エロサイト見たら…助けて下さい！Part41

806 ：ひよこ名無しさん：04/10/04 03:14:19 ID:Lgct8WPw

初めましてこんばんは。
Win98SE、IE ver.6.0.2800.1106、ウイルスバスター２００４、を使ってます。
接続はADSL。ルータ使用。

心当たりがある行動。
RealPlayerで、コーデックが必要と言われて、
divx-1[1].0.3.exeをダウンロードして実行しました。
Deskbar.exe、divx.exe、Qutrit.exeが生成したのでどれか実行したようなしないような。
プレイヤーっぽいアプリケーションが勝手に起動しましたが、目的の動画は見れませんでした。
デスクトップにFree Casino、Online Dating、Travel Specialsなどのショートカットが作られました。（即ゴミ箱行き）
同時に、IEにツールバーができたり、広告のサイトが新しいウインドウで起動するようになって、
騙された？と思い、アプリケーションの追加と削除から見慣れない物を２、３削除しました。
しかし広告だけは相変わらず数十秒に１回開き続けます。
divx-1[1].0.3.exeと同じフォルダにlog.exeというファイルがあったので削除しました。（もしかすると自分で前に作ったプログラムだったかも。）

30分くらい、広告が出ては消し、でネットにつないだままでしたが、
怖くなってＬＡＮケーブルを抜きました。
ウイルスバスターでＣ．Ｄドライブをスキャンしても全く何も検出しませんでした。
msconfigのスタートアップを全部消しても広告は出続けました。
ネット接続を切ると、
「現在、インターネットには接続していません。コンピュータに保存されているInternetコンテンツを表示するには、[オフラインで作業]をクリックしてください。
再接続する場合は、[再試行]をクリックしてください。
オフライン作業　再試行」
というダイアログが広告と同じような間隔で出ました。
Cookie、履歴クリア、WEB設定のリセットなどをしました。

この時点でHijackThis.exeのログ取り。

807 ：806：04/10/04 03:16:15 ID:Lgct8WPw

ログ1-1

Logfile of HijackThis v1.98.2
Scan saved at 14:12:39, on 04/10/03
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\IMEJPMGR.EXE
C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\PCCGUIDE.EXE
C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\PCCIOMON.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\ﾃﾞｽｸﾄｯﾌﾟ\新しいフォルダ\HIJACKTHIS.EXE

808 ：806：04/10/04 03:16:42 ID:Lgct8WPw

ログ1-2

O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O8 - Extra context menu item: Iriaでダウンロード - D:\PROGRAMFILES\IRIA107A\iria_ie1.htm
O8 - Extra context menu item: Iriaへ全てのURLを送る - D:\PROGRAMFILES\IRIA107A\iria_ie2.htm
O8 - Extra context menu item: Iriaでリンクのインポート - D:\PROGRAMFILES\IRIA107A\iria_ie3.htm
O8 - Extra context menu item: Iriaで選択範囲をダウンロード - D:\PROGRAMFILES\IRIA107A\iria_ie4.htm
O8 - Extra context menu item: Iriaですぐにダウンロード - D:\PROGRAMFILES\IRIA107A\iria_ie5.htm
O8 - Extra context menu item: &Search the Web - C:\WINDOWS\Web\Ers_src.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Unknown file in Winsock LSP: c:\windows\system\inetadpt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\inetadpt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\inetadpt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\inetadpt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\inetadpt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\inetadpt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\inetadpt.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2484009c2b5379d5ab06/netzip/RdxIE601_ja.cab

809 ：806：04/10/04 03:17:34 ID:Lgct8WPw

LSPFix.exe　実行
bootconf.exeremoved

CWShredder.exe　実行
MSNMGSR1.exeランダムですか？　いいえ
レジストリのtargetsoft削除

ログ取り２回目。
ログ2-1

Logfile of HijackThis v1.98.2
Scan saved at 14:57:19, on 04/10/03
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\IMEJPMGR.EXE
C:\WINDOWS\ﾃﾞｽｸﾄｯﾌﾟ\新しいフォルダ\HIJACKTHIS.EXE

810 ：806：04/10/04 03:18:20 ID:Lgct8WPw

ログ2-2

O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O8 - Extra context menu item: Iriaでダウンロード - D:\PROGRAMFILES\IRIA107A\iria_ie1.htm
O8 - Extra context menu item: Iriaへ全てのURLを送る - D:\PROGRAMFILES\IRIA107A\iria_ie2.htm
O8 - Extra context menu item: Iriaでリンクのインポート - D:\PROGRAMFILES\IRIA107A\iria_ie3.htm
O8 - Extra context menu item: Iriaで選択範囲をダウンロード - D:\PROGRAMFILES\IRIA107A\iria_ie4.htm
O8 - Extra context menu item: Iriaですぐにダウンロード - D:\PROGRAMFILES\IRIA107A\iria_ie5.htm
O8 - Extra context menu item: &Search the Web - C:\WINDOWS\Web\Ers_src.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O18 - Protocol hijack: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B}

811 ：806：04/10/04 03:18:46 ID:Lgct8WPw

ログ2-3

O18 - Protocol hijack: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\SYSTEM\urlmon.dll
O18 - Protocol: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\SYSTEM\urlmon.dll
O18 - Protocol hijack: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol hijack: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\SYSTEM\urlmon.dll
O18 - Protocol: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\WINDOWS\SYSTEM\urlmon.dll
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - Protocol hijack: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B}
O18 - Protocol: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - Protocol hijack: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6}
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\SYSTEM\ITSS.DLL
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - C:\WINDOWS\SYSTEM\INETCOMM.DLL
O18 - Protocol: vnd.ms.radio - {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINDOWS\SYSTEM\MSDXM.OCX

812 ：806：04/10/04 03:19:42 ID:Lgct8WPw

WindowsUpdateをしました。重要な更新５個くらい。
spybotsd13.exe　実行
５個くらい出てきたので全部削除。
Ad-Aware SE Personal　実行
５０個くらい出てきたので全部削除。
それぞれセーフモードでも実行しました。

hostsを見てみると次のようになっていました。

127.0.0.1 www.igetnet.com
127.0.0.1 code.ignphrases.com
127.0.0.1 clear-search.com
127.0.0.1 r1.clrsch.com
127.0.0.1 sds.clrsch.com
127.0.0.1 status.clrsch.com
127.0.0.1 www.clrsch.com
127.0.0.1 clr-sch.com
127.0.0.1 sds-qckads.com
127.0.0.1 status.qckads.com
# Start of entries inserted by Spybot - Search & Destroy
# End of entries inserted by Spybot - Search & Destroy

813 ：806：04/10/04 03:20:54 ID:Lgct8WPw

広告のサーバーをメモして、この下に追加してみました。
127.0.0.1 adserver.sharewareonline.com
127.0.0.1 www.ad-w-a-r-e.com
127.0.0.1 ads1.revenue.net
127.0.0.1 adserver.sharewareonline.com
127.0.0.1 www.automotive.com
127.0.0.1 www.cursormania.com
127.0.0.1 www.download.com
127.0.0.1 e.rn11.com
127.0.0.1 higaitaisaku.web.infoseek.co.jp
127.0.0.1 isg02.casalemedia.com
127.0.0.1 www.nuker.com/info
127.0.0.1 www.pcsecurityshield.com
127.0.0.1 www.smileycentral.com
127.0.0.1 www.spotresults.com
127.0.0.1 www.threatlevel.com

書き換えて保存すると、
69.20.16.183 ieautosearch
69.20.16.183 auto.search.msn.com
69.20.16.183 search.netscape.com
という行が勝手に追加されていました。
セーフモードで書き換えて読み取り専用にしておくと、通常モードで起動しても大丈夫でした。
しかしhostsでローカルに指定しても、通常モードでネットに繋がずに起動すると、上述の
「現在、インターネットには接続していません。」のダイアログが出てきます。
接続した場合は、「サーバーが見つかりません」のページが新しく開きます。
（たまに上のリストに無い新しいサイトが開きますが。）

814 ：806：04/10/04 03:21:57 ID:Lgct8WPw

ログ取り３回目。
ログ3-1

Logfile of HijackThis v1.98.2
Scan saved at 1:20:23, on 04/10/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\IMEJPMGR.EXE
C:\WINDOWS\ﾃﾞｽｸﾄｯﾌﾟ\新しいフォルダ\HIJACKTHIS.EXE

O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Virus Buster 2004\pccguide.exe"
O4 - HKLM\..\Run: [PCCIOMON.exe] "C:\Program Files\Trend Micro\Virus Buster 2004\PCCIOMON.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Program Files\Trend Micro\Virus Buster 2004\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Program Files\Trend Micro\Virus Buster 2004\TMOAgent.exe" /run
O4 - HKLM\..\RunServices: [PCCIOMON.exe] "C:\Program Files\Trend Micro\Virus Buster 2004\PCCIOMON.exe"
O4 - HKLM\..\RunServices: [PccPfw] C:\Program Files\Trend Micro\Virus Buster 2004\PccPfw.exe
O4 - HKLM\..\RunServices: [tmproxy] C:\Program Files\Trend Micro\Virus Buster 2004\tmproxy.exe

815 ：806：04/10/04 03:22:37 ID:Lgct8WPw

ログ3-2

O8 - Extra context menu item: Iriaでダウンロード - D:\PROGRAMFILES\IRIA107A\iria_ie1.htm
O8 - Extra context menu item: Iriaへ全てのURLを送る - D:\PROGRAMFILES\IRIA107A\iria_ie2.htm
O8 - Extra context menu item: Iriaでリンクのインポート - D:\PROGRAMFILES\IRIA107A\iria_ie3.htm
O8 - Extra context menu item: Iriaで選択範囲をダウンロード - D:\PROGRAMFILES\IRIA107A\iria_ie4.htm
O8 - Extra context menu item: Iriaですぐにダウンロード - D:\PROGRAMFILES\IRIA107A\iria_ie5.htm
O8 - Extra context menu item: &Search the Web - C:\WINDOWS\Web\Ers_src.htm

816 ：806：04/10/04 03:24:33 ID:Lgct8WPw

最後に、
Ad-AwareでVM2っていうのが１度消してもまた出てきます。数は減りましたが。

朝から休日を丸々費やしてまだ直りません。
次に何をすればいいか、どなたかアドバイスください。
夜１１時過ぎにまた来ます。

817 ：806：04/10/04 03:34:57 ID:Lgct8WPw

書き忘れたことがいくつかありました。
上の実行したことは、順番通りになっていると思いますが、記憶があいまいで間違っている部分などあったらすみません。

ウイルスバスターは毎日１，２回アップデートしています。
全ドライブスキャンはあまりしていませんでした。
オンラインスキャンは試していません。
システムの復元は試していません。