みんなの「教えて(疑問・質問)」にみんなで「答える」Q&Aコミュニティ

こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

解決済みの質問

トップページを変えられた・・。

インターネットエクスプローラーを起動したときのトップページを変えられてしまって困っています。スパイウェアだと思い、SpybotとAd-awareをインストールしましたが、まだ、変わったままです。セーフモードでも試しました。
よくスパイウェア関係のポップアップが出てきますが、ちょっと怖くてそれは閉じるようにしています。それとウィンドウズを終了するときにエラーが出て強制終了しないとダメなんです・・。ウイルスなんでしょうか?対策法を教えてください。

投稿日時 - 2004-05-09 01:52:27

QNo.852603

暇なときに回答ください

質問者が選んだベストアンサー

>その使用目的もわかりません。(^^ゞ
>ぜひ教えていただけますでしょうか?
↓こういったサイトのJavaアプレットを動作させるために使用します。

悪質なものに置き換えられた可能性として
Java Runtime の上書きを回答したのです。

参考URL:http://fukuoka.cool.ne.jp/fullhouse/labo/labo.html

投稿日時 - 2004-06-08 12:54:29

お礼

誠に勝手ながら、とある事情によりこの質問を締め切りたいと思います。
まだ、解決はしておりませんが、気が向いたときにOSの再インストールをしようと思います。
皆様本当にありがとうございました。

投稿日時 - 2004-06-15 20:03:42

ANo.102

このQ&Aは役に立ちましたか?

2637人が「このQ&Aが役に立った」と投票しています

回答(102)

ANo.101

No.97

1.レジストリキー全体をバックアップ
 レジストリキー全体をバックアップするのは結構時間がかかります。
 私の場合、(XP)で2~3分6MB 以上ありました。
 
2.レジストリキーをバックアップしない
 回答者の立場としてそれはいえません。
 「いざとなればクリーンインストール」
 と割り切ればバックアップなどいらないという考えもあります。
 あくまで自己責任という逃げ口上を付けておきます。
 
3.個別にバックアップ
 キーを右クリックしたとき「削除」と同時に「エクスポート」コマンドが表示されます。
 操作が面倒ですが、貴方の場合、これが適していると思います。

投稿日時 - 2004-06-04 08:03:20

お礼

操作が間違ってるのかな?個別に削除してもエクスポートは出来ないみたいです。
けどまぁ、いざとなれば・・・。

投稿日時 - 2004-06-09 00:51:58

ANo.100

>どれをダウンロードすればいいんでしょうか?
「Windows (オフラインインストール) 」が良いのでは

投稿日時 - 2004-06-04 06:37:36

お礼

ダウンロードしました。
けど、どうやって使うものなのか、その使用目的もわかりません。(^^ゞ
ぜひ教えていただけますでしょうか?

投稿日時 - 2004-06-06 23:03:45

ANo.99

それと、
ANo.#98の
Browser Helper Objectsキーに登録されているものは
「インターネットオプション」の
「詳細設定」タブの
「サードパーティ製のブラウザ拡張を有効にする」の
チェックを外すと機能しなくなります。

投稿日時 - 2004-06-03 05:09:24

お礼

最近何かと忙しくて返事が遅れていることをお許しください。m(__)m
と、補足です。
スタートアップのチェックをすべて外してもしばらくするとやっぱりaboutblankになっちゃいます。

投稿日時 - 2004-06-05 11:41:54

ANo.98

>色々調べたんですが、
>しばらくしてからaboutblankになるようです。
>もしくは何かの動作がきっかけになるのかな?
システム設定ユーティリティの
「スタートアップ項目を読み込む」にチェックが
入っていなくてもそうなるのなら、
Browser Helper Objects
が怪しいです、
これはInternet Explorerで特定のアクションを起こすと動作します。
(アクティブデスクトップがオンになっていると
Internet Explorerを起動しなくても動作する可能性があります)

heta2ちゃんの

2.
マイコンピュータ
 +HKEY_LOCAL_MACHINE
  +SOFTWARE
   +Microsoft
    +Windows
     +CurrentVersion
      +Explorer
       +Browser Helper Objects
このBrowser Helper Objectsキーにぶら下がっている
のがそうです。

それと、普通は

マイコンピュータ
 +HKEY_CLASSES_ROOT
  +PROTOCOLS
   +Filter
    +text/plain ←これはありません

4.
マイコンピュータ
 +HKEY_CURRENT_USER
  +Software
   +Microsoft
    +Internet Explorer
     +Toolbar
このToolbarキーを削除して構いません。
これは「マイコンピュータ」等を開くと
エクスプローラが再作成してくれます。
(ツールバーの設定が初期化されます)

5.のJava Runtime ですが、
{8AD9C840-044E-11D1-B3E9-00805F499D93}
{CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA}
このCLSIDは正規のものをインストールしても
スパイウェアとして認識されてしまいます。
↓から最新版をインストールして上書きしてみるのもいいかも。

参考URL:http://java.com/ja/download/manual.jsp

投稿日時 - 2004-06-03 04:54:38

お礼

すみません、どれをダウンロードすればいいんでしょうか?

投稿日時 - 2004-06-04 02:09:52

ANo.97

ここは「CWShredder」を信じて、「やるっきゃない」と思います。
その前にittochanさんのご意見、是非、拝聴したいところでもあります。

1.レジストリのバックアップ
 レジストリエディターを開き「マイコンピューター」右クリック
 「エクスポート」をクリック
 適当な名前(例えば、2004_06_02.reg)でわかりやすい場所に保存

2.レジストリキーの削除
 HKEY_CLASSES_ROOT\CLSID\{6439D220-B3F5-11D8-B660-00906B195D49}
 HKEY_CLASSES_ROOT\CLSID\{6439D221-B3F5-11D8-B660-00900455F8D2}
 HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper\Objects\{6439D221-B3F5-11D8-B660-00900455F8D2}
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\HOMEOldSP

3.レジストリ値の削除
 HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main
 Start Page = "about:blank"
 レジストリキーを消していけません。
 右側の画面で「Start Page」を右クリックして「削除」

4.下のレジストリ値は私のレジストリにもあるので、消さない方がいいかも
 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
 レジストリ値 ITBarLayout

5.「HijackThis」ログで削除
 気になるのは、No.54にある二つの設定です。

 [{8AD9C840-044E-11D1-B3E9-00805F499D93}]
 [{CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA}]

 「HijackThis」のログで下記の行にチェックを入れて「Fix checked」
 016-DPF:{8AD9C840-044-11D1-B3E9-00805F499D93}Java Runtime Environment 1.4.0_01)-
 016-DPF:{CAFEEFAC-0014-0000-0001-ABCDEFFDCBA}Java Runtime Environment 1.4.0_01)-
 018-Protocol hijack:http-{79EAC9E2-BAF9-11CE-8C82-00AA004BA90B}

6.ファイルの削除
 c:\windows\system\aljnbaa.dll
 多分セーフモードでの操作になると思います。

7.パソコンを再起動

8.「CWShredder」で再チェック

これでも復活するなら? くよくよしない。

プログラムに精通した人間が本気でかかれば素人を騙すのは簡単なことです。
特に、正規のファイルを改変された場合など、素人には手も足も出ませんし、手を出すべきでもありません。

投稿日時 - 2004-06-02 19:26:28

補足

 HKEY_CLASSES_ROOT\CLSID\{6439D220-B3F5-11D8-B660-00906B195D49}
 HKEY_CLASSES_ROOT\CLSID\{6439D221-B3F5-11D8-B660-00900455F8D2}
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper\Objects\{6439D221-B3F5-11D8-B660-00900455F8D2}
はありませんでした。他は削除しました。
3つのHijackThisのログも存在しませんでした。

投稿日時 - 2004-06-06 12:19:14

お礼

最初の段階でつまづいてしまいました。
エクスポートができないです。(+_+)
出来なくても削除して大丈夫ですか?

投稿日時 - 2004-06-04 01:55:34

ANo.96

「TrackZapper」

私なら、このソフトはお勧めしません。

1.検出基準が出鱈目
 私が試用してみた結果、必要なファイルであって、スパイウエアでもウィルスでもないファイルが続々検出されました。
 間違って削除していたらと思うとぞっとします。

2.「Ad-aware」の旧バージョンそっくり
 盗用だとはいえませんが、とにかく旧バージョンとよく似ています。

3.「LSPFix.exe」
 これも、http://cexx.org/lspfix.htm で公開されているソフトと殆ど同じ。
 出典も表示なし。
 
4.98では無理
 幾つかのプログラムをメモリに常駐させるタイプですので、98系のOSでの使用は苦しいのではないかと思います。
 特に、ウィルスソフトを常駐させた上に、さらに、このソフトを実行させるのは、殆ど不可能と思います。
 
5.アンインストールが不完全
 プログラムを終了したあとも2つのプログラムがプロセスで実行されたまま。
 このため、完全にアンインストールされず残骸が残ってしまいます。
 
6.「Ad-aware 6」でスキャン
 なんと!スパイウエア(Malware)?
 
7.Google検索
 「TrackZapper」を日本語で検索してみてください。

投稿日時 - 2004-06-02 12:01:27

お礼

ご忠告ありがとうございます。
使用しないことにします。
結局使わなかったけど、残骸が残っているのかな??

投稿日時 - 2004-06-02 13:42:11

ANo.95

>2つのチェックを外しても、
>しばらくするとまたaboutblankにもどってます。
>この2つは違うのかな?
違うみたいです。

投稿日時 - 2004-06-02 05:05:33

補足

色々調べたんですが、しばらくしてからaboutblankになるようです。もしくは何かの動作がきっかけになるのかな?
なので、どれが原因なのか判定するのが難しいです。
どういう判定方法がいいのかな?(?_?)

投稿日時 - 2004-06-02 15:30:00

お礼

調べなおします。
また、補足します。

投稿日時 - 2004-06-02 13:31:37

ANo.94

trialボタンを押すと、画面が消えてしまうのですか?
私の場合は、すぐに次の画面が出ました。

インストールを失敗しているのかもしれません。
再度インストールをしてみて下さい。

あと、同じ症状で困っていた方が、また無事に削除に成功したようです。
http://oshiete1.goo.ne.jp/kotaeru.php3?q=871865
上記ページを参考にしてみて下さい。

このspywareはレジストリをいじらなくても、駆除ソフトでなんとかなるレベルかもしれません。
このソフトさえ上手く動作すれば、駆除できる可能性もぐっとあがります。
なんとか、動作できるようになれば良いのですが。。

あと一歩です。がんばりましょう(^^)

参考URL:http://oshiete1.goo.ne.jp/kotaeru.php3?q=871865

投稿日時 - 2004-06-02 04:51:31

お礼

ありがとうございます。
けど、No.96のheto2さんのご意見で使用しないほうが良いとのことなので、使わない事にします。
それに、Ad-awereが消しちゃったみたいです。
せっかくのご回答なんですが・・。すみません。m(__)m
誠にありがとうございます。

投稿日時 - 2004-06-02 13:28:34

ANo.93

No.88のお返事

AAA.Possible Browser Hijack attempt

最後のブロックにある下記項目が非常に気になります。
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main
Start Page = "about:blank"

BBB.Cool Web Search
これについての情報が何か無かったでしょうか?

CCC.「Ad-aware 6」で駆除できないか試してください。
1.IEの画面を全て閉じておきます。
2.「Ad-aware 6」を起動
3.「Chek fo updates now.」をクリックして最新のデータにします。
4.スキャン実行>終了
5.「Show logfile」をクリック
6.「Save」をクリックして適当なファイル名(例えばC:\AAW001.txt)で保存
7.「Next」をクリック
8.「X objects will be removed. Continue?」で「OK」をクリック。
9.パソコンを再起動して、「Ad-aware 6」で再スキャン

投稿日時 - 2004-06-01 08:23:09

お礼

CoolWebSearchの情報です。
CoolWebSearch Object recognized!
Type : RegKey
Data :
Rootkey : HKEY_CLASSES_ROOT
Object : CLSID\{6439D220-B3F5-11D8-B660-00906B195D49}


CoolWebSearch Object recognized!
Type : File
Data : aljnbaa.dll
Object : c:\windows\system\
FileSize : 30 KB
Created on : 04/06/01 8:59:14
Last accessed : 04/05/31 15:00:00
Last modified : 04/06/01 8:59:16



CoolWebSearch Object recognized!
Type : RegKey
Data :
Rootkey : HKEY_CLASSES_ROOT
Object : CLSID\{6439D221-B3F5-11D8-B660-00900455F8D2}


CoolWebSearch Object recognized!
Type : RegKey
Data :
Rootkey : HKEY_CLASSES_ROOT
Object : PROTOCOLS\Filter\text/html


CoolWebSearch Object recognized!
Type : RegKey
Data :
Rootkey : HKEY_CLASSES_ROOT
Object : PROTOCOLS\Filter\text/plain


CoolWebSearch Object recognized!
Type : RegKey
Data :
Rootkey : HKEY_LOCAL_MACHINE
Object : SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6439D221-B3F5-11D8-B660-00900455F8D2}

CoolWebSearch Object recognized!
Type : RegValue
Data :
Rootkey : HKEY_LOCAL_MACHINE
Object : SOFTWARE\Microsoft\Internet Explorer\Main
Value : HOMEOldSP

CoolWebSearch Object recognized!
Type : RegValue
Data :
Rootkey : HKEY_CURRENT_USER
Object : Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
Value : ITBarLayout

投稿日時 - 2004-06-02 13:54:33

ANo.92

>その2つにチェックが入っている状態で
>IE終了するとエラーが出ます。
>例の不正な処理を行ったので・・ってやつです。
マカフィの仕様なのかな?
私の98機で試してみます。

>どれが怪しい奴か分かったら、また補足します。
d(-_☆)ラジャ

投稿日時 - 2004-06-01 04:23:36

お礼

IE終了時のエラーはないんですが、2つのチェックを外しても、しばらくするとまたaboutblankにもどってます。
この2つは違うのかな?

投稿日時 - 2004-06-01 18:17:05

ANo.91

無事にインストールできたようですね。

まずソフトをダブルクリックしてから、画面右下の「~trial」というボタンを押します。

ソフトが立ちあがったら、画面右下の「start scaning(だったかな)」をクリックすれば、スキャンが始まります。


スキャンが終了したら、たしか右下に「next」ボタンが表示されるので、そのボタンを押して下さい。
後は画面を見れば分かると思います。
このソフトでいくつかファイルが削除された後、1度ブラウザを立ち上げてみて下さい。
ポップアップウィンドウが出ても、そのウィンドウの中には広告が表示されないようになっていると思います。

後は、私が以前お話した方法で駆除を行ってみて下さい。

これで、除去できるはずなので、あと少しがんばって下さいね。

投稿日時 - 2004-05-31 21:19:29

お礼

Continue Trialをクリックすると、画面が消えちゃいます。
立ち上がるのを待つのかな・・?
けど、全然気配なしです。(・・?

投稿日時 - 2004-06-01 18:09:41

ANo.90

インストール時にエラーが出てしまったようですね。
おそらくDL時にファイルが壊れてしまったかもしれないので、再度DLしてインストールを試みて下さい。

私と同じ症状だったので、このソフトがインストールできれば、問題は解決できるはずです。

参考URL:http://trackzapper.com/track_buttom.html#dd

投稿日時 - 2004-05-31 12:49:03

お礼

インストールできました。o(^▽^)o
けど、どうやって使うのかよく分かりません。
英語ができないもので・・(^^ゞ

投稿日時 - 2004-05-31 20:46:34

ANo.89

補足ありがとうございます。
どれが、怪しいのか分かんないです。

で、絞り込んでみます。

Windowsのセーフモードから
「システム設定ユーティリティ」の
「スタートアップ」タブで
すべてのチェックを外して
セーフモードを終了して
Windowsの通常モードで起動させてみてください。

これで正常でしょうか?

投稿日時 - 2004-05-30 08:26:21

補足

結果です。
MaCfeeWebScan C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe

MaCfeeWebScan C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe/RUNSEVICES
とがあり、前者だけにチェックを入れても問題ないんですが、後者にチェックを入れ、再起動後にスタートアップを見ると、もう一つの MaCfeeWebScan が存在しています(チェック入っている状態で)。つまり、全部あわせて3つって事です。右に書いてある内容は前者のものと全く同じです。その2つにチェックが入っている状態でIE終了するとエラーが出ます。例の不正な処理を行ったので・・ってやつです。

説明がへたですみません。m(__)m
分かりづらいかな??

投稿日時 - 2004-05-31 02:54:23

お礼

全部チェックを外すと正常に動くようです。と言う事はこの中が怪しいわけですね。
いろいろ試してみます。どれが怪しい奴か分かったら、また補足します。

投稿日時 - 2004-05-31 00:22:09

ANo.88

「Ad-aware 6」が何を検出したのか気になりますね。

スキャン終了後、「Show logfile」>「Save」で適当なファイル名で保存します。
メモ帳で開くとスキャン結果が一覧表示されます。

その中で、「Cool Web Search」や「Browser Hijack」と書かれている行を探してください。
新しい情報があるかもしれません。

投稿日時 - 2004-05-30 06:12:09

お礼

私には理解できませんが、いい情報になればと思います。
Started deep registry scan
ッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッ
Possible browser hijack attempt : Software\Microsoft\Internet Explorer\MainStart Pageabout:blank

Possible Browser Hijack attempt Object recognized!
Type : RegData
Data : "about:blank"
Rootkey : HKEY_CURRENT_USER
Object : Software\Microsoft\Internet Explorer\Main
Value : Start Page
Data : "about:blank"

Possible browser hijack attempt : Software\Microsoft\Internet Explorer\MainStart Pageabout:blank

Possible Browser Hijack attempt Object recognized!
Type : RegData
Data : "about:blank"
Rootkey : HKEY_LOCAL_MACHINE
Object : Software\Microsoft\Internet Explorer\Main
Value : Start Page
Data : "about:blank"

Possible browser hijack attempt : .Default\Software\Microsoft\Internet Explorer\MainStart Pageabout:blank

Possible Browser Hijack attempt Object recognized!
Type : RegData
Data : "about:blank"
Rootkey : HKEY_USERS
Object : .Default\Software\Microsoft\Internet Explorer\Main
Value : Start Page
Data : "about:blank"

投稿日時 - 2004-05-31 00:00:05

ANo.87

No.83
>DirWDM.batを実行すると最後の方のDirWDM.txtのところでカタカタ

間違っておりました。

Notepad.exeにパスが通っていない。
パスを通すのは簡単ですがNotepad.exeはDOSプロンプトで実行できないと思います。
DOSプロンプトではEdlinというコマンドを使うんですが、これも、あまり意味がありません。

「Ctrl+C」または「Ctrl+Z」でバッチを強制終了させてください。

その後、通常モードで再起動してメモ帳でc:\DirWDM.txtを開いてください

前回の結果(No.72)と比較して違いが無ければ「Safe Mode」で実行した結果と同じになりますので、セーフモードでもいいということになります。
セーフモードでは前回同様正常に動くと思います。

投稿日時 - 2004-05-28 06:38:48

お礼

DOSプロンプト起動したときは早すぎて、何て書いているのやら・・って感じです。すみません。
セーフモードで試した結果ですが、
BHO削除後と削除前での違いは空きが違うだけのようです。

と、補足です。
Ad-awereで引っかかる奴は2種類です。
Cool Web Search
Possible Browser Hijack attempt
の2つです。

投稿日時 - 2004-05-30 02:58:25

ANo.86

1つ下記のソフトを試してみて下さい。
そう言えば、私はこのソフトを使用してから、該当ファイルを削除しました。
恐らくこのソフトを使用して、スパイウェア本体を削除できたのかもしれません。

http://trackzapper.com/
このサイトにある「TZ Spyware-Adware Remover」と言うソフトです。
トライアル版でも、検索ができスパイウェアの削除ができるようです。
http://trackzapper.com/track_buttom.html#dd

このソフトの使い方については、ソフトを立ち上げれば分かると思います。
たしか「scan」と言うボタンを押して、いくつか怪しいファイルが検出されるので、そのまま「next」ボタンを押せば良かったと思います。

とりあえず、このソフトを試してみて下さい。
これで、スパイウェアの本体は削除できると思います。(たぶん…(^^;)

参考URL:http://trackzapper.com/track_buttom.html#dd

投稿日時 - 2004-05-28 05:16:32

お礼

ありがとうございます。
txsar.exeをダウンロードしました。けど、エラーがでてうまくいかないです。
The setup files are corrupted. Please obtain a new copy of the program.
というエラーです。どう言う意味だろ??(・・?

投稿日時 - 2004-05-29 02:46:13

ANo.85

「システム設定ユーティリティ」の
「スタートアップ項目を読み込む」のチェックを
外すと正常に動く
(ANo.#60のお礼を参照)

というのに固執しちゃうんですが

プログラムが起動し、レジストリの
スタートップ項目を削除して、
windows終了時に書込みするタイプだとすると
Windowsの通常起動後にレジストリを見るから
存在しないのかもしれません。

Windowsをセーフモードで起動させて
レジストリを覗けば、いいかも。
レジストリの

マイコンピュータ 
 +HKEY_CURRENT_USER
  +Software
   +Microsoft
    +Windows
     +CurrentVersion
      +Policies
       +Explorer
        +Run ←この中
      +Run ←この中
      +RunOnce ←この中
      +RunService ←この中
      +RunServiceOnece ←この中
それと、

マイコンピュータ 
 +HKEY_LOCAL_MACHINE
  +Software
   +Microsoft
    +Windows
     +CurrentVersion
      +Policies
       +Explorer
        +Run ←この中
      +Run ←この中
      +RunOnce ←この中
      +RunOnceEx ←この中
      +RunService ←この中
      +RunServiceOnece ←この中
      +ShellServiceObjectDelayLoad ←この中
です。

あと、ウイルス駆除ソフトの会社によっては
ウイルスとして検出してくれるのもあるので、
インストールしているマカフィ君以外の
会社のオンライン検索をしてみてもいいかもしれません。

それと、オンラインでスパイウェアの検索をしてくれる
サイトがあります。
http://www.spywareguide.com/index.php
ここの「Online spyware Scan」です。

参考URL:http://www.trendmicro.co.jp/hcall/index.asp,http://www.symantec.com/region/jp/securitycheck/

投稿日時 - 2004-05-28 04:11:57

お礼

素人ながらもそこがキーになってそうと思います。
+HKEY_CURRENT_USER
 +run
msnmsgr ""C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background"
 +RunOnce は空です。
+HKEY_LOCAL_MACHINE
 +Run ↓これ
AvconsoleEXE "C:\Program Files\Network Associates\McAfee VirusScan\avconsol.exe /minimize"
internat.exe "internat.exe"
LoadBtnHnd "C:\Program Files\Common Files\Fujitsu Shared\BtnHnd.exe"
LoadPowerProfile "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme"
LoadQM "loadqm.exe"
McAfeeWebScanX "C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe"
ScanRegistry "c:\windows\scanregw.exe /autorun"
SystemTray "SysTray.Exe"
TaskMonitor "c:\windows\taskmon.exe"
TkBellExe ""C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot"
Vshwin32EXE "C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE"
VsStatEXE "C:\Program Files\Network Associates\McAfee VirusScan\VSSTAT.EXE /SHOWWARNING"
 +RunOnce +RunOnceEx は空です
 +RunService
LoadPowerProfile "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme"
Machine Debug Manager "C:\WINDOWS\SYSTEM\MDM.EXE"
McAfeeWebScanX "C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe /RUNSERVICES"
SchedulingAgent "mstask.exe"
Vshwin32EXE "C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE"
これら以外のキーは存在しません。

投稿日時 - 2004-05-30 02:43:19

ANo.84

レジストリの

マイコンピュータ 
 +HKEY_LOCAL_MACHINE
  +Software
   +Microsoft
    +Windows
     +CurrentVersion
      +RunServicesOnce
ここはどうでしょうか?

投稿日時 - 2004-05-27 12:21:44

お礼

ありがとうございます。
そこは空っぽです。

投稿日時 - 2004-05-27 22:13:44

ANo.83

>DOSプロンプトっていうのはセーフモードのことでいいんでしょうか?
非常に重要なご質問です。これからも解らないことは、ご遠慮無く・・・
といっても、何でも知っているわけではありませんが。

DOSプロンプトには大別して2種類があります。

☆Windowsの一部としてのDOSプロンプト
 Windowsが起動された状態で、Windowsの一部としてDOSプロンプトを呼び出す。
 これについは下記を参照ください。
 http://www.confrage.com/dos/

☆Windowsを起動させずにDOSプロンプトを呼び出す。
 セーフモードを呼び出す過程で、メニューが表示されます。
 Safe Modeを選択するとセーフモードで起動され、
 Command Prompt Onlyを選択するとDOSプロンプト画面になります。

☆Windows 9x/Me をセーフモードで起動する方法
http://service1.symantec.com/SUPPORT/INTER/tsgeninfojapanesekb.nsf/jdocid/20020616000305953

☆フロッピー起動
 そのほかに起動用のフロッピーを使ってDOSプロンプトで起動する方法もあります。
 起動ディスク(Win98/Win95)
 http://support.microsoft.com/default.aspx?scid=kb;ja;259066

☆なぜ、セーフモード
 セーフモードではWindowsの最小の機能しかメモリーに読み込まれません。
 たとえば、通常モードで起動されているときにファイルを削除しようとすると、「使用中のためファイルを削除できません」という種類のエラーが表示されてファイルを削除できないことがよくあります。
 こんなときセーフモードで再起動すると通常モードでは削除できないプログラムを削除できるようになります。

☆なぜ、Command Prompt Only?
 Wininit.iniファイルがいつ実行されるのか?
 セーフモードで起動しただけで、実行されるのかどうか?
 私には解りません。
 確実を期するためCommand Prompt Onlyで起動することをお勧めしています。
 今までの操作で、セーフモードが使われていたのであればその方法でもいいと思います。
 全ては、どんな結果が得られるかにかかっています。

投稿日時 - 2004-05-27 09:03:34

お礼

ありがとうございます。
DOSプロンプト画面って真っ暗の画面ですよね。
そこで、DirWDM.batを実行すると最後の方のDirWDM.txtのところでカタカタって動いているんですけどそれ以上進まなくなります。そのまま放っておくべきですか?

投稿日時 - 2004-05-27 22:24:54

ANo.82

私も同じ「Search for」に苦しんでいましたが、先ほど自力で除去することができました。
その方法を下記の記事に書いておきましたので、ご覧になってみてください。
おそらく、これで完全に除去できるはずです。
http://oshiete1.goo.ne.jp/kotaeru.php3?q=871865

上手く除去できれば嬉しく思います。

参考URL:http://oshiete1.goo.ne.jp/kotaeru.php3?q=871865

投稿日時 - 2004-05-27 08:46:44

お礼

ありがとうございます。
消しても消しても新たなDLLファイルが出てきちゃうんです。
Cuty_Catさんのものとは違う種類なのかな?それとも複数のウイルスに感染しているからかな・・?

投稿日時 - 2004-05-27 21:49:26

ANo.81

>とりあえずhidserv.exeのバージョンです
それ、問題ないようです。
USBキーボードを使用している環境にあるようです。

投稿日時 - 2004-05-27 07:13:04

ANo.80

>アップデートしたAd-awere 6を試してみました。しかし、IE終了時にエラーがでます。

どんなエラーでしょうか?
kernel32.dllでGoogle検索すると沢山表示されます。
しかし、これは、Windows98ユーザーで無いとわかりません。

>WININIT INI 206 04-05-26 2:10 Wininit.ini
>WININIT PIF 967 04-05-24 21:54 WININIT.PIF
>WININIT BAK 76 04-05-23 22:13 WININIT.BAK

通常、WININIT.BAKはWININIT.INIのバックアップですから、サイズがまったく違うというのはおかしいと思います。

その上WININIT.BAKのほうが、日付が古いというのは奇奇怪怪。
「.INI」が親とすると「.BAK」はその子供です。
子供の誕生日の方が、親の誕生日より古いなんて信じられますか?

>04-05-26 2:10

この時間、貴方が何をされたかを思い出してください。
多分、パソコンの電源を切る直前の時間では無かったかと思います。

☆推測できること・・・

1.「VirusX」は、BHOの名前を記憶している。
2.ユーザーは「HijackThis」等でBHO設定を削除して正常な表示に戻す。
3.パソコン終了時、ウィルスXがBHOの状態を調べる。
4.BHO設定が削除されているのがわかると「VirusX」は新しいWININIT.INIを生成する。
5.次回パソコン起動時にWININIT.INIが実行され、新しいBHOを設定する。
6.WININIT.INIは実行後、自動的にWININIT.BAKを残して消滅する。

パソコンの終了前の一瞬にWININIT.INIが生成され、次回、Windows起動前の一瞬にININIT.INIが実行されていると思います。

☆コンピューターを再起動
この仕組みは決して珍しくも何ともありません。
アプリケーションをインストールしたときに、コンピューターを再起動してください、という表示がよく出ますね。

アプリケーションのインストーラーは、Windows起動後では設定出来ない事項を、パソコンの再起動後、Windowsが起動される前にハードディスクに書き込んでアプリケーションを実行できるようにすることがよくあるのです。

☆Wininit.exe
WindowsにはWininit.exeという正規のプログラムがあります。
WindowsフォルダにWININIT.INIを見つけると、Windowsの起動前にWininit.exeが起動され、WININIT.INIに書き込まれた命令を実行します。
作業が終わるとWININIT.INIはWININIT.BAKを残して自動的に消滅する。
NUL=C:\WINDOWS\TEMP\GLB1A2B.EXEのように使用済みのファイルを削除する。
これで、WININIT.INIは二度と実行されませんし、不要なファイルは削除されます。

今回のウィルスでは、この仕組みが悪用されていると推定しています。

実験1.
「HijackThis」で調べると新しいBHOが作成されていると思います。
現在の状態でパソコンを再起動し、DOSプロンプトでDirWDM.batを実行して見てください。
WININIT.INI(04-05-26 2:10)は実行されたあとでしょうから、多分、WININIT.INIは現れないと思います。

実験2.
「HijackThis」でBHOを削除した後、パソコンをDOSプロンプトで再起動し、DirWDM.batを実行してください。
WININIT.INIを確認できたら下記のバッチを実行してみてください。
WININIT.INIに何が書かれているかがわかれば面白いと思います。

:~~~~~~TypeWIni.batはじめ~~~~~~~
c:
cd\windows

echo *** WININIT.INI 詳細 %date% %time% *** > c:\wininit.txt
echo\ >> c:\wininit.txt
type c:\windows\WININIT.ini >>c:\wininit.txt
attrib c:\windows\WININIT.ini >>c:\wininit.txt

echo\ >> c:\wininit.txt
echo *** WININIT.PIF 詳細 %date% %time% *** >> c:\wininit.txt
echo\ >> c:\wininit.txt
type c:\windows\WININIT.PIF >>c:\wininit.txt
attrib c:\windows\WININIT.PIF >>c:\wininit.txt


Notepad.exe c:\wininit.txt
exit
:~~~~~~TypeWIni.bat終わり~~~~~~~

投稿日時 - 2004-05-26 22:53:47

お礼

どうもです。
不正な処理を行ったので・・・。っていうエラーです。

>04-05-26 2:10
この時間は多分再起動した時間かと思います。なのでオンの時かオフの時かはちょっと・・・。

すごくバカな質問ですが、DOSプロンプトっていうのはセーフモードのことでいいんでしょうか?

投稿日時 - 2004-05-27 05:59:44

ANo.79

(*^o^*)オ (*^O^*)ハー

>"Hidserv.exe run"は消すべきなんですか?
「システム設定ユーティリティ」の
「スタートアップグループの項目を読み込む」の
チェックを外してWindowsを再起動させて

マイコンピュータ 
 +HKEY_LOCAL_MACHINE
  +Software
   +Microsoft
    +Windows
     +CurrentVersion
      +RunServices ここの
名前___データ
Hidserv "Hidserv.exe run"

右クリック→「削除」をクリックして

「システム設定ユーティリティ」の
「スタートアップグループの項目を読み込む」の
チェックを入れてWindowsを再起動します。

それと、Hidserv.exe を探し出して
このプログラムのバージョン情報を
補足してください。(製造元とか)

投稿日時 - 2004-05-26 06:27:06

お礼

とりあえずhidserv.exeのバージョンです
会社名Microsoft Corporation
言語英語 (U.S.)
正式ファイル名HIDSERV.EXE
製品バージョン4.10.2222
製品名Microsoft(R) Windows(R) Operating System
内部名hidserv

投稿日時 - 2004-05-27 04:31:39

ANo.78

ANo.#72の補足なんですが、
それって、
レジストリの

マイコンピュータ 
 +HKEY_CURRENT_USER
  +Software
   +Microsoft
    +Windows
     +CurrentVersion
      +Run ←この中

それと、

マイコンピュータ 
 +HKEY_LOCAL_MACHINE
  +Software
   +Microsoft
    +Windows
     +CurrentVersion
      +Run
のことでしょ?
これは、
「システム設定ユーティリティ」の
「スタートアップ」タブで確認したからいいんですよ。

投稿日時 - 2004-05-26 00:37:24

お礼

はっ、そうでしたか。
"Hidserv.exe run"は消すべきなんですか?

投稿日時 - 2004-05-26 03:13:03

ANo.77

「スタートアップグループの項目を読み込む」の
チェックを外してWindowsを起動させてから
ANo.#76を実施してみてください。
そのほうが安全かもしれません。

投稿日時 - 2004-05-26 00:28:13

お礼

ややこしくなってすみません。
No.73は行ったほうがいいんですか?

投稿日時 - 2004-05-26 01:29:35

ANo.76

>マイコンピュータ 
>HKCU\..\RunOnce は特に問題なさそうです。
>HKCU\..\runservice は存在しないです。
>HKLM\..\RunOnce ↓です。
>Hidserv "Hidserv.exe run"
RunOnceキーは
通常でしたら
Windows起動後、登録されているプログラムが正常終了したら登録が抹消されるんです。

悪質なプログラムの中には
実行するたびにこのキーに自己登録してしまいます。

「システム設定ユーティリティ」で
「スタートアップ項目」を読み込まない状態で
ホームページが正常なのですから、
もしかしたら、これかもしれません。

レジストリの

マイコンピュータ 
 +HKEY_LOCAL_MACHINE
  +Software
   +Microsoft
    +Windows
     +CurrentVersion
      +RunOnce ←この中の
名前_____データ
Hidserv  "Hidserv.exe run"

を右クリック→「削除」をクリックして

Windowsを再起動させてみてください。

投稿日時 - 2004-05-26 00:24:08

お礼

ごめんなさい。
また、訂正です。m(__)m
RunOnceの中身ではなく、RunServicesの中のものでした。

すみません。ちょっとパニくってます。(^^ゞ

投稿日時 - 2004-05-26 02:51:13

ANo.75

セーフモードで起動して
レジストリから
CLSIDの
{8B7B79C1-AA8F-11D8-B660-009002A627F8}
を削除すれば、
CHGB.DLL
は動けなくなると思います。

投稿日時 - 2004-05-25 23:42:01

ANo.74

あっ違う。
heta2ちゃんへの補足を私のに書いたんですね。

投稿日時 - 2004-05-25 23:33:33

お礼

ごめんなさい。
結果的にそうなりました。(^^ゞ

投稿日時 - 2004-05-26 02:36:52

ANo.73

あれ?

「スタートアップ」タブの

>*FO-syst>m.ini:Shell=
>*FO-R□□ >ystem.ini:Shell>=
>*FO-R□□ >ystem.ini:UseInit=
>*02-BHO:(no name)-{8B7B79C1-AA8F-11D8-B660-009002A627F8}-C:/WINDOWS/SYSTEM/CHGB.DLL
>*03-Toolbar:?????-{8E718888-423F11D2-876E-00A0C9082467}-C:/WINDOWS/SYSTEM/MSDXM.OCX

これかも。
最初の3つは
win.iniとsystem.iniみたいですね。

MSDXM.OCXって
Internet Explorerのコンポーネントの1つなんですが、これ書き換えられているかも。

これらのチェックを外して
Windowsを再起動させてみて。

投稿日時 - 2004-05-25 23:29:58

お礼

ごめんなさい。m(__)m
勘違いしていました。(^^ゞ
間違えてhijuckthisのlogを出しちゃいました。

msnmsgr _ "C\PROGRAM FILES\MSN MESSENGER\MSMSGER.EXE"/background
McAfeeWebScanX _ C\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe
internat.exe _ internat.exe
ScanRegistry _ c:\windows\scanregw.exe/autorun
TaskMonitor _ c:\windows\taskmon.exe
SystemTray _ SysTray.Exe
LoadPowerProfile _ Rundll32.exe powrprof.dll,LoadCurrentpwrScheme
AvconsoleEXE _ C:\Program Files\Network Associates\McAfee VirusScan\avconsol.exe/minimize
VsStatEXE _ C:\Program Files\Network Associates\McAfee VirusScan\VSSTAT.EXE/SHOWWARING
LoadQM _ loadqm.exe
Vshwin32EXE _ C:\PROGRAM FILES\NETWORK ASSOCIATES\MACAFEE VIRUSSCAN\VSHWIN32.EXE
TkBellExe _ "C:\Program Files\Real\update_OB\realsched.exe"-osboot
McafeeWebScanX _ C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe/RUNSERVUCES
Machine Debug Manager _ C:\WINOWS\SYSTEM\MDM.EXE
Hidserv _ Hidserv.exe run
LoadPowerProfile _ Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
Vshwin32.EXE _ C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE
SchedulingAgent _ mstask.exe
FM便利ツール _ C:\PROGRA~1\FUJITSU\AUV\AUVCORE.EXE
Microsoft Office StartUp _ C:\PROGRA~1MICROS~1\OFFICE\OSA9.EXE
hatchinsaide.exe _ C:\PROGRA~1DI\HATCHI~1\HATCHI~1.EXE
WordLinker _ C\PROGRA~1\ZENRIN\EMAPZ2\WORDLI~1\SS_LIN~1.EXE

投稿日時 - 2004-05-26 01:12:47

ANo.72

それと、レジストリの

マイコンピュータ 
 +HKEY_CURRENT_USER
  +Software
   +Microsoft
    +Windows
     +CurrentVersion
      +Policies
       +Explorer
        +Run ←この中
と、

マイコンピュータ 
 +HKEY_LOCAL_MACHINE
  +Software
   +Microsoft
    +Windows
     +CurrentVersion
      +Policies
       +Explorer
        +Run ←この中
もね。

投稿日時 - 2004-05-25 10:59:19

お礼

HKCU\..\Run
msnmsgr ""C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background"

HKLM\..\Run
AvconsoleEXE "C:\Program Files\Network Associates\McAfee VirusScan\avconsol.exe /minimize"
internat.exe "internat.exe"
LoadBtnHnd "C:\Program Files\Common Files\Fujitsu Shared\BtnHnd.exe"
LoadPowerProfile "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme"
LoadQM "loadqm.exe"
McAfeeWebScanX "C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe"
ScanRegistry "c:\windows\scanregw.exe /autorun"
SystemTray "SysTray.Exe"
TaskMonitor "c:\windows\taskmon.exe"
TkBellExe ""C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot"
Vshwin32EXE "C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE"
VsStatEXE "C:\Program Files\Network Associates\McAfee VirusScan\VSSTAT.EXE /SHOWWARNING"

投稿日時 - 2004-05-26 00:26:15

ANo.71

No.69
1.WININIT.EXE
 WININIT.INIを実行するためのプログラムです。
 バイナリーファイルですから、バイナリーエディターを使わないと正常に表示できません。
 これは文字化けではありません。
 マイクロソフトの正規のファイルではないかと思います。
 プロパティを調べてください。
 WININIT.sav WININIT.000については私には解りません。
 WININIT.EXE、WININIT.INIともに通常のアプリケーションソフトのインストールに使われることがあります。
 WININIT.EXEという名のファイルが悪用される例があるようですが、動作がまったく違うので、今回の件には関係ないと思います。
 
2.「Ad-aware 6」で除去できるという情報があります。
 最新のデータにアップデートして試してください。
 この種のウィルスではWindowsが起動された状態では修復できないことがあります。
 スキャン実行後、パソコンを再起動したときに、Windows起動前に「Ad-aware 6」が起動されて修復作業が実行されます。
 
3.バッチファイル手直ししました。
 必ずDOSプロンプトで実行してください。
:~~~~~~DirWDM.batはじめ~~~~~~~
C:

echo *** WDM.*詳細 %date%%time% *** > c:\DirWDM.txt
echo\ >> c:\DirWDM.txt
cd \WINDOWS\SYSTEM\
dir WDM.* >> c:\DirWDM.txt
attrib WDM.* >> c:\DirWDM.txt
echo\ >> c:\DirWDM.txt

echo *** GLB1A2B.* 詳細 %date%%time% *** >> c:\DirWDM.txt
echo\ >> c:\DirWDM.txt
cd \WINDOWS\TEMP\
dir GLB1A2B.* >> c:\DirWDM.txt
attrib GLB1A2B.* >> c:\DirWDM.txt
echo\ >> c:\DirWDM.txt

echo *** WININIT.*詳細 %date%%time% *** >> c:\DirWDM.txt
echo\ >> c:\DirWDM.txt
cd\
dir WININIT.* /s >> c:\DirWDM.txt

Notepad.exe c:\DirWDM.txt
exit
:~~~~~~DirWDM.bat終わり~~~~~~~

投稿日時 - 2004-05-25 09:35:42

お礼

ありがとうございます。
アップデートしたAd-awere 6を試してみました。しかし、IE終了時にエラーがでます。
以前、kernel32.dllが毎回CWShredderで引っかかるといっていましたが、Ad-awereで引っかかるものでした。
すみません。m(__)m

*** WDM.*詳細 ***


ドライブ C: のボリュームラベルはありません.
ボリュームシリアル番号は 3A30-18D8
ディレクトリは C:\WINDOWS\SYSTEM

WDM DLL 57,344 04-05-05 0:19 wdm.dll
1 個 57,344 バイトのファイルがあります.
0 ディレクトリ 8,590.28 メガバイトの空きがあります.
A WDM.DLL C:\WINDOWS\SYSTEM\wdm.dll

*** GLB1A2B.* 詳細 ***


ドライブ C: のボリュームラベルはありません.
ボリュームシリアル番号は 3A30-18D8
ディレクトリは C:\WINDOWS\TEMP

8,590.28 メガバイトの空きがあります.

*** WININIT.*詳細 ***


ドライブ C: のボリュームラベルはありません.
ボリュームシリアル番号は 3A30-18D8

ディレクトリは C:\WINDOWS

WININIT BAK 76 04-05-23 22:13 WININIT.BAK
WININIT PIF 967 04-05-24 21:54 WININIT.PIF
WININIT EXE 42,021 99-05-05 22:22 WININIT.EXE
WININIT SAV 8,942 04-02-15 10:28 WININIT.SAV
WININIT 000 87 04-05-19 0:36 wininit.000
WININIT INI 206 04-05-26 2:10 Wininit.ini
6 個 52,299 バイトのファイルがあります.

一覧のファイル総数:
6 個 52,299 バイトのファイルがあります.
0 ディレクトリ 8,590.28 メガバイトの空きがあります.

投稿日時 - 2004-05-26 02:32:58

ANo.70

>「スタートアップグループの項目を読み込む」の
>チェックだけをはずしたときも
>正常に動いているようでした。
「システム設定ユーティリティ」の「スタートアップ」は正常のようです。

となると、

レジストリの

マイコンピュータ 
 +HKEY_CURRENT_USER
  +Software
   +Microsoft
    +Windows
     +CurrentVersion
      +RunOnce ←この中か
      +runservice ←この中か

それと、

マイコンピュータ 
 +HKEY_LOCAL_MACHINE
  +Software
   +Microsoft
    +Windows
     +CurrentVersion
      +RunOnce ←この中か
      +RunOnceEx ←この中
      +runservice ←この中を

調べてみてください。

投稿日時 - 2004-05-25 06:37:32

お礼

マイコンピュータ 
HKCU\..\RunOnce は特に問題なさそうです。
HKCU\..\runservice は存在しないです。
HKLM\..\RunOnce ↓です。
Hidserv "Hidserv.exe run"
LoadPowerProfile "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme"
Machine Debug Manager "C:\WINDOWS\SYSTEM\MDM.EXE"
McAfeeWebScanX "C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe /RUNSERVICES"
SchedulingAgent "mstask.exe"
Vshwin32EXE "C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE"
HKLM\..\RunOnceEx  は問題ないようです。
HKLM\..\runservice は存在しないです。

投稿日時 - 2004-05-25 23:55:12

ANo.69

No.67のご回答
>1.WININIT.BAKはあります。削除して良いんですか?
ご存知のように、WININIT.BAKはININIT.INIのバックアップファイルです。
そのままでも、危害は無いと思います。
上記、ご回答をみて気が付いたんですが、このファイルに重要な手がかりがあるかもしれません。
メモ帳で開いて、中身を貼り付けていただけませんか?

参考
http://homepage2.nifty.com/DSS/WinSys/Win/Wininit.htm
WININIT.INIはリブート時にファイルの置き換えをおこなう為の設定ファイルである.
NUL = にするとそのファイルを削除する.
置き換えが成功すると WININIT.INI は WININIT.BAK になる.
WININIT.EXE は Windows が起動する前に実行される

>3.WDM.DLLを消そうと努力してみましたが、killboxでは見つからないので、消す事が出来ませんでした。
killboxをあまりあてにしないでください。
killboxはWindows起動後に動作する。
ということは、WININIT.INIによるファイル操作が終わってからしか使えない。
「あとの祭り」という奴です。
セーフモードのDOSプロンプト画面を呼び出して、WININIT.INIが起動される前の状態でのファイル操作が必要と思います。

>5.セーフモードでも見つかりませんでした。
No.56のDirDLL3.batで表示されるにもかかわらずセーフモードで見つからないというのが私には理解できません。
>WDM.DLL 2ae60000 131072 C:\WINDOWS\SYSTEM\WDM.DLL

☆セーフモードのDOSプロンプト画面
パソコン再起動直後「F8」キーを連打
黒い画面が表示され、DOSプロンプトという項目が表示されます。
DOSプロンプト画面では、Windowsの機能は一切使えません。
BATファイルは使用できます。
下記のバッチ実行して結果貼り付けてみてください。
~~~~~~DirWDM.batはじめ~~~~~~~
C:
cd \WINDOWS\SYSTEM\
echo WDM.DLL詳細 %date%%time%> c:\DirWDM.txt
dir WDM.DLL >> c:\DirWDM.txt
attrib WDM.DLL >> c:\DirWDM.txt
Notepad.exe c:\DirDWDM.txt
exit
:~~~~~~DirWDM.bat終わり~~~~~~~

投稿日時 - 2004-05-24 08:56:39

補足

DirDWDM.txtは真っ白でした。

投稿日時 - 2004-05-24 22:22:39

お礼

ありがとうございます。
WININIT.EXE WININIT.sav WININIT.000がありました。これらは関係ないですか?

WININIT.BAK の中身です。
[rename]
NUL=C:\WINDOWS\TEMP\GLB1A2B.EXE
NUL=C:\WINDOWS\TEMP\GLB1A2B.EXE

WININIT.000の中身
[rename]
NUL=c:\windows\cookies\既定@cgi-bin[2].txt
NUL=C:\WINDOWS\TEMP\GLB1A2B.EXE

WININIT.EXE はいっぱい文字化けしています。
WININIT.sav は何かのファイルがたくさん書いてあります。

投稿日時 - 2004-05-24 21:59:24

ANo.68

「HijackThis」ログ
*02-BHO:(no name)-{8B7B79C1-AA8F-11D8-B660-009002A627F8}-C:/WINDOWS/SYSTEM/CHGB.DLL
これが「about:blank」を表示していることには間違いないんですが、消しても、すぐ別名で復活するのでは意味がありません。

*016-DPF:{8AD9C840-044-11D1-B3E9-00805F499D93}Java Runtime Environment 1.4.0_01)-
*016-DPF:{CAFEEFAC-0014-0000-0001-ABCDEFFDCBA}Java Runtime Environment 1.4.0_01)-
あまり見ない設定です。
MSJVM(JavaVitualMchine)の脆弱性を付いたウィルスが流行した時期がありますので、それに関連しているかもしれません。
削除されては如何でしょう。

「Fix」した項目の復元方法
1.「HijackThis」画面右下の「Config」をクリック
2.「Backups」をクリック
3.バックアップリストから該当する行を選択して右側の「Restore」をクリック。

投稿日時 - 2004-05-23 07:55:56

お礼

ありがとうございます。
消してみましたがとりあえず問題なしです。

投稿日時 - 2004-05-24 22:02:28

ANo.67

StartupListで気になるもの

1.GLB1A2B.EXE
 C:\WINDOWS\WININIT.BAK listing:
 (Created 19/5/2004, 1:23:36)
 [rename]
 NUL=C:\WINDOWS\TEMP\GLB1A2B.EXE
 
 蒸し返しになりますが、このファイルを探しも見つからない?
 実行後、WININIT.INIとともにこのファイルが削除された。
 しかし、WININIT.BAKの削除を忘れたということだと思います。
 http://homepage2.nifty.com/DSS/WinSys/Win/Wininit.htm

2.DOS4G=QUIET
 C:\AUTOEXEC.BAT listing:
 SET DOS4G=QUIET
 
 これは滅多に出てこない設定です。
 なぜこんなものがあるのか、私には解りません。
 C:\AUTOEXEC.BATを開いて、SET DOS4G=QUIETの左に「rem」または「:」(コロン)と書くと、この設定行を無効に出来ます。
 
3.NCG.DLL
 Enumerating Browser Helper Objects:
 (no name) - C:\WINDOWS\SYSTEM\NCG.DLL - {9E4F3FA1-A9B8-11D8-B660-0090237C27D7}

 新しいBHOが設定されています。
 WDM.DLLを削除できない限り解決の方法が無いようです。

4.もしかして・・・
 運のいいことに、唯一の自己解決者、basser_no1さん、korotekeさん、そして私が偶然、マカフィーのAV(AntiVirus)ソフトを使っていることです。
 一度、マカフィーのヒューリスティックスキャンを試してみてください。
 ただし、私の場合、文字化け障害のため通常のメニューでなくアイコンメニューでの操作になりますのであしからず。
 
 AAA.マカフィーのアイコンをクリック
 BBB.「VirusScan」>「オプション」
 CCC.ActiveVsheild画面の「詳細設定」をクリック
 DDD.「新しいウィルスと未知のウィルスをスキャン」にチェックを入れる。
 EEE.「OK」「OK」でオプション画面を閉じる
 
 以上の設定で、Cドライブをスキャンしてみてください。
 
5.残された手段
 セーフモードの選択画面でDOSプロンプトを選択。
 DOS画面で下記ファイルを探し出して削除するくらいしか思い当たりません。
 C:\WINDOWS\TEMP\GLB1A2B.EXE
 C:\WINDOWS\SYSTEM\WDM.DLL
 
 それでも駄目なら、私は、すごすごと退場=敗北です。
 Windowsの奥の奥で何かが設定されているとしか考えられません。

投稿日時 - 2004-05-23 07:54:10

お礼

ありがとうございます。
1.WININIT.BAKはあります。削除して良いんですか?

2.無効にしました。とりあえず、問題ないようです。

3.WDM.DLLを消そうと努力してみましたが、killboxでは見つからないので、消す事が出来ませんでした。

4.ヒューリスティックスキャンでも検出できませんでした。

5.セーフモードでも見つかりませんでした。
ん~、諦めてOS再インストールすべきなのかな・・?

投稿日時 - 2004-05-24 01:23:32

ANo.66

>正常に動いてました。
>エラーも出ませんでした。o(^▽^)o
という表現があちこちにありますので、一応解決したものと思っていました。
ひょっとすると未解決でしょうか。

取り敢えず、補足情報についてのコメント書き込んでおきます。
~~~~~~~~~~~~~~~~~~~~~~~~

No.54 補足の件
>CWShredder でやっぱり引っかかります。一時的なものだったのかな?
>まだ、about:blankのままです。
>WDM.DLL 2ae60000 131072 C:\WINDOWS\SYSTEM\WDM.DLL
>4月以降のファイルは NCG.DLL と WDM.DLLです。

新しいファイルが出てきましたね。
それぞれの日付を調べてください。
WDM.DLLの日付が新しければ、一旦削除された後、同名で再登場ということに。
この場合、第3のファイルの存在を疑うことになります。
矢張り、KERNEL32.DLLでしょうか?
~~~~~~~~~~~~~~~~~~~~~~~~

No.56 補足の件
>CWShredder で引っかかるファイルなんですけど、
>とりあえず、覚えいているのは KERNEL32.DLL です。

このファイルは文字通りWindowsの核となるファイルです。
このファイルが無いとWindowsを起動できないはずです。

Running processesでも先ず一番に表示されます。
C:\WINDOWS\SYSTEM\KERNEL32.DLL

考えられることは
1.非常によく似た名前のファイル
2.他のフォルダにある同名のファイル
3.正規のファイルの末尾に悪意のあるコードを追加されている
 DOSモードで起動して、一旦削除しWindowsを上書きインストールすればいいかもしれませんが、非常に危険なので、お勧めできません。
 またAV(AntiVirus)ソフトがインストールされているので、もし、このファイルが汚染されていればブロックされていると思います。
~~~~~~~~~~~~~~~~~~~~~~~~

No.58 補足の件
>「HijackThis」で「savelog」→「保存」をすると、
>INSTALL.LOGファイルがオープンしませんとなります。
日本語のエラー表示であれば、システムから出ていると思います。
ウィルスが「HijackThis」を書き換えているのかもしれません。
例えば上のコマンドを実行しようとするとNotePad.exeをアンインストールさせる。
しかし、NotePad.exeには、INSTALL.LOGファイルが無いのでシステムエラーになる。
ただし、これは私の推定です。プロが聞くと大笑いするかもしれません。
「HijackThis」フォルダを一旦削除して再インストールすると直るかもしれません。
hijackthis.zipを解凍して「HijackThis.exe」を適当なフォルダに保存するだけでいいはずです。
最新バージョン(v1.97.6)を確認しておいてください。
~~~~~~~~~~~~~~~~~~~~~~~~

No.59 補足の件
>02-BHO(no name)のところに新しいやつは出てきてません。
>それだけでは説明不足かな?

IEを起動すると、また現れると思います。
現にStartupListに出ています。
Enumerating Browser Helper Objects:
(no name) - C:\WINDOWS\SYSTEM\NCG.DLL - {9E4F3FA1-A9B8-11D8-B660-0090237C27D7}

NCG.DLLファイルを削除、レジストリから削除してもまた別の名前のものが現れます。
~~~~~~~~~~~~~~~~~~~~~~~~

投稿日時 - 2004-05-23 07:50:16

お礼

ごめんなさい。m(__)m
ややこしい表現をしてしまいまして。
まだ未解決です。(”ゞ

KERNEL32.DLLに似たような奴だったのかな?それとも私の勘違い???

投稿日時 - 2004-05-23 21:19:53

ANo.65

どうも私の症状と同じようなので…

私もアドレスが "about:blank"で、"Search for"と書かれたページが表示されていました。そしてスパイウェアの警告のウィンドウが開いていたのですが、こちらの回答を参考にさせて頂いたら解決できました。ちなみにWindows98です。

C:\WINDOWS\SYSTEM\GAMEBE.DLL
こんなファイルはありませんか? 私はHijackThisを使って見つけました。ログを見させてもらった限りでは無いようなのですが、私の場合はこのファイルを削除することで解決できましたので、参考までにお教えしておきます。

投稿日時 - 2004-05-23 02:44:43

お礼

ありがとうございます。
ん~、どうやらGAMEBE.DLLファイルは存在しないようです。
残念です・・・。(/。\)

投稿日時 - 2004-05-23 21:03:24

ANo.64

>{E6FB5E20-DE35-11CF-9C87-00AA005127ED}を含む
>レジストリはいくつかあるようです。関係ないかな?
レジストリの

マイコンピュータ
 +HKEY_CLASSES_ROOT
  +CLSID
   +{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
    +InProcServer32 ←クリック
右ウィンドウの
名前___種類____データ
(標準) REG_SZ  c:\windows\System\webcheck.dll
ってなってて
この
webcheck.dllの製造元が
Microsoftなら問題ないと思います

投稿日時 - 2004-05-21 23:56:47

補足

これで全部です。
*016-DPF:{8FBFE5FF-5E98-11D3-80AF-00C04FCBC72}(SurveyCtl35 Class)-http://activex.microsoft.com/contorols.mtswizards/sw35.cab
*016-DPF:{D27CDB6E-AE6D-11CF96B8-44553540000}(Shockwave Flash Object)-http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
*016-DPF:{8AD9C840-044-11D1-B3E9-00805F499D93}Java Runtime Environment 1.4.0_01)-
*016-DPF:{CAFEEFAC-0014-0000-0001-ABCDEFFDCBA}Java Runtime Environment 1.4.0_01)-
*016-DPF:{2B323CD9-50E3-11D3-9466-00A0C9700498}(Yahoo! Audio Conferencing)-http://cs.chat.yahoo.co.jp/v45/yacscom.cab
*016-DPF:Yahoo! Chat JP 2-http://cs.chat.yahoo.co.jp/c302/chat.cab
*016-DPF:{9F1C11AA-197B-4942-BA54-47A8489BB47F}(Update Class)-http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38020.4740277778
*016-DPF:{E504EE6E-47C6-11D5-B8AB-00D0B78FD48}(Yahoo! Webcam Viewer Wrapper)-http://chat.yahoo.co.jp/cab/yvwrctl.cab
*016-DPF:{C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE}(Symantec RuFSI Registry Information Class)-http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
*016-DPF:{2BC66F54-93A8-11D3-BEB6-00105AA9B6AE}(Symantec AntiVirus scanner)-http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
*018-Protocol hijack:http-{79EAC9E2-BAF9-11CE-8C82-00AA004BA90B}

投稿日時 - 2004-05-22 19:23:04

お礼

ありがとうございます。
種類の列が元々ないのですが、(標準) c:\windows\System\webcheck.dllとなってます。
製造元はMictosoftでした。

下の補足の続きです。
*04-HKLM\..\RunServices:[McAfeeWebScanX]C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanXExe/RUNSERVICES
*04-HKLM\..\RunServices:[Mchine Debug Manager]C:/WINDOWS/SYSTEM/MDM.EXE
*04-HKLM\..\RunServices:[Hidserv]Hidserv.exe run
*04-HKLM\..\RunServices:[LoadPowerProfiles]Rundll32.exe powprof.dll,LoadCurrentPwrScheme
*04-HKLM\..\RunServices:[Vshwin32EXE]C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE
*04-HKLM\..\RunServices:[SchedulingAgent]mstask.exe
*04-HKCU\..\Run:[msnmsgr]"C:/PROGRAM FILES/MSN MESSENGER/MSNMSGR.EXE"/background
*04-Startup:FM・□□□□[□.lnk=C:/Program Files/Fujitsu/AUV/AUVCore.exe
*04-Startup:Microsoft Office.lnk=C:/Program Files/Microsoft Office/Office/OSA9.EXE
*04-Startup:hatchinside.exelnk=C:Program Files/HatchInside/hatchinside.exe
*04-Startup:WordLinker.lnk=C:/Program Files/ZENRIN/EmapZ2/WordLinker/SS_Linker.exe
*09-Extra button:RealGuide(HKLM)

投稿日時 - 2004-05-22 19:21:33

ANo.63

>{E6FB5E20-DE35-11CF-9C87-00AA005127ED}を含む
>レジストリはいくつかあるようです。関係ないかな?
どこにあるか補足してね。

>「スタートアップグループの項目を読み込む」の
>チェックだけをはずしたときも
>正常に動いているようでした
となると
システム設定ユーティリティの
「スタートアップ」タブの中に
怪しいのがあることになります。
ここの一覧を補足していただけませんか?

投稿日時 - 2004-05-21 23:37:51

補足

*FO-syst>m.ini:Shell=
*FO-R□□ >ystem.ini:Shell>=
*FO-R□□ >ystem.ini:UseInit=
*02-BHO:(no name)-{8B7B79C1-AA8F-11D8-B660-009002A627F8}-C:/WINDOWS/SYSTEM/CHGB.DLL
*03-Toolbar:?????-{8E718888-423F11D2-876E-00A0C9082467}-C:/WINDOWS/SYSTEM/MSDXM.OCX
*04-HKLM\..\Run:[McafeeWebScanX]C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanXExe
*04-HKLM\..\Run:[internat]unternat.exe
*04-HKLM\..\Run:[ScanRegistry]c:/windows/scanregw.exe/autorun
*04-HKLM\..\Run:[TaskMonitor]c:/windows/taskmon.exe
*04-HKLM\..\Run:[SystemTray]Systray.Exe
*04-HKLM\..\Run:[LoadPowerProfile]Rundll32.exe powprof.dll,LoadCurrentPwrscheme
*04-HKLM\..\Run:[LoadBtnHnd]C:/Program Files/Common Files/Fujitsu Shared/Btnhnd.exe
*04-HKLM\..\Run:[AvconsoleEXE]C:/Program Files/Network Associates/McAfee VirusScan/avconsol.exe/minimize
*04-HKLM\..\Run:[VsStatEXE]CProgram Files/Network Associates/McAfee VirusScan/VSSTAT.EXE/SHOWWARNING
*04-HKLM\..\Run:[LoadOM]loadam.exe
*04-HKLM\..\Run:[Vshwin32EXE]C:PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE
*04-HKLM\..\Run:[TkBellExe]"C:Program Files/Common Files/Real/Update_OB/realshed.exe"-osboot

投稿日時 - 2004-05-22 17:21:27

お礼

ありがとうございます。
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED} (標準)"webchek"
HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED} (標準)"webchek"
HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\ClsidFeature {E6FB5E20-DE35-11CF-9C87-00AA005127ED} "{3af36230-a269-11d1-b5bf-0000f8051515}!6,0,2800,1106"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved {E6FB5E20-DE35-11CF-9C87-00AA005127ED} "webchek"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad  webchek "{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"

投稿日時 - 2004-05-22 17:19:16

ANo.62

>WebCheck "{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
>というのがあります。
それだけなら、そこは正常です。

>正常に動いてました。
>エラーも出ませんでした。o(^▽^)o
標準の起動でも正常なら直ってますが、

標準の起動で駄目なら

「システム設定ユーティリティ」の「全般」タブで
「起動オプションを選択する」を選択します。

「スタートアップグループの項目を読み込む」
のチェックだけを外してみてください。

これで再起動されたWindowsで
「Webの設定のリセット」はどうでしょうか?

確認後、
「標準の起動」でWindowsを再起動させてね。

投稿日時 - 2004-05-21 02:26:22

お礼

ありがとうございます。
{E6FB5E20-DE35-11CF-9C87-00AA005127ED}を含むレジストリはいくつかあるようです。関係ないかな?

「スタートアップグループの項目を読み込む」のチェックだけをはずしたときも正常に動いているようでした。

投稿日時 - 2004-05-21 05:35:50

ANo.61

レジストリの

HKEY_LOCAL_MACHINE
 +SOFTWARE
  +Microsoft
   +Windows
    +CurrentVersion
     +ShellServiceObjectDelayLoad ←クリック

右側のウィンドウに
WebCheck以外に何か登録されていませんか?

投稿日時 - 2004-05-20 04:53:39

お礼

ありがとうございます。
WebCheck "{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
というのがあります。

投稿日時 - 2004-05-20 15:02:55

ANo.60

>とりあえず、正常に動くようです。
>IE終了時に出るエラーもでないです。
('◇')ゞラジャ

では、
「システム設定ユーティリティ」の「全般」タブで
「起動オプションを選択する」を選択します。

「SYSTEM.INIファイルを処理する」
「WIN.INIファイルを処理する」
「スタートアップグループの項目を読み込む」
のチェックを外してみてください。

これで再起動されたWindowsで
「Webの設定のリセット」はどうでしょうか?

確認後、
「標準の起動」でWindowsを再起動させてね。

投稿日時 - 2004-05-20 03:00:13

お礼

ありがとうござます。
正常に動いてました。
エラーも出ませんでした。o(^▽^)o

投稿日時 - 2004-05-20 15:23:27

ANo.59

よく見ると、これはスタートアップリストですね。
これも役に立つんですが、No.55の説明どおり操作すると別のものが出ます。
それが「HijackThis」のログです。
よろしく・・・

投稿日時 - 2004-05-19 18:23:48

お礼

02-BHO(no name)のところに新しいやつは出てきてません。
それだけでは説明不足かな?

投稿日時 - 2004-05-19 18:44:39

ANo.58

「HijackThis」ログ
一番大事な部分が抜けているみたい。

「C:\MY DOCUMENTS\HIJACKTHIS\HIJACKTHIS.EXE」
のあとからチェックボックスを入れる部分の表示

入れる場所が無かったんでしょうか?
それともこれから入れる?、

投稿日時 - 2004-05-19 17:51:35

お礼

すみません。m(__)m
「savelog」→「保存」をすると、
INSTALL.LOGファイルがオープンしませんとなります。
どういうことだろ?

投稿日時 - 2004-05-19 18:37:00

ANo.57

スタート→「ファイル名を指定して実行」をクリック
msconfig
と入力して「OK」をクリック
「システム設定ユーティリティ」が起動されます

「全般」タブの
「診断スタートアップ」を選択して
システム設定ユーティリティを終了させます。

Windowsが最小のシステムで再起動されます。

この状態で
「Webの設定のリセット」ではどうなりますか?

結果を確認したら、

「システム設定ユーティリティ」を起動させて
「全般」タブの
「標準」を選択して
システム設定ユーティリティを終了させて
Windowsを通常の状態で再起動します。

投稿日時 - 2004-05-19 12:43:15

お礼

ありがとうございます。
とりあえず、正常に動くようです。
IE終了時に出るエラーもでないです。

投稿日時 - 2004-05-19 18:31:31

ANo.56

>NEE.DLLをKILLBOXで消しちゃったんですが
 
 表で動くファイル:ENOOHC.DLL
 裏で動くファイル:NEE.DLL
 
 両方殺せば「about:blank」は消えるとにらんでたんですが・・・
 
 裏の裏で動くファイル:WDM.DLL???
 
>CWShredder は引っかからなくなりました
 それでも、まだ、スタートページは「about:blank」ですか?
 No.41 basser_no1さんの「Webの設定のリセット」を実行して正常に戻りませんか?

>依然、WDM.DLLは残ってます。
 「runme.bat」で作成された「Log.txt」にどのように表示されていますか。
 WDM DLLの行全体を貼り付けてください。
 
☆DirDLL3.bat
 新しいファイルが出現している可能性もあります。
 下記バッチ実行して、4月以降の新しいデータが無いか調べてください。
:~~~~~~DirDLL3.batはじめ~~~~~~~
c:
cd\WINDOWS\System
echo DLLファイルリスト日付順(降順) %date%%time%> c:\DirDLL3.txt
echo\ >> c:\DirDLL3.txt
dir *.dll /O-D >> c:\DirDLL3.txt
Notepad.exe c:\DirDLL3.txt
exit
:~~~~~~DirDLL3.bat終わり~~~~~~~

投稿日時 - 2004-05-19 08:56:43

補足

CWShredder で引っかかるファイルなんですけど、
どうやって見たのか忘れちゃいました。
すみません。m(__)m
とりあえず、覚えいているのは KERNEL32.DLL です。

投稿日時 - 2004-05-19 19:40:24

お礼

ありがとうございます。
CWShredder でやっぱり引っかかります。一時的なものだったのかな?まだ、about:blankのままです。

WDM.DLL 2ae60000 131072 C:\WINDOWS\SYSTEM\WDM.DLL

4月以降のファイルは NCG.DLL と WDM.DLLです。

投稿日時 - 2004-05-19 17:49:05

ANo.55

「HijackThis」のログを貼り付けてみてください。

「Scan」ボタンを押し、リストが表示されると「Scan」ボタンが「Save log」に変わります。

「Save log」をクリックするとメモ帳で表示されます。

長ければ分割が必要になるかもしれません。

投稿日時 - 2004-05-19 06:48:14

補足

Listing of startup folders:

Shell folders Startup:
[C:\WINDOWS\スタート メニュー\プログラム\スタートアップ]
FM便利ツール.lnk = C:\Program Files\Fujitsu\AUV\AUVCore.exe
Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
hatchinside.exe.lnk = C:\Program Files\DI\HatchInside\hatchinside.exe
WordLinker.lnk = C:\Program Files\ZENRIN\EmapZ2\WordLinker\SS_Linker.exe

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

internat.exe = internat.exe
ScanRegistry = c:\windows\scanregw.exe /autorun
TaskMonitor = c:\windows\taskmon.exe
SystemTray = SysTray.Exe
LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
LoadBtnHnd = C:\Program Files\Common Files\Fujitsu Shared\BtnHnd.exe
AvconsoleEXE = C:\Program Files\Network Associates\McAfee VirusScan\avconsol.exe /minimize
VsStatEXE = C:\Program Files\Network Associates\McAfee VirusScan\VSSTAT.EXE /SHOWWARNING
LoadQM = loadqm.exe
Vshwin32EXE = C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE
McAfeeWebScanX = C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe
TkBellExe = "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

Machine Debug Manager = C:\WINDOWS\SYSTEM\MDM.EXE
Hidserv = Hidserv.exe run
LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
Vshwin32EXE = C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE
McAfeeWebScanX = C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe /RUNSERVICES
SchedulingAgent = mstask.exe

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

msnmsgr = "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background

--------------------------------------------------

C:\WINDOWS\WININIT.BAK listing:
(Created 19/5/2004, 1:23:36)

[rename]
NUL=C:\WINDOWS\TEMP\GLB1A2B.EXE

--------------------------------------------------

C:\AUTOEXEC.BAT listing:

SET DOS4G=QUIET
C:\PROGRA~1\NETWOR~1\MCAFEE~1\SCAN.EXE C:\ /NOBREAK /SILENT
IF ERRORLEVEL 1 PAUSE
loadhigh c:\windows\COMMAND\nlsfunc.exe c:\windows\country.sys
SET PATH=C:\FJUTY;
SET PATH=%PATH%;C:\PROGRA~1\NETWOR~1\MCAFEE~1

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:\PROGRA~1\INETLITE\ATLIE.DLL - {4449EEE1-2955-11D3-8B43-0000E20DA208}
(no name) - C:\WINDOWS\SYSTEM\NCG.DLL - {9E4F3FA1-A9B8-11D8-B660-0090237C27D7}

--------------------------------------------------

投稿日時 - 2004-05-19 17:30:16

お礼

ありがとうございます。
StartupList report, 04/05/19, 17:25:35
StartupList version: 1.52
Started from : C:\MY DOCUMENTS\HIJACKTHIS\HIJACKTHIS.EXE
Detected: Windows 98 SE (Win9x 4.10.2222A)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE
C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WEBSCANX.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\HIDSERV.EXE
C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSSTAT.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\COMMON FILES\FUJITSU SHARED\BTNHND.EXE
C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\AVCONSOL.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAM FILES\FUJITSU\AUV\AUVCORE.EXE
C:\PROGRAM FILES\DI\HATCHINSIDE\HATCHINSIDE.EXE
C:\PROGRAM FILES\ZENRIN\EMAPZ2\WORDLINKER\SS_LINKER.EXE
C:\WINDOWS\SYSTEM\IMEJPMGR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\ZENRIN\EMAPZ2\WORDLINKER\MOUSEHOOK.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\MY DOCUMENTS\HIJACKTHIS\HIJACKTHIS.EXE

投稿日時 - 2004-05-19 17:28:30

ANo.54

Downloaded Program Filesフォルダに残骸は存在していませんでした。

Downloaded Program Filesフォルダにある
desktop.iniファイルをダブルクリックします。

メモ帳で開かれるので

;CLSID={88C6C381-2E85-11d0-94DE-444553540000}
これを
CLSID={88C6C381-2E85-11d0-94DE-444553540000}
こうします。

メモ帳で「ファイル」→「メモ帳の終了」をクリック
保存の確認ダイアログが出るので「はい」をクリックします。
-----------------------

ENOOHC.DLL が一番あやしいですね。
MS-DOSで起動してこのファイルを変名してみるとか。

NEE.DLLは読み込まれていないので
Windowsをセーフモードで起動して直接変名してみてもいいかも。

投稿日時 - 2004-05-18 20:21:11

補足

Enumerating Download Program Files:

[SurveyCtl35 Class]
InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\SURVEYCONTROL35.DLL
CODEBASE = http://activex.microsoft.com/controls/mtswizards/sw35.cab

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\SYSTEM\MACROMED\FLASH\FLASH.OCX
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

[{8AD9C840-044E-11D1-B3E9-00805F499D93}]

[{CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA}]

[Yahoo! Audio Conferencing]
InProcServer32 = C:\WINDOWS\DOWNLO~1\YACSCOM.DLL
CODEBASE = http://cs.chat.yahoo.co.jp/v45/yacscom.cab

[Update Class]
InProcServer32 = C:\WINDOWS\SYSTEM\IUCTL.DLL
CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38020.4740277778

[Yahoo! Webcam Viewer Wrapper]
InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\YVWRCTL.DLL
CODEBASE = http://chat.yahoo.co.jp/cab/yvwrctl.cab

[Symantec RuFSI Registry Information Class]
InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\RUFSI.DLL
CODEBASE = http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

[Symantec AntiVirus scanner]
InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\AVSNIFF.DLL
CODEBASE = http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

WebCheck: C:\WINDOWS\SYSTEM\WEBCHECK.DLL

--------------------------------------------------
End of report, 6,451 bytes
Report generated in 0.320 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

投稿日時 - 2004-05-19 17:36:32

お礼

ありがとうございます。
ほっ、残骸が消えててよかった。o(^▽^)o

ごめんなさい、NEE.DLLは消しちゃいました・・。(--ゞ

投稿日時 - 2004-05-19 02:00:02

ANo.53

>「ファイル名を指定して実行」regsvr32と入力すると
>No DLL name specified.
>Usage: ....
>というメッセージがでたんですが・・?
いえいえ、
regsvr32 /u ENBFCAA.DLL
って意味です。
ごめんなさい。
私の勘違いでした。

投稿日時 - 2004-05-18 20:12:53

お礼

ありがとうございます。
あっ、そういう意味だったのか、なるほど。
私の無知のせいでございます。m(__)m

投稿日時 - 2004-05-19 01:51:43

ANo.52

No.49
>CWShredder で毎回引っかかるファイルはあるんだけどなぁ。

ファイル名教えてください。
複合汚染の可能性ありますので・・・

まあ、ここまで来たら、あせらずゆっくりやりましょう。

投稿日時 - 2004-05-18 20:00:07

お礼

ありがとうございます。
NEE.DLLをKILLBOXで消しちゃったんですが、(まずかったかな?)それとともにCWShredder は引っかからなくなりました。
依然、WDM.DLLは残ってます。

投稿日時 - 2004-05-19 01:45:19

ANo.51

No.49の操作

>パスをコピーして「Add File」を選択しても自動で開かないです。(・・ゞ

1.「KillBox」のメニューの「Action」>「Delete on reboot」で
  「PendingFileRenameOperations」画面を開いておきます。

2.「KillBox」の画面で「Paste Full path of File to Delete」という
  入力ボックスの右にあるフォルダアイコンをクリックします。

3.ファイル選択画面が出ますので
 マイコンピューター>Cドライブ>Windows>Systemを開き
 ENOOHC.DLLを選択して「OK」をクリック

4.「PendingFileRenameOperations」画面のメニューで
 「File」>「AddFile」で選択したファイル名が画面に表示されると思います。

5.同様に他のファイルも表示させてから
 「PendingFileRenameOperations」画面のメニューで
 「Action」>「Process and Reboot」をクリック
 
以上でパソコンが再起動されファイルが削除されると思います。

投稿日時 - 2004-05-18 19:54:02

お礼

ありがとうございます。
ENOOHC.DLLはきえましたが、WDM.DLLは消えませんでした。
残念。。。

投稿日時 - 2004-05-19 01:37:42

ANo.50

heto2ちゃんのでも駄目だった場合、

WindowsXPでしたら
(Windows98でしたっけ?・・・・可能かも、今確認できず)
スタート→「すべてのプログラム」→
「アクセサリ」→「システムツール」→
「システム情報」をクリック

ソフトウェア環境の
「読み込まれているモジュール」を開いて

一覧の
「製造元」をクリックすると製造元順に並び替えられます

中にある製造元の「Microsoft Corp」や知っているメーカ以外の
モジュールを選択して
「編集」→「コピー」をクリックして
この補足に貼り付けてください。

それと、
インターネットからインストールしちゃったActiveXの場合は
Downloaded Program Filesに残骸が残っているかもしれないので
見てみてください。
方法は
インターネットオプションの「全般」タブから
「設定」をクリック
「オブジェクトの表示」をクリック

すると
Downloaded Program Filesフォルダが開きます。
このフォルダは特殊フォルダなので残骸が見えないので
↓を施します。
-------------------
「ツール」→「フォルダオプション」をクリック
「表示」タブをクリック
「アドレスバーにファイルのパス名を表示する」にチェックを入れて
「すべてのファイルフォルダを表示する」にチェックを入れて

「保護されたオペレーティングシステムファイルを表示しない」(Windows98には無いです)
のチェックを外します。
警告ダイアログが出るので「はい」をクリックします。

Downloaded Program Filesフォルダのアドレスバーに
記述されているパスをコピーして

スタート→「ファイル名を指定して実行」をクリック
入力ダイアログに
コピーした文字列を貼り付けて
最後に\desktop.iniと追加します。
(例:C:\WINDOWS\Downloaded Program Files\desktop.ini)
「OK」をクリックすると
desktop.iniファイルがメモ帳で開かれるので

CLSID={88C6C381-2E85-11d0-94DE-444553540000}
ここの先頭にセミコロン(;)を挿入して
;CLSID={88C6C381-2E85-11d0-94DE-444553540000}
こうします。

メモ帳で「ファイル」→「メモ帳の終了」をクリック
保存の確認ダイアログが出るので「はい」をクリックします。
------------------

そして
Downloaded Program Filesフォルダを閉じて
インターネットオプションの「全般」タブから
「設定」をクリック
「オブジェクトの表示」をクリックして開き直してみてください。

そして、出てきたファイル名をすべて教えて下さい。
それと、Downloaded Program Filesフォルダのパス名も教えて下さい。

投稿日時 - 2004-05-18 11:51:08

補足

システム情報です。知らない製造元及び製造元が空白のものです。
読み込まれている16ビットモジュール
・RWABS16C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\RWABS16.DLL 4.0
・WIN87EMC:\WINDOWS\SYSTEM\WIN87EM.DLL3.0
読み込まれている32ビットモジュール
・HATCH32.DLLC:\PROGRAM FILES\DI\HATCHINSIDE\HATCH32.DLL99/06/07 1:25:20 GMT033f0000 - 033fc000
・DHCPCSVC.DLLC:\WINDOWS\SYSTEM\DHCPCSVC.DLL99/05/11 3:12:22 GMT7dd80000 - 7dd87000
・HATCH32.DLLC:\PROGRAM FILES\DI\HATCHINSIDE\HATCH32.DLL99/06/07 1:25:20 GMT10000000 - 1000c000
・NETBIOS.DLLC:\WINDOWS\SYSTEM\NETBIOS.DLL99/05/11 3:12:06 GMT7f820000 - 7f828000
・RWABS32.DLLC:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\RWABS32.DLL99/02/26 1:51:20 GMT02060000 - 0206a000
・MCSCAN32.DLLC:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\MCSCAN32.DLL99/10/21 3:41:54 GMT00430000 - 004bb000
・HATCH32.DLLC:\PROGRAM FILES\DI\HATCHINSIDE\HATCH32.DLL99/06/07 1:25:20 GMT03840000 - 0384c000
・RWABS32.DLLC:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\RWABS32.DLL99/02/26 1:51:20 GMT03460000 - 0346a000
・MCSCAN32.DLLC:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\MCSCAN32.DLL99/10/21 3:41:54 GMT004b0000 - 0053b000
・MOUSEHOOK.DLLC:\PROGRAM FILES\ZENRIN\EMAPZ2\WORDLINKER\MOUSEHOOK.DLL99/06/02 21:11:47 GMT30010000 - 3001e000
・MCSCAN32.DLLC:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\MCSCAN32.DLL99/10/21 3:41:54 GMT023c0000 - 0244b000
・HATCH32.DLLC:\PROGRAM FILES\DI\HATCHINSIDE\HATCH32.DLL99/06/07 1:25:20 GMT013c0000 - 013cc000
・SS_LINKER.EXEC:\PROGRAM FILES\ZENRIN\EMAPZ2\WORDLINKER\SS_LINKER.EXE99/06/18 8:22:50 GMT00400000 - 0040a000
・RWABS32.DLLC:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\RWABS32.DLL99/02/26 1:51:20 GMT013b0000 - 013ba000
・MCSCAN32.DLLC:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\MCSCAN32.DLL99/10/21 3:41:54 GMT01310000 - 0139b000
・ENOOHC.DLLC:\WINDOWS\SYSTEM\ENOOHC.DLL04/04/29 13:55:56 GMT012e0000 - 012eb000
・ATLIE.DLLC:\PROGRAM FILES\INETLITE\ATLIE.DLL99/09/07 9:42:21 GMT10000000 - 10013000
・MOUSEHOOK.EXE1, 0, 0, 1SFD Inc.MouseHookAppC:\PROGRAM FILES\ZENRIN\EMAPZ2\WORDLINKER\MOUSEHOOK.EXE99/06/02 21:11:58 GMTMouseHookApp00400000 - 00406000
・LHSHLEXT.DLL1, 8, 2, 0KazuSoft 大竹和則Shell Extension DLLC:\WINDOWS\SYSTEM\LHSHLEXT.DLL01/09/19 8:06:48 GMTLHSHLEXT Dynamic Link Library1c000000 - 1c01b000
・CSH.DLL2.00.039Blue Sky Software CorporationUser RunTime Communication DLLC:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\CSH.DLL97/02/01 0:44:50 GMTWhat's This? Help Composer02710000 - 02720000

投稿日時 - 2004-05-18 17:56:10

お礼

ありがとうございます。
C:\WINDOWS\Downloaded Program Files の中身です。
avsniff.dll、avsniff.inf、CabSA.inf、catalog.dat、desktop.ini、DirectAnimation Java Classes.osd、Internet Explorer Classes for Java.osd、iuctl.inf、kdu_v32r.dll、Microsoft XML Parser for Java.osd、navapi.vxd、navapi32.dll、naveng32.dll、navex32a.dll、rufsi.dll、scrauth.dat、SurveyControl35.dll、surveycontrol35.inf、swflash.inf、symaveng.cat、symaveng.inf、symaveng.inf、tcscan7.dat、tcscan8.dat、tcscan9.dat、tinf.dat、tinfidx.dat、tinfl.dat、tscan1.dat、tscan1hd.dat、v.grd、v.sig、virscan.inf、virscan1.dat、virscan2.dat、virscan3.dat、virscan4.dat、virscan5.dat、virscan6.dat、virscan7.dat、virscan8.dat、virscan9.dat、virscant.dat、vscanmsx.dat、VwrCtl.inf、yacscom.dll、yacscom.inf、Yahoo! Chat JP 2.osd、yvwrctl.dll、ywcvwr.dll、zdone.dat

投稿日時 - 2004-05-18 17:11:32

ANo.49

色々調べているうち、CWS.Realyellowpage というスパイウエアの可能性が出てきました。
http://www.spywareinfo.com/~merijn/cwschronicles.html#realyellowpage

このウィルスは実行プログラムをタスクマネージャのプロセスリストからでさえ見えないようにしてしまうため、特殊なツールが必要になります。

regsvr32の実行をも妨害している可能性もあります。

見つけたファイルを削除するにも特殊なツールが必要になります。

通常のファイルやレジストリの操作方法では修正できないかも知れません。

スタートページに表示されているページが次のページかどうか確認ください。
http://linklist.cc/

もしこのページと同じであれば次の作業に入ってください。

以下、Merijnさんのサイトでの説明を解りやすく書いてみました。

ただし、危険な作業ですので、時間の余裕をもって慌てず確実にやってください。

1.デスクトップに「CWS」というフォルダを作ります。

2.プログラムのダウンロード
 
 下記ファイルをダウンロードして「CWS」フォルダに保存してください。

 「PV」(ProcessView)
 http://www.spywareinfo.com/~merijn/files/pv.zip
 隠しファイルを見つけるツール
 
 「KillBox」
 http://download.broadbandmedic.com/
 OSの再起動してファイルを削除するツール
 
 「pv.zip」を解凍します。
 解凍したフォルダに「runme.bat」というファイルがあるのを確認してください。
 
 「KillBox」
 同じく「KillBox.exe」というファイルがあるのを確認してください。
 
3.任意のIE画面を開いておきます。

4.「runme.bat」を起動します。
 「pv.exe」を使って、IE関連のモジュールを一覧表示させるバッチファイルです。
 IEが起動されていなければ何も表示されません。

 「Log.txt」
 メモ帳が開き実行中のプロセスの一覧(「Log.txt」)が表示されます。

 「61c00000 61440」
 リストの2列目と3列目に上記表示のあるファイルを見つけてください。
 
 3列目にあるファイルパスとファイル名を「Ctrl+C」で、クリップボードにコピーしておきます。
 
 複数のファイルがあるかもしれません。
 下記のファイルに注意してください。
 
 ENOOHC DLL
 NEE DLL
 WDM DLL
 
5.「KillBox.exe」を起動します。

 メニューの「Action」を開き "Delete on Reboot"を選択します。

6.「PendingFileRenameOperations」という画面が開きます。

 AAA.「File」>「Add File」
  メニューの「File」>「Add File」を選択するとクリップボードにコピーされているファイルパスとファイル名が自動的に追加されます。

 BBB.「File」>「Remove File」
  間違って削除してはいけないファイルを追加してしまった場合はその行を選択してメニューの「File」>「Remove File」をクリックして、画面から削除します。

  !!! 必要なファイルを誤って削除しないよう充分に注意してください!!!

 CCC.削除するファイルの追加
  「Log.txt」に戻りファイルパスとファイル名をコピーして、「KillBox.exe」のメニューの「File」>「Add File」をクリックします。

 DDD.「File」>「Process and Reboot」
  削除するファイルを確定できたら「PendingFileRenameOperations」画面の
「File」>「Process and Reboot」をクリックします。

 EEE.パソコンが再起動され、指定したファイルが削除されます。
 
7.再起動後、任意のIE画面を開いておき「runme.bat」を起動してファイルが削除されているのを確認してください。

隠しファイルや、通常の操作では削除できないファイルを削除できればあとは「HijackThis」等で修復可能と思います。

しかし、複合汚染の可能性もあります。
削除できたファイルや、気付いたことなどレポート下さると助かります。

☆sp.htmlのこと
どうやら、DLLファイルに内蔵しているみたいです。
探しても見つからないと思います。

投稿日時 - 2004-05-18 09:16:35

補足

すみません。
ENOOHC.DLLとWDM.DLLはありました。m(__)m
と、パスをコピーして「Add File」を選択しても自動で開かないです。(・・ゞ

投稿日時 - 2004-05-18 18:12:54

お礼

ありがとうございます。
そっくりです!(+_+)

80個位ファイルがありましたが、
61c00000 61440 ENOOHC DLL、NEE DLL、WDM DLL はありません。
CWShredder で毎回引っかかるファイルはあるんだけどなぁ。

投稿日時 - 2004-05-18 16:44:03

ANo.48

ANo.#23のbeerserverちゃんへの補足を見たんですが。

>Enumerating Browser Helper Objects:
>(no name) - C:\WINDOWS\SYSTEM\ENBFCAA.DLL -
>{9A2BC76A-A457-11D8-B660-00901F25D67B}
これ、
ENBFCAA.DLL
これは
レジストリの
HKEY_LOCAL_MACHINE
 +SOFTWARE
  +Microsoft
   +Windows
    +CurrentVersion
     +Explorer
      +Browser Helper Objects
       +{9A2BC76A-A457-11D8-B660-00901F25D67B}

この{9A2BC76A-A457-11D8-B660-00901F25D67B}キーのことでしょうか?
これは今も存在していますか?

投稿日時 - 2004-05-18 06:40:03

お礼

ありがとうございます。
多分こうだったと思います。
HKEY_LOCAL_MACHINE
+Software
+CLASSES
+CLSID
+{9A2BC76A-A457-11D8-B660-00901F25D67B}

削除したので今はないです。

投稿日時 - 2004-05-18 15:33:31

ANo.47

入力履歴を見て気づいたんですが
regsvr32 は
「ファイル名を指定して実行」からできますよ。

それと、
レジストリエディタは終了させずに、
regsvr32を実行します。

regsvr32を実行後
レジストリエディタを表に出して
「F5」キーを押せば
レジストリの内容が更新されるので楽です。

投稿日時 - 2004-05-18 06:08:11

お礼

ありがとうございます。
「ファイル名を指定して実行」regsvr32と入力すると
No DLL name specified.
Usage: ....

というメッセージがでたんですが・・?

投稿日時 - 2004-05-18 15:21:19

ANo.46

>残念
>どこかに実行履歴が残ると思いしが・・・
koroteke さんがキー入力した履歴だけ残るんですよね。
>DllUnregisterServer in ENOOHC.DLL succeeded
>となりました。成功かな?
>ENOOHC.DLLのキー↓はきえていないです。
HKEY_CLASSES_ROOT
 +CLSID
  +{A386326B-A6B2-11D8-B660-00909A6F7C9A}

ここ以外に
{A386326B-A6B2-11D8-B660-00909A6F7C9A}
の文字列は検索されないのなら
ANo.#37と同じように削除します。

↑を削除すれば、

HKEY_LOCAL_MACHINE
 +Software
  +CLASSES
   +CLSID
    +{A386326B-A6B2-11D8-B660-00909A6F7C9A}
も消えます。

NEE.DLLはどうでしょか?

投稿日時 - 2004-05-18 05:16:30

お礼

ありがとうございます。
ごめんなさい。再起動をしていないせいか、キーは消えていました。
NEE.DLLはまだ残ってます。

投稿日時 - 2004-05-18 15:09:14

ANo.45

>OpenSaveMRUというキーはありませんでした。
残念
どこかに実行履歴が残ると思いしが・・・

助けて! ittochanさん!

>RunMRUは
>a "regedit\1"
>b "command\1"
>c "regsvr32 /u ENBFCAA.DLL\1"
>d "regsvr32 /u JKFJP.DLL\1"
>MRUList "cadb"

MRUList "cadb"
下記の順(または逆順)に実行されたことを示しています。
c "regsvr32 /u ENBFCAA.DLL\1"
a "regedit\1"
d "regsvr32 /u JKFJP.DLL\1"
b "command\1"

出かけなければなりませんので、本日これまで

投稿日時 - 2004-05-17 08:36:07

お礼

ありがとうございます。
なるほど。勉強になります。

投稿日時 - 2004-05-17 20:37:33

ANo.44

楽に作業できるようバッチファイル作りました。
実行結果教えてください。

:~~~~~~DirDLL2.batはじめ~~~~~~~
:sp.htmlを見つける
:DLLファイルを日付順(降順)でリストアップ
:
 c:
 cd\WINDOWS\System
 dir sp.html /s > c:\DirDLL2.txt
 dir *.dll /O-D >> c:\DirDLL2.txt
 Notepad.exe c:\DirDLL2.txt
:~~~~~~DirDLL2.bat終わり~~~~~~~

:~~~~~~DirAH2.batはじめ~~~~~~~
:隠しファイルを見つける
:「C:\WINDOWS\system のディレクトリ」以下に
:ファイル一覧を表示
:表示が無ければ隠しファイルなし。
:
 c:
 cd\WINDOWS\System
 dir /a:h > c:\DirAH2.txt
 Notepad.exe c:\DirAH2.txt
:~~~~~~DirAH2.bat終わり~~~~~~~

:~~~~~~AttDLL2.batはじめ~~~~~~~
:疑わしいファイルの属性を調べる
:
 c:
 cd\WINDOWS\System
 attrib ENOOHC.DLL > c:\AttDLL2.txt
 attrib sp.html >> c:\AttDLL2.txt
 attrib NEE.* >> c:\AttDLL2.txt
 attrib enbfcaa.dll >> c:\AttDLL2.txt
 attrib JKFJP.DLL >> c:\AttDLL2.txt
 Notepad.exe c:\AttDLL2.txt
:~~~~~~AttDLL2.bat終わり~~~~~~~

投稿日時 - 2004-05-17 08:22:47

お礼

ありがとうございます。
DirDLL2 (日付が2004年4月以降のものです。)
ENOOHC DLL 31,232 04-05-15 21:40 enoohc.dll
NEE DLL 31,232 04-05-05 6:29 nee.dll
WDM DLL 57,344 04-05-05 0:19 wdm.dll

DirAH2 
FOLDER HTT 13,240 99-12-13 15:58 folder.htt
DESKTOP INI 266 99-12-13 15:58 desktop.ini
BJBGMON GID 10,828 04-02-05 1:34 Bjbgmon.GID
BJSTS GID 10,829 01-04-19 1:34 bjsts.GID
BJSTLST GID 10,828 01-04-19 1:50 Bjstlst.GID
BJUITBL GID 19,105 03-01-24 21:49 bjuitbl.GID

AttDLL2
A ENOOHC.DLL C:\WINDOWS\System\enoohc.dll
A NEE.DLL C:\WINDOWS\System\nee.dll

投稿日時 - 2004-05-17 18:31:37

ANo.43

1.「CWShredder」(Ver.1.57.0)
 「CWShredder」が(完全ではありませんが)対応し始めたようです。
 (Ver.1.57.0)をダウンロードしてチェックしてください。
 http://www.spywareinfo.com/~merijn/downloads.html

 下記のレポートが表示されるはずです。
 コピーして貼り付けてください。
 
 Infected Registry value:
 HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar
 Infected data: res://C:\WINDOWS\SYSTEM\ENOOHC.DLL/sp.html (obfuscated)
 (以下30行ほど続く)

2.sp.html
 C:\WINDOWS\SYSTEM\ENOOHC.DLL/sp.html/
 「sp.html」というファイルを見つけ出してください。
 この中にスクリプトが書き込まれている可能性があります。
 
3.ENOOHC.DLL
 ENOOHC.DLLのプロパティで「属性」を調べてください。
 
4.NEE.DLL
 以下調査ください。
 NEE.DLLがまだ存在するか?
 NEE.XXXが存在するか?

投稿日時 - 2004-05-17 07:20:27

お礼

ありがとうございます。
1. ダウンロードしてチェックしましたが、そのようなレポートが出なかったのですが...?
2. sp.htmlというファイルはありませんでした。
3. ENOOHC.DLLの属性はアーカイブにチェックが入ってます。
4. NEE.DLLはまだ存在しています。NEE.XXXは存在しないです。

投稿日時 - 2004-05-17 20:28:30

ANo.42

1.
>HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{9A2BC769-A457-11D8-B660-0090EFF7480C}
>HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{5AE2C585-A5E3-11D8-B660-00908DF51DD1}
>これでよろしいですか?
これは
HKEY_CLASSES_ROOT
 +CLSID
  +{9A2BC769-A457-11D8-B660-0090EFF7480C}
  +{5AE2C585-A5E3-11D8-B660-00908DF51DD1}
のコピーなのです。

あとは無いんですね?
もし無ければレジストリエディタでの探索はこれ以上無理って事になります。

2.
>2つとも消えてませんでした。
>LoadLibrary("enbfcaa.dll")filed.
>GetLastError returns 0x00000485
>というメッセージはエラーということでしょうか?
これはregsvr32では
登録解除できなかったことになります。
現在、そのファイルが使用中の場合は登録解除できません。
Windowsをセーフモードで起動してやってみると
登録解除できるかもしれません。

1で、そこ以外に無くて
2で、Windowsのセーフモードでも駄目で

ENBFCAA.DLLとJKFJP.DLLが不必要なファイルなら
レジストリエディタで
HKEY_CLASSES_ROOT
 +CLSID
  +{9A2BC769-A457-11D8-B660-0090EFF7480C}
  +{5AE2C585-A5E3-11D8-B660-00908DF51DD1}
この
{9A2BC769-A457-11D8-B660-0090EFF7480C}
{5AE2C585-A5E3-11D8-B660-00908DF51DD1}
2つのキーを削除すればOKです。

ENOOHC.DLLの探索はどうでしょうか?

投稿日時 - 2004-05-17 05:50:00

お礼

ありがとうございます。
セーフモードでもダメだったので、削除しました。

ENOOHC.DLLは
DllUnregisterServer in ENOOHC.DLL succeeded
となりました。成功かな?けど、ENOOHC.DLLのキー↓はきえていないです。
HKEY_CLASSES_ROOT\CLSID\{A386326B-A6B2-11D8-B660-00909A6F7C9A}\InProcServer32

投稿日時 - 2004-05-17 20:00:47

ANo.41

問題の「DLLファイル」は、IEの起動・終了・設定等操作をするとファイル名が書き換えられていたかも知れません。
試しに、IEを起動→トップページのソース表示をし保存、開いたまま「ツール→インターネットオプション」で「Webの設定のリセット」を実行後、IEを「終了→再起動」で再表示させた時のソースを比較した場合、「res://%43%3a%・・・」行のファイル名は同じでしょうか?

私の場合(Win2000)、レジストリには「res://%43%3a%5c%・・・」とエンコードされて書き込まれてましたので、この先頭の文字列でレジストリキーを検索しヒットしたモノをコード表で解析すれば現在のDLLファイルが判明すると思うので、その状態のままフォルダを検索すれば見つかるかも知れません。

投稿日時 - 2004-05-16 23:42:52

お礼

ありがとうござます。
試してみましたが、同じファイル名でした。

HKEY_CURRENT_USER と HKEY_LOCAL_MACHINE と HKEY_USERS の 
\Software\Microsoft\Internet Explorer の
\Main の Search Bar と Search Parge 、
\Search の Search Assistant が
"res://%43%3a%5c%57%49%4e%44%4f%57%53%5c%53%59%53%54%45%4d%5c%45%4e%4f%4f%48%43%2e%44%4c%4c/%73%70%2e%68%74%6d%6c"
となっていました。

投稿日時 - 2004-05-17 01:14:42

ANo.40

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
以下、時間がなくなってきたので、見込み運転です。
No.39でDirDllAH.txtの表示が空白であった場合、次の作業に移ってください。

1.全てのIE画面を終了させる

2.「HijackThis」を起動して、「Scan」をクリック

3.「NOOHC.DLL」を含む行の左端のチェックボックスをクリックしてチェックを入れる。
 例えば下のような行
 O2 - BHO: (no name) - {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx} - C:\WINDOWS\ESystem\NOOHC.DLL
 (xxxxxxxxには英数字が入ります。)
 
4.「Fix checked」をクリック

5.「HijackThis」を終了

6.コンピュータを再起動します。

7.「Web設定のリセット」
 IEを起動してメニューの「ツール」「インターネットオプション」「プログラム」画面にある「Web設定のリセット」で初期設定に戻してください。

☆お願い

参考までに下記レジストリの右側で怪しげなファイル名が無いか調べてください。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

投稿日時 - 2004-05-16 17:50:52

補足

おっしゃったとおりにしました。
けど、またHijackThisでscanしたところ、
02 - BHO のところに「・・・ENOOHC.DLL」がでてきました。

投稿日時 - 2004-05-16 23:19:07

お礼

ありがとうございます。
OpenSaveMRUというキーはありませんでした。
RunMRUは
a "regedit\1"
b "command\1"
c "regsvr32 /u ENBFCAA.DLL\1"
d "regsvr32 /u JKFJP.DLL\1"
MRUList "cadb"
となっています。

投稿日時 - 2004-05-16 21:02:10

ANo.39

チョイト説明不足でした。
DirDllAH.txtは検索結果を表示するファイルです。
メモ帳等で開いてください。
空白であれば隠しファイルは無かったということになります。

korotekeさんのご回答を待って,次の作業に入りたいと思います。

敵は本能寺(NEE.DLL)にありそうです。

しかし、ファイル操作を繰り返しているうちにファイル名が変わっている可能性もありますので油断は禁物です。

何とか今日中に片付けたいですね。

投稿日時 - 2004-05-16 16:42:29

補足

ごめんなさい。
「NOOHC.DLL」ではなく、
「ENOOHC.DLL」でした。
すみません。m(__)m

投稿日時 - 2004-05-16 21:03:24

お礼

ありがとうございます。
No.38のお礼のところに書いたもののみが書いてありました。
という事は空白という事でいいのかな?
と、補足です。
No.35のところでファイルは2つと書きましたが、3つになってました。m(__)m
NOOHC.DLL と NEE.DLL と WDM.DLL の3つです。

投稿日時 - 2004-05-16 20:27:26

ANo.38

>HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Doc Find Spec MRU
 MRUは「MostRecentlyUsed」の略ですから、検索履歴と考えていいでしょう。
 
>HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{A386326B-A6B2-11D8-B660-00909A6F7C9A}\InProcServer32
 「InProcServer32」キーを使って特殊なプログラムをメモリーに読み込むようです。
 しかし、この辺になると、私の知識もあやふやなので「丸呑み禁止」です。

 この辺はittochanさんがお詳しいと思います。
 
>NEE.DLLは見つかりましたが、WDM.DLLは見つかりませんでした。
次々に、実行ファイル名を変えたり、隠しファイルにしている可能性が出てきました。

1.NEE.DLL
 エキスプローラでプロパティを調べてください。
 
 「全般」画面
  サイズ:
  ディスク上のサイズ:
  作成日時:
  更新日時:
  アクセス日時:
 
 「バージョン情報」画面
  説明:
  著作権:
  会社名
  
2.WDM.DLL
 NEE.DLLと摩り替わった可能性がありますが、「隠しファイル」で生きている可能性もあります。
 下記バッチファイルを試してみてください。
 
☆バッチファイルの作成
 C:\WINDOWS\System32\フォルダにある「DLL」ファイルのうち「隠し属性」のあるものをテキストファイルに書き出します。
 下記の行をメモ帳等に貼り付け、例えば「DirDLLAH.bat」という名前で「c:\」に保存してください。
 :~~~~~~引用はじめ~~~~~~~
 c:
 cd\
 cd \WINDOWS\System
 dir *.dll /a:h > c:\DirDllAH.txt
 :~~~~~~引用終わり~~~~~~~
 
☆バッチファイルの実行
 「c:\DirDLL.bat」を実行すると「c:\DirDllAH.txt」が作成されます。
 もし、このファイルが空白であれば削除されたと判断します。
 
 通常、DLLファイルを隠しファイルにする必要は無いはずです。
 もし、隠しファイルがあれば疑っていいと思います。
 
☆プロパティの調査
 隠し属性を削除する作業が必要です。
 
>新しいDLLはENOOHC.DLL
この種のファイルは「HijackThis」で楽に削除できるので、今回はあまり重要視していません。

なれぬことで大変でしょうが、着々と作業が進んでいると思っています。
korotekeさんのご回答に注目している方も多いと思います。
何度も言いますが、貴方がお持ちの情報が一番貴重なんです。
あと一息! 頑張りましょう。

投稿日時 - 2004-05-16 08:30:57

お礼

ありがとうございます。
そのお言葉を励みに頑張りたいと思います。ヾ(@^▽^@)

NEE.DLLは全般タブのみで、バージョン情報はありません。
サイズ:30.5KB(31,232)、32,678バイト使用
作成日時:2004年5月5日 6:29:16
更新日時:2004年5月5日 6:29:18
アクセス日:2004年5月16日

DirDllAH.txtは
ドライブ C: のボリュームラベルはありません.
ボリュームシリアル番号は 3A30-18D8
ディレクトリは C:\WINDOWS\SYSTEM
となってます。

投稿日時 - 2004-05-16 15:02:34

ANo.37

ENBFCAA.DLL
のCLSIDが
{9A2BC769-A457-11D8-B660-0090EFF7480C}

JKFJP.DLL
のCLSIDが
{5AE2C585-A5E3-11D8-B660-00908DF51DD1}
なので、

レジストリエディタで
{9A2BC769-A457-11D8-B660-0090EFF7480C}

{9A2BC769-A457-11D8-B660-0090EFF7480C}
という文字列を検索して、どこに登録されているか調べます

それと、
スタート→「ファイル名を指定して実行」をクリック
regsvr32 /u ENBFCAA.DLL
と入力して「OK」をクリック

スタート→「ファイル名を指定して実行」をクリック
regsvr32 /u JKFJP.DLL
と入力して「OK」をクリック
をしてみます。

もし成功のダイアログが出たら、
もう一度レジストリエディタで

HKEY_CLASSES_ROOT
 +CLSID
  +{9A2BC769-A457-11D8-B660-0090EFF7480C}
  +{5AE2C585-A5E3-11D8-B660-00908DF51DD1}

この2つのキーが消えているか確認します。

投稿日時 - 2004-05-16 07:32:46

お礼

ありがとうございます。
HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{9A2BC769-A457-11D8-B660-0090EFF7480C}
HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{5AE2C585-A5E3-11D8-B660-00908DF51DD1}
これでよろしいですか?

2つとも消えてませんでした。
LoadLibrary("enbfcaa.dll")filed.
GetLastError returns 0x00000485
というメッセージはエラーということでしょうか?

投稿日時 - 2004-05-16 14:33:29

ANo.36

>cd /d c:\windows\systemと入力すると
無効なスイッチです。-/D

Windows98のMS-DOSプロンプトだと、
"/D"オプションは使えないのかもしれません。
(私の環境では問題ありませんが...)
以下の様に入力しても同じ結果を得られます。
 C: [Enter]
 CD C:\WINDOWS\SYSTEM [Enter]
([Enter]はエンターキーを押す事を意味します)
でも、heto2さんのご指摘の様に、
BHOは自動で削除されているのかもしれません。
経験不足ですみません...。
私よりheto2さんの方がずっとお詳しいので、
意見に食い違いがあったら私の方は信じないで下さい(笑)
しかし、DOSのコマンドは覚えておいて
今後の為に損はないので試してみて下さいね。

あと、レジストリの検索についてですが、
"F3"を押さないと次に進みませんのでご注意下さい。
(1つずつしか検索出来ない)

投稿日時 - 2004-05-15 22:55:00

お礼

ありがとうございます。
C:[Enter]を入力すると
コマンドまたはファイル名が違います。
となります。

MS-DOSプロンプトは初めてさわったのですが難しいですね。(*_*)

投稿日時 - 2004-05-15 23:46:17

ANo.35

★ヒューリスティックスキャン
 No.13 basser_no1さん<実際に解決した方法>
 マカフィーのソフトではヒューリスティックというウィルス検索方法が採用されています。
 これは、ウィルスのファイル名でなくウィルスの動作パターンを特定してウィルスを検索する方法です。
 新種のウィルスやファイル名が違うが動作が同じウィルスの検出に威力を発揮します。
 今回のようにファイル名がわからない場合に役立っっているように思います。
 
☆このスパイウエアの特徴は?
 
 No.13 basser_no1さんの解決例をヒントに、泥臭いやり方を考えてみました。
 
 1.拡張子が「DLL」のファイルである。
 2.C:\WINDOWS\System\フォルダに保存されている可能性が高い。
 3.作成日がごく最近である。
 4.プロパティ表示で著作権者、会社名が無いと思われる。
 
☆バッチファイルの作成
 C:\WINDOWS\System32\フォルダにある「DLL」ファイルを新しい日付順にリストアップしてテキストファイルに書き出します。
 下記の行をメモ帳等に貼り付け、例えば「DirDLL.bat」という名前で「c:\」に保存してください。
 :~~~~~~引用はじめ~~~~~~~
 c:
 cd\WINDOWS\System
 dir *.dll /O-D > c:\temp.txt
 :~~~~~~引用終わり~~~~~~~
 
☆バッチファイルの実行
 「c:\DirDLL.bat」を実行すると「c:\temp.txt」が作成されます。
 
☆プロパティの調査
 Win98ですから、「c:\temp.txt」には2004年4月以降の日付のファイルは僅かしかないと思います。
 エキスプローラでファイルを選択プロパティを調べてください。
 
 もし日付が変更されていたら?
 「それを言っちゃあ、おしまい」、ではありません。
 別の方法を考えましょう

投稿日時 - 2004-05-15 15:06:15

補足

補足です。新しいDLLはENOOHC.DLL
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Doc Find Spec MRU

a ""
b "GLB1A2B.EXE"
c "GREUNI~1.EXE"
d "WDM"
e "enoohc"
MRUList "eabcb"
というものがありました。
また、
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs
HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{A386326B-A6B2-11D8-B660-00909A6F7C9A}\InProcServer32
HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{A386326C-A6B2-11D8-B660-00901586E4EE}\InProcServer32
にもENOOHC.DLLがありました。

投稿日時 - 2004-05-15 22:10:38

お礼

ありがとうございます。
2004年4月以降の日付のファイルは2つあります。
NEE.DLLは見つかりましたが、WDM.DLLは見つかりませんでした。

投稿日時 - 2004-05-15 18:30:38

ANo.34

★裏技:IEの自動変換機能を使う。
 IEにはASCIIコードをアルファベットに自動変換する機能があります。
 「%」で始まる文字列をIEのアドレス欄に貼り付けます。
 先頭に「http://」を追加して「移動」をクリックで下記のようになります。

 変換(移動)前
 http://%43%3a%5c%57%49%4e%44%4f%57%53%5c%53%59%53%54%45%4d%5c%4a%4b%46%4a%50%2e%44%4c%4c

 変換(移動)後
 http://C:\WINDOWS\SYSTEM\JKFJP.DLL/

 これで、新しく生成されたBHOが次のファイルを使っていることが解ります。
 C:\WINDOWS\SYSTEM\JKFJP.DLL

 この状況は「HijackThis」にも表示されます。

★ファイルが見つからない
 「HijackThis」で「Fix」した結果、レジストリ設定を削除すると同時にファイルも削除していると思います。

★「CWShredder」でも削除できない
 「HijackThis」に表示されるレベルであれば「CWShredder」で駆除できると思います。
 「CWShredder」で駆除できない理由は、他に隠れているファイルがあって、「ENBFCAA.DLL」や「JKFJP.DLL」を生成しているからです。
 「ENBFCAA.DLL」や「JKFJP.DLL」は「HijackThis」で簡単に削除できるので大した問題ではありません。
 問題は、隠れたファイルを見つけて削除することです。
 しかし、簡単ではありません。
 その隠しファイルもまた、次々名前を変えて出現しているからです。

★気になるファイル
 No.24 回答に対する補足
 [rename]
 NUL=C:\WINDOWS\TEMP\GLB1A2B.EXE
 NUL=C:\WINDOWS\GREUNI~1.EXE
 この種のスパイウエアでは「DLL」ファイルが使われるので関係ないかもしれませんが、念のためこのファイルがあるか調べてみてください。

 「NUL=」ということは消えてしまっているかも。
 それとも「.EXE」になっているんでしょうか?
 
★「Merijn」 vs 「CoolWebSearch」
 「Merijn」 さんは「CWShredder」や「HijackThis」の作者です。
 まだ若い学生さんだそうですが、世界中のアンティスパイウエアの世界で注目されている人です。
 しかし、「CoolWebSearch」からは商売の邪魔をするものとして憎まれています。
 今年はじめから、欧米のアンティスパイウエアサイトが軒並みDDoS攻撃を受け接続不能になりました。
 当然「Merijn」 さんのサイトもダウンしました。
 現在、DDoS攻撃を防御できるSpyWareInfoのサイトで仮住まい中です。
 そして今、「about:blank」というアドウエアに世界中が悩まされています。
 「別居、解雇、逮捕の危険も?――ブラウザーを乗っ取る悪質なスパイウェア」
 http://hotwired.goo.ne.jp/news/news/20040514207.html
 いずれもファイル名をランダムに生成したり、ファイル名を隠すという手口を使ってアンティスパイウエアでは削除できないプログラムをばら撒いています。

投稿日時 - 2004-05-15 13:30:46

お礼

ありがとうございます。
便利な裏技ですね。
GLB1A2B.EXEとGREUNI~1.EXEはないようです。

世の中には変な人もいるもんですね。

投稿日時 - 2004-05-15 18:04:31

ANo.33

ごめんなさい。
#32のアスキーコード変換フォームは、
Internet Explorerでは使えない様です。
(Netscapeなら大丈夫です)
フリーソフトがいくつかありますのでそちらを使って下さい。

参考URL:http://search.vector.co.jp/search?query=ASCII%83R%81%5B%83h

投稿日時 - 2004-05-15 11:37:30

お礼

ありがとうございます。
なかなか便利ですね。

投稿日時 - 2004-05-15 17:53:17

ANo.32

またファイル名が変わっている事が予想されるので、
以前の様に、スタートページのソースにある
アスキーコードを変換して、ファイル名を調べて下さい。
参考URLのフォームで簡単に調べる事が出来ます。

あと、ベテランのittochanさんのアドバイスに従って、
各種機能の無効化とレジストリでの検索を実施して下さい。
レジストリエディタは以下の方法で起動出来ます。
 スタート -> ファイル名を指定して実行 -> regedit
下手にいじると壊れますので慎重にお願いします。
検索は"Crtl + F"か編集メニューから実行出来ます。
ENBFCAA.DLLとJKFJP.DLL、それから
↑で分かった新しいファイル名で検索をかけて下さい。
見つかったら、左側のウインドウに出ているキーの名前と、
右側のウインドウに表示されている
名前、種類、データという部分を書き出して下さい。
キーの名前については、
キーを選択して、右クリックメニューから
"キー名のコピー"を押せば、
クリップボードにキーの名前がコピーされます。
(エディタのステータスバーにも表示されています)

ファイルが見つからない原因を特定したいので、
HijackThisでエントリを削除する前に以下を試して下さい。
 MS-DOSプロンプトを起動する
 以下のコマンドを実行する
  cd /d c:\windows\system
  dir ○○○
  (○○○はコード変換で得たファイル名。
   XXXX.DLLの様なファイル名だけでいいです。
   "c:\windows\system\"までの入力は不要。)
  ファイルが見つかれば、詳細が表示されるはずです。
  駄目な場合は入力を間違えている可能性があります。
  全て半角入力で、拡張子直前の" . "をお忘れなく。
  エラーが出た場合は、どの作業の時点で
  どんなエラーが出力されたか教えて下さい。

DIRはフォルダの内容を一覧表示するコマンド、
CDは現在のフォルダから移動するコマンドです。
ちなみにDELはファイル削除、ATTRIBは、
(読み取り専用などの)ファイル属性を変更します。

参考URL:http://www.umechando.com/tips/09.htm,http://higaitaisaku.web.infoseek.co.jp/regedit.html

投稿日時 - 2004-05-15 11:31:59

お礼

ありがとうございます。
cd /d c:\windows\systemと入力すると
無効なスイッチです。-/D
となります。私はまた勘違いしているのかな・・?

投稿日時 - 2004-05-15 17:49:31

ANo.31

Windows98の場合、
アクティブデスクトップ機能もオフにしておきましょう

デスクトップで
右クリック→「Webページで表示」にチェックが入っていたら外します。

それと、
スタート→「設定」→「フォルダオプション」の
「全般」タブで
「従来のWindowsスタイル」にしておいたほうがいいです。

悪質なAvtiveXが動く確立が減ります。

レジストリエディタで
ENBFCAA.DLLやJKFJP.DLLを検索してみる方法も一考では。

投稿日時 - 2004-05-15 06:31:40

お礼

ありがとうございます。
HKEY_CLASSES_ROOT\CLSID\{9A2BC769-A457-11D8-B660-0090EFF7480C}\InProcServer32
に(標準) "C:\WINDOWS\SYSTEM\ENBFCAA.DLL"

HKEY_CLASSES_ROOT\CLSID\{5AE2C585-A5E3-11D8-B660-00908DF51DD1}\InProcServer32
に(標準) "C:\WINDOWS\SYSTEM\JKFJP.DLL"
というのがありました。

投稿日時 - 2004-05-15 17:27:32

ANo.30

ENBFCAA.DLL -> JKFJP.DLLに適宜置き換えて、
もう一度、最初から#26&29の手順を実行してみて下さい。
それに加えて最後に、
 コントロールパネル -> インターネットオプション ->
 プログラム(タブ) -> "WEB設定のリセット"を押して下さい。
作業を終えるまで、絶対にIEを起動してはいけません。

投稿日時 - 2004-05-15 01:56:46

お礼

ありがとうございます。
またファイルが見つかりませんとなります。間違えずに入力しているのですが・・。

投稿日時 - 2004-05-15 05:53:46

ANo.29

>ENBFCAA.DLLを検索しても出てきませんでした。

多分、隠しファイルやシステムファイルを
リストに表示しない設定になっているからですね。
コントロールパネル -> フォルダオプション -> 表示タブ
で、"すべてのファイルを表示する"を選択して下さい。

>C:\WINDOWS>という文字が必ずでてくるため、attrib -Rを入力する事ができないです。

すみません、こちらの方も説明不足でした。
">"の後にそのまま入力して頂いて構いません。
前の文字列は現在の位置を表しています。
エクスプローラで例えれば、Windowsフォルダ
のウインドウをいまは開いているということです。
今回のコマンドでは、フォルダの位置は
関係ありませんので特に気にしなくても大丈夫です。
画面表示の上では以下の様になります。

 C:\WINDOWS>attrib -R C:\WINDOWS\SYSTEM\ENBFCAA.DLL
 C:\WINDOWS>del C:\WINDOWS\SYSTEM\ENBFCAA.DLL

この方法でもうまくいかない場合は、
起動ディスクを作成してトライしてみて下さい。
マイコンピュータを開き、
フロッピードライブのアイコンを選択して、
右クリックメニュー -> フォーマットと進みます。
"システムのコピー"というところに
チェックして、いらないフロッピーを初期化して下さい。
初期化が完了したら、それをFDDに挿入して再起動します。
起動後、MS-DOSのプロンプトが出ますので、
 attrib -R C:\WINDOWS\SYSTEM\ENBFCAA.DLL
 del C:\WINDOWS\SYSTEM\ENBFCAA.DLL
を先ほどと同じ様に試してみて下さい。
うまく行ったら、もう一度セーフモードから、
Ad-awareとSpyBot,CWShredderでスキャンして下さいね。

あと、もう一つ追加です。
CoolWebSearch系はIEの信頼済みサイトに
有害なアドレスを登録する事がある様です。
好ましくないのでクリアしておきましょう。
 コントロールパネル -> インターネットオプション ->
 セキュリティタブ -> 信頼済みサイト -> サイト(ボタン)
リスト内のURLに覚えが無い場合は削除して下さい。
削除が完了したら、"OK"を押して前の画面に戻ります。
信頼済みサイトのアイコンを選択して、
下にある"規定のレベル"ボタンを押します。
それから、バーのつまみを"中"にスライドさせて下さい。
(スライドバーが既に表示されている場合は、
"規定のレベル"のボタン操作は不要です)
同じやり方で、イントラネットも"中"にします。
インターネットはもともと"中"、
制限付きサイトは"高"になってると思いますが、
もし違っていたら↑と同じ方法で変更して下さい。
セキュリティレベルが中より下だと、
ユーザーの同意無しでスパイウェアなどの
悪質なプログラムを埋め込まれる恐れがあります。
ただ、せっかく警告画面が出ても何も考えずに
"YES"を押してしまえば何の意味もありませんが...。(^_^;)

>トップページは治ったと思うんですが、IE終了後に「不正な処理を行ったので・・・」というエラーがでます。これもアドウェア??の仕業ですか?

ウイルスやスパイウェアを抜きにしても、
全体的に不安定になっている印象を受けますので、
アドウェアが原因かどうかはこれだけでは分かりません。
ちなみにIEを閉じて駆除作業しましたよね?

投稿日時 - 2004-05-14 22:31:24

補足

補足です。
表示―ソースで見てみたらやはり変わってました。
res://%43%3a%5c%57%49%4e%44%4f%57%53%5c%53%59%53%54%45%4d%5c%4a%4b%46%4a%50%2e%44%4c%4c
これです。解読してみるとJKFJP.DLLとなるのでは?
どういう事?(・・?

投稿日時 - 2004-05-14 23:34:08

お礼

ありがとうございます。
うぅ・・。またトップページが「Search for」になっちゃいました。
もう一度hijackthisでscanしてみたら、BHOのところにDLLが増えていました。こいつ↓
C:/WINDOWS/SYSTEM/JKFJP.DLL
同じ作業をすればいいんでしょうか?

すべてのファイルを表示するにチェックは入ってます。
けど、見つかりません。
MS-DOSプロンプトでもファイルが見つかりませんとなりました。

投稿日時 - 2004-05-14 23:21:19

ANo.28

「eConnect」について

このソフトが悪用されて、国際電話や有料ダイアルに接続されることがあるそうです。
http://www.itmedia.co.jp/magazine/ybb/0310/sp3/04.html
IEのメニューの「ツール」「インターネットオプション」「接続」で「eConnect」の設定があれば削除してください。
「既定」に設定されていると大変なことになります。
ただし、ユーザーが意識して設定している場合は、その限りではありません。

参考URL:http://www.itmedia.co.jp/magazine/ybb/0310/sp3/04.html

投稿日時 - 2004-05-14 11:20:13

お礼

ありがとうございます。
「eConnect」はないようです。

投稿日時 - 2004-05-14 18:19:41

ANo.27

書き忘れましたが、
作業中は他のプログラムを開かないで下さいね。

あと、ついでなので書き込みさせて頂きますが、
無事駆除出来たら、以下の様な対策を徹底して下さい。
ウイルスに感染していた痕跡もありましたし、
感染の原因となった問題点を是正しない限り、
いつまで経っても同じ事の繰り返しです。
本件もWindows Updateが万全なら防げた事だと思います。

 ・Windows Updateの定期的な実行
  (通常、毎月第2水曜日に新たな更新が公開)
 ・ファイアウォール(ルータでも可)
  ウイルス、スパイウェア対策ソフトの導入
 ・セキュリティソフトの定義ファイル更新
 ・パスワード管理の徹底
  (個人情報や一般単語の流用は絶対に避ける
   桁数を多くして、数字と英大小を組み合わせる)
 ・むやみにフリーソフトなどをインストールしない
 ・あやしいサイトに興味本位で近寄らない
 ・得体の知れないメールやファイルを開かない

投稿日時 - 2004-05-14 09:02:04

お礼

ありがとうございます。
Updateはたまにしかしていませんでした。(^^ゞ
気をつけるようにします。

あと、私もついでに書き込みます。
無事駆除できたときのポイントの件ですが、うらまないでください。優劣をつけているわけではありませんので。
皆さんのご助力、ご意見はすべて有り難いと感謝しております。m(__)m

投稿日時 - 2004-05-14 18:40:36

ANo.26

取り敢えず、怪しいのは↓ですね。

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - C:\WINDOWS\SYSTEM\ENBFCAA.DLL - {9A2BC76A-A457-11D8-B660-00901F25D67B}

--------------------------------------------------

Enumerating Download Program Files:

[DialUp Class]
InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\AUTODIAL2.DLL
CODEBASE = http://www.333999.net/AutoDial2.CAB

[AutoConnect Class]
InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\ECONNECT.DLL
CODEBASE = http://home.att.ne.jp/sun/live/sample/ldc/eConnect.dll

--------------------------------------------------

セーフモードでWindowsを起動後、
HijackThisでもう一度"Scan"を実行して、

O2 - BHO: (no name) - {9A2BC76A-A457-11D8-B660-00901F25D67B} - C:\WINDOWS\SYSTEM\ENBFCAA.DLL

と、

O16 - DPF: の並びの中で、
[DialUp Class]と[AutoConnect Class]を持つエントリ

の合計3つにチェックを入れて下さい。
それから"Fix Checked"のボタン
を押して選択したエントリを削除します。
無事成功したら、今度はファイル本体の削除作業です。

以下のファイルを探して削除します。
 C:\WINDOWS\SYSTEM\ENBFCAA.DLL
エクスプローラでうまくいかない場合は、
MS-DOSプロンプトから削除して下さい。
 スタート→ファイル名を指定して実行
 フォームに"command"と入力して"OK"を押す
 (プログラムメニューからも起動可)
以下の2つのコマンドを順番に打ち込んで下さい。
(一文字でも間違えているとエラーになります)
 attrib -R C:\WINDOWS\SYSTEM\ENBFCAA.DLL
 del C:\WINDOWS\SYSTEM\ENBFCAA.DLL

コントロールパネル→インターネットオプション→
全般タブ→インターネット
一時ファイル-設定→オブジェクトの表示
と開いて、表示されたフォルダの中に、
[DialUp Class]と[AutoConnect Class]
がある場合は、それらを削除して下さい。

最後にAd-awareとSpyBot,CWShredderで検査して下さい。
発見されたスパイウェアは通常通り駆除します。
再起動後、↓が無くなっているかご確認願います。
 C:\WINDOWS\SYSTEM\ENBFCAA.DLLのファイル
あと、HijackThisで"Scan"して、
O2 - BHO: のところにまた新たに
不審なエントリが追加されていないか探して下さい。

投稿日時 - 2004-05-14 08:54:23

お礼

ありがとうございます。
hijackthisで3つのエントリの削除までは出来たのですが、ENBFCAA.DLLを検索しても出てきませんでした。
なので、MS-DOSプロンプトで削除しようと思ったのですが、文字の入力の仕方がわからないです。(・・?
C:\WINDOWS>という文字が必ずでてくるため、attrib -Rを入力する事ができないです。

Ad-awareとSpyBot,CWShredderの検査を行ったところ、トップページは治ったと思うんですが、IE終了後に「不正な処理を行ったので・・・」というエラーがでます。これもアドウェア??の仕業ですか?

投稿日時 - 2004-05-14 18:07:14

ANo.25

こんばんは。

ごめんなさい、#23は説明不足ですね。
環境によっては、ログの中にWindows
のログイン名が含まれてしまう場合があります。
(Win98ではログイン名を設定していない人も多いです)
例えば"山田太郎さん"が正直にそのまま
"Yamada Taro"というログイン名を設定していると、
ここの様な掲示板に貼り付けた際、
見た人が本名を推測する事が出来てしまいます。
それはいくらなんでも非常にまずいので、
ログを貼り付ける時は内容を一通りチェックして、
ご自分のログイン名がログ内の文字列に
含まれていないか確認して頂きたかったのです。

>(no name) - C:\PROGRA~1\INETLITE\ATLIE.DLL - {4449EEE1-2955-11D3-8B43-0000E20DA208}

こちらは問題なさそうです。

>(no name) - C:\WINDOWS\SYSTEM\ENBFCAA.DLL - {9A2BC76A-A457-11D8-B660-00901F25D67B}

basser_no1さんやheto2さんの
ご回答にある怪しい名前そのものですね!
他のエントリも見てみたいので、
前述のログイン名の問題を再確認した上で、
全てのログを補足に貼り付けて頂けますでしょうか?

投稿日時 - 2004-05-13 23:28:12

補足

続きです。
Listing of startup folders:

Shell folders Startup:
[C:\WINDOWS\スタート メニュー\プログラム\スタートアップ]
FM便利ツール.lnk = C:\Program Files\Fujitsu\AUV\AUVCore.exe
Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
hatchinside.exe.lnk = C:\Program Files\DI\HatchInside\hatchinside.exe
WordLinker.lnk = C:\Program Files\ZENRIN\EmapZ2\WordLinker\SS_Linker.exe

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

internat.exe = internat.exe
ScanRegistry = c:\windows\scanregw.exe /autorun
TaskMonitor = c:\windows\taskmon.exe
SystemTray = SysTray.Exe
LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
LoadBtnHnd = C:\Program Files\Common Files\Fujitsu Shared\BtnHnd.exe
AvconsoleEXE = C:\Program Files\Network Associates\McAfee VirusScan\avconsol.exe /minimize
VsStatEXE = C:\Program Files\Network Associates\McAfee VirusScan\VSSTAT.EXE /SHOWWARNING
LoadQM = loadqm.exe
Vshwin32EXE = C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE
McAfeeWebScanX = C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe
TkBellExe = "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

投稿日時 - 2004-05-14 00:54:02

お礼

すみません。どうぞ。
StartupList report, 04/05/14, 0:44:35
StartupList version: 1.52
Started from : C:\MY DOCUMENTS\HIJACKTHIS\HIJACKTHIS.EXE
Detected: Windows 98 SE (Win9x 4.10.2222A)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE
C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WEBSCANX.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\HIDSERV.EXE
C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSSTAT.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\COMMON FILES\FUJITSU SHARED\BTNHND.EXE
C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\AVCONSOL.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAM FILES\FUJITSU\AUV\AUVCORE.EXE
C:\PROGRAM FILES\DI\HATCHINSIDE\HATCHINSIDE.EXE
C:\PROGRAM FILES\ZENRIN\EMAPZ2\WORDLINKER\SS_LINKER.EXE
C:\WINDOWS\SYSTEM\IMEJPMGR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\ZENRIN\EMAPZ2\WORDLINKER\MOUSEHOOK.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\MY DOCUMENTS\WINSHOT\WINSHOT.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\wnlssub.exe
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\REGEDIT.EXE
C:\MY DOCUMENTS\HIJACKTHIS\HIJACKTHIS.EXE

投稿日時 - 2004-05-14 00:44:26

ANo.24

heto2さん、korotekeさん こんばんは!

#17で記載された内容だと私のと一緒の様ですね。
(DLLファイル名は違いますが)

解決方法が見えて来ましたね。

(1)スタートページが表示されたら、表示→ソースを選び「res://%43%3a%5c%57%・・・」で始まる行の%%で区切られたコードをASCIIコード表を参照して解読する。
コード表の例
http://e-words.jp/p/r-ascii.html
16進の列を参照すると%43%は「0x43」で「C」と成りますので、#21の様にデコード出来ます。

(2)「Hijack This」等のツールを利用して解読したファイルと同名のファイルが設定されているか確認する。
この場合は「B.H.O」の行に成ると思います。

Windows98なら「msconfig」のスタートアップやwini.iniの「boot」セクションでも確認出来そうな気がしますが・・・

(3)ツールで組み込みを解除出来ない場合は検索してファイル名変更・隔離・削除し組み込めない様にする。
(COPYやRENコマンドで戻せる様にして置くと良いでしょう。)

(4)IEで「Webの設定のリセット」を実施する。

ここ迄でスタートページの問題は回復すると思います。

(5)regeditで「res://%43%3a%」や解読したDLLファイル名を検索してレジストリの該当キーを修正する。
(同じOSとIEを使用している人から正常なキーを書き出して貰って、書き戻せば楽なんですが・・・)


<防衛策>
正常なレジストリのバックアップを安全な所に保存して置くか、
http://www.securevm.com/japan/の「SecureVM」の様なコンテンツを実行する挙動を監視出来るソフトがあれば防げると思います。(これは98等には対応しませんが)

こんなんでどうでしょうか?

投稿日時 - 2004-05-13 01:49:22

補足

ごめんなさい。上の続きです。
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

Machine Debug Manager = C:\WINDOWS\SYSTEM\MDM.EXE
Hidserv = Hidserv.exe run
LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
Vshwin32EXE = C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE
McAfeeWebScanX = C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe /RUNSERVICES
SchedulingAgent = mstask.exe

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

msnmsgr = "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background

--------------------------------------------------

C:\WINDOWS\WININIT.INI listing:
(Created 13/5/2004, 22:59:2)

[rename]
NUL=C:\WINDOWS\TEMP\GLB1A2B.EXE
NUL=c:\program files\netscape\netscape\uninstall\nsuninst.exe
NUL=C:\WINDOWS\GREUNI~1.EXE

投稿日時 - 2004-05-14 00:56:22

お礼

こんばんは。皆さんお疲れ様です。ありがとうございます。
おっしゃっている事のほとんどが理解できません。ごめんなさい。
けど、暗号??の解読はなんか楽しいかも。(^v^)
こんなときに不謹慎ですね。m(__)m

投稿日時 - 2004-05-13 22:28:19

ANo.23

新情報満載ですね。
heto2さん、お疲れさまです。(^_^)

>startuplistがでてきましたが、それでよかったのでしょうか?

はい、結構です。
ログの貼り付け前に参考URLの下の方にある、
「ログイン名について」という所をご一読下さい。
場所が見つからない場合は、Ctrl + Fで
(またはIEメニュー→編集→このページの検索)
ページ内をキーワード検索してみて下さいね。

参考URL:http://higaitaisaku.web.infoseek.co.jp/hijackthis.html

投稿日時 - 2004-05-13 01:35:47

補足

また、続きです。
C:\WINDOWS\WININIT.BAK listing:
(Created 12/5/2004, 21:18:12)

[rename]
NUL=C:\WINDOWS\TEMP\GLB1A2B.EXE

--------------------------------------------------

C:\AUTOEXEC.BAT listing:

SET DOS4G=QUIET
C:\PROGRA~1\NETWOR~1\MCAFEE~1\SCAN.EXE C:\ /NOBREAK /SILENT
IF ERRORLEVEL 1 PAUSE
loadhigh c:\windows\COMMAND\nlsfunc.exe c:\windows\country.sys
SET PATH=C:\FJUTY;
SET PATH=%PATH%;C:\PROGRA~1\NETWOR~1\MCAFEE~1

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - C:\PROGRA~1\INETLITE\ATLIE.DLL - {4449EEE1-2955-11D3-8B43-0000E20DA208}
(no name) - C:\WINDOWS\SYSTEM\ENBFCAA.DLL - {9A2BC76A-A457-11D8-B660-00901F25D67B}

--------------------------------------------------

投稿日時 - 2004-05-14 01:02:58

お礼

ありがとうござます。

Enumerating Browser Helper Objects:

(no name) - C:\PROGRA~1\INETLITE\ATLIE.DLL - {4449EEE1-2955-11D3-8B43-0000E20DA208}
(no name) - C:\WINDOWS\SYSTEM\ENBFCAA.DLL - {9A2BC76A-A457-11D8-B660-00901F25D67B}

これだけでいいんでしょうか?

投稿日時 - 2004-05-13 21:43:20

ANo.22

1.http://js.searchx.cc/index.js?pin=1

 これをIEのアドレスバーにペースト

2.IEが下記表示になる
 var center_x = screen.width/2-400/2; var center_y = screen.height/2-300/2; open("http://vn.msie.cc/popup4.php?pin=1", "_blank", "channelmode=0,directories=0,
fullscreen=no,location=0,menubar=0,scrollbars=0,
status=0,titlebar=0,toolbar=0,resizable=1,
width=400,height=300,top="+center_y+",left="
+center_x);

3.http://vn.msie.cc/popup4.php?pin=1
 このページを開くと脅しのポップアップが表示される
 「SPYWARE DETECTED ON YOUR PC!」

凄いじゃありませんか。
このポップアップが表示される例が幾つかありますが、ネタが暴かれたのは始めてです。

投稿日時 - 2004-05-12 19:17:38

補足

またまた、続きます。
Enumerating Download Program Files:

[DialUp Class]
InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\AUTODIAL2.DLL
CODEBASE = http://www.333999.net/AutoDial2.CAB

[SurveyCtl35 Class]
InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\SURVEYCONTROL35.DLL
CODEBASE = http://activex.microsoft.com/controls/mtswizards/sw35.cab

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\SYSTEM\MACROMED\FLASH\FLASH.OCX
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

[AutoConnect Class]
InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\ECONNECT.DLL
CODEBASE = http://home.att.ne.jp/sun/live/sample/ldc/eConnect.dll

[{8AD9C840-044E-11D1-B3E9-00805F499D93}]

[{CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA}]

投稿日時 - 2004-05-14 01:08:30

お礼

ありがとうございます。
残念ながら、私には理解できませんが、他の方の有益な情報になりそうです。おそらく・・・。

ポップアップはいくつか種類があるようです。「SPYWARE DETECTED ON YOUR PC!」もその一つにあったようなきがします。

投稿日時 - 2004-05-12 21:49:40

ANo.21

%43%3a%5c%57%49%4e%44%4f%57%53%5c%53%59%53%54%45%4d%5c%45%4e%42%46%43%41%41%2e%44%4c%4c
C : \ W I N D O W S \ S Y S T E M \ E N B F C A A . D L L

解読すれば、上のようになりそう。
ということは、怪しいファイルはこれでしょうか?

C:\WINDOWS\SYSTEM\ENBFCAA.DLL

投稿日時 - 2004-05-12 18:59:39

補足

まだまだ続きます。
[Yahoo! Audio Conferencing]
InProcServer32 = C:\WINDOWS\DOWNLO~1\YACSCOM.DLL
CODEBASE = http://cs.chat.yahoo.co.jp/v45/yacscom.cab

[Update Class]
InProcServer32 = C:\WINDOWS\SYSTEM\IUCTL.DLL
CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38020.4740277778

[Yahoo! Webcam Viewer Wrapper]
InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\YVWRCTL.DLL
CODEBASE = http://chat.yahoo.co.jp/cab/yvwrctl.cab

[Symantec RuFSI Registry Information Class]
InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\RUFSI.DLL
CODEBASE = http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

[Symantec AntiVirus scanner]
InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\AVSNIFF.DLL
CODEBASE = http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

投稿日時 - 2004-05-14 01:15:23

お礼

ありがとうございます。
解読とは・・・。驚きです。(・o・)
検索してみたら、そのようなファイルが存在しました。憎たらしい奴はこいつなんでしょうか?こいつを削除するんですか?

投稿日時 - 2004-05-12 21:38:07

ANo.20

「Starter」を使ってみる。
http://www.simtel.net/product.download.mirrors.php?id=57830

英語しかないので嫌われそうですが、いいソフトです。
「AppInit_Dlls」での設定が表示されないので、無理かと思っていましたが、
Win98でのレジストリ設定であれば、可能性がありそうです。

起動すると自動的にスタートアップの一覧がリストアップ表示されます。
メニューの「File」「Save as plain text」をクリック。
ファイル名を例えば「Starter0512.txt」で保存します。

私の場合で、50行くらいしかありません。
さらに、「.DLL」で検索するとスタートアップで「DLL」ファイルを使っている行を数行に絞り込めます、
その中に怪しいものがあれば「あたり」になる可能性があります。

もし失敗しても勘弁してくださいね。
他にもいろいろ便利な機能が沢山ありますので・・・

投稿日時 - 2004-05-12 18:12:12

補足

ありがとうございます。
あやしいものと言われましても、見てもさっぱりです。ごめんなさい。m(__)m
もうすこし私に知識があれば・・・。(._.)

投稿日時 - 2004-05-12 22:12:53

お礼

ありがとうございます。
うぅ・・。また英語ですか・・。
頑張ってやってみます。また、補足します。

投稿日時 - 2004-05-12 21:41:56

ANo.19

korotekeさん。heto2です。遠慮せずに気が付いたこと書き込んでください。
とにかく、被害者の方からの生の情報が一番役にたつんですよ。
他の皆さんも同じだと思いますが、出来れば中途半端で終わりたくないんです。
それと、特別な事情さえなければ、あせらずに、ゆっくり退治するのがいいと思います。

しかし、情報が盗まれている気配があるとか、パソコンの調子がどんどん悪くなっているとかであれば、復旧にこだわらず、クリーンインストールされるのが正しい選択だと思います。

実は、私も、調べれば調べるほど情報が増えるだけで解決に結びつかないので弱っています。
かなり混乱して来たので、一旦、整理してみることにしました。

1.「about:blank」
 このページを乗っ取るアドウエアには何種類かある。
 CoolWebSearch系のものと、それ以外のもの
 CoolWebSearch系にも何種類かある。

2.「AppInit_Dlls」
 OSが2000/XPでは、このレジストリ値を使うことがある。
 OSが9x/Meでは、このレジストリキーは存在しない。
 従って、別のところに潜んでいるスパイを見つける必要がある。
 
3.「searchx.cc」
 このケースではスタートページに「Search for」という文字列があることから、「CWShredder」が取り上げている「searchx.cc」の可能性が強い。
 しかし、「CWShredder」では解決できない。
 
 下記サイトで紹介されているページと同じものと思われる。
 http://higaitaisaku.web.infoseek.co.jp/cgi-bin/cbbs.cgi?mode=al2&namber=21601&no=0
 
4.実験1
 http://searchx.cc/
 この場合、「Search for」で始まるページになるが、不完全。
 
5.実験2
 http://searchx.cc/search.php
 よく似たページになるが、「Search for」でなく「Looking for」
 
6.Google検索
 「searchx.cc/」で検索すると情報がワンサカ。
 多すぎて混乱中です。
 
7.注目記事
 http://www.computing.net/windowsxp/wwwboard/forum/102521.html
 
 このページのResponse Number 13に面白い情報があります。
 「Find-All」というツールを使って怪しげなファイルを検出する方法です。
 他にも「pv.exe」(ProcessView)を使う方法があるようですが、検出される情報量が多すぎて、解析は難しそうです。
 
ということで、このあと「Find-All」の使い方でも書こうかなと思っています。

>CWShredderはパソコンを再起動するとおんなじところが何回も引っかかってます。

これに関する情報があればいただきたいところですが。
(スキャン終了後に表示される情報)

投稿日時 - 2004-05-12 17:30:48

補足

変な形になりましたが、これで最後です。管理者に消されないか不安・・。
--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

WebCheck: C:\WINDOWS\SYSTEM\WEBCHECK.DLL

--------------------------------------------------
End of report, 7,238 bytes
Report generated in 0.661 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

投稿日時 - 2004-05-14 01:20:02

お礼

ありがとうございます。
私のような無知な人間には難しすぎて何が何やらです・・・。(・・?

毎回引っかかるやつです。。
CWS.Searchx REMOVED
Restoring Internet Explorer pages RESTORED(6items)
Clearing up orphaned leftovers done!

これでいいのかな?

投稿日時 - 2004-05-12 21:26:20

ANo.18

>HKLM\..\RunServicesOnceには何もはいっていないようです。けど似たようなところ→HKLM\..\RunServicesには6つくらい入ってました。

という事は違う種類かもしれませんね。
いずれにしても、ログは必要なので、
#17さんの方法で保存を試してみて下さい。
こちらへ貼り付ける際、
ログが長い場合は分割してくださいね。
ここの書き込みは、補足欄1000文字、
お礼欄2000文字までという制限がありますので...。

投稿日時 - 2004-05-12 13:55:52

お礼

ありがとうございます。
そんな制限があるんですね。知らなかったです。φ(..)メモメモ

startuplistがでてきましたが、それでよかったのでしょうか?

投稿日時 - 2004-05-12 21:09:49

ANo.17

これはウイルスでは無いので「怪しいアプリケーションをスキャン」という様なオプション検索が出来ないと見つからないと思います。

Hijack Thisのログがセーブ出来ないなら、Config→MiscTools→「Generate StartupList log」を押してもログファイルが開きますのでセーブして下さい。
ログファイルで「Enumerating Browser Helper Objects:」の項目にフルパスで記載されていると思います。

heto2さんのおっしゃる通りページの表示は「Search for」だったかも知れません。
何せ連日の寝不足モードで、無意識にログも消しちゃった位なので記憶も曖昧です。
(^^;

そのページのURLですが、しっかりエンコードされてたハズです。
korotekeさん、スタートページが開いたら「表示」→「ソース」を選び「res://」の行を掲載して下さい。
res://で始まる行がレジストリにセットされてましたので。

>どうやら私はとんだ問題児のようです。迷惑かけます。(''ゞ

korotekeさん一人の問題じゃありませんから、そんなに気にする必要は無いですよ。解決すれば多くの人が助かる有益な情報に成ると思いますので。

投稿日時 - 2004-05-12 01:29:24

お礼

ありがとうございます。
href="res://%43%3a%5c%57%49%4e%44%4f%57%53%5c%53%59%53%54%45%4d%5c%45%4e%42%46%43%41%41%2e%44%4c%4c/"

これのことでしょうか?ちがったかな?それともこっちかな?

script src="http://js.searchx.cc/index.js?pin=1"

投稿日時 - 2004-05-12 15:49:45

ANo.16

>「INSTALL.LOGがオープンしません」となります。

はて、どうしてでしょう...。(^_^;)
#15のURLの解説通り、新規フォルダを作成して、
そこにHijack Thisのプログラムを入れていますか?

取り敢えずスキャンまでは完了していますよね?
HKLM\..\RunServicesOnce(#15の省略形)
という箇所が無いかまずは探してみて下さい。
見つかったら、そこに出ているDLLファイル名や、
パス(C:\Windows...の様な場所情報)を教えて下さい。

>ウイルス検査にはシマンテックのウイルス検査を行いました。

ノートン製品版か体験版でのスキャンですか?
オンラインウイルススキャンだと#13さんの方法は無理です。

>システムの復元ってやつが見つからないです。

システムの復元はWindowsXP&Me専用の機能です。

投稿日時 - 2004-05-11 23:18:35

お礼

ありがとうございます。
ウイルス検査はオンラインスキャンでした。すみません。

>システムの復元はWindowsXP&Me専用の機能です。

ふむふむ、なるほど。XPとMeって便利なんだ。φ(..)メモメモ

HKLM\..\RunServicesOnceには何もはいっていないようです。けど似たようなところ→HKLM\..\RunServicesには6つくらい入ってました。

投稿日時 - 2004-05-12 02:02:52

ANo.15

こんにちは、korotekeさん。

回答者#12さんのURLを見ての情報ですが、
そちらのスパイウェアと同種だとすると、
Win98では、比較的楽に駆除出来るみたいです。
Hijack Thisでシステムをスキャンして、
以下のレジストリキーを確認してみて下さい。
 HKEY_LOCAL_MACHINE\Software\Microsoft
  \Windows\CurrentVersion\RunServicesOnce
そこに怪しいDLLファイルが登録されていれば、
(判断は難しいので補足で相談された方が良いでしょう)
正確にファイル名と存在場所をメモします。
あとはセーフモードでシステムを起動して、
該当ファイルと↑のレジストリ項目を削除です。
なお、作業は全て自己責任でお願いします。
一番のお薦めは勿論リカバリですが...。
あと、CWShredderは既にお試しになったんですよね?

CWShredder
http://higaitaisaku.web.infoseek.co.jp/removecws.html
Hijack This
http://higaitaisaku.web.infoseek.co.jp/hijackthis.html

>#12さん
AppInit_DllsはWindows9xには無いみたいですよ。
Windows2000/XP上で真の凶悪さを発揮する様です。

投稿日時 - 2004-05-11 09:32:37

補足

ちょい補足です。!(^^)!
CWShredderはパソコンを再起動するとおんなじところが何回も引っかかってます。CWShredderでは解決しないようです。

投稿日時 - 2004-05-11 23:11:37

お礼

ありがとうございます。
CWSherdderを試してみました。しかし状況は変わらないみたいです。使いこなせてないのかもしれませんが・・・。
Hijack Thisはsave logをクリックして保存すると「INSTALL.LOGがオープンしません」となります。こっちのほうは完全に使いこなせていないです・・。恐縮ですが、Hijack Thisの使い方を教えていただければ幸いです。

投稿日時 - 2004-05-11 22:15:14

ANo.14

頑張って、難問解決に挑戦しようじゃありませんか!
解りにくいことについては、及ばずながら、全力で応援します。

1.ウィルスチェック
 まだ、このウィルス(正確にはアドウエア)に対応していないと思います。
 幾つかのツールを使って、手作業で、修復する必要があるでしょう。
 
 今の所、「Spybot-S&D」や「Ad-aware 6」は使わないでください。
 後述の「HijackThis」でのデータが「no file」とか「file missing」等、不完全な表示になってしまいます。
 
2.ウィルスプログラムの特定(BHO関連)
 basser_no1さんご説明のように、このウィルスはIEのBHO(Browser Helper Object)を使っていると思います。
 「HijackThis」を使って、「O2 - BHO:」で始まる行を全て貼り付けてください。
 
3.ウィルスプログラムの特定(AppInit_Dlls関連)
 「並」のウィルスの場合、BHO関連で有害な設定を削除し、プログラムを削除するだけで修復できます。
 しかし、削除しても、いつの間にか復活してしまうことがあります。
 この場合、No.6で説明のとおり「AppInit_Dlls」を使っている可能性があります。
 そしてその都度ファイル名を変えて出現します。
 
 レジストリエディターで下記のキーを開いて右側の画面に「AppInit_Dlls」という項目が無いか調べてください。
 ただし、レジストリの編集は非常に危険ですので事前にバックアップを作成して置いてください。
 
以上で、有害なファイルを特定できれば、削除作業へ進めると思います。
また、ページの表示は「Search of」でなく「Search for」では無いでしょうか?
ご確認ください。

取り敢えず、今回はこの辺で・・・

basser_no1さんへ

不躾なお願いですが、もしよろしければ、応援いただければ助かります。
特に、そのページのURLが解らなくて困っています。
多分、アドレス欄には「about:blank」しか表示されていないと思います。
プロパティとかソースを開ければ・・・ しかし、削除されたんであれば無理ですね。
以上、よろしくお願いいたします。

参考:レジストリバックアップ
 1.「スタート」「ファイルを指定して実行」で「Regedit」 と入力して「OK」。
 2.レジストリエディターのメニューで、「ファイル」「エクスポート」をクリック。 3.レジストリファイルのエクスポート画面下方の「エクスポート範囲」で「すべて」を選択。
 4.保存する場所(例えばマイドキュメント)とファイル名(日付がいいでしょう)を入力して「保存」

参考:「HijackThis」
http://www.spywareinfo.com/~merijn/downloads.html

1.起動直後は殆ど白紙の状態です。
2.左下の「Scan」をクリック
3.スタートアップ設定の一覧が表示され、「Scan」ボタンが「SaveLog」に変わります。
4.「SaveLog」をクリックするとメモ帳が開かれ、適当なファイル名で保存できます。。

投稿日時 - 2004-05-11 08:52:32

お礼

皆様、ほんとにありがとうございます。
どうやら私はとんだ問題児のようです。迷惑かけます。(''ゞ
ページの表示は「Search of」でなく「Search for」でした。すみません。m(__)m
今、色々試してあたふたしている所です。結果についてはまた補足したいと思っています。

投稿日時 - 2004-05-11 20:52:51

ANo.13

何度も書いてますが、私と同じなら既知の方法では解除出来ませんし、heto2さん言われている通り解決方法を掲載している所は未だ無いと思います。私も昔はユーザーサポートをやってた経験上、考えられる事は一通り試してますから・・・ウイルス検査は私の記載した方法でしました?(どのソフトを使いました?)

<想定される解決方法>
「HijackThis」でも解除出来ませんでしたので、「BHO」として検出されたDLLファイルを探し隔離もしくはリネームして解除出来るか確認し、効果があればそれらを削除する。
「Webの設定のリセット」もその都度合わせて実行する必要があろうかと思います。

<実際に解決した方法>
アンチウイルスソフトも総てが対応するとは言えないのですが、解決事例として私は「McAfee ウイルス スキャン」のスキャンオプションで「怪しいアプリケーションをスキャン」と「新しいウイルスと未知のウイルスをスキャン」をチェックする事によって検出されたDLLファイルを削除し解除出来ました。(定義ファイルが古いと検出されません。)

この後、「HijackThis」で解除出来なかったBHOの記述が削除出来る様に成りましたので削除しました。

DLLファイルは複数ありましたので、名前も変化して行くのだと思います。

投稿日時 - 2004-05-11 00:18:12

お礼

ありがとうございます。
ウイルス検査にはシマンテックのウイルス検査を行いました。
basser_no1さんの方法も試してみたいと思います。結果はまた補足します。

投稿日時 - 2004-05-11 21:27:11

ANo.12

私は「無知な人間にアレコレ指図して優越感に浸りたい」という人間です。

しかし、無知な方の数百倍は勉強しているつもりです。
特に「about:blank」については、ここ2週間、世界中の情報を調べまくっています。

この問題は多分、スパイウェア対策の日本総本山のような定番サイト【アダルトサイト被害対策の部屋】でもまだ解決されていないと思います。

「CWShredder」も「Ad-aware 6」も対応していないとおもいます。
しかし、調べてみると、私でも解る仕掛けですから時間の問題です。

解決のヒントは下記のサイトにあります。

http://www.spywareinfo.com/forums/index.php?showtopic=43492&st=30

世界中のBBSでこの種のウィルスへの感染が報告されていますが上記のサイトで解決策が報告されたのはごく最近のことです。

1.IEのBHO機能を使ってスタートアップページを変更させている
2.BHOに使われる「DLL」ファイルの名前はその都度別の名前になる。
3.「HijackThis」等を使ってBHOの設定を解除するのは簡単である。

問題は削除したはずのものがパソコンを再起動すると再発することです
秘密は、通常あまり使わ無いレジストリキーを使っているらしいことでした。

新種のウィルスの場合、感染者の協力を得て情報を集める必要がありますが・・・

>ん~。ごめんなさい。素人な者で何が何やら・・・。てんてこ舞いです。(・_・;)

残念ながら、一寸無理のようでした。

投稿日時 - 2004-05-10 08:36:21

補足

ごめんなさい。せっかく紹介していただいたサイトですが、これを理解するにはまず英語を理解する必要があるようです。ほんとバカですいません。m(__)m

投稿日時 - 2004-05-10 14:05:15

お礼

ありがとうございます。
では、No.6で紹介していただいた方法で治るということなんでしょうか?
それと、この場を借りて少し補足します。No.4で紹介していただいたウイルス検査をもう一度してみたら、「安全です」ってなりました。けど、状況は変わらないです。(+_+)
heto2さんの言っているウイルスにかかっちゃってるんでしょうか?

投稿日時 - 2004-05-10 12:48:41

ANo.11

バックアップレジストリも壊れてるのでは最悪ですね。
「McAfee ウイルス スキャン」でも導入した方が良いと思います。(ウイルスでは無い為ソフトによっては検出されないので)*ちなみにこの会社とは何の関係もありません。

スタートページが「Search of~」と成るなら私と同じタイプだと思います。確か「bclgrea.dll」ファイルが関係してた様な気がしますので検索して見つかったら名前を変えて見て下さい。(98と2000では違うかも知れませんが)
<事前設定>
エクスプローラのフォルダオプションで「すべてのファイルを表示する」へ変更と「登録されている拡張子の表示をしない」のチェックを外す設定をしないとこれらのファイルは表示されません。

まぁ、出来るなら再インストールした方が良いと思いますよ。
ただ、再インストールが簡単な様に聞こえますがWindows98を搭載してた頃のPCでそれが出来る人を初心者とは呼びません。
理由は
(1)CD-R等が付いて無いので大きなファイルのバックアップが取れない。

(2)リカバリに必要なCDが複数枚あり場合によってはプロダクトキーコードやドライバCDが見つからない。

(3)リカバリされた時点でのIEのバージョンが低くてWindowsUPDATEがスクリプトエラーに成り実行出来ないし、ServicePackの供給も終わってるのである程度スキルが無いと元に戻せない。

まぁ出来たとしても修復より膨大な時間が掛かるケースが多いです。
最新PCのお手軽リカバリとは違いますので、「再セットアップ」は最後の手段だと思って下さい。
(もうほとんど最後に近いですね。(^^; )
もっとも、出荷時のバグだらけの環境で使うなら物さえ揃っていれば比較的簡単にリカバリ出来ますがね。

再セットアップ前に必要な物が揃っているか確認してから実行して下さい。幸運を祈ります。
(利用者レベルの方であれば、プロに任せる方が良いでしょうね。)

投稿日時 - 2004-05-10 01:32:24

お礼

ありがとうございます。
あっ、それです。それ!「Search of~」ってやつです。けど、「bclgrea.dll」は見つかりませんでした。OSが違うせいかな?
やっぱり諦めるべきですかね・・?トホホ・・・。
っていうか、あきらめ悪いかな?ちょっとしつこいですね。ご協力していただいてほんとに有り難いです。m(__)m

投稿日時 - 2004-05-10 05:50:59

ANo.10

スパイウェアにも様々なタイプがありますが、未だレジストリ復旧をして無いのなら試しに実行して見て下さい。(自信が無いならやらない事。)

<98でのレジストリ復旧方法>
(1)必要なファイルのバックアップを取る。
(2)「MS-DOSモード」を起動するか、起動時に「F8」を押して起動メニューから、「command prompt only」を選択後に「SCANREG /RESTORE」と入力し実行します。表示された候補から正常だった時期の日付のモノを選択してOKを押して下さい。

例 C:¥>SCANREG /RESTORE

<お手軽な方法>
(1)まず今後の事も考えてアンチウィルスソフトを購入する。(McAfeeウイルススキャンなら量販店もしくはダウンロード販売で2千円程度)
(2)インストールしたら最新のパターンファイルに必ず更新する。(先月迄のモノでは検知されませんでした。)

(3)オプション設定の総てを有効にする。
(4)検出されたら「Webの設定のリセット」を実行する。

Windows98だとWindowsかSystemフォルダだと思いますが、総てのフォルダに対してスキャンして下さい。
また、WindowsUPDATEを実施して更新ファイルが無いのを確認して下さい。

私は連休直前に今迄で最強のヤツにWindows2000がやられて他に紹介されている方法等、一週間試行錯誤を繰り返してもダメでした。起動プロセスを一つずつ止めたり、バックアップレジストリでの復旧や上書きセットアップも無駄でお手上げでしたが、ウィルススキャンでそれまで検出されなかったモノが見つかり解決した次第です。
残念ながら複数のモノにやられてたのと、その時のメモ&ログを誤って消してしまった為、詳細な記述が出来ません。(^^;

参考URL:http://homepage2.nifty.com/winfaq/c/trouble.html#77

投稿日時 - 2004-05-09 21:14:52

お礼

ありがとうございます。
試してみましたが、ダメでした・・。(/_;)
古い日付のものから試したんですが、復旧できませんでしたってなって最後の一つを試してみたんですが、状況は変わらずです。残念。

投稿日時 - 2004-05-10 00:13:43

ANo.9

スタートからすべてのプログラムを出し、アクセサリーをクリックしてシステムツールからシステムの復元を実行して回復しました。
一度お試し下さい。

投稿日時 - 2004-05-09 19:33:23

お礼

ありがとうございます。
システムの復元ってやつが見つからないです。
古いからかな??(ーー;)

投稿日時 - 2004-05-09 20:34:27

ANo.8

スパイウェアですね、IEの設定や関連のレジストリを削除しようがIEを終了した時点で書き戻すタイプでしょう。
こいつは、Ad-aware等の類を使っても検出されませんので最新エンジンと定義ファイルに更新されたアンチウィルスソフトで、未知のウィルス等総てのオプションを有効にして、Windowsのシステムフォルダを検索して見て下さい。「不要と思われるファイル」等として検出されると思います。
Win2000やXPではsystem32フォルダへ「xxx.DLL」等が作成されていると思いますので削除若しくは隔離後、IE「Web設定のリセット」を実行して見て下さい。

投稿日時 - 2004-05-09 13:54:05

お礼

ありがとうございます。
えっと、それはIEをアップデートして最新のアンチウイルスソフトを購入するって事なんでしょうか?
それと、使っているOSは98です。system32フォルダにはDLLファイルはないみたいです。

投稿日時 - 2004-05-09 16:46:05

ANo.7

スパイウェアについて簡単にまとめた私の投稿があります。参考URLをご覧ください。後半部分で駆除作業についても触れています。

上記投稿内容との重複になりますが、スパイウェア対策の日本総本山のような定番サイト【アダルトサイト被害対策の部屋】のページ「被害対策手順」
http://higaitaisaku.web.infoseek.co.jp/menu1.html にあることを、

★★★ 自力で1つ残らず全部実施 ★★★

してください。なお、上記ページを読んだ上で「初心者だから難しいことは分かりません」とおっしゃる方には、OSの再インストールをお勧めします。これで、ウィルスやスパイウェアの問題はすべて一気に解決します。OS再インストールによって失うデータや設定があったとしても、今までセキュリティ対策を怠ってきたツケだと思って諦めましょう。

その後は必ずウィルス対策ソフトを導入、参考URLとそのリンク先を熟読してスパイウェア感染防止の心構え(読めない外国語のサイト、特にアダルトサイトを閲覧する場合には、その結果何が起こっても自力で解決すること!など)を固めた上で、SpywareBlasterやIE-SPYADというスパイウェア「予防」ツールの導入をお勧めします。

「これを機会にPC全般やスパイウェア駆除の専門的知識を身に付けるぞ!」というのでない限り、手間隙かけた修復作業はお勧めできません。あくまでも修復を勧める「詳しい人」の中には、自分では意識していなくとも「無知な人間にアレコレ指図して優越感に浸りたい」という人がいないとも限りませんし。

もちろん、修復方法について研究する人たちの成果があってこそ、我々もスパイウェア対策を固めることができるのは事実です。しかし、あくまでも道具としてPCを使う一般人の我々にとっては、苦労して下手な修復作業(何らかのダメージを残すかもしれない)を行うより、OS再インストールの方が簡単・確実な場合もあります(特に、大量のウィルスやスパイウェアに感染しているケースなど)。

駆除方法を含めたスパイウェア情報は、検索エンジンを使えばたくさん見つかります。この掲示板内をサーチしてもたくさん見つかります。あとは、

★ ご自分にとって最も効率が良いと思われる方法を主体的に判断して実行 ★

なさってください。


【追伸】about:blankはCoolWebSearch感染の典型的症状のようですが、CWShredderは実行されましたか? また、Ad-awareもCoolWebSearchの変種に対応したアップーデートを行っています。Ad-awareの定義ファイルは最新になっていますか?

参考URL:http://oshiete1.goo.ne.jp/kotaeru.php3?q=843462

投稿日時 - 2004-05-09 13:47:43

お礼

ありがとうございます。
やっぱり再インストールしかないんですかね。色々試してみてそれでもダメだったらそうします。(:_;)

投稿日時 - 2004-05-09 15:55:39

ANo.6

「StartupList」を下記でダウンロードして使ってください。
 http://www.spywareinfo.com/~merijn/downloads.html

 解凍して起動するとダイアログが表示されます。
 「はい」で自動的にメモ帳が起動され、スタートアップリストが表示されます。
 リストの中ほどで下記の行を探して貼り付けてください。
 一番怪しいのが、最後の行の「AppInit_DLLs」です。
 ここの設定によってパソコンを起動するたびに「about:blank」が呼び出されている可能性があります。
 
 --------------------------------------------------
Load/Run keys from C:\WINDOWS\WIN.INI:

load=*INI section not found*
run=*INI section not found*

Load/Run keys from Registry:

HKLM\..\Windows NT\CurrentVersion\WinLogon: load=
HKLM\..\Windows NT\CurrentVersion\WinLogon: run=
HKLM\..\Windows\CurrentVersion\WinLogon: load=
HKLM\..\Windows\CurrentVersion\WinLogon: run=
HKCU\..\Windows NT\CurrentVersion\WinLogon: load=
HKCU\..\Windows NT\CurrentVersion\WinLogon: run=
HKCU\..\Windows\CurrentVersion\WinLogon: load=
HKCU\..\Windows\CurrentVersion\WinLogon: run=
HKCU\..\Windows NT\CurrentVersion\Windows: load=
HKCU\..\Windows NT\CurrentVersion\Windows: run=
HKLM\..\Windows NT\CurrentVersion\Windows: load=
HKLM\..\Windows NT\CurrentVersion\Windows: run=
HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=
--------------------------------------------------

投稿日時 - 2004-05-09 08:19:23

お礼

ありがとうございます。
ん~。ごめんなさい。素人な者で何が何やら・・・。てんてこ舞いです。(・_・;)

投稿日時 - 2004-05-09 15:48:19

ANo.5

>こいつを削除をしたんですが、
>やっぱり治りません。うぅ・・。
>なんか、インターネットオプションの
>全般タブの標準設定が既にいじられてるみたい。
IEのツール→インターネットオプションから
「プログラム」タブで、「Webの設定のリセット」をクリック
ダイアログが出るので
「ホームページもリセットする」
にチェックを入れて「はい」をクリックしてみて

それでも直らなければ補足頂戴ね。

投稿日時 - 2004-05-09 06:41:19

お礼

ありがとうございます。
やってみましたが、やっぱり無理みたいです。
今のトップページはアドレスがaboutblankってなっていて、英語ばっかりのページになってしまってるんです。
それと、標準設定は自力で試行錯誤しながらレジストリをいじって直しました。ヽ('ー'#)/
けど、そのままOKをクリックして、再起動するとまたaboutblankになっているんです。(+_+)
それともう一つ忘れてました。ツールバーの検索をクリックしたら横に出てくる奴??も英語ばっかりなんです。設定しなおしてもやっぱり再起動すると戻っちゃうんです。(:_;)

投稿日時 - 2004-05-09 07:46:47

ANo.4

#2さんの方法で設定しなおしても、書き換えられてしまう為、
お困りなんだと思います。

先ず、念の為にWindows Updateを適用し、可能であれば
セーフモードとネットワークで起動。
セキュリティソフトをお持ちで無い様なので、↓のページで
オンラインスキャン。

http://www.symantec.com/region/jp/securitycheck/
(他にも同様のサイトがありますが、ここのページと提携してるので。
http://www.symantec.com/region/jp/techsupp/okweb/index.html

たいていのものは検出が出来るので、見つかったものを↓のウィルス辞典の
(検索では無く)アルファベット順インデックスより探して駆除方法を試す。
これで多分…解決出来ます。出来るといいですね…。

http://www.symantec.com/region/jp/sarcj/vinfodb.html

参考URL:http://www.symantec.com/region/jp/securitycheck/

投稿日時 - 2004-05-09 02:20:38

補足

もう一回検索してみたところ、やっぱりトロイの木馬にやられちゃってるみたいなんです。
その名前で検索してファイルを削除したんだけどなぁ???けどやっぱりおんなじ名前のウイルスにかかってるみたい。ちゃんと削除できていないのかな・・・?

投稿日時 - 2004-05-09 07:16:30

お礼

ありがとうございます。
どうやらトロイの木馬にやられちゃったみたいです。
しかし、こいつを削除をしたんですが、やっぱり治りません。うぅ・・。
なんか、インターネットオプションの全般タブの標準設定が既にいじられてるみたい。
もう一回検索してみます。

投稿日時 - 2004-05-09 03:32:51

ANo.3

ウイルスは普通のソフトと同じ「プログラム」で、
悪い動作を起こすものをそう呼んでいると思ってください

セーフモードで起動し、
#2さんの方法でトップを書き換え
セーフモードのままブラウザを起動すれば大丈夫でしょう

で、僕が用いる駆除の方法です
通常モードで起動します
[Ctrl]+[Alt]+[Delete]で
[タスクマネージャ]を起動し
[プロセス]タブを見ます
何か明らかに怪しいものはありませんか?
あったら、
(セーフモードのほうが良い)
そのファイル名で検索を掛け
駆除方法を探し、駆除します

投稿日時 - 2004-05-09 02:14:49

お礼

ありがとうございます。

通常モードで起動します
[Ctrl]+[Alt]+[Delete]で
[タスクマネージャ]を起動し
[プロセス]タブを見ます
何か明らかに怪しいものはありませんか?

残念ながら見てもわかんないんです。なにせ初心者な者で。

投稿日時 - 2004-05-09 02:47:56

ANo.2

以下の方法を見落としていませんか?

ツール

インターネットオプション

全般

ホームページ

でホームとして使用するページを設定できます。

投稿日時 - 2004-05-09 01:59:57

お礼

ありがとうございます。
それもやりました。けどダメなんです。また再起動すると元にもどっちゃうんですぅ・・。(/。\)

投稿日時 - 2004-05-09 02:22:46

ANo.1

ウィルス対策ソフトで全検査してみましたか?
インターネット一時ファイルをすべて削除してみましたか?

OS、IEのバージョンは?

投稿日時 - 2004-05-09 01:55:38

お礼

ありがとうございます。
言い忘れしましたが、結構な初心者なんです。
バージョンは6.0だとおもいます。答えになってないかな・・?

投稿日時 - 2004-05-09 02:08:48

あなたにオススメの質問