけど
A1:Proxomitron使うとかタブブラウザ使うとかしろ。IEでエロサイト見るな。
Q2:ダイヤルQ2に繋がったらしいんだけど
A2:ダイヤルアップネットワークを開いて接続アイコンを確認しろ。
変なのあったら捨てろ
Q3:何かダウンロードしたみたい
A3:Q2か国際電話の接続ソフトじゃねえのか?ワケも分からずクリックすんな。
Q4:ダイヤルQ2って何?
A4:情報料のかかるNTTの商品だ。3分100円ぐらい通話料の他に発生する。
Q5:Q2に繋がらないようにしたい
A5:NTTに連絡しろ。116に電話してQ2使えないようにしてくれって言え。
Q6:なんかどこクリックしても別のサイトに行くんだけど?
A6:騙されてんじゃねえの?騙しで広告クリック稼ぐサイトも多いぞ(w
Q7:何か注意点とかある?
A7:エロサイトなんか見るなよ。トラブルの元だ。
Q8:スタートページとかがエロになった
A8:過去ログ読んでから質問しろ。非常によくある質問だ。
Q9:時計の隣になんか常駐してるんだけど
A9:msconfigで切れ。Win2000なら窓の手つかえ。
>>12を貼ってる奴は、本当に理解して貼ってるか?
ただの天麩羅屋じゃねーの?という訳で一番重要な
>>12の続き
(ここから)
5 マイコンピュータからCドライブの[on-line.exe]という文字列を含むファイルを検索。
(「ファイル名を検索」ではないので注意。検索画面で「含まれる文字列」窓にon-line.exeと
入力する)→感染時刻に生成された「ランダム名.chm」があったら名前をメモ→
hoge.chmならhoge.chm.safeにリネームして様子見
6 念のためさらに…
マイコンピュータからCドライブの*.chmを検索。感染時刻に生成された「ランダム名.chm」が
あったら4と同様、名前をメモ→リネームして様子見
7 Windowsを再起動、《応急処置》をもう一度実行してゴミ掃除
★ よくある質問とその答え(その2)
Q10: ホームページや検索窓がエロサイトになってしまった!
A10:Internet Explorerの場合:
・ツール>インターネットオプション>全般>ホームページ
・ツール>インターネットオプション>プログラム>WEBの設定のリセット
Netscapeの場合:編集→設定→Navigator→ホームページ
Q11:インターネットオプションで直しても、再起動するとまた戻ってる!
A11:スタート>ファイル名を指定して実行>msconfig>スタートアップの項目に
ついてるチェックを全て外して再起動。
再起動したら、今度は1つずつチェックを戻していって、エロなホームページ
になるかどうかを確認していく。何度も根気強くmsconfigと再起動を繰り返して
最終的には最初にチェックを外したやつのほとんどはチェックが戻り、僅かなエ
ロサイト関連のものだけチェックが外れた状態になればOK!
※Windows95とWindows2000はmsconfigが無いので窓の手を使用するかレジストリの
run項目をチェック。これで直ったなら怪しい自動実行プログラムを削除。
Q12:なんか定期的にエロサイトの広告ウインドウが出るんですけど?
A12:まずはA10とA11を実行。その上でウィルススキャン、Ad-awareでスパイウェ
アをスキャン。Ad-Awareは最新版を使うこと。
Q13:検索が英語になった!
A13:インターネットオプション>全般>言語>日本語 を一番上に。
Q14:なんかGoHip!とかって・・・
A14:GoHip!やSecondpower等は専用の削除ツールが配布されている。インターネッ
トオプション>全般>一時ファイルの設定>オブジェクトの表示でMicrosoftや
ShockWave Flash等信用できるもの以外の怪しげなのは依存関係を見てファイル
を削除。
Q11の補足説明
■=チェック済 □=チェック無で解説
1:全部チェック外す
□adosh
□ghohga
□mojgoj ※症状は出ない
2:1つずつチェック入れていく
■adosh
□ghohga
□mojgoj ※症状は出ない
3:1つずつチェック入れていく
■adosh
■ghohga
□mojgoj ※症状がキタ━━━━━━(゚∀゚)━━━━━━!!!!
4:1つずつチェック入れていく
■adosh
■ghohga
■mojgoj ※症状が出たまま
5:症状を出すやつが特定出来たので、症状と関係ないもののチェックを戻す
■adosh
□ghohga
■mojgoj
6:終了
いいか、みんな
(゚д゚ )
(| y |)
検索するなら
( ゚д゚) Ctrl+F
(| y |\/
ガイシュツネタには
( ゚д゚) 過去ログ嫁
(| y |\/
アンカーもつけてやれば親切だ
>>7 ( ゚д゚)
>>8 \/| y |\/
テンプレは
>>1-16のどこかにある
(゚д゚ )
(| y |)
いい加減まとめサイトの作者は、ページ更新して整理しなおせよ。
ベタベタテンプレが
>>1-20とか貼られてるの、うぜーよマジで。
まとめサイトが更新してれば、テンプレ貼る必要もねーんだよボケ