はじめての方へ- このQ&Aは役に立った
- 役にたった:2件
質問 |
||
| QNo.852603 | トップページを変えられた・・。 | |
|---|---|---|
| 質問者:koroteke |
インターネットエクスプローラーを起動したときのトップページを変えられてしまって困っています。スパイウェアだと思い、SpybotとAd-awareをインストールしましたが、まだ、変わったままです。セーフモードでも試しました。 よくスパイウェア関係のポップアップが出てきますが、ちょっと怖くてそれは閉じるようにしています。それとウィンドウズを終了するときにエラーが出て強制終了しないとダメなんです・・。ウイルスなんでしょうか?対策法を教えてください。 |
|
困り度:
|
||
| 質問投稿日時: 04/05/09 01:52 |
||
この質問に対する回答は締め切られました。
回答良回答20pt |
|
| ANo.102 | >その使用目的もわかりません。(^^ゞ >ぜひ教えていただけますでしょうか? ↓こういったサイトのJavaアプレットを動作させるために使用します。 悪質なものに置き換えられた可能性として Java Runtime の上書きを回答したのです。 |
|---|---|
| 回答者:ittochan | |
| 種類:回答 どんな人:一般人 自信:参考意見 |
|
| 回答日時: 04/06/08 12:54 |
|
| |
| 参考URL: | http://fukuoka.cool.ne.jp/fullhouse/labo/labo.html |
| この回答へのお礼 | 誠に勝手ながら、とある事情によりこの質問を締め切りたいと思います。 まだ、解決はしておりませんが、気が向いたときにOSの再インストールをしようと思います。 皆様本当にありがとうございました。 |
回答良回答10pt |
|
| ANo.101 | No.97 1.レジストリキー全体をバックアップ レジストリキー全体をバックアップするのは結構時間がかかります。 私の場合、(XP)で2〜3分6MB 以上ありました。 2.レジストリキーをバックアップしない 回答者の立場としてそれはいえません。 「いざとなればクリーンインストール」 と割り切ればバックアップなどいらないという考えもあります。 あくまで自己責任という逃げ口上を付けておきます。 3.個別にバックアップ キーを右クリックしたとき「削除」と同時に「エクスポート」コマンドが表示されます。 操作が面倒ですが、貴方の場合、これが適していると思います。 |
|---|---|
| 回答者:heto2 | |
| 種類:アドバイス どんな人:経験者 自信:参考意見 |
|
| 回答日時: 04/06/04 08:03 |
|
| |
| この回答へのお礼 | 操作が間違ってるのかな?個別に削除してもエクスポートは出来ないみたいです。 けどまぁ、いざとなれば・・・。 |
回答 |
|
| ANo.100 | >どれをダウンロードすればいいんでしょうか? 「Windows (オフラインインストール) 」が良いのでは |
|---|---|
| 回答者:ittochan | |
| 種類:回答 どんな人:一般人 自信:参考意見 |
|
| 回答日時: 04/06/04 06:37 |
|
| |
| この回答へのお礼 | ダウンロードしました。 けど、どうやって使うものなのか、その使用目的もわかりません。(^^ゞ ぜひ教えていただけますでしょうか? |
回答 |
|
| ANo.99 | それと、 ANo.#98の Browser Helper Objectsキーに登録されているものは 「インターネットオプション」の 「詳細設定」タブの 「サードパーティ製のブラウザ拡張を有効にする」の チェックを外すと機能しなくなります。 |
|---|---|
| 回答者:ittochan | |
| 種類:回答 どんな人:一般人 自信:参考意見 |
|
| 回答日時: 04/06/03 05:09 |
|
| |
| この回答へのお礼 | 最近何かと忙しくて返事が遅れていることをお許しください。m(__)m と、補足です。 スタートアップのチェックをすべて外してもしばらくするとやっぱりaboutblankになっちゃいます。 |
回答 |
|
| ANo.98 | >色々調べたんですが、 >しばらくしてからaboutblankになるようです。 >もしくは何かの動作がきっかけになるのかな? システム設定ユーティリティの 「スタートアップ項目を読み込む」にチェックが 入っていなくてもそうなるのなら、 Browser Helper Objects が怪しいです、 これはInternet Explorerで特定のアクションを起こすと動作します。 (アクティブデスクトップがオンになっていると Internet Explorerを起動しなくても動作する可能性があります) heta2ちゃんの 2. マイコンピュータ +HKEY_LOCAL_MACHINE +SOFTWARE +Microsoft +Windows +CurrentVersion +Explorer +Browser Helper Objects このBrowser Helper Objectsキーにぶら下がっている のがそうです。 それと、普通は マイコンピュータ +HKEY_CLASSES_ROOT +PROTOCOLS +Filter +text/plain ←これはありません 4. マイコンピュータ +HKEY_CURRENT_USER +Software +Microsoft +Internet Explorer +Toolbar このToolbarキーを削除して構いません。 これは「マイコンピュータ」等を開くと エクスプローラが再作成してくれます。 (ツールバーの設定が初期化されます) 5.のJava Runtime ですが、 {8AD9C840-044E-11D1-B3E9-00805F499D93} {CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA} このCLSIDは正規のものをインストールしても スパイウェアとして認識されてしまいます。 ↓から最新版をインストールして上書きしてみるのもいいかも。 |
|---|---|
| 回答者:ittochan | |
| 種類:回答 どんな人:一般人 自信:参考意見 |
|
| 回答日時: 04/06/03 04:54 |
|
| |
| 参考URL: | http://java.com/ja/download/manual.jsp |
| この回答へのお礼 | すみません、どれをダウンロードすればいいんでしょうか? |
回答 |
|
| ANo.97 | ここは「CWShredder」を信じて、「やるっきゃない」と思います。 その前にittochanさんのご意見、是非、拝聴したいところでもあります。 1.レジストリのバックアップ レジストリエディターを開き「マイコンピューター」右クリック 「エクスポート」をクリック 適当な名前(例えば、2004_06_02.reg)でわかりやすい場所に保存 2.レジストリキーの削除 HKEY_CLASSES_ROOT\CLSID\{6439D220-B3F5-11D8-B660-00906B195D49} HKEY_CLASSES_ROOT\CLSID\{6439D221-B3F5-11D8-B660-00900455F8D2} HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper\Objects\{6439D221-B3F5-11D8-B660-00900455F8D2} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\HOMEOldSP 3.レジストリ値の削除 HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main Start Page = "about:blank" レジストリキーを消していけません。 右側の画面で「Start Page」を右クリックして「削除」 4.下のレジストリ値は私のレジストリにもあるので、消さない方がいいかも HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser レジストリ値 ITBarLayout 5.「HijackThis」ログで削除 気になるのは、No.54にある二つの設定です。 [{8AD9C840-044E-11D1-B3E9-00805F499D93}] [{CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA}] 「HijackThis」のログで下記の行にチェックを入れて「Fix checked」 016-DPF:{8AD9C840-044-11D1-B3E9-00805F499D93}Java Runtime Environment 1.4.0_01)- 016-DPF:{CAFEEFAC-0014-0000-0001-ABCDEFFDCBA}Java Runtime Environment 1.4.0_01)- 018-Protocol hijack:http-{79EAC9E2-BAF9-11CE-8C82-00AA004BA90B} 6.ファイルの削除 c:\windows\system\aljnbaa.dll 多分セーフモードでの操作になると思います。 7.パソコンを再起動 8.「CWShredder」で再チェック これでも復活するなら? くよくよしない。 プログラムに精通した人間が本気でかかれば素人を騙すのは簡単なことです。 特に、正規のファイルを改変された場合など、素人には手も足も出ませんし、手を出すべきでもありません。 |
|---|---|
| 回答者:heto2 | |
| 種類:アドバイス どんな人:経験者 自信:参考意見 |
|
| 回答日時: 04/06/02 19:26 |
|
| |
| この回答への補足 | HKEY_CLASSES_ROOT\CLSID\{6439D220-B3F5-11D8-B660-00906B195D49} HKEY_CLASSES_ROOT\CLSID\{6439D221-B3F5-11D8-B660-00900455F8D2} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper\Objects\{6439D221-B3F5-11D8-B660-00900455F8D2} はありませんでした。他は削除しました。 3つのHijackThisのログも存在しませんでした。 |
| この回答へのお礼 | 最初の段階でつまづいてしまいました。 エクスポートができないです。(+_+) 出来なくても削除して大丈夫ですか? |
回答 |
|
| ANo.96 | 「TrackZapper」 私なら、このソフトはお勧めしません。 1.検出基準が出鱈目 私が試用してみた結果、必要なファイルであって、スパイウエアでもウィルスでもないファイルが続々検出されました。 間違って削除していたらと思うとぞっとします。 2.「Ad-aware」の旧バージョンそっくり 盗用だとはいえませんが、とにかく旧バージョンとよく似ています。 3.「LSPFix.exe」 これも、http://cexx.org/lspfix.htm で公開されているソフトと殆ど同じ。 出典も表示なし。 4.98では無理 幾つかのプログラムをメモリに常駐させるタイプですので、98系のOSでの使用は苦しいのではないかと思います。 特に、ウィルスソフトを常駐させた上に、さらに、このソフトを実行させるのは、殆ど不可能と思います。 5.アンインストールが不完全 プログラムを終了したあとも2つのプログラムがプロセスで実行されたまま。 このため、完全にアンインストールされず残骸が残ってしまいます。 6.「Ad-aware 6」でスキャン なんと!スパイウエア(Malware)? 7.Google検索 「TrackZapper」を日本語で検索してみてください。 |
|---|---|
| 回答者:heto2 | |
| 種類:アドバイス どんな人:経験者 自信:参考意見 |
|
| 回答日時: 04/06/02 12:01 |
|
| |
| この回答へのお礼 | ご忠告ありがとうございます。 使用しないことにします。 結局使わなかったけど、残骸が残っているのかな?? |
回答 |
|
| ANo.95 | >2つのチェックを外しても、 >しばらくするとまたaboutblankにもどってます。 >この2つは違うのかな? 違うみたいです。 |
|---|---|
| 回答者:ittochan | |
| 種類:回答 どんな人:一般人 自信:参考意見 |
|
| 回答日時: 04/06/02 05:05 |
|
| |
| この回答への補足 | 色々調べたんですが、しばらくしてからaboutblankになるようです。もしくは何かの動作がきっかけになるのかな? なので、どれが原因なのか判定するのが難しいです。 どういう判定方法がいいのかな?(?_?) |
| この回答へのお礼 | 調べなおします。 また、補足します。 |
回答 |
|
| ANo.94 | trialボタンを押すと、画面が消えてしまうのですか? 私の場合は、すぐに次の画面が出ました。 インストールを失敗しているのかもしれません。 再度インストールをしてみて下さい。 あと、同じ症状で困っていた方が、また無事に削除に成功したようです。 http://oshiete1.goo.ne.jp/kotaeru.php3?q=871865 上記ページを参考にしてみて下さい。 このspywareはレジストリをいじらなくても、駆除ソフトでなんとかなるレベルかもしれません。 このソフトさえ上手く動作すれば、駆除できる可能性もぐっとあがります。 なんとか、動作できるようになれば良いのですが。。 。 あと一歩です。がんばりましょう(^^) |
|---|---|
| 回答者:Cuty_Cat | |
| 種類:アドバイス どんな人:経験者 自信:自信あり |
|
| 回答日時: 04/06/02 04:51 |
|
| |
| 参考URL: | http://oshiete1.goo.ne.jp/kotaeru.php3?q=871865 |
| この回答へのお礼 | ありがとうございます。 けど、No.96のheto2さんのご意見で使用しないほうが良いとのことなので、使わない事にします。 それに、Ad-awereが消しちゃったみたいです。 せっかくのご回答なんですが・・。すみません。m(__)m 誠にありがとうございます。 |
回答 |
|
| ANo.93 | No.88のお返事 AAA.Possible Browser Hijack attempt 最後のブロックにある下記項目が非常に気になります。 HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main Start Page = "about:blank" BBB.Cool Web Search これについての情報が何か無かったでしょうか? CCC.「Ad-aware 6」で駆除できないか試してください。 1.IEの画面を全て閉じておきます。 2.「Ad-aware 6」を起動 3.「Chek fo updates now.」をクリックして最新のデータにします。 4.スキャン実行>終了 5.「Show logfile」をクリック 6.「Save」をクリックして適当なファイル名(例えばC:\AAW001.txt)で保存 7.「Next」をクリック 8.「X objects will be removed. Continue?」で「OK」をクリック。 9.パソコンを再起動して、「Ad-aware 6」で再スキャン |
|---|---|
| 回答者:heto2 | |
| 種類:アドバイス どんな人:経験者 自信:参考意見 |
|
| 回答日時: 04/06/01 08:23 |
|
| |
| この回答へのお礼 | CoolWebSearchの情報です。 CoolWebSearch Object recognized! Type : RegKey Data : Rootkey : HKEY_CLASSES_ROOT Object : CLSID\{6439D220-B3F5-11D8-B660-00906B195D49} CoolWebSearch Object recognized! Type : File Data : aljnbaa.dll Object : c:\windows\system\ FileSize : 30 KB Created on : 04/06/01 8:59:14 Last accessed : 04/05/31 15:00:00 Last modified : 04/06/01 8:59:16 CoolWebSearch Object recognized! Type : RegKey Data : Rootkey : HKEY_CLASSES_ROOT Object : CLSID\{6439D221-B3F5-11D8-B660-00900455F8D2} CoolWebSearch Object recognized! Type : RegKey Data : Rootkey : HKEY_CLASSES_ROOT Object : PROTOCOLS\Filter\text/html CoolWebSearch Object recognized! Type : RegKey Data : Rootkey : HKEY_CLASSES_ROOT Object : PROTOCOLS\Filter\text/plain CoolWebSearch Object recognized! Type : RegKey Data : Rootkey : HKEY_LOCAL_MACHINE Object : SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6439D221-B3F5-11D8-B660-00900455F8D2} CoolWebSearch Object recognized! Type : RegValue Data : Rootkey : HKEY_LOCAL_MACHINE Object : SOFTWARE\Microsoft\Internet Explorer\Main Value : HOMEOldSP CoolWebSearch Object recognized! Type : RegValue Data : Rootkey : HKEY_CURRENT_USER Object : Software\Microsoft\Internet Explorer\Toolbar\WebBrowser Value : ITBarLayout |
回答 |
|
| ANo.92 | >その2つにチェックが入っている状態で >IE終了するとエラーが出ます。 >例の不正な処理を行ったので・・ってやつです。 マカフィの仕様なのかな? 私の98機で試してみます。 >どれが怪しい奴か分かったら、また補足します。 d(-_☆)ラジャ |
|---|---|
| 回答者:ittochan | |
| 種類:補足要求 どんな人:一般人 自信:参考意見 |
|
| 回答日時: 04/06/01 04:23 |
|
| |
| この回答へのお礼 | IE終了時のエラーはないんですが、2つのチェックを外しても、しばらくするとまたaboutblankにもどってます。 この2つは違うのかな? |
回答 |
|
| ANo.91 | 無事にインストールできたようですね。 まずソフトをダブルクリックしてから、画面右下の「〜trial」というボタンを押します。 ソフトが立ちあがったら、画面右下の「start scaning(だったかな)」をクリックすれば、スキャンが始まります。 スキャンが終了したら、たしか右下に「next」ボタンが表示されるので、そのボタンを押して下さい。 後は画面を見れば分かると思います。 このソフトでいくつかファイルが削除された後、1度ブラウザを立ち上げてみて下さい。 ポップアップウィンドウが出ても、そのウィンドウの中には広告が表示されないようになっていると思います。 後は、私が以前お話した方法で駆除を行ってみて下さい。 これで、除去できるはずなので、あと少しがんばって下さいね。 |
|---|---|
| 回答者:Cuty_Cat | |
| 種類:回答 どんな人:経験者 自信:自信あり |
|
| 回答日時: 04/05/31 21:19 |
|
| |
| この回答へのお礼 | Continue Trialをクリックすると、画面が消えちゃいます。 立ち上がるのを待つのかな・・? けど、全然気配なしです。(・・? |
回答 |
|
| ANo.90 | インストール時にエラーが出てしまったようですね。 おそらくDL時にファイルが壊れてしまったかもしれないので、再度DLしてインストールを試みて下さい。 私と同じ症状だったので、このソフトがインストールできれば、問題は解決できるはずです。 |
|---|---|
| 回答者:Cuty_Cat | |
| 種類:アドバイス どんな人:経験者 自信:参考意見 |
|
| 回答日時: 04/05/31 12:49 |
|
| |
| 参考URL: | http://trackzapper.com/track_buttom.html#dd |
| この回答へのお礼 | インストールできました。o(^▽^)o けど、どうやって使うのかよく分かりません。 英語ができないもので・・(^^ゞ |
回答 |
|
| ANo.89 | 補足ありがとうございます。 どれが、怪しいのか分かんないです。 で、絞り込んでみます。 Windowsのセーフモードから 「システム設定ユーティリティ」の 「スタートアップ」タブで すべてのチェックを外して セーフモードを終了して Windowsの通常モードで起動させてみてください。 これで正常でしょうか? |
|---|---|
| 回答者:ittochan | |
| 種類:補足要求 どんな人:一般人 自信:参考意見 |
|
| 回答日時: 04/05/30 08:26 |
|
| |
| この回答への補足 | 結果です。 MaCfeeWebScan C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe と MaCfeeWebScan C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe/RUNSEVICES とがあり、前者だけにチェックを入れても問題ないんですが、後者にチェックを入れ、再起動後にスタートアップを見ると、もう一つの MaCfeeWebScan が存在しています(チェック入っている状態で)。つまり、全部あわせて3つって事です。右に書いてある内容は前者のものと全く同じです。その2つにチェックが入っている状態でIE終了するとエラーが出ます。例の不正な処理を行ったので・・ってやつです。 説明がへたですみません。m(__)m 分かりづらいかな?? |
| この回答へのお礼 | 全部チェックを外すと正常に動くようです。と言う事はこの中が怪しいわけですね。 いろいろ試してみます。どれが怪しい奴か分かったら、また補足します。 |
回答 |
|
| ANo.88 | 「Ad-aware 6」が何を検出したのか気になりますね。 スキャン終了後、「Show logfile」>「Save」で適当なファイル名で保存します。 メモ帳で開くとスキャン結果が一覧表示されます。 その中で、「Cool Web Search」や「Browser Hijack」と書かれている行を探してください。 新しい情報があるかもしれません。 |
|---|---|
| 回答者:heto2 | |
| 種類:アドバイス どんな人:経験者 自信:参考意見 |
|
| 回答日時: 04/05/30 06:12 |
|
| |
| この回答へのお礼 | 私には理解できませんが、いい情報になればと思います。 Started deep registry scan ッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッ Possible browser hijack attempt : Software\Microsoft\Internet Explorer\MainStart Pageabout:blank Possible Browser Hijack attempt Object recognized! Type : RegData Data : "about:blank" Rootkey : HKEY_CURRENT_USER Object : Software\Microsoft\Internet Explorer\Main Value : Start Page Data : "about:blank" Possible browser hijack attempt : Software\Microsoft\Internet Explorer\MainStart Pageabout:blank Possible Browser Hijack attempt Object recognized! Type : RegData Data : "about:blank" Rootkey : HKEY_LOCAL_MACHINE Object : Software\Microsoft\Internet Explorer\Main Value : Start Page Data : "about:blank" Possible browser hijack attempt : .Default\Software\Microsoft\Internet Explorer\MainStart Pageabout:blank Possible Browser Hijack attempt Object recognized! Type : RegData Data : "about:blank" Rootkey : HKEY_USERS Object : .Default\Software\Microsoft\Internet Explorer\Main Value : Start Page Data : "about:blank" |
回答 |
|
| ANo.87 | No.83 >DirWDM.batを実行すると最後の方のDirWDM.txtのところでカタカタ 間違っておりました。 Notepad.exeにパスが通っていない。 パスを通すのは簡単ですがNotepad.exeはDOSプロンプトで実行できないと思います。 DOSプロンプトではEdlinというコマンドを使うんですが、これも、あまり意味がありません。 「Ctrl+C」または「Ctrl+Z」でバッチを強制終了させてください。 その後、通常モードで再起動してメモ帳でc:\DirWDM.txtを開いてください 前回の結果(No.72)と比較して違いが無ければ「Safe Mode」で実行した結果と同じになりますので、セーフモードでもいいということになります。 セーフモードでは前回同様正常に動くと思います。 |
|---|---|
| 回答者:heto2 | |
| 種類:アドバイス どんな人:経験者 自信:参考意見 |
|
| 回答日時: 04/05/28 06:38 |
|
| |
| この回答へのお礼 | DOSプロンプト起動したときは早すぎて、何て書いているのやら・・って感じです。すみません。 セーフモードで試した結果ですが、 BHO削除後と削除前での違いは空きが違うだけのようです。 と、補足です。 Ad-awereで引っかかる奴は2種類です。 Cool Web Search Possible Browser Hijack attempt の2つです。 |
回答 |
|
| ANo.86 | 1つ下記のソフトを試してみて下さい。 そう言えば、私はこのソフトを使用してから、該当ファイルを削除しました。 恐らくこのソフトを使用して、スパイウェア本体を削除できたのかもしれません。 http://trackzapper.com/ このサイトにある「TZ Spyware-Adware Remover」と言うソフトです。 トライアル版でも、検索ができスパイウェアの削除ができるようです。 http://trackzapper.com/track_buttom.html#dd このソフトの使い方については、ソフトを立ち上げれば分かると思います。 たしか「scan」と言うボタンを押して、いくつか怪しいファイルが検出されるので、そのまま「next」ボタンを押せば良かったと思います。 とりあえず、このソフトを試してみて下さい。 これで、スパイウェアの本体は削除できると思います。(たぶん…(^^;) |
|---|---|
| 回答者:Cuty_Cat | |
| 種類:アドバイス どんな人:経験者 自信:自信あり |
|
| 回答日時: 04/05/28 05:16 |
|
| |
| 参考URL: | http://trackzapper.com/track_buttom.html#dd |
| この回答へのお礼 | ありがとうございます。 txsar.exeをダウンロードしました。けど、エラーがでてうまくいかないです。 The setup files are corrupted. Please obtain a new copy of the program. というエラーです。どう言う意味だろ??(・・? |
回答 |
|
| ANo.85 | 「システム設定ユーティリティ」の 「スタートアップ項目を読み込む」のチェックを 外すと正常に動く (ANo.#60のお礼を参照) というのに固執しちゃうんですが プログラムが起動し、レジストリの スタートップ項目を削除して、 windows終了時に書込みするタイプだとすると Windowsの通常起動後にレジストリを見るから 存在しないのかもしれません。 Windowsをセーフモードで起動させて レジストリを覗けば、いいかも。 レジストリの マイコンピュータ +HKEY_CURRENT_USER +Software +Microsoft +Windows +CurrentVersion +Policies +Explorer +Run ←この中 +Run ←この中 +RunOnce ←この中 +RunService ←この中 +RunServiceOnece ←この中 それと、 マイコンピュータ +HKEY_LOCAL_MACHINE +Software +Microsoft +Windows +CurrentVersion +Policies +Explorer +Run ←この中 +Run ←この中 +RunOnce ←この中 +RunOnceEx ←この中 +RunService ←この中 +RunServiceOnece ←この中 +ShellServiceObjectDelayLoad ←この中 です。 あと、ウイルス駆除ソフトの会社によっては ウイルスとして検出してくれるのもあるので、 インストールしているマカフィ君以外の 会社のオンライン検索をしてみてもいいかもしれません。 それと、オンラインでスパイウェアの検索をしてくれる サイトがあります。 http://www.spywareguide.com/index.php ここの「Online spyware Scan」です。 |
|---|---|
| 回答者:ittochan | |
| 種類:回答 どんな人:一般人 自信:参考意見 |
|
| 回答日時: 04/05/28 04:11 |
|
| |
| 参考URL: | http://www.trendmicro.co.jp/hcall/index.asp, http://www.symantec.com/region/jp/securitycheck/ |
| この回答へのお礼 | 素人ながらもそこがキーになってそうと思います。 +HKEY_CURRENT_USER +run msnmsgr ""C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background" +RunOnce は空です。 +HKEY_LOCAL_MACHINE +Run ↓これ AvconsoleEXE "C:\Program Files\Network Associates\McAfee VirusScan\avconsol.exe /minimize" internat.exe "internat.exe" LoadBtnHnd "C:\Program Files\Common Files\Fujitsu Shared\BtnHnd.exe" LoadPowerProfile "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" LoadQM "loadqm.exe" McAfeeWebScanX "C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe" ScanRegistry "c:\windows\scanregw.exe /autorun" SystemTray "SysTray.Exe" TaskMonitor "c:\windows\taskmon.exe" TkBellExe ""C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot" Vshwin32EXE "C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE" VsStatEXE "C:\Program Files\Network Associates\McAfee VirusScan\VSSTAT.EXE /SHOWWARNING" +RunOnce +RunOnceEx は空です +RunService LoadPowerProfile "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" Machine Debug Manager "C:\WINDOWS\SYSTEM\MDM.EXE" McAfeeWebScanX "C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe /RUNSERVICES" SchedulingAgent "mstask.exe" Vshwin32EXE "C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE" これら以外のキーは存在しません。 |
回答 |
|
| ANo.84 | レジストリの マイコンピュータ +HKEY_LOCAL_MACHINE +Software +Microsoft +Windows +CurrentVersion +RunServicesOnce ここはどうでしょうか? |
|---|---|
| 回答者:ittochan | |
| 種類:補足要求 どんな人:一般人 自信:参考意見 |
|
| 回答日時: 04/05/27 12:21 |
|
| |
| この回答へのお礼 | ありがとうございます。 そこは空っぽです。 |
回答 |
|
| ANo.83 | >DOSプロンプトっていうのはセーフモードのことでいいんでしょうか? 非常に重要なご質問です。これからも解らないことは、ご遠慮無く・・・ といっても、何でも知っているわけではありませんが。 DOSプロンプトには大別して2種類があります。 ☆Windowsの一部としてのDOSプロンプト Windowsが起動された状態で、Windowsの一部としてDOSプロンプトを呼び出す。 これについは下記を参照ください。 http://www.confrage.com/dos/ ☆Windowsを起動させずにDOSプロンプトを呼び出す。 セーフモードを呼び出す過程で、メニューが表示されます。 Safe Modeを選択するとセーフモードで起動され、 Command Prompt Onlyを選択するとDOSプロンプト画面になります。 ☆Windows 9x/Me をセーフモードで起動する方法 http://service1.symantec.com/SUPPORT/INTER/tsgeninfojapanesekb.nsf/... ☆フロッピー起動 そのほかに起動用のフロッピーを使ってDOSプロンプトで起動する方法もあります。 起動ディスク(Win98/Win95) http://support.microsoft.com/default.aspx?scid=kb;ja;259066 ☆なぜ、セーフモード セーフモードではWindowsの最小の機能しかメモリーに読み込まれません。 たとえば、通常モードで起動されているときにファイルを削除しようとすると、「使用中のためファイルを削除できません」という種類のエラーが表示されてファイルを削除できないことがよくあります。 こんなときセーフモードで再起動すると通常モードでは削除できないプログラムを削除できるようになります。 ☆なぜ、Command Prompt Only? Wininit.iniファイルがいつ実行されるのか? セーフモードで起動しただけで、実行されるのかどうか? 私には解りません。 確実を期するためCommand Prompt Onlyで起動することをお勧めしています。 今までの操作で、セーフモードが使われていたのであればその方法でもいいと思います。 全ては、どんな結果が得られるかにかかっています。 |
|---|---|
| 回答者:heto2 | |
| 種類:アドバイス どんな人:経験者 自信:参考意見 |
|
| 回答日時: 04/05/27 09:03 |
|
| |
| この回答へのお礼 | ありがとうございます。 DOSプロンプト画面って真っ暗の画面ですよね。 そこで、DirWDM.batを実行すると最後の方のDirWDM.txtのところでカタカタって動いているんですけどそれ以上進まなくなります。そのまま放っておくべきですか? |
回答 |
|
| ANo.82 | 私も同じ「Search for」に苦しんでいましたが、先ほど自力で除去することができました。 その方法を下記の記事に書いておきましたので、ご覧になってみてください。 おそらく、これで完全に除去できるはずです。 http://oshiete1.goo.ne.jp/kotaeru.php3?q=871865 上手く除去できれば嬉しく思います。 |
|---|---|
| 回答者:Cuty_Cat | |
| 種類:回答 どんな人:経験者 自信:自信あり |
|
| 回答日時: 04/05/27 08:46 |
|
| |
| 参考URL: | http://oshiete1.goo.ne.jp/kotaeru.php3?q=871865 |
| この回答へのお礼 | ありがとうございます。 消しても消しても新たなDLLファイルが出てきちゃうんです。 Cuty_Catさんのものとは違う種類なのかな?それとも複数のウイルスに感染しているからかな・・? |
回答 |
|
| ANo.81 | >とりあえずhidserv.exeのバージョンです それ、問題ないようです。 USBキーボードを使用している環境にあるようです。 |
|---|---|
| 回答者:ittochan | |
| 種類:回答 どんな人:一般人 自信:参考意見 |
|
| 回答日時: 04/05/27 07:13 |
|
| |
| この回答へのお礼 | この回答にお礼をつける(質問者のみ) |
回答 |
|
| ANo.80 | >アップデートしたAd-awere 6を試してみました。しかし、IE終了時にエラーがでます。 どんなエラーでしょうか? kernel32.dllでGoogle検索すると沢山表示されます。 しかし、これは、Windows98ユーザーで無いとわかりません。 >WININIT INI 206 04-05-26 2:10 Wininit.ini >WININIT PIF 967 04-05-24 21:54 WININIT.PIF >WININIT BAK 76 04-05-23 22:13 WININIT.BAK 通常、WININIT.BAKはWININIT.INIのバックアップですから、サイズがまったく違うというのはおかしいと思います。 その上WININIT.BAKのほうが、日付が古いというのは奇奇怪怪。 「.INI」が親とすると「.BAK」はその子供です。 子供の誕生日の方が、親の誕生日より古いなんて信じられますか? >04-05-26 2:10 この時間、貴方が何をされたかを思い出してください。 多分、パソコンの電源を切る直前の時間では無かったかと思います。 ☆推測できること・・・ 1.「VirusX」は、BHOの名前を記憶している。 2.ユーザーは「HijackThis」等でBHO設定を削除して正常な表示に戻す。 3.パソコン終了時、ウィルスXがBHOの状態を調べる。 4.BHO設定が削除されているのがわかると「VirusX」は新しいWININIT.INIを生成する。 5.次回パソコン起動時にWININIT.INIが実行され、新しいBHOを設定する。 6.WININIT.INIは実行後、自動的にWININIT.BAKを残して消滅する。 パソコンの終了前の一瞬にWININIT.INIが生成され、次回、Windows起動前の一瞬にININIT.INIが実行されていると思います。 ☆コンピューターを再起動 この仕組みは決して珍しくも何ともありません。 アプリケーションをインストールしたときに、コンピューターを再起動してください、という表示がよく出ますね。 アプリケーションのインストーラーは、Windows起動後では設定出来ない事項を、パソコンの再起動後、Windowsが起動される前にハードディスクに書き込んでアプリケーションを実行できるようにすることがよくあるのです。 ☆Wininit.exe WindowsにはWininit.exeという正規のプログラムがあります。 WindowsフォルダにWININIT.INIを見つけると、Windowsの起動前にWininit.exeが起動され、WININIT.INIに書き込まれた命令を実行します。 作業が終わるとWININIT.INIはWININIT.BAKを残して自動的に消滅する。 NUL=C:\WINDOWS\TEMP\GLB1A2B.EXEのように使用済みのファイルを削除する。 これで、WININIT.INIは二度と実行されませんし、不要なファイルは削除されます。 今回のウィルスでは、この仕組みが悪用されていると推定しています。 実験1. 「HijackThis」で調べると新しいBHOが作成されていると思います。 現在の状態でパソコンを再起動し、DOSプロンプトでDirWDM.batを実行して見てください。 WININIT.INI(04-05-26 2:10)は実行されたあとでしょうから、多分、WININIT.INIは現れないと思います。 実験2. 「HijackThis」でBHOを削除した後、パソコンをDOSプロンプトで再起動し、DirWDM.batを実行してください。 WININIT.INIを確認できたら下記のバッチを実行してみてください。 WININIT.INIに何が書かれているかがわかれば面白いと思います。 :〜〜〜〜〜〜TypeWIni.batはじめ〜〜〜〜〜〜〜 c: cd\windows echo *** WININIT.INI 詳細 %date% %time% *** > c:\wininit.txt echo\ >> c:\wininit.txt type c:\windows\WININIT.ini >>c:\wininit.txt attrib c:\windows\WININIT.ini >>c:\wininit.txt echo\ >> c:\wininit.txt echo *** WININIT.PIF 詳細 %date% %time% *** >> c:\wininit.txt echo\ >> c:\wininit.txt type c:\windows\WININIT.PIF >>c:\wininit.txt attrib c:\windows\WININIT.PIF >>c:\wininit.txt Notepad.exe c:\wininit.txt exit :〜〜〜〜〜〜TypeWIni.bat終わり〜〜〜〜〜〜〜 |
|---|---|
| 回答者:heto2 | |
| 種類:アドバイス どんな人:経験者 自信:参考意見 |
|
| 回答日時: 04/05/26 22:53 |
|
| |
| この回答へのお礼 | どうもです。 不正な処理を行ったので・・・。っていうエラーです。 >04-05-26 2:10 この時間は多分再起動した時間かと思います。なのでオンの時かオフの時かはちょっと・・・。 すごくバカな質問ですが、DOSプロンプトっていうのはセーフモードのことでいいんでしょうか? |
回答 |
|
| ANo.79 | (*^o^*)オ (*^O^*)ハー >"Hidserv.exe run"は消すべきなんですか? 「システム設定ユーティリティ」の 「スタートアップグループの項目を読み込む」の チェックを外してWindowsを再起動させて マイコンピュータ +HKEY_LOCAL_MACHINE +Software +Microsoft +Windows +CurrentVersion +RunServices ここの 名前___データ Hidserv "Hidserv.exe run" ↑ 右クリック→「削除」をクリックして 「システム設定ユーティリティ」の 「スタートアップグループの項目を読み込む」の チェックを入れてWindowsを再起動します。 それと、Hidserv.exe を探し出して このプログラムのバージョン情報を 補足してください。(製造元とか) |
|---|---|
| 回答者:ittochan | |
| 種類:回答 どんな人:一般人 自信:参考意見 |
|
| 回答日時: 04/05/26 06:27 |
|
| |
| この回答へのお礼 | とりあえずhidserv.exeのバージョンです 会社名 Microsoft Corporation 言語 英語 (U.S.) 正式ファイル名 HIDSERV.EXE 製品バージョン 4.10.2222 製品名 Microsoft(R) Windows(R) Operating System 内部名 hidserv |
回答 |
|
| ANo.78 | ANo.#72の補足なんですが、 それって、 レジストリの マイコンピュータ +HKEY_CURRENT_USER +Software +Microsoft +Windows +CurrentVersion +Run ←この中 それと、 マイコンピュータ +HKEY_LOCAL_MACHINE +Software +Microsoft +Windows +CurrentVersion +Run のことでしょ? これは、 「システム設定ユーティリティ」の 「スタートアップ」タブで確認したからいいんですよ。 |
|---|---|
| 回答者:ittochan | |
| 種類:アドバイス どんな人:一般人 自信:参考意見 |
|
| 回答日時: 04/05/26 00:37 |
|
| |
| この回答へのお礼 | はっ、そうでしたか。 "Hidserv.exe run"は消すべきなんですか? |
回答 |
|
| ANo.77 | 「スタートアップグループの項目を読み込む」の チェックを外してWindowsを起動させてから ANo.#76を実施してみてください。 そのほうが安全かもしれません。 |
|---|---|
| 回答者:ittochan | |
| 種類:回答 どんな人:一般人 自信:参考意見 |
|
| 回答日時: 04/05/26 00:28 |
|
| |
| この回答へのお礼 | ややこしくなってすみません。 No.73は行ったほうがいいんですか? |
回答 |
|
| ANo.76 | >マイコンピュータ >HKCU\..\RunOnce は特に問題なさそうです。 >HKCU\..\runservice は存在しないです。 >HKLM\..\RunOnce ↓です。 >Hidserv "Hidserv.exe run" RunOnceキーは 通常でしたら Windows起動後、登録されているプログラムが正常終了したら登録が抹消されるんです。 悪質なプログラムの中には 実行するたびにこのキーに自己登録してしまいます。 「システム設定ユーティリティ」で 「スタートアップ項目」を読み込まない状態で ホームページが正常なのですから、 もしかしたら、これかもしれません。 レジストリの マイコンピュータ +HKEY_LOCAL_MACHINE +Software +Microsoft +Windows +CurrentVersion +RunOnce ←この中の 名前_____データ Hidserv "Hidserv.exe run" ↑ を右クリック→「削除」をクリックして Windowsを再起動させてみてください。 |
|---|---|
| 回答者:ittochan | |
| 種類:回答 どんな人:一般人 自信:参考意見 |
|
| 回答日時: 04/05/26 00:24 |
|
| |
| この回答へのお礼 | ごめんなさい。 また、訂正です。m(__)m RunOnceの中身ではなく、RunServicesの中のものでした。 すみません。ちょっとパニくってます。(^^ゞ |
回答 |
|
| ANo.75 | セーフモードで起動して レジストリから CLSIDの {8B7B79C1-AA8F-11D8-B660-009002A627F8} を削除すれば、 CHGB.DLL は動けなくなると思います。 |
|---|---|
| 回答者:ittochan | |
| 種類:回答 どんな人:一般人 自信:参考意見 |
|
| 回答日時: 04/05/25 23:42 |
|
| |
| この回答へのお礼 | この回答にお礼をつける(質問者のみ) |
回答 |
|
| ANo.74 | あっ違う。 heta2ちゃんへの補足を私のに書いたんですね。 |
|---|---|
| 回答者:ittochan | |
| 種類:回答 どんな人:一般人 自信:参考意見 |
|
| 回答日時: 04/05/25 23:33 |
|
| |
| この回答へのお礼 | ごめんなさい。 結果的にそうなりました。(^^ゞ |
回答 |
|
| ANo.73 | あれ? 「スタートアップ」タブの >*FO-syst>m.ini:Shell= >*FO-R□□ >ystem.ini:Shell>= >*FO-R□□ >ystem.ini:UseInit= >*02-BHO:(no name)-{8B7B79C1-AA8F-11D8-B660-009002A627F8}-C:/WINDOWS/SYSTEM/CHGB.DLL >*03-Toolbar:?????-{8E718888-423F11D2-876E-00A0C9082467}-C:/WINDOWS/SYSTEM/MSDXM.OCX これかも。 最初の3つは win.iniとsystem.iniみたいですね。 MSDXM.OCXって Internet Explorerのコンポーネントの1つなんですが、これ書き換えられているかも。 これらのチェックを外して Windowsを再起動させてみて。 |
|---|---|
| 回答者:ittochan | |
| 種類:回答 どんな人:一般人 自信:参考意見 |
|
| 回答日時: 04/05/25 23:29 |
|
| |
| この回答へのお礼 | ごめんなさい。m(__)m 勘違いしていました。(^^ゞ 間違えてhijuckthisのlogを出しちゃいました。 msnmsgr _ "C\PROGRAM FILES\MSN MESSENGER\MSMSGER.EXE"/background McAfeeWebScanX _ C\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe internat.exe _ internat.exe ScanRegistry _ c:\windows\scanregw.exe/autorun TaskMonitor _ c:\windows\taskmon.exe SystemTray _ SysTray.Exe LoadPowerProfile _ Rundll32.exe powrprof.dll,LoadCurrentpwrScheme AvconsoleEXE _ C:\Program Files\Network Associates\McAfee VirusScan\avconsol.exe/minimize VsStatEXE _ C:\Program Files\Network Associates\McAfee VirusScan\VSSTAT.EXE/SHOWWARING LoadQM _ loadqm.exe Vshwin32EXE _ C:\PROGRAM FILES\NETWORK ASSOCIATES\MACAFEE VIRUSSCAN\VSHWIN32.EXE TkBellExe _ "C:\Program Files\Real\update_OB\realsched.exe"-osboot McafeeWebScanX _ C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe/RUNSERVUCES Machine Debug Manager _ C:\WINOWS\SYSTEM\MDM.EXE Hidserv _ Hidserv.exe run LoadPowerProfile _ Rundll32.exe powrprof.dll,LoadCurrentPwrScheme Vshwin32.EXE _ C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE SchedulingAgent _ mstask.exe FM便利ツール _ C:\PROGRA~1\FUJITSU\AUV\AUVCORE.EXE Microsoft Office StartUp _ C:\PROGRA~1MICROS~1\OFFICE\OSA9.EXE hatchinsaide.exe _ C:\PROGRA~1DI\HATCHI~1\HATCHI~1.EXE WordLinker _ C\PROGRA~1\ZENRIN\EMAPZ2\WORDLI~1\SS_LIN~1.EXE |
回答 |
|
| ANo.72 | それと、レジストリの マイコンピュータ +HKEY_CURRENT_USER +Software +Microsoft +Windows +CurrentVersion +Policies +Explorer +Run ←この中 と、 マイコンピュータ +HKEY_LOCAL_MACHINE +Software +Microsoft +Windows +CurrentVersion +Policies +Explorer +Run ←この中 もね。 |
|---|---|
| 回答者:ittochan | |
| 種類:補足要求 どんな人:一般人 自信:参考意見 |
|
| 回答日時: 04/05/25 10:59 |
|
| |
| この回答へのお礼 | HKCU\..\Run msnmsgr ""C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background" HKLM\..\Run AvconsoleEXE "C:\Program Files\Network Associates\McAfee VirusScan\avconsol.exe /minimize" internat.exe "internat.exe" LoadBtnHnd "C:\Program Files\Common Files\Fujitsu Shared\BtnHnd.exe" LoadPowerProfile "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" LoadQM "loadqm.exe" McAfeeWebScanX "C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe" ScanRegistry "c:\windows\scanregw.exe /autorun" SystemTray "SysTray.Exe" TaskMonitor "c:\windows\taskmon.exe" TkBellExe ""C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot" Vshwin32EXE "C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE" VsStatEXE "C:\Program Files\Network Associates\McAfee VirusScan\VSSTAT.EXE /SHOWWARNING" |
回答 |
|
| ANo.71 | No.69 1.WININIT.EXE WININIT.INIを実行するためのプログラムです。 バイナリーファイルですから、バイナリーエディターを使わないと正常に表示できません。 これは文字化けではありません。 マイクロソフトの正規のファイルではないかと思います。 プロパティを調べてください。 WININIT.sav WININIT.000については私には解りません。 WININIT.EXE、WININIT.INIともに通常のアプリケーションソフトのインストールに使われることがあります。 WININIT.EXEという名のファイルが悪用される例があるようですが、動作がまったく違うので、今回の件には関係ないと思います。 2.「Ad-aware 6」で除去できるという情報があります。 最新のデータにアップデートして試してください。 この種のウィルスではWindowsが起動された状態では修復できないことがあります。 スキャン実行後、パソコンを再起動したときに、Windows起動前に「Ad-aware 6」が起動されて修復作業が実行されます。 3.バッチファイル手直ししました。 必ずDOSプロンプトで実行してください。 :〜〜〜〜〜〜DirWDM.batはじめ〜〜〜〜〜〜〜 C: echo *** WDM.*詳細 %date%%time% *** > c:\DirWDM.txt echo\ >> c:\DirWDM.txt cd \WINDOWS\SYSTEM\ dir WDM.* >> c:\DirWDM.txt attrib WDM.* >> c:\DirWDM.txt echo\ >> c:\DirWDM.txt echo *** GLB1A2B.* 詳細 %date%%time% *** >> c:\DirWDM.txt echo\ >> c:\DirWDM.txt cd \WINDOWS\TEMP\ dir GLB1A2B.* >> c:\DirWDM.txt attrib GLB1A2B.* >> c:\DirWDM.txt echo\ >> c:\DirWDM.txt echo *** WININIT.*詳細 %date%%time% *** >> c:\DirWDM.txt echo\ >> c:\DirWDM.txt cd\ dir WININIT.* /s >> c:\DirWDM.txt Notepad.exe c:\DirWDM.txt exit :〜〜〜〜〜〜DirWDM.bat終わり〜〜〜〜〜〜〜 |
|---|---|
| 回答者:heto2 | |
| 種類:アドバイス どんな人:経験者 自信:参考意見 |
|
| 回答日時: 04/05/25 09:35 |
|
| |
| この回答へのお礼 | ありがとうございます。 アップデートしたAd-awere 6を試してみました。しかし、IE終了時にエラーがでます。 以前、kernel32.dllが毎回CWShredderで引っかかるといっていましたが、Ad-awereで引っかかるものでした。 すみません。m(__)m *** WDM.*詳細 *** ドライブ C: のボリュームラベルはありません. ボリュームシリアル番号は 3A30-18D8 ディレクトリは C:\WINDOWS\SYSTEM WDM DLL 57,344 04-05-05 0:19 wdm.dll 1 個 57,344 バイトのファイルがあります. 0 ディレクトリ 8,590.28 メガバイトの空きがあります. A WDM.DLL C:\WINDOWS\SYSTEM\wdm.dll *** GLB1A2B.* 詳細 *** ドライブ C: のボリュームラベルはありません. ボリュームシリアル番号は 3A30-18D8 ディレクトリは C:\WINDOWS\TEMP 8,590.28 メガバイトの空きがあります. *** WININIT.*詳細 *** ドライブ C: のボリュームラベルはありません. ボリュームシリアル番号は 3A30-18D8 ディレクトリは C:\WINDOWS WININIT BAK 76 04-05-23 22:13 WININIT.BAK WININIT PIF 967 04-05-24 21:54 WININIT.PIF WININIT EXE 42,021 99-05-05 22:22 WININIT.EXE WININIT SAV 8,942 04-02-15 10:28 WININIT.SAV WININIT 000 87 04-05-19 0:36 wininit.000 WININIT INI 206 04-05-26 2:10 Wininit.ini 6 個 52,299 バイトのファイルがあります. 一覧のファイル総数: 6 個 52,299 バイトのファイルがあります. 0 ディレクトリ 8,590.28 メガバイトの空きがあります. |
回答 |
|
| ANo.70 | >「スタートアップグループの項目を読み込む」の >チェックだけをはずしたときも >正常に動いているようでした。 「システム設定ユーティリティ」の「スタートアップ」は正常のようです。 となると、 レジストリの マイコンピュータ +HKEY_CURRENT_USER +Software +Microsoft +Windows +CurrentVersion +RunOnce ←この中か +runservice ←この中か それと、 マイコンピュータ +HKEY_LOCAL_MACHINE +Software +Microsoft +Windows +CurrentVersion +RunOnce ←この中か +RunOnceEx ←この中 +runservice ←この中を 調べてみてください。 |
|---|---|
| 回答者:ittochan | |
| 種類:回答 どんな人:一般人 自信:参考意見 |
|
| 回答日時: 04/05/25 06:37 |
|
| |
| この回答へのお礼 | マイコンピュータ HKCU\..\RunOnce は特に問題なさそうです。 HKCU\..\runservice は存在しないです。 HKLM\..\RunOnce ↓です。 Hidserv "Hidserv.exe run" LoadPowerProfile "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" Machine Debug Manager "C:\WINDOWS\SYSTEM\MDM.EXE" McAfeeWebScanX "C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe /RUNSERVICES" SchedulingAgent "mstask.exe" Vshwin32EXE "C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE" HKLM\..\RunOnceEx は問題ないようです。 HKLM\..\runservice は存在しないです。 |
回答 |
|
| ANo.69 | No.67のご回答 >1.WININIT.BAKはあります。削除して良いんですか? ご存知のように、WININIT.BAKはININIT.INIのバックアップファイルです。 そのままでも、危害は無いと思います。 上記、ご回答をみて気が付いたんですが、このファイルに重要な手がかりがあるかもしれません。 メモ帳で開いて、中身を貼り付けていただけませんか? 参考 http://homepage2.nifty.com/DSS/WinSys/Win/Wininit.htm WININIT.INIはリブート時にファイルの置き換えをおこなう為の設定ファイルである. NUL = にするとそのファイルを削除する. 置き換えが成功すると WININIT.INI は WININIT.BAK になる. WININIT.EXE は Windows が起動する前に実行される >3.WDM.DLLを消そうと努力してみましたが、killboxでは見つからないので、消す事が出来ませんでした。 killboxをあまりあてにしないでください。 killboxはWindows起動後に動作する。 ということは、WININIT.INIによるファイル操作が終わってからしか使えない。 「あとの祭り」という奴です。 セーフモードのDOSプロンプト画面を呼び出して、WININIT.INIが起動される前の状態でのファイル操作が必要と思います。 >5.セーフモードでも見つかりませんでした。 No.56のDirDLL3.batで表示されるにもかかわらずセーフモードで見つからないというのが私には理解できません。 >WDM.DLL 2ae60000 131072 C:\WINDOWS\SYSTEM\WDM.DLL ☆セーフモードのDOSプロンプト画面 パソコン再起動直後「F8」キーを連打 黒い画面が表示され、DOSプロンプトという項目が表示されます。 DOSプロンプト画面では、Windowsの機能は一切使えません。 BATファイルは使用できます。 下記のバッチ実行して結果貼り付けてみてください。 〜〜〜〜〜〜DirWDM.batはじめ〜〜〜〜〜〜〜 C: cd \WINDOWS\SYSTEM\ echo WDM.DLL詳細 %date%%time%> c:\DirWDM.txt dir WDM.DLL >> c:\DirWDM.txt attrib WDM.DLL >> c:\DirWDM.txt Notepad.exe c:\DirDWDM.txt exit :〜〜〜〜〜〜DirWDM.bat終わり〜〜〜〜〜〜〜 |
|---|---|
| 回答者:heto2 | |
| 種類:アドバイス どんな人:経験者 自信:参考意見 |
|
| 回答日時: 04/05/24 08:56 |
|
| |
| この回答への補足 | DirDWDM.txtは真っ白でした。 |
| この回答へのお礼 | ありがとうございます。 WININIT.EXE WININIT.sav WININIT.000がありました。これらは関係ないですか? WININIT.BAK の中身です。 [rename] NUL=C:\WINDOWS\TEMP\GLB1A2B.EXE NUL=C:\WINDOWS\TEMP\GLB1A2B.EXE WININIT.000の中身 [rename] NUL=c:\windows\cookies\既定@cgi-bin[2].txt NUL=C:\WINDOWS\TEMP\GLB1A2B.EXE WININIT.EXE はいっぱい文字化けしています。 WININIT.sav は何かのファイルがたくさん書いてあります。 |
回答 |
|
| ANo.68 | 「HijackThis」ログ *02-BHO:(no name)-{8B7B79C1-AA8F-11D8-B660-009002A627F8}-C:/WINDOWS/SYSTEM/CHGB.DLL これが「about:blank」を表示していることには間違いないんですが、消しても、すぐ別名で復活するのでは意味がありません。 *016-DPF:{8AD9C840-044-11D1-B3E9-00805F499D93}Java Runtime Environment 1.4.0_01)- *016-DPF:{CAFEEFAC-0014-0000-0001-ABCDEFFDCBA}Java Runtime Environment 1.4.0_01)- あまり見ない設定です。 MSJVM(JavaVitualMchine)の脆弱性を付いたウィルスが流行した時期がありますので、それに関連しているかもしれません。 削除されては如何でしょう。 「Fix」した項目の復元方法 1.「HijackThis」画面右下の「Config」をクリック 2.「Backups」をクリック 3.バックアップリストから該当する行を選択して右側の「Restore」をクリック。 |
|---|---|
| 回答者:heto2 | |
| 種類:アドバイス どんな人:経験者 自信:参考意見 |
|
| 回答日時: 04/05/23 07:55 |
|
| |
| この回答へのお礼 | ありがとうございます。 消してみましたがとりあえず問題なしです。 |
回答 |
|
| ANo.67 | StartupListで気になるもの 1.GLB1A2B.EXE C:\WINDOWS\WININIT.BAK listing: (Created 19/5/2004, 1:23:36) [rename] NUL=C:\WINDOWS\TEMP\GLB1A2B.EXE 蒸し返しになりますが、このファイルを探しも見つからない? 実行後、WININIT.INIとともにこのファイルが削除された。 しかし、WININIT.BAKの削除を忘れたということだと思います。 http://homepage2.nifty.com/DSS/WinSys/Win/Wininit.htm 2.DOS4G=QUIET C:\AUTOEXEC.BAT listing: SET DOS4G=QUIET これは滅多に出てこない設定です。 なぜこんなものがあるのか、私には解りません。 C:\AUTOEXEC.BATを開いて、SET DOS4G=QUIETの左に「rem」または「:」(コロン)と書くと、この設定行を無効に出来ます。 3.NCG.DLL Enumerating Browser Helper Objects: (no name) - C:\WINDOWS\SYSTEM\NCG.DLL - {9E4F3FA1-A9B8-11D8-B660-0090237C27D7} 新しいBHOが設定されています。 WDM.DLLを削除できない限り解決の方法が無いようです。 4.もしかして・・・ 運のいいことに、唯一の自己解決者、basser_no1さん、korotekeさん、そして私が偶然、マカフィーのAV(AntiVirus)ソフトを使っていることです。 一度、マカフィーのヒューリスティックスキャンを試してみてください。 ただし、私の場合、文字化け障害のため通常のメニューでなくアイコンメニューでの操作になりますのであしからず。 AAA.マカフィーのアイコンをクリック BBB.「VirusScan」>「オプション」 CCC.ActiveVsheild画面の「詳細設定」をクリック DDD.「新しいウィルスと未知のウィルスをスキャン」にチェックを入れる。 EEE.「OK」「OK」でオプション画面を閉じる 以上の設定で、Cドライブをスキャンしてみてください。 5.残された手段 セーフモードの選択画面でDOSプロンプトを選択。 DOS画面で下記ファイルを探し出して削除するくらいしか思い当たりません。 C:\WINDOWS\TEMP\GLB1A2B.EXE C:\WINDOWS\SYSTEM\WDM.DLL それでも駄目なら、私は、すごすごと退場=敗北です。 Windowsの奥の奥で何かが設定されているとしか考えられません。 |
|---|---|
| 回答者:heto2 | |
| 種類:アドバイス どんな人:経験者 自信:参考意見 |
|
| 回答日時: 04/05/23 07:54 |
|
| |
| この回答へのお礼 | ありがとうございます。 1.WININIT.BAKはあります。削除して良いんですか? 2.無効にしました。とりあえず、問題ないようです。 3.WDM.DLLを消そうと努力してみましたが、killboxでは見つからないので、消す事が出来ませんでした。 4.ヒューリスティックスキャンでも検出できませんでした。 5.セーフモードでも見つかりませんでした。 ん〜、諦めてOS再インストールすべきなのかな・・? |
回答 |
|
| ANo.66 | >正常に動いてました。 >エラーも出ませんでした。o(^▽^)o という表現があちこちにありますので、一応解決したものと思っていました。 ひょっとすると未解決でしょうか。 取り敢えず、補足情報についてのコメント書き込んでおきます。 〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜 No.54 補足の件 >CWShredder でやっぱり引っかかります。一時的なものだったのかな? >まだ、about:blankのままです。 >WDM.DLL 2ae60000 131072 C:\WINDOWS\SYSTEM\WDM.DLL >4月以降のファイルは NCG.DLL と WDM.DLLです。 新しいファイルが出てきましたね。 それぞれの日付を調べてください。 WDM.DLLの日付が新しければ、一旦削除された後、同名で再登場ということに。 この場合、第3のファイルの存在を疑うことになります。 矢張り、KERNEL32.DLLでしょうか? 〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜 No.56 補足の件 >CWShredder で引っかかるファイルなんですけど、 >とりあえず、覚えいているのは KERNEL32.DLL です。 このファイルは文字通りWindowsの核となるファイルです。 このファイルが無いとWindowsを起動できないはずです。 Running processesでも先ず一番に表示されます。 C:\WINDOWS\SYSTEM\KERNEL32.DLL 考えられることは 1.非常によく似た名前のファイル 2.他のフォルダにある同名のファイル 3.正規のファイルの末尾に悪意のあるコードを追加されている DOSモードで起動して、一旦削除しWindowsを上書きインストールすればいいかもしれませんが、非常に危険なので、お勧めできません。 またAV(AntiVirus)ソフトがインストールされているので、もし、このファイルが汚染されていればブロックされていると思います。 〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜 No.58 補足の件 >「HijackThis」で「savelog」→「保存」をすると、 >INSTALL.LOGファイルがオープンしませんとなります。 日本語のエラー表示であれば、システムから出ていると思います。 ウィルスが「HijackThis」を書き換えているのかもしれません。 例えば上のコマンドを実行しようとするとNotePad.exeをアンインストールさせる。 しかし、NotePad.exeには、INSTALL.LOGファイルが無いのでシステムエラーになる。 ただし、これは私の推定です。プロが聞くと大笑いするかもしれません。 「HijackThis」フォルダを一旦削除して再インストールすると直るかもしれません。 hijackthis.zipを解凍して「HijackThis.exe」を適当なフォルダに保存するだけでいいはずです。 最新バージョン(v1.97.6)を確認しておいてください。 〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜 No.59 補足の件 >02-BHO(no name)のところに新しいやつは出てきてません。 >それだけでは説明不足かな? IEを起動すると、また現れると思います。 現にStartupListに出ています。 Enumerating Browser Helper Objects: (no name) - C:\WINDOWS\SYSTEM\NCG.DLL - {9E4F3FA1-A9B8-11D8-B660-0090237C27D7} NCG.DLLファイルを削除、レジストリから削除してもまた別の名前のものが現れます。 〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜 |
|---|---|
| 回答者:heto2 | |
| 種類:アドバイス どんな人:経験者 自信:参考意見 |
|
| 回答日時: 04/05/23 07:50 |
|
| |
| この回答へのお礼 | ごめんなさい。m(__)m ややこしい表現をしてしまいまして。 まだ未解決です。(”ゞ KERNEL32.DLLに似たような奴だったのかな?それとも私の勘違い??? |
回答 |
|
| ANo.65 | どうも私の症状と同じようなので… 私もアドレスが "about:blank"で、"Search for"と書かれたページが表示されていました。そしてスパイウェアの警告のウィンドウが開いていたのですが、こちらの回答を参考にさせて頂いたら解決できました。ちなみにWindows98です。 C:\WINDOWS\SYSTEM\GAMEBE.DLL こんなファイルはありませんか? 私はHijackThisを使って見つけました。ログを見させてもらった限りでは無いようなのですが、私の場合はこのファイルを削除することで解決できましたので、参考までにお教えしておきます。 |
|---|---|
| 回答者:fasnol | |
| 種類:アドバイス どんな人:経験者 自信:参考意見 |
|
| 回答日時: 04/05/23 02:44 |
|
| |
| この回答へのお礼 | ありがとうございます。 ん〜、どうやらGAMEBE.DLLファイルは存在しないようです。 残念です・・・。(/。\) |
回答 |
|
| ANo.64 | >{E6FB5E20-DE35-11CF-9C87-00AA005127ED}を含む >レジストリはいくつかあるようです。関係ないかな? レジストリの マイコンピュータ +HKEY_CLASSES_ROOT +CLSID +{E6FB5E20-DE35-11CF-9C87-00AA005127ED} +InProcServer32 ←クリック 右ウィンドウの 名前___種類____データ (標準) REG_SZ c:\windows\System\webcheck.dll ってなってて この webcheck.dllの製造元が Microsoftなら問題ないと思います |
|---|---|
| 回答者:ittochan | |
| 種類:回答 どんな人:一般人 自信:参考意見 |
|
| 回答日時: 04/05/21 23:56 |
|
| |
| この回答への補足 | これで全部です。 *016-DPF:{8FBFE5FF-5E98-11D3-80AF-00C04FCBC72}(SurveyCtl35 Class)-http://activex.microsoft.com/contorols.mtswizards/sw35.cab *016-DPF:{D27CDB6E-AE6D-11CF96B8-44553540000}(Shockwave Flash Object)-http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab *016-DPF:{8AD9C840-044-11D1-B3E9-00805F499D93}Java Runtime Environment 1.4.0_01)- *016-DPF:{CAFEEFAC-0014-0000-0001-ABCDEFFDCBA}Java Runtime Environment 1.4.0_01)- *016-DPF:{2B323CD9-50E3-11D3-9466-00A0C9700498}(Yahoo! Audio Conferencing)-http://cs.chat.yahoo.co.jp/v45/yacscom.cab *016-DPF:Yahoo! Chat JP 2-http://cs.chat.yahoo.co.jp/c302/chat.cab *016-DPF:{9F1C11AA-197B-4942-BA54-47A8489BB47F}(Update Class)-http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38020.... *016-DPF:{E504EE6E-47C6-11D5-B8AB-00D0B78FD48}(Yahoo! Webcam Viewer Wrapper)-http://chat.yahoo.co.jp/cab/yvwrctl.cab *016-DPF:{C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE}(Symantec RuFSI Registry Information Class)-http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab *016-DPF:{2BC66F54-93A8-11D3-BEB6-00105AA9B6AE}(Symantec AntiVirus scanner)-http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab *018-Protocol hijack:http-{79EAC9E2-BAF9-11CE-8C82-00AA004BA90B} |
| この回答へのお礼 | ありがとうございます。 種類の列が元々ないのですが、(標準) c:\windows\System\webcheck.dllとなってます。 製造元はMictosoftでした。 下の補足の続きです。 *04-HKLM\..\RunServices:[McAfeeWebScanX]C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanXExe/RUNSERVICES *04-HKLM\..\RunServices:[Mchine Debug Manager]C:/WINDOWS/SYSTEM/MDM.EXE *04-HKLM\..\RunServices:[Hidserv]Hidserv.exe run *04-HKLM\..\RunServices:[LoadPowerProfiles]Rundll32.exe powprof.dll,LoadCurrentPwrScheme *04-HKLM\..\RunServices:[Vshwin32EXE]C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE *04-HKLM\..\RunServices:[SchedulingAgent]mstask.exe *04-HKCU\..\Run:[msnmsgr]"C:/PROGRAM FILES/MSN MESSENGER/MSNMSGR.EXE"/background *04-Startup:FM・□□□□[□.lnk=C:/Program Files/Fujitsu/AUV/AUVCore.exe *04-Startup:Microsoft Office.lnk=C:/Program Files/Microsoft Office/Office/OSA9.EXE *04-Startup:hatchinside.exelnk=C:Program Files/HatchInside/hatchinside.exe *04-Startup:WordLinker.lnk=C:/Program Files/ZENRIN/EmapZ2/WordLinker/SS_Linker.exe *09-Extra button:RealGuide(HKLM) |
回答 |
|
| ANo.63 | >{E6FB5E20-DE35-11CF-9C87-00AA005127ED}を含む >レジストリはいくつかあるようです。関係ないかな? どこにあるか補足してね。 >「スタートアップグループの項目を読み込む」の >チェックだけをはずしたときも >正常に動いているようでした となると システム設定ユーティリティの 「スタートアップ」タブの中に 怪しいのがあることになります。 ここの一覧を補足していただけませんか? |
|---|---|
| 回答者:ittochan | |
| 種類:補足要求 どんな人:一般人 自信:参考意見 |
|
| 回答日時: 04/05/21 23:37 |
|
| |
| この回答への補足 | *FO-syst>m.ini:Shell= *FO-R□□ >ystem.ini:Shell>= *FO-R□□ >ystem.ini:UseInit= *02-BHO:(no name)-{8B7B79C1-AA8F-11D8-B660-009002A627F8}-C:/WINDOWS/SYSTEM/CHGB.DLL *03-Toolbar:?????-{8E718888-423F11D2-876E-00A0C9082467}-C:/WINDOWS/SYSTEM/MSDXM.OCX *04-HKLM\..\Run:[McafeeWebScanX]C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanXExe *04-HKLM\..\Run:[internat]unternat.exe *04-HKLM\..\Run:[ScanRegistry]c:/windows/scanregw.exe/autorun *04-HKLM\..\Run:[TaskMonitor]c:/windows/taskmon.exe *04-HKLM\..\Run:[SystemTray]Systray.Exe *04-HKLM\..\Run:[LoadPowerProfile]Rundll32.exe powprof.dll,LoadCurrentPwrscheme *04-HKLM\..\Run:[LoadBtnHnd]C:/Program Files/Common Files/Fujitsu Shared/Btnhnd.exe *04-HKLM\..\Run:[AvconsoleEXE]C:/Program Files/Network Associates/McAfee VirusScan/avconsol.exe/minimize *04-HKLM\..\Run:[VsStatEXE]CProgram Files/Network Associates/McAfee VirusScan/VSSTAT.EXE/SHOWWARNING *04-HKLM\..\Run:[LoadOM]loadam.exe *04-HKLM\..\Run:[Vshwin32EXE]C:PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE *04-HKLM\..\Run:[TkBellExe]"C:Program Files/Common Files/Real/Update_OB/realshed.exe"-osboot |
| この回答へのお礼 | ありがとうございます。 HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED} (標準)"webchek" HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED} (標準)"webchek" HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\ClsidFeature {E6FB5E20-DE35-11CF-9C87-00AA005127ED} "{3af36230-a269-11d1-b5bf-0000f8051515}!6,0,2800,1106" HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved {E6FB5E20-DE35-11CF-9C87-00AA005127ED} "webchek" HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad webchek "{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" |
回答 |
|
| ANo.62 | >WebCheck "{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" >というのがあります。 それだけなら、そこは正常です。 >正常に動いてました。 >エラーも出ませんでした。o(^▽^)o 標準の起動でも正常なら直ってますが、 標準の起動で駄目なら 「システム設定ユーティリティ」の「全般」タブで 「起動オプションを選択する」を選択します。 「スタートアップグループの項目を読み込む」 のチェックだけを外してみてください。 これで再起動されたWindowsで 「Webの設定のリセット」はどうでしょうか? 確認後、 「標準の起動」でWindowsを再起動させてね。 |
|---|---|
| 回答者:ittochan | |
| 種類:回答 どんな人:一般人 自信:参考意見 |
|
| 回答日時: 04/05/21 02:26 |
|
| |
| この回答へのお礼 | ありがとうございます。 {E6FB5E20-DE35-11CF-9C87-00AA005127ED}を含むレジストリはいくつかあるようです。関係ないかな? 「スタートアップグループの項目を読み込む」のチェックだけをはずしたときも正常に動いているようでした。 |
回答 |
|
| ANo.61 | レジストリの HKEY_LOCAL_MACHINE +SOFTWARE +Microsoft +Windows +CurrentVersion +ShellServiceObjectDelayLoad ←クリック 右側のウィンドウに WebCheck以外に何か登録されていませんか? |
|---|---|
| 回答者:ittochan | |
| 種類:補足要求 どんな人:一般人 自信:参考意見 |
|
| 回答日時: 04/05/20 04:53 |
|
| |
| この回答へのお礼 | ありがとうございます。 WebCheck "{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" というのがあります。 |
回答 |
|
| ANo.60 | >とりあえず、正常に動くようです。 >IE終了時に出るエラーもでないです。 ('◇')ゞラジャ では、 「システム設定ユーティリティ」の「全般」タブで 「起動オプションを選択する」を選択します。 「SYSTEM.INIファイルを処理する」 「WIN.INIファイルを処理する」 「スタートアップグループの項目を読み込む」 のチェックを外してみてください。 これで再起動されたWindowsで 「Webの設定のリセット」はどうでしょうか? 確認後、 「標準の起動」でWindowsを再起動させてね。 |
|---|---|
| 回答者:ittochan | |
| 種類:補足要求 どんな人:一般人 自信:参考意見 |
|
| 回答日時: 04/05/20 03:00 |
|
| |
| この回答へのお礼 | ありがとうござます。 正常に動いてました。 エラーも出ませんでした。o(^▽^)o |
回答 |
|
| ANo.59 | よく見ると、これはスタートアップリストですね。 これも役に立つんですが、No.55の説明どおり操作すると別のものが出ます。 それが「HijackThis」のログです。 よろしく・・・ |
|---|---|
| 回答者:heto2 | |
| 種類:アドバイス どんな人:経験者 自信:参考意見 |
|
| 回答日時: 04/05/19 18:23 |
|
| |
| この回答へのお礼 | 02-BHO(no name)のところに新しいやつは出てきてません。 それだけでは説明不足かな? |
回答 |
|
| ANo.58 | 「HijackThis」ログ 一番大事な部分が抜けているみたい。 「C:\MY DOCUMENTS\HIJACKTHIS\HIJACKTHIS.EXE」 のあとからチェックボックスを入れる部分の表示 入れる場所が無かったんでしょうか? それともこれから入れる?、 |
|---|---|
| 回答者:heto2 | |
| 種類:アドバイス どんな人:経験者 自信:参考意見 |
|
| 回答日時: 04/05/19 17:51 |
|
| |
| この回答へのお礼 | すみません。m(__)m 「savelog」→「保存」をすると、 INSTALL.LOGファイルがオープンしませんとなります。 どういうことだろ? |
回答 |
|
| ANo.57 | スタート→「ファイル名を指定して実行」をクリック msconfig と入力して「OK」をクリック 「システム設定ユーティリティ」が起動されます 「全般」タブの 「診断スタートアップ」を選択して システム設定ユーティリティを終了させます。 Windowsが最小のシステムで再起動されます。 この状態で 「Webの設定のリセット」ではどうなりますか? 結果を確認したら、 「システム設定ユーティリティ」を起動させて 「全般」タブの 「標準」を選択して システム設定ユーティリティを終了させて Windowsを通常の状態で再起動します。 |
|---|---|
| 回答者:ittochan | |
| 種類:補足要求 どんな人:一般人 自信:参考意見 |
|
| 回答日時: 04/05/19 12:43 |
|
| |
| この回答へのお礼 | ありがとうございます。 とりあえず、正常に動くようです。 IE終了時に出るエラーもでないです。 |
回答 |
|
| ANo.56 | >NEE.DLLをKILLBOXで消しちゃったんですが 表で動くファイル:ENOOHC.DLL 裏で動くファイル:NEE.DLL 両方殺せば「about:blank」は消えるとにらんでたんですが・・・ 裏の裏で動くファイル:WDM.DLL??? >CWShredder は引っかからなくなりました それでも、まだ、スタートページは「about:blank」ですか? No.41 basser_no1さんの「Webの設定のリセット」を実行して正常に戻りませんか? >依然、WDM.DLLは残ってます。 「runme.bat」で作成された「Log.txt」にどのように表示されていますか。 WDM DLLの行全体を貼り付けてください。 ☆DirDLL3.bat 新しいファイルが出現している可能性もあります。 下記バッチ実行して、4月以降の新しいデータが無いか調べてください。 :〜〜〜〜〜〜DirDLL3.batはじめ〜〜〜〜〜〜〜 c: cd\WINDOWS\System echo DLLファイルリスト日付順(降順) %date%%time%> c:\DirDLL3.txt echo\ >> c:\DirDLL3.txt dir *.dll /O-D >> c:\DirDLL3.txt Notepad.exe c:\DirDLL3.txt exit :〜〜〜〜〜〜DirDLL3.bat終わり〜〜〜〜〜〜〜 |
|---|---|
| 回答者:heto2 | |
| 種類:アドバイス どんな人:経験者 自信:参考意見 |
|
| 回答日時: 04/05/19 08:56 |
|
| |
| この回答への補足 | CWShredder で引っかかるファイルなんですけど、 どうやって見たのか忘れちゃいました。 すみません。m(__)m とりあえず、覚えいているのは KERNEL32.DLL です。 |
| この回答へのお礼 | ありがとうございます。 CWShredder でやっぱり引っかかります。一時的なものだったのかな?まだ、about:blankのままです。 WDM.DLL 2ae60000 131072 C:\WINDOWS\SYSTEM\WDM.DLL 4月以降のファイルは NCG.DLL と WDM.DLLです。 |
回答 |
|
| ANo.55 | 「HijackThis」のログを貼り付けてみてください。 「Scan」ボタンを押し、リストが表示されると「Scan」ボタンが「Save log」に変わります。 「Save log」をクリックするとメモ帳で表示されます。 長ければ分割が必要になるかもしれません。 |
|---|---|
| 回答者:heto2 | |
| 種類:アドバイス どんな人:経験者 自信:参考意見 |
|
| 回答日時: 04/05/19 06:48 |
|
| |
| この回答への補足 | Listing of startup folders: Shell folders Startup: [C:\WINDOWS\スタート メニュー\プログラム\スタートアップ] FM便利ツール.lnk = C:\Program Files\Fujitsu\AUV\AUVCore.exe Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE hatchinside.exe.lnk = C:\Program Files\DI\HatchInside\hatchinside.exe WordLinker.lnk = C:\Program Files\ZENRIN\EmapZ2\WordLinker\SS_Linker.exe -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run internat.exe = internat.exe ScanRegistry = c:\windows\scanregw.exe /autorun TaskMonitor = c:\windows\taskmon.exe SystemTray = SysTray.Exe LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme LoadBtnHnd = C:\Program Files\Common Files\Fujitsu Shared\BtnHnd.exe AvconsoleEXE = C:\Program Files\Network Associates\McAfee VirusScan\avconsol.exe /minimize VsStatEXE = C:\Program Files\Network Associates\McAfee VirusScan\VSSTAT.EXE /SHOWWARNING LoadQM = loadqm.exe Vshwin32EXE = C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE McAfeeWebScanX = C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe TkBellExe = "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Machine Debug Manager = C:\WINDOWS\SYSTEM\MDM.EXE Hidserv = Hidserv.exe run LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme Vshwin32EXE = C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE McAfeeWebScanX = C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe /RUNSERVICES SchedulingAgent = mstask.exe -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run msnmsgr = "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background -------------------------------------------------- C:\WINDOWS\WININIT.BAK listing: (Created 19/5/2004, 1:23:36) [rename] NUL=C:\WINDOWS\TEMP\GLB1A2B.EXE -------------------------------------------------- C:\AUTOEXEC.BAT listing: SET DOS4G=QUIET C:\PROGRA~1\NETWOR~1\MCAFEE~1\SCAN.EXE C:\ /NOBREAK /SILENT IF ERRORLEVEL 1 PAUSE loadhigh c:\windows\COMMAND\nlsfunc.exe c:\windows\country.sys SET PATH=C:\FJUTY; SET PATH=%PATH%;C:\PROGRA~1\NETWOR~1\MCAFEE~1 -------------------------------------------------- Enumerating Browser Helper Objects: (no name) - C:\PROGRA~1\INETLITE\ATLIE.DLL - {4449EEE1-2955-11D3-8B43-0000E20DA208} (no name) - C:\WINDOWS\SYSTEM\NCG.DLL - {9E4F3FA1-A9B8-11D8-B660-0090237C27D7} -------------------------------------------------- |
| この回答へのお礼 | ありがとうございます。 StartupList report, 04/05/19, 17:25:35 StartupList version: 1.52 Started from : C:\MY DOCUMENTS\HIJACKTHIS\HIJACKTHIS.EXE Detected: Windows 98 SE (Win9x 4.10.2222A) Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106) * Using default options ================================================== Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MDM.EXE C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WEBSCANX.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\HIDSERV.EXE C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSSTAT.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAM FILES\COMMON FILES\FUJITSU SHARED\BTNHND.EXE C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\AVCONSOL.EXE C:\WINDOWS\LOADQM.EXE C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE C:\PROGRAM FILES\FUJITSU\AUV\AUVCORE.EXE C:\PROGRAM FILES\DI\HATCHINSIDE\HATCHINSIDE.EXE C:\PROGRAM FILES\ZENRIN\EMAPZ2\WORDLINKER\SS_LINKER.EXE C:\WINDOWS\SYSTEM\IMEJPMGR.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAM FILES\ZENRIN\EMAPZ2\WORDLINKER\MOUSEHOOK.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\MY DOCUMENTS\HIJACKTHIS\HIJACKTHIS.EXE |
回答 |
|
| ANo.54 | Downloaded Program Filesフォルダに残骸は存在していませんでした。 Downloaded Program Filesフォルダにある desktop.iniファイルをダブルクリックします。 メモ帳で開かれるので ;CLSID={88C6C381-2E85-11d0-94DE-444553540000} これを CLSID={88C6C381-2E85-11d0-94DE-444553540000} こうします。 メモ帳で「ファイル」→「メモ帳の終了」をクリック 保存の確認ダイアログが出るので「はい」をクリックします。 ----------------------- ENOOHC.DLL が一番あやしいですね。 MS-DOSで起動してこのファイルを変名してみるとか。 NEE.DLLは読み込まれていないので Windowsをセーフモードで起動して直接変名してみてもいいかも。 |
|---|---|
| 回答者:ittochan | |
| 種類:アドバイス どんな人:一般人 自信:参考意見 |
|
| 回答日時: 04/05/18 20:21 |
|
| |
| この回答への補足 | Enumerating Download Program Files: [SurveyCtl35 Class] InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\SURVEYCONTROL35.DLL CODEBASE = http://activex.microsoft.com/controls/mtswizards/sw35.cab [Shockwave Flash Object] InProcServer32 = C:\WINDOWS\SYSTEM\MACROMED\FLASH\FLASH.OCX CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab [{8AD9C840-044E-11D1-B3E9-00805F499D93}] [{CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA}] [Yahoo! Audio Conferencing] InProcServer32 = C:\WINDOWS\DOWNLO~1\YACSCOM.DLL CODEBASE = http://cs.chat.yahoo.co.jp/v45/yacscom.cab [Update Class] InProcServer32 = C:\WINDOWS\SYSTEM\IUCTL.DLL CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38020.... [Yahoo! Webcam Viewer Wrapper] InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\YVWRCTL.DLL CODEBASE = http://chat.yahoo.co.jp/cab/yvwrctl.cab [Symantec RuFSI Registry Information Class] InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\RUFSI.DLL CODEBASE = http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab [Symantec AntiVirus scanner] InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\AVSNIFF.DLL CODEBASE = http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab -------------------------------------------------- Enumerating ShellServiceObjectDelayLoad items: WebCheck: C:\WINDOWS\SYSTEM\WEBCHECK.DLL -------------------------------------------------- End of report, 6,451 bytes Report generated in 0.320 seconds Command line options: /verbose - to add additional info on each section /complete - to include empty sections and unsuspicious data /full - to include several rarely-important sections /force9x - to include Win9x-only startups even if running on WinNT /forcent - to include WinNT-only startups even if running on Win9x /forceall - to include all Win9x and WinNT startups, regardless of platform /history - to list version history only |
| この回答へのお礼 | ありがとうございます。 ほっ、残骸が消えててよかった。o(^▽^)o ごめんなさい、NEE.DLLは消しちゃいました・・。(--ゞ |
回答 |
|
| ANo.53 | >「ファイル名を指定して実行」regsvr32と入力すると >No DLL name specified. >Usage: .... >というメッセージがでたんですが・・? いえいえ、 regsvr32 /u ENBFCAA.DLL って意味です。 ごめんなさい。 私の勘違いでした。 |
|---|---|
| 回答者:ittochan | |
| 種類:アドバイス どんな人:一般人 自信:参考意見 |
|
| 回答日時: 04/05/18 20:12 |
|
| |
| この回答へのお礼 | ありがとうございます。 あっ、そういう意味だったのか、なるほど。 私の無知のせいでございます。m(__)m |
回答 |
|
| ANo.52 | No.49 >CWShredder で毎回引っかかるファイルはあるんだけどなぁ。 ファイル名教えてください。 複合汚染の可能性ありますので・・・ まあ、ここまで来たら、あせらずゆっくりやりましょう。 |
|---|---|
| 回答者:heto2 | |
| 種類:アドバイス どんな人:経験者 自信:参考意見 |
|
| 回答日時: 04/05/18 20:00 |
|
| |
| この回答へのお礼 | ありがとうございます。 NEE.DLLをKILLBOXで消しちゃったんですが、(まずかったかな?)それとともにCWShredder は引っかからなくなりました。 依然、WDM.DLLは残ってます。 |
回答 |
|
| ANo.51 | No.49の操作 >パスをコピーして「Add File」を選択しても自動で開かないです。(・・ゞ 1.「KillBox」のメニューの「Action」>「Delete on reboot」で 「PendingFileRenameOperations」画面を開いておきます。 2.「KillBox」の画面で「Paste Full path of File to Delete」という 入力ボックスの右にあるフォルダアイコンをクリックします。 3.ファイル選択画面が出ますので マイコンピューター>Cドライブ>Windows>Systemを開き ENOOHC.DLLを選択して「OK」をクリック 4.「PendingFileRenameOperations」画面のメニューで 「File」>「AddFile」で選択したファイル名が画面に表示されると思います。 5.同様に他のファイルも表示させてから 「Pe |
|---|---|