2ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

【分析】HijackThis【研究】

1 :名無しさん@お腹いっぱい。:04/08/01 16:52
CWShredder、Ad-aware、SpybotS&Dを使ったけどスパイウェアが除去できない、
そんな時にスパイウェアを手動で除去できるHijackThisについて研究・分析するスレッドです。

Merijn.org(本家)
ttp://www.spywareinfo.com/~merijn/

【関連リンク】
Hijack Thisによるレポート出力と手動でのスパイウェア除去
ttp://higaitaisaku.web.infoseek.co.jp/hijackthis.html
HijackThisログ解析入門
ttp://higaitaisaku.web.infoseek.co.jp/htkaiseki.html
HijackThis Entry Database
ttp://higaitaisaku.web.infoseek.co.jp/hjtdatabase.html
HijackThisに現れるスパイウェアの例
ttp://higaitaisaku.web.infoseek.co.jp/iranai.html
HijackThisに現れる問題ないエントリーの例
ttp://higaitaisaku.web.infoseek.co.jp/iru.html

【関連スレッド】
エロサイト見たら…助けてください!Part35
ttp://pc6.2ch.net/test/read.cgi/pcqa/1091090092/
【総合】スパイウェア予防駆除 Part4
ttp://pc5.2ch.net/test/read.cgi/sec/1089126024/
スパイウェア゛削除゛ソフト「Ad-aware」Part13
ttp://pc5.2ch.net/test/read.cgi/sec/1090052120/
【雑談禁止】スパイウェア削除ソフトSpybot 15
ttp://pc5.2ch.net/test/read.cgi/sec/1090594050/

2 :名無しさん@お腹いっぱい。:04/08/01 16:54
2

3 :ぼるじょあ ◆yBEncckFOU :04/08/01 16:54
(・3・) エェー 3ですYO

4 :1:04/08/01 16:57
ぼるじょあたんキタ━━━━━━(゚∀゚)━━━━━━ !!!!!

ttp://pc6.2ch.net/test/read.cgi/pcqa/1091090092/572
ttp://pc6.2ch.net/test/read.cgi/pcqa/1091090092/582-586

やっぱこの話の内容、すげー気になるよね。
俺はかちゅユーザーなんだけどこういう設定できるのかなぁ。


5 :1:04/08/01 17:09
エロサイト見たら・・・スレから要約したものを転載です。

>ゾヌ2のアクションの置き換えを使用
>Aboneのブラクラリスト機能を使用
>Live2chでは、スクリプトで置き換え
これらを使う事で、HijackThisを貼った結果がこんな風に表示できるようになる…らしい。

O4 - HKLM\..\Run: [msbb] c:\program files\180solutions\msbb.exe
 ↓
O4 - HKLM\..\Run: [msbb] c:\program files\180solutions\msbb.exe ← ▲nCase( ttp://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=58 )

詳しい設定方法とかを教えてもらえるとありがたいです。
この表示されているものって、ひとつひとつ手入力ですか?
それとも、被害対策部屋か何かから引っ張ってくるんですか?>向こうのスレの531=532=533=544さん

6 :531=532=533=544:04/08/01 17:20
自分は一つ一つ手入力です。(面倒です)
ゾヌ2でアクションで指定文字を含むの場所に
\WINDOWS\Alevir.exe
と書いて、動作置き換えの場所に
\WINDOWS\Alevir.exe ← ▲WORM_OPASERV.F( ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp? )VName=WORM_OPASERV.F
といった感じで記入して、有効にする板を全てにします。
データはひたすらROMに回って集めたり、
被害対策部屋の部屋やSpywareInfoのフォーラムから引っ張ってきたりもします。

SpywareInfoのフォーラム
ttp://forums.spywareinfo.com/

7 :1:04/08/01 17:23
>>6
なるほど、地道な作業の積み重ねなんですね。
このスレッドで、ぞぬ2用とかAbone用とかLive2ch用とか、
このスレ住人で協力して置き換えデータベースみたいなのを
作れるといいかも。

8 :531=532=533=544:04/08/01 17:27
>>7
自分の置き換えデータなら、
アップしてもいいですよ。(NGワード)
ただし実行は自己責任でお願いします。
その場合アップロダを指定していたただければサンプルとして、
提出します。

9 :1:04/08/01 17:30
             ∧_∧
            ((´∀` /^)531=532=533=544さん
            /⌒   ノ 
         γ (,_,丿ソ′  
         i,_,ノ  |||
バンザイ  バンザイ        ヤッター  アリガトー
   ∧_∧ ∧_∧  ∧_∧  ∧_∧
 (^(,, ´∀`)) ・∀・)(ヽ    )')((・∀・ /')
  ヽ    /ヽ    ノ ヽ    ノ  ノ   ノ
   ノ  r ヽ /    | /  O | ( -、 ヽ
  (_,ハ_,),_,/´i,_,ノ (,_,/´i,_,ノ  し' ヽ,_,)

さっそくアプロダ探してきます
このスレッドで、どんどんデータを蓄積できるように協力しますよ

10 :1:04/08/01 17:41
>>8
2ちゃんねるアプロダはどうでしょ?
ttp://up.isp.2ch.net/upload/c=03okari/index.cgi

はいいろさんがもしこっちのスレに来てたら、まとめサイトに
置いといて欲しいですね。

11 :531=532=533=544:04/08/01 17:50
>>10
アップしました。

/up/cf627671dd5a.zip

上のファイルをゾヌ2内の\users\ユーザ名\ngres.txtと入れ替える。
注意点があります。このファイルを使って、
2ちゃんねるを見ると普通の表示状態と全く変わってしまいます。
かならずバックアップを取って、
鑑定スレやエロサイトスレで実験してから使ってください。

また一応プライパシーデータであるのでパスを掛けました。
HijackThis

12 :1:04/08/01 18:09
いっぺんに何人もダウンロードしているヨカソ
全然反応がないや(´・ω・`)ショボーン
しばらく待ってみて後でダウンロードしてみます(・∀・ )

13 :名無しさん@お腹いっぱい。:04/08/01 21:25
いつまで待ってもダウンロードできる様子がありません。゚(゚´Д`゚)゚。
他の人で>>11をダウンロードできた人っていますか?

14 :名無しさん@お腹いっぱい。:04/08/01 21:33
>>13
落とせたよ。
時間大分掛かったけど、サイズが小さいから
鯖自体が重くなってファイルにアクセスできない
のではないかな、気長に再挑戦してください。

15 :名無しさん@お腹いっぱい。:04/08/01 21:33
>>13
ダウンロードできたので別のところにそのままうpした。
ttp://borujoa.s27.xrea.com/upload/source/upload0261.zip

こっちのうpろだのほうが軽いよ。
ttp://borujoa.s27.xrea.com/upload/upload.cgi

16 :名無しさん@お腹いっぱい。:04/08/01 21:34
>>15のがまずかったらすぐ消すわ。

17 :13:04/08/01 21:37
キタ━━━━━━(゚∀゚)━━━━━━ !!!!!
ありがとう、あなたもネ申です。

今何人ぐらいの人が持ってるんですかね、このツール。
カバーしてない分とかを、みんなでどんどん情報出していきましょう。

18 :13:04/08/01 22:10
テストしてみました、結果良好です。
でもぞぬ2はやっぱり重いですね(;´Д`)

19 :名無しさん@お腹いっぱい。:04/08/01 23:22
特定のハンドルのトリップや、
ブラクラなんかも置き換えられている。
どうやらこの人、もと鑑定スレの鑑定士なんじゃないかな?

20 :1:04/08/01 23:47
かちゅで同じような事ができないかどうか模索中・・・
だってぞぬ2重い・・・

21 :名無しさん@お腹いっぱい。:04/08/01 23:47
せっかく提供してくれたんだ、興味本位な詮索は辞めて
データを活用することを考えませんか。
基本的な活用方法とか、追加した方がいいデータとか

22 :名無しさん@お腹いっぱい。:04/08/01 23:54
>>21
個人的に追加したいなーというデータは
被害対策の部屋のHijackThisデータベースの網羅かな。
どのぐらいをカバーしているのかがまだ不明ですが。

23 :名無しさん@お腹いっぱい。:04/08/02 00:01
>>21
他の2chブラウザでも、同じような置換フィルタを作っていきませんか?
たぶんみなさんそれぞれ2chブラウザを使ってる種類、違うんじゃないかな?

24 :名無しさん@お腹いっぱい。:04/08/02 08:40
エロサイト見たら…助けてください!Part35
http://pc6.2ch.net/test/read.cgi/pcqa/1091090092/666
向こうのお客さん依頼を貼り付けておきます。
だれか見てあげてください。

Logfile of HijackThis v1.98.0
Scan saved at 7:32:22, on 2004/08/02
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Onetouch V1.0\EzButton.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\System32\yvedbcwi.exe
C:\WINDOWS\System32\conime.exe

25 :名無しさん@お腹いっぱい。:04/08/02 08:42
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\corujesh.exe
C:\Documents and Settings\kanji\デスクトップ\HijackThis\HijackThis.exe
C:\Documents and Settings\kanji\My Documents\いろいろ\ぶらうざ\openjane-0.1.11.0\Jane2ch.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F2 - REG:system.ini: UserInit=C:\Windows\System32\wsaupdater.exe,
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\WINDOWS\EliteBar\EliteBar version 37.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [onetouch] c:\Program Files\Onetouch V1.0\EzButton.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe

26 :名無しさん@お腹いっぱい。:04/08/02 08:43
O4 - HKLM\..\Run: [IMJPMIG9.0] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMJP9\IMJPMIG.EXE /Preload /Migration32
O4 - HKLM\..\Run: [ara-key] C:\Program Files\WindowsUpdate\wuaudnld.tmp\cabs\com_microsoft.Q831167_IE6_SP1\Q8311674967.exe -StartUp
O4 - HKLM\..\Run: [pezmjumr] C:\WINDOWS\System32\yvedbcwi.exe
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [arodkn] C:\WINDOWS\arodkn.exe
O4 - HKLM\..\RunOnce: [Ad-aware] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-aware.exe" "+b1"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Hdvml] C:\WINDOWS\System32\corujesh.exe
O4 - Startup: Internet Explorer.lnk = C:\Program Files\Internet Explorer\IEXPLORE.EXE
O4 - Startup: Jane2ch へのショートカット.lnk = ?
O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Super Mapple Digital - カスタム情報記入 - res://C:\PROGRA~1\SUPERM~1.4\MappleBand.dll/110
O8 - Extra context menu item: Super Mapple Digital - 地図検索 - res://C:\PROGRA~1\SUPERM~1.4\MappleBand.dll/109
O8 - Extra context menu item: 携帯に送る(&K)... - http://www.ikehouse.co.jp/iMode/iModeWS/ie/imghook.asp
O9 - Extra button: マップル - {381F73A9-29D0-45B6-88D7-F82C4BCED5D3} - C:\Program Files\Super Mapple Digital Ver.4\MappleBand.dll
O9 - Extra button: リサーチ - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://prius.hitachi.co.jp/go/prius/index.htm
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com

27 :名無しさん@お腹いっぱい。:04/08/02 08:44
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.133/legal/x.chm::/load.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=49e422e7968751004a7c475f91f16bf5704ecd078aae7d3982a3508206fdc37f677f5429ee732a811e3c55f70527c293f863e8:8b5b4fff0cd3ceb2d022384e480b9c0d
O16 - DPF: {32A46776-9D08-11D2-AB61-D757626CD108} (IEAutoTool.IEAutoInput) - file://C:\Documents and Settings\kanji\デスクトップ\DOSVDX\200308\FREE\ieat1314\IEATool.CAB
O16 - DPF: {706F3805-27D7-478D-80E5-E25D2BB030B3} (VacPro.internazionale_ver3) - http://www.advnt01.com/dialer/internazionale_ver3.CAB
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - %SystemRoot%\System32\mshtml.dll
O18 - Protocol: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\System32\msvidctl.dll
O18 - Protocol hijack: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol hijack: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol hijack: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol hijack: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6}
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - %SystemRoot%\System32\mshtml.dll
O18 - Protocol: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - %SystemRoot%\System32\mshtml.dll

28 :名無しさん@お腹いっぱい。:04/08/02 08:44
O18 - Protocol: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - %SystemRoot%\System32\inetcomm.dll
O18 - Protocol hijack: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\System32\itss.dll
O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Program Files\Common Files\Microsoft Shared\Information Retrieval\msitss.dll
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol: msjwwdat - {BAAB02DC-913E-40AA-B9ED-8068DEE42CFA} - C:\Program Files\Microsoft Office\Home Style\JWW\JWWData.dll
O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
O18 - Protocol hijack: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B}
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - %SystemRoot%\System32\mshtml.dll
O18 - Protocol hijack: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E}
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - %SystemRoot%\System32\mshtml.dll
O18 - Protocol: vnd.ms.radio - {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINDOWS\System32\msdxm.ocx
O18 - Protocol hijack: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE}

29 :名無しさん@お腹いっぱい。:04/08/02 08:52
>>◆UkZAUUIUs.
以前にこの人キンタマに感染している。
O4 - HKLM\..\Run: [ara-key] C:\Program Files\WindowsUpdate\wuaudnld.tmp\cabs\com_microsoft.Q831167_IE6_SP1\Q8311674967.exe -StartUp
ny使っているのなら、診断対象外。

30 :名無しさん@お腹いっぱい。:04/08/02 08:54
>>29
誤爆しました・・・_| ̄|○

31 :名無しさん@お腹いっぱい。:04/08/02 09:18
>>29
向こうの677でし。この人、ウィルスチェックやってねーって事か(;´Д`)
釣り人ではなさそうだけど、自己責任かなーという気もしますね。

向こうの674のHijackThis指示は大間違いですよってのは気づきましたが、
キンタマとぬるぽは気づきませんでした(変なエントリだな?とは思いましたが)。
まだ俺も修行足らないな(;´Д`)俺もヤブ医者にならないよう精進せねば。

32 :29:04/08/02 09:32
>>31
04のO4 - HKLM\..\Run: [ara-key] .....
ってやつは百発百中でキンタマウイルスです。

また、まだウイルス定義の対応していないヌルポース2
(私はnyの作者ですというやつ)はWindowsの標準環境に、
似たエントリーを叩きだします。
自分が特別に診断して下は笑った例。

O4 - HKLM\..\Run: [System] C:\WINDOWS\Exploder.exe

よくみるとExpolerではなくExploderというのがポイント。

33 :名無しさん@お腹いっぱい。:04/08/02 09:43
>>32
向こうに出すべきだった指示
「おてぃんてぃんを高速でしごけば直せます(゚∀゚)」

キンタマウィルスはデータベースに入れました、情報提供ありがとうございます。

34 :名無しさん@お腹いっぱい。:04/08/02 10:49
EliteBar情報
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\WINDOWS\EliteBar\EliteBar version 37.dll
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\WINDOWS\EliteBar\EliteBar version 36.dll

データベースに登録するには、
\WINDOWS\EliteBar\EliteBar version 37.dll ← ▲EliteBar(Fix後EliteBarフォルダをゴミ箱へ)
\WINDOWS\EliteBar\EliteBar version 36.dll ← ▲EliteBar(Fix後EliteBarフォルダをゴミ箱へ)

EliteBar version 36.dllの場合もあった。
まだ、Ad-AwareやSpybot-S&Dが対応していない可能性のあるスパイウェアです。
指示はFixさせた後に再起動。起動後にEliteBarフォルダをゴミ箱に移させて、
もう一度Ad-Awareを実行させて念のためゴミ掃除させます。これで解決を得ています。

35 :エロサイトスレの736です:04/08/02 22:38
宜しくお願いします。

Logfile of HijackThis v1.98.0
Scan saved at 22:25:06, on 2004/08/02
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Common Files\Creoapp\MrnTS_Sync5.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Program Files\Fujitsu\sa\de\jsharp\bin\SBRSVC.EXE
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

36 :エロサイトスレの736です:04/08/02 22:43
続きです

C:\WINDOWS\System32\ezSP_Px.exe
C:\Program Files\Fujitsu\PowerUtility\schedule\PUSCSRVC.exe
C:\Program Files\Fujitsu\MyMedia\MyMedia Server\mediaserver.exe
C:\Program Files\Fujitsu\PowerUtility\schedule\PUSCDaemon.exe
C:\Program Files\Fujitsu\Fujitsu Quick Touch\QuickTouch.exe
C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe
C:\Program Files\Fujitsu\iNetConDsp\iNetConDsp.exe
C:\Program Files\Fujitsu\IndicatorUtility\IndicatorUty.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Fujitsu\chitose\chitose.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\hgchcwii.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\ChIntCal\CHINTCAL.EXE
C:\WINDOWS\System32\igfxext.exe
C:\WINDOWS\System32\conime.exe
C:\Program Files\Apoint2K\HidFind.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Fujitsu\sa\bin\mpbtn.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Owner\Local Settings\Temp\hijackthis.zip の一時ディレクトリ 3\HijackThis.exe




37 :エロサイトスレの736です:04/08/02 22:45
続きです

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4DAA6426-E46D-20CE-8000-64550CD32B4D} - C:\WINDOWS\System32\bilcmavq.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

38 :エロサイトスレの736です:04/08/02 22:47
続き

O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [LoadPUSCDaemon] C:\Program Files\Fujitsu\PowerUtility\schedule\PUSCDaemon.exe
O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\Program Files\Fujitsu\Fujitsu Quick Touch\QuickTouch.exe
O4 - HKLM\..\Run: [LoadBtnHnd] C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe
O4 - HKLM\..\Run: [INETCONDSP] "C:\Program Files\Fujitsu\iNetConDsp\iNetConDsp.exe"
O4 - HKLM\..\Run: [IndicatorUtility] C:\Program Files\Fujitsu\IndicatorUtility\IndicatorUty.exe
O4 - HKLM\..\Run: [IMJPMIG9.0] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMJP9\IMJPMIG.EXE /Preload /Migration32
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

39 :エロサイトスレの736です:04/08/02 22:49
O4 - HKLM\..\Run: [FMVランチャー] C:\fjuty\wallbtn\FMVLauncherKicker.exe
O4 - HKLM\..\Run: [FJUPDNV_Chitose] C:\Program Files\Fujitsu\chitose\chitose.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKCU\..\Run: [Tars] C:\Documents and Settings\Owner\Application Data\utwb.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: ダイヤルアップ チェッカー.lnk = C:\Program Files\ChIntCal\CHINTCAL.EXE
O4 - Global Startup: 富士通サービスアシスタント.lnk = C:\Program Files\Fujitsu\sa\bin\matcli.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: このページのキャッシュ - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

40 :エロサイトスレの736です:04/08/02 22:49
以上です。

O8 - Extra context menu item: リンク元 - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: 関連ページ - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: リサーチ - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {48B35AC2-CFCE-4DF7-8B39-C3EB6F5DD111} (DreamTechnologies MADO Image Viewer Control) - http://download.sfd.co.jp/mado-book/MADOCMP_24003.CAB
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O18 - Protocol: msjwwdat - {BAAB02DC-913E-40AA-B9ED-8068DEE42CFA} - C:\Program Files\Microsoft Office\Home Style\JWW\JWWData.dll

41 :名無しさん@お腹いっぱい。:04/08/02 22:53
俺は分析するつもりはないが、HijackThisがアップデートされてるから報告。

HijackThis 1.98.1
http://forums.net-integration.net/index.php?showtopic=20686

42 :エロサイトスレの736です:04/08/02 22:53
続いてアンインストールプログラムのログその一です

---------- UNINSTALLPROGRAMLIST
"DisplayName"="Ad-aware 6 Personal"
"DisplayName"="Agere Systems AC'97 Modem"
"DisplayName"="ダイヤルアップ チェッカー"
"DisplayName"="DivX Codec"
"DisplayName"="DivX Player"
"DISPLAYNAME"="Microsoft DirectX Transform optional components"
"DisplayName"=""
"DisplayName"=""
"DisplayName"="ギコナビ"
"DisplayName"="Internet Explorer Q867801"
"DisplayName"="@フォトレタッチ"
"DisplayName"="@メニュー"
"DisplayName"="壁紙かんたん模様替え"
"DisplayName"="PC乗換ガイド"
"DisplayName"="@映像館"
"DisplayName"="PowerUtility"
"DisplayName"="SanrioTinyPark"
"DisplayName"="携帯万能 for FMV"
"DisplayName"="FMVランチャー"
"DisplayName"="筆まめ Ver.13 ベーシック"
"DisplayName"="KARUGARUnet 4.0"



43 :エロサイトスレの736です:04/08/02 22:54
その二です

"DisplayName"="Windows XP ホットフィックス - KB810217"
"DisplayName"="Windows XP Hotfix (SP2) [See KB810243 for more information]"
"DisplayName"="Advanced Networking Pack for Windows XP"
"DisplayName"="Windows XP ホットフィックス - KB818332"
"DisplayName"="Windows XP ホットフィックス - KB820291"
"DisplayName"="Windows XP ホットフィックス - KB821253"
"DisplayName"="Windows XP ホットフィックス - KB822603"
"DisplayName"="Windows XP ホットフィックス - KB823182"
"DisplayName"="Windows XP ホットフィックス - KB824105"
"DisplayName"="Windows XP ホットフィックス - KB824141"
"DisplayName"="Windows XP ホットフィックス - KB824143"
"DisplayName"="Windows XP ホットフィックス - KB825119"
"DisplayName"="Windows XP ホットフィックス - KB826367"
"DisplayName"="Windows XP ホットフィックス - KB826939"
"DisplayName"="Windows XP ホットフィックス - KB826942"
"DisplayName"="Windows XP ホットフィックス - KB828035"
"DisplayName"="Windows XP ホットフィックス - KB828741"
"DisplayName"="Windows XP ホットフィックス - KB833407"
"DisplayName"="Windows XP ホットフィックス - KB835732"
"DisplayName"="Windows XP ホットフィックス - KB837001"
"DisplayName"="Windows Media Player Hotfix [詳細については、KB837272 を参照してください]"
"DisplayName"="DirectX 9 修正プログラム - KB839643"
"DisplayName"="Windows XP ホットフィックス - KB839645"
"DisplayName"="Windows XP ホットフィックス - KB840315"
"DisplayName"="Windows XP ホットフィックス - KB840374"
"DisplayName"="Windows XP ホットフィックス - KB841873"
"DisplayName"="Windows XP ホットフィックス - KB842773"
"DisplayName"="Microsoft Data Access Components KB870669"
"DisplayName"="LiveReg (Symantec Corporation)"
"DisplayName"="LiveUpdate 1.90 (Symantec Corporation)"

44 :エロサイトスレの736です:04/08/02 22:56
その三

"DisplayName"="窓の手 2004"
"DisplayName"="Medi@Show"
"DisplayName"="Microsoft .NET Framework (JPN) v1.0.3705"
"DisplayName"="Microsoft Visual J# .NET Redistributable Package(JPN) v1.0.4205"
"DisplayName"="MyMedia (remove only)"
"DisplayName"="MyMedia Server (remove only)"
"DisplayName"="OASYS Viewer V8"
"DisplayName"="OCNスタートパック"
"DisplayName"="Outlook Express Q823353"
"DisplayName"="OpenMG Limited Patch 3.3-03-10-05-01"
"DisplayName"="OpenMG Limited Patch 3.3-03-08-27-01"
"DisplayName"="Windows XP Hotfix (SP2) Q322011"
"DisplayName"="Windows XP Hotfix (SP2) Q327979"
"DisplayName"="Windows XP Hotfix (SP2) Q810090"
"DisplayName"="Windows XP Hotfix (SP2) Q811147"
"DisplayName"="Windows XP Hotfix (SP2) Q814995"
"DisplayName"="Windows XP Hotfix (SP2) Q815917"
"DisplayName"="Windows XP Hotfix (SP2) Q818213"
"DisplayName"="Windows XP Hotfix (SP2) Q818654"
"DisplayName"="Windows Media Player Hotfix [詳細については、Q828026 を参照してください]"
"DisplayName"="RealOne Player"
"DisplayName"="Shockwave"
"DisplayName"="Spybot - Search & Destroy 1.3"

45 :エロサイトスレの736です:04/08/02 23:00
その四

"DisplayName"="Start! @homepage"
"DisplayName"="Norton Internet Security (Symantec Corporation)"
"DisplayName"="Viewpoint Media Player (Remove Only)"
"DisplayName"="FMモバイルスイッチャー "
"DisplayName"="IBM ホームページ・ビルダー 7 ライト"
"DisplayName"="筆ぐるめ Ver.11"
"DisplayName"="GW-NS54GM"
"DisplayName"="IndicatorUtility"
"DisplayName"="ODN Signup Software"
"DisplayName"="Norton Internet Security"
"DisplayName"="AOL"
"DisplayName"="@拡大ツール"
"DisplayName"=""
"DisplayName"="@フォトレタッチ"
"DisplayName"="Microsoft Visual J# .NET Redistributable Package 1.1"
"DisplayName"="壁紙かんたん模様替え"
"DisplayName"="Visual J# .NET Redistributable Package"
"DisplayName"="FM かんたんバックアップ"
"DisplayName"="Google Toolbar for Internet Explorer"
"DisplayName"="PC乗換ガイド"
"DisplayName"="WebFldrs XP"
"DisplayName"="DION (KDDI)"
"DisplayName"="OpenMG Secure Module 3.3"
"DisplayName"="Norton AntiSpam"
"DisplayName"="@niftyでインターネット"
"DisplayName"="筆王"
"DisplayName"="DVDfunSTUDIO"
"DisplayName"=""
"DisplayName"="Microsoft Windows Journal ビューア"

46 :エロサイトスレの736です:04/08/02 23:01
その五

"DisplayName"="Norton Internet Security"
"DisplayName"="アップデートナビV1.1L20"
"DisplayName"="Norton Internet Security"
"DisplayName"="ワンタッチボタン設定"
"DisplayName"="Norton Internet Security"
"DisplayName"="@nifty環境設定ユーティリティ"
"DisplayName"="富士通サービスアシスタント(マニュアル&サポート)"
"DisplayName"="Norton AntiSpam"
"DisplayName"="Microsoft Office Home Style+"
"DisplayName"="時事通信社「家庭の医学」デジタル版U"
"DisplayName"="@映像館"
"DisplayName"="Microsoft .NET Framework (JPN)"
"DisplayName"="Symantec Network Driver Update"
"DisplayName"="@料金表示"
"DisplayName"="PowerUtility"
"DisplayName"="SigmaTel AC97 オーディオ ドライバ"
"DisplayName"="百年プリント@コニカ注文用ソフトウェア"
"DisplayName"="Intel(R) Extreme Graphics 2 Driver"
"DisplayName"="GAMEPACK2004F"
"DisplayName"="Microsoft Office Personal Edition 2003"
"DisplayName"="Powered Internet[POINT] サインアップツールV1.0"
"DisplayName"="InterVideo WinDVD"
"DisplayName"="Norton Internet Security"
"DisplayName"="Realtek RTL8139/810x Fast Ethernet NIC Driver Setup"
"DisplayName"="WEB便利ツール"
"DisplayName"="SanrioTinyPark"
"DisplayName"="DVD-RAMドライバー"
"DisplayName"="ALPS Touch Pad Driver"
"DisplayName"="Visual J# .NET Redistributable 1.1- Japanese Language Pack"

47 :エロサイトスレの736です:04/08/02 23:04
その六

"DisplayName"="CC_ccProxyMSI"
"DisplayName"="BIGLOBEでインターネット"
"DisplayName"="Plugfree NETWORK "
"DisplayName"="Norton Internet Security"
"DisplayName"="Adobe Reader 6.0 - Japanese"
"DisplayName"="Microsoft .NET Framework 1.1 Japanese Language Pack"
"DisplayName"="FlashAid"
"DisplayName"="@コントローラ"
"DisplayName"="DVD-MovieAlbumSE 3"
"DisplayName"="ATLAS 翻訳パーソナル 2004 LE (ホームページ翻訳専用)"
"DisplayName"="FUJITSU 音声合成"
"DisplayName"="Norton AntiVirus"
"DisplayName"="Microsoft .NET Framework 1.1"
"DisplayName"="Symantec Script Blocking Installer"
"DisplayName"="So-net簡単スターターV2.3"
"DisplayName"="CC_ccStart"
"DisplayName"="ccCommon"
"DisplayName"="携帯万能 for FMV"
"DisplayName"="ツボ リラックス"
"DisplayName"="BeatJam"
"DisplayName"="@FTP"

48 :エロサイトスレの736です:04/08/02 23:06
長くなりましたがこれで最後です。

"DisplayName"="@メール"
"DisplayName"="Norton Internet Security"
"DisplayName"="FMVオンラインユーザー登録"
"DisplayName"="Norton Internet Security"
"DisplayName"="FMVランチャー"
"DisplayName"="筆まめ Ver.13 ベーシック"
"DisplayName"="MotionDV STUDIO"
"DisplayName"="うれしレシピ"
"DisplayName"="Norton Internet Security"
"DisplayName"="MSRedist"
"DisplayName"="Microsoft Windows XP CD 書き込みウィザード HighMAT Extension"
"DisplayName"="てきぱき家計簿マム4"
"DisplayName"="プロアトラスW2"
"DisplayName"="マップサーバースイッチャー"
"DisplayName"="乗換案内 時刻表対応版"
"DisplayName"="柿木将棋V Light"
"DisplayName"=""

49 :エロサイトスレの736です:04/08/02 23:10
大変長くなりましたが、識者の皆様、>>35->>40、>>42->>47
どうか宜しくお願いします。

50 :名無しさん@お腹いっぱい。:04/08/02 23:14
分析と研究はするが、助言をするかは判らない。
スレタイとか、ここまでの流れを見てれば判るよね?

51 :エロサイトスレの736です:04/08/02 23:37
>>50
わかります。客観的なご意見をいただけるだけでも有り難いと思っております。

52 :名無しさん@お腹いっぱい。:04/08/02 23:38
>>48
家計簿やるなよ

53 :名無しさん@お腹いっぱい。:04/08/02 23:43
出来るだけ、鑑定してやらないと
協力してくれる人居なくなるぞ。

54 :名無しさん@お腹いっぱい。:04/08/02 23:44
>>50 ( ´_ゝ`)
>>51 マジレスしない

今HijackThis見ている人って、俺以外で何人いらっしゃいますか?
フィルターに引っかかっている問題ありエントリーはなしで、フィルターの
表示なし分を調べ中です。ちょっと(もしかしたらかなり)俺は時間かかるかも。。。

55 :名無しさん@お腹いっぱい。:04/08/02 23:53
俺以外で何人いらっしゃいますか?
>いないみたい

56 :名無しさん@お腹いっぱい。:04/08/03 00:59
>>55 工エェ(´Д`)ェエ工
>>35-48さん 一応の分析結果です。フィルタ以外のもののみ。(フィルタは全て問題なしです)

googleでも一切ヒットしないもの
O2 - BHO: (no name) - {4DAA6426-E46D-20CE-8000-64550CD32B4D}- C:\WINDOWS\System32\bilcmavq.dll
googleでヒットはあるが、情報がないもの
O4 - HKCU\..\Run: [Tars] C:\Documents and Settings\Owner\Application Data\utwb.exe
富士通関連のもの
O4 - HKLM\..\Run: [FJUPDNV_Chitose] C:\Program Files\Fujitsu\chitose\chitose.exe
O4 - Global Startup: ダイヤルアップ チェッカー.lnk = C:\Program Files\ChIntCal\CHINTCAL.EXE
O4 - Global Startup: 富士通サービスアシスタント.lnk = C:\Program Files\Fujitsu\sa\bin\matcli.exe
Microsoft Office関連のもの
O9 - Extra button: リサーチ - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL  
O18 - Protocol: msjwwdat - {BAAB02DC-913E-40AA-B9ED-8068DEE42CFA} - C:\Program Files\Microsoft Office\Home Style\JWW\JWWData.dll 
不明情報のみあるもの
O16 - DPF: {48B35AC2-CFCE-4DF7-8B39-C3EB6F5DD111} (DreamTechnologies MADO Image Viewer Control) - http://download.sfd.co.jp/mado-book/MADOCMP_24003.CAB  ←▲HijackThis 016List Bエントリー(評価未定)
お好みで取捨(被害対策の部屋)
O4 - HKLM\..\Run: [IMJPMIG9.0] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMJP9\IMJPMIG.EXE /Preload /Migration32 ← ▲IME関係エントリー、好みで取捨(被害対策)
問題なしエントリ
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab  ←●HijackThis 016List Aエントリー(問題なし)

57 :56:04/08/03 01:03
>>56の続きです。
googleで検索しても出てこないBHOがやや?ですが、FIX指示を出す程の根拠はないので今のところは放置。
同じく情報のない04エントリー(Tars)も、一応今のところは放置。
未分類の016エントリー(DreamTechnologies MADO Image Viewer Control)も今のところは放置。
後のエントリはおそらく問題ないだろうと私は思います。あまり自信はないので他の人からの指摘大歓迎。
つまり、HijackThisでFixしなければならないようなエントリは、私の見た範囲では、特にはなさそうです。

もし不安を感じるようでしたら、以下のスレッドに目を通してみて、
フリーのアンチトロイソフトを導入してみてもいいかもしれません。
もしかしたらノートン先生が見逃していたトロイが引っかかるかも?
☆☆トロイの木馬☆☆2台目
http://pc5.2ch.net/test/read.cgi/sec/1087290865/

あとは、キャッシュの削除とかの掃除をこまめにやるのと、たくさんのプログラムが入っていますので
必要ないものの常駐を切るとか、その程度しか私には助言できそうにありません。申し訳無い。

58 :56:04/08/03 11:49
>>57の続きです。
他の人に「これはFixして下さい」と指示するまでは言えませんが、自己責任でいじってみるのならこの辺かな?という感じです。

O2 - BHO: (no name) - {4DAA6426-E46D-20CE-8000-64550CD32B4D}- C:\WINDOWS\System32\bilcmavq.dll
該当ファイルのプロパティを確認してみて、メーカー名などを確認してみる。
覚えの無いメーカーならばこれだけFixして一回再起動してみる。問題が起こったらバックアップから戻す。

O4 - HKCU\..\Run: [Tars] C:\Documents and Settings\Owner\Application Data\utwb.exe
該当ファイルのプロパティを確認してみて、必要がなければFixしてみる。問題が起こったらバックアップから戻す。
(HijackThisのディレクトリと同じところにありますから、きっと>>35-48さんは「C:\Documents and Settings」に
色々とダウンロードしたファイルを置いてらっしゃると思いますので)

59 :名無しさん@お腹いっぱい。:04/08/03 16:00
PC初心者板の「エロサイト見たら…助けてください」スレから誘導されてきました870です。
宜しくお願いします。以下が現在のものとなります。
Logfile of HijackThis v1.98.0
Scan saved at 16:00:23, on 2004/08/03
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\PCCIOMON.EXE
C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\PCCPFW.EXE
C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\TMPROXY.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\IMEJPMGR.EXE
C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE

60 :59:04/08/03 16:01
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\SYSTEM\LVCOMS.EXE
C:\WINDOWS\SYSTEM\HIDSERV.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAM FILES\ARVEL\クリエーションマウス コンビ\5.3\MOUSE32A.EXE
C:\WINDOWS\SYSTEM\INTERNST32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\NECTVRC\TVRC.EXE
C:\PROGRAM FILES\VIA TECHNOLOGIES, INC\VIA AUDIO DRIVER SETUP PROGRAM\AUDIODECK\AUDIODECK.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\WINDOWS MEDIA COMPONENTS\ENCODER\WMENCAGT.EXE
C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\PCCGUIDE.EXE
C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\PCCLIENT.EXE
C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\TMOAGENT.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\PCCMAIN.EXE
C:\WINDOWS\デスクトップ\新しいフォルダ\HIJACKTHIS.EXE

61 :59:04/08/03 16:02
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll
O3 - Toolbar: @msdxmLC.dll,-1@1041,ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [MSPCLOCK] rundll32.exe /N streamci,StreamingDeviceSetup {97ebaacc-95bd-11d0-a3ea-00a0c9223196},{53172480-4791-11D0-A5D6-28DB04C10000},{53172480-4791-11D0-A5D6-28DB04C10000}
O4 - HKLM\..\Run: [MSPQM] rundll32.exe /N streamci,StreamingDeviceSetup {DDF4358E-BB2C-11D0-A42F-00A0C9223196},{97EBAACB-95BD-11D0-A3EA-00A0C9223196},{97EBAACB-95BD-11D0-A3EA-00A0C9223196}
O4 - HKLM\..\Run: [MSKSSRV] rundll32.exe /N streamci,StreamingDeviceSetup {96E080C7-143C-11D1-B40F-00A0C9223196},{3C0D501A-140B-11D1-B40F-00A0C9223196},{3C0D501A-140B-11D1-B40F-00A0C9223196}
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe
O4 - HKLM\..\Run: [Hidserv] Hidserv.exe run
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\Arvel\クリエーションマウス コンビ\5.3\MOUSE32A.EXE
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\internst32.exe internet.dll,LoadNetworkProfile
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

62 :59:04/08/03 16:07
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [PCCIOMON.exe] "C:\Program Files\Trend Micro\Virus Buster 2004\PCCIOMON.exe"
O4 - HKLM\..\RunServices: [PccPfw] C:\Program Files\Trend Micro\Virus Buster 2004\PccPfw.exe
O4 - HKLM\..\RunServices: [tmproxy] C:\Program Files\Trend Micro\Virus Buster 2004\tmproxy.exe
O4 - HKCU\..\Run: [NEPGRsvReScheduler] C:\Program Files\NEC\SmartVision\NEPGRsvReSche.exe
O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
O4 - Startup: SmartVisionリモコン.lnk
O4 - Startup: AudioDeck.lnk = C:\Program Files\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
O4 - Startup: Encoder Agent.lnk = C:\Program Files\Windows Media Components\Encoder\WMENCAGT.EXE
O4 - Startup: Startup.lnk = C:\No regist Files\StartupEX\Startup.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O21 - SSODL: AUHook - {BCBCD383-3E06-11D3-91A9-00C04F68105C} - C:\WINDOWS\SYSTEM\AUHOOK.DLL

以上です。OSは先のとおりMeです。
症状はホームページがwww.selfsearch.comに指定されてしまい、
ステータスバーにはDoneと表示され、全てのサイトが信頼済みとなってしまいます。
また、数分おきに変なサイトが開き、サイト上のリンク先がmoreporn.biz/new/index.phpと一部がなってしまいます。
たとえば>>57で書いてあるURLのリンクもmoreporn.bizとなってしまっています。
VB,Spybot,Ad-aware,CWShredderは既に実行済みで、問題は解決しません。
現在は、VBの設定で2ch以外のサイトへのアクセスを停止して対処していますが、緊急的なものに過ぎません。
自己責任でやりますので、何方か宜しくお願いいたします。

63 :仮HN:04/08/03 16:28
誘導されてきましたのでお願いします。

●CWShredderを使用しましたがCoolWWWSearchというのが一時的には消えますが再起動すると元に戻ります
●ノートンでBackdoor.Agent.Bの感染警告が常に表示されます。しかしスキャンすると異常は出ません。

以下ログです。

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
C:\Program Files\Intel\Intel Application Accelerator\iaanotif.exe
C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\DSentry.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Dell\Media Experience\PCMService.exe


64 :仮HN:04/08/03 16:28
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\hh64orPE.exe
C:\WINDOWS\System32\pjjkvkt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\winmm64.exe
C:\Documents and Settings\kim\Application Data\sacb.exe
C:\WINDOWS\System32\soq.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Program Files\Intel\Intel Application Accelerator\iaantmon.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\kim\デスクトップ\Hijackthis\HijackThis.exe


O2 - BHO: twaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IDN Helper Object - {118CE65F-5D86-4AEA-A9BD-94F92B89119F} - C:\WINDOWS\DOWNLO~1\CNSMIN~1.DLL (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {6DF96C7E-CC6F-0AB8-D570-17550FD12918} - C:\WINDOWS\System32\qsbl.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: ICOO Loader BHO - {B9D90B27-AD4A-413a-88CB-3E6DDC10DC2D} - C:\WINDOWS\msopt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll


65 :仮HN:04/08/03 16:29
O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup


66 :仮HN:04/08/03 16:30
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Application Accelerator\iaanotif.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\Media Experience\PCMService.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [hh64orPE] C:\WINDOWS\system32\hh64orPE.exe
O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\olecom32.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [phkkidnvqipup] C:\WINDOWS\System32\pjjkvkt.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpywareGuard] C:\WINDOWS\system32\winmm64.exe
O4 - HKCU\..\Run: [hh64orPE] C:\WINDOWS\system32\hh64orPE.exe
O4 - HKCU\..\Run: [Eheu] C:\Documents and Settings\kim\Application Data\sacb.exe
O4 - HKCU\..\Run: [Nlbof] C:\WINDOWS\System32\soq.exe


67 :仮HN:04/08/03 16:31
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {2C079F28-EE92-4700-A44B-AF5FA285FCCA} (HanGamePluginJP16 Class) - http://down.hangame.co.jp/jp/dist/hgstart/HanGamePluginJP16.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/29258cd32e922638e206/netzip/RdxIE601_ja.cab
O16 - DPF: {924DDE3B-68F6-49E8-B469-33FB198EDD73} (SagaLauncher Class) - http://www.hangame.co.jp/publish/bd/HgBD.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {B74F5519-5893-4F7F-974D-96E105A3C3A8} (KingDomLauncher Class) - http://www.hangame.co.jp/publish/do/HgDO.cab
O16 - DPF: {E549AC3F-9A90-4EBF-AF69-8B8CC0954DB2} (ToonsXYahooJapan Control) - http://comics.yahoo.co.jp/component/ToonsXYahooJapan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{239347D8-CEC9-490C-B6C8-85B4944CCF4E}: NameServer = 203.139.160.73,203.139.161.39
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll
O20 - AppInit_DLLs: C:\WINDOWS\System32\hlpcdm.dll



68 :仮HN:04/08/03 16:31
プログラムの追加と削除には特に怪しいものはありませんが。
気になるのが一つ、Search Assistant Uninstallというやつです。

鑑定お願いします

69 :名無しさん@お腹いっぱい。:04/08/03 16:46
まず最初に>>59-62さん

えーと、向こうで「ログおかしくない?」って言った者ですが
向こうのログと比較して、016がこっちでは新しく現れてますよね。
それから、「全てのサイトが信頼済みとなってしまいます」なのに、
HijackThisに全く出てきていないのも不思議ですよね。
(HijackThisには信頼済サイトになっているものはログに出てきます)
向こうで指示されたCWS関連のエントリは、削除したが復活したのでしょうか?
それとも、削除していないのでしょうか?
HijackThisにこの辺の矛盾があるので、向こうで「おかしくない?」と言っていたのですが。

最初に、まずWindowsUpdateをやって下さい。おそらくやっていないはずです。
>MSIE: Internet Explorer v5.50 (5.50.4134.0100)
次に、このページを参考にして、ウィルスバスター2004が、最新のパターンファイル、
検索エンジンの状態になっているかを確認して下さい。もしなってなければアップデートして下さい。
ttp://www.trendmicro.co.jp/support/index.asp
確信がある訳ではないですが、どうもウィルスのように思われる怪しいエントリーが見受けられます。
アップデートで最新の定義になったら、全てのファイルに対してもう一度ウィルススキャンをかけてみて下さい。
一応その段階で、HijackThisを取らずに、先に状況報告を下さい。(ウィルスが検知されたかどうか、など)

70 :69:04/08/03 16:50
失礼、訂正です
>向こうで指示されたCWS関連のエントリは、削除したが復活したのでしょうか?
>それとも、削除していないのでしょうか?
削除をFixに置き換えてください。Fixしたのに戻ったのでしょうか?それともFixしてないのでしょうか?

71 :69:04/08/03 16:56
あと、>>59-62さんの場合は「****.biz」に飛ばされるという事なので
http://higaitaisaku.web.infoseek.co.jp/removesearchbiz.html
ここを参照してみてください。これの亜種の可能性があります。
(このスパイウェアの場合は、HijackThisのログに出てきません)

72 :69:04/08/03 17:23
続いて>>63-68さん

まず、CnsMinが入っている状態なので、
コントロールパネルのアプリケーションの削除から、
「Jword」などのプログラムがあった場合にはこれを削除して下さい。
CnsMinの除去方法 (ここを参考に)
ttp://higaitaisaku.web.infoseek.co.jp/removecnsmin.html

>>68の「Search Assistant Uninstall」は、下を参照して、
症状が当てはまらない場合には同じくコントロールパネルから削除して下さい。
(症状が当てはまる場合には、アンインストールしないで下さい)
ttp://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=217

次に、本来Spybotで検出されるはずのrelated.htmが残っている状態です。
なので、Spybotの「製品の除外」を見て、全てチェックが入っていない事を
確認して下さい(チェックが入っている場合は、チェックマークを外してください)。
また、スキャンする時に「全てのファイルをスキャン」で再度やってみて下さい。

73 :69:04/08/03 17:27
それから、>>59-62さん、>>63-68さんお二人ともですが
ttp://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=226
このウィルスに感染していると思われます。
まずアンチウィルスソフトの定義・プログラムが最新かどうかを確認してみて、
最新でない場合にはアップデートして下さい。
その上で、全てのファイルを再度スキャンしてみてください。
駆除方法は、上記ページと、各アンチウィルスベンダーのデータベースを参照。

74 :名無しさん@お腹いっぱい。:04/08/03 17:57
>>59-62さん
向こうで、他の方からあなたにこういうアドバイスが出ていますので、
併せて確認してみて下さい。
http://pc6.2ch.net/test/read.cgi/pcqa/1091090092/927



75 :59:04/08/03 19:00
>>69さん
有難う御座います。ご報告いたします。
WindowsUpdate:全て完了いたしました
ウイルスバスター:最新版のようです。
検査の結果:問題はありませんでした。
(但し数回リアルタイム検索状態でウイルスが発見、隔離されているようです)
>向こうのログと比較して、016がこっちでは新しく現れてますよね。
ここに張りましたログは16時頃に検索した最新のものだったためと思われます。
>それから、「全てのサイトが信頼済みとなってしまいます」なのに、
>HijackThisに全く出てきていないのも不思議ですよね。
>(HijackThisには信頼済サイトになっているものはログに出てきます)
それは私にはなんとも。。。不可解なことだというのは分かりましたが。。。
>向こうで指示されたCWS関連のエントリは、削除したが復活したのでしょうか?
>それとも、削除していないのでしょうか?
削除しましたが復活しています。
また、ウイルスの亜種の件ですが、最初の確認の際systemという項目がなかったため
これではないと思います。
>>74さん
ご報告有難う御座います。ただ今確認中です。

76 :名無しさん@お腹いっぱい。:04/08/03 19:29
>>75
リアルタイム検索で隔離されているウィルスを、駆除してみて下さい。
(隔離=メイン実行ファイルだけを別の場所に置いている状態なので、
当然レジストリその他は、全く修復されない状態のままです)
ウィルスバスターは良く知らないのですが、もしリアルタイム駆除が
可能ならば、リアルタイム駆除に切り替えた方が良いかと思います。
あとトレンドマイクロのページには、「ウィルスデータベース」があるはずですから、
検出されたウィルス名で検索して、きちんと駆除できているかどうかを手動で
確認してみると良いと思います。

ウィルスの亜種の件ですが、↑で駆除した後もまだ症状が残っているなら、
上で紹介したページの手法を実際に一度試してみて下さい。
亜種の可能性があるとは、「必ずしもsystemの項目であるとは限らない」という事です。
別のファイル名にして、駆除されるのを防ごうとしている可能性は考慮に入れましょう。

大手術で切る場所はできるだけ少なくするために、まずは上のようにやってみましょう。
その後、まだ直らないようならば再度HijackThisを取ってみて、全部貼って下さい。

77 :59:04/08/03 20:19
遅れてすみません。システムがかなり不安定になってきてエラーがでてばっかりだったので。。。
駆除はできないようです。ファイルの削除は何度かしましたが、復活してしまいます。
亜種の件ですが感染したCLSIDがわからないのですが。。。もしかしてsystem以外の項目のCLSIDのことですか?
発見されたウイルスは以下のとおりです。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_DLOADER.F
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_BLAZEFIND.A


78 :名無しさん@お腹いっぱい。:04/08/03 20:33
向こうのスレッドの
ttp://pc6.2ch.net/test/read.cgi/pcqa/1091090092/944-947
これを考え合わせると、以下のエントリをHijackThisでFixしてみてください
(Regeditで消すのも同じ事ですが、こっちならばやりなおせるので)。
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE

まずこれをFixしてみて、再起動で症状が改善しているかどうかをやってみて下さい。

79 :名無しさん@お腹いっぱい。:04/08/03 20:49
>>77の2つはこれですね
PurityScan
http://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=206
WindowsSA
http://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=137
まず、ここの内容を読んでおいて下さい。

トレンドマイクロのページで、「レジストリエディタ(Regedit)で削除して下さい」というのは、
HijackThisでは04のエントリーになります。
ウィルスとして検出されたファイル名をメモに取って、そのファイル名と同じエントリーが
あるものを全てFixしてみて下さい。

80 :59:04/08/03 20:54
大変遅くなりました。
>>78のFixは完了しましたが、問題は解決しませんでした。。。
あと>>79のリンク先が先にいったとおりmoreporn.bizに変わってしまい分からないので、
お手数ですが、次回返信時にtp://〜といった形で書いてもらえますでしょうか?
>>79のFixはこれから試してみます。

81 :59:04/08/03 20:59
連書き申し訳ありません。
>>79をHijackThisで探してみましたが、ウイルスとして検出されたファイル名に
該当するエントリーは発見できませんでした。。。

82 :名無しさん@お腹いっぱい。:04/08/03 21:34
>>81
ウィルスとして検出されたファイルは、既に削除済ですか?まだ残っていますか?

83 :59:04/08/03 21:53
既に削除しています。
なお、現在のところ、リアルタイム検索で発見には至っていません。

84 :名無しさん@お腹いっぱい。:04/08/03 21:59
IEを立ち上げたときに青い画面が表示されます。
Detected SPYware! System error #384とかいてあります。
お願いします。

Logfile of HijackThis v1.98.0
Scan saved at 21:58:43, on 2004/08/03
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAM FILES\FUJITSU\FUJITSU QUICK TOUCH\QUICKTOUCH.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\FUJITSU\BTNHND\BTNHND.EXE

85 :84:04/08/03 21:59
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\CTFMON.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAM FILES\DI\HATCHINSIDE\HATCHINSIDE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\デスクトップ\HIJACKTHIS\HIJACKTHIS.EXE
C:\WINDOWS\SYSTEM\IMEJPMGR.EXE
C:\WINDOWS\デスクトップ\BEGINNERTOOL 121\BEGINNERTOOL 121.EXE

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\YAHOO!\COMPAN~1\YCOMP5~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll (file missing)
O2 - BHO: (no name) - {3BFF365D-E942-2EE5-8753-60550DA7291F} - C:\WINDOWS\SYSTEM\YJDIENFW.DLL (file missing)
O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Yahoo!ツールバー - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\ycomp5_3_15_0.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [PCTVOICE] pctvoice.exe
O4 - HKLM\..\Run: [FMVSCAN] c:\fjuty\fmvscan\fmvscan.exe

86 :84:04/08/03 22:01
O4 - HKLM\..\Run: [Alogserv] C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe
O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\Program Files\Fujitsu\Fujitsu Quick Touch\QuickTouch.exe
O4 - HKLM\..\Run: [LoadBtnHnd] C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: hatchinside.exe.lnk = C:\Program Files\DI\HatchInside\hatchinside.exe
O4 - Startup: EPSONプリンタウインドウ!3 環境設定(2).lnk = C:\WINDOWS\SYSTEM\E_SRCV02.EXE
O4 - Startup: JSクイックサーチファイル 自動更新.LNK = C:\JUST\JSLIB32\JSQSF32.EXE
O4 - Startup: JSクイックランチ.LNK = C:\JUST\JSLIB32\JSQLNCH.EXE
O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O8 - Extra context menu item: &Google Search - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR3.DLL/cmsearch.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR3.DLL/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR3.DLL/cmsimilar.html

87 :84:04/08/03 22:02
O8 - Extra context menu item: Backward &Links - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR3.DLL/cmbacklinks.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: Yahoo! メッセンジャ− - {CEBF73C0-BA2E-11d4-A73A-00508B33FB82} - C:\PROGRAM FILES\YAHOO!J\MESSENGER\YPAGERJ.EXE
O9 - Extra 'Tools' menuitem: Yahoo! メッセンジャ− - {CEBF73C0-BA2E-11d4-A73A-00508B33FB82} - C:\PROGRAM FILES\YAHOO!J\MESSENGER\YPAGERJ.EXE
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O16 - DPF: {8123E390-5EF7-11D5-A72E-006097BFA1AC} (EPSON Driver Auto-Install Control Class) - http://www.i-love-epson.co.jp/support/selfsetup/prg/estdinst.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/jp/win/QuickTimeInstaller.exe
O16 - DPF: {B67E0278-CD82-4CCA-AD9D-C1FBF538774A} (XPink.XPinkCtl) - http://cc.st82.arena.ne.jp/syojo/XPink.CAB

88 :名無しさん@お腹いっぱい。:04/08/03 22:04
O16 - DPF: {B15108AA-D8D0-480D-B535-07E18D6549A8} (XBurger.XBurgerCtl) - http://www.eromax.com/cab/XBurger.CAB
O16 - DPF: {69A4F9FF-E915-11D5-A9F1-009099104002} (XDialer Class) - http://www.slashpink.net/new_03/158/XDialer2.CAB
O16 - DPF: {4BF9BC08-8571-4E2B-AECF-EC8C9E287C04} (DialerX Control) - http://www.asia-telemedia.com/dialer/0058/DialerX.cab
O16 - DPF: Yahoo! Chat JP 2 - http://cs.chat.yahoo.co.jp/c302/chat.cab
O16 - DPF: {DAE3A970-40F5-11D4-9E73-0030430005BE} (AutoConnect Class) - http://home.att.ne.jp/alpha/wata/cra/b/eConnect.dll
O16 - DPF: {00001007-B15C-11D4-97A4-0050BF0FBE67} (NetmarbleJapanStarter Class) - http://www.netmarble.ne.jp/game/NMStarter_JPN.cab
O16 - DPF: {4085F8D0-D76A-4B1D-A82E-D580BDF14FD8} (HanGamePluginJP12 Class) - http://www.hangame.co.jp/gamenc/HanGamePluginJP12.cab
O16 - DPF: {29F5DFC6-6A4B-47DB-BCF4-5A74F7CBFF43} (HanGamePluginJP13 Class) - http://www.hangame.co.jp/gamenc/HanGamePluginJP13.cab
O16 - DPF: {9AB3A076-8870-4D98-BD2A-01BD1634C74C} (zxc) - http://www.2233.tv/module/zxc.cab
O16 - DPF: {E8946F74-DAF3-4D7F-8988-A54E380D8D89} (sub2tv コントロール) - http://www.2233.tv/module/subocx.cab
O16 - DPF: {A909CE70-E483-4BD2-848C-B1842508760E} (MuLauncher Class) - http://www.hangame.co.jp/gamenc/HanGamePluginJP13.cab
O16 - DPF: {1C9D421B-ACBC-48BB-9CED-51368BC1CE31} (HgArcadePluginJP3 Class) - http://battlecart.hangame.co.jp/acgame/HgArcadePluginJP3.cab
O16 - DPF: {79E0C1C0-316D-11D5-A72A-006097BFA1AC} (EPSON Web Printer-SelfTest Control Class) - http://www.i-love-epson.co.jp/support/selftest/inkjet/Prg/ESTPTest.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://lw9fd.law9.hotmail.msn.com/activex/HMAtchmt.ocx

89 :名無しさん@お腹いっぱい。:04/08/03 22:06
O16 - DPF: {B469C508-9A75-4A62-BFA9-62802D653A4B} (HanGamePluginJP15 Class) - http://down.hangame.co.jp/jp/dist/hgstart/HanGamePluginJP15.cab
O16 - DPF: {0A7C1A7A-5100-42C9-94A8-F803B2E24CE0} (BaBoo Class) - http://219.101.200.198/H_hangame/HgBaBoo/HgBaBoo.cab
O16 - DPF: {57A3B6F7-E1C0-4A11-B2E5-F3D0DA12E754} (StoneAgeLauncher Class) - http://www.hangame.co.jp/publish/sa/HgSA.cab
O16 - DPF: {2C079F28-EE92-4700-A44B-AF5FA285FCCA} (HanGamePluginJP16 Class) - http://down.hangame.co.jp/jp/dist/hgstart/HanGamePluginJP16.cab
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://C:\foo.mht!http://66.230.145.49/20647/online.chm::/on-line.exe
O16 - DPF: {B74F5519-5893-4F7F-974D-96E105A3C3A8} (KingDomLauncher Class) - http://www.hangame.co.jp/publish/do/HgDO.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (&Yahoo!ツールバー) - http://dl.companion.yahoo.co.jp/dl/toolbar/yiebio4.cab
O16 - DPF: {924DDE3B-68F6-49E8-B469-33FB198EDD73} (SagaLauncher Class) - http://www.hangame.co.jp/publish/bd/HgBD.cab
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.133/dl/ms/x.chm::/load.exe
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {10003000-1000-0000-1000-000000000000} - its:mhtml:file://c:MAIN5774.MHT!http://213.159.118.226/content.php::/x.exe
O18 - Protocol: ndwiat - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\SYSTEM\WIASCR.DLL
O18 - Protocol hijack: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B}

90 :84:04/08/03 22:06
O18 - Protocol hijack: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\SYSTEM\urlmon.dll
O18 - Protocol: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\SYSTEM\urlmon.dll
O18 - Protocol hijack: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol hijack: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\SYSTEM\urlmon.dll
O18 - Protocol: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\WINDOWS\SYSTEM\urlmon.dll
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - Protocol hijack: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B}
O18 - Protocol: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - Protocol hijack: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6}
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\SYSTEM\ITSS.DLL
O18 - Protocol: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - C:\WINDOWS\SYSTEM\INETCOMM.DLL
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol hijack: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D}
O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
O18 - Protocol: vnd.ms.radio - {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O21 - SSODL: AUHook - {BCBCD383-3E06-11D3-91A9-00C04F68105C} - C:\WINDOWS\SYSTEM\AUHOOK.DLL
O21 - SSODL: System - {F6542A5E-9820-454A-8A9C-BE4662BD4721} - C:\WINDOWS\system32\system32.dll


91 :84:04/08/03 22:08
>>88も84です。
おねがいします。

92 :名無しさん@お腹いっぱい。:04/08/03 22:10
>>84
このファイルがもうないよ、ってのを最初にレジストリから削除してみたら?
O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll (file missing)
O2 - BHO: (no name) - {3BFF365D-E942-2EE5-8753-60550DA7291F} - C:\WINDOWS\SYSTEM\YJDIENFW.DLL (file missing)

93 :名無しさん@お腹いっぱい。:04/08/03 22:15
>>91
ウイルスチェックしたか。
それと、ここに貼る前に、エロ助の
テンプレやってからにしろよ
ザッと見ただけでも悲惨な状態だよ。

94 :名無しさん@お腹いっぱい。:04/08/03 22:20
>>84-91
今回出ている症状以外にも、多数のスパイウェア感染がありますので、まず
HijackThisで直されるより先に、こちらのスレのテンプレを実行してみて下さい。
エロサイト見たら…助けてください!Part35
http://pc6.2ch.net/test/read.cgi/pcqa/1091090092/
あと、あなたの症状はこちらのページを参考にしてみて下さい。
ttp://higaitaisaku.web.infoseek.co.jp/removereg32.html

>>83さん
以下のエントリをFixしてみて、一度PCを再起動してみて下さい。
その後、再度向こうのスレのテンプレをやってみて下さい。
O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - ttp://www.mt-download.com/MediaTicketsInstaller.cab

95 :名無しさん@お腹いっぱい。:04/08/03 22:20
>>84
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net

これ、自分で信頼済みに登録したの?
これらのサイトに行ったら、全部勝手に何でもインストールされてしまうよ。
それとソフトを使ってスパイウェアをまず削除する事。

96 :59:04/08/03 23:18
>>94さん
有難う御座います。
削除した結果右下の「信頼済みサイト」表示が「インターネット」に。
「Done」の表示が「ページが表示されました。」に。
***.bizだったリンクが元に戻りました。
しかし、ホームページの設定だけはなぜか戻りません。
selfsearch.bizのままとなってしまいます。
また、現在でも全体的にシステムが重いような気がします。

97 :94:04/08/03 23:24
キタ━━━━━━(゚∀゚)━━━━━━ !!!!!
どうやら、復活しているスパイウェアエントリの根源はこれだったようです。
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe
Gaobotというウィルスとの事です。
トレンドマイクロのデータベースには該当が多すぎてどれか特定できませんでしたが。

ホームページの設定が戻っていないというのは、どこのページに行っても
まだ勝手にselfsearch.bizになってしまう状態という事でしょうか?

98 :59:04/08/03 23:36
>>97
具体的にいうと新しいウインドウを開いたときなどにabout:blankに設定しても
またselfsearch.bizにアクセスし、設定も戻ってしまっている、ということです。
やたらと新しいウインドウが開くのが遅いので(システム全体が重い)、これと何か関係があるのでしょうか?

99 :94:04/08/03 23:44
テンプレが再度全て終わっているならば、HijackThisを起動してみて下さい。
まず最初に、>>94でFixしたはずのエントリーが復活しているかいないかを確認して教えて下さい。

>O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\internst32.exe internet.dll,LoadNetworkProfile
次に、この該当ファイルのプロパティを確認してみて下さい。
Windowsと無関係の場合には、これをFixしてみて、再起動して下さい。

100 :通りすがり:04/08/03 23:57
>>88は誰も見てあげないの?まぁこんなに有るんじゃね・・・
日本語ダイアラーとかエロサイト動画とかあるみたい。
O16 - DPF: {B15108AA-D8D0-480D-B535-07E18D6549A8} (XBurger.XBurgerCtl)
O16 - DPF: {69A4F9FF-E915-11D5-A9F1-009099104002} (XDialer Class)
O16 - DPF: {4BF9BC08-8571-4E2B-AECF-EC8C9E287C04} (DialerX Control)
O16 - DPF: {9AB3A076-8870-4D98-BD2A-01BD1634C74C}
O16 - DPF: {E8946F74-DAF3-4D7F-8988-A54E380D8D89}
>89は見てないが
O16 - DPF: {11111111-1111-1111-1111-111111111157}
213.159.117.133はロシアだからこれもそうだろう。

101 :59:04/08/04 01:33
大変遅くなりました。
>>99さん
有難う御座います。
エントリーの復活は見受けられませんでした。
>O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\internst32.exe internet.dll,LoadNetworkProfile
このファイルをFixし、再起動した結果、ホームページの設定も正常にできるようになりました。

ただ、気になる点がひとつあるのですが、Ad-awareなどで何度検索し、何度削除してもcoolsearch関係のスパイウェアやその他数個のスパイウェアが検出されてしまうのですが、
これは問題ないと割り切ってしまって構わないのでしょうか?
何度もお時間とらせて申し訳ありませんが、宜しくお願いいたします。

102 :94:04/08/04 02:05
>>101
本当にお疲れ様でした( ・∀・)つ旦オチャドゾー

一応、ゴミ掃除としてこれもFixしておくと良いかもです。
>O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
IEの「ツール」メニューに項目を追加したり、ボタンなどを追加するものなのですが、
既にボタンリンク先プログラムがないようですから。(おそらくテンプレを実行して駆除された残りカスです)

今回大変な思いをしたスパイウェアの再発を予防するために、
ttp://higaitaisaku.web.infoseek.co.jp/menu5.html
ここの「スパイウェア予防アプリケーション」を見て導入しておくと再発はかなりの割合で防げます。
100%スパイウェアを防ぐ事と言うのはスパイウェアは日々どんどん増えているため不可能ですが、
95%ぐらいは予防と定期的な駆除で防ぐ事は可能ですよ。
(今回の>>59さんの場合は、残り5%の極めて例外的なものだったですけれど、これは仕方ないです)

CWShredderや、Ad-aware、Spybotなどで何度も同じスパイウェアが検出される場合は、
セーフモードで試してみると駆除できる事があります。
あと、今回のように、トロイソフトが入り込んでいて、削除してもまた撒き散らす状態になっている
可能性も十分ありえますので、フリーのアンチトロイソフトを併用すると良いかもです。
☆☆トロイの木馬☆☆2台目
http://pc5.2ch.net/test/read.cgi/sec/1087290865/ ←このスレあたりを参考に。

それでも再発する場合は、再度またご相談頂ければと思います。

103 :94:04/08/04 02:16
あ、ごめんなさい。最後にゴミ掃除が残ってますね。
現在問題が全く発生していないようならば、以下のFix済のファイルを
検索して、完全にファイルそのものを削除してしまって下さい。

C:\WINDOWS\SYSTEM\services\2.01.00.dll
C:\WINDOWS\SYSTEM\LVComS.exe
C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
C:\WINDOWS\SYSTEM\internst32.exe
C:\Windows\downloaded Program Filesの中に、今回016エントリで
発見されたプログラムファイルがある可能性がありますので、これも削除。

HijackThisのFixは、あくまでもそのエントリの実行を止めるだけなので、
その原因ファイルそのものはFixしただけでは残ってしまいます。
これがテンプレを先に必ずやって下さいという一番の理由だったりします。

104 :名無しさん@お腹いっぱい。:04/08/04 02:28
**回答者向けまとめ**(>>59-62

C:\WINDOWS\SYSTEM\LVComS.exe ←▲Virus(Gaobot)、CWS.Yexe.2の感染源トロイの疑いあり
C:\WINDOWS\SYSTEM\internst32.exe ←▲selfsearch.bizの原因ファイルの疑いあり
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe
←▲Virus(Gaobot)、CWS.Yexe.2の感染源トロイの疑いあり
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\internst32.exe internet.dll,LoadNetworkProfile
←▲selfsearch.bizの原因ファイルの疑いあり

105 :名無しさん@お腹いっぱい。:04/08/04 12:38
>>104 、乙
こんな感じでデータベース化して行くのか。

106 :59:04/08/04 13:46
>>102-103さん
有難う御座います。Fixは完了しましたが、
C:\WINDOWS\SYSTEM\のservicesフォルダを開こうとすると、
「C:\WINDOWS\SYSTEM\servicesの参照先は現在利用できません。
参照先はこのコンピュータ、ネットワーク、又はホームネットワークの別のコンピュータに存在していた可能性があります。
ディスクが正しく挿入されているか、インターネット又はホームネットワークに接続しているかどうかを確認し、もう一度実行してください。
それでも参照できない場合は、別の場所に移動した可能性があります。」
と表示され、削除を実行することができないのですが、エクスプローラーから隠しフォルダ表示にしても
SYSTEM内にservicesフォルダがないのでこれは無視して構わないんでしょうか?

107 :94:04/08/04 14:34
今回、>>59さんが感染していたCWS系ハイジャッカーはこれです。
ttp://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=171
したがって、名前を変えて居座っている可能性がありえます。
確認方法は>>74の、向こうのスレで指摘された場所(win.ini)を再度確認してみて下さい。
その後、感染しているようならば駆除方法はここを見てみて下さい。
ttp://higaitaisaku.web.infoseek.co.jp/removekurukuru.html#win9x

108 :名無しさん@お腹いっぱい。:04/08/04 17:47
>>104のフィルタを新しく入力すると、>>84-91も同じトロイに感染している事がわかる。
その後再度相談に来てない事から考えると、もしかしたらTrendMicro以外のオンラインスキャンを
試していたら、それがちゃんと事前に駆除できていたのかもしれない。
「必ず3種類(シマンテック・トレンドマイクロ・McAfee)のオンラインスキャンを全て試して下さい」
という指示が本家だと出るのだが、もしかしたらそういう理由なのかな?

たんに>>84-91が面倒くさがってテンプレやってないだけならば論外だが・・・

109 :59:04/08/04 19:04
>>107さん
win.iniを確認しました。
[windows]
load=
run=
NullPort=None
device=EPSON PM-900C,EPIJNL40,EPUSB1:

と、あちらで指摘されて変更("run="に)した後と変わっていません。
となるとコンピュータ上からは完全に消えたと捉えて構わないのでしょうか?

110 :94:04/08/04 19:47
>>109
再度HijackThisを取ってみて、>>59-62のログと比較してみて下さい。
特に、02エントリ、04エントリ、15エントリ、16エントリにFixしたもの以外に変化があるかどうかを確認してみて下さい。
(16エントリは、WindowsUpdateした事によって1つ増えていると思います)
特に上のWindowsUpdate以外に新しく増えているエントリがなく、特に現在不具合もないようであれば、
駆除に成功したと思ってよいと思います。

111 :エロサイトスレの736です:04/08/04 22:03
>>56
お返事が遅くなり大変申し訳ありません。
ご指摘の二箇所についてですが、まず
C:\WINDOWS\System32\hgchcwii.exe と
O4 - HKCU\..\Run: [Tars] C:\Documents and Settings\Owner\Application Data\utwb.exe
に関しては、以前ノートンでアドウェアと診断されたものでした。
この二点はセーフモードにて検索→削除しました。
もう一つの、O2 - BHO: (no name) - {4DAA6426-E46D-20CE-8000-64550CD32B4D}- C:\WINDOWS\System32\bilcmavq.dll
については、プロパティでは「不明なアプリケーション」だったのですが、
一応HijackThisにてバックアップを取った上、Fixしました。
結果、当初の相談内容であった履歴上にNDr(任意の数字とアルファベット).tmp.html.が現れる現象は
止まりました。(ただし相変わらず重たいのは重たいのですが…特に電源を入れてから最初のIE起動が)
まああまり神経質になるのもいけないかもで、しばらく様子を見守ります。
また不具合が出るようでしたらPC初心者板で質問させてもらいます。
今回は本当にありがとうございました。



112 :名無しさん@お腹いっぱい。:04/08/04 22:32
>>111
なるほど、とすれば富士通関連のものも、必要ないものは削除してみた方がいいかもしれませんね。
どんなソフトなのかを確かめてみて、必要なければアンインストールなりFixなりしてみて下さい。
>O4 - HKLM\..\Run: [FJUPDNV_Chitose] C:\Program Files\Fujitsu\chitose\chitose.exe
>O4 - Global Startup: ダイヤルアップ チェッカー.lnk = C:\Program Files\ChIntCal\CHINTCAL.EXE
>O4 - Global Startup: 富士通サービスアシスタント.lnk = C:\Program Files\Fujitsu\sa\bin\matcli.exe
もしもコントロールパネルに該当ソフトの名前があるようなら、そちらからアンインストールを先に試した方がいいです。
(たぶん富士通のパソコンにプレインストールされていたソフト類と思われます)

>O16 - DPF: {48B35AC2-CFCE-4DF7-8B39-C3EB6F5DD111} (DreamTechnologies MADO Image Viewer Control) - http://download.sfd.co.jp/mado-book/MADOCMP_24003.CAB
これについても、もし心当たりが全くないのなら、Fixしてしまってよいと思います。

もしかしたら、リソースを食われているせいで体感速度が遅く感じられる可能性もありますので、
必要のないプレインストールソフトをどんどん削除してしまうというのも手です。
(続く)

113 :名無しさん@お腹いっぱい。:04/08/04 22:42
>>112の続きです。
あと、アンチウィルスソフトとしてNortonを使ってらっしゃいますので、
それらのインターネットフィルターによって多少速度が下がって感じられる
という部分もあるかも知れません。
ただ、私の意見としては、速度が上がってもフィルターなしの状態にするのは
あまりにもデメリットが大きすぎますので、その分は我慢するのが良いかと思います。

>特に電源を入れてから最初のIE起動
多分、この辺はリソースを食ってしまっているのが直接の原因だと思います。
(全部問題ないソフトでも、色々なものを起動しているとリソース食われますから。)
必要のない常駐プログラムをできるだけ減らすと、かなり改善されるんじゃないかと思いますよ。

114 :59:04/08/05 12:07
>>110さん
有難う御座います。
確認した結果、問題は見受けられませんでした。
何日も長々とお世話になってしまい、お時間とらせてしまい申し訳ありませんでした。
また、お付き合いいただき有難う御座いました。
また何かあった際にはどうぞ宜しくお願いします。
それでは失礼します。

115 :名無しさん@お腹いっぱい。:04/08/05 12:41
>>114
( ・∀・)つ旦オチャドゾー
特に問題が発生してないようなら、>>106で削除できなかった分については
今のところは大丈夫と考えていいと思います。
日々のメンテナンスと、>>102の予防をしっかりやっていれば再発する事は
ほとんどなくなると思います(100%防げる訳ではないですが)。

OSがMeですから、WindowsUpdateの重要な更新は自動的にダウンロードしておいて
インストールするように設定する事が可能な筈なので、そうしておくのを強くお薦めします。
あとは、アンチウィルスソフトやアンチスパイウェアソフトのアップデートがある度に
再度スキャンしてみるとか、初期のうちに発見できると症状が悪化せずに済みます。

HijackThisは開腹手術のようなものなので、できるだけこれのお世話にならないで
治療できる事がベストです。止むを得ない場合にのみ使うという感じですかね。

116 :名無しさん@お腹いっぱい。:04/08/08 11:04
v1.98.2が出ますた

117 :名無しさん@お腹いっぱい。:04/08/08 12:25
>>116 乙です乙です
http://forums.net-integration.net/index.php?showtopic=20977

下がりすぎてますので上げます

118 :名無しさん@お腹いっぱい。:04/08/09 02:14
良スレage

119 :名無しさん@お腹いっぱい。:04/08/09 02:51
PCを立ち上げたら、すぐにscrnsize.exeが見つかりません
と表示が出るのです。
ログはこのように出ました。お願いします。

Logfile of HijackThis v1.98.0
Scan saved at 2:51:01, on 2004/08/09
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\carpserv.exe
C:\Program Files\Apoint\Apoint.exe
C:\WINDOWS\System32\ICO.EXE
C:\Program Files\Sony\HotKey Utility\HKserv.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\windows\system32\nscntrl.exe
C:\windows\system32\sxgwholr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\Sony\HotKey Utility\HKWnd.exe
C:\WINDOWS\System32\conime.exe
C:\Documents and Settings\Guest\My Documents\katjusha\Katjusha.exe
C:\Documents and Settings\Guest\My Documents\Hijack This\HijackThis.exe

120 :名無しさん@お腹いっぱい。:04/08/09 02:52
O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000001} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {DE614603-6320-4046-A7A7-6A69CEC26F14} - C:\WINDOWS\navpmc\4b_1,0,0,5_navpmc.dll (file missing)
O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {00000000-0000-0000-0000-000000000001} - (no file)
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName



121 :名無しさん@お腹いっぱい。:04/08/09 02:52
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Program Files\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [i-FilterPE] C:\Program Files\Digital Arts\i-FilterPE\IfpeLaunch.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [imjpmig] C:\Program Files\Common Files\Microsoft Shared\IME\IMJP\imjpmig.exe /RemAdvDef /AIMEREG /Migration /SetPreload
O4 - HKLM\..\Run: [nscntrl] c:\windows\system32\nscntrl.exe /noconnect
O4 - HKLM\..\Run: [VAIO Update] C:\Program Files\Sony\VAIO Update\VAIOUpdt.exe -backgroundMode
O4 - HKLM\..\Run: [SXGWHOLR] c:\windows\system32\sxgwholr.exe /install
O4 - HKLM\..\Run: [Scrnsize] c:\windows\system32\scrnsize.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [cpntmgc] c:\windows\wincomp\WINCOMP.EXE


122 :名無しさん@お腹いっぱい。:04/08/09 02:53
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Bookshelfで検索(&L) - res://C:\Program Files\Microsoft Reference\Microsoft Bookshelf 3.0\bsdef.dll/#1001
O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.vaio.sony.co.jp/

123 :名無しさん@お腹いっぱい。:04/08/09 04:07
ヴァイラス

124 :名無しさん@お腹いっぱい。:04/08/09 04:57
鑑定師の人数が少ないから大変だな・・
でも、いい仕事してるよがんばってくれ。

125 :名無しさん@お腹いっぱい。:04/08/09 09:12
>>119-122
scrnsize.exeの検索内容
http://oshiete1.goo.ne.jp/kotaeru.php3?q=922705&rev=1
ノートン先生がそのトロイ本体は削除していますが、起動時にそのエントリーを
読み込む設定が残っているので、そのエラーメッセージが出るという訳です。
ただし、トロイにいくつか感染しているようですから、今回同時に直してしまいましょう。

TROJ_DLUCA.M
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_DLUCA.M&VSect=T
「これにより、Windowsの「プログラムの追加と削除」からアンインストールが可能になります。」
との事ですから、まず「プログラムの追加と削除」に不審なものがないかどうか確認してみて、
インストールした覚えの無いプログラムがあったら削除してみて下さい。

次に、以下のエントリをFixして下さい(nscntrlは↑によってエントリから消えていたらOK)
TROJ_DLUCA.M
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_DLUCA.M&VSect=T
>O4 - HKLM\..\Run: [nscntrl] c:\windows\system32\nscntrl.exe /noconnect
TROJ_WINTRIM.E
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?Vname=TROJ_WINTRIM.E
>O4 - HKCU\..\Run: [cpntmgc] c:\windows\wincomp\WINCOMP.EXE

ノートン先生が自動的に取り除いてくれたと思われるもののゴミ掃除です。
感染していたものの内容はリンクを参照。この4つのエントリーをFix。
http://www.symantec.com/region/jp/avcenter/venc/data/adware.safesearch.html
>O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000001} - (no file)
>O3 - Toolbar: (no name) - {00000000-0000-0000-0000-000000000001} - (no file)
http://www.pestpatrol.com/PestInfo/m/magiccontrol.asp
>O2 - BHO: (no name) - {DE614603-6320-4046-A7A7-6A69CEC26F14} - C:\WINDOWS\navpmc\4b_1,0,0,5_navpmc.dll (file missing)
最初に書いたトロイのエントリ(今回の症状の原因はこれ)
>O4 - HKLM\..\Run: [Scrnsize] c:\windows\system32\scrnsize.exe 
(続く)

126 :125:04/08/09 09:13
>>125の続き
それから、以下のファイルのプロパティを確認してみて下さい。
>O4 - HKLM\..\Run: [SXGWHOLR] c:\windows\system32\sxgwholr.exe /install
何かのインストールプログラムですが、情報がありません。しかし、極めて怪しいです。
プロパティを確認してみて、不審なようならばこのエントリもFix。

ここまでFixが終わったら、一度パソコンを再起動してみて、
再度HijackThisを見て該当Fix箇所が消えているかどうかを確認して下さい。

127 :名無しさん@お腹いっぱい。:04/08/10 01:25
エロ助けスレの解析たのんます。

128 :名無しさん@お腹いっぱい。:04/08/10 01:27
(´・д・`) ヤダ

129 :名無しさん@お腹いっぱい。:04/08/10 02:08
Merijnのサイト繋がらん…

130 :アドバイス:04/08/10 05:53
HijackThis Entry Databaseを使用する時に、
もう少し細かい条件で検索したい場合はこちらをどうぞを選択して
検索条件で登録日時「1ヶ月前まで」を選べばそのサイトで確信が取れた、
最新データを一括して表示させることができます。
解析している人でこの方法を使ってない人は試してみてください。
解析済み登録データを登録する時に便利です。

[ControlPanel] C:\WINDOWS\SYSTEM\internst32.exe internet.dll,LoadNetworkProfile
selfsearch.bizの元凶の可能性があるようです。
情報が少ないために詳細は不明です。

HijackThis Entry Database(念の為にDBのURL)
ttp://higaitaisaku.web.infoseek.co.jp/hjtdatabase.html

131 :名無しさん@お腹いっぱい。:04/08/11 00:46
>>129
Merijnサイトはよく攻撃食らうみたいなので(スパイウェア業者の仕業?)
落ちている事がよくあります。>>117あたりからダウンロードすると吉。

132 :名無しさん@お腹いっぱい。:04/08/11 02:48
1.98.2(・∀・)イイ!!

133 :1:04/08/11 15:33
HijackThisのフィルターで使えるものはないかなと色々探していたら、
外国のページでこんなところを発見してしまいました。

HijackThis Log File(英語・オランダ語・ドイツ語なので英語ページで)
http://www.hijackthis.de/index.php?langselect=english

参考として、今までログを貼ってくれた方々のを分析してみました。
(結果が表示されるページは、5日後に自動的に消えるようです)
>>24-28さんの結果
http://www.hijackthis.de/logfiles/8902c9d1542220133ac26df056a28ef2.html
>>35-40さんの結果
http://www.hijackthis.de/logfiles/27aed707b97b9450af67ef4c6484d188.html
>>59-62さんの結果
http://www.hijackthis.de/logfiles/0cef2053de250b1fdb48d1ef8621178f.html
>>63-67さんの結果
http://www.hijackthis.de/logfiles/b27f7cedde94bc362b00bb55d247e89c.html
>>84-90さんの結果
http://www.hijackthis.de/logfiles/b0b3a3a9c7a2d610807febb1adb197ac.html
>>119-122さんの結果
http://www.hijackthis.de/logfiles/ed6bf0cd74161e0b6736f1004c7ba938.html

ここを使う時の問題点としては、「?」項目が比較的多い事ですかね。
特に、Fujitsuのパソコンにバンドルされているプレインストールソフトとかだと、
ほとんどが「?」になってしまいます。
また、015エントリ、016エントリも大半は「?」になっていて、「自分でインストール
した覚えがなかったらFixしてね」という指示になっています。
ただ、その辺を差っぴいてもかなり使えるページなんじゃないかな?と個人的には思います。

134 :1:04/08/11 15:43
>>133で紹介したページを使う問題点
・いきなりFixをして余計症状を悪化させてしまう人が増えそうな事
・エセ回答者が増えそうな事
(HijackThisは最後の手段ですよ、テンプレやってもダメな場合だけです!)

>>133で紹介したページを使う利点
・質問者が事前にHijackThisログを貼ってみて、自分である程度診断できる事

016エントリについては、>>1のHijackThisデータベースと同時に、
こちらのページで検索してみるとさらに良いかもです。
Hijack This O16 List について
ttp://homepage3.nifty.com/sato_yasu/spy/o16list.html
A=問題なし、B=不明、C=Fix必要なもの

一応>>133-134は有益だと思われる情報なのでageます。

135 :1:04/08/12 20:48
>>133訂正
(英語・オランダ語・ドイツ語なので英語ページで)
ドイツ語、フランス語、英語ですね。
フォーラムは全てドイツ語。全然何が書いてあるやらさっぱり(;´Д`)

136 :名無しさん@お腹いっぱい。:04/08/12 21:21


137 :名無しさん@お腹いっぱい。:04/08/13 14:07
良スレなのにお客さん少ないなぁ〜

138 :名無しさん@お腹いっぱい。:04/08/13 14:28
セキュ板はセキュリティ対策についての情報を得る場所だ。
対策を怠った者への治療方法になど何の興味もない。
このスレはそのまま初心者板につくれば良かったのだ。

139 :1:04/08/13 15:47
>>137
本来、HijackThisを駆使しなきゃ完治しない人=新しい病気の人か、よっぽどの重病人
で、HijackThisで執刀するお医者さんの腕がバラバラで、めちゃめちゃな指示を出す知ったかぶりさんがいる。
だから、未熟な人でもめちゃめちゃな指示を出さないように、HijackThisでフィルターをかけられるようなものを共有したい
=スレが立ったきっかけのぞぬフィルターの話、となってこのスレが立った訳で。

ぶっちゃけた話、ぞぬフィルターや>>133のを使えば、質問者がある程度自分で判断できるからそれで直してみる、
それでも直らない場合にはどうぞご相談下さいというスタンスなんですよ。
なので、フィルター類が充実してくれば充実してくるほど、ここのスレで相談してくる患者さんは減るのが本来です。

140 :名無しさん@お腹いっぱい。:04/08/13 19:22
>>139
初期の頃と比べてカバーできるエントリは
どの位増えたの?

141 :1:04/08/13 19:34
>>140
>>133があるから、単純比較はむずいです(>>133が結構な数に対応してるので)
>>133の弱点は、日本のソフトや、015・016エントリが「?(Unknown)」になりやすいので
これからの方向性はその辺のカバーですかねぇ・・・

142 :名無しさん@お腹いっぱい。:04/08/13 23:17
>>138
同意。

143 :名無しさん@お腹いっぱい。:04/08/13 23:42
まあここに限らずhijackthisでアドバイスしてるのを見ると思うんだが・・・
わけもわからずはいここfixと指図されるままにやってありがとうございました〜と
一見めでたしめでたしに見えるが、結局そういうやつはまた別なのにひっかかるんだろうなあと。
本人は何をどうしたのかろくにわかってないから、後から不具合があってもどうしようもないだろうしね



144 :名無しさん@お腹いっぱい。:04/08/13 23:52
エロサイトスレを見てこっちにきました。お願いします。
症状としてはエロスレの19さんと同じです。

Logfile of HijackThis v1.98.0
Scan saved at 23:35:00, on 2004/08/13
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\PROGRAM FILES\COMMON FILES\EPSON\EBAPI\SAGENT2.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\AVSYNMGR.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\VSSTAT.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\VSHWIN32.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\AVCONSOL.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\IMEJPMGR.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\ADAPTEC\DIRECTCD\DIRECTCD.EXE
C:\WINDOWS\LOADQM.EXE


145 :144:04/08/13 23:53
C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\ALOGSERV.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAM FILES\SONY\VAIO ACTION SETUP\VASERV.EXE
C:\PROGRAM FILES\I-O DATA\CUTE\CUTE.EXE
C:\WINDOWS\デスクトップ\HIJACK\HIJACKTHIS.EXE
C:\PROGRAM FILES\LIVE2CH\LIVE2CH.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll
O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: MSN ツールバー - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN TOOLBAR\01.01.1629.0\JA\MSNTB.DLL
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [OmgStartup] C:\Program Files\Common Files\Sony Shared\OpenMG\OmgStartup.exe
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\ADAPTEC\DIRECTCD\DIRECTCD.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe

146 :144:04/08/13 23:54
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\host32.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [Alogserv] C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
O4 - HKLM\..\RunServices: [McAfeeVirusScanService] C:\Program Files\McAfee\McAfee VirusScan\AVSYNMGR.EXE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
O4 - Startup: VAIO Action Setup (サーバー).lnk
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Startup: EPSONプリンタウインドウ!3 環境設定(2).lnk = C:\WINDOWS\SYSTEM\E_SRCV02.EXE
O4 - Startup: Cute.lnk = C:\Program Files\I-O DATA\Cute\Cute.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm


147 :144:04/08/13 23:54
O15 - Trusted Zone: *.searchmeup.cc
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O16 - DPF: {9E7138EE-4E7B-11D5-94EF-006008A4ED7F} (DialZ Class) - http://www.slashpink.net/new_01/117/DialXX04.CAB
O16 - DPF: {B1564E7A-26BD-4135-88E9-78F44DD4DE68} (XBeat.XBeatCnt) - http://www.narazuke.com/01/XBeat.CAB
O16 - DPF: {748282BD-B965-44D8-896A-9506453F28B2} (XPaco.XPacoCnt) - http://www3.narazuke.com/04/XPaco.CAB
O16 - DPF: {DAE3A970-40F5-11D4-9E73-0030430005BE} (AutoConnect Class) - http://home.att.ne.jp/sun/live/sample/ldc/eConnect.dll
O16 - DPF: {8DCE908E-9E35-11D3-9431-009099104002} (AButton Class) - http://www.ura-no1.com/DialX7.CAB
O16 - DPF: Yahoo! Japan Shogi - http://yog21.yahoo.co.jp/yog/yj/shgm4_x.cab
O16 - DPF: {CE120884-CC9F-4478-A6A4-3A2768438DC8} (XMild.XMildCtl) - http://www.yakiudon.com/02/html/XMild.CAB
O16 - DPF: {18000D07-72C4-11D4-B4BD-004026422A29} (Hot_net Control) - http://www.futomomo.com/netidol/idolhappy/cab/Hot_net.CAB
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab
O16 - DPF: {43A31219-2ED9-4509-97DF-5C03F3286850} (RasActive Control) - http://61.195.173.226/~fuwafuwa/activehhh/rasactive.cab
O16 - DPF: {69A4F9FF-E915-11D5-A9F1-009099104002} (XDialer Class) - http://ura-xxx.com/XDialer2.CAB
O16 - DPF: {A3EE1783-506C-4C2E-84AA-725AC5B3CD79} (XKurumi.XKurumiCtl) - http://210.155.140.39/exe/XKurumi.CAB

148 :144:04/08/13 23:55
O16 - DPF: Yahoo! Chat JP 2 - http://cs.chat.yahoo.co.jp/c302/chat.cab
O16 - DPF: Yahoo! Japan Bloxi - http://yog19.yahoo.co.jp/yog/yj/blm5_x.cab
O16 - DPF: Yahoo! Japan Blackjack - http://yog12.yahoo.co.jp/yog/yj/jm1_x.cab
O16 - DPF: {759F9382-089B-4170-8B71-EEDFD932E19E} (XDialK2 Class) - http://homepage1.nifty.com/deep/DialK2.CAB
O16 - DPF: {B15108AA-D8D0-480D-B535-07E18D6549A8} (XBurger.XBurgerCtl) - http://www.eromax.com/cab/XBurger.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (ウイルスバスター On-Line Scan) - http://a840.g.akamai.net/7/840/537/2004052701/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {D6BD21B2-32FD-4A56-AE46-FBA65EABB3A7} (XEng007.XEng007Ctl) - http://cutygirls.net/pink/007/XEng007.CAB
O16 - DPF: {7BEAC808-D2BF-4B4B-9E14-A403477A669C} (XEng006.XEng006Ctl) - http://iii.tv/pink/006/XEng006.CAB
O16 - DPF: {4A88CB42-BBFE-496A-884F-98E8AC316292} (YJInstStarter Control) - http://dl.msg.yahoo.co.jp/pgdownload/yjinst.cab
O16 - DPF: {C7173F75-4426-4B86-B5F4-BA500BE66FE0} (ChainCast VMR Client Proxy) - http://sports.1242.com/chaincast/ccpm_0221.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/23dbb8dc8952c5a71d16/netzip/RdxIE601_ja.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://cs.chat.yahoo.co.jp/v45/yacscom.cab
O16 - DPF: Yahoo! Japan Poker - http://yog16.yahoo.co.jp/yog/yj/pm6_x.cab
O16 - DPF: {2C079F28-EE92-4700-A44B-AF5FA285FCCA} (HanGamePluginJP16 Class) - http://down.hangame.co.jp/jp/dist/hgstart/HanGamePluginJP16.cab
O16 - DPF: Yahoo! Chat JP - http://cs1.chat.yahoo.co.jp/c214/chat.cab
O21 - SSODL: AUHook - {BCBCD383-3E06-11D3-91A9-00C04F68105C} - C:\WINDOWS\SYSTEM\AUHOOK.DLL



149 :144:04/08/13 23:56
よろしくお願いします。

150 :名無しさん@お腹いっぱい。:04/08/14 00:37
>>144-148
すんません、素朴な疑問なんですが
コントロールパネルの「アプリケーションの追加と削除」にいつの間にか
加わっているものはないですか?
トレンドマイクロのオンラインスキャンをやった形跡はあるのですが、
そこで検出されたものはちゃんと駆除しましたか?
Spybotは入っているようなんですが、そこで検出されたものは駆除しましたか?
Ad-awareSEや、CWShredderは試してみましたか?

エロサイトテンプレをやったにしては、エントリが非常に悲惨な状態過ぎるのですが・・・
Fix指示を出す前に、その確認を先にさせて下さい。やってなければ、先にそれをやって下さい。

151 :144:04/08/14 00:43
悲惨ですか。そんな感じはしたのですが…
どれを開いてもアイコンが出てこなく、作業が出来ません。
スキャンではウィルスは出てきませんでした。
spybotでcoolWebsearchはでたのですが、削除しようとすると、
停止してしまう状況です。
すいませんが、まずどこからはじめたらいいか教えてください。

152 :名無しさん@お腹いっぱい。:04/08/14 00:57
>>151
アイコンが出てこないとは、具体的にどの作業の事ですか?
向こうの19さんは、「コントロールパネルが出てこない」と書いていますが。

作業する順番としては、ここの「スパイウェア除去ウィザード」に沿って
順番にやっていってみて下さい。
ttp://higaitaisaku.web.infoseek.co.jp/removewz01.html

153 :144:04/08/14 01:04
>>152
ありがとうございます。

どのフォルダを開いても、中身のファイルがアイコンで出ますよね?
同様にコントロールパネルを開いても、ウィンドウは出てきても、
真っ白のウィンドウなんです。なので実行できない状況です。


154 :名無しさん@お腹いっぱい。:04/08/14 01:06
>>153
あとすみません、素朴な疑問追加。
McAfeeを入れてらっしゃるようですが、これは最新の定義にはできない
古いVirusScanソフトなんでしょうか?

155 :144:04/08/14 01:10
古いスキャンソフトです。
トレンドマイクロのオンラインスキャンやろうとしたのですが、
スキャン画面がでてこないので…

156 :名無しさん@お腹いっぱい。:04/08/14 01:38
(1)CWShredderを実行してみる。

(2)Spybotのアンインストール情報から確認(この段階ではまだスキャンしない)
モード→高度な使い方をクリックして、「アンインストール情報」にチェックを入れる。
その後、「アンインストール情報」を見て、インストールした覚えのないもののファイルパスを
調べて、直接そのアンインストールプログラムを起動してアンインストールしてみる。

(3)IE→インターネットオプション→セキュリティ→信頼済サイトに登録されているものを
一旦全て消す。(多分また復活するとは思いますが一応。)

(4)アンチウィルスソフトの入れ替え(オンラインスキャンもできないのでは話にならないので)
1.さっきのSpybotのアンインストール情報から、McAfeeのアンインストールプログラムの
ファイルパスを確認してアンインストールする。
2.アンチウィルスソフトがない状態では話にならないので、とりあえずフリーのものを入れてみる。
http://www.avast.com/eng/download/programs/avast_4_home_downloa.html
ここから、Japanese Versionをダウンロードして、インストール。
最新の定義にアップデートしたら、全てのファイルをスキャンしてみて下さい。

(5)http://higaitaisaku.web.infoseek.co.jp/removewz09.html
ここからこのウィザードに沿って最後まで実行してみてください。
 ※Ad-aware6.0ではなく、Ad-awareSEがリリースされていますので、そちらを使って下さい。
  既に日本語パッチも公開されていますので、Ad-awareスレを確認の事。使い方は6.0とほぼ同じです。

ウィザードが全部終わった段階で、再度HijackThisを取ってみて、貼ってみて下さい。
作業途中で再起動しない方がいいので、ウィルススキャンを寝ている間にやってみるとかがよいかと。

157 :名無しさん@お腹いっぱい。:04/08/14 01:47
補足:Ad-awareSE関連ページ
http://pc6.2ch.net/test/read.cgi/pcqa/1091521211/973


158 :144:04/08/14 02:24
>>156
ありがとうございます。

ファイル名を指定して実行でCWShredderを実行しました。
Spybotですが、uninstall cmdをファイル名を〜で実行すると、installが実行されてしまいます。

159 :144:04/08/14 02:27
すいません。McAfeeのインストールです。

160 :144:04/08/14 03:20
連レス申し訳ないです。
McAfeeについてはわかりました。avastを入れてみます。


161 :名無しさん@お腹いっぱい。:04/08/14 08:47
>>158-160
作業が全部終わってからまとめてレスして下さい。
ここはHijackThisスレですし、私はMcAfeeユーザーでもないので、
アンインストールの方法だとかはさっぱりわかりませんから。

162 :名無しさん@お腹いっぱい。:04/08/14 16:22
鑑定人さん、エロサイト助け・・スレに出張たのんます。

163 :名無しさん@お腹いっぱい。:04/08/14 21:10
>>143(ちょっと亀レスですが)
いきなり最初からHijackThis、Fixして終わり、ってのだとおっしゃる通りでしょうね。
(個人的には、だからいきなりHijackThis指示出す人ってのはヤブ医者だと思ってます)
「テンプレやってなければ先にそれやって」ってのは、そのテンプレをやる間に
アンチウィルスソフト、CWShredder、Spybot、Ad-awareは確実にインストールするので、
万が一他のスパイウェアに感染しても簡単に駆除できるから、という目的もあります。

164 :名無しさん@お腹いっぱい。:04/08/15 00:18
たかがスパイウェアごときに何むきにになってんの?

165 :144:04/08/15 00:32
すいません、取り乱しました。

166 :名無しさん@お腹いっぱい。:04/08/15 00:35
>>144さんを待ってる間に、今までの患者さんたちのCLSIDのある問題エントリについて
少しまとめてみました。

CLSIDでスパイウェアを予防するものに、SpywareBlasterというものがあります。
SpywareBlasterについては、詳しくはこのスレで(荒れてますが)
http://pc5.2ch.net/test/read.cgi/sec/1087466411/
また、アダルトサイト被害対策の部屋で、このSpywareBlasterにCLSIDを追加する
「CustomBlockingUpdater」というものを提供しています。
で、SpywareBlaster+CustomBlockingUpdaterで予防できないCLSIDエントリを
以下にピックアップしてみました。

>>25-28
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\WINDOWS\EliteBar\EliteBar version 37.dll
>>35-40
O2 - BHO: (no name) - {4DAA6426-E46D-20CE-8000-64550CD32B4D}- C:\WINDOWS\System32\bilcmavq.dll
>>84-90
O2 - BHO: (no name) - {3BFF365D-E942-2EE5-8753-60550DA7291F} - C:\WINDOWS\SYSTEM\YJDIENFW.DLL (file missing)
O16 - DPF: {E8946F74-DAF3-4D7F-8988-A54E380D8D89} (sub2tv コントロール) - http://www.2233.tv/module/subocx.cab
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://C:\foo.mht!http://66.230.145.49/20647/online.chm::/on-line.exe
>>144-148
O16 - DPF: {748282BD-B965-44D8-896A-9506453F28B2} (XPaco.XPacoCnt) - http://www3.narazuke.com/04/XPaco.CAB

逆に言えば、これ以外のエントリはSpywareBlasterと、CustomBlockingUpdaterを入れていれば
しっかりと予防できていたエントリ、という事になります。
また、CustomBlockingUpdaterのアップデートが最近止まっていますが、それを補うために
上に書いたエントリを加えておけば、最新のものに対しても予防可能という事になります。

情報として多少役に立つんじゃないかな?と思いましたので長文カキコ。

167 :166:04/08/15 01:12
>>166の内容をまとめたものを、SpywareBlaster隔離所スレに書きましたので
ご興味ある方はご自由にどうぞ。
ttp://jbbs.livedoor.com/bbs/read.cgi/computer/15366/1092108107/4

本当は本スレに書きたいとこですが、荒れ過ぎててあっという間に流れそうなので。

168 :166:04/08/15 11:14
>>166について、誤解があるといけないので補足カキコです。
まず、SpywareBlasterというのはこんなソフトです。
ttp://higaitaisaku.web.infoseek.co.jp/spywareblaster.html
>感染してしまった状態の改善には何の役にも立たないが、これからスパイウェアに感染することを防止する
>というアプリケーションです。
つまり、既に症状が発症してしまっていて、ここに相談している人が入れても何の解決にもなりません。

では、どういう風に役立つのか?
SpywareBlasterを入れている人が、仮に>>59-62さんと同じスパイウェアにかかったとします。
この場合、トロイファイルであるmsxmidiは入ってしまうのですが、
>O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll
>O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - ttp://www.mt-download.com/MediaTicketsInstaller.cab
この2つはSpywareBlasterで対応しており、インストール無効化されるため、トロイが走っていても症状は発生しないという事です。

SpywareBlasterは根本的な解決策にはならないのですが、とりあえず症状が出にくいようにしておいてくれるので、
その後アンチウィルスソフトや、アンチスパイウェアソフトが対応した時に駆除すれば、全く症状に苦しむ事なく駆除できる、というわけです。

169 :名無しさん@お腹いっぱい。:04/08/15 13:08
McAfeeや鉄壁は使わない。
これは常識です。

170 :名無しさん@お腹いっぱい。:04/08/15 14:10
>>169
「最新の定義にちゃんとアップデートできるアンチウィルスソフトを使う」
こんな常識すらきちんとできていない人が多いんですけど( ´,_ゝ`)

最新の定義にアップデートできるMcAfeeなら、何も入れないよりもずっとマシです。
(このスレでフリーソフトを紹介してるのも、検出力が良くないとは言え何もないよりずっとマシだからです)
「鉄壁」って何?と調べたら、既にサポート終了してるアンチウィルスソフト。それを使わないのは当たり前。

171 :名無しさん@お腹いっぱい。:04/08/15 14:21
スパイウェアに感染していたようで、SpybotでCns Minは削除したのですがまだ改善しません。
ウィルスにも感染しているようなのですが、よろしくお願いします。
ノートンでは検出されませんでした。

Logfile of HijackThis v1.98.0
Scan saved at 14:08:54, on 2004/08/15
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



172 :171:04/08/15 14:21
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\pctspk.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\WINDOWS\System32\DSentry.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\FinePixViewer\QuickDCF.exe
C:\Program Files\AOL 7.0\aoltray.exe
C:\Program Files\Apoint\Apntex.exe
C:\WINDOWS\System32\conime.exe
C:\WINDOWS\System32\wuauclt.exe
E:\HijackThis.exe
 

173 :171:04/08/15 14:25
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

174 :171:04/08/15 14:25
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE
O4 - HKLM\..\Run: [IMJPMIG9.0] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMJP9\IMJPMIG.EXE /Preload /Migration32
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Common Files\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: EPSONプリンタウインドウ!3 環境設定(2).lnk = C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\E_SRCV02.EXE
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: AOL 7.0 トレイアイコン.lnk = C:\Program Files\AOL 7.0\aoltray.exe

175 :171:04/08/15 14:26
O9 - Extra button: リサーチ - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\MSOFFICE\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Yahoo! メッセンジャ− - {CEBF73C0-BA2E-11d4-A73A-00508B33FB82} - C:\PROGRA~1\Yahoo!J\MESSEN~1\YPagerJ.exe
O9 - Extra 'Tools' menuitem: Yahoo! メッセンジャ− - {CEBF73C0-BA2E-11d4-A73A-00508B33FB82} - C:\PROGRA~1\Yahoo!J\MESSEN~1\YPagerJ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {4A88CB42-BBFE-496A-884F-98E8AC316292} (YJInstStarter Control) - http://dl.msg.yahoo.co.jp/pgdownload/yjinst.cab
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
O16 - DPF: {E6B8E23A-7174-42A8-9620-8F4C5415DF2F} (SmartLauncher Control) - http://webprint.i-love-epson.co.jp/mypage/app_pages/s_launch.cab

176 :171:04/08/15 14:26
以上です、よろしくお願いします。

177 :横レスごめんなさい:04/08/15 14:49
鑑定人さん、いつもご苦労様です。
CLSIDのブロックリストにはこんなのもあるようですね。
ttp://www.spywareguide.com/blockfile.php
情報源はこちらです。
ttp://higaitaisaku.web.infoseek.co.jp/cgi-bin/srch.cgi?no=3&word=3131&andor=and&
logs=cbbsdayo3.cgi&PAGE=20&ALL=1

CustomBlockingListにはこんなのも。
ttp://forum.aumha.org/viewtopic.php?t=4945
次も同じ人のレスです。ちゃんとした所のフォーラムに掲載されているのだからリスト自
体も信用できるかと。
ttp://www.wilderssecurity.com/showthread.php?t=36879

僕は詳しいこと分からないので、すいませんけど情報だけ投げちゃいます。
ところで、僕自身は両方とも使ってません。結局のところ「インストールしますか?」に
「いいえ」で答えればCLSIDのブロックも不要だし、そもそもヤバイサイト見る前にJAVA
やActiveXを切ればいいのかと。それでも、ケアレスミスを防ぐためにSpywareBlasterは
利用させてもらってますけれど。

178 :名無しさん@お腹いっぱい。:04/08/15 15:09
>>171-176
>ウィルスにも感染しているようなのですが、よろしくお願いします。
>ノートンでは検出されませんでした。
どんな症状なのかもわからないし、ウィルスに感染しているようだという情報は
どこまで信用できるんですかね?
「エロサイト見たら・・・」スレのテンプレはきちんと読みましたか?
テンプレは全て実行しましたか?「エロサイト見たら・・・」スレでは相談しましたか?

>SpybotでCns Minは削除したのですがまだ改善しません。
ここは読みましたか?(テンプレにあるのに読まずに直しちゃったんでしょうけど)
ttp://higaitaisaku.web.infoseek.co.jp/removecnsmin.html

テンプレもきちんと読まず、どんな症状なのかも詳しく書かず、
本来相談すべき「エロサイト見たら・・・」スレに相談もせず、
いきなりこっちに持ってこられても、全然見る気は起きません。あしからず。

179 :名無しさん@お腹いっぱい。:04/08/15 15:19
>>177
CLSIDの話は、HijackThis分析で出てきたログからの副産物を、
何か再利用できないかなーというので出してみた話なので、
既存のリストとかはむしろSpywareBlasterスレでやった方がいいかもです。

180 :名無しさん@お腹いっぱい。:04/08/15 17:28
PC初心者から誘導されてきました

スパイウェア検索削除ソフトのSpybot1.3に関する質問なんですが
VBouncer というのが検索されたのですが、修正削除にしても

いくつかの問題個所が修正/削除できません
理由がファイルメモリ上あるためです
この問題は再起動後に修正/削除できます
次回システムスタートアップでSpybot-s&Dを起動しますか?

と出るんですが、再起動しても削除できません
どうすれば良いでしょうか?


181 :名無しさん@お腹いっぱい。:04/08/15 17:43
>>180
ここはSpybotの質問スレじゃありません。こちらのテンプレをよく読んで、
わからなければそちらのスレッドで聞いてください。
エロサイト見たら…助けてください!Part37
http://pc6.2ch.net/test/read.cgi/pcqa/1092133896/
誘導されたら、書き込む前にスレタイとか先に見てくれませんかね( ´_ゝ`)

182 :名無しさん@お腹いっぱい。:04/08/15 17:49
>>180
パソコン初心者板総合質問スレッドvol.795
http://pc6.2ch.net/test/read.cgi/pcqa/1092492463/635

どのレスで誘導されたのか小一時間(r
マルチポストかつスレ違い



183 :名無しさん@お腹いっぱい。:04/08/15 17:52
わりーわりーこのスレに誘導されちゃったのね
正直スマンテック

184 :名無しさん@お腹いっぱい。:04/08/15 17:52
なんでSpybotの専用スレもあるというのにこのスレに誘導されるんだ・・・(;´_ゝ`)

185 :名無しさん@お腹いっぱい。:04/08/15 18:22
初心者窓口スレ

186 :名無しさん@お腹いっぱい。:04/08/15 20:39
これからどんどん馬鹿を送り込んでやるからなwwwwwwwwwっw

187 :名無しさん@お腹いっぱい。:04/08/16 06:03
あれ?ここの鑑定人さんは優しい人だと思ってたのに
エロ助けスレの糞回答者と同じなのかな?

188 :名無しさん@お腹いっぱい。:04/08/16 09:30
あれ?ここの鑑定人さんは優しい人だと思ってたのに
エロ助けスレの糞回答者と同じなのかな?

189 :名無しさん@お腹いっぱい。:04/08/16 19:09
鑑定人がやさしいかどうかは知らないが、板立てたやつは馬鹿。
エロサイト見たら…助けてください!からの流れを見てたらわかる。
そろそろ飽きて、投げ出す頃。

190 :名無しさん@お腹いっぱい。:04/08/16 19:32
飽きちゃってるのか?

191 :名無しさん@お腹いっぱい。:04/08/16 19:48
いや、ここにはスレ建て主の>>1しかいないですから!!!

192 :191:04/08/16 20:10
いきなりすいません!!エロサイトからきた59さんと同じ症状状況なんですが。現在どのような状態なのか解析されたく来ました。お手数ですが解析のほどお願いしますm
Logfile of HijackThis v1.98.0
Scan saved at 19:24:16, on 2004/08/16
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAM FILES\JUSTSYSTEM\ATOK13\ATOK13MN.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\SERVICES\WMPLAYER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\SONY\HOTKEY UTILITY\HKSERV.EXE
C:\PROGRAM FILES\DRAG'N DROP CD\BINFILES\DRAGDROP.EXE
C:\PROGRAM FILES\BROWSER MOUSE\BROWSER MOUSE\1.0\LWBWHEEL.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\PROGRAM FILES\ELECOM\WHEELUTILITY\ECIUHOOK.EXE
C:\PROGRAM FILES\DAP\DAP.EXE




193 :192だw:04/08/16 20:11
C:\PROGRAM FILES\INTERNET OPTIMIZER\OPTIMIZE.EXE
C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAM FILES\MSN APPS\UPDATER\01.02.0002.1001\JA\MSNAPPAU.EXE
C:\PROGRAM FILES\VENTURI2\CONFIGURATOR\VENTCFG.EXE
C:\WINDOWS\SYSTEM32\WINTIME.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\HOST32.EXE
C:\WINDOWS\SYSTEM\CTFMON.EXE
C:\PROGRAM FILES\INTERNET OPTIMIZER\ACTALERT.EXE
C:\PROGRAM FILES\POWERPANEL\PROGRAM\PCFMGR.EXE
C:\PROGRAM FILES\SONY\VAIO ACTION SETUP\VASERV.EXE
C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\VENTURI2\CLIENT\VENTC.EXE
C:\WINDOWS\デスクトップ\HIJACKTHIS.EXE
C:\WINDOWS\SYSTEM\PRINTER.EXE
C:\WINDOWS\SYSTEM\INTRON.EXE

194 :192だw:04/08/16 20:16
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: DAPBHO Class - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\PROGRAM FILES\DAP\DAPIEBAR.DLL
O2 - BHO: BHObj Class - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\NEM218.DLL
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\NEM219.DLL
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.2001.0001\JA\MSNTB.DLL
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll
O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll
O3 - Toolbar: Simple Speech Web Reader - {77600552-7D4E-4E82-8FCF-92B908D99D7C} - C:\PROGRAM FILES\SONY\SIMPLE SPEECH\SSPEECHBAR.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1041,ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\PROGRAM FILES\DAP\DAPIEBAR.DLL
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.2001.0001\JA\MSNTB.DLL


195 :192だw:04/08/16 20:17
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [OmgStartup] C:\Program Files\Common Files\Sony Shared\OpenMG\OmgStartup.exe
O4 - HKLM\..\Run: [AlpsPoint] C:\Progra~1\Apoint\Apoint.exe
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Program Files\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [Drag'n Drop CD] C:\Program Files\Drag'n Drop CD\BinFiles\DragDrop.exe /StartUp
O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [Elecom wheel extention] C:\Program Files\Elecom\WheelUtility\eciuhook.exe
O4 - HKLM\..\Run: [RegShave] C:\Progra~1\REGSHAVE\REGSHAVE.EXE /autorun


196 :192だw:04/08/16 20:17
O4 - HKLM\..\Run: [Venturi Configurator] C:\Program Files\Venturi2\Configurator\ventcfg.exe
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\WMPLAYER.EXE
O4 - HKLM\..\Run: [WinTime] C:\WINDOWS\system32\wintime.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\host32.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [MDM7] "C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE"
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\WMPLAYER.EXE
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Startup: PowerPanel.lnk = C:\Program Files\PowerPanel\Program\PcfMgr.exe
O4 - Startup: VAIO Action Setup (サーバー).lnk = C:\Program Files\Sony\VAIO Action Setup\VAServ.exe
O4 - Startup: 紙 2001.lnk = ?

197 :192だw:04/08/16 20:18
O4 - Startup: JSクイックランチ.LNK = C:\Program Files\Justsystem\JSLIB32\JSQLNCH.EXE
O4 - Startup: JSクイックサーチファイル 自動更新.LNK = C:\Program Files\Justsystem\JSLIB32\JSQSF32.EXE
O4 - Startup: Exif Launcher.lnk = C:\Program Files\FinePixViewer\QuickDCF.exe
O4 - Global Startup: ATOK15環境移行支援ツール.LNK = C:\Program Files\Justsystem\ATOK15\ATOK15PC.EXE
O4 - Global Startup: DXインストールウォッチャー.lnk = C:\Program Files\Aisoft\DxTools\INSTWTCH.EXE
O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O8 - Extra context menu item: Bookshelfで検索(&L) - res://C:\PROGRAM FILES\MICROSOFT REFERENCE\MICROSOFT BOOKSHELF 3.0\BSDEF.DLL/#1001
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O15 - Trusted Zone: *.searchmeup.cc
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.searchbarcash.com

198 :192だw:04/08/16 20:21
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O16 - DPF: {18000D07-72C4-11D4-B4BD-004026422A29} (Hot_net Control) - http://www.futomomo.com/photo/cab/Hot_net2.CAB
O21 - SSODL: AUHook - {BCBCD383-3E06-11D3-91A9-00C04F68105C} - C:\WINDOWS\SYSTEM\AUHOOK.DLL
O21 - SSODL: System - {4A32B3BC-69F6-432F-AA48-7DCEE26E5753} - C:\WINDOWS\system32\system32.dll
このスレの59さんと同じ症状なんですがホームページがwww.selfsearch.comに
指定されるなどステータスバーがdoneと表示されるリンク先がmoreporn.biz/new
/index.phpと表示されるなど。ほとんど59さんと同じ状態なんですが心配で一
度みなさまに解析されてからのが確実だと思いレスしました。

199 :名無しさん@お腹いっぱい。:04/08/16 20:30
鑑定お願いします。

Logfile of HijackThis v1.98.0
Scan saved at 20:13:21, on 2004/08/16
Platform: Windows XP SP2, v.2149 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2149)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\Program Files\Fujitsu\PCKARTE\PCKTESVC.EXE
C:\Program Files\Fujitsu\sa\api\SBRSVC.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\LTSMMSG.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Fujitsu\IndicatorUtility\IndicatorUty.exe
C:\Program Files\Fujitsu\Fujitsu Quick Touch\QuickTouch.exe
C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe
C:\PROGRA~1\Grisoft\AVG6\avgemc.exe
C:\WINDOWS\system32\ezSP_Px.exe
C:\WINDOWS\system32\ctfmon.exe
D:\バックアップ\常駐ソフト\regprot\regprot.exe


200 :199:04/08/16 20:33
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\system32\conime.exe
D:\バックアップ\常駐ソフト\xx\xx.exe
D:\バックアップ\常駐ソフト\twintail2\twintail2.exe
C:\PROGRA~1\Grisoft\AVG6\AVGCC32.EXE
D:\バックアップ\常駐ソフト\DonutP\DonutP.exe
C:\Documents and Settings\Owner\デスクトップ\HijackThis.exe

N3 - Netscape 7: user_pref("browser.startup.homepage", "http://home.netscape.com/ja/"); (C:\Documents and Settings\Owner\Application Data\Mozilla\Profiles\default\y5tfe8wv.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", ""); (C:\Documents and Settings\Owner\Application Data\Mozilla\Profiles\default\y5tfe8wv.slt\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [IndicatorUtility] C:\Program Files\Fujitsu\IndicatorUtility\IndicatorUty.exe
O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\Program Files\Fujitsu\Fujitsu Quick Touch\QuickTouch.exe
O4 - HKLM\..\Run: [LoadBtnHnd] C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe
O4 - HKLM\..\Run: [pifsky] c:\fjuty\pifsky\delfile.vbs c:\fjuty\pifsky\exe run
O4 - HKLM\..\Run: [AVG_CC] C:\Program Files\Grisoft\AVG6\avgcc32.exe /startup
O4 - HKLM\..\Run: [AVG_EMC] C:\PROGRA~1\Grisoft\AVG6\avgemc.exe

201 :199:04/08/16 20:34
O4 - HKLM\..\Run: [Outpost Firewall] "C:\Program Files\Agnitum\Outpost Firewall 1.0\outpost.exe" /waitservice
O4 - HKLM\..\Run: [imjpmig] C:\Program Files\Common Files\Microsoft Shared\IME\IMJP\imjpmig.exe /RemAdvDef /AIMEREG /Migration /SetPreload
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\system32\ezSP_Px.exe
O4 - HKLM\..\Run: [mp3infp] C:\Program Files\mp3infp\mp3infp_regist.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: regprot.lnk = ?
O4 - Global Startup: xx.lnk = ?
O8 - Extra context menu item: Bookshelfで検索(&L) - res://C:\Program Files\Microsoft Reference\Microsoft Bookshelf 3.0\bsdef.dll/#1001
O8 - Extra context menu item: Irvineで選択範囲をダウンロード - C:\PROGRA~1\IRVINE~1\ie_menu\iemenu3.htm
O8 - Extra context menu item: IrvineへすべてのURLを送る - C:\PROGRA~1\IRVINE~1\ie_menu\iemenu2.htm
O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe


202 :199:04/08/16 20:35
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin5.dll
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .pic: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin8.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1089893748026
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab


以上です。



203 :名無しさん@お腹いっぱい。:04/08/16 20:37
>>192-198
(1)WindowsUpdateをして下さい
>Platform: Windows ME (Win9x 4.90.3000)
>MSIE: Internet Explorer v5.50 (5.50.4134.0100)
Meだったら、自動的に重要な更新をインストールする設定にできるはずです。
重要な更新を全てインストールして下さい。

(2)アンチウィルスソフトを入れるか、オンラインスキャンをやって下さい

(3)エロサイト見たら・・・スレのテンプレを全て実行して下さい
エロサイト見たら…助けてください!Part37
http://pc6.2ch.net/test/read.cgi/pcqa/1092133896/1-11

Fixすべき項目があまりにも多すぎるので、まずはソフトに余計なものを
駆除してもらってからにしましょう。それが終わったらもう一度どうぞ。

204 :名無しさん@お腹いっぱい。:04/08/16 20:42
鑑定師さんがんばれ!!!

205 :名無しさん@お腹いっぱい。:04/08/16 20:44
無駄な貼り付けでスレを喰い潰してるな。思っていたとおりだ。

206 :名無しさん@お腹いっぱい。:04/08/16 20:49
>>199-202
えーと、何をして欲しいのかが良くわからないんですけど。
特に何も困ってはいないが、不審な点があったら指摘して下さいって感じですか?

ログを貼りつけた意図がわかりかねるので、返事が来るまで分析結果は保留。

207 :名無しさん@お腹いっぱい。:04/08/16 21:21
>>192
RESTOREフォルダで実行されてるプログラムが
限りなく怪しいんだが。


208 :203:04/08/16 21:29
>>207
回答するなら、怪しいなと思ったらちゃんと調べたら?
http://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=135
どこが怪しいんだよ( ´_ゝ`) 普通のプロセスだよ。

それ以前に、いっぱいトロイとかウィルスとかスパイウェアとか飼いすぎだから>>203

209 :名無しさん@お腹いっぱい。:04/08/17 01:34
>>192
以下の値はCWS.Yexe表しています。
O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\WMPLAYER.EXE
O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\WMPLAYER.EXE
ttp://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=233
を参考にして治療してください。WMPは再インストールした方がいいでしょう。

スタートアップエントリーにCWS(search.biz)の特徴が現れています。
下を参考にして治療しましょう。
O21 - SSODL: System - {4A32B3BC-69F6-432F-AA48-7DCEE26E5753} - C:\WINDOWS\system32\system32.dll
ttp://higaitaisaku.web.infoseek.co.jp/removesearchbiz.html

以下の値はカンですが、selfsearchの可能性が高いです。
Fixしたのち、host32.exeをごみ箱に移してください。
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\host32.exe internat.dll,LoadKeyboardProfile

以下は個人的にFixしたほうがいい項目です。
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: DAPBHO Class - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\PROGRAM FILES\DAP\DAPIEBAR.DLL
O2 - BHO: BHObj Class - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\NEM218.DLL
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\NEM219.DLL
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\PROGRAM FILES\DAP\DAPIEBAR.DLL
O4 - HKLM\..\Run: [WinTime] C:\WINDOWS\system32\wintime.exe
DAPIEBAR.DLL、NEM218.DLL、NEM219.DLLは再起動の後ゴミ箱に移して、
もう一度Ad-Awareを実行してごみ掃除をしてください。

210 :209:04/08/17 01:39
>>192
O15 - Trusted Zone:の項目はコントロールパネル、
インターネットオプションの信頼済みサイトの項目です。
危険なものが多いです。Fixせず、インターネットオプションから一旦クリアしましょう。

参考までに、
O15 - Trusted Zone: *.xxxtoolbar.com = xxxtoolbar
O15 - Trusted Zone: *.flingstone.com = Bridge
O15 - Trusted Zone: *.mt-download.com = NAVSCANNER32
O15 - Trusted Zone: *.blazefind.com = BlazeFind/Search Assistant
O15 - Trusted Zone: *.clickspring.net = PurityScan / ClickSpring

BlazeFind/Search Assistant(参考に)
ttp://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=137
PurityScan / ClickSpring(参考に)
ttp://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=206

211 :203:04/08/17 02:23
>>209-210
>O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\host32.exe internat.dll,LoadKeyboardProfile
このエントリですが、>>99とファイル名だけが異なるものと思われます。
>>99の時の相談者と症状が全く同じですので、おそらく原因ファイルと見ていいんじゃないかと。

>O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
>O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
これはRelatedだと思うのですが。(といっても確かSpybotで駆除できたと思いますが)

>O16 - DPF: {18000D07-72C4-11D4-B4BD-004026422A29} (Hot_net Control) - http://www.futomomo.com/photo/cab/Hot_net2.CAB
日本語ダイアラ(http://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=111)だと思います。

あと、>>209-210さんはかなり熟練した回答者さんとお見受けしましたので、質問させて下さい。
>O2 - BHO: DAPBHO Class - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\PROGRAM FILES\DAP\DAPIEBAR.DLL
>O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\PROGRAM FILES\DAP\DAPIEBAR.DLL
>O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
>O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
この辺のDAP関連のものについて、調べても「怪しいけど黒とははっきり言えない灰色」みたいな感じだったのですが、
もし何かDAP関連情報などを何かお持ちでしたら、後学のために教えていただいてもよろしいでしょうか?

212 :209:04/08/17 08:03
>>211
DAPについてですが、DAPマネージャーかも知れません。
その場合ははっきりいって白ですが、
問題がおきたら再インストールで解決できるタイプのものなので、一応Fix指示をしておきました。
言い訳がましいのですが、新しいソフトなどのエントリーは分からないことが多いいです。
その場合は大抵患者の方がきずくはずなので(エラー等)、
自分がFixさせた項目を覚えておき
患者がその主旨をもう一度伝えきた場合に指示しなおせばいいので、
一応削っておきました。灰色のものは黒の場合にシャレにならないので、
こういった指示をしたのですが少し横暴に写ったかも知れません・・・。

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
これは、確かAlexaというやつで害はありません。
Ad-Awareなんかでも簡単に拾えます。

O16 - DPF: {18000D07-72C4-11D4-B4BD-004026422A29} (Hot_net Control) - http://www.futomomo.com/photo/cab/Hot_net2.CAB
見落としてました・・・。URL見るとモロですね・・・。

213 :203:04/08/17 11:51
>>212の回答を見る感じだと、「熟練しているようだ」と思ったのはやっぱり勘違いだったのかな?という感じなんですけど。
(02・03エントリのFix指示は出すのに、何で08・09は残しておくのかな?と疑問に思ったので>>211で質問したのですが)

以下、>>203の指示を出すに至るまでの俺の経緯説明

>>192-196の人を>>133のフィルタで通した結果
http://www.hijackthis.de/logfiles/27aed707b97b9450af67ef4c6484d188.html
ここを見ても02・03のDAPエントリは「Safe」になっています…が、
09エントリでよくわからないexeファイルへのボタンが貼られていて、
本当に安全なエントリなのか?と首をかしげます。で、さらに調べてみる事に。

まずDAPはこのダウンロードマネージャーのようです(下のcomputercopsの情報から判明)。
http://www.speedbit.com/DAP7/DefaultT.asp

各項目を調べた結果。
>>O2 - BHO: DAPBHO Class - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\PROGRAM FILES\DAP\DAPIEBAR.DLL
http://computercops.biz/clsid-55.html → O BHO
>>O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\PROGRAM FILES\DAP\DAPIEBAR.DLL
http://computercops.biz/clsid-792.html → L TB
>>>O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
http://computercops.biz/clsid-795.html → X TB
http://www.pestpatrol.com/pestinfo/p/powerstrip.asp
なんとなくですが、J-wordと共通点(スパイウェアを機能の一部に組み込んでいるソフト)という印象を受けます。
黒と言える確証はないけど、かなーりうさんくさい。でも確実に黒ではないのでFix指示を今の段階ではまだ出さない方がよさそうだな。
(続く)

214 :203:04/08/17 11:51
>>213の続き)
エロサイトテンプレをやるなら、自分に覚えが無ければコントロールパネルからDAP関連のものを最初にアンインストールするはずだな。
アンチウィルスソフトも、アンチスパイウェアソフトもやった形跡が全くないな。
Axela-Relatedやら既出のアンチスパイウェアソフトで駆除できるエントリもあるな。
>>59さんと同じ症状なら、多分テンプレを単純にやっただけでは解決しない可能性が高いけど、
余計なFix指示は出さなくてよくなるから、こちらにとっても、Fix作業をする質問者にとっても、その方が楽だな。
というわけで>>203=「エロサイトのテンプレやれ」という指示を出す。

#回答者やる方は、きちんとわからない項目は全部調べてからFix指示を出しましょうよ。
#エラーが出るかもしれないとわかっていて、また相談に来たらその時直せばいいやってのは論外ですよ。

215 :名無しさん@お腹いっぱい。:04/08/17 21:38
堅いんだね。

216 :名無しさん@お腹いっぱい。:04/08/18 02:30
>>214
テンプレやっても、もう殆ど効果のない項目ばかりに見えるが・・・。
それよりも、WMPの再インストールを急がせた方が、
悪化させないためにもいいような気がするよ。

217 :203:04/08/18 03:07
>>216
このエントリは、WMP書き換えるウィルスじゃなくて、ただのダミーファイルだよ。
>O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\WMPLAYER.EXE
>O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\WMPLAYER.EXE
本当のWMPファイルのパスは、これのはず(人によって多少違うかもしれないが)
C:\Program Files\Windows Media Player\wmplayer.exe
>>99の時は、ファイル名が「internst32.exe」といういかにもシステムファイルっぽいダミーになっているだけ。
おそらく今回のWMPLAYER.EXEと中身は同じはず。エントリの内容も全く同じだし。
(ぶっちゃけた話、このFix指示と一緒になんでWMPの再インストール薦めてるの?ってのも謎だったんだけど)

テンプレやって効果のない項目ばっかり?嘘言っちゃいけないよ。
>O2 - BHO: BHObj Class - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\NEM218.DLL
>O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\NEM219.DLL
>O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll
>O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
>O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
少なくともこの辺は、SpybotとかAd-awareで検出・駆除できる項目のはずだよ。まだあるかもしれない。
CW.Yexeは、上の[xpsystem]があると駆除しても復活するエントリだから、アンチウィルスソフト次第では除去できるかもしれないなという感じ。
(あるいは、Spybotが確か8/10のアップデートで対応していたから、もうテンプレ作業で駆除できるのかもしれない)

218 :名無しさん@お腹いっぱい。:04/08/18 05:59
HijackThis見るやつは結局アホばっか
ttp://higaitaisaku.web.infoseek.co.jp/cgi-bin/cbbs.cgi?mode=all&namber=38640&type=0&space=0&no=0

219 :名無しさん@お腹いっぱい。:04/08/18 07:11
>>218
個人情報がだだ漏れですね。
まあ、アホが表面化し易いだけで、出来る人は沢山居ますよ。

220 :名無しさん@お腹いっぱい。:04/08/18 18:35
エロサイトスレから、情報部分のみ転載

http://pc6.2ch.net/test/read.cgi/pcqa/1092133896/471-473
症状:オレクシスという広告が出てくる。
CWShredder、Ad-aware、Spybotでも除去できない。

原因と思われるエントリ:
>O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNrd.dll
(参考:http://computercops.biz/clsid-1257.html
>O4 - HKLM\..\Run: [SysFu32 Windows Updater] sysfu.exe
>O4 - HKLM\..\RunServices: [SysFu32 Windows Updater] sysfu.exe

221 :名無しさん@お腹いっぱい。:04/08/18 21:10
エロサイト見たらスレでJAVAスプリクトが使えなくてフォルダの中身が表示されないと言っていた者です。
スキャンして見たので解析お願いします。

Logfile of HijackThis v1.98.0
Scan saved at 21:04:41, on 2004/08/18
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\HKEYMAN.EXE
C:\WINDOWS\PCTVOICE.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE

222 :221:04/08/18 21:11
C:\WINDOWS\SYSTEM\ATI2CWXX.EXE
C:\PROGRAM FILES\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAM FILES\CANON\MULTIPASS4\MPTBOX.EXE
C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAM FILES\PANASONIC\BTNUTIL\ABTNMON.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\SYSTEM\MPS.EXE
C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\RNATHCHK.EXE
C:\PROGRAM FILES\FT6000MS\CONFIG.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\IMEJPMGR.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAM FILES\LIVE2CH\LIVE2CH.EXE
C:\WINDOWS\デスクトップ\HIJACKTHIS.EXE

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: IDN Helper Object - {118CE65F-5D86-4AEA-A9BD-94F92B89119F} - C:\WINDOWS\DOWNLO~1\CNSMIN~2.DLL (file missing)
O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Hotkey] C:\WINDOWS\SYSTEM\hkeyman.exe
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [PCTVOICE] pctvoice.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe

223 :221:04/08/18 21:12
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [mps] C:\WINDOWS\SYSTEM\mps.exe /s
O4 - HKLM\..\Run: [MPTBOX] C:\PROGRA~1\CANON\MULTIP~1\MPTBOX.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKCU\..\Run: [ApplBtn] C:\Program Files\Panasonic\BtnUtil\ABtnMon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Configuration Utility.lnk
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: ブラクラでヤバいでチェック - C:\Program Files\BCP\check.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll


224 :221:04/08/18 21:14
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.clickspring.net
O16 - DPF: {B469C508-9A75-4A62-BFA9-62802D653A4B} (HanGamePluginJP15 Class) - http://down.hangame.co.jp/jp/dist/hgstart/HanGamePluginJP15.cab
O16 - DPF: {2C079F28-EE92-4700-A44B-AF5FA285FCCA} (HanGamePluginJP16 Class) - http://down.hangame.co.jp/jp/dist/hgstart/HanGamePluginJP16.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28177.cab
O16 - DPF: Yahoo! JAPAN MahJong Solitaire - http://tmp05.ops.mci.yahoo.co.jp/yog/yj/mjst3_x.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28578.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28578.cab
O16 - DPF: {B74F5519-5893-4F7F-974D-96E105A3C3A8} (KingDomLauncher Class) - http://www.hangame.co.jp/publish/do/HgDO.cab
O16 - DPF: {924DDE3B-68F6-49E8-B469-33FB198EDD73} (SagaLauncher Class) - http://www.hangame.co.jp/publish/bd/HgBD.cab
O21 - SSODL: AUHook - {BCBCD383-3E06-11D3-91A9-00C04F68105C} - C:\WINDOWS\SYSTEM\AUHOOK.DLL

以上です。

225 :名無しさん@お腹いっぱい。:04/08/18 21:34
>>221
エロ助の何番のレスがこのスレへの誘導になってるんだか教えてくれよ
その前後のやりとりを見ないといきなりログ貼られてもだわ・・・

それと
150 名前:145 投稿日:04/08/15 01:05 ID:db4A+bCg
アンチウィルスソフトは入ってないので入れてみます。

この件はどうなってるんだ?入れてみたけど出してみたのか?


226 :名無しさん@お腹いっぱい。:04/08/18 21:48
>>221-224さん
http://pc6.2ch.net/test/read.cgi/pcqa/1092133896/145 の人ですよね。
あっちでアンチウィルスソフト入れればってアドバイスしてるのは実は私なんですけど。
でも、アンチウィルスソフトを入れた形跡はないですよね。
あと、向こうのテンプレでいくつかソフトが紹介されてますよね。それもやってないですよね。

>>225さんじゃないけど、「え?」って感じですよ。アドバイスされた事はまずやりましょうよ。
予想通りと言うか、ウィルスに感染してますよ。まずはアドバイスされた事をやって下さい。

227 :名無しさん@お腹いっぱい。:04/08/19 08:19
>>220
推測で書くのはよくない。ここを見なさい。
下はエロ助スレ411さんの発言からのソース。

オレクシスの広告
ttp://higaitaisaku.web.infoseek.co.jp/cgi-bin/cbbs.cgi?mode=all&namber=39029&type=0&space=0&no=0

この掲示板発言の■39407のかずさんの発言を参考にしてみてください。


下はかずさんの発言のみのURL
ttp://higaitaisaku.web.infoseek.co.jp/cgi-bin/cbbs.cgi?mode=one&namber=39407&type=39029&space=75&no=0

228 :名無しさん@お腹いっぱい。:04/08/19 09:13
>>227のデータを参照にして照らし合わせてみると、
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNrd.dll
おれはオレクシスに間違いなさそうです。

これはちょっと違うものの可能性が高そうです。
O4 - HKLM\..\RunOnce: [sysfu32.exe] G:\WINDOWS\system32\sysfu32.exe
O4 - HKLM\..\Run: [SysFu32 Windows Updater] sysfu.exe
O4 - HKLM\..\RunServices: [SysFu32 Windows Updater] sysfu.exe

ソースになるかは分かりませんが・・・・。
ttp://www.google.co.jp/search?q=cache:UTQ1dH5LwrsJ:board.protecus.de/showtopic.php%3Fthreadid%3D10981+SysFu32&hl=ja&inlang=ja
ttp://www.google.co.jp/search?q=cache:OXO9dJtrpSMJ:www.frankn.com/Forum/thread1969.html+SysFu32+Windows+Updater&hl=ja&inlang=ja

229 :220:04/08/19 10:42
>>227
当然そこを確認した上で書いてますよ。そこを見た上での結論です。
(そこを見て、02エントリをFixしただけでは復活してしまうというのがわかる)

エロサイトスレで相談されていた方は、テンプレをきちんとやってらっしゃったので
深刻な問題エントリと思われるところはその02・04エントリのみでした。
これは推測ですが、おそらく04エントリのものはランダムネームで作成される
ものと思われるので、人によって04エントリのファイル名が異なる可能性があります。

あと、オレクシス関連はまだデータがないから、推測で書くなと言われると
誰も何も書きようがないんですけど。

>>228
検索した時にそこのドイツ語フォーラムに辿り着いたんですけど、
逆に言うと「ドイツ語フォーラムでしか発見できないファイルが、なんで
日本人のパソコンにあるんだ?」って思いますよね。
そういう理由でsysfu32.exeってのが臭いな、という結論に達したわけです。

230 :227:04/08/19 11:05
>>229
>>277の上のURLの患者さんのデータには
O4 - HKLM\..\RunOnce: [sysfu32.exe] G:\WINDOWS\system32\sysfu32.exe
O4 - HKLM\..\Run: [SysFu32 Windows Updater] sysfu.exe
O4 - HKLM\..\RunServices: [SysFu32 Windows Updater] sysfu.exe
に該当するものが全くないし、

O4 - HKLM\..\RunOnce: [sysfu32.exe] G:\WINDOWS\system32\sysfu32.exe
前からこれは日本でもHome Search Assistentの患者に割かし、
多く見られるエントリー。結論急いで間違ったらなんにもならんて。
自己満足ならそれでいいかも知れんけど
ちゃんとしたデータなら第3者がみても完全に納得するくらいのデータじゃないと。
とりあえず>>228さんのような人が出てくるようなデータでは完全には、程遠いとおもうんだけど。

それと最近気が付いたのですが、
O21 - SSODL: System - {4A32B3BC-69F6-432F-AA48-7DCEE26E5753} - C:\WINDOWS\system32\system32.dll
これは、search.bizのエントリーではなくsecure.htmlかも知れないです。
ttp://higaitaisaku.web.infoseek.co.jp/removereg32.html

231 :220:04/08/19 11:23
>>230
>O4 - HKLM\..\RunOnce: [sysfu32.exe] G:\WINDOWS\system32\sysfu32.exe
>前からこれは日本でもHome Search Assistentの患者に割かし、
>多く見られるエントリー。
じゃあ、どっちにしろ問題のあるエントリじゃん( ´_ゝ`) Fix指示を出す事に変わりはない。

それから、ここはアダルトサイト被害対策の部屋のHJTデータベースじゃないんだから、
誰が見ても納得するスパイウェア1つ1つのデータを作る必要性なんて、これっぽっちも感じない。
「HijackThisで、どれが問題あるエントリで、どれが問題のないエントリなのか」を見分けられる
情報があればそれで十分。

232 :名無しさん@お腹いっぱい。:04/08/19 13:32
>>230
「***search.biz (HJT DATABASE)」
ttp://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=3

233 :227:04/08/19 16:47
>>231
別のものだった場合対処法が大きく異なる可能性があるためです。
Fixする前にコントロールパネルから安全に削除できるなら、
それに越したことはないでしょ?

>>232
確かにそうなんです。だから確信はないのですが。

例えばこの患者の例を見てみてください、
http://pc6.2ch.net/test/read.cgi/pcqa/1092133896/490
この患者はsecure.htmを患っていたようなのですが、
オンラインスキャンでWINDOWS\SYSTEM32\system32.dll
の感染が分かりsystem32.dllを削除したら治ったそうです。

また最近【アダルトサイト被害対策の部屋】の掲示板を、
ROMっているとsecure.htmの症状の患者に今までのエントリーではなく
O21 - SSODL: System - {4A32B3BC-69F6-432F-AA48-7DCEE26E5753} - C:\WINDOWS\system32\system32.dll
これが多く見られるようになったことなんです。
確かに推測ですから今のところは患者と対話して
調べてみるのが一番いいと思います。

234 :220:04/08/19 20:00
あー、理解した。227氏=向こうのスレの「399 ◆qrpWVXxb/A」氏ですね。
私は向こうのスレの435ですよ。
>>233の指摘通り、オレクシスの人は確かにコンパネからの削除やったとは書いてないですね。
ttp://pc6.2ch.net/test/read.cgi/pcqa/1092133896/463
Fixする前にコンパネからの削除ができるならそれに越した事はないのはおっしゃる通り。
というわけで>>220をちょっと訂正

オレクシスの広告の原因エントリ(ただしこのエントリのみFixしても復活する)
>O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNrd.dll
(参考:http://computercops.biz/clsid-1257.html

詳細不明の有害エントリ
>O4 - HKLM\..\Run: [SysFu32 Windows Updater] sysfu.exe
>O4 - HKLM\..\RunServices: [SysFu32 Windows Updater] sysfu.exe

235 :220:04/08/19 20:19
あと、「患者との対話」に関して個人的な意見

エロサイトスレで相談してきた人の場合、結局アンチウィルスソフトさえ入れていれば
あっさり解決できた可能性が高いですし、入れていなくてもオンラインスキャンさえやってれば
相談するまでもなく解決していた可能性が高いじゃないですか。
そういう人と対話して情報を得ても、情報価値は低いと思うんですよ。
何故なら、「普通の人は、相談してきた段階で、アンチウィルスソフトを入れるなり、
少なくともオンラインスキャンは終えて相談にきているから」です。

2ちゃんねるでは、既出の話題って情報価値がないと思うんですよね。
対話方式で解決とかは、どちらかというと被害対策の質問掲示板みたいに、
「1つのスレッドで1つの質問」の形式のところでやって欲しいと思う訳ですよ。
「テンプレ全部やってから相談しる!」と私が野次を飛ばすのは、「既出の情報」を
できるだけ減らすためなんです。
(だから、テンプレをやり終わらないうちにFix指示は絶対に出さず、テンプレ作業が
終わったら初めて取りこぼしてないかどうかを確認する意味でFix指示を出す、って感じですかね)

対話方式の解決ってのは、間違いとは言いませんが場所違いなんじゃないか?と思います。

236 :名無しさん@お腹いっぱい。:04/08/19 22:55
◆qrpWVXxb/Aこのコテって確かあの時の

相当昔の人だな
曜日の人や天麩羅屋もいなくなってしまったのにまだ診断していたとは
相当のお人よしから推測するに下でオケー
初めてコテ付けた時も相当なお人よしだったしw
◆qrpWVXxb/A = 531=532=533=544氏

237 :名無しさん@お腹いっぱい。:04/08/20 11:20
現段階でもSpHjfixでしかHome Search Assistent完全にははなおせないぽいな

>>236
そういえば曜日の中の人いなくなるあたりから
急にスレの方向性が変わったような気がするよ
アホ回答や罵声ばかりでほとんどネタスレ

238 : ◆qrpWVXxb/A :04/08/20 22:13
>>235-236
署名なのに正体ばれてる・・・○| ̄|_

HijackThisの分析もいいけど本来の基本的な使い方を一つ。
システムが整え終わって健康の状態で導入して、
スパイウェアに感染する前に08と018以外(復活するため)の全ての項目に、
チェックを入れて右下のAdd checked to igonorelistを押して、
安全な項目をすべて無視リストに登録しておく。
その状態でScanすると、追加されたエントリーと残したエントリー以外は表示されなくなる。

そうすることで新たに追加された悪玉エントリーが分かりやすくなるだけでなく、
Fixする項目を間違う可能性もかなりの確立で減らせる。
これから導入しようと思っている健康な人にお勧め。

239 :220:04/08/20 22:51
>>238
( ・∀・)つ〃∩ ヘェーヘェーヘェー
あれですよ、たまにコテと見ると見境なく噛み付く人がセキュ板にもPC初心者板にもいるんで、
そんな人が出てきたら臨機応変に名無しさんでよろしくです。

実はSpywareBlasterのCustomBlockingList作ってるの私なんですけど、
今日ハッケソした外部CustomBlockingListに、>>213のこのCLSIDが入ってました。
>O2 - BHO: DAPBHO Class - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\PROGRAM FILES\DAP\DAPIEBAR.DLL
どうも、やっぱりDAP関連のエントリは灰色っぽいですね。
他にもGo'zillaとかその辺のもそのリストには入ってるんで、もしかしたらスパイウェア入りの
ダウンローダーなのかもしれないなーと思いました(と言っても確定情報はないですが)。

240 :名無しさん@お腹いっぱい。:04/08/20 23:39
>>239
ttp://higaitaisaku.web.infoseek.co.jp/blockdownloader.html

これの製作者のadultさんかいな?

241 :220:04/08/20 23:47
>>240
ちゃいますー
今SpywareBlasterスレで、外国のCustomBlockingList2つと、アダルトサイト
被害対策の部屋のCustomBlockingListの3つの免疫項目を合計した、
CustomBlockingListを作ってるんです。(免疫数は8/20現在、626個)
キッカケはこのスレの>>177さんの情報だったりしますが。

242 :名無しさん@お腹いっぱい。:04/08/21 06:03
>>236
曜日の人懐かしいねぇ〜、エロ助けスレの黄金時代ですな。
>>238さんも懐かしいねぇ〜確か珍○○コテだったけかな?

243 :715:04/08/21 06:38
http://pc6.2ch.net/test/read.cgi/pcqa/1092133896/l50
の715です。
鑑定よろ。

Logfile of HijackThis v1.98.0
Scan saved at 6:27:00, on 2004/08/21
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\RSNET\RSEDNCLIENT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RESTORE\RSTRUI.EXE
C:\MY DOCUMENTS\HIJACKTHIS\HIJACKTHIS.EXE
C:\WINDOWS\SYSTEM\IMEJPMGR.EXE


244 :715:04/08/21 06:39
再起動するたびにカジノのショートカットがデスクに自動追加&IE自動立ち上げされます。

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAM FILES\FLASHGET\JCCATCH.DLL
O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll
O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_JA_1.1.62-DELEON.DLL
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe


245 :715:04/08/21 06:40
再起動するたびにカジノのショートカットがデスクに自動追加&IE自動立ち上げされます。

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAM FILES\FLASHGET\JCCATCH.DLL
O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll
O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_JA_1.1.62-DELEON.DLL
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe


246 :715:04/08/21 06:41
上の誤爆でした。

O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKCU\..\Run: [Red Swoosh EDN Client] C:\Program Files\RSNet\RSEDNClient.exe
O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
O8 - Extra context menu item: FlashGetでダウンロード - C:\PROGRAM FILES\FLASHGET\jc_link.htm
O8 - Extra context menu item: FlashGetで全てダウンロード - C:\PROGRAM FILES\FLASHGET\jc_all.htm
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_JA_1.1.62-DELEON.DLL/cmsearch.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_JA_1.1.62-DELEON.DLL/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_JA_1.1.62-DELEON.DLL/cmsimilar.html
O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_JA_1.1.62-DELEON.DLL/cmbacklinks.html
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAM FILES\FLASHGET\JETCAR.EXE
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAM FILES\FLASHGET\JETCAR.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.clickspring.net
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/ja/deleon/1.1.49-deleon/GoogleNav.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/jp/win/QuickTimeInstaller.exe


247 :715:04/08/21 06:42
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: Yahoo! JAPAN Shogi - http://yog37.games.mci.yahoo.co.jp/yog/yj/shgt4_x.cab
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.187.110/winsearchie32.chm::/winsearchie32.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://c:\nosuch.mht!http://www.awmdabest.com/bltd/124.chm::/file.exe
O18 - Protocol: ndwiat - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\SYSTEM\WIASCR.DLL
O18 - Protocol hijack: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol hijack: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\SYSTEM\urlmon.dll
O18 - Protocol: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\SYSTEM\urlmon.dll
O18 - Protocol hijack: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol hijack: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\SYSTEM\urlmon.dll
O18 - Protocol: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\WINDOWS\SYSTEM\urlmon.dll


248 :715:04/08/21 06:43
最後かな。

O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - Protocol hijack: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B}
O18 - Protocol: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - Protocol hijack: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6}
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\SYSTEM\ITSS.DLL
O18 - Protocol: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - C:\WINDOWS\SYSTEM\INETCOMM.DLL
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol: vnd.ms.radio - {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O21 - SSODL: AUHook - {BCBCD383-3E06-11D3-91A9-00C04F68105C} - C:\WINDOWS\SYSTEM\AUHOOK.DLL
O21 - SSODL: OLE Automation Module - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - (no file)



249 :715:04/08/21 06:43
何が何やらサッパリ分かりませんがよろしくお願いします。

250 :名無しさん@お腹いっぱい。:04/08/21 10:14
>>243-249
向こうのスレで野次が飛んでいると思いますが、多分あなたはその意味が
理解できていないと思うので、わかりやすく解説。

(1)アンチウィルスソフトが入っていません。
せめてオンラインスキャンぐらいやってみて、ウィルスとして検出されるものが
ないかどうかを確認してみてください
(2)>SPYBOTは元のページから落とせません。
Spybotは色々なページにミラーサイトがあります。検索して別のページから
落としてみて駆除してみてください。
(3)Ad-awareは、Ad-awareSEを使ったのか、Ad-aware6を使ったのかわかりませんが、
もしAd-awareSEを使っていないのなら、Ad-awareSEを使ってみてください。

Fix指示を出すのは、上の3つが終わってからで。

251 :250:04/08/21 10:46
蛇足
>O4 - HKCU\..\Run: [Red Swoosh EDN Client] C:\Program Files\RSNet\RSEDNClient.exe
http://www.pestpatrol.com/pestinfo/r/red_swoosh.asp
http://computercops.biz/startuplist-2991.html
あなたはP2Pソフトを使えるようなセキュリティじゃありません。

「Flashget」「スパイウェア」で検索した結果
http://www.google.co.jp/search?hl=ja&ie=UTF-8&q=FlashGet+%E3%82%B9%E3%83%91%E3%82%A4%E3%82%A6%E3%82%A7%E3%82%A2&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=

>「アプリケーションの追加と削除」に怪しい名前は見当たらないようです。
あなたは自分で入れた覚えがあるからそう言っているんでしょうけど。
上の2つは、アプリケーションの追加と削除から必ずアンインストールする事。

252 :250:04/08/21 10:51
順番としては、先に>>251「アプリケーションの追加と削除」
その後、>>250のエロサイトスレのテンプレ作業の残り

念のため確認。

253 : ◆qrpWVXxb/A :04/08/21 21:48
>>ALL
関係ない話かもしれませんが、
正直自分も最近、私事が忙しく引退を考えています。

そこで手見上げもって来ましたw
http://pc6.2ch.net/test/read.cgi/pcqa/1092133896/831

>>242
そうですw ノシ
もしかしてコテ譲ってくれた方ですか?あの時はどうもですw
エロ助けスレの黄金時代は本当に懐かしいですね。
曜日の人は要ないと要るでは確かにスレの空気が全然違いますね。

254 :243:04/08/22 03:16
>>250さん
レスサンクスです。
spybotを落として使って駆除しました。その前にもAd-awareSE使いました。あとは
で、トレンドマイクロのオンラインスキャン使ったら感染ファイル数983。
駆除可能でないのがTROJ_ECURE.Aとそれに似た名前の物がほとんど。あとの駆除可能なものがVBS_REDLOF。
REDLOFは駆除ソフト持ってて駆除していたんですが”失敗”するのが一つありました。

あとflashgetはスパイウェアだったんですね。ダウンロード履歴を送信してるんですかね?
早いんで重宝してるから消したくないんだが、消さなければ駄目ですかね?

Ad-awareSEで、何回やってもcoolsearchwebが出ます。さらに放って置くとソフトを落とすポップアップが出て困る。
カジノのIEも勝手に立上がるんですが・・・。
感染ファイル多すぎですね。

255 :名無しさん@お腹いっぱい。:04/08/22 05:46
>>254
ええと、あなたはいろんなとこに書き込むのやめてくれませんかね?

256 :天婦羅屋:04/08/22 06:53

       ∧         ∧
        / ヽ        ./ .∧
     /   `、     /   ∧
    /       ̄ ̄ ̄    ヽ    まぁ、いいじゃないですか
   /:::::::::              .\      大目に見てあげましょう。
  /:::::::::: ヽ-=・=-′ ヽ-=・=- ∧/           ∧
  ヽ:::::::::::    \___/   / ヽ          / ヽ
    ヽ::::::::::::::    \/    /   ヽ_____/  ヽ
  /            /                \
 |            /                   ヽ
 |            '''''"´)   ●   \─/  ●   |'´)
  \           -‐´         ヽ/       /´
   |       |   \                  /

257 :250:04/08/22 11:39
>>254
エロサイトスレに書きこんでたからそっちでレスしたぞ

ここはお前の日記帳じゃ(AA略

258 :名無しさん@お腹いっぱい。:04/08/22 12:44
>>242 と >>◆qrpWVXxb/A
黄金時代というより、
佐世保の地雷による地獄な日々じゃないのかw
たしかに懐かしいことは確かだが

259 :名無しさん@お腹いっぱい。:04/08/22 13:08
>>257
残念ながらウイルススレにも・・・

260 :名無しさん@お腹いっぱい。:04/08/22 16:04
例の佐世保の地雷ふんじゃったみたいなんですけど助けてください。

って書かれただけの質問が相次いだ時期か・・・。
あの頃は回答者も質問者も本当に地獄だった。
そんな状態のほとんど荒らしの回答者に回答していた
珍○○コテは実は荒らしコテハンw
サッカー始まったんでそっちみますなんてやつの
ログを診て治療していたしwww

>>253
上に書いたのは半分冗談として
引退するならしょうがないけどもし継続して診断するのなら
そのコテは頃合をみて捨てなよ
やっぱそのコテはまずいってwww

261 :名無しさん@お腹いっぱい。:04/08/23 08:38
ここの人は親切過ぎるな。
お人好し過ぎて自分が疲れてしまうタイプ。
今は自分の勉強を兼ねているからいいんだろうけど、
大半が無駄な書き込みばかり。
このままじゃ続かないよ。

262 :名無しさん@お腹いっぱい。:04/08/23 13:49
ここは>>1の日記帳みたいなもの。独りよがりな行動で
人が寄ってくると思っている。だから叩かれる。

263 :名無しさん@お腹いっぱい。:04/08/23 19:42
ここの分析師は精神分裂症みたいな発言が多くて危ういな
この辺りはやり取りは特にそう感じざるえない
>>220
>>227-234

正直読んでみると安全に治したいのかFixしまりたいのか分からない

といってもレジストリを弄るよりFixはそんなに神経質になる必要ないわけだが
再起動後に問題があればRestoreで簡単に戻せるわけだし
しかし正常のエントリーを見わける方が大変とはよくいったものだ
ブランクがあると02のBHO関連は殆ど黒に見えてくる

264 :220:04/08/23 20:16
>>263
>O4 - HKLM\..\RunOnce: [sysfu32.exe] G:\WINDOWS\system32\sysfu32.exe
>O4 - HKLM\..\Run: [SysFu32 Windows Updater] sysfu.exe
>O4 - HKLM\..\RunServices: [SysFu32 Windows Updater] sysfu.exe
テンプレも全部やっている(と確認できる)にもかかわらず、
HijackThisにこの項目がある場合には、Fix指示でOKでしょ。
あくまでも「オレクシス」のものかどうかはまだ不明ってだけで。だから>>234で訂正。

というか、後で読み返してみたら>>230が言ってる事はおかしいな?
この04エントリが仮に「Home Search Assistant」関連エントリの可能性が
あるんだとしたら、コンパネから削除なんてやっちゃダメじゃん(;´Д`)

265 :名無しさん@お腹いっぱい。:04/08/24 19:33
レベル低いぞここ。外国のフォーラム2、3年ROMってろ

266 :名無しさん@お腹いっぱい。:04/08/24 22:48
>>265
ま、言うだけなら誰でもできるからな

267 :263:04/08/25 01:26
>>264
236の発言はちょっと失礼だったね

>>230は断言してないところをみると
多く見られるとはグループで出てくるという意味だろう・・・たぶん
全然関係ないものでも複合感染した時によくグループ見かけるエントリーがある

Home Search Assistantっとよく一緒に見かける
Home Search Assistantのエントリーだ
意味では上の方で下の方ではないと思う

誰かの作成したデータを丸々使うなら別だが
灰色のデータや未知のデータを探るのはかなり困難なものだよ(現実に生贄が必要)
それが嫌で引退したのだけど
現役でやっている人は尊敬するよ
頑張りな

268 :名無しさん@お腹いっぱい。:04/08/25 01:36
>>267
そういえばHome Search Assistantも生贄がいて、
実際本家でも海外でもコンパネから削除してログ取り直して
あれ?ってことで有名になったんだったな。(しぶと過ぎる凶悪さもあるが)

Home Search Assistantのエントリーで
ハッキリしているのは日本語環境では意味がないが、
R1とR2のエントリー(かなりうろ覚え、参考にしちゃ駄目)で
後は確かほとんどランダムネーム

しかしなんで日本のログにはR1、R2、020あたりが出ないんだ!
最近の凶悪なやつはここらなのに・・・。
本当アッタマクル

269 :名無しさん@お腹いっぱい。:04/08/25 01:39
Home Search Assistantは日本では治せないの?

270 :263:04/08/25 01:53
>>269
治せると思うよ一応
治った人いるみたいだし

あそこの住人だから思うのだけど
ところでこのスレを今一番必要としているのは
ダウソ板の住人かも知れないw
本家ではny使いの治療は御法度だけど、
今ny関係のウイルスに一番興味があるんだよな実はwww

271 :268:04/08/25 02:03
>>270
生贄さがしですかwwwwww

たしかにny関連のウイルスの治療って、
もともとny自体が日本に密着したものだから、
日本語環境独自のエントリーの収集にはもってこいかも知れませんね。
やっぱり一応はセキュ板と本家の法律で御法度なんだろうけどw

272 :名無しさん@お腹いっぱい。:04/08/25 02:08
>>270
ny関連を直すと、野次馬がうるさそーだなぁってのが心配なんだよね。
実際には、nyのウィルスだのトロイだのってのは、おそらく日本で最先端(?)の
ウィルスなりトロイだろうから、HijackThisエントリで出てくるのか出てこないのかとか、
SpywareBlasterとかで防げるのかとか、そういうのは見てみたいってのはある。
(被害対策の部屋のデータベースや掲示板には、建前上絶対出てこないわけだしね)

でも、nyやってるのにアンチウィルスソフトも入ってなければ、
CWShredderもSpybotもAd-awareもやった形跡がないってのは勘弁だな。
そんなもん感染して当たり前だし、そんな知識でnyやるのは100年はえーって事で。

273 :268:04/08/25 02:19
>>271
生贄さがしではなく
実験体ですよwwwwww
すみませんジョークです

>>272
【警報】Winnyを狙ったワーム・ウイルス情報 Part25
http://tmp4.2ch.net/test/read.cgi/download/1093270545/

この板の過去スレや今のスレ除いてみw
セキュリティ対策は別にしても
ひっかっかるのも個人の問題としても
アンチウィルスソフトがいかに無力か分かる時があるwww
あとHijackThisには必ず出ると思うよ
あやしいプロセス走ってることがほとんどだしwww

アンチウイルスやCWShredderもSpybotもAd-awareやっちゃったらもったないジャン
分かる機会を1つ失っちゃうしwww(一つの考え方としてねw)

274 :名無しさん@お腹いっぱい。:04/08/25 02:26
いっそあれだ。「エロサイト見たら・・・助けて下さい」スレの姉妹スレとして

「nyやってたら・・・助けて下さい」スレ@Download板

を立ててみて、nyユーザーのサンプル取ってみるか?
で、サンプルが集まったらこのスレへ持ってくる、みたいな感じで。

>>273
うーん、でもテンプレで直る範囲のものは、見ると「またこれかよ(;´Д`)」になるぞ。
nyやってる連中は、テンプレやってもすり抜けそうな強力なのを持ってそうだ。

275 :名無しさん@お腹いっぱい。:04/08/25 02:28
268 = 263 ?

276 :263:04/08/25 02:44
>>275
違うすまん>>268にレスしようとして
名前欄に2人のレスアンカーをメモっといたら
そのまま確かめずに記入してしまったようだ
>>273の268は = 自分263
本物の268すまぬ m(_ _)m
そういえばかなり前にもこんなミスしたっけ
しかもHijackThisの回答で患者の名前の数字書いて回答しちゃってwww
あの時はさすがに血が引いたwwwwww

>>274
あんまりスレ増やすと荒らしと間違われるから
それはやめといたほうがいいかもね
それにもうとっくの昔に俺引退しているしw

277 :名無しさん@お腹いっぱい。:04/08/27 13:14
ちょっと下がりすぎなんでネタ提供。
HijackThisを提供しているMerijn.orgが、ミラーサイトに一時避難中です。
ミラーサイト
http://www.richardthelionhearted.com/?url=merijn.richardthelionhearted.com

前から提供されているツールですが、HijackThisで解析する人にとって、
ここでダウンロードできる「BHOList」はかなり有益なツールです。
Tony Kleinの提供するBHOList、ToolbarListをダウンロードして一覧表示
できますので、ゾヌフィルター使っている人はこのデータを入れるとさらに良くなるかと。

278 :名無しさん@お腹いっぱい。:04/08/29 00:27
http://pc6.2ch.net/test/read.cgi/pcqa/1093140773/845-852

気になるエントリが1つ。
>O4 - HKCU\..\Run: [Tars] C:\Documents and Settings\Owner\Application Data\utwb.exe
このエントリ、どうも怪しいのだがググっても情報が出てこない。
http://www.google.co.jp/search?hl=ja&ie=UTF-8&q=Tars+utwb.exe&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=

気になっているのは、このエントリの出ている人が全員富士通のパソコンであること、
何らかのプレインストールソフトが入っていることだ。
できれば、Tarsエントリのある人の情報をもらいたい。

279 :名無しさん@お腹いっぱい。:04/08/29 00:38
[Tars]についてわかっている事を整理

1.富士通のプレインストールパソコンに入っているエントリらしい
2.ノートンではアドウェアとして検出されるらしい(>>111)、ただし検出名不明。
3.プロパティで調べても会社名は不明だが、何らかのプラグインらしい
http://www.google.co.jp/search?q=cache:NB4tFRnl5wwJ:higaitaisaku.web.infoseek.co.jp/cgi-bin/cbbs.cgi%3Fmode%3Dal2%26namber%3D16570%26rev%3D%26no%3D0%26KLOG%3D21+Tars+utwb.exe&hl=ja

こちらで情報を得たいものは
(1)何のプラグインソフトなのか?
(2)Fujitsuのパソコンにプレインストールされているものなのか?
(3)心当たりはあるか?(nyやってた、エロサイト見たなど)
(4)症状として具体的に飛ばされるページはどこか?
(5)その他気になる点などなど
よろしくお願いします。

280 :ぼるじょあ ◆yBEncckFOU :04/08/29 00:43

                ∧_∧   / ̄ ̄ ̄ ̄ ̄ ̄ ̄
              ∧(  ・3・) < (・3・) エェー よいこの質問待ってるYO!
            ∧( ⊂    ⊃ \_______
          ∧( ( つ ノ ノ
        ∧( ( つ (__)_)
      ∧( ( つ (__)_)
    ∧( ( つ (__)_)
  ∧( ( つ (__)_)
 ( ( つ (__)_)
 ( つ (__)_)
 | (__)_)
 (__)_)

281 :ぼるじょあ ◆yBEncckFOU :04/08/30 22:04
   ∧∧∧∧∧∧ ∧
  ( (・( ・(・ ( ・3( ・3)     
  (つ(つ/つ//  二つ
ハァ─) .| /( ヽノ  ノヽっ ─・・・
   ∪∪とノ(/ ̄ ∪


               ∧
 ((  (\_ ∧ ∧ ∧ ∧ 3)っ
   ⊂`ヽ ( ・3・) _)3・) )  ノノ  よい子の質問
  ヽ ⊂\  ⊂ )  _つ
スゥ──(/( /∪∪ヽ)ヽ) ノ ──
      ∪ ̄(/ ̄\)


     (\  ∧ ∧   カッ
      < `( ・3・)       待ってるYO
       \ y⊂ )
       /    \
       ∪ ̄ ̄ ̄\)

282 :名無しさん@お腹いっぱい。:04/08/30 23:23
回答者向け整理情報

http://pc6.2ch.net/test/read.cgi/pcqa/1093816017/191-199

向こうのスレの>>198のぼるじょあ氏、>>199の回答者さんへ

>O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
↑オレクシス関連。FixOK
>O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\questmod.dll
↑TROJ_MOJIAL.A(http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_MOJIAL.A
>O2 - BHO: (no name) - {A3DFDA85-1D92-4E28-8C0C-522574ACDC8A} - C:\WINDOWS\System32\msacrohlp.dll
↑Adware.IESP.mht/CasinoPalazzo foistware(http://www.bluestack.org/Iesp.Mht?show_comments=1
>O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
↑eXact Advertising(http://www.doxdesk.com/parasite/BargainBuddy.html

あと、向こうの>>203のこの指摘はあってます。TonyKlein's BHO Listにしっかり載ってました。

>203 名前:189 投稿日:04/08/30 21:44 ID:???
>O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
>O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
>O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
>
>自信がないのですがeXact Advertisingっと言うものかも知れないです。
>上のリストに合わせて追加しておきます。
>
>eXact Advertising
>ttp://www.doxdesk.com/parasite/BargainBuddy.html

このエントリは情報なしのため不明。
>O2 - BHO: (no name) - {39DF652E-CC4F-26E2-D505-11557CA07441} - C:\WINDOWS\System32\lsktmcol.dll
ランダムで作られたエントリなのかな?

283 :282:04/08/30 23:47
参考情報:SpywareBlasterの対応状況

2ch版CustomBlockingListで対応済のもの
>O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
>O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\questmod.dll
これらは、通常のSpywareBlasterを入れていても、CustomBlockingListを入れていないと防げない。

>>282のその他のエントリは全て未対応のため、作業場へPickup。
http://jbbs.livedoor.com/bbs/read.cgi/computer/15366/1092108107/25

284 :向こうの189:04/08/31 00:45
向こうを見てきたら2つほど見落としてました。未熟です。
自分も未熟者ですが参加していいでしょうか?

>O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
>O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
>O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
これなんですがBargainBuddyだと思うんですが

>O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
BargainBuddyとこれ(Vx2.BetterInternet)ってセットに出てくることが、
昔から多かったようなきがするんです。
オレクシスとの関係を調べてきたのですが確信が得られませんでした。
どちらにしてもAd-awareで対応していると思いますので新種の可能性もあるかも知れません。
Vx2.BetterInternetには専用の駆除ツールが確かあったと思うので、
試してみればよっかったかも知れません。(回答者失格です・・・)

Vx2.BetterInternet駆除ツール
ttp://download.broadbandmedic.com/

285 :282:04/08/31 02:24
>>284
02エントリ(BHO)、03エントリ(Toolbar)を検索する場合には、
>>277のMerijnのミラーサイトからBHOListをダウンロードして使うといいと思いますよ。
TonyKlein's から最新版のリストを自動的にダウンロードしてくれますから。

もう1回検索してみたら、例のオレクシスエントリもちゃんとBHOListに載ってますね(;´Д`)
>O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
CLSID: {00320615-B6C2-40A6-8F99-F1C52D674FAD}
Status: X - Spyware/Malware
Filename(s): localNRD.dll
Description: Transponder parasite variant
Link: http://www.doxdesk.com/parasite/Transponder.html

Merijn偉いなぁ・・・と再認識。

286 : ◆qrpWVXxb/A :04/08/31 05:29
>>282さん
分析お疲れ様です。これからもよろしくお願いします。m(_ _)m

>>284さん
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
ってVx2.BetterInternet(被害者の部屋データ)関係ですか?
たしかに駆除ツールが効くかどうかとか少し気になりますね。
現時点ではFixで患者が治ったようですので>>282さんの意見で、
取り合えず▲Transponder parasite variantで登録しておきますね。

287 :エラーで2つに分けました ◆qrpWVXxb/A :04/08/31 05:30
自分のフィルターですが今思うと02のBHO関係がめちゃくちゃ弱いですね。
ttp://computercops.biz/CLSID.html
上を参考に取り合えずBHO関係をこれから登録してみようと思います。
誤字などの訂正も含めて水曜日にアップしようと思います。(報告までに)

288 :282:04/08/31 08:32
>> ◆qrpWVXxb/A 氏
>>285で紹介しているMerijnのBHOListは、まさに>>287の最新BHOList、
ToolbarListを自動で落としてくれる優れものなんですよ。
テキストファイルに一覧保存する事もできます。Merijn偉い!
おそらく、これを使って作業されると非常にはかどりやすいかと思います。

参考までに、8/30時点で
BHOList937(有害546、正当314、情報があるが未評価70、未知のもの7)
ToolbarList422(有害186、正当198、情報があるが未評価35、未知のもの3)
これだけの結構な量があるので、あまり無理しない方がいいです(;´Д`)

289 : ◆qrpWVXxb/A :04/09/01 06:58
>>288
BHOListの登録やっぱ無謀だったようです・・・_| ̄|○
数の方もそうなのですが、dllファイルの名前だけを書いて
マル○×判定すれば済むものでないのが沢山あるのが敗因です。
それでも少しは登録しなければ思い登録を始めてます。

それと個人事ですが今日用事が出来てしまい申し訳ないのですが
思ったより完成度の低い形でゾヌフィルターをアップします。
誤字を修正し一応最近のデータを加え、
少しばかり02、03をパワーアップさせたものです。
回答する方や回答者を目指す方や患者で困っている方などに、
自己責任で自由に活用なさってくださると幸いです。

下のロダをお借りしました。
http://www.uploda.org/
5781.zip

290 :名無しさん@お腹いっぱい。:04/09/01 07:36
>>289
乙華麗
マイナーなツールに加え重いぞぬ
実際にこのフィルター使ってるのって少なそうだけどなw
向こうのスレにも知らせておいたぞw

291 : ◆qrpWVXxb/A :04/09/01 17:13
>>290
自分で作っておいて何なんですけど、使っている人たぶん少ないでしょう。(w
もといいこのツールがゾヌ2を使用した状態でなおかつ
2ch内でしか効果を発揮しないのが一番の原因でしょう。(他にもありますが)
もっといい形でHijackThisと連携できたりテキストを張っただけで、
悪い状態が分かるようなエディッター型式のものなら、
使いやすいかも知れません。(作るスキルないし時間もない・・・_| ̄|○)
あつかましいですけど誰かが引き継いでくれて、
なおかつ今の型式ではないけど一瞬で結果の詳細が分かるものが理想ですね。

292 :名無しさん@お腹いっぱい。:04/09/01 18:18
なぜ>>1はこのスレを立てたんだ?
はじめは本家の方のDB登録や初心者向けに
何か協力するものかと思ったが何もしてないし
ただHijackThisが見たかっただけなのか?
回答者向けに他所から集めた解析済みの情報を載せるだけなら要らないんじゃん?

それと>>1見つけたwww
http://higaitaisaku.web.infoseek.co.jp/cgi-bin/cbbs.cgi?mode=all&namber=3699&type=0&space=0&no=3

>>291
1の見つけ先を見るとだしに使われたのかもなw

293 :名無しさん@お腹いっぱい。:04/09/01 18:37
>>292
過去のエロスレの流れ見たら、ゾヌフィルターが欲しいだけでこのスレをたてた
みたいだな。いささか独りよがりな気があるが、継続していけばいいスレになるんじゃないか?
Hijackのログを見ることが趣味のような奴しか集まらないと思うが。

294 :1:04/09/01 18:48
>>292
スレ立てた理由
HijackThisのログ解析で、ミス診断する人をできるだけ減らすため。(自分含む)
質問者もある程度自分でHijackThisログを判断できるようにするため。

当初は提供してもらったゾヌフィルターだけだったが、その後にHijackThisLogFileを発見、
さらにその被害対策のスレではその日本語版を作ってくれる人まで出てきてくれた。
(こういうHijackThis解析ツールが色々出てくる事が、スレ立てた当初からの願いであり狙い)
日本語版解析ページの充実は非常に待ち遠しいし、俺の方で手伝える事があったら手伝いたいね。

解析済情報をここに載せるのは、回答者用。ゾヌフィルター入力項目のピックアップのため。
エロサイトスレでは流れが速すぎてすぐdat落ちするからこっちでピックアップしてる。

HijackThisのログそのものはどうでもいいが、まだ見知らぬスパイウェアエントリは是非見たいね。
被害対策の部屋よりも、ComputerCopsよりも早く情報が2chで手に入ったらカコ(・∀・)イイじゃん。

295 :1:04/09/01 19:02
あとね、本家の方のDatabase登録はね、なんとなく登録しづらいんですよ(;´Д`)
俺は向こうの回答者って訳でもねーし。向こうの回答者の方が登録した方がいいでしょ、って事で。

興味はあくまでも「どのエントリはFixしなきゃいけないものか、どれはFixしてはいけないものか」だけだから
どのスパイウェアがどういうエントリなのか、ってのにあまり興味が無いってのもある。
2chと違って向こうは不確実情報は載せられないし、かといって確実と思えるまで2chでは確かめられないし。

HJT databaseは誰でも登録可能みたいだから、俺が登録しなくても住人の誰かが登録すればいいんじゃねーの?
>>1は登録しないけど」って言ってる>>292自身が、HJTdatabaseへの登録が必要と思うなら登録すりゃいいと思うよ。

296 :292:04/09/01 19:22
>>1
お前さんの言葉にはウソが余りに多い
しかもかなり独りよがりな意見だ
しかもそれが現状のスパイウェアの駆除方法から逸脱している
フィルターを使ってみて分かったお前さんは解析に向かない
このフィルターは初心者でもいかに安全に駆除させるかに重点が置かれている

例えば下のエントリーが見つかった患者さんにお前さんはなんて答える?
Fixしろか?テンプレやれか?結果が見えてるから分かると思うが
O2 - BHO: BHObj Class - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\NEM218.DLL
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\NEM219.DLL

297 :1:04/09/01 20:39
>>296
http://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=2
ってことは、こうやって考えられるよね。
・コンパネからの追加と削除をやってない人(=テンプレをやってない人)なのかな?
・駆除してもBridgeなどでまた再インストールされてしまっている人なのかな?

で、まずテンプレをやっていれば当然出てくるべきエントリを探してみる。
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL ←Spybotはやったかどうか?
04エントリに出てくるアンチウィルスソフトのエントリはあるかどうか?
アンチウィルスソフトは古いものではないかどうか?最新の定義にできるものか?
オンラインスキャンだけなら、16エントリにオンラインスキャンのエントリはあるかどうか?
CWShredderで駆除できるはずの、CWS系エントリはないかどうか?
↑この辺のチェックで引っかかる場合には、「テンプレ本当にやった?」と確認し、回答を一旦ストップ。
>>192-198 → >>203がいい例ですかね。)

テンプレをやっても再度復活してしまう、コンパネから何度削除しても復活してしまう、
こういう場合はやむなくFixして対処するしかないでしょ。
と言ってもこの種のは他のスパイウェアエントリが04とか16にあるはずなので、
他にも怪しいエントリがないか調べてからの話ですけどね。

回答者によって色々な思想があるだろうけど、俺の場合はこういう感じで見てますよ。

298 :1:04/09/01 20:52
蛇足ですが

>>296のように、一部のエントリだけピックアップされて、「Fixしろか?テンプレやれか?」と問われても
実際にテンプレをやったかどうかのデータがない状態じゃ、回答しようがないですぜ。
「テンプレやれ」という指示を出すのは、「テンプレをやってない」のがHijackThisからわかるからですぜ、旦那。

「木を見て森を見ず」って言葉があるけど、そうならないようにご注意を。

299 :名無しさん@お腹いっぱい。:04/09/02 02:05
>>294->>298
治療する意思が全く見えね〜〜〜www
しかも言ってること矛盾だらけだw
やっぱり何のためにHijackThisがあるかもう一度
はじめから考えた方がいいぞw
ログそのものがどうでもいい奴がこんなスレ立てるわけがないしw
ウソと本当を見抜くツールでないことは確かだwww

300 :299:04/09/02 02:17
Fixするだけの話で持っていくけど
解析なんかしなくてもログのFix場所なんて
経験つめば確か見ただけで分かるんだよな
もちろんその場合なんのスパイウェアか
分からない事が多いのは断っておく
それとこのフィルターを作った奴は何のために作ったんだ
事細かくスパイウェアの名前まで表示されるし
亀レスでも良いから本人に真相キボンヌ

301 :299:04/09/02 03:34
>>291
連投になって悪いが
お前に本気で言いたいことがある
正体もはじめのフィルター自体の
中身の記載を解析してみて大体分かった
上では真相キボンヌとふざけて書いたが
何かこれ自体に目的があったんじゃないのか?
待ってるから本気で返信たのむわ

302 :1:04/09/02 19:22
>>299-301
あなたが「治療する意思が全く見えね〜〜〜www」って思うのは、
多分単純にあなたと俺の考え方が全く違うからだと思うよ。

>Fixするだけの話で持っていくけど
そもそも、Fixするだけで治療しようなんてこれっぽっちも思ってないし。
HijackThisはできるだけ使わずに済むように「テンプレの各ソフトやろーね」って言ってる訳で、
それでも解決しないもんは、しゃーないからHijackThisでFixするって感じかな。
(で、質問者がHijackThisのログを貼る前に、ゾヌフィルターなりHijackThisLogFileで判断できて、
それで自分で治せればさらにいいことだよね、って事でこのスレの存在意義があるわけで。)

「HijackThis1本で俺の技術があれば何でも治せるよ」って人は、このスレ見ても時間の無駄だと思うよ。
それだけの技術があるなら、2chごときで吠えてないで被害対策の部屋で回答者でもやったらどうですか、ってね。

303 :MEMO:04/09/02 19:37
コマンド名 BHO検索
実行コマンド http://www.sysinfo.org/bholist.php?filter=$TEXT&count=&type=

コマンド名 StartupList検索
実行コマンド http://www.sysinfo.org/startuplist.php?filter=$TEXT&count=&type=

参考ツール HJTHotkey - 選択文字列(CLSID,BHOファイル名)をホットキーで検索。オフライン検索が便利。
http://hometown.aol.co.uk/jrmc137/HJTHotkey/

304 :追加MEMO:04/09/02 19:56
コピット
ttp://www.umechando.com/software/#Copit
ウィンドウ上のコピーできない文字列をコピーするツール。
>>303のツールのオフライン検索結果をコピるため。

305 :名無しさん@お腹いっぱい。:04/09/02 21:09
やっぱり1はどちらでも新参のアフォと見た
お前はその本家のやつに踊らされているだけかもなwww
>>291がその答えを知っているはずだ
だから答えるのを俺は待っている
単純に気に食わないんだよ>>291のした事が
お前見たたいな基本を知らない奴に簡単に回答法を提供して
>>291にはスレの空気を乱したことをちゃんと答えてもらうつもりだ

306 :名無しさん@お腹いっぱい。:04/09/02 21:11
>>1くんもえらくなったねぇ。
本スレから回答者やら質問者やらを誘導し始めたときとは、口調も変わったしw
自分だけお腹いっぱいになったら、やっぱ、気持ちいいよね。

307 :299=305:04/09/02 21:21
それと>>300はお前に言ってんじゃね〜よ
>>291にそのまま返しているんだよ
俺は正直に言うとログなんかめんどくさくて見ようとも思わね〜w
>>291に逃げたと思われるのやだから
もう一度名前欄に番号だしにきたw
どうしても>>291に聞いて確かめたいことがある>>301のことな

308 :1:04/09/02 21:28
>>307
>俺は正直に言うとログなんかめんどくさくて見ようとも思わね〜w
こんな事を言ってる奴が、>>298で「治療する意思が全く見えね〜〜〜www」って
俺に言ってるのは、もろに詭弁だな。
ログ見るのは面倒くさいのに、ここのスレ見るのは面倒くさくないんだ( ´,_ゝ`)プッ

>>291さんはコテ使ってるんだから、叩きたいだけなら最悪板(http://tmp4.2ch.net/tubo/)でスレ立てな。
ここはコテ叩きスレじゃないんでね。

309 :1:04/09/02 21:30
ああ、ごめん。モロにレスミス。
>>299で「治療する意思が全く見えね〜〜〜www」って に訂正ね。

310 :名無しさん@お腹いっぱい。:04/09/02 21:36
>>309
前から言っていいもんかどうかわからなかったから
言わなかったけど◆qrpWVXxb/Aは半公開コテハンだよ
1は本当にHijackThisに答える人は半年ROMってルール守ってないの?
何か自分もそんなきがしてきたよ

311 :名無しさん@お腹いっぱい。:04/09/02 21:37
サンプルを集めて、HijackThisについて研究・分析するスレッドなんですね、ここ。
医者と学者の違いみたいなものか?

312 :1:04/09/02 21:42
>>310
>>308は、「誰かを叩きたいだけならこのスレを使うな」って言ってるだけなんだけど( ´,_ゝ`)
誰かを叩くだけのスレなら、最悪板でスレ立てろっての。ここでやられてもウザイ。

313 :名無しさん@お腹いっぱい。:04/09/02 21:49
>>311
「研究・分析」だけしてればいいんだが、出張までしてうわなにをいwhfんgkhk

314 :名無しさん@お腹いっぱい。:04/09/02 23:24
一人始末しますた、ハァハァ…

315 :名無しさん@お腹いっぱい。:04/09/03 01:55
研究も分析もしてないスレ
俺様の日記帳

316 : ◆qrpWVXxb/A :04/09/03 14:26
>>299
2ちゃんねるとは不思議な場所ですね。
お互い名無しでもニアミスを繰り消すと言葉の節々から、
なんとなくあの人だと分かる時があります。
ウソと本当が・・・とはよく言ったものです。

自分も>>300>>307からあなたが誰だか分かった気がします。
と言うよりワザとヒントを残しましたね。(w
あなたもそのめんどくさいログを大量に見られているようですから、
知っているでしょうが確かに見慣れればFixする箇所に限っては、
ほとんどは何も調べることなく分かるようになります。(経験で)

317 : ◆qrpWVXxb/A :04/09/03 14:43
>>299
つまりは自分にはゾヌフィルターそのものが不要です。
ではなぜ作ったのかその目的は実は>>290でもありませんし、
間違いを減らすのが目的でもありません。(ウソ付いてました)

本当の理由はログを見れる人がスレに少ない(たぶん5人もいればいい方)ようでしたので、
スレ上にログを見れる人を増やすことが目的でした。
色々な理由でテンプレを一時白紙に近い状態に戻した時、
ログに興味をもっているような変な患者でもあり回答者が迷い込んだのをきっかけに、
急いで鑑定スレ用のものをそのスレ用に作り変えたものです。
出来た時は被害対策の部屋のデータは殆ど入ってましたが完成度の、
低いものでした。

318 : ◆qrpWVXxb/A :04/09/03 14:56
>>299
つまりこのデータははじめから何かきっかけがあったら、
人に渡すことを前提に作ってあるものです。
このデータをはじめて公開した日、たまたま大したミスでもありませんが
上の方でログを間違えている方がいましたから、
それを利用させてもらい(利用してしまった方すみません)、
興味を持った人間にワザとテストするように仕向け、
Fix箇所を言わずに見たままを貼る方法を取りました。(その方が効果が高いと思った)
これによってスレの方向が変わってしまうとは当時は考えもしなかったことです。
申し訳ないです。

それと蛇足ですがNGワードのどこで自分の正体を見つけたのか教えてもらえますか?

319 :名無しさん@お腹いっぱい。:04/09/03 15:08
長々と何を言ってるんだ?あとづけの理由ほどカッコ悪いものはない。
そう思ってるならHPつくって意味のあるものにするだろうよふつうは。
これだからセキュ板はキモイと言われるんだな。

320 :299:04/09/03 16:39
>>316
やっぱりそういうことか甘いよw
>これによってスレの方向が変わってしまうとは当時は考えもしなかったことです。
わざわざテンプレまで削って必要最小限の状態にして
やり直しを図ったときにお前もどうせいたよな?
経験がなくてもテンプレやれとだけ言うのなら誰でもできるし
そんな状態が長くなったせいでネタすれになったの忘れたのか?
今のスレ見てみろよ
理屈ばっか達者で治療する気のない
経験もほとんどない回答者がログを見ているネタすれじゃんかよ
もうそのツールを人選なしで提供するのやめろ
アフォな回答者を大量生産するだけだ

321 :299:04/09/03 16:41
>>299
>それと蛇足ですがNGワードのどこで自分の正体を見つけたのか教えてもらえますか?
[ブラクラ(Appz=Realplayer・WMP・Telnet)・IP抜かれる・No.03"厨房ホイホイ"]
これのNo.3と""でくくる癖で分かった
それとexe上等なwww
exe上等のラウンジの鑑定士は流石に少ないだろw

本物の天麩羅屋やお前も悪いやつじゃなかったけど
スレの方向を変えた責任はあると思う
これからは悪いけどこれだな

・ 天麩羅屋 & 薮パソユーザー & ◆qrpWVXxb/Aは立ち入り禁止。HNを変えてもダメです。

322 :299:04/09/03 16:42
>>321のアンカーミスったw
>>316あてダナ

323 : ◆qrpWVXxb/A :04/09/03 17:00
>>299
大体の推測どうりだと思います・・・。
今思うと回答者が育つまで黙って見ていれば良かったのかも知れませんね。
自分もスレがこの方向へ転ぶとは予測出来ませんでしたし、
確かに転ばした責任はあるのかも知れません。
申し訳ありませんでした。 m(_ _)m

ツール提供もやめて黙って身を引いて、
今後はスレを見守るだけにしようと思います。

324 :1:04/09/03 17:09
>>320
>理屈ばっか達者で治療する気のない経験もほとんどない回答者がログを見ているネタすれじゃんかよ
そう思うなら自分がログ見て回答してやればいいじゃん(´-`)
>>299がめんどくさがらずに回答してれば、本来のスレの流れに戻せるんじゃねーの?

「自分は悪くない、周りの奴が悪いんだ」っていうのはただの現実逃避だぜ。
スレの方向性が変わったんだとしたら、原因は住人全員にあるんだよ。
誰か1人(◆qrpWVXxb/A氏)の行動は、そのきっかけではあっても根本的な原因じゃない。
文句やきれい事を言うだけなら誰でもできるぜ。( ´_ゝ`)

325 :名無しさん@お腹いっぱい。:04/09/03 17:11
>>316-318
この理由ってマジ
ってことはゾヌのNGワードを使っていること自体が
◆qrpWVXxb/Aに釣られてってこと?

326 :1:04/09/03 17:26
加えて言うと、俺はどっちかつーと「テンプレやれ」と言う方だけどその理由は、
「ログに興味をもっているような変な患者でもあり回答者が迷い込んだのをきっかけに」、
「ログを間違えている」ヘボ回答者が急に出てきたから言い始めただけ。

ゾヌフィルターにしろ、色々な解析ツールにしろ、あれらはあくまでも既出のエントリの判定が出るだけであって、
新しく出てきたものは色々と調べる回答者じゃないと回答しようがないからな。
(そのヘボ回答者は調べたりソース出したりしない奴だってのはわかってたし、正体も見当つくからな)
で、テンプレをきっちりやっちゃうと既出のものはほとんど治っちゃうから、そいつでは口出しようがなくなる。
早く言えば、そいつを徹底的に排除するために俺は「テンプレやれ」と言ってるんだよ。
つまり、きっかけは ◆qrpWVXxb/A氏と同じだけど、方向性が正反対って事だね。

スレの方向性を変えたいなら、他の人に文句を言うよりも先に、自分で行動しようぜ。

327 :名無しさん@お腹いっぱい。:04/09/03 17:47
それはないなかな。
テンプレ白紙時代やその前の時代のログを見ていたのは
変な回答者(ネタ回答者)を含めなければ
たぶん3人くらいでほとんどはみんな優秀だからな・・・。
フォローし合っていたし。
変な回答者が出始めたのは白紙時代後期やゾヌフィルター提供後の辺りから。

328 :名無しさん@お腹いっぱい。:04/09/03 17:50
少し興味深いスレタイだと思ってたら、
ちみらはセキュリティ板で初心者板の話しかしないようだの。
一体誰が研究してるのかのう?

329 :1:04/09/03 18:02
>>327
「ログに興味をもっているような変な患者でもあり回答者」が迷い込んできたのが
まさにその「前のテンプレを白紙に戻した時代の後期」でしょ、と。
その変な患者が治った直後ぐらいから、「あれあれ?」っていう回答者が出る状態になったんだよ。
(俺は、たぶんはいいろテンプレの作者=その変な患者なんじゃねーかな?と疑ってるけどね。
その後全然更新されなくなったでしょ、あのまとめページ。)

はいいろテンプレの情報は古すぎて正直全く使い物にならねーし、
今のテンプレだって不足している部分はいっぱいあると思うよ。
その辺はガンガン指摘して進化させる必要はあるわけでさ。
別にテンプレマンセー主義って訳じゃないから、一応補足しとくよ。

330 :あぼーん:あぼーん
あぼーん

331 :あぼーん:あぼーん
あぼーん

332 :あぼーん:あぼーん
あぼーん

333 :名無しさん@お腹いっぱい。:04/09/13 14:14:25
http://pc6.2ch.net/test/read.cgi/pcqa/1094644028/252-257

以下の謎のエントリについて
>O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE CMS-V11
http://209.213.221.238/postt68092.html
http://www.newbie.org/help/messages/27686.html
何かのウェブカメラの可能性あり?
問題ありエントリかどうかは不明。情報提供を求む。

334 :名無しさん@お腹いっぱい。:04/09/13 14:21:08
使ってる本人に聞けよあほか

335 :333:04/09/13 15:05:47
自己レス。 
http://pc6.2ch.net/test/read.cgi/pcqa/1094644028/267

>O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE CMS-V11
CMS-V11PCカメラ関連ソフトと推測される。無害と推定。
http://www.sanwa.co.jp/product/syohin.asp?code=CMS-V11&cate=9

336 :名無しさん@お腹いっぱい。:04/09/20 04:31:32
ぬるぽ

337 :名無しさん@お腹いっぱい。:04/09/22 14:13:39
腹減った〜

338 :分析師はいずこにw(確信:推測メモ程度):04/09/22 22:09:21

O4 - HKLM\..\Run: [DKTime] C:\WINDOWS\SYSTEM\dktime.exe
O4 - HKCU\..\Run: [DKTime] C:\WINDOWS\SYSTEM\dktime.exe

Troj/Dloader-CC
http://www.sophos.com/virusinfo/analyses/trojdloadercc.html

04の2種エントリーからクルクルの新種かと思って調べてみた
上記のリンクのものだとするとプロセスとファイルが化けるとかは一応それっぽい?
dk32.exe、dk.exe、dktime.exe、sexxx.exeをシステムフォルダに呼び込み
ホストファイルを改変して特定のサイトに飛ばす模様
今回は、まんまdktime.exeで表示されているのは実際はかなり謎だ
(http://pc6.2ch.net/test/read.cgi/pcqa/1095834281/24-30)

推測だが実際の表示は下の例のように化ける可能性が非常に高いようだ
O4 - HKLM\..\Run: [printer] C:\WINDOWS\SYSTEM\printer.exe
O4 - HKCU\..\Run: [printer] C:\WINDOWS\SYSTEM\printer.exe

それか他のスパイウェアに似たエントリーになる?
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\host32.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\host32.exe

駆除方法はFixで治ったようだが下半分に化けた場合は不明
特殊なRapidBlasterやクルクルの用に特殊な駆除方法になるかも知れない

339 :分析師はいずこにw(確信:推測メモ程度):04/09/22 22:14:25
>>338訂正
×特殊なRapidBlasterやクルクルの用に特殊な駆除方法になるかも知れない
○RapidBlasterやクルクルの用に特殊な駆除方法になるかも知れない

しかも一番上に謎の空白orz

340 :名無しさん@お腹いっぱい。:04/09/22 22:20:32
絶対に最初のレスで間違えて2連投する回答者がいるスレはここですか?

341 :分析師はいずこにw(確信:推測メモ程度):04/09/22 22:33:42
>>340
調べながら文章まとめているからなwww
ところでこのスレ分析してるやつ誰もいないやんwww
実はもう一つ忘れているんだ
>>338
>dk32.exe、dk.exe、dktime.exe、sexxx.exeをシステムフォルダに呼び込み
>ホストファイルを改変して特定のサイトに飛ばす模様

この間に実は下の分が入って一番下の分になるwww
toolbar.exe、mstasks1.exeもWindowsフォルダに呼び込む

dk32.exe、dk.exe、dktime.exe、sexxx.exeをシステムフォルダに呼び込み
toolbar.exe、mstasks1.exeもWindowsフォルダに呼び込む
ホストファイルを改変して特定のサイトに飛ばす模様

342 :分析師はいずこにw(ついでに・・・):04/09/22 22:50:54
ラウンジの偉大な鑑定師様に感謝
http://etc3.2ch.net/test/read.cgi/entrance/1093784324/529
http://etc3.2ch.net/test/read.cgi/entrance/1095705642/738

通称:苺きんたま
形態:(写真集) (ロリータ)〜みたいなフォルダ(実際にはフォルダのアイコンのexe)
症状:exeを実行するとデスクトップの画像をキャップし
    2ちゃんのスレに自動的に書き込む
    その他の症状は不明

修復方法:HKEY_CURRENT_USER Software\Microsoft\Windows\CurrentVersion\Run
       のshellsystem.exeを削除

HijackThisの04にも現れると思われるが現時点では不明
O4 - HKLM\..\Run: [???] C:\WINDOWS\SYSTEM\shellsystem.exe
O4 - HKLM\..\Run: [???] C:\WINDOWS\shellsystem.exe

注意:WindowsフォルダはOSなどでは改変する
    ???は現時点では不明

343 :名無しさん@お腹いっぱい。:04/09/22 23:14:00
よ〜し盛り上がっていくぞ〜

344 :分析師はいずこにw(ついでに・・・):04/09/23 00:01:32
苺きんたまに感染してみたぞーーーw
俺が実行したのは「(写真集) (ロリータ) 水原友里.exe」だwww
ノートン先生とBitDefenderおよびFWは全てスルーされたw
もちろんスパイウェア駆除製品も・・・おっとスルーだw
ちなみネット切断した状態で実験したから俺の画像は多分ないぞwww

感染するとプロセスが2つ走りどちらか一つを消しても
片方を復活させる仕組みでプロセスから終了は不可

感染するとPCのデスクトップのスクリーンが取られ晒され
【うpろだ】アップローダー案内所【アプロダ】板に以下の書き込みがされる

名前:私は苺で違法ダウンロードばかりしている犯罪者です[ここに晒るされた時の初回のID:1回目]
私は苺で違法ダウンロードばかりしている犯罪者です
【コンピュータ名】コンピュータ名が入る
【ユーザー名】ユザー名が入る(例:Owner)
【今こんな事やってます】2ちゃんロダのアドレスが晒され先が貼られる

取った処置
1:まずPCの電源を切りセーフモードで起動してファイルのC:\WINDOWS\shellsystem.exeを削除
2:元になった「(写真集) (ロリータ) 水原友里.exe」も一応削除
3:普通に再起動してHijackThisでScan以下のエントリーをFixで削除
O4 - HKLM\..\Run: [shellsystem.exe] C:\WINDOWS\shellsystem.exe

3:のHijackThisの処理で以下が消えてるのも確認できた
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
name:shellsystem.exe data:shellsystem.exe

若干の祭り状態だからこれからの患者が予想されるw
とりあえずこれで解決めでたしめでたしwww

345 :名無しさん@お腹いっぱい。:04/09/23 00:10:11
ロリータ最高〜

346 :分析師はいずこにw(ついでに・・・):04/09/23 00:13:07
>>344
それと補足・・・貼られる先の法則が判明した

>半角二次元板の
>そのスレは、「アップローダー」をスレタイに含むスレのうち、一番上に
>上がっているスレ。

とのこと、あと細かい訂正w
×【今こんな事やってます】2ちゃんロダのアドレスが晒され先が貼られる
○【今こんな事やってます】2ちゃんロダに画像が晒されて、そのアドレスがここに貼られる

347 :名無しさん@お腹いっぱい。:04/09/23 00:15:11
お客さん来店の予感。

348 :名無しさん@お腹いっぱい。:04/09/23 00:16:02
>>346
セキュ住人には無用の話だからダウソ板に行って得意顔するといい

349 :名無しさん@お腹いっぱい。:04/09/23 00:21:06
>>344
あんた漢の中の漢だ(w
感染レポート&修復方...Z
これって例の苺ロダに貼られているやつだな・・・
分散しているようだから確かにまだ増えるかもね。
>>348
ダウソ板は全く関係ないよ。
ny関係じゃないし。

350 :名無しさん@お腹いっぱい。:04/09/23 00:24:31
スレに活気がでてきたな。

351 :名無しさん@お腹いっぱい。:04/09/23 00:29:25
>>344
SARCとかに連絡済み?

352 :名無しさん@お腹いっぱい。:04/09/23 00:55:59
>>344
乙!
俺も本体ファイル落としてみたんだが、飲んでるんでそこまでやる余裕無かった。
某スレにコピペして回答に使う事になるかもしれない。


353 :名無しさん@お腹いっぱい。:04/09/23 01:55:37
回答者さん、ごきげんですな

354 :名無しさん@お腹いっぱい。:04/09/23 07:59:52
>>344に質問

これって、ファイヤーウォール入れておけば防げるものかな?
もしそうなら、エロサイトスレのテンプレにZoneAlarmでも紹介しておけば
かなり有効なんじゃないかな?(一番操作が簡単だしね、他のはむずいし)


355 :354:04/09/23 08:17:36
おっとゴメソ、ファイヤーウォールはスルーすんのか
まぁ、訳のわからないもんダウンロードする馬鹿は放置だなって事で
ブラクラ踏んだ人と大して変わらないな

356 :分析師はいずこにw(ついでに・・・):04/09/23 12:35:25
>>354
>>344祭り状態の中で分析していたから今見ると文章がアホだなorz
今は反省している
FWはちゃんと機能するみたいだ
ネットに切断した状態で実験したから
その時はFWそのものが使われなくてshellsystem.exe製造にトロイ自体が励んでいた

それと上記の駆除方法はWinXPのもので
他のOSではシングルプロセスらしく
プロセスを終了させて本体を削除してレジストリの修正で簡単に治るらしい
またWinXP Proではダウソ板の>>635氏のやり方でもOK

http://tmp4.2ch.net/test/read.cgi/download/1094872215/635

357 :名無しさん@お腹いっぱい。:04/09/23 13:05:10
【分析】HijackThis【研究】
http://pc5.2ch.net/test/read.cgi/sec/1091346741/341-356


358 :354:04/09/23 15:13:29
>>356
ん?とするとファイヤーウォールで防ぐ事は可能なのかな
と言っても、どうせ何だかわからずにアクセス許可しちゃう人はいるんだろうけどね

最近のエロサイトスレのテンプレ見ると、Downloader系のトロイを仕込まれてる人がわんさかいるよな
アンチウィルスソフトについては書いてあるけど、ファイヤーウォールについてはあんま書いて無かったりするから
その辺を充実させた方がいいのかもしんないね
と言っても初心者向きだと、やっぱりZoneAlarmになるんだろうなぁ・・・
(他のルール設定だとかなんだとかは初心者には難しそうだしね)

359 :354:04/09/23 15:17:02
↑テンプレじゃないや、質問してる人って事ね

実際にテンプレを全部やってる人だと、大体は04エントリだけ残ってる事が多い気がする
02、03、16あたりは割とテンプレ作業で駆除できているのかもしれないね

360 :ぼるじょあ ◆yBEncckFOU :04/09/23 17:26:44
     ∧_∧
     ( ・3・ / ̄ ̄ ̄ ̄/ ∧
   __( つ  / (・3・) /・3・)ノ
   |\ ̄\/____/ ̄\.   ∧∧  
   | | ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄|   ( ・3・) アルェー
   | |    ぼるじょあ    |   ( ぼ )
   \|_________|.    し'`J 

  (・3・) エェー 質問待ってるYO

361 :ぼるじょあ ◆yBEncckFOU :04/09/23 17:27:34
(・3・) エェー

362 :ぼるじょあ ◆yBEncckFOU :04/09/24 16:56:56
    +  *
      *   ∧_∧∧∧
         (*・3・(・ε・*) < 質問待ってるYO
       + ( つ と  0 
        + ) ⊂_ノ〜
         (_)__)

363 :名無しさん@お腹いっぱい。:04/09/24 18:50:07
>>358
ZoneAlarm突破
http://v.isp.2ch.net/up/b0501b0dcf53.jpg
アクセス許可したのかもしれないけど。


364 :354:04/09/24 19:24:54
>>363
それ、昨日ZoneAlarmスレとかに貼られてたけど

ぶっちゃけAd-aware6を今更使ってる奴じゃあんま信頼性が・・・

365 :名無しさん@お腹いっぱい。:04/09/24 21:34:11
デスクトップを見れば程度がわかる

366 :名無しさん@お腹いっぱい。:04/09/24 22:06:36
NIS突破してるのもあった
どうせexeの通信を許可してるか何かだと思うけど
exeの監視機能がないものだとポート80を使って通信するから
もしかしたらあっさりスルーするかも
昔からFWは使いこなせてなければ何の役目もしない

367 :名無しさん@お腹いっぱい。:04/09/25 01:07:11
淋しい・・・・

368 :名無しさん@お腹いっぱい。:04/09/25 01:11:39
ヲタクってるんぢゃねえぞ、おまいら!

369 :たぬたんなりよ(=^u^=):04/09/25 23:24:18
(=^u^=) なりなり

370 :ぼるじょあ ◆yBEncckFOU :04/09/26 06:23:20
(・3・) エェー

371 :正統派アザラシ:04/09/27 08:10:10
  _/ ̄ ̄ ̄ ̄\    
 煤Q    ∪ ゚Д゚)    
      ̄ ̄ ̄ ̄ ̄ ̄

372 :名無しさん@お腹いっぱい。:04/09/28 02:29:30
誰もいないの???

373 :名無しさん@お腹いっぱい。:04/09/28 06:54:24
---------- 研究の成果が出るまでには、約三年とちょっとかかります。それまでお待ちください。 -----------

374 :名無しさん@お腹いっぱい。:04/09/28 20:42:50
三年も待てないよぅ〜

375 :ぼるじょあ ◆yBEncckFOU :04/09/29 18:36:35
     ∧_∧
     ( ・3・ / ̄ ̄ ̄ ̄/ ∧
   __( つ  / (・3・) /・3・)ノ
   |\ ̄\/____/ ̄\.   ∧∧  
   | | ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄|   ( ・3・) アルェー
   | |    ぼるじょあ    |   ( ぼ )
   \|_________|.    し'`J 

  (・3・) エェー 質問待ってるYO

376 :名無しさん@お腹いっぱい。:04/09/29 19:27:08
>>360 >>362 >>375
ここ、質問スレじゃないよ
質問スレから上がってきた情報を蓄積するところだ

377 :名無しさん@お腹いっぱい。:04/09/29 19:47:37
人々の為、質問受け付け中で〜す。

378 :名無しさん@お腹いっぱい。:04/09/29 20:55:55
>>376
>>1は質問スレと混同してるよ。
わざわざ向こうから誘導してたし。

379 :名無しさん@お腹いっぱい。:04/09/29 23:40:51
>>1が質問スレのつもりなら質問スレだろw

380 :名無しさん@お腹いっぱい。:04/09/30 00:32:10
ただの目立ちたがり屋とか優柔不断な奴なだけだろ。>>1

381 :名無しさん@お腹いっぱい。:04/09/30 01:08:28
質問待ってるよ。

382 :名無しさん@お腹いっぱい。:04/09/30 01:16:08
Ewidoの使用期限をリセットして常駐保護を使えるようにする方法を教えてください。
犯罪ではないとおもうので詳しい人きぼん。

383 :名無しさん@お腹いっぱい。:04/09/30 02:28:34
>>382
ドゾー
ttp://www.ewido.net/en/?section=buy

384 :ぼるじょあ ◆yBEncckFOU :04/09/30 18:38:58
       ∧∧
      ( ・3・)  質問待ってるYO
      ( ⊃┳⊃
     ε(_)ヘ⌒ヽフ
     (   ( ・ω・)
≡≡≡ ◎―◎⊃⊃

385 :名無しさん@お腹いっぱい。:04/09/30 19:21:16
どうしてぼるじょあはム板に帰らないのですか?

386 :名無しさん@お腹いっぱい。:04/09/30 19:34:21
>>1がぼるじょあを演じているっぽい

387 :名無しさん@お腹いっぱい。:04/10/01 05:06:01
質問待ってる。

388 :名無しさん@お腹いっぱい。:04/10/01 07:56:53
単発質問させて下さい。

O4 - HKLM\..\Run: [Expatch] C:\WINNT\system32\sprite.exe

こいつがすっごいメモリリーク引き起こしてるんですが、どういったものなのでしょうか?
消去しても問題なんでしょうか?


389 :名無しさん@お腹いっぱい。:04/10/01 13:48:45
>>388
メモリリークってなんですか?

390 :名無しさん@お腹いっぱい。:04/10/01 14:49:35
>>388
断言はできないけど、もしかしたらこれじゃねーのかな?
ttp://www.pestpatrol.com/PestInfo/B/BargainBuddy.asp

メモリリークしてる不自然なプログラムがあったら、ウィルスのスキャンと
SpybotやAd-awareSEはやってみた方がいいよ。それで改善する事も多い。

391 :名無しさん@お腹いっぱい。:04/10/01 15:04:22
>>388
>>389

392 :名無しさん@お腹いっぱい。:04/10/01 15:15:25
>>388はゲーヲタ

393 :ぼるじょあ ◆yBEncckFOU :04/10/01 20:13:00
   ∧_∧                        ∧_∧
   ( ・3・ )                       ( ・3・ )
  ⊂     ⊃                      ⊂     ⊃
    |⌒I、|                       |  |⌒I
   (_). |   ∧_∧         ∧_∧    | ´(_)
     (_)  ( ・3・ )        ( ・3・ )  (_)
          ⊂     ⊃       ⊂     ⊃
           |⌒I、|        |  |⌒I
          (_). |          | ´(_)
            (_)   ∧_∧__  (_)
                 (3・   )
                 (     > >
                / /\ \
                (__)  (__)

            よいこの質問待ってるYO!

394 :ぼるじょあ ◆yBEncckFOU :04/10/03 15:07:27
       ∧∧
      ( ・3・)  質問待ってるYO
      ( ⊃┳⊃
     ε(_)ヘ⌒ヽフ
     (   ( ・ω・)
≡≡≡ ◎―◎⊃⊃

395 :名無しさん@お腹いっぱい。:04/10/03 23:47:55
このスレ人気ないっすね ^∀^

396 :ぼるじょあ ◆yBEncckFOU :04/10/04 17:40:39
( ・ 3 ・ ) エェー 良い子の質問待ってまつYO ♪

397 :名無しさん@お腹いっぱい。:04/10/04 21:54:47
>>395
サクラになって質問してよ。

398 :名無しさん@お腹いっぱい。:04/10/04 23:31:35
ここのぼるじょあは荒らしか

399 :ぼるじょあ ◆yBEncckFOU :04/10/04 23:54:09
>>398
(・3・) エェー 質問を心待ちにしてる善良ぼるじょあですYO

400 :名無しさん@お腹いっぱい。:04/10/05 00:49:10
いい加減ウゼェからきえろや>>1

401 :名無しさん@お腹いっぱい。:04/10/05 15:05:24
それでは質問させてもらいます
以下のように2つ出ることってあります?
いままではひとつしか出なかったんだけど
O17 - HKLM\System\CCS\Services\Tcpip\..\{3DF16248-517C-417B-BF16-F434CA339FAF}: NameServer = xxx.13.30.12, xxx.13.29.12
O17 - HKLM\System\CCS\Services\Tcpip\..\{F11629E3-0AE7-4D3F-98C6-DEE5F94DB606}: NameServer = xxx.13.30.12, xxx.13.29.12
どっちか偽物? よろしくお願いします

402 :名無しさん@お腹いっぱい。:04/10/05 15:23:49
>>401はゲーヲタ

403 :401:04/10/05 18:02:32
>>402
ん? なんで? ちゃいまんがな

書き忘れてたけどこのアドレスは間違いなく俺のメインとセカンダリDNSです
NameServer = xxx.13.30.12, xxx.13.29.12(xは伏せ字)

\..\の部分は俺が省略したわけじゃないです

404 :ぼるじょあ ◆yBEncckFOU :04/10/05 19:25:58
>>403
(・3・) エェー どうして増えたのか理由までは分かりませんが2つ位なら全然普通ですNE,
          5〜6ある人もいますので問題ないと思いますYO

405 :名無しさん@お腹いっぱい。:04/10/05 21:28:30
>>401 >>403
http://higaitaisaku.web.infoseek.co.jp/htkaiseki.html
早く言うと、ネットワーク接続に必要なエントリかな
IPアドレスを調べてみれば、ちゃんとしたエントリかそうじゃないか判別できるかと
たまーに何故かロシアに接続先がなってるのとかあるけどそういう場合はダメ
そうじゃなくて普通の日本のプロバイダとかになってるなら別に問題なしという感じ

406 :ぼるじょあ ◆yBEncckFOU :04/10/05 23:56:06
(・3・) エェー よいこの質問待ってるYO♪

407 :名無しさん@お腹いっぱい。:04/10/06 01:26:40
>>404 >>405
ありがと とりあえず安心しました
2つになった可能性としてネットワークの詳細設定のとこで
NetBIOS over TCP/IPを無効にするに最近チェックいれたのが関係したのかな

408 :ぼるじょあ ◆yBEncckFOU :04/10/06 18:59:50
(・3・) エェー よいこの質問待ってるYO♪

409 :ぼるじょあ ◆yBEncckFOU :04/10/07 18:10:01
(・3・) エェー よいこの相談待ってるYO

410 :ぼるじょあ ◆BORUJOARaA :04/10/07 18:15:08
(・3・) エェー これが本場のぼるじょあだNE

411 :名無しさん@お腹いっぱい。:04/10/07 18:20:35
>>408-410
ここで遊んでるならぼるじょあスレ盛り上げてこいよ
ぼるじょあ(・3・)質問箱 セキュ板出張所11
http://pc5.2ch.net/test/read.cgi/sec/1094826769/
糞スレになってるぞ、ぼるじょあスレ

412 :ぼるじょあ ◆yBEncckFOU :04/10/07 20:12:46
>>411
(・3・) アルェー ちょっとしか糞スレじゃないC〜

413 :名無しさん@お腹いっぱい。:04/10/07 20:56:05
ぼるじょあになりきってるヤシきもい

414 :名無しさん@お腹いっぱい。:04/10/07 21:57:05
ぼるじょあさん、がんばれ!!

415 :たぬたんなりよ(=^u^=):04/10/07 22:25:06
(=^u^=) たぬたんも応援するなりよ。

416 :名無しさん@お腹いっぱい。:04/10/08 01:50:06
タイトルだけ立派なスレだ。

417 :名無しさん@お腹いっぱい。:04/10/08 02:50:17
質問です。HiJackThisを使ってPCを元に戻したいんですが、モデム繋ぐとすぐにアダルトサイトに飛びます。この状態って国際電話に繋がってるのでしょうか?繋がったときの事を考えると恐くてすぐに切ってしまいます。詳しい方いたら教えてください。

418 :名無しさん@お腹いっぱい。:04/10/08 03:15:32
>>417
基本は、エロサイトスレのテンプレソフトを全部順番に試してから
何故なら、HijackThisはあくまでレジストリをいじるだけのソフトだし
いいエントリも悪いエントリも出てくるから
という訳でエロサイトスレに誘導するんでテンプレやってみてね
エロサイト見たら…助けて下さい!Part42
http://pc6.2ch.net/test/read.cgi/pcqa/1096953352/


419 :417:04/10/08 03:29:55
>>418 そちらに行ってみます。ありがとうございます。

420 :名無しさん@お腹いっぱい。:04/10/08 04:32:56
お客さんが横取りされてる、かわいそう・・・・・・・・・・・・・・

421 :名無しさん@お腹いっぱい。:04/10/08 07:33:05
HijackThisを今見ている香具師が
テンプレやれとしか言えない元天麩羅屋信者だから
本当に分析する気があるのなら自ら感染実験する

422 :名無しさん@お腹いっぱい。:04/10/08 08:07:05
>自ら感染実験する

修羅の道ですねw

423 :名無しさん@お腹いっぱい。:04/10/08 11:07:27
>>421
既出のエントリに興味はない、だから先にテンプレ
既出のものしか治せない奴ぐらいじゃないの?いきなりHijackThisなんて指示出す奴

424 :名無しさん@お腹いっぱい。:04/10/08 17:08:34
ROMっていたが最近の、特に前スレのは
かなり既出でないものもあった
SDBOTの新種らしきものも多数あった
新種も見抜く力もないアホにはどれがそれとかは分からないだろうが

※SDBOTに感染している場合、アンチウイルスソフトの治療だけでは直せない
※Fixした場合かならず一箇所漏れる

あと最近指示出しているやつは特徴があるから分かるが
例のexeやdllの名前だけで検出に掛けてるような香具師とボル兄しかいない

425 :名無しさん@お腹いっぱい。:04/10/08 17:17:40
>>422
昔のことだけど
そういえば群青さんは時々感染実験をやっていたよw

426 :名無しさん@お腹いっぱい。:04/10/08 17:55:25
>>424
きっとひきこもりだね。ヒマすぎだもの。

427 :ぼるじょあ ◆yBEncckFOU :04/10/08 20:02:44
(・3・) エェー よいこの相談待ってるYO

428 :名無しさん@お腹いっぱい。:04/10/08 22:04:46
>>424
新種に感染してたらテンプレやらなくていーんだ。アホか。
そんなもんはHijackThisやってログ見てから、後から付けた理由だろうに。
テンプレで漏れた箇所だけHijackThisで治した方が楽に決まってんだろ、
全部エントリを手動で消す方がよっぽどかったるいわ
前スレで既出じゃないもんは、こっちのスレに転載ぐらいしたらどうだい?見てるならさ

429 :424:04/10/08 22:47:57
                 ┌─┐
                 |も.|
                 |う |
                 │来│
                 │ね│
                 │え .|
                 │よ .|
      バカ    ゴルァ   │ !!.│
                 └─┤    プンプン
    ヽ(`Д´)ノ ヽ(`Д´)ノ  (`Д´)ノ    ( `Д)
    | ̄ ̄ ̄|─| ̄ ̄ ̄|─| ̄ ̄ ̄|─□( ヽ┐U
〜 〜  ̄◎ ̄  . ̄◎ ̄   ̄◎ ̄   ◎−>┘◎

430 :ぼるじょあ ◆yBEncckFOU :04/10/09 07:18:32
(・3・) エェー よいこの相談待ってるYO

431 :名無しさん@お腹いっぱい。:04/10/09 07:48:43
(゚Д゚ )
ノヽノヽ=3 プゥ
  くく

432 :名無しさん@お腹いっぱい。:04/10/09 08:24:32
新種の判断もできない
既出のエントリーも治せない
このスレいらないねw

433 :名無しさん@お腹いっぱい。:04/10/09 08:27:22
>>428
あの空気でこっちに書けるわけないだろw
上で苺きんたまを分析したやつも追い出さんという空気だしwww
向こうに書けば書いたで全員糞回答者扱い

434 :名無しさん@お腹いっぱい。:04/10/09 09:57:44
向こうから完全独立したいwww

435 :424:04/10/09 10:11:33
>>428
後からつけた理由ではなく、たぶんと思うのはあったぞ
新種が見つかったらテンプレやらなくていいということが
言いたいんじゃなくて、それに対してプロパティを確認して覚えがなければ
Fixという指示を出しているやつがいた
なんでHijackThisに治療の道具としてそんなに信頼寄せているかのは分からないが
SDBOTはHijackThisのFixやアンチウイルスで消しても完全には治らないから書いた
それに後でまとめてログを見たから気が付いたときには一日が経過していた

それと正直SDBOTが見つかったならテンプレやる必要もないかも知れんな
HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
ここを確認させてそこに値があればリカバリの指示を出して
リカバリした後はパスの変更と電話でネットバンクやクレジットカードを利用を
停止するように指示すると思う

あと指摘しても何だかんだ後で言われるだけ損だわ(>>433の言うとうり)

436 :名無しさん@お腹いっぱい。:04/10/09 10:14:25
がんばってくれ

437 :名無しさん@お腹いっぱい。:04/10/09 10:21:18
訂正
(ひまな趣味)がんばってくれ

438 :名無しさん@お腹いっぱい。:04/10/09 10:59:25
>>1に協力する人間は結局は誰もいないのかwww

前スレじゃなく今のスレじゃんw
本気で探しちゃたよwww
SDBOTの新種の可能性って言うのはこれのことか>>435
C:\WINDOWS\System32\winU32L.exe
C:\Program Files\Common Files\System\Ole DB\support\ComServ.exe
C:\Program Files\Common Files\System\Ole DB\support\WinMgmt.exe
C:\Program Files\Common Files\System\Ole DB\support\IEXPLORER.EXE
O4 - HKLM\..\Run: [Win Update 32] winU32L.exe
O4 - HKLM\..\RunServices: [Win Update 32] winU32L.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
これってHijackThisに現れないのか?
治ったと思って帰ったなこの患者
もしそうならパスワードとかすでに盗まれている可能性が高いわけか・・・

http://pc6.2ch.net/test/read.cgi/pcqa/1096953352/64-69

439 :名無しさん@お腹いっぱい。:04/10/09 14:49:33
>>438
>HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
ここの値は今のHijackThisには出てこないね

http://pc6.2ch.net/test/read.cgi/pcqa/1096953352/81-86
>msconfigを使いサービスタブにあるSystemIdleのチェックをはずすと症状がなくなりました。
これがどういう事なのやらがよくわからないが、何か情報とか出てるのかな

440 :438:04/10/09 16:04:00
>>439
分析するやつの頭はウイルス定義みたいのパターンファイルが
そいつ自体に入っているのかも知れないなwww
本家の方でも推測で答えを導きだすやつがいる時に時々驚かされる

WORM_WOOTBOT.AO(SystemIdle.exe)
http://es.trendmicro-europe.com/consumer/security_info/ve_detail.php?id=65623&VName=WORM_WOOTBOT.AO&VSect=O

これだと一応HijackThisのログからも下のように現れる模様
O4 - HKLM\..\Run: [Systemidle] stemIdle.exe
O4 - HKLM\..\RunServices: [Systemidle] stemIdle.exe
O4 - HKCU\..\RunOnce: [Systemidle] stemIdle.exe
O4 - HKLM\..\Run: [Systemidle] stemIdle.exe
O4 - HKCU\..\RunOnce: [Systemidle] stemIdle.exe
とこれHKEY_LOCAL_MACHINE>System>CurrentControlSet>Services>SystemIdle.exe

俺には残念だけど専門の分析屋じゃないからこれ以上は分からんw
正直HijackThis自体も専門家じゃないからミスすると悪いから答えないようにしてるしwww
どちらにしても対処方法は読んでみると駆除するよりも
リカバリした後にryってやつが一番安全なようだ(感染者本人には悪いが)
結果論になっちゃて悪いけど感染者本人にレジストリ内を検索で
winU32L.exe見つけてもらうことをやってもらった方がよかったのかも

441 :438:04/10/09 16:11:24
訂正
ごめんよく見たらWORM_WOOTBOT.AOの値を間違えたw

O4 - HKLM\..\Run: [Systemidle] stemIdle.exe
O4 - HKLM\..\RunServices: [Systemidle] stemIdle.exe
O4 - HKLM\..\RunOnce: [Systemidle] stemIdle.exe
O4 - HKCU\..\Run: [Systemidle] stemIdle.exe
O4 - HKCU\..\RunOnce: [Systemidle] stemIdle.exe
とこれHKEY_LOCAL_MACHINE>System>CurrentControlSet>Services>SystemIdle.exe

HKEY_LOCAL_MACHINE>System>CurrentControlSet>Services>
これは知識不足でログにどう出るか分からんwww

442 :名無しさん@お腹いっぱい。:04/10/09 16:56:24
>>440-441
>>424氏が言ってた「SDBotの亜種」ってのは、結局それの事なのかな?
具体例出してないから何とも言いがたいね(´・ω・`)
どっちにしろ、>>435で言ってる内容はHijackThisを見なきゃわからないでしょ
だってプロセスに何が走ってるのか、他の人には全くわからない訳だし
あとはプロセス何走ってるかわかってる奴が自作自演してたぐらいしかありえないな
そもそもHijackThisの前にテンプレを一通りやる「はず」なんだから、何でテンプレの話になるのが意味不明

>>441
>HKEY_LOCAL_MACHINE>System>CurrentControlSet>Services>
たぶん、これもHijackThisには出てこないところなんじゃないかな

今の1.98.2になる前にHijackThisに出てこないこれが流行したのと似てるのかも
http://higaitaisaku.web.infoseek.co.jp/removesearchbiz.html
※今の1.98.2ではHijackThisできちんとエントリとして出てくる

443 :438:04/10/09 19:16:36
分析屋でもないのに調べてる俺も相当に暇人だなw
新種って聞いて休日を分析と単車いじりで潰してしまったwww

>>442
客観的に見て>>421-435この流れからテンプレの話になったんじゃないのかと
それと流れから向こうのHijackThisを見ての意見かと
本当は本人にどれか指摘してもらえれば一番ありがたいんだけどね
あの調子じゃ協力してくれるとは思えんしw
プロセスは見る人が見ればなんとなく分かるかと
あとはウイルスの特徴をつかんでいるとかw
例:C:\service.exe ← C直下のexeだからキーロガー系のトロイの可能性等

もう少し気になって調べら下のツールでWOOTBOTとSDBOTは
対応していれば無料で駆除できるらしい
対応ウイルス表を見る限り俺だったら正直リカバリするかなっていう
瀬戸際ばかりのリストだがw
それにしてもSDBOT系って亜種が多いな・・・正直驚いた

トレンドマイクロ ダメージクリーンナップサービス
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700
対応ウイルス表
http://www.trendmicro.co.jp/support/VIRUS/fix_tool/tsc/tsc_viruslist.txt

444 :名無しさん@お腹いっぱい。:04/10/09 19:48:57
当事者でもないのに外から眺めて
楽しそうにしている書き込みって相当にキモイね

445 :ぼるじょあ ◆yBEncckFOU :04/10/09 22:34:32
   ∧∧∧∧∧∧ ∧
  ( (・( ・(・ ( ・3( ・3)     よい子の
  (つ(つ/つ//  二つ
ハァ─) .| /( ヽノ  ノヽっ ─・・・
   ∪∪とノ(/ ̄ ∪

               ∧
 ((  (\_ ∧ ∧ ∧ ∧ 3)っ
   ⊂`ヽ ( ・3・) _)3・) )  ノノ  質問
  ヽ ⊂\  ⊂ )  _つ
スゥ──(/( /∪∪ヽ)ヽ) ノ ──
      ∪ ̄(/ ̄\)

     (\  ∧ ∧   カッ
      < `( ・3・)       待ってるYO
       \ y⊂ )
       /    \
       ∪ ̄ ̄ ̄\)

446 :名無しさん@お腹いっぱい。:04/10/10 05:51:37
ぼるちゃん教えて
環境は
Windows version: Windows 98 4.10.2222
MSIE version: 6.0.2800.1106
HijackThis version: 1.98.2

HighjackThisでスキャン開始するとこんなメッセージがでます
どうすりゃいーの????よろちくNE

An unexpected error has occurred at procedure: modBackup_ListBackups()
Error #55 - ファイルは既に開かれています。

An unexpected error has occurred at procedure: modRegistry_IniGetString(sFile=win.ini, sSection=windows, sValue=load)
Error #55 - ファイルは既に開かれています。

An unexpected error has occurred at procedure: modRegistry_IniGetString(sFile=win.ini, sSection=windows, sValue=run)
Error #55 - ファイルは既に開かれています。

An unexpected error has occurred at procedure: modRegistry_IniGetString(sFile=C:\WINDOWS\control.ini, sSection=don't load, sValue=inetcpl.cpl)
Error #62 - ファイルにこれ以上データがありません。

An unexpected error has occurred at procedure: modMain_CheckOther14Item()
Error #55 - ファイルは既に開かれています。

An unexpected error has occurred at procedure: modMain_CheckOther14Item()
Error #55 - ファイルは既に開かれています。


447 :styler ◆jypusFpzBE :04/10/10 07:07:47
>>446
全部OKしてOK
補足
スキャンしたら
http://www.hijackthis.de/index.php?langselect=english
だっけ、ここに作れるやつをはって診てもらえ

なんかそれらしい感じで書いてみたが、>>1のリンク全部見てないのでよく分からん

448 :ぼるじょあ ◆yBEncckFOU :04/10/10 07:29:52
>>446
(・3・) エェー この辺も参考にしてNE
          http://higaitaisaku.web.infoseek.co.jp/hijackthis.html

449 :名無しさん@お腹いっぱい。:04/10/10 17:38:42
ワロタ
http://higaitaisaku.web.infoseek.co.jp/cgi-bin/cbbs.cgi?mode=all&namber=46130&type=0&space=0&no=0

450 :名無しさん@お腹いっぱい。:04/10/10 18:03:17
【被害者サイト】HijackThis【ヲチスレ】
http://pc5.2ch.net/test/read.cgi/sec/1091346741/

451 :446:04/10/11 03:04:58
>>447 >>448
お レスついてる
ありがとーー
さっそく調べてみるね

452 :訳あり名無しさん:04/10/11 03:42:42
>>421
|∧
| .∧
|  ∧  
|   ヽ    
|    .\   ・・・・・・・・・・・・・・・・・・・・・・・・
|=・=- ∧/           ∧
|   / ヽ          / ヽ
|  /   ヽ_____/  ヽ
|/                \
|                   ヽ
|"´)   ●   \─/  ●   |'´)
|‐´         ヽ/       /´
|\                  /

453 :名無しさん@お腹いっぱい。:04/10/11 04:09:18
>>449
これ本当か?(笑

454 :名無しさん@お腹いっぱい。:04/10/11 04:26:31
>>449
こんな奴にHijackThisのFix指示を出すのがそもそもの間違いだ・・・
これってテンポラリファイルの削除した後にアンチウィルスソフト+Ad-awareSE+
Spybotかけるんじゃダメなのかなぁ?

455 :名無しさん@お腹いっぱい。:04/10/11 05:02:46
>>454
レジストリの実行用エントリが残るから
いきなりテンポラリ削除はまずいのでは?

456 :名無しさん@お腹いっぱい。:04/10/11 13:39:14
>>449
何をしたらこんなんなるんだろう、そっちが知りたい
詰め合わせぶちこんだのか?

457 :名無しさん@お腹いっぱい。:04/10/11 14:09:34
>>449ので興味あるのは
NortonAntiVirus2003と、Spybotが入ってるって事なんだよなー・・・
たぶん全然アップデートなんてしてないんだろうけど

こういうのを見ると、ちゃんとアップデートして最新の定義にするのが重要であって
ソフトを入れるだけじゃ無意味だよってつくづく思うよな

458 :名無しさん@お腹いっぱい。:04/10/12 01:48:37
>>456
ほんと、どうやったのか。
バンドルソフトとかしっかり入ってるとことか見ると???

459 :名無しさん@お腹いっぱい。:04/10/12 02:26:09


460 :あぼーん:あぼーん
あぼーん

461 :名無しさん@お腹いっぱい。:04/10/12 04:46:49
>>449
最強だろw

462 :名無しさん@お腹いっぱい。:04/10/12 05:21:12
なるほど。

463 :名無しさん@お腹いっぱい。:04/10/13 22:13:45
え?

464 :名無しさん@お腹いっぱい。:04/10/13 22:15:41
>>460はなんだったの?アボーンされてるけど

465 :名無しさん@お腹いっぱい。:04/10/13 23:18:45
>>464
アドレス晒しと思う

466 :名無しさん@お腹いっぱい。:04/10/13 23:25:08
質問すみません。
spybotとadaware,AV使用しました。
次にCWShredder使いました。(これは意味なかった)
最後にHijackを使ってhttp://www.higaitaisaku.com/hjtdatabase.html
にのってるあやスィ(・д・)やつ全部削除したつもりです。
おかげで調子は少し良くなったのです(勝手にシャットダウンとかしてたのがなくなった)が、ホームページの設定だけは直りません…
213.159.117.134です…流布した奴殺してやりたい…
どうすればよいのか教えてください。怖くてネットにはつないでません…

467 :名無しさん@お腹いっぱい。:04/10/13 23:38:26
>>466
ページはウィルスに感染しています!だそうだ
アンチウィルスソフトを入れて、全部のファイルをスキャンしてみろ
たぶん、CWS系のスパイウェアを入れるダウンローダーがあるはず

468 :467:04/10/13 23:42:10
213.159.117.134を、そのままアドレスとして入力したらって話ね
開いたとたんにCoolWebSearchのページが開いて、変なファイルを自動的にダウンロードしようとしてた
テンポラリファイルに入ったから、テンポラリファイルも一旦綺麗にした方がよさげ

469 :名無しさん@お腹いっぱい。:04/10/13 23:49:41
>>467
アンチウイルスソフトはもう使ったのですが…どうにも('A`)出てきません。

>>468
具体的になにをすればいいのでしょうか…教えてください。すみませぬ('A`)

470 :467:04/10/14 00:51:08
>>469
ここのテンプレに従って、全部の工程を作業
エロサイト見たら…助けて下さい!Part42
http://pc6.2ch.net/test/read.cgi/pcqa/1096953352/

いくらアンチスパイウェアソフトをいれていても、
アンチウィルスソフトが入っていなければあまり意味がないという事かと。
少なくとも、213.159.117.134にはウィルスが仕込まれてるので。

471 :名無しさん@お腹いっぱい。:04/10/14 00:52:14
スパイウエアにしっかりデジタルサインされているわけだが
スパイウエアを作る連中にデジタル証明書を発行するベリサイン社って

どうよ?

472 :名無しさん@お腹いっぱい。:04/10/14 02:07:39
ベリーグーだな。

473 :名無しさん@お腹いっぱい。:04/10/14 02:18:33
>>471
こっちに話題提供したれという事で
【ベリサイン】VeriSign 【証明書】
http://pc5.2ch.net/test/read.cgi/sec/1073635455/

474 :名無しさん@お腹いっぱい。:04/10/14 03:57:34


475 :ぼるじょあ ◆yBEncckFOU :04/10/15 02:09:04
   ∧∧∧∧∧∧ ∧
  ( (・( ・(・ ( ・3( ・3)     よい子の
  (つ(つ/つ//  二つ
ハァ─) .| /( ヽノ  ノヽっ ─・・・
   ∪∪とノ(/ ̄ ∪

               ∧
 ((  (\_ ∧ ∧ ∧ ∧ 3)っ
   ⊂`ヽ ( ・3・) _)3・) )  ノノ  質問
  ヽ ⊂\  ⊂ )  _つ
スゥ──(/( /∪∪ヽ)ヽ) ノ ──
      ∪ ̄(/ ̄\)

     (\  ∧ ∧   カッ
      < `( ・3・)       待ってるYO
       \ y⊂ )
       /    \
       ∪ ̄ ̄ ̄\)

476 :ぼるじょあ ◆yBEncckFOU :04/10/16 01:23:47
(・3・) エェー よいこの質問待ってるYO♪

477 :名無しさん@お腹いっぱい。:04/10/16 08:04:12
sage

478 :ぼるじょあ ◆yBEncckFOU :04/10/16 19:19:38
\\  ビ    \\  \  \\\  \\ \ \
 \\ \\ ュ    ウ     \\ \ \\
 \\  \\  \\  \ ウ  \\\ \\
 \\\  \\ \∧_∧      ウ  \\ \
  \\  \\  ( ・3・ ∧∧      ゥ\ \\
     \ \   (   (・3・ )  \\ \\ゥ\\
 \  \\   \| | |  ヽ    \\    ゥ
 \\ \ \\  (_(_UU( )〜′ \\  \\
 \  \\ \  | ̄ ̄|     ̄ ̄\ \\ \\
   \ \ \  / Y \  ∨  |   ̄ ̄ ̄ ̄ヽヽ
 \\  \\  |  |  |  \  ヽ
   たとえ人が来なくても、今はただ耐えるのだ!

479 :名無しさん@お腹いっぱい。:04/10/17 01:25:57
なんでここウイルスに感染してるの?

480 :名無しさん@お腹いっぱい。:04/10/17 01:41:02
スレがウィルスに感染する事はないよ
貼られているウィルスコードに反応しているだけ。

481 :名無しさん@お腹いっぱい。:04/10/17 02:10:47
スパイウェアは、システム復元、バックアップで、
パソコンをその前の状態にまで戻す、それで戻らない?

482 :名無しさん@お腹いっぱい。:04/10/17 02:30:02
>>481
システムの復元で元に戻すのも一つの解決方法です。

483 :ぼるじょあ ◆yBEncckFOU :04/10/17 13:31:41
(・3・) エェー よいこの質問待ってるYO♪

484 :名無しさん@お腹いっぱい。:04/10/17 18:07:12
某スレで、こちらでHijackThisのLOGを貼って、診断してもらえば?
と助言を頂いたので、ご助力願いたいのですが、
HijackThisの全LOG(70行程度)が必要なのでしょうか?

485 :名無しさん@お腹いっぱい。:04/10/17 18:24:22
>>484

>>144辺りを参考にして貼ってみたら。

486 :名無しさん@お腹いっぱい。:04/10/17 18:40:13
>>485
ありがとーです。
レスはちゃんと読まなきゃダメですな(;´д`)
ウィルス情報のスレでも書いたのですが、ご助言の参考になれば。
▼発現する症状
@1時間ごと(18時00分とか19時00分)のタイミングでproxybiketrust.exeが起動する
Aproxybiketrust.exeが起動するとCPUを占有され、使用率が100%キープされる。
Bproxybiketrust.exeはプロセス終了させればCPUが開放され、動作が軽くなる。
Cファイル検索を行ってもproxybiketrust.exe自身が見つからない。
Dノートン先生、Ad-awareでの走査ではウィルスとして検知されない。

▼HijackThisによるLOG
Logfile of HijackThis v1.98.2
Scan saved at 18:00:32, on 2004/10/17
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

▽続く

487 :484:04/10/17 18:42:06
▽続き
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Norton Internet Security\ccPxySvc.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\ups.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
c:\docume~1\sino-m\applic~1\stoppo~1\proxybiketrust.exe
C:\Documents and Settings\sino-m\デスクトップ\新しいフォルダ\HijackThis.exe

486も私です。
かなり長レスで申し訳ないです。ご助言よろしくお願いします

488 :名無しさん@お腹いっぱい。:04/10/17 19:49:26
>>486-487
いや、待て待て。貼ってあるログだけじゃ全然わからんつーの。
Proxybiketrust.exeってのはググっても出てこないんだけど、
コントロールパネルのアプリケーションの追加と削除に何か見覚えのないものがない?
ノートン先生はちゃんと最新の定義にアップデートしているかい?
SpybotやAd-awareSEは最新の定義にして試してみたかい?

それでも治らなければ、HijackThisの04エントリに、proxybiketrust.exeの含まれている
エントリがないかい?

489 :名無しさん@お腹いっぱい。:04/10/17 20:00:37
>c:\docume~1\sino-m\applic~1\stoppo~1\proxybiketrust.exe
問題のproxybiketrust.exeはApplication Data\Stoppo何とか\いかにあるんじゃね?

490 :名無しさん@お腹いっぱい。:04/10/17 20:06:59
>>487

>>144さんの貼り方を良く見て下さい
まだ、肝心な部分が貼られていませんよ。

491 :名無しさん@お腹いっぱい。:04/10/17 20:19:41
馬鹿共また釣られてんのか?

492 :名無しさん@お腹いっぱい。:04/10/17 20:31:52
O4 - HKLM\..\Run: [internat.exe] internat.exe
Nasty The entered application internat.exe was identified: ControlPanel. Hit rate: 22 % (result) Must be fixed!

O4-HKLM¥- ¥実行:汚い[国際競技会exe]国際競技会exe、入力された適用国際競技会exeが識別されました:ControlPanel。ヒット率:22%(結果)固定するに違いありません!

ほんと、嫌になるわ…

493 :名無しさん@お腹いっぱい。:04/10/17 20:50:59
絶対に最初のレスで間違えて2連投する回答者さん
消えちゃったね。

494 :名無しさん@お腹いっぱい。:04/10/18 00:24:35
回答した後、自論を語り始める回答者もいたなw

495 :ぼるじょあ ◆yBEncckFOU :04/10/18 04:55:21
>>492
(・3・) エェー 酷いですNE

496 :ぼるじょあ ◆yBEncckFOU :04/10/18 04:55:56
(・3・) エェー よいこの質問待ってるYO♪

497 :484:04/10/18 10:41:34
お願いします。

498 :名無しさん@お腹いっぱい。:04/10/18 11:52:06
>497
>>488とか>>490とかの書いたことの意味が読み取れてる?
なんだかとっても心配なのでまとめてみると

>>486-487だけじゃ情報が足りないからわからない。お願いされてもどうしようもない。
>>144-148のように、複数に分けてログ全部貼れ」

とまあ、こんな感じ。
ただ、この程度のニュアンスが通じないとなると、いくら有効なアドバイスがあっても
484は理解しきれなしんじゃないかと心配ではあるが。

499 :484:04/10/18 12:23:47
助言ありがとうございました。とうやら解決できたようです。

500 :ぼるじょあ ◆yBEncckFOU :04/10/18 18:23:49
>>499
(・3・) エェー 肝心な部分を貼り忘れたみたいですNE

   ∧∧∧∧∧∧ ∧
  ( (・( ・(・ ( ・3( ・3)     よい子の
  (つ(つ/つ//  二つ
ハァ─) .| /( ヽノ  ノヽっ ─・・・
   ∪∪とノ(/ ̄ ∪

               ∧
 ((  (\_ ∧ ∧ ∧ ∧ 3)っ
   ⊂`ヽ ( ・3・) _)3・) )  ノノ  質問
  ヽ ⊂\  ⊂ )  _つ
スゥ──(/( /∪∪ヽ)ヽ) ノ ──
      ∪ ̄(/ ̄\)

     (\  ∧ ∧   カッ
      < `( ・3・)       待ってるYO
       \ y⊂ )
       /    \
       ∪ ̄ ̄ ̄\)

501 :名無しさん@お腹いっぱい。:04/10/18 18:54:45
マカフィーの「パーソナルファイアーウォールプラス」(以下mpf)が
ネットに繋いだ後で、強制終了メニューを出すと「mpftray(応答なし)」に。
タスクトレイのMアイコンから一度無効にして有効にすると、ふつうに「mpftray」に
なるんですが、この問題は何が原因でしょうか。
これよりhijackthisのログを貼りますので、ご教授お願いします。

Logfile of HijackThis v1.98.2
Scan saved at 17:18:56, on 04/10/18
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\IMEJPMGR.EXE
C:\WINDOWS\デスクトップ\HIJACKTHIS\HIJACKTHIS.EXE
C:\WINDOWS\SYSTEM\MSCONFIG.EXE

502 :名無しさん@お腹いっぱい。:04/10/18 18:57:26
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - C:\PROGRAM FILES\MCAFEE.COM\VSO\MCVSSHL.DLL
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NMFTASK] NMFTASK.EXE /RESET
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\MCAFEE.COM\VSO\MCMNHDLR.EXE" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "C:\PROGRA~1\MCAFEE.COM\VSO\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] C:\PROGRA~1\MCAFEE.COM\AGENT\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\MCAFEE.COM\AGENT\MCUPDATE.EXE
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
O4 - HKLM\..\RunServices: [SAService] C:\CyberTrio\SaService.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [McVsRte] C:\PROGRA~1\MCAFEE.COM\VSO\mcvsrte.exe /embedding
O4 - Startup: いま、いくら?.lnk
O4 - Startup: タイマチェック.LNK = C:\Timer\Nectmchk.exe

503 :名無しさん@お腹いっぱい。:04/10/18 18:58:06
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .mpg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O12 - Plugin for .png: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin6.dll
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://bin.mcafee.com/molbin/shared/mcinsctl/jp/4,0,0,84/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://bin.mcafee.com/molbin/shared/mcgdmgr/jp/1,0,0,21/mcgdmgr.cab

504 :名無しさん@お腹いっぱい。:04/10/18 19:06:11
>>501-503
HijackThisで出てくる範囲だと、変なエントリはRelatedだけだね
(これはAd-awareSEなりSpybotで除去できるスパイウェア)
Ad-awareSEとSpybot使ってスキャンすれば、HijackThisで出てくる問題点は特にないと思う

マカフィーのパーソナルファイヤーウォールの設定の問題の可能性があるので
http://www.mcafeesecurity.com/japan/mcafee/faq/default.asp?submit1=TRUE
ここで検索してみて、それでもわからないならば
がんばれマカフィーPART11
http://pc5.2ch.net/test/read.cgi/sec/1096245329/
こっちで質問するのがよいかと思うよ

505 :名無しさん@お腹いっぱい。:04/10/18 19:37:17
>504
そうですか、ありがとうございました。
失礼します。

506 :名無しさん@お腹いっぱい。:04/10/19 14:24:38
マカの話題がでたついでに、少々お聞きしたい事が。
現在マカをアンインストールをしてバスター入れているのですが
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
のエントリはマカフィーツールバーの残骸なんでしょうか?
>>502の03エントリを見てて気がついたのです)
残骸ならフィックした方がよいですかね・・・


507 :名無しさん@お腹いっぱい。:04/10/19 14:32:35
>>506
http://computercops.biz/clsid-895.html
間違いなくその残骸かと。

基本的に、no fileとなっているものは実行ファイルが既にないという事なので
無害であり、特に気にならないならFixしなくても平気だったりします。
が、俺の場合はいらないレジストリエントリがあるのが何となく嫌なのでFixします。
お好みでよいかと


508 :名無しさん@お腹いっぱい。:04/10/19 14:55:15
>>507
やはりそうでしたか・・。フィックする事します。
ありがとうございました。

509 :名無しさん@お腹いっぱい。:04/10/19 20:35:43
>501ですが、今日はそのような症状が見られませんでした。
hijackthisの問題のエントリーもfixしていませんし、mpfの設定も
いじっていません。やっぱりバグなのか、俺のパソコン自体に問題があるのか、
それとも今日だけなのか、また明日になればわかるよね。
って板違いですね。

510 :名無しさん@お腹いっぱい。:04/10/19 20:42:37
>>509
軽く喰らってる事は確か。

511 :名無しさん@お腹いっぱい。:04/10/19 20:51:10
>510
悪質な奴で無かったらスルーしてもいいですか?
つーか、自動起動プログラムを見ても怪しい項目が見当たらないんですが。
一応ヒマなときにググって調べてみます。

512 :名無しさん@お腹いっぱい。:04/10/19 21:36:32
>>511
というか、SpybotとAd-awareSEをダウンロードしてスキャンすれば
綺麗になるよ、レジストリ上は。HijackThisでFixするまでもないかと。

513 :名無しさん@お腹いっぱい。:04/10/19 21:50:17
>512
それやってみようかな…

それより再起動したら変なエラーが出たぞ!
テキスト開いたらこんなメッセージが表示されていた。
*********
McAfee Personal Firewall Plus によって、MPFTRAY.EXE にエラーが生成されました。

Time:10/19/2004 21:06:57
Build:6014

Exception:ACCESS_VIOLATION (C0000005)
Location:BFF7A388 => C:\WINDOWS\SYSTEM\KERNEL32.DLL [02:00001388]

Registers:
EAX: 00F0FD18
EBX: 00001414
ECX: 93E5CB3D
EDX: CD5B2620
ESI: 00F1EC10
EDI: 0174EDC0

CS:EIP: 0167:BFF7A388
SS:ESP: 016F:006DDE14 EBP: 006DDE38

DS: 016F ES: 016F FS: 390F GS: 0000

Flags: 00010206

514 :名無しさん@お腹いっぱい。:04/10/19 21:50:56
Call Stack:
Address Frame Logical Addr Module
BFF7A388 006DDE38 0002:00001388 C:\WINDOWS\SYSTEM\KERNEL32.DLL
BFF7A550 006DDE60 0002:00001550 C:\WINDOWS\SYSTEM\KERNEL32.DLL
BFF88F4A 006DDE74 0002:0000FF4A C:\WINDOWS\SYSTEM\KERNEL32.DLL
0046D24D 006DDEB0 0001:0006C24D C:\PROGRAM FILES\MCAFEE.COM\PERSONAL FIREWALL\MPFTRAY.EXE
0046D26F 006DDF18 0001:0006C26F C:\PROGRAM FILES\MCAFEE.COM\PERSONAL FIREWALL\MPFTRAY.EXE
0048C50E 006DDF8C 0001:0008B50E C:\PROGRAM FILES\MCAFEE.COM\PERSONAL FIREWALL\MPFTRAY.EXE
BFF7363B 006DDFAC 0001:0000263B C:\WINDOWS\SYSTEM\KERNEL32.DLL
BFF945AF 006DDFC0 0002:0001B5AF C:\WINDOWS\SYSTEM\KERNEL32.DLL

KERNEL32.DLL って>501のRun-プロセスにあるじゃねーか!
こいつが問題起こしてるのかな?

515 :名無しさん@お腹いっぱい。:04/10/19 22:30:07
レジストリ内を「cnsmin」で検索かけたら見つかった!
この場合、迷わず削除するべきですか?

516 :名無しさん@お腹いっぱい。:04/10/19 22:37:25
>>513-514
>>501-503さんのHijackThisログに対しては、>>512という話ね。他の人は知らない
マカフィースレで聞いてみた方がいいと思うよ、Kernel32.dllはシステムファイルだし

>>515
レジストリいじるだけでは、数があまりに多すぎてまずCnsMinを駆除するのは不可能
コンパネから削除するなり、被害対策の部屋のコンテンツを見て駆除した方がいいよ

517 :名無しさん@お腹いっぱい。:04/10/20 04:50:27
良スレage

518 :ぼるじょあ ◆yBEncckFOU :04/10/21 01:04:31
(・3・) エェー よいこの相談待ってるYO♪

519 :ぼるじょあ ◆yBEncckFOU :04/10/21 22:01:53
(・3・) エェー よいこの相談待ってるYO♪

520 :名無しさん@お腹いっぱい。:04/10/21 23:48:52
sage

521 :名無しさん@お腹いっぱい。:04/10/23 05:07:38
おや?

522 :名無しさん@お腹いっぱい。:04/10/23 21:03:31
>ぼるじょあ ◆yBEncckFOUさんへ

>c:windows\explorer
を削除しようと試しましたが、使用中です。と
言われたので、セーフモードで立ち上げて消そうとしたのですが、
使用中です。と言われたので半場諦めモード突入です。
どうやって消したらいいんですか教えて下さい!

523 :522:04/10/23 23:54:06
エロサイトのウィルスに感染して困った時期がありました。
osはwindowsでブラウザはieでした。
アップデートも前は定期的に行なっていました。
セキュリティソフトもパソコンにインストールされていた時もありました。
パソコンをスキャンしてみたら、c:windows\explorer.exeが存在しないと
言われたので、これは緊急事態!
ということなのでc:windows\explorer.exeを削除を試しましたが、
windowsが使用中です。と言われて削除ができないので、
レジストリエディタを開いてexplorer.exeを検索してhitした項目を
片っ端から削除。そして再起動。
起動できなくなり、すっきりしました。
無事解決しました。ありがとうございます。

524 :名無しさん@お腹いっぱい。:04/10/25 15:01:34


525 :ぼるじょあ ◆yBEncckFOU :04/10/25 15:08:16
(・3・) エェー

526 :ぼるじょあ ◆yBEncckFOU :04/10/27 21:37:33
(・3・) アルェー よいこの質問待ってるYO♪

527 :名無しさん@お腹いっぱい。:04/10/27 23:20:45
ねえよ。残念。

528 :名無しさん@お腹いっぱい。:04/10/30 00:40:09
ぼるじょあさん、暇そうね・・・

529 :ぼるじょあ ◆yBEncckFOU :04/10/30 12:44:14
>>528
(・3・) エェー ありがとうだYO

530 :名無しさん@お腹いっぱい。:04/11/04 01:30:21
>>529
お忙しいところ恐れ入ります
質問です
一応、ハイジャックのツールを使って
EliteToolBarを消したんですけど
アプリケーションに行くと、エキスプローラーマークに
EliteBar Internet Explorer Toolbarと表示されている
UNINSTALLPROGRAMLISTでログとりますと
"DisplayName"="EliteBar Internet Explorer Toolbar"が残ってるんですけど
これは削除されてないと言うことなのでしょうか?

531 :ぼるじょあ ◆yBEncckFOU :04/11/04 02:10:41
>>530
(・3・) エェー >>34の作業を実行してみてNE

(・3・) エェー それでも、コンパネに残る様でしたら
           ↓を使ってみて下さいYO

  http://www.vector.co.jp/soft/win95/util/se259857.html

532 :名無しさん@お腹いっぱい。:04/11/04 18:27:38
>>531
ありがとうございました
>>34の作業済み後にかきこみました
このツール凄いです。

533 :名無しさん@お腹いっぱい。:04/11/09 00:03:08
さぁ!盛り上がってまいりました!
tp://www.higaitaisaku.com/cgi-bin/cbbs.cgi?mode=all&namber=48592&type=0&space=0&no=0


534 :名無しさん@お腹いっぱい。:04/11/09 01:54:18
1.年齢、月収・・・・・・・・・・・・・・・

535 :名無しさん@お腹いっぱい。:04/11/12 16:51:15
素直というか無知というか・・・・

536 :名無しさん@お腹いっぱい。:04/11/12 20:35:13
あそこも回答者の質が落ちたな

537 :名無しさん@お腹いっぱい。:04/11/13 18:56:55
キャットタソも居なくなったし・・・

538 :名無しさん@お腹いっぱい。:04/11/14 00:20:23
まだまだ盛り上がってます
tp://www.higaitaisaku.com/cgi-bin/cbbs.cgi?mode=all&namber=4862&type=0&space=0&no=3


539 :名無しさん@お腹いっぱい。:04/11/14 20:12:54
これアンインストールってどうやってすんの?

540 :名無しさん@お腹いっぱい。:04/11/14 21:09:11
>>539
実行ファイルをDLして使用してるだけならフォルダごと削除
インストーラーを使用したならコントロールパネルからアンインスコ

几帳面ならこれも削除しとけ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Soeperman Enterprises Ltd.\HijackThis


541 :名無しさん@お腹いっぱい。:04/11/14 22:26:07
ConfigのMisc ToolsにあるUninstall hijackThis & Exitじゃだめなの?

542 :名無しさん@お腹いっぱい。:04/11/19 18:22:40
>>538
もう見れない・・・・・

543 :名無しさん@お腹いっぱい。:04/11/20 08:50:37
あんのん擁護の群青があんのん避難の書き込みを全て削除
最終的には親書き込みを含めて全ログ削除

544 :名無しさん@お腹いっぱい。:04/11/20 23:35:25
>>543
どんな内容だったんですか?

545 :名無しさん@お腹いっぱい。:04/12/19 11:02:31
about blankの一種のsearch…がでてくるやつにかかったんだけど…Hijack Thisでしらべたらこうなりました。

546 :名無しさん@お腹いっぱい。:04/12/19 11:08:27
Logfile of HijackThis v1.98.2
Scan saved at 23:08:40, on 04/12/18
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE
C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WEBSCANX.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\HIDSERV.EXE
C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSSTAT.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\COMMON FILES\FUJITSU SHARED\BTNHND.EXE
C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\AVCONSOL.EXE
C:\PROGRAM FILES\FUJITSU\AUV\AUVCORE.EXE
C:\WINDOWS\SYSTEM\IMEJP98M.EXE
C:\PROGRAM FILES\DI\HATCHINSIDE\HATCHINSIDE.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\GIKONAVI\GIKONAVI.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\デスクトップ\HIJACKTHIS\HIJACKTHIS.EXE

547 :名無しさん@お腹いっぱい。:04/12/19 11:09:00
O2 - BHO: IAtlIE Class - {4449EEE1-2955-11D3-8B43-0000E20DA208} - C:\PROGRA~1\INETLITE\ATLIE.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: (no name) - {E42E7DE1-4FB4-11D9-99ED-000763299CB1} - C:\WINDOWS\SYSTEM\BIGPPL.DLL
O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [LoadBtnHnd] C:\Program Files\Common Files\Fujitsu Shared\BtnHnd.exe
O4 - HKLM\..\Run: [AvconsoleEXE] C:\Program Files\Network Associates\McAfee VirusScan\avconsol.exe /minimize
O4 - HKLM\..\Run: [Vshwin32EXE] C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE
O4 - HKLM\..\Run: [VsStatEXE] C:\Program Files\Network Associates\McAfee VirusScan\VSSTAT.EXE /SHOWWARNING
O4 - HKLM\..\Run: [McAfeeWebScanX] C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe
O4 - HKLM\..\RunServices: [Hidserv] Hidserv.exe run
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Vshwin32EXE] C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE
O4 - HKLM\..\RunServices: [McAfeeWebScanX] C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe /RUNSERVICES


548 :名無しさん@お腹いっぱい。:04/12/19 11:09:32
O4 - Startup: FM便利ツール.lnk
O4 - Startup: hatchinside.exe.lnk = C:\Program Files\DI\HatchInside\hatchinside.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O18 - Filter: text/html - {E42E7DE0-4FB4-11D9-99ED-00070C65392A} - C:\WINDOWS\SYSTEM\BIGPPL.DLL
O18 - Filter: text/plain - {E42E7DE0-4FB4-11D9-99ED-00070C65392A} - C:\WINDOWS\SYSTEM\BIGPPL.DLL


「your system infected」という表示がよく出てきます。
どこをFIXしましょう??
adwareで消そうとすると除去途中の画面でとまってしまいます。

549 :名無しさん@お腹いっぱい。:04/12/19 11:26:58
>>548
>adwareで消そうとすると除去途中の画面でとまってしまいます。
たぶんね、それはまだ除去途中なだけだと思うんだな。
最新の定義にして、寝る前にスキャンかけておくといいと思うよ
あと、セーフモードでもう1回スキャンした方がよさそう。

550 :名無しさん@お腹いっぱい。:04/12/19 22:04:18
 >>549 ありがとうございます。

551 :545:04/12/19 22:24:40
試してみたらDELETING SELECTIONのゲージが最後までたまった状態で10分くらいそのままになってるんですが…

552 :545:04/12/20 19:06:56
adawareでは消せませんでした。どうしましょう??

553 :たぬたんなりよ(=^u^=):04/12/20 21:03:09
>>552
(=^u^=)つ 98のトラブルは大体この方法で解決するなりよ
        ●一番古い日付は不可なり。

MS-DOSモードで起動
「 scanreg /restore 」 と入力
(すべて半角、scanregの後に半角スペース)
レジストリのバックアップが表示されるので、問題なく動作していた日付を選択
「復元完了」と表示されたら「R」キーを押して再起動するなり

スタート>検索>ファイルやフォルダ トラブルのあった日に
作成されたファイルで見覚えのないものを削除するなり。

554 :名無しさん@お腹いっぱい。:04/12/22 22:44:46
>>552
ここは見てみた?
http://www.higaitaisaku.com/removeaboutblank.html

555 :552:04/12/23 22:32:33
  >>553 >>554ありがとうございます。


556 :名無しさん@お腹いっぱい。:05/01/16 06:07:18
直った?

557 :名無しさん@お腹いっぱい。:05/01/21 11:38:55
Hijack Thisのサイトのどこかに以下

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
...............

のような結果を貼り付けて送信すると
なにとなにを削除したほうがよいと自動的に分析してくれるところがありましたよね。
以前それで除去に成功できたんですけどURLを教えてください。

>>1にある関連サイトhigaitaisaku・・・は全部 INTERNET OPTIMIZER になっちゃってます。

558 :名無しさん@お腹いっぱい。:05/01/21 12:23:54
>>557
( ・∀・)つhttp://www.hijackthis.de/index.php?langselect=english

でもいきなりHijackthisじゃなくて、アンチウィルスソフト、Ad-aware、Spybotで
掃除してからの方がいいよ
INTERNET OPTIMIZERは割と既出なスパイウェアだから、対策ソフトで掃除可能な
場合も結構多いので

559 :名無しさん@お腹いっぱい。:05/01/21 13:11:25
>>558感謝です。

560 :名無しさん@お腹いっぱい。:05/02/03 22:45:00
この間掲示板を見ていたら、ブラクラっぽいのを踏んで、スパイウェアをダウンロ
ードさせられてしまいました。
spybotをもともと持っていたので、Coolwwwsearchというのを削除しました。
しかし、スタートページが勝手に変えられてしまったり、デスクトップの表示が変だった
りするのがなおりません。
そこで、調べていくとon-line.exeというのもダウンロードさせられていたみたいでした。
それに関連すると思われるのを1つ手動で削除したのですが、それでも直りません。
どうしたらよいでしょうか。よろしくおねがいします。

IEを開いたときに表示させられてしまう物のSSです。
http://atticroom.fc2web.com/files/Img/ss.jpg

561 :560:05/02/04 00:37:27
連続レススマソ。
Ad-awareとspybotを併用したのに消えませんですた。
どうしたらいいかおしえてください。

562 :名無しさん@お腹いっぱい。:05/02/04 00:42:31
>>560
on-line.exeは確かウィルスだった気がするんだけど、
アンチウィルスソフトは入ってる?あるいはオンラインスキャンしてみた?
CWShredderは使ってみた?

563 :名無しさん@お腹いっぱい。:05/02/04 00:42:48
サイトの管理人?

564 :名無しさん@お腹いっぱい。:05/02/04 00:43:05
再インスコw

565 :560:05/02/05 22:18:57
>>562
アンチウイルスソフトは、ウイルスセキュリティっていうのが入っています。
CWShredderはまだです。やってみますた。

566 :名無しさん@お腹いっぱい。:05/02/15 21:56:22
ttp://www.higaitaisaku.com/hijackthis.html
↑で赤字で「これらは絶対にFixしてはいけません。」て書かれていたの忘れて、
hijack thisでo18のところを全部FIXしてしまいました
メールが開けなくなりました・・・
リカバーしたいのですが、誰かやり方を教えていただけないでしょうか?

567 :たぬたんなりよ(=^u^=):05/02/15 22:14:24
>>566
(=^u^=)つ

「Config」→「Backups」を選ぶと、これまで処理したファイルの一覧が出ます。
これらは削除したエントリーごとに作られるので、個別のエントリーを復帰/削除できます
復活したいファイルを指定して「Restore」をクリックすると確認メッセージが出ます
「はい」をクリックすればリストアされます

568 :名無しさん@お腹いっぱい。:05/02/15 22:26:55
>>567
おお!直りました!!
たぬたん、ありがとう〜
こんな親切な人初めてです(^-^*)

569 :名無しさん@お腹いっぱい。:05/02/22 03:54:15
オットのパソコンをなおそうとがんがったけどだめですorz
>>558でチェックしてます。
nastyとなってるのを削除何度もするのに何度でも01が復活します。
O1 - Hosts: 69.20.16.183 auto.search.msn.com
Nasty This entry should be fixed immediately! Must be fixed!
O1 - Hosts: 69.20.16.183 search.netscape.com
Nasty This entry should be fixed immediately! Must be fixed!
O1 - Hosts: 69.20.16.183 ieautosearch
spybotもhijackthisも試しました。
hijackthisで?になっているのは以下のとおり。
C:\WINDOWS\system32\CNAC1RPK.EXE
C:\Program Files\GW-NS11C Utility\WlanUtility.exe
Unknown running process. (WlanUtility.exe)
O4 - HKLM\..\Run: [yikejpf] C:\WINDOWS\System32\xinlee.exe
Unknown
Hit rate: 8 % (result) Unknown application.
O4 - HKLM\..\Run: [vkp] C:\WINDOWS\vkp.exe
Unknown
Hit rate: -1 % (result) Unknown application.
O4 - HKLM\..\Run: [SysView] C:\WINDOWS\System32\Sysview.exe
Unknown
Hit rate: 8 % (result) Unknown application.
O20 - Winlogon Notify: Internet Settings - C:\WINDOWS\system32\lv0q09d5e.dll
Unknown
O21 - SSODL: ProxiHook - {54F89558-2511-4200-A8A1-FA2C78D2986E} - Msshtask.dll (file missing)
あとはsafeでした。どなたか教えてエロイ人<(_ _)>

570 :名無しさん@お腹いっぱい。:05/02/22 18:36:43
まあエロいご主人ですことw

571 :名無しさん@お腹いっぱい。:05/02/22 20:16:45
>570
もちろんはったおしましたがなにか?
どこで感染したんじゃマジできれる

572 :たぬたんなりよ(=^u^=):05/02/23 01:15:20
>>569
(=^u^=) たぬたんが見たところ全消しなりね。

以下の作業を実行するなり。

hostsファイルの削除
http://www.higaitaisaku.com/hosts.html

次にHijackThis以外のウィンドウをすべて閉じ、
エントリにチェックを入れてFix後、PCを再起動するなり。

そして関連ファイルを削除するなり。
念の為にゴミ箱に10日位は残しておくなり。

セーフモードでAd-Aware SE、Spybot1.3、CoolWebSearch
http://www.higaitaisaku.com/removecws.html

最後に IE 関連レジストリの完全なリセット
http://www.higaitaisaku.com/cleanfixreg.html

(=^u^=) 他の回答者さんの意見も参考に作業して下さいなりね。

573 :名無しさん@お腹いっぱい。:05/02/24 07:54:40
エロサイト巡りの後始末を奥さんにやらせるってのもねえw

574 :名無しさん@お腹いっぱい。:05/02/24 23:56:42
>>573 まあね。結局解決方法をメール発射してもぜんぜん理解できないって
言ってたし。どこのサイト行ってそんなことになったのかが分からないってのもどうかと。

で、奥さんはスキルアップしていくわけだが。
どっかでネタにしてやろうと思ってますよ。
>>572たぬたんサンクスコ!まずはやってみます。

575 :名無しさん@お腹いっぱい。:05/02/25 10:15:55
NTFSでフォーマットして
制限ユーザーアカウント作って旦那にはそれだけ使わせとけ

576 :名無しさん@お腹いっぱい。:05/02/25 17:36:44
>>573
そりゃ奥さんがやらせてあげないからだ

577 :名無しさん@お腹いっぱい。:05/02/26 01:23:13
>>572
いや、驚いた。
hostsファイルを上書きしてもすぐ自動で書き込みします。
その内容は以下のとおり。
127.0.0.1 www.igetnet.com
127.0.0.1 code.ignphrases.com
127.0.0.1 clear-search.com
127.0.0.1 r1.clrsch.com
127.0.0.1 sds.clrsch.com
127.0.0.1 status.clrsch.com
127.0.0.1 www.clrsch.com
127.0.0.1 clr-sch.com
127.0.0.1 sds-qckads.com
127.0.0.1 status.qckads.com
69.20.16.183 auto.search.msn.com
69.20.16.183 search.netscape.com
69.20.16.183 ieautosearch
69.20.16.183 ieautosearch

検索すると外国語ばかり。日本のこういう事例はないのか。
どうやったら上書きされないですむのかな。


578 :名無しさん@お腹いっぱい。:05/02/26 05:46:05
あははははっはっはっは

579 :たぬたんなりよ(=^u^=):05/02/26 07:05:48
>>577
(=^u^=) そうなりか、一度最新のログを全部貼り付けて下さいなり。

580 :名無しさん@お腹いっぱい。:05/02/26 11:04:48
hostsファイルを読み取り専用にすれば?

581 :名無しさん@お腹いっぱい。:05/02/27 00:22:19
>>580 読み取り専用をはずしてニョキニョキと上書きしてくるYO!
hostsファイルの名前をhost2と言う名前にしたら
新たにhostsファイルがニョキニョキと生えてくるよ(T0T)
>>579
Logfile of HijackThis v1.99.1
Scan saved at 0:16:05, on 2005/02/27
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\TRENDM~1\VIRUSB~1\PcCtlCom.exe
C:\PROGRA~1\TRENDM~1\VIRUSB~1\Tmntsrv.exe C:\PROGRA~1\TRENDM~1\VIRUSB~1\tmproxy.exe
C:\WINDOWS\system32\fxssvc.exe C:\WINDOWS\system32\CNAC1RPK.EXE
C:\WINDOWS\Explorer.EXE C:\PROGRA~1\TRENDM~1\VIRUSB~1\TmPfw.exe
C:\PROGRA~1\TRENDM~1\VIRUSB~1\PccGuide.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\carpserv.exe C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Program Files\iPod\bin\iPodService.exe C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe C:\Program Files\GW-NS11C Utility\WlanUtility.exe
C:\WINDOWS\System32\svchost.exe C:\backup\hijackthis_199\HijackThis.exe
続く 

582 :名無しさん@お腹いっぱい。:05/02/27 00:24:13
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
N3 - Netscape 7: user_pref("browser.startup.homepage", "http://www.yahoo.co.jp/"); (C:\Documents and Settings\剛司\Application Data\Mozilla\Profiles\default\eycvidmo.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CAOL_Japan.src"); (C:\Documents and Settings\剛司\Application Data\Mozilla\Profiles\default\eycvidmo.slt\prefs.js)
O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe


583 :名無しさん@お腹いっぱい。:05/02/27 00:25:57
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [imjpmig] C:\Program Files\Common Files\Microsoft Shared\IME\IMJP\imjpmig.exe /RemAdvDef /AIMEREG /Migration /SetPreload
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [yikejpf] C:\WINDOWS\System32\xinlee.exe O4 - HKLM\..\Run: [vkp] C:\WINDOWS\vkp.exe
O4 - HKLM\..\Run: [SysView] C:\WINDOWS\System32\Sysview.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Virus Buster 2005\pccguide.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background


584 :名無しさん@お腹いっぱい。:05/02/27 00:27:00
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: このページのキャッシュ - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: リンク元 - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: 関連ページ - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {3BA66EC1-3F6A-49DD-A359-CBAA1290469F} (ToonsXYJ Control) - http://comics.yahoo.co.jp/component/ToonsXYJ.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/22e6f7627ca99c50bf14/netzip/RdxIE601_ja.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/jp/win/QuickTimeInstaller.exe
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O16 - DPF: {E549AC3F-9A90-4EBF-AF69-8B8CC0954DB2} (ToonsXYahooJapan Control) - http://comics.yahoo.co.jp/component/ToonsXYahooJapan.cab


585 :名無しさん@お腹いっぱい。:05/02/27 00:27:39
O20 - Winlogon Notify: ModuleUsage - C:\WINDOWS\system32\r4r60e9seh.dll
O21 - SSODL: ProxiHook - {54F89558-2511-4200-A8A1-FA2C78D2986E} - Msshtask.dll (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\VIRUSB~1\PcCtlCom.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\VIRUSB~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\VIRUSB~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\VIRUSB~1\tmproxy.exe
これで最後でつ。お手数おかけしてすみません<(_ _)>


586 :名無しさん@お腹いっぱい。:05/02/27 06:26:52
奥さん、おいらのニョキニョキも助けてください!

587 :名無しさん@お腹いっぱい。:05/02/27 15:48:48
毒男氏ね

588 :名無しさん@お腹いっぱい。:05/02/27 22:45:25
585です。結局主人は再インスコしますた。
それによりhostsファイルはニョキニョキしなくなりました。
もうちょっと人柱になってもよかったと思うのですがスレ汚しになって
すみませんでした。
どこに行ったのかわかりませんでしたが、今思えばsearch the webという
googleツールバーみたいなものがかつて下のほうにありました。
alexaツールバーみたいともいいますが、それが今思うと胡散臭かったような気がします
たぬたんタソありがとうございました。本当に感謝感激です。

589 :たぬたんなりよ(=^u^=):05/02/27 23:38:19
>>588
(=^u^=) ゲッ!!!ごめんなり、たぬたん今帰ってきたなり。
     もう遅いなりが参考までに貼っておくなり m(_ _)m

    Kill2MeとeScanを使ったLook2Meの対処法
    http://tinyurl.com/52x42

590 :解析お願いします:05/03/11 10:08:42
どれが危険なのかわかりません
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\AMD\Cool'n'Quiet\GemServ.exe

591 :解析お願いします:05/03/11 10:10:06
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\WINNT\system32\imejpmgr.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\ja\msnappau.exe
C:\Program Files\Motherboard Monitor 5\MBM5.EXE
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\WINNT\system32\ezSP_Px.exe
C:\WINNT\system32\internat.exe
C:\Program Files\メモリの掃除屋さん\MemCleaner.exe
C:\WINNT\system32\conime.exe
C:\Documents and Settings\Administrator\デスクトップ\hijackthis\HijackThis.exe

592 :解析お願いします:05/03/11 10:11:48
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\ja\msntb.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1041,ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\ja\msntb.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\ja\msnappau.exe"

593 :解析お願いします:05/03/11 10:13:47
O4 - HKLM\..\Run: [MBM 5] "C:\Program Files\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINNT\system32\ezSP_Px.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O8 - Extra context menu item: Net Transportでダウンロード - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: 全てをNet Transportでダウンロード - C:\Program Files\Xi\NetTransport 2\NTAddList.html

594 :解析お願いします:05/03/11 10:15:52
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/17de158676701f45d505/netzip/RdxIE601_ja.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/jp/win/QuickTimeInstaller.exe
O16 - DPF: {8123E390-5EF7-11D5-A72E-006097BFA1AC} (EPSON Driver Auto-Install Control Class) - http://www.i-love-epson.co.jp/support/selfsetup/prg/estdinst.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by101fd.bay101.hotmail.msn.com/activex/HMAtchmt.ocx
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
O23 - Service: AMD PowerNow! (tm) Technology Service (GemServ) - Advanced Micro Devices - C:\Program Files\AMD\Cool'n'Quiet\GemServ.exe
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

595 :名無しさん@お腹いっぱい。:05/03/12 20:39:28
分析と研究はするが、助言をするかは判らない。

596 :かずどん:05/03/16 09:52:26
はじめまして今www.advnt01のサイトがie立ち上げるたびに出てきて
悩んでいますt_t)自分なりにHijackで調べてみたものの
全くわからなくて行き詰ってしまいました。
諸先輩方どうかお力を貸してやってださいm(__)m

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton Internet Security\ccPxySvc.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\rkhipy.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\ISTsvc\istsvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AutoCAD LT 2002\aclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Cg\新しいフォルダ\hijackthis\HijackThis.exe

597 :かずどん:05/03/16 09:53:19
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [JobHisInit] C:\Program Files\RMClient\JobHisInit.exe
O4 - HKLM\..\Run: [MplSetUp] C:\Program Files\RMClient\MplSetUp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [d7aw] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [sais] c:\program files\180solutions\sais.exe
O4 - HKLM\..\Run: [lyr] C:\WINDOWS\lyr.exe
O4 - HKLM\..\Run: [C>糎INDOWS\roロiaYァC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [C:\WINDOW1<rkhipy.eC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [d7aiC:\WINDOWS\khiC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [-
] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [Fュ] C:\WINDOWS\rkhipy.exe

598 :かずどん:05/03/16 09:54:00
O4 - HKLM\..\Run: [>曾WINDOWS\rkhipy.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [>曾WINDOWS\,hipy.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [C:\WINDOWS\rkhipy.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [>曾WINDOWS\rka$py.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [>曾WINDOWS\,a\y.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [>曾WINDOWS\,a\y\xC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [>曾WINDOWS\,aコaaYC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [>曾WINDOWS\{oaコoロ・C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [>繕・NDOWS\{oロ・oロ・C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [>繕・NDOWS\{oロ・oロ譏C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [>詮ュワ(DOWS\{oロ譏oロ譏C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [^ヤ}ネ ン9ソフ*]M・タa_:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [>曾WINDOWS\a$oロpy\xC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [C>糎INDOW1<roロiaYァC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [C>糎INDOW1<a$ロ,YァC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [ccApp] C:\Program Files\Common Files\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [^ヤ] C:\WINDOWS\rkhipy.exe

599 :かずどん:05/03/16 09:54:23
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [C:\WINDOWS\a$oロpy\xC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [C:\WINDOWS\a$oロ,\xC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [C>糎INDOWS\aコaaYァC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [U・WINDOWS\,hipy.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [U・WINDOWS\,a$py.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [U6・NDOWS\,a$py.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun の Java コンソール - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: (no name) - {6224f700-cba3-4071-b251-47cb894244cd} - (no file)
O9 - Extra button: (no name) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.applied-net.co.jp

600 :かずどん:05/03/16 09:55:22
O16 - DPF: Yahoo! JAPAN Othello - http://yog34.games.mci.yahoo.co.jp/yog/yj/rt1_x.cab
O16 - DPF: {1F831FAA-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Program Files\AutoCAD LT 2002\InstFred.ocx
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/09d9a5fffd4318558623/netzip/RdxIE601_ja.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://218.44.249.130:8081/activex/AxisCamControl.cab
O16 - DPF: {A890AED3-A23B-4F76-BD69-D6AFB6A2296E} (WebViewer Class) - http://211.122.206.190/JViewer.cab
O16 - DPF: {AE56372A-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Program Files\AutoCAD LT 2002\InstBanr.ocx
O16 - DPF: {B942A249-D1E7-4C11-98AE-FCB76B08747F} (RealArcadeRdxIE Class) - http://games-dl.real.com/gameconsole/Bundler/CAB/RealArcadeRdxIE.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview コントロール) - file://C:\Program Files\AutoCAD LT 2002\AcPreview.ocx
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

601 :かずどん:05/03/16 09:56:10
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\ccPxySvc.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\Norton Internet Security\NISUM.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

長々と失礼しましたよろしくお願いします

602 :たぬたんなりよ(=^u^=):05/03/17 19:54:33
>>601
(=^u^=) ネットに繋いだ状態でコンパネからIST svcを削除するなり。

    HijackThis以外のウィンドウをすべて閉じ、
    エントリにチェックを入れてFix後、PCを再起動するなり。
     RealPlayer関連の不要エントリも含むなり。

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [d7aw] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [sais] c:\program files\180solutions\sais.exe
O4 - HKLM\..\Run: [lyr] C:\WINDOWS\lyr.exe
O4 - HKLM\..\Run: [C>糎INDOWS\roロiaYァC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [C:\WINDOW1<rkhipy.eC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [d7aiC:\WINDOWS\khiC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [-] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [Fュ] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [>曾WINDOWS\rkhipy.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [>曾WINDOWS\,hipy.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [C:\WINDOWS\rkhipy.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [>曾WINDOWS\rka$py.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [>曾WINDOWS\,a\y.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [>曾WINDOWS\,a\y\xC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [>曾WINDOWS\,aコaaYC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [>曾WINDOWS\{oaコoロ・C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [>繕・NDOWS\{oロ・oロ・C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [>繕・NDOWS\{oロ・oロ譏C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe

603 :たぬたんなりよ(=^u^=):05/03/17 19:55:07
(=^u^=) 続きなり

O4 - HKLM\..\Run: [>詮ュワ(DOWS\{oロ譏oロ譏C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [^ヤ}ネ ン9ソフ*]M・タa_:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [>曾WINDOWS\a$oロpy\xC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [C>糎INDOW1<roロiaYァC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [C>糎INDOW1<a$ロ,YァC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [^ヤ] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [C:\WINDOWS\a$oロpy\xC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [C:\WINDOWS\a$oロ,\xC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [C>糎INDOWS\aコaaYァC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [U・WINDOWS\,hipy.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [U・WINDOWS\,a$py.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [U6・NDOWS\,a$py.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O9 - Extra button: (no name) - {6224f700-cba3-4071-b251-47cb894244cd} - (no file)
O9 - Extra button: (no name) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - (no file)

(=^u^=) 覚えがなければ削除するなり
O16 - DPF: {A890AED3-A23B-4F76-BD69-D6AFB6A2296E} (WebViewer Class) - http://211.122.206.190/JViewer.cab

以下のファイルを削除するなり,念の為ゴミ箱に10日位残しておくなり。
WINDOWS\rkhipy.exe
c:\program files\180solutions\sais.exe
C:\WINDOWS\rkhipy.exe

604 :たぬたんなりよ(=^u^=):05/03/17 19:55:41
(=^u^=) 以下も実行してゴミ掃除しておくなり
http://pc5.2ch.net/test/read.cgi/pcqa/1109928233/2

ブラウザジャッカーCoolWebSearch駆除ツール
ttp://www.higaitaisaku.com/removecws.html

定番スパイウェア除去ソフト、Ad-awareSEとSpybotS&Dを使って除去。

Ad-Aware SEによるスパイウェアの除去方法
ttp://www.higaitaisaku.com/adaware.html
http://lavasoft.element5.com/default.shtml.ja(公式サイト)
ttp://bdc.s15.xrea.com/(日本語化パッチ)

Spybot1.3によるスパイウェアの除去方法
ttp://www.higaitaisaku.com/spybot2.html
http://www.safer-networking.org/(公式サイト)

605 :たぬたんなりよ(=^u^=):05/03/17 19:57:20
>>594
(=^u^=) ログに大きな問題はなさそうなり
      何か不具合があるなりか?

606 :たぬたんなりよ(=^u^=):05/03/17 20:00:22
(=^u^=) 間違えたなり

以下のファイルを削除するなり,念の為ゴミ箱に10日位残しておくなり。
C:\WINDOWS\lyr.exe
c:\program files\180solutions\sais.exe
C:\WINDOWS\rkhipy.exe

333 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.02.02 2014/06/23 Mango Mangüé ★
FOX ★ DSO(Dynamic Shared Object)