806 :
ひよこ名無しさん :
04/10/04 03:14:19 ID:Lgct8WPw 初めましてこんばんは。 Win98SE、IE ver.6.0.2800.1106、ウイルスバスター2004、を使ってます。 接続はADSL。ルータ使用。 心当たりがある行動。 RealPlayerで、コーデックが必要と言われて、 divx-1[1].0.3.exeをダウンロードして実行しました。 Deskbar.exe、divx.exe、Qutrit.exeが生成したのでどれか実行したようなしないような。 プレイヤーっぽいアプリケーションが勝手に起動しましたが、目的の動画は見れませんでした。 デスクトップにFree Casino、Online Dating、Travel Specialsなどのショートカットが作られました。(即ゴミ箱行き) 同時に、IEにツールバーができたり、広告のサイトが新しいウインドウで起動するようになって、 騙された?と思い、アプリケーションの追加と削除から見慣れない物を2、3削除しました。 しかし広告だけは相変わらず数十秒に1回開き続けます。 divx-1[1].0.3.exeと同じフォルダにlog.exeというファイルがあったので削除しました。(もしかすると自分で前に作ったプログラムだったかも。) 30分くらい、広告が出ては消し、でネットにつないだままでしたが、 怖くなってLANケーブルを抜きました。 ウイルスバスターでC.Dドライブをスキャンしても全く何も検出しませんでした。 msconfigのスタートアップを全部消しても広告は出続けました。 ネット接続を切ると、 「現在、インターネットには接続していません。コンピュータに保存されているInternetコンテンツを表示するには、[オフラインで作業]をクリックしてください。 再接続する場合は、[再試行]をクリックしてください。 オフライン作業 再試行」 というダイアログが広告と同じような間隔で出ました。 Cookie、履歴クリア、WEB設定のリセットなどをしました。 この時点でHijackThis.exeのログ取り。
807 :
806 :04/10/04 03:16:15 ID:Lgct8WPw
ログ1-1 Logfile of HijackThis v1.98.2 Scan saved at 14:12:39, on 04/10/03 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\RUNDLL32.EXE C:\WINDOWS\SYSTEM\IMEJPMGR.EXE C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\PCCGUIDE.EXE C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\PCCIOMON.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\デスクトップ\新しいフォルダ\HIJACKTHIS.EXE
808 :
806 :04/10/04 03:16:42 ID:Lgct8WPw
ログ1-2
O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O8 - Extra context menu item: Iriaでダウンロード - D:\PROGRAMFILES\IRIA107A\iria_ie1.htm
O8 - Extra context menu item: Iriaへ全てのURLを送る - D:\PROGRAMFILES\IRIA107A\iria_ie2.htm
O8 - Extra context menu item: Iriaでリンクのインポート - D:\PROGRAMFILES\IRIA107A\iria_ie3.htm
O8 - Extra context menu item: Iriaで選択範囲をダウンロード - D:\PROGRAMFILES\IRIA107A\iria_ie4.htm
O8 - Extra context menu item: Iriaですぐにダウンロード - D:\PROGRAMFILES\IRIA107A\iria_ie5.htm
O8 - Extra context menu item: &Search the Web - C:\WINDOWS\Web\Ers_src.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Unknown file in Winsock LSP: c:\windows\system\inetadpt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\inetadpt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\inetadpt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\inetadpt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\inetadpt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\inetadpt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\inetadpt.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) -
http://software-dl.real.com/2484009c2b5379d5ab06/netzip/RdxIE601_ja.cab
809 :
806 :04/10/04 03:17:34 ID:Lgct8WPw
LSPFix.exe 実行 bootconf.exeremoved CWShredder.exe 実行 MSNMGSR1.exeランダムですか? いいえ レジストリのtargetsoft削除 ログ取り2回目。 ログ2-1 Logfile of HijackThis v1.98.2 Scan saved at 14:57:19, on 04/10/03 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\RUNDLL32.EXE C:\WINDOWS\SYSTEM\IMEJPMGR.EXE C:\WINDOWS\デスクトップ\新しいフォルダ\HIJACKTHIS.EXE
810 :
806 :04/10/04 03:18:20 ID:Lgct8WPw
ログ2-2 O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O8 - Extra context menu item: Iriaでダウンロード - D:\PROGRAMFILES\IRIA107A\iria_ie1.htm O8 - Extra context menu item: Iriaへ全てのURLを送る - D:\PROGRAMFILES\IRIA107A\iria_ie2.htm O8 - Extra context menu item: Iriaでリンクのインポート - D:\PROGRAMFILES\IRIA107A\iria_ie3.htm O8 - Extra context menu item: Iriaで選択範囲をダウンロード - D:\PROGRAMFILES\IRIA107A\iria_ie4.htm O8 - Extra context menu item: Iriaですぐにダウンロード - D:\PROGRAMFILES\IRIA107A\iria_ie5.htm O8 - Extra context menu item: &Search the Web - C:\WINDOWS\Web\Ers_src.htm O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O18 - Protocol hijack: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B}
811 :
806 :04/10/04 03:18:46 ID:Lgct8WPw
ログ2-3 O18 - Protocol hijack: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B} O18 - Protocol: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\SYSTEM\urlmon.dll O18 - Protocol: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\SYSTEM\urlmon.dll O18 - Protocol hijack: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B} O18 - Protocol hijack: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} O18 - Protocol: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\SYSTEM\urlmon.dll O18 - Protocol: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\WINDOWS\SYSTEM\urlmon.dll O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL O18 - Protocol hijack: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} O18 - Protocol: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\SYSTEM\MSHTML.DLL O18 - Protocol hijack: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\SYSTEM\ITSS.DLL O18 - Protocol: msdaipp - (no CLSID) - (no file) O18 - Protocol: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - C:\WINDOWS\SYSTEM\INETCOMM.DLL O18 - Protocol: vnd.ms.radio - {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINDOWS\SYSTEM\MSDXM.OCX
812 :
806 :04/10/04 03:19:42 ID:Lgct8WPw
WindowsUpdateをしました。重要な更新5個くらい。 spybotsd13.exe 実行 5個くらい出てきたので全部削除。 Ad-Aware SE Personal 実行 50個くらい出てきたので全部削除。 それぞれセーフモードでも実行しました。 hostsを見てみると次のようになっていました。 127.0.0.1 www.igetnet.com 127.0.0.1 code.ignphrases.com 127.0.0.1 clear-search.com 127.0.0.1 r1.clrsch.com 127.0.0.1 sds.clrsch.com 127.0.0.1 status.clrsch.com 127.0.0.1 www.clrsch.com 127.0.0.1 clr-sch.com 127.0.0.1 sds-qckads.com 127.0.0.1 status.qckads.com # Start of entries inserted by Spybot - Search & Destroy # End of entries inserted by Spybot - Search & Destroy
813 :
806 :04/10/04 03:20:54 ID:Lgct8WPw
広告のサーバーをメモして、この下に追加してみました。 127.0.0.1 adserver.sharewareonline.com 127.0.0.1 www.ad-w-a-r-e.com 127.0.0.1 ads1.revenue.net 127.0.0.1 adserver.sharewareonline.com 127.0.0.1 www.automotive.com 127.0.0.1 www.cursormania.com 127.0.0.1 www.download.com 127.0.0.1 e.rn11.com 127.0.0.1 higaitaisaku.web.infoseek.co.jp 127.0.0.1 isg02.casalemedia.com 127.0.0.1 www.nuker.com/info 127.0.0.1 www.pcsecurityshield.com 127.0.0.1 www.smileycentral.com 127.0.0.1 www.spotresults.com 127.0.0.1 www.threatlevel.com 書き換えて保存すると、 69.20.16.183 ieautosearch 69.20.16.183 auto.search.msn.com 69.20.16.183 search.netscape.com という行が勝手に追加されていました。 セーフモードで書き換えて読み取り専用にしておくと、通常モードで起動しても大丈夫でした。 しかしhostsでローカルに指定しても、通常モードでネットに繋がずに起動すると、上述の 「現在、インターネットには接続していません。」のダイアログが出てきます。 接続した場合は、「サーバーが見つかりません」のページが新しく開きます。 (たまに上のリストに無い新しいサイトが開きますが。)
814 :
806 :04/10/04 03:21:57 ID:Lgct8WPw
ログ取り3回目。 ログ3-1 Logfile of HijackThis v1.98.2 Scan saved at 1:20:23, on 04/10/04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\RUNDLL32.EXE C:\WINDOWS\SYSTEM\IMEJPMGR.EXE C:\WINDOWS\デスクトップ\新しいフォルダ\HIJACKTHIS.EXE O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Virus Buster 2004\pccguide.exe" O4 - HKLM\..\Run: [PCCIOMON.exe] "C:\Program Files\Trend Micro\Virus Buster 2004\PCCIOMON.exe" O4 - HKLM\..\Run: [PCClient.exe] "C:\Program Files\Trend Micro\Virus Buster 2004\PCClient.exe" O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Program Files\Trend Micro\Virus Buster 2004\TMOAgent.exe" /run O4 - HKLM\..\RunServices: [PCCIOMON.exe] "C:\Program Files\Trend Micro\Virus Buster 2004\PCCIOMON.exe" O4 - HKLM\..\RunServices: [PccPfw] C:\Program Files\Trend Micro\Virus Buster 2004\PccPfw.exe O4 - HKLM\..\RunServices: [tmproxy] C:\Program Files\Trend Micro\Virus Buster 2004\tmproxy.exe
815 :
806 :04/10/04 03:22:37 ID:Lgct8WPw
ログ3-2 O8 - Extra context menu item: Iriaでダウンロード - D:\PROGRAMFILES\IRIA107A\iria_ie1.htm O8 - Extra context menu item: Iriaへ全てのURLを送る - D:\PROGRAMFILES\IRIA107A\iria_ie2.htm O8 - Extra context menu item: Iriaでリンクのインポート - D:\PROGRAMFILES\IRIA107A\iria_ie3.htm O8 - Extra context menu item: Iriaで選択範囲をダウンロード - D:\PROGRAMFILES\IRIA107A\iria_ie4.htm O8 - Extra context menu item: Iriaですぐにダウンロード - D:\PROGRAMFILES\IRIA107A\iria_ie5.htm O8 - Extra context menu item: &Search the Web - C:\WINDOWS\Web\Ers_src.htm
816 :
806 :04/10/04 03:24:33 ID:Lgct8WPw
最後に、 Ad-AwareでVM2っていうのが1度消してもまた出てきます。数は減りましたが。 朝から休日を丸々費やしてまだ直りません。 次に何をすればいいか、どなたかアドバイスください。 夜11時過ぎにまた来ます。
817 :
806 :04/10/04 03:34:57 ID:Lgct8WPw
書き忘れたことがいくつかありました。 上の実行したことは、順番通りになっていると思いますが、記憶があいまいで間違っている部分などあったらすみません。 ウイルスバスターは毎日1,2回アップデートしています。 全ドライブスキャンはあまりしていませんでした。 オンラインスキャンは試していません。 システムの復元は試していません。