【総合】スパイウェア予防駆除 Part2
>>930
今HackerDefenderというやっかいなヤツが流行しているようで、
これらが潜んでいるとCWShredderやHijackThisをステルスにしてしまいます。
(実際はダウソ出来ていても見えない設定)
http://www.caj.co.jp/virusinfo/2004/win32_hacdef.htm
まず>>931から名前を「しゅれっだ.exe」など適当に変更して落とせますか?
フォルダを作って落とす場合もCWShredderなどの名前は使用しないで下さい。
あとHackerDefenderは現在10種類あるようでそれによって対応が少しだけ違います。
http://www.megasecurity.org/trojans/h/hackerdefender/Hackerdefender_all.html
今HackerDefenderというやっかいなヤツが流行しているようで、
これらが潜んでいるとCWShredderやHijackThisをステルスにしてしまいます。
(実際はダウソ出来ていても見えない設定)
http://www.caj.co.jp/virusinfo/2004/win32_hacdef.htm
まず>>931から名前を「しゅれっだ.exe」など適当に変更して落とせますか?
フォルダを作って落とす場合もCWShredderなどの名前は使用しないで下さい。
あとHackerDefenderは現在10種類あるようでそれによって対応が少しだけ違います。
http://www.megasecurity.org/trojans/h/hackerdefender/Hackerdefender_all.html
|
|
|
933 :名無しさん@お腹いっぱい。:04/05/05 17:47
>>931
そのページ自体開けないんですよ。
operaで何とか落とせましたがファイルが表示されず。
絶対パスで実行しようとしても強制終了してしまい
CWShredderが起動できません。
spybotはファイル名を偽装して友人から受け取ったものを
セーフモードでインストールできたのですが(コントロールパネルを見ると存在している)
インストールしたフォルダに無いんですよね・・・。
コマンドプロンプトから絶対パスで開こうとするとエラーだし。
そのページ自体開けないんですよ。
operaで何とか落とせましたがファイルが表示されず。
絶対パスで実行しようとしても強制終了してしまい
CWShredderが起動できません。
spybotはファイル名を偽装して友人から受け取ったものを
セーフモードでインストールできたのですが(コントロールパネルを見ると存在している)
インストールしたフォルダに無いんですよね・・・。
コマンドプロンプトから絶対パスで開こうとするとエラーだし。
934 :名無しさん@お腹いっぱい。:04/05/05 17:48
>>932
ありがとうございます。頑張ってみます。
ありがとうございます。頑張ってみます。
やたー!
駆除できたっぽいです。
セーフモードでspybotをインストールする際に名前変えればよかったんですね。
ご教授下さったみなさんに感謝です。泣きそうです。
駆除できたっぽいです。
セーフモードでspybotをインストールする際に名前変えればよかったんですね。
ご教授下さったみなさんに感謝です。泣きそうです。
936 :名無しさん@お腹いっぱい。:04/05/05 18:33
>>918
スパイウエアの検索が結構早いんで気に入りました。
Spy-botと遜色無いかな??
つーか、Spy-botとX-GUARDの中間的存在かな?
機能満載なんで嬉しいけど、これって日本語パッチありますか?
スパイウエアの検索が結構早いんで気に入りました。
Spy-botと遜色無いかな??
つーか、Spy-botとX-GUARDの中間的存在かな?
機能満載なんで嬉しいけど、これって日本語パッチありますか?
937 :名無しさん@お腹いっぱい。:04/05/05 18:35
938 :名無しさん@お腹いっぱい。:04/05/05 18:36
Ad−aweare使ってもGstratupが消えない(消せないのか?)のでネットで調べてみた。
謎のプログラムが・・・ 投稿者:光 投稿日:12月24日(火)15時37分29秒
先ほど、プログラムの整理をしていましたら、見たことの無いプログラムを見つけました。名前は、「Date Manager」「GAIN」「Precision Time」です。次に、このプログラムのHPに行ってみたのですが、すべて英語で書かれていて、解読することが出来ませんでした。
下記ページの「[174526] DivXのスパイウェア一連の削除方法を教えてください」を参考にしてください。
ttp://winfaq.power.ne.jp/logs/9x/0136.html
<以下は上記ページより引用>
---------------------------------------------------------------
Ctrl+Alt+delにより「Windowsタスクマネージャ」を起動します。
Windowsタスクマネージャのプロセスのタブより、
GMT.exeとCMESys.exeとgain_trickler_3202.exeのプロセスを終了させます。
C:\Program Files\Common Files より、GMT及びCMEIIフォルダを削除
C:\Program Files\DivX\DivX Pro Codec より、gain_trickler_3202.exeを削除
Windowsのスタートキー → 「ファイル名を指定して実行」 → HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com を削除
C:\Documents and Settings\All Users\スタート メニュー\プログラム\スタートアップ GStartupを削除
レジストリ内を検索かければわかるのですが〜何食わぬ顔し
て,HKEY_USERS\S-1-5-21-1177238915-839522115-854245398-1001\Software\Microsoft\Internet Explorer\TypedURLsにURLまで登録までしてあります。
と消し方が書いてあるのだが、レジストリ内にproguram FilesやDocuments End Settings
がない・・・昨日はあった気がするのだが・・
謎のプログラムが・・・ 投稿者:光 投稿日:12月24日(火)15時37分29秒
先ほど、プログラムの整理をしていましたら、見たことの無いプログラムを見つけました。名前は、「Date Manager」「GAIN」「Precision Time」です。次に、このプログラムのHPに行ってみたのですが、すべて英語で書かれていて、解読することが出来ませんでした。
下記ページの「[174526] DivXのスパイウェア一連の削除方法を教えてください」を参考にしてください。
ttp://winfaq.power.ne.jp/logs/9x/0136.html
<以下は上記ページより引用>
---------------------------------------------------------------
Ctrl+Alt+delにより「Windowsタスクマネージャ」を起動します。
Windowsタスクマネージャのプロセスのタブより、
GMT.exeとCMESys.exeとgain_trickler_3202.exeのプロセスを終了させます。
C:\Program Files\Common Files より、GMT及びCMEIIフォルダを削除
C:\Program Files\DivX\DivX Pro Codec より、gain_trickler_3202.exeを削除
Windowsのスタートキー → 「ファイル名を指定して実行」 → HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com を削除
C:\Documents and Settings\All Users\スタート メニュー\プログラム\スタートアップ GStartupを削除
レジストリ内を検索かければわかるのですが〜何食わぬ顔し
て,HKEY_USERS\S-1-5-21-1177238915-839522115-854245398-1001\Software\Microsoft\Internet Explorer\TypedURLsにURLまで登録までしてあります。
と消し方が書いてあるのだが、レジストリ内にproguram FilesやDocuments End Settings
がない・・・昨日はあった気がするのだが・・
ホームページは直せたけど、
まだspybot関連のページ等を開くとブラウザが終了してしまう・・・。
スパイウェアも除去したし、hostsもダミーにしたのに何故なんだろう。
適当にクッキーとか消せば直ります?
一人で何レスも使ってスマソ
まだspybot関連のページ等を開くとブラウザが終了してしまう・・・。
スパイウェアも除去したし、hostsもダミーにしたのに何故なんだろう。
適当にクッキーとか消せば直ります?
一人で何レスも使ってスマソ
941 :名無しさん@お腹いっぱい。:04/05/05 18:55
>>939
思いっきり釣られるなよwww
思いっきり釣られるなよwww
>>940
Windowsディレクトリに変な*.sysファイルはありますか?
もしあるなら名前を教えて下さい。
それとこれは無駄な作業になるかも知れませんが、
コマンドから
>net stop HackerDefender100
を実行してみて下さい。
出典は下記の下の方にあるFAQ1からです。
http://www.megasecurity.org/trojans/h/hackerdefender/Hackerdefender1.00.html
バージョンが1.00ならこれで一発で止められるはずです。
これが成功すれば今までステルスだったファイルが見えるようになるはずですので、
次の作業や悪さをしているプロセスを探し出せるようになります。
Windowsディレクトリに変な*.sysファイルはありますか?
もしあるなら名前を教えて下さい。
それとこれは無駄な作業になるかも知れませんが、
コマンドから
>net stop HackerDefender100
を実行してみて下さい。
出典は下記の下の方にあるFAQ1からです。
http://www.megasecurity.org/trojans/h/hackerdefender/Hackerdefender1.00.html
バージョンが1.00ならこれで一発で止められるはずです。
これが成功すれば今までステルスだったファイルが見えるようになるはずですので、
次の作業や悪さをしているプロセスを探し出せるようになります。
だれか頼むよ・・
OS起動時にシステム情報がでて困ってるんだが・・
OS起動時にシステム情報がでて困ってるんだが・・
>>942
変かどうかの見極めが出来ないんですが、
Windows直下には見当たりません。
最初検索かけたときは1つあったんですが
>net stop HackerDefender100
これを試した後に探したらなくなってました。
これで直ったのかと思いましたよ。
ファイル名は失念・・・すみません。
system32等の下層フォルダには沢山あるんですけどね・・・>.sys
変かどうかの見極めが出来ないんですが、
Windows直下には見当たりません。
最初検索かけたときは1つあったんですが
>net stop HackerDefender100
これを試した後に探したらなくなってました。
これで直ったのかと思いましたよ。
ファイル名は失念・・・すみません。
system32等の下層フォルダには沢山あるんですけどね・・・>.sys
>>944
今後の同様事例のためにもファイル名はメモって欲しかったすorz
次の確認です。
今>>931にあるCWShredder.exeをそのまま落とせますか?
若しくは>>933の段階でOperaで落とした物が見える状態になってますか?
コマンドが成功していればステルスが解除されているはずなのですが
今後の同様事例のためにもファイル名はメモって欲しかったすorz
次の確認です。
今>>931にあるCWShredder.exeをそのまま落とせますか?
若しくは>>933の段階でOperaで落とした物が見える状態になってますか?
コマンドが成功していればステルスが解除されているはずなのですが
>>945
そうですよね、申し訳ないです>ファイル名
デスクトップのアイコンが見えるようになってるので
ステルスは解除されたっぽいです。
ただ、ページが開けない状態は継続してるので
メインで使っているIE系タブブラウザでは
>>933のサイトを開くことは出来ないです。
そうですよね、申し訳ないです>ファイル名
デスクトップのアイコンが見えるようになってるので
ステルスは解除されたっぽいです。
ただ、ページが開けない状態は継続してるので
メインで使っているIE系タブブラウザでは
>>933のサイトを開くことは出来ないです。
追記します。
もちろんOperaでもページ自体は開けません。
今使っている2chブラウザのOpenJaneも、
レスアンカーのポップアップでCWShredderなどの文字列を表示させると
強制終了させられます。
もちろんOperaでもページ自体は開けません。
今使っている2chブラウザのOpenJaneも、
レスアンカーのポップアップでCWShredderなどの文字列を表示させると
強制終了させられます。
>>946
次はWindowsディレクトリ内から怪しい*.iniファイルを探して下さい。
症状が出た近辺作成で[Hidden Table]と言うパーツが必ずあるファイルが存在します。
見つかったらそのiniファイルをエディタで開いて全てここにコピペして下さい。
ファイル名そのものも教えて下さいねw
次はWindowsディレクトリ内から怪しい*.iniファイルを探して下さい。
症状が出た近辺作成で[Hidden Table]と言うパーツが必ずあるファイルが存在します。
見つかったらそのiniファイルをエディタで開いて全てここにコピペして下さい。
ファイル名そのものも教えて下さいねw
950 :名無しさん@お腹いっぱい。:04/05/05 20:48
>>932
スパイの範疇超えてるじゃねーか。ここでやるなよ。さっさとOS入れ直せ。
スパイの範疇超えてるじゃねーか。ここでやるなよ。さっさとOS入れ直せ。
951 :名無しさん@お腹いっぱい。:04/05/05 20:59
>>951
確かに板違いでスレ違いですから引っ越します。
>>940
エロ助スレがまだ立たない状態ですから避難所を利用で
エロホームページが!!
http://pc5.2ch.net/test/read.cgi/pcqa/1065082687/
確かに板違いでスレ違いですから引っ越します。
>>940
エロ助スレがまだ立たない状態ですから避難所を利用で
エロホームページが!!
http://pc5.2ch.net/test/read.cgi/pcqa/1065082687/