- ベストアンサー
トップページを変えられた・・。
インターネットエクスプローラーを起動したときのトップページを変えられてしまって困っています。スパイウェアだと思い、SpybotとAd-awareをインストールしましたが、まだ、変わったままです。セーフモードでも試しました。 よくスパイウェア関係のポップアップが出てきますが、ちょっと怖くてそれは閉じるようにしています。それとウィンドウズを終了するときにエラーが出て強制終了しないとダメなんです・・。ウイルスなんでしょうか?対策法を教えてください。
- koroteke
- お礼率98% (115/117)
- ウィルス・マルウェア
- 回答数102
- ありがとう数2739
- みんなの回答 (102)
- 専門家の回答
質問者が選んだベストアンサー
>その使用目的もわかりません。(^^ゞ >ぜひ教えていただけますでしょうか? ↓こういったサイトのJavaアプレットを動作させるために使用します。 悪質なものに置き換えられた可能性として Java Runtime の上書きを回答したのです。
その他の回答 (101)
- heto2
- ベストアンサー率43% (227/525)
%43%3a%5c%57%49%4e%44%4f%57%53%5c%53%59%53%54%45%4d%5c%45%4e%42%46%43%41%41%2e%44%4c%4c C : \ W I N D O W S \ S Y S T E M \ E N B F C A A . D L L 解読すれば、上のようになりそう。 ということは、怪しいファイルはこれでしょうか? C:\WINDOWS\SYSTEM\ENBFCAA.DLL
お礼
ありがとうございます。 解読とは・・・。驚きです。(・o・) 検索してみたら、そのようなファイルが存在しました。憎たらしい奴はこいつなんでしょうか?こいつを削除するんですか?
補足
まだまだ続きます。 [Yahoo! Audio Conferencing] InProcServer32 = C:\WINDOWS\DOWNLO~1\YACSCOM.DLL CODEBASE = http://cs.chat.yahoo.co.jp/v45/yacscom.cab [Update Class] InProcServer32 = C:\WINDOWS\SYSTEM\IUCTL.DLL CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38020.4740277778 [Yahoo! Webcam Viewer Wrapper] InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\YVWRCTL.DLL CODEBASE = http://chat.yahoo.co.jp/cab/yvwrctl.cab [Symantec RuFSI Registry Information Class] InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\RUFSI.DLL CODEBASE = http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab [Symantec AntiVirus scanner] InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\AVSNIFF.DLL CODEBASE = http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
- heto2
- ベストアンサー率43% (227/525)
「Starter」を使ってみる。 http://www.simtel.net/product.download.mirrors.php?id=57830 英語しかないので嫌われそうですが、いいソフトです。 「AppInit_Dlls」での設定が表示されないので、無理かと思っていましたが、 Win98でのレジストリ設定であれば、可能性がありそうです。 起動すると自動的にスタートアップの一覧がリストアップ表示されます。 メニューの「File」「Save as plain text」をクリック。 ファイル名を例えば「Starter0512.txt」で保存します。 私の場合で、50行くらいしかありません。 さらに、「.DLL」で検索するとスタートアップで「DLL」ファイルを使っている行を数行に絞り込めます、 その中に怪しいものがあれば「あたり」になる可能性があります。 もし失敗しても勘弁してくださいね。 他にもいろいろ便利な機能が沢山ありますので・・・
お礼
ありがとうございます。 うぅ・・。また英語ですか・・。 頑張ってやってみます。また、補足します。
補足
ありがとうございます。 あやしいものと言われましても、見てもさっぱりです。ごめんなさい。m(__)m もうすこし私に知識があれば・・・。(._.)
- heto2
- ベストアンサー率43% (227/525)
korotekeさん。heto2です。遠慮せずに気が付いたこと書き込んでください。 とにかく、被害者の方からの生の情報が一番役にたつんですよ。 他の皆さんも同じだと思いますが、出来れば中途半端で終わりたくないんです。 それと、特別な事情さえなければ、あせらずに、ゆっくり退治するのがいいと思います。 しかし、情報が盗まれている気配があるとか、パソコンの調子がどんどん悪くなっているとかであれば、復旧にこだわらず、クリーンインストールされるのが正しい選択だと思います。 実は、私も、調べれば調べるほど情報が増えるだけで解決に結びつかないので弱っています。 かなり混乱して来たので、一旦、整理してみることにしました。 1.「about:blank」 このページを乗っ取るアドウエアには何種類かある。 CoolWebSearch系のものと、それ以外のもの CoolWebSearch系にも何種類かある。 2.「AppInit_Dlls」 OSが2000/XPでは、このレジストリ値を使うことがある。 OSが9x/Meでは、このレジストリキーは存在しない。 従って、別のところに潜んでいるスパイを見つける必要がある。 3.「searchx.cc」 このケースではスタートページに「Search for」という文字列があることから、「CWShredder」が取り上げている「searchx.cc」の可能性が強い。 しかし、「CWShredder」では解決できない。 下記サイトで紹介されているページと同じものと思われる。 http://higaitaisaku.web.infoseek.co.jp/cgi-bin/cbbs.cgi?mode=al2&namber=21601&no=0 4.実験1 http://searchx.cc/ この場合、「Search for」で始まるページになるが、不完全。 5.実験2 http://searchx.cc/search.php よく似たページになるが、「Search for」でなく「Looking for」 6.Google検索 「searchx.cc/」で検索すると情報がワンサカ。 多すぎて混乱中です。 7.注目記事 http://www.computing.net/windowsxp/wwwboard/forum/102521.html このページのResponse Number 13に面白い情報があります。 「Find-All」というツールを使って怪しげなファイルを検出する方法です。 他にも「pv.exe」(ProcessView)を使う方法があるようですが、検出される情報量が多すぎて、解析は難しそうです。 ということで、このあと「Find-All」の使い方でも書こうかなと思っています。 >CWShredderはパソコンを再起動するとおんなじところが何回も引っかかってます。 これに関する情報があればいただきたいところですが。 (スキャン終了後に表示される情報)
お礼
ありがとうございます。 私のような無知な人間には難しすぎて何が何やらです・・・。(・・? 毎回引っかかるやつです。。 CWS.Searchx REMOVED Restoring Internet Explorer pages RESTORED(6items) Clearing up orphaned leftovers done! これでいいのかな?
補足
変な形になりましたが、これで最後です。管理者に消されないか不安・・。 -------------------------------------------------- Enumerating ShellServiceObjectDelayLoad items: WebCheck: C:\WINDOWS\SYSTEM\WEBCHECK.DLL -------------------------------------------------- End of report, 7,238 bytes Report generated in 0.661 seconds Command line options: /verbose - to add additional info on each section /complete - to include empty sections and unsuspicious data /full - to include several rarely-important sections /force9x - to include Win9x-only startups even if running on WinNT /forcent - to include WinNT-only startups even if running on Win9x /forceall - to include all Win9x and WinNT startups, regardless of platform /history - to list version history only
>HKLM\..\RunServicesOnceには何もはいっていないようです。けど似たようなところ→HKLM\..\RunServicesには6つくらい入ってました。 という事は違う種類かもしれませんね。 いずれにしても、ログは必要なので、 #17さんの方法で保存を試してみて下さい。 こちらへ貼り付ける際、 ログが長い場合は分割してくださいね。 ここの書き込みは、補足欄1000文字、 お礼欄2000文字までという制限がありますので...。
お礼
ありがとうございます。 そんな制限があるんですね。知らなかったです。φ(..)メモメモ startuplistがでてきましたが、それでよかったのでしょうか?
- basser_no1
- ベストアンサー率20% (1/5)
これはウイルスでは無いので「怪しいアプリケーションをスキャン」という様なオプション検索が出来ないと見つからないと思います。 Hijack Thisのログがセーブ出来ないなら、Config→MiscTools→「Generate StartupList log」を押してもログファイルが開きますのでセーブして下さい。 ログファイルで「Enumerating Browser Helper Objects:」の項目にフルパスで記載されていると思います。 heto2さんのおっしゃる通りページの表示は「Search for」だったかも知れません。 何せ連日の寝不足モードで、無意識にログも消しちゃった位なので記憶も曖昧です。 (^^; そのページのURLですが、しっかりエンコードされてたハズです。 korotekeさん、スタートページが開いたら「表示」→「ソース」を選び「res://」の行を掲載して下さい。 res://で始まる行がレジストリにセットされてましたので。 >どうやら私はとんだ問題児のようです。迷惑かけます。(''ゞ korotekeさん一人の問題じゃありませんから、そんなに気にする必要は無いですよ。解決すれば多くの人が助かる有益な情報に成ると思いますので。
お礼
ありがとうございます。 href="res://%43%3a%5c%57%49%4e%44%4f%57%53%5c%53%59%53%54%45%4d%5c%45%4e%42%46%43%41%41%2e%44%4c%4c/" これのことでしょうか?ちがったかな?それともこっちかな? script src="http://js.searchx.cc/index.js?pin=1"
>「INSTALL.LOGがオープンしません」となります。 はて、どうしてでしょう...。(^_^;) #15のURLの解説通り、新規フォルダを作成して、 そこにHijack Thisのプログラムを入れていますか? 取り敢えずスキャンまでは完了していますよね? HKLM\..\RunServicesOnce(#15の省略形) という箇所が無いかまずは探してみて下さい。 見つかったら、そこに出ているDLLファイル名や、 パス(C:\Windows...の様な場所情報)を教えて下さい。 >ウイルス検査にはシマンテックのウイルス検査を行いました。 ノートン製品版か体験版でのスキャンですか? オンラインウイルススキャンだと#13さんの方法は無理です。 >システムの復元ってやつが見つからないです。 システムの復元はWindowsXP&Me専用の機能です。
お礼
ありがとうございます。 ウイルス検査はオンラインスキャンでした。すみません。 >システムの復元はWindowsXP&Me専用の機能です。 ふむふむ、なるほど。XPとMeって便利なんだ。φ(..)メモメモ HKLM\..\RunServicesOnceには何もはいっていないようです。けど似たようなところ→HKLM\..\RunServicesには6つくらい入ってました。
こんにちは、korotekeさん。 回答者#12さんのURLを見ての情報ですが、 そちらのスパイウェアと同種だとすると、 Win98では、比較的楽に駆除出来るみたいです。 Hijack Thisでシステムをスキャンして、 以下のレジストリキーを確認してみて下さい。 HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\CurrentVersion\RunServicesOnce そこに怪しいDLLファイルが登録されていれば、 (判断は難しいので補足で相談された方が良いでしょう) 正確にファイル名と存在場所をメモします。 あとはセーフモードでシステムを起動して、 該当ファイルと↑のレジストリ項目を削除です。 なお、作業は全て自己責任でお願いします。 一番のお薦めは勿論リカバリですが...。 あと、CWShredderは既にお試しになったんですよね? CWShredder http://higaitaisaku.web.infoseek.co.jp/removecws.html Hijack This http://higaitaisaku.web.infoseek.co.jp/hijackthis.html >#12さん AppInit_DllsはWindows9xには無いみたいですよ。 Windows2000/XP上で真の凶悪さを発揮する様です。
お礼
ありがとうございます。 CWSherdderを試してみました。しかし状況は変わらないみたいです。使いこなせてないのかもしれませんが・・・。 Hijack Thisはsave logをクリックして保存すると「INSTALL.LOGがオープンしません」となります。こっちのほうは完全に使いこなせていないです・・。恐縮ですが、Hijack Thisの使い方を教えていただければ幸いです。
補足
ちょい補足です。!(^^)! CWShredderはパソコンを再起動するとおんなじところが何回も引っかかってます。CWShredderでは解決しないようです。
- heto2
- ベストアンサー率43% (227/525)
頑張って、難問解決に挑戦しようじゃありませんか! 解りにくいことについては、及ばずながら、全力で応援します。 1.ウィルスチェック まだ、このウィルス(正確にはアドウエア)に対応していないと思います。 幾つかのツールを使って、手作業で、修復する必要があるでしょう。 今の所、「Spybot-S&D」や「Ad-aware 6」は使わないでください。 後述の「HijackThis」でのデータが「no file」とか「file missing」等、不完全な表示になってしまいます。 2.ウィルスプログラムの特定(BHO関連) basser_no1さんご説明のように、このウィルスはIEのBHO(Browser Helper Object)を使っていると思います。 「HijackThis」を使って、「O2 - BHO:」で始まる行を全て貼り付けてください。 3.ウィルスプログラムの特定(AppInit_Dlls関連) 「並」のウィルスの場合、BHO関連で有害な設定を削除し、プログラムを削除するだけで修復できます。 しかし、削除しても、いつの間にか復活してしまうことがあります。 この場合、No.6で説明のとおり「AppInit_Dlls」を使っている可能性があります。 そしてその都度ファイル名を変えて出現します。 レジストリエディターで下記のキーを開いて右側の画面に「AppInit_Dlls」という項目が無いか調べてください。 ただし、レジストリの編集は非常に危険ですので事前にバックアップを作成して置いてください。 以上で、有害なファイルを特定できれば、削除作業へ進めると思います。 また、ページの表示は「Search of」でなく「Search for」では無いでしょうか? ご確認ください。 取り敢えず、今回はこの辺で・・・ basser_no1さんへ 不躾なお願いですが、もしよろしければ、応援いただければ助かります。 特に、そのページのURLが解らなくて困っています。 多分、アドレス欄には「about:blank」しか表示されていないと思います。 プロパティとかソースを開ければ・・・ しかし、削除されたんであれば無理ですね。 以上、よろしくお願いいたします。 参考:レジストリバックアップ 1.「スタート」「ファイルを指定して実行」で「Regedit」 と入力して「OK」。 2.レジストリエディターのメニューで、「ファイル」「エクスポート」をクリック。 3.レジストリファイルのエクスポート画面下方の「エクスポート範囲」で「すべて」を選択。 4.保存する場所(例えばマイドキュメント)とファイル名(日付がいいでしょう)を入力して「保存」 参考:「HijackThis」 http://www.spywareinfo.com/~merijn/downloads.html 1.起動直後は殆ど白紙の状態です。 2.左下の「Scan」をクリック 3.スタートアップ設定の一覧が表示され、「Scan」ボタンが「SaveLog」に変わります。 4.「SaveLog」をクリックするとメモ帳が開かれ、適当なファイル名で保存できます。。
お礼
皆様、ほんとにありがとうございます。 どうやら私はとんだ問題児のようです。迷惑かけます。(''ゞ ページの表示は「Search of」でなく「Search for」でした。すみません。m(__)m 今、色々試してあたふたしている所です。結果についてはまた補足したいと思っています。
- basser_no1
- ベストアンサー率20% (1/5)
何度も書いてますが、私と同じなら既知の方法では解除出来ませんし、heto2さん言われている通り解決方法を掲載している所は未だ無いと思います。私も昔はユーザーサポートをやってた経験上、考えられる事は一通り試してますから・・・ウイルス検査は私の記載した方法でしました?(どのソフトを使いました?) <想定される解決方法> 「HijackThis」でも解除出来ませんでしたので、「BHO」として検出されたDLLファイルを探し隔離もしくはリネームして解除出来るか確認し、効果があればそれらを削除する。 「Webの設定のリセット」もその都度合わせて実行する必要があろうかと思います。 <実際に解決した方法> アンチウイルスソフトも総てが対応するとは言えないのですが、解決事例として私は「McAfee ウイルス スキャン」のスキャンオプションで「怪しいアプリケーションをスキャン」と「新しいウイルスと未知のウイルスをスキャン」をチェックする事によって検出されたDLLファイルを削除し解除出来ました。(定義ファイルが古いと検出されません。) この後、「HijackThis」で解除出来なかったBHOの記述が削除出来る様に成りましたので削除しました。 DLLファイルは複数ありましたので、名前も変化して行くのだと思います。
お礼
ありがとうございます。 ウイルス検査にはシマンテックのウイルス検査を行いました。 basser_no1さんの方法も試してみたいと思います。結果はまた補足します。
- heto2
- ベストアンサー率43% (227/525)
私は「無知な人間にアレコレ指図して優越感に浸りたい」という人間です。 しかし、無知な方の数百倍は勉強しているつもりです。 特に「about:blank」については、ここ2週間、世界中の情報を調べまくっています。 この問題は多分、スパイウェア対策の日本総本山のような定番サイト【アダルトサイト被害対策の部屋】でもまだ解決されていないと思います。 「CWShredder」も「Ad-aware 6」も対応していないとおもいます。 しかし、調べてみると、私でも解る仕掛けですから時間の問題です。 解決のヒントは下記のサイトにあります。 http://www.spywareinfo.com/forums/index.php?showtopic=43492&st=30 世界中のBBSでこの種のウィルスへの感染が報告されていますが上記のサイトで解決策が報告されたのはごく最近のことです。 1.IEのBHO機能を使ってスタートアップページを変更させている 2.BHOに使われる「DLL」ファイルの名前はその都度別の名前になる。 3.「HijackThis」等を使ってBHOの設定を解除するのは簡単である。 問題は削除したはずのものがパソコンを再起動すると再発することです 秘密は、通常あまり使わ無いレジストリキーを使っているらしいことでした。 新種のウィルスの場合、感染者の協力を得て情報を集める必要がありますが・・・ >ん~。ごめんなさい。素人な者で何が何やら・・・。てんてこ舞いです。(・_・;) 残念ながら、一寸無理のようでした。
お礼
ありがとうございます。 では、No.6で紹介していただいた方法で治るということなんでしょうか? それと、この場を借りて少し補足します。No.4で紹介していただいたウイルス検査をもう一度してみたら、「安全です」ってなりました。けど、状況は変わらないです。(+_+) heto2さんの言っているウイルスにかかっちゃってるんでしょうか?
補足
ごめんなさい。せっかく紹介していただいたサイトですが、これを理解するにはまず英語を理解する必要があるようです。ほんとバカですいません。m(__)m
関連するQ&A
- エクスプローラーでフォルダーを開くと、強制終了に
特定のフォルダーを、エクスプローラーで開くと、10秒程で強制終了してしまいます。 そのフォルダーを他のドライブにコピーしても、同じような症状に成り、どのドライブに置いても同じような症状です。 又、セーフモードで起動して、問題のフォルダーを開くと、強制終了には成りませんが、アクセスランプが頻繁に点滅して居る事から、繰り返し読み込みをしている様に感じます。 一応、ウイルスバスター2004、Spybot、Ad-Aware SE Personalなどで検索してみましたが、ウイルスは見つからず、スパイウェアに付いては特に問題のあるものは出てきませんでした、 OSは3日前に入れなおしました。が症状は同じです。ただし、問題フォルダーのあるドライブは初期化していません このような症状はウィルス?スパイウェアのせいですか?それともハードの問題でしょうか?
- ベストアンサー
- Windows XP
- セーフモードで再スキャン(AD-AWARE)
AD-AWAREでスパイウェアを検査しました。さらに、ウィルス対策のサイトを見たところ「セーフモードで再スキャン」もしたほうがよいとあったのですがやりかたがわかりません。どなたか教えていただけないでしょうか?
- 締切済み
- スパイウェア
- セキュリティの順番
今、使っているパソコンとは別に、5年間全くウイルス対策を行なっていないWindoesMeのパソコンがあります。ダイヤルアップ接続です。 あと、2年は使いたいのでウイルス対策をしようと思うのですが、まずはパソコンのリカバリをして、ウイルス・スパイウェアを全削除してから、対策をしようと思います。使うセキュリティソフトは、ウイルス対策として「E-FRONTIERのウイルスキラー2006」、スパイウェア対策として「SpybotとAd-Aware」を使うつもりです。 そこで質問ですが、リカバリ終了後、どういう順番でセキュリティ対策を行なえばいいのでしょうか?ダイヤルアップ接続のため、ダウンロードやアップデート等が遅いので、途中、ウイルスが進入しないか心配です。 リカバリ→WindowsUpdate→ウイルスキラー(インストール・ユーザー登録)→Spybot(インストール)→Ad-Aware(インストール)の順番でよいでしょうか? また、ダイヤルアップ接続でSPYBOT等のダウンロードに時間がかかると思うので、別のパソコンに入っているSpybotとAd-AwareをCD-RWにコピーしてこのパソコンに入れるということできますか?その際、ダウンロードして、インストールする前のファイルじゃないといけないですか?それとも、インストール・アップデート後のデスクトップ上のショートカットアイコンでいいんですか?
- ベストアンサー
- ウィルス・マルウェア
- Spybotで未検知
お世話になります 早速ですがお教え下さい。 スパイウェア対策としてSpybotとAd-Aware SE Personalを併用し、ほぼ毎日スキャンしていますがここ最近 Spybotで何も検出されないでAd-Awareだけが一回に付き2,3件検出します。順序としては各々起動の度ごとアップデート確認をし、Spybot→Ad-A.の順でスキャンしています。セーフモードでも週一回ペースで行っています。Spybotで何も検知されないのがかえって不思議なんですが これは正常なことなんでしょうか?OSはXPSP2です。宜しくお願いします。
- ベストアンサー
- スパイウェア
- SpybotとAd-Awareの併用は意味がありますか?
ウイルス対策用にAVG8.0と スパイウェア対策用にSpybot1.5とAd-Aware 2007と SpywareBlasterを使用してます。 以前よりSpybotとAd-Awareはどちらもスパイウェアを検出して 駆除する同じ機能のソフトだと思ってたので この2つのスパイウェア対策ソフトを併用するのは 意味があるのでしょうか? もし、片方のソフトで充分間に合うなら 残りのソフトの利用を止めようと思ってます。 その場合、どちらのソフトを残したらいいでしょうか?
- ベストアンサー
- スパイウェア
- ad-aware
spybotはウイルスバスターと何かと競合しスパイウェアやウイルスの検索漏れや侵入の可能性があるとここでアドバイス頂いたので、後にフレッツ光プレミアムのセキュリティ対策ツールに変えることから競合を恐れspybotをアンインストールして、ad-awareだけを併用するつもりなのですが、そこでad-awareとspybotの性能を調べてみるとお互いのソフトはスパイウェアやウイルスの検知の対象が違うので比べられないとのこと。そこで疑問に思ったのですが両者のソフトの検知の対象はそれぞれどのようなものなのでしょうか。またad-awareの性能はよいのでしょうか。
- 締切済み
- スパイウェア
- ウィルスバスター2008とスパイウェア対策ソフト
今日は。 このオーケーウェイブでも、ウィルスバスター2007とスパイウェア対策ソフトは競合するので、SpybotやSpyware Blastar等のソフトは使わない方が無難だが、AD-Aware2007なら大丈夫との意見があり、AD-Aware2007を導入していました。 この度2008にバージョンアップしたところ、インストール途中で、AD-Aware2007は競合するので削除します、のメッツセージと共に自動で削除されてしまいました。 ウィルスバスター2008及び2009を使用の皆さん。 やはりフリーのスパイウェア対策ソフトは導入していますか。
- 締切済み
- ウィルス・マルウェア
- スパイウェアなのでしょうか?
現在、インターネットに接続をすると、勝手にあるHPが立ち上がってきます。外国の広告である事がほとんです。スパイウェアかと思い、Ad-awareとSpyBotを入れて削除しても解決できません。(セーフモードでしか削除できませんし、Ad-awareとSpyBotのアップデートはエラーで止まってしまうので、アップデートが出来ているかどうかもわかりません) OSはXPのホームでSP2にしていますが、SP2にする前に調子が悪くなったようです。(何かセキュリティの対策を促すコメントが出て、そのままOKしたところ入ってしまったようです) 対策方法がわかれば教えていただきたいのですが宜しくお願いします。
- ベストアンサー
- スパイウェア
- Admilli Serviceというスパイウェア
Admilli Serviceというスパイウェアに感染したようで困ってます(><) セーフモードでAD-Aware seとspybotで駆除しても何度もspybotで検知されます・・・ なんとか駆除できないものでしょうか? PCは詳しくありません。 お手数おかけしますがアドバイスお願いいたします。
- ベストアンサー
- スパイウェア
お礼
誠に勝手ながら、とある事情によりこの質問を締め切りたいと思います。 まだ、解決はしておりませんが、気が向いたときにOSの再インストールをしようと思います。 皆様本当にありがとうございました。