【分析】HijackThis【研究】
あと、>>59-62さんの場合は「****.biz」に飛ばされるという事なので
http://higaitaisaku.web.infoseek.co.jp/removesearchbiz.html
ここを参照してみてください。これの亜種の可能性があります。
(このスパイウェアの場合は、HijackThisのログに出てきません)
http://higaitaisaku.web.infoseek.co.jp/removesearchbiz.html
ここを参照してみてください。これの亜種の可能性があります。
(このスパイウェアの場合は、HijackThisのログに出てきません)
|
|
|
続いて>>63-68さん
まず、CnsMinが入っている状態なので、
コントロールパネルのアプリケーションの削除から、
「Jword」などのプログラムがあった場合にはこれを削除して下さい。
CnsMinの除去方法 (ここを参考に)
ttp://higaitaisaku.web.infoseek.co.jp/removecnsmin.html
>>68の「Search Assistant Uninstall」は、下を参照して、
症状が当てはまらない場合には同じくコントロールパネルから削除して下さい。
(症状が当てはまる場合には、アンインストールしないで下さい)
ttp://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=217
次に、本来Spybotで検出されるはずのrelated.htmが残っている状態です。
なので、Spybotの「製品の除外」を見て、全てチェックが入っていない事を
確認して下さい(チェックが入っている場合は、チェックマークを外してください)。
また、スキャンする時に「全てのファイルをスキャン」で再度やってみて下さい。
まず、CnsMinが入っている状態なので、
コントロールパネルのアプリケーションの削除から、
「Jword」などのプログラムがあった場合にはこれを削除して下さい。
CnsMinの除去方法 (ここを参考に)
ttp://higaitaisaku.web.infoseek.co.jp/removecnsmin.html
>>68の「Search Assistant Uninstall」は、下を参照して、
症状が当てはまらない場合には同じくコントロールパネルから削除して下さい。
(症状が当てはまる場合には、アンインストールしないで下さい)
ttp://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=217
次に、本来Spybotで検出されるはずのrelated.htmが残っている状態です。
なので、Spybotの「製品の除外」を見て、全てチェックが入っていない事を
確認して下さい(チェックが入っている場合は、チェックマークを外してください)。
また、スキャンする時に「全てのファイルをスキャン」で再度やってみて下さい。
それから、>>59-62さん、>>63-68さんお二人ともですが
ttp://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=226
このウィルスに感染していると思われます。
まずアンチウィルスソフトの定義・プログラムが最新かどうかを確認してみて、
最新でない場合にはアップデートして下さい。
その上で、全てのファイルを再度スキャンしてみてください。
駆除方法は、上記ページと、各アンチウィルスベンダーのデータベースを参照。
ttp://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=226
このウィルスに感染していると思われます。
まずアンチウィルスソフトの定義・プログラムが最新かどうかを確認してみて、
最新でない場合にはアップデートして下さい。
その上で、全てのファイルを再度スキャンしてみてください。
駆除方法は、上記ページと、各アンチウィルスベンダーのデータベースを参照。
74 :名無しさん@お腹いっぱい。:04/08/03 17:57
>>59-62さん
向こうで、他の方からあなたにこういうアドバイスが出ていますので、
併せて確認してみて下さい。
http://pc6.2ch.net/test/read.cgi/pcqa/1091090092/927
向こうで、他の方からあなたにこういうアドバイスが出ていますので、
併せて確認してみて下さい。
http://pc6.2ch.net/test/read.cgi/pcqa/1091090092/927
75 :59:04/08/03 19:00
>>69さん
有難う御座います。ご報告いたします。
WindowsUpdate:全て完了いたしました
ウイルスバスター:最新版のようです。
検査の結果:問題はありませんでした。
(但し数回リアルタイム検索状態でウイルスが発見、隔離されているようです)
>向こうのログと比較して、016がこっちでは新しく現れてますよね。
ここに張りましたログは16時頃に検索した最新のものだったためと思われます。
>それから、「全てのサイトが信頼済みとなってしまいます」なのに、
>HijackThisに全く出てきていないのも不思議ですよね。
>(HijackThisには信頼済サイトになっているものはログに出てきます)
それは私にはなんとも。。。不可解なことだというのは分かりましたが。。。
>向こうで指示されたCWS関連のエントリは、削除したが復活したのでしょうか?
>それとも、削除していないのでしょうか?
削除しましたが復活しています。
また、ウイルスの亜種の件ですが、最初の確認の際systemという項目がなかったため
これではないと思います。
>>74さん
ご報告有難う御座います。ただ今確認中です。
有難う御座います。ご報告いたします。
WindowsUpdate:全て完了いたしました
ウイルスバスター:最新版のようです。
検査の結果:問題はありませんでした。
(但し数回リアルタイム検索状態でウイルスが発見、隔離されているようです)
>向こうのログと比較して、016がこっちでは新しく現れてますよね。
ここに張りましたログは16時頃に検索した最新のものだったためと思われます。
>それから、「全てのサイトが信頼済みとなってしまいます」なのに、
>HijackThisに全く出てきていないのも不思議ですよね。
>(HijackThisには信頼済サイトになっているものはログに出てきます)
それは私にはなんとも。。。不可解なことだというのは分かりましたが。。。
>向こうで指示されたCWS関連のエントリは、削除したが復活したのでしょうか?
>それとも、削除していないのでしょうか?
削除しましたが復活しています。
また、ウイルスの亜種の件ですが、最初の確認の際systemという項目がなかったため
これではないと思います。
>>74さん
ご報告有難う御座います。ただ今確認中です。
76 :名無しさん@お腹いっぱい。:04/08/03 19:29
>>75
リアルタイム検索で隔離されているウィルスを、駆除してみて下さい。
(隔離=メイン実行ファイルだけを別の場所に置いている状態なので、
当然レジストリその他は、全く修復されない状態のままです)
ウィルスバスターは良く知らないのですが、もしリアルタイム駆除が
可能ならば、リアルタイム駆除に切り替えた方が良いかと思います。
あとトレンドマイクロのページには、「ウィルスデータベース」があるはずですから、
検出されたウィルス名で検索して、きちんと駆除できているかどうかを手動で
確認してみると良いと思います。
ウィルスの亜種の件ですが、↑で駆除した後もまだ症状が残っているなら、
上で紹介したページの手法を実際に一度試してみて下さい。
亜種の可能性があるとは、「必ずしもsystemの項目であるとは限らない」という事です。
別のファイル名にして、駆除されるのを防ごうとしている可能性は考慮に入れましょう。
大手術で切る場所はできるだけ少なくするために、まずは上のようにやってみましょう。
その後、まだ直らないようならば再度HijackThisを取ってみて、全部貼って下さい。
リアルタイム検索で隔離されているウィルスを、駆除してみて下さい。
(隔離=メイン実行ファイルだけを別の場所に置いている状態なので、
当然レジストリその他は、全く修復されない状態のままです)
ウィルスバスターは良く知らないのですが、もしリアルタイム駆除が
可能ならば、リアルタイム駆除に切り替えた方が良いかと思います。
あとトレンドマイクロのページには、「ウィルスデータベース」があるはずですから、
検出されたウィルス名で検索して、きちんと駆除できているかどうかを手動で
確認してみると良いと思います。
ウィルスの亜種の件ですが、↑で駆除した後もまだ症状が残っているなら、
上で紹介したページの手法を実際に一度試してみて下さい。
亜種の可能性があるとは、「必ずしもsystemの項目であるとは限らない」という事です。
別のファイル名にして、駆除されるのを防ごうとしている可能性は考慮に入れましょう。
大手術で切る場所はできるだけ少なくするために、まずは上のようにやってみましょう。
その後、まだ直らないようならば再度HijackThisを取ってみて、全部貼って下さい。
77 :59:04/08/03 20:19
遅れてすみません。システムがかなり不安定になってきてエラーがでてばっかりだったので。。。
駆除はできないようです。ファイルの削除は何度かしましたが、復活してしまいます。
亜種の件ですが感染したCLSIDがわからないのですが。。。もしかしてsystem以外の項目のCLSIDのことですか?
発見されたウイルスは以下のとおりです。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_DLOADER.F
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_BLAZEFIND.A
駆除はできないようです。ファイルの削除は何度かしましたが、復活してしまいます。
亜種の件ですが感染したCLSIDがわからないのですが。。。もしかしてsystem以外の項目のCLSIDのことですか?
発見されたウイルスは以下のとおりです。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_DLOADER.F
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_BLAZEFIND.A
78 :名無しさん@お腹いっぱい。:04/08/03 20:33
向こうのスレッドの
ttp://pc6.2ch.net/test/read.cgi/pcqa/1091090092/944-947
これを考え合わせると、以下のエントリをHijackThisでFixしてみてください
(Regeditで消すのも同じ事ですが、こっちならばやりなおせるので)。
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
まずこれをFixしてみて、再起動で症状が改善しているかどうかをやってみて下さい。
ttp://pc6.2ch.net/test/read.cgi/pcqa/1091090092/944-947
これを考え合わせると、以下のエントリをHijackThisでFixしてみてください
(Regeditで消すのも同じ事ですが、こっちならばやりなおせるので)。
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
まずこれをFixしてみて、再起動で症状が改善しているかどうかをやってみて下さい。
79 :名無しさん@お腹いっぱい。:04/08/03 20:49
>>77の2つはこれですね
PurityScan
http://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=206
WindowsSA
http://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=137
まず、ここの内容を読んでおいて下さい。
トレンドマイクロのページで、「レジストリエディタ(Regedit)で削除して下さい」というのは、
HijackThisでは04のエントリーになります。
ウィルスとして検出されたファイル名をメモに取って、そのファイル名と同じエントリーが
あるものを全てFixしてみて下さい。
PurityScan
http://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=206
WindowsSA
http://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=137
まず、ここの内容を読んでおいて下さい。
トレンドマイクロのページで、「レジストリエディタ(Regedit)で削除して下さい」というのは、
HijackThisでは04のエントリーになります。
ウィルスとして検出されたファイル名をメモに取って、そのファイル名と同じエントリーが
あるものを全てFixしてみて下さい。
80 :59:04/08/03 20:54