- ベストアンサー
トップページを変えられた・・。
インターネットエクスプローラーを起動したときのトップページを変えられてしまって困っています。スパイウェアだと思い、SpybotとAd-awareをインストールしましたが、まだ、変わったままです。セーフモードでも試しました。 よくスパイウェア関係のポップアップが出てきますが、ちょっと怖くてそれは閉じるようにしています。それとウィンドウズを終了するときにエラーが出て強制終了しないとダメなんです・・。ウイルスなんでしょうか?対策法を教えてください。
- koroteke
- お礼率98% (115/117)
- ウィルス・マルウェア
- 回答数102
- ありがとう数2739
- みんなの回答 (102)
- 専門家の回答
質問者が選んだベストアンサー
その他の回答 (101)
- basser_no1
- ベストアンサー率20% (1/5)
問題の「DLLファイル」は、IEの起動・終了・設定等操作をするとファイル名が書き換えられていたかも知れません。 試しに、IEを起動→トップページのソース表示をし保存、開いたまま「ツール→インターネットオプション」で「Webの設定のリセット」を実行後、IEを「終了→再起動」で再表示させた時のソースを比較した場合、「res://%43%3a%・・・」行のファイル名は同じでしょうか? 私の場合(Win2000)、レジストリには「res://%43%3a%5c%・・・」とエンコードされて書き込まれてましたので、この先頭の文字列でレジストリキーを検索しヒットしたモノをコード表で解析すれば現在のDLLファイルが判明すると思うので、その状態のままフォルダを検索すれば見つかるかも知れません。
お礼
ありがとうござます。 試してみましたが、同じファイル名でした。 HKEY_CURRENT_USER と HKEY_LOCAL_MACHINE と HKEY_USERS の \Software\Microsoft\Internet Explorer の \Main の Search Bar と Search Parge 、 \Search の Search Assistant が "res://%43%3a%5c%57%49%4e%44%4f%57%53%5c%53%59%53%54%45%4d%5c%45%4e%4f%4f%48%43%2e%44%4c%4c/%73%70%2e%68%74%6d%6c" となっていました。
- heto2
- ベストアンサー率43% (227/525)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 以下、時間がなくなってきたので、見込み運転です。 No.39でDirDllAH.txtの表示が空白であった場合、次の作業に移ってください。 1.全てのIE画面を終了させる 2.「HijackThis」を起動して、「Scan」をクリック 3.「NOOHC.DLL」を含む行の左端のチェックボックスをクリックしてチェックを入れる。 例えば下のような行 O2 - BHO: (no name) - {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx} - C:\WINDOWS\ESystem\NOOHC.DLL (xxxxxxxxには英数字が入ります。) 4.「Fix checked」をクリック 5.「HijackThis」を終了 6.コンピュータを再起動します。 7.「Web設定のリセット」 IEを起動してメニューの「ツール」「インターネットオプション」「プログラム」画面にある「Web設定のリセット」で初期設定に戻してください。 ☆お願い 参考までに下記レジストリの右側で怪しげなファイル名が無いか調べてください。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
お礼
ありがとうございます。 OpenSaveMRUというキーはありませんでした。 RunMRUは a "regedit\1" b "command\1" c "regsvr32 /u ENBFCAA.DLL\1" d "regsvr32 /u JKFJP.DLL\1" MRUList "cadb" となっています。
補足
おっしゃったとおりにしました。 けど、またHijackThisでscanしたところ、 02 - BHO のところに「・・・ENOOHC.DLL」がでてきました。
- heto2
- ベストアンサー率43% (227/525)
チョイト説明不足でした。 DirDllAH.txtは検索結果を表示するファイルです。 メモ帳等で開いてください。 空白であれば隠しファイルは無かったということになります。 korotekeさんのご回答を待って,次の作業に入りたいと思います。 敵は本能寺(NEE.DLL)にありそうです。 しかし、ファイル操作を繰り返しているうちにファイル名が変わっている可能性もありますので油断は禁物です。 何とか今日中に片付けたいですね。
お礼
ありがとうございます。 No.38のお礼のところに書いたもののみが書いてありました。 という事は空白という事でいいのかな? と、補足です。 No.35のところでファイルは2つと書きましたが、3つになってました。m(__)m NOOHC.DLL と NEE.DLL と WDM.DLL の3つです。
補足
ごめんなさい。 「NOOHC.DLL」ではなく、 「ENOOHC.DLL」でした。 すみません。m(__)m
- heto2
- ベストアンサー率43% (227/525)
>HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Doc Find Spec MRU MRUは「MostRecentlyUsed」の略ですから、検索履歴と考えていいでしょう。 >HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{A386326B-A6B2-11D8-B660-00909A6F7C9A}\InProcServer32 「InProcServer32」キーを使って特殊なプログラムをメモリーに読み込むようです。 しかし、この辺になると、私の知識もあやふやなので「丸呑み禁止」です。 この辺はittochanさんがお詳しいと思います。 >NEE.DLLは見つかりましたが、WDM.DLLは見つかりませんでした。 次々に、実行ファイル名を変えたり、隠しファイルにしている可能性が出てきました。 1.NEE.DLL エキスプローラでプロパティを調べてください。 「全般」画面 サイズ: ディスク上のサイズ: 作成日時: 更新日時: アクセス日時: 「バージョン情報」画面 説明: 著作権: 会社名 2.WDM.DLL NEE.DLLと摩り替わった可能性がありますが、「隠しファイル」で生きている可能性もあります。 下記バッチファイルを試してみてください。 ☆バッチファイルの作成 C:\WINDOWS\System32\フォルダにある「DLL」ファイルのうち「隠し属性」のあるものをテキストファイルに書き出します。 下記の行をメモ帳等に貼り付け、例えば「DirDLLAH.bat」という名前で「c:\」に保存してください。 :~~~~~~引用はじめ~~~~~~~ c: cd\ cd \WINDOWS\System dir *.dll /a:h > c:\DirDllAH.txt :~~~~~~引用終わり~~~~~~~ ☆バッチファイルの実行 「c:\DirDLL.bat」を実行すると「c:\DirDllAH.txt」が作成されます。 もし、このファイルが空白であれば削除されたと判断します。 通常、DLLファイルを隠しファイルにする必要は無いはずです。 もし、隠しファイルがあれば疑っていいと思います。 ☆プロパティの調査 隠し属性を削除する作業が必要です。 >新しいDLLはENOOHC.DLL この種のファイルは「HijackThis」で楽に削除できるので、今回はあまり重要視していません。 なれぬことで大変でしょうが、着々と作業が進んでいると思っています。 korotekeさんのご回答に注目している方も多いと思います。 何度も言いますが、貴方がお持ちの情報が一番貴重なんです。 あと一息! 頑張りましょう。
お礼
ありがとうございます。 そのお言葉を励みに頑張りたいと思います。ヾ(@^▽^@) NEE.DLLは全般タブのみで、バージョン情報はありません。 サイズ:30.5KB(31,232)、32,678バイト使用 作成日時:2004年5月5日 6:29:16 更新日時:2004年5月5日 6:29:18 アクセス日:2004年5月16日 DirDllAH.txtは ドライブ C: のボリュームラベルはありません. ボリュームシリアル番号は 3A30-18D8 ディレクトリは C:\WINDOWS\SYSTEM となってます。
- ittochan
- ベストアンサー率64% (2667/4137)
ENBFCAA.DLL のCLSIDが {9A2BC769-A457-11D8-B660-0090EFF7480C} JKFJP.DLL のCLSIDが {5AE2C585-A5E3-11D8-B660-00908DF51DD1} なので、 レジストリエディタで {9A2BC769-A457-11D8-B660-0090EFF7480C} と {9A2BC769-A457-11D8-B660-0090EFF7480C} という文字列を検索して、どこに登録されているか調べます それと、 スタート→「ファイル名を指定して実行」をクリック regsvr32 /u ENBFCAA.DLL と入力して「OK」をクリック と スタート→「ファイル名を指定して実行」をクリック regsvr32 /u JKFJP.DLL と入力して「OK」をクリック をしてみます。 もし成功のダイアログが出たら、 もう一度レジストリエディタで HKEY_CLASSES_ROOT +CLSID +{9A2BC769-A457-11D8-B660-0090EFF7480C} +{5AE2C585-A5E3-11D8-B660-00908DF51DD1} この2つのキーが消えているか確認します。
お礼
ありがとうございます。 HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{9A2BC769-A457-11D8-B660-0090EFF7480C} HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{5AE2C585-A5E3-11D8-B660-00908DF51DD1} これでよろしいですか? 2つとも消えてませんでした。 LoadLibrary("enbfcaa.dll")filed. GetLastError returns 0x00000485 というメッセージはエラーということでしょうか?
>cd /d c:\windows\systemと入力すると 無効なスイッチです。-/D Windows98のMS-DOSプロンプトだと、 "/D"オプションは使えないのかもしれません。 (私の環境では問題ありませんが...) 以下の様に入力しても同じ結果を得られます。 C: [Enter] CD C:\WINDOWS\SYSTEM [Enter] ([Enter]はエンターキーを押す事を意味します) でも、heto2さんのご指摘の様に、 BHOは自動で削除されているのかもしれません。 経験不足ですみません...。 私よりheto2さんの方がずっとお詳しいので、 意見に食い違いがあったら私の方は信じないで下さい(笑) しかし、DOSのコマンドは覚えておいて 今後の為に損はないので試してみて下さいね。 あと、レジストリの検索についてですが、 "F3"を押さないと次に進みませんのでご注意下さい。 (1つずつしか検索出来ない)
お礼
ありがとうございます。 C:[Enter]を入力すると コマンドまたはファイル名が違います。 となります。 MS-DOSプロンプトは初めてさわったのですが難しいですね。(*_*)
- heto2
- ベストアンサー率43% (227/525)
★ヒューリスティックスキャン No.13 basser_no1さん<実際に解決した方法> マカフィーのソフトではヒューリスティックというウィルス検索方法が採用されています。 これは、ウィルスのファイル名でなくウィルスの動作パターンを特定してウィルスを検索する方法です。 新種のウィルスやファイル名が違うが動作が同じウィルスの検出に威力を発揮します。 今回のようにファイル名がわからない場合に役立っっているように思います。 ☆このスパイウエアの特徴は? No.13 basser_no1さんの解決例をヒントに、泥臭いやり方を考えてみました。 1.拡張子が「DLL」のファイルである。 2.C:\WINDOWS\System\フォルダに保存されている可能性が高い。 3.作成日がごく最近である。 4.プロパティ表示で著作権者、会社名が無いと思われる。 ☆バッチファイルの作成 C:\WINDOWS\System32\フォルダにある「DLL」ファイルを新しい日付順にリストアップしてテキストファイルに書き出します。 下記の行をメモ帳等に貼り付け、例えば「DirDLL.bat」という名前で「c:\」に保存してください。 :~~~~~~引用はじめ~~~~~~~ c: cd\WINDOWS\System dir *.dll /O-D > c:\temp.txt :~~~~~~引用終わり~~~~~~~ ☆バッチファイルの実行 「c:\DirDLL.bat」を実行すると「c:\temp.txt」が作成されます。 ☆プロパティの調査 Win98ですから、「c:\temp.txt」には2004年4月以降の日付のファイルは僅かしかないと思います。 エキスプローラでファイルを選択プロパティを調べてください。 もし日付が変更されていたら? 「それを言っちゃあ、おしまい」、ではありません。 別の方法を考えましょう
お礼
ありがとうございます。 2004年4月以降の日付のファイルは2つあります。 NEE.DLLは見つかりましたが、WDM.DLLは見つかりませんでした。
補足
補足です。新しいDLLはENOOHC.DLL HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Doc Find Spec MRU に a "" b "GLB1A2B.EXE" c "GREUNI~1.EXE" d "WDM" e "enoohc" MRUList "eabcb" というものがありました。 また、 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{A386326B-A6B2-11D8-B660-00909A6F7C9A}\InProcServer32 HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{A386326C-A6B2-11D8-B660-00901586E4EE}\InProcServer32 にもENOOHC.DLLがありました。
- heto2
- ベストアンサー率43% (227/525)
★裏技:IEの自動変換機能を使う。 IEにはASCIIコードをアルファベットに自動変換する機能があります。 「%」で始まる文字列をIEのアドレス欄に貼り付けます。 先頭に「http://」を追加して「移動」をクリックで下記のようになります。 変換(移動)前 http://%43%3a%5c%57%49%4e%44%4f%57%53%5c%53%59%53%54%45%4d%5c%4a%4b%46%4a%50%2e%44%4c%4c 変換(移動)後 http://C:\WINDOWS\SYSTEM\JKFJP.DLL/ これで、新しく生成されたBHOが次のファイルを使っていることが解ります。 C:\WINDOWS\SYSTEM\JKFJP.DLL この状況は「HijackThis」にも表示されます。 ★ファイルが見つからない 「HijackThis」で「Fix」した結果、レジストリ設定を削除すると同時にファイルも削除していると思います。 ★「CWShredder」でも削除できない 「HijackThis」に表示されるレベルであれば「CWShredder」で駆除できると思います。 「CWShredder」で駆除できない理由は、他に隠れているファイルがあって、「ENBFCAA.DLL」や「JKFJP.DLL」を生成しているからです。 「ENBFCAA.DLL」や「JKFJP.DLL」は「HijackThis」で簡単に削除できるので大した問題ではありません。 問題は、隠れたファイルを見つけて削除することです。 しかし、簡単ではありません。 その隠しファイルもまた、次々名前を変えて出現しているからです。 ★気になるファイル No.24 回答に対する補足 [rename] NUL=C:\WINDOWS\TEMP\GLB1A2B.EXE NUL=C:\WINDOWS\GREUNI~1.EXE この種のスパイウエアでは「DLL」ファイルが使われるので関係ないかもしれませんが、念のためこのファイルがあるか調べてみてください。 「NUL=」ということは消えてしまっているかも。 それとも「.EXE」になっているんでしょうか? ★「Merijn」 vs 「CoolWebSearch」 「Merijn」 さんは「CWShredder」や「HijackThis」の作者です。 まだ若い学生さんだそうですが、世界中のアンティスパイウエアの世界で注目されている人です。 しかし、「CoolWebSearch」からは商売の邪魔をするものとして憎まれています。 今年はじめから、欧米のアンティスパイウエアサイトが軒並みDDoS攻撃を受け接続不能になりました。 当然「Merijn」 さんのサイトもダウンしました。 現在、DDoS攻撃を防御できるSpyWareInfoのサイトで仮住まい中です。 そして今、「about:blank」というアドウエアに世界中が悩まされています。 「別居、解雇、逮捕の危険も?――ブラウザーを乗っ取る悪質なスパイウェア」 http://hotwired.goo.ne.jp/news/news/20040514207.html いずれもファイル名をランダムに生成したり、ファイル名を隠すという手口を使ってアンティスパイウエアでは削除できないプログラムをばら撒いています。
お礼
ありがとうございます。 便利な裏技ですね。 GLB1A2B.EXEとGREUNI~1.EXEはないようです。 世の中には変な人もいるもんですね。
ごめんなさい。 #32のアスキーコード変換フォームは、 Internet Explorerでは使えない様です。 (Netscapeなら大丈夫です) フリーソフトがいくつかありますのでそちらを使って下さい。
お礼
ありがとうございます。 なかなか便利ですね。
またファイル名が変わっている事が予想されるので、 以前の様に、スタートページのソースにある アスキーコードを変換して、ファイル名を調べて下さい。 参考URLのフォームで簡単に調べる事が出来ます。 あと、ベテランのittochanさんのアドバイスに従って、 各種機能の無効化とレジストリでの検索を実施して下さい。 レジストリエディタは以下の方法で起動出来ます。 スタート -> ファイル名を指定して実行 -> regedit 下手にいじると壊れますので慎重にお願いします。 検索は"Crtl + F"か編集メニューから実行出来ます。 ENBFCAA.DLLとJKFJP.DLL、それから ↑で分かった新しいファイル名で検索をかけて下さい。 見つかったら、左側のウインドウに出ているキーの名前と、 右側のウインドウに表示されている 名前、種類、データという部分を書き出して下さい。 キーの名前については、 キーを選択して、右クリックメニューから "キー名のコピー"を押せば、 クリップボードにキーの名前がコピーされます。 (エディタのステータスバーにも表示されています) ファイルが見つからない原因を特定したいので、 HijackThisでエントリを削除する前に以下を試して下さい。 MS-DOSプロンプトを起動する 以下のコマンドを実行する cd /d c:\windows\system dir ○○○ (○○○はコード変換で得たファイル名。 XXXX.DLLの様なファイル名だけでいいです。 "c:\windows\system\"までの入力は不要。) ファイルが見つかれば、詳細が表示されるはずです。 駄目な場合は入力を間違えている可能性があります。 全て半角入力で、拡張子直前の" . "をお忘れなく。 エラーが出た場合は、どの作業の時点で どんなエラーが出力されたか教えて下さい。 DIRはフォルダの内容を一覧表示するコマンド、 CDは現在のフォルダから移動するコマンドです。 ちなみにDELはファイル削除、ATTRIBは、 (読み取り専用などの)ファイル属性を変更します。
お礼
ありがとうございます。 cd /d c:\windows\systemと入力すると 無効なスイッチです。-/D となります。私はまた勘違いしているのかな・・?
関連するQ&A
- エクスプローラーでフォルダーを開くと、強制終了に
特定のフォルダーを、エクスプローラーで開くと、10秒程で強制終了してしまいます。 そのフォルダーを他のドライブにコピーしても、同じような症状に成り、どのドライブに置いても同じような症状です。 又、セーフモードで起動して、問題のフォルダーを開くと、強制終了には成りませんが、アクセスランプが頻繁に点滅して居る事から、繰り返し読み込みをしている様に感じます。 一応、ウイルスバスター2004、Spybot、Ad-Aware SE Personalなどで検索してみましたが、ウイルスは見つからず、スパイウェアに付いては特に問題のあるものは出てきませんでした、 OSは3日前に入れなおしました。が症状は同じです。ただし、問題フォルダーのあるドライブは初期化していません このような症状はウィルス?スパイウェアのせいですか?それともハードの問題でしょうか?
- ベストアンサー
- Windows XP
- セーフモードで再スキャン(AD-AWARE)
AD-AWAREでスパイウェアを検査しました。さらに、ウィルス対策のサイトを見たところ「セーフモードで再スキャン」もしたほうがよいとあったのですがやりかたがわかりません。どなたか教えていただけないでしょうか?
- 締切済み
- スパイウェア
- セキュリティの順番
今、使っているパソコンとは別に、5年間全くウイルス対策を行なっていないWindoesMeのパソコンがあります。ダイヤルアップ接続です。 あと、2年は使いたいのでウイルス対策をしようと思うのですが、まずはパソコンのリカバリをして、ウイルス・スパイウェアを全削除してから、対策をしようと思います。使うセキュリティソフトは、ウイルス対策として「E-FRONTIERのウイルスキラー2006」、スパイウェア対策として「SpybotとAd-Aware」を使うつもりです。 そこで質問ですが、リカバリ終了後、どういう順番でセキュリティ対策を行なえばいいのでしょうか?ダイヤルアップ接続のため、ダウンロードやアップデート等が遅いので、途中、ウイルスが進入しないか心配です。 リカバリ→WindowsUpdate→ウイルスキラー(インストール・ユーザー登録)→Spybot(インストール)→Ad-Aware(インストール)の順番でよいでしょうか? また、ダイヤルアップ接続でSPYBOT等のダウンロードに時間がかかると思うので、別のパソコンに入っているSpybotとAd-AwareをCD-RWにコピーしてこのパソコンに入れるということできますか?その際、ダウンロードして、インストールする前のファイルじゃないといけないですか?それとも、インストール・アップデート後のデスクトップ上のショートカットアイコンでいいんですか?
- ベストアンサー
- ウィルス・マルウェア
- Spybotで未検知
お世話になります 早速ですがお教え下さい。 スパイウェア対策としてSpybotとAd-Aware SE Personalを併用し、ほぼ毎日スキャンしていますがここ最近 Spybotで何も検出されないでAd-Awareだけが一回に付き2,3件検出します。順序としては各々起動の度ごとアップデート確認をし、Spybot→Ad-A.の順でスキャンしています。セーフモードでも週一回ペースで行っています。Spybotで何も検知されないのがかえって不思議なんですが これは正常なことなんでしょうか?OSはXPSP2です。宜しくお願いします。
- ベストアンサー
- スパイウェア
- SpybotとAd-Awareの併用は意味がありますか?
ウイルス対策用にAVG8.0と スパイウェア対策用にSpybot1.5とAd-Aware 2007と SpywareBlasterを使用してます。 以前よりSpybotとAd-Awareはどちらもスパイウェアを検出して 駆除する同じ機能のソフトだと思ってたので この2つのスパイウェア対策ソフトを併用するのは 意味があるのでしょうか? もし、片方のソフトで充分間に合うなら 残りのソフトの利用を止めようと思ってます。 その場合、どちらのソフトを残したらいいでしょうか?
- ベストアンサー
- スパイウェア
- ad-aware
spybotはウイルスバスターと何かと競合しスパイウェアやウイルスの検索漏れや侵入の可能性があるとここでアドバイス頂いたので、後にフレッツ光プレミアムのセキュリティ対策ツールに変えることから競合を恐れspybotをアンインストールして、ad-awareだけを併用するつもりなのですが、そこでad-awareとspybotの性能を調べてみるとお互いのソフトはスパイウェアやウイルスの検知の対象が違うので比べられないとのこと。そこで疑問に思ったのですが両者のソフトの検知の対象はそれぞれどのようなものなのでしょうか。またad-awareの性能はよいのでしょうか。
- 締切済み
- スパイウェア
- ウィルスバスター2008とスパイウェア対策ソフト
今日は。 このオーケーウェイブでも、ウィルスバスター2007とスパイウェア対策ソフトは競合するので、SpybotやSpyware Blastar等のソフトは使わない方が無難だが、AD-Aware2007なら大丈夫との意見があり、AD-Aware2007を導入していました。 この度2008にバージョンアップしたところ、インストール途中で、AD-Aware2007は競合するので削除します、のメッツセージと共に自動で削除されてしまいました。 ウィルスバスター2008及び2009を使用の皆さん。 やはりフリーのスパイウェア対策ソフトは導入していますか。
- 締切済み
- ウィルス・マルウェア
- スパイウェアなのでしょうか?
現在、インターネットに接続をすると、勝手にあるHPが立ち上がってきます。外国の広告である事がほとんです。スパイウェアかと思い、Ad-awareとSpyBotを入れて削除しても解決できません。(セーフモードでしか削除できませんし、Ad-awareとSpyBotのアップデートはエラーで止まってしまうので、アップデートが出来ているかどうかもわかりません) OSはXPのホームでSP2にしていますが、SP2にする前に調子が悪くなったようです。(何かセキュリティの対策を促すコメントが出て、そのままOKしたところ入ってしまったようです) 対策方法がわかれば教えていただきたいのですが宜しくお願いします。
- ベストアンサー
- スパイウェア
- Admilli Serviceというスパイウェア
Admilli Serviceというスパイウェアに感染したようで困ってます(><) セーフモードでAD-Aware seとspybotで駆除しても何度もspybotで検知されます・・・ なんとか駆除できないものでしょうか? PCは詳しくありません。 お手数おかけしますがアドバイスお願いいたします。
- ベストアンサー
- スパイウェア
お礼
誠に勝手ながら、とある事情によりこの質問を締め切りたいと思います。 まだ、解決はしておりませんが、気が向いたときにOSの再インストールをしようと思います。 皆様本当にありがとうございました。