• 締切済み

TROJ_BANKER.AGというウイルスはじめたくさん!

最近ウィルスに感染したようでIEを起動すると http://prosearching.com/passthrough/index.html? という検索サイトがホームページになっていて 他のサイトに行っても その検索サイトがバーとして上部に存在します。 MEでウィルスバスター2004サービスエディション でウィルス検索をしました。 TROJ_HARNIG.Bが(c:\_RESTORE\ARCHIVE\FS2284.CAB) TROJ_HARNIG.Eが(c:\_RESTORE\ARCHIVE\FS2284.CAB) TROJ_MUSS.Aが(c:\_RESTORE\ARCHIVE\FS2284.CAB) などで計20個、 無名のウィルスがc:\_RESTORE\ARCHIVE\FS2284.CAB などで計3個 そして TROJ_BANKER.AGがc:\_RESTORE\TEMP\A0145142.CPY で3個も出てきてしまいました。 全て「処理できません」となっています。 スパイウェア駆除のソフトをダウンロードして CWsheredder,Spybot search,Ad aware6.0 を試しました。が、直りません。 ちなみにCWshredderを実行した時に C:WINDOWS\MSNMGSRI.EXE を削除しますか?と聞かれたのですが よく分からなかったので削除していません。 またPCの検索機能でA0145142のような ファイル名で検索実行をCドライブの中で したのですが見つかりませんとなってしまいました。 どうしたらよいのでしょうか。 教えてください。特にTROJ_BANKER.AGというウイルス は新種のようでトレンドマイクロでも 出てきません。。お願いします。

みんなの回答

  • Lum999
  • ベストアンサー率65% (909/1387)
回答No.9

WindowsMeでIEのバージョンはいくつですか? SHDOCLC.DLLはIEが使うファイルのようです。 Windows98SE IE6SP1ですが、Windows Update Setup Filesのcabの中に同じバージョンのSHDOCLC.DLLがあります。 SHDOCLC.DLLをgoogleで検索すると、DLLの内容をカスタマイズ出来るようです。もう一度書き直す技術があれば、それに越したことはないのですが、初期状態に戻すだけならファイルの置き換えで直らないでしょうか? 同じバージョンのSHDOCLC.DLLが見つかったら、適当なフォルダに抽出します。 DLLの内容が変更されているなら、抽出したDLLのサイズと多少違うかもしれません。 万一失敗した事を考え、現在のDLLのコピーを取ります。 Safeモードで起動後、Systemフォルダの中にあるDLLを削除します。(拡張子をOLDに変更するのも良いと思います。) 抽出したDLLをSystemフォルダにコピーします。 Win98SEの場合、SHDOCLC.DLLは、ie_2.cabファイルの中にあるie_2.cabの中にありました。 OSやIEのバージョンが異なれば場所も違っていると思います。ほかのcabも探してください。 ※ 同じバージョンのDLLの置き換えなので、問題ないと思いますが実行する時は自己責任でお願いします。  

maichu
質問者

お礼

有難うございます。 IEのバージョンは6.0です。 何か難しそうですね。。。 >同じバージョンのSHDOCLC.DLLが見つかったら というのは、そのバージョンはIEの6.0 のことでしょうか。検索を 自分のマイコンピューターの中でかけて それを見つけるとういうことでしょうか。 しょっぱなからして分からないのです。すいません。 ちなみにクッキーが削除されているという 現象にも気付きました。 そしてIE起動時に必ずポップアップが 出てくるようになりました。 ちなみにウィルスバスターでは最近 ウィルスは発見されませんん。。。

回答No.8

#7です >SHDOCLC これが怪しいと特定できたらトレンドマイクロ社にメ―ル で解析依頼をしてもらったらどうでしょ? >自分の場合も 削除していいんでしょうか・・? なんともいえない状態です たまたまそのご質問者さまの場合は改善されたけれど あなたの場合に回避できるかどうか 定かではありませんから。 場所が特定できているのであれば 解析してもらったほうがいいとおもいます システム情報を明記の上提出してください お役にたてなくて申し訳ございませんでした

maichu
質問者

お礼

いつもありがとうございます。 でも、トレンドマイクロ社のソフトを ダウンロードしてからまだ一ヶ月経っていなくて 無料お試し期間なので メールでは解析依頼ができないようで 電話しかだめなんですって。 もうちょっと経たないとだめですねぇ。

回答No.7

#3です TROJ_BANKER.AGは以下で対応してください http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_BANKER.AG 詳細翻訳は以下のURLで お願いします エキサイト。 http://www.excite.co.jp/world/text/ WINUPD.EXE CMID32.DLL Sasing.INI この3つが関連してきます 一部翻訳しますので参考にしてください 2004/05/25に正式に駆除方法がでました 最新版にVB2004のウイルス定義をしてTROJ_BANKER.AG.として検出されたものは削除です タスクマネ-ジャでの操作方法 Windows 95, 98, and ME, では CTRL+ALT+DELETEを同時におして有害プログラムを停止してください 停止してるかどうかの確認はタスクマネ-ジャを閉じて再度起動してください 有害プログラムが発見されなくても以下の作業を実行してください レジストリ操作をします レジストリのバックアップ方法 http://service1.symantec.com/SUPPORT/INTER/tsgeninfojapanesekb.nsf/jdocid/20020308022342953 (上は図入りでシマンテック社が解説してます。デスクトップにバックアップのアイコンが あるか確認してから下の作業をしてください。間違って操作した場合デスクトップのアイコンを ダブルクリックしてください。元にもどりますのでご安心ください。元に戻した場合自動でアイコンは消えます。レジストリの作業が無事終わりましたら このアイコンを削除してもらってかまいません) レジストリエデイタでの操作 1スタ-ト→ファイル名を指定して実行→ Regedit と打ってEnterを押す レジストリエデイタが起動します HKEY_LOCAL_MACHINE  +Software   +Microsoft    +Windows     +CurrentVersion      +Run +をクリックしますと展開します +Runをクリックすると右パネルに Upgrade Service = "%Windows%\WINUPD.EXE" の記述がありますので右クリックして削除してください 注意 %Windows% は正規の Windows フォルダです 通常は C:\Windows or C:\WINNT.にあります レジストリエデイタを終了します 注意 もし有害プログラムが終了できないばあい OS再起動をしてください スタ-トで右クリックしてエクスプロ―ラを開きます 左側パネルのWindows directoryへいって(通常はC:\Windows or C:\WINNT. にあります) 右側にある以下のファイルを削除します WINUPD.EX CMID32.DLL sasing.ini ME/XPは前述のようにリストア破棄です http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=7260 そして上記の作業でもしできないばあい OS起動時F8を連打して黒い画面が出てきたらセ-フモードを選択しレジストリ編集を してみてください 又はセーフモードで起動する方法は以下のURLを参考にしてください http://service1.symantec.com/SUPPORT/INTER/tsgeninfojapanesekb.nsf/jdocid/20020721210856953 何度も繰り返しになりますが改善されないばあい 以下へ連絡してください ウイルスバスタークラブセンターお問い合わせ http://www.trendmicro.com/jp/support/vbc/inq/overview.htm 免責事項 私の技術文書での作業は全て自己責任でお願いします OSに不具合がでても一切関知しないものと します   morinokoneko

maichu
質問者

お礼

詳しくありがとうございます。 TROJ_のものは昨日時点でリストア復元を 無効にしてウィルスバスターをした結果 出なくなりました。ありがとうございます。 ただ、未だにサーチバーが常駐する、 POP UPがある、お気に入りに勝手に追加される、 といったスパイウエアっぽいのがはびこってます。 SHDOCLCというのが怪しそうなのですが 検索するとずいぶんと昔に作ったファイルみたいで こわくて削除していません。ダイナミックリンクライブラリとありまして、訳がわからないのです。 http://oshiete1.goo.ne.jp/kotaeru.php3?q=871865 みるとこれらしきものを削除したら 直ったとあるんですけどね。。自分の場合も 削除していいんでしょうか・・?

  • yappe
  • ベストアンサー率42% (901/2135)
回答No.6

#5 #4で紹介のサイトの掲示板を検索すると 似た症状に悩んでいる方の記事か見つかります もう復元ポイントを削除してしまいましたので使えませんが 削除する前なら 正常だった時点に戻ってから・・・・・・・ 今さら・・・・ですが 検索バーをなんとかアンインストールしないと この関連プログラムが常駐しているので 症状が出ているのです

参考URL:
http://higaitaisaku.web.infoseek.co.jp/cgi-bin/cbbs.cgi?mode=al2&namber=16340&no=0&KLOG=21
maichu
質問者

お礼

あの、復元ポイントは削除したので もう前言っていたウイルスはいなくなったのです。 が、未だにprosearchというバーが常駐し、 今きずいたら、勝手にお気に入りに たくさん知らないサイトが入っていました。。。 Hijack This でサーチかけましたが 何がなんだか。。で、何を削除したらよいのか 全く分からなくてそのままにしてます。。。

  • yappe
  • ベストアンサー率42% (901/2135)
回答No.5

w32.welchia.worm WORM_NACHI.Aかも > MEでウィルスバスター2004サービスエディション 評価版ウイルスバスター2004インターネットセキュリティ? それともオンラインスキャン? 評価版ウイルスバスター2004インターネットセキュリティなら アップデートを有効にして 再検査

参考URL:
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_NACHI.A
maichu
質問者

お礼

ありがとうございます。 NATCHI.AはMEでも感染するものなのでしょうか?私の見たところ、感染しない認識なのですが。。 30日無料のウィルスバスターをDWNロードしまして ということは評価版ということでしょうか? ウィルスバスターは毎日アップデートをして 検索しております。 ちなみに昨日は HTML_LAMEDON.Aが検出され、 隔離されました、になっておりました。 それと、いつもサーチバーがIEの上部に現れるのですが、IEに接続すると読み込んだ後に、 「ページが表示されました」との文字の出てくる 一番下部の左側にスペースがありますよね。 そちらに、読み込みの最中に res:/C:\WINDOWS\SYSTEM\SHDOCLC.DLL/dnserror.html という文字が出てくるのです。 これって何か関係あるのでしょうか??

noname#7095
noname#7095
回答No.4

#1です。 システムの復元機能をオフにする方法は#3さんご紹介のページを参照ください。 それと >なにやらFBIにより追跡されていて >あなたは有罪である、との英文でした これ、スパイウェアを導入させる手口のひとつです。 メッセージにしたがって「yes」などをクリックするとスパイウェアをインストールしやがります。 ほかにも 「スパイウェアにやられてますから、それを削除しますよ」なんてもっともらしいメッセージに「OK」を押すとスパイウェアをインストールしやがるものもあります。 http://higaitaisaku.web.infoseek.co.jp/menu5.html のHijackThisを使用してしばらくログを取ってみるのもいいかもしれません。

maichu
質問者

お礼

FBIどうのこうのってやはりいたずらですよね?! まさか知らないうちに信号を送っていて guiltyになっててFBIからtraceされて 突き止められたなんて、そんなことありませんよね。。 しかし今までFBIどうのこうのっていう被害 ってあったんでしょうか。。。 ♯3さんのおっしゃったとおりに復元機能をOFFに できたので次はHijack Thisをやってみましょう。。 ありがとうございます。

回答No.3

ME/XPでリストアにのこったら復元機能を無効にします 以下URLを参考にしてください http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=7260 改善できないばあい 以下へ連絡してください ウイルスバスタークラブセンターお問い合わせ http://www.trendmicro.com/jp/support/vbc/inq/overview.htm

maichu
質問者

お礼

ありがとうございました。 トレンドマイクロのページを見ながら 復元機能を無効にして検索をしたら 一個も見つかりませんでした! ということはこのPCから今まで見つかってた TROJはいなくなったんでしょうかね。。 でも未だにトップページは のっとられたままです。。。

  • Lum999
  • ベストアンサー率65% (909/1387)
回答No.2

C:WINDOWS\MSNMGSRI.EXEは、MSNMGSR1.EXEではありませんか? CWshredderのことは知りませんが、MSNMGSR1.EXEなら私のPCにも入っています。古い日付で…。  

maichu
質問者

お礼

そうでした。Iでなく1でした。

noname#7095
noname#7095
回答No.1

c:\_RESTORE\ はシステムの復元に使われるフォルダです。ここは毎回起動時に一つ前の復元ポイントを参照しながら書き換えられるものですので、最悪の場合すべての復元ポイントが感染します。このファイル群はシステムファイル保護機能により削除も変更も不可能ですので「処理できません」というメッセージが帰ります。 ただ、このフォルダ以下にしか発見されないのでしたら、単純にシステムの復元機能をオフにするだけで終了となるかと思われます。 後半、スパイウェアにはあまり明るくないのでよくわかりませんが、TROJ_BANKER.AGは海外のトレンドマイクロのページに載ってますのでExciteなどの翻訳サービスをお使いになればわかりやすいかと思われます。

maichu
質問者

お礼

全て確かにRESTOREが感染元となっています。 そうするとトレンドマイクロのヘルプのように 「MEで何度もRESTOREからみつかる場合」 にあるように復元機能をOFFにすればよいのですね。。 ということでコントロールパネルのシステムを 見たのですが、そこに「復元機能をOFFにする」 ようなことをするとヘルプにはあるのですが そんなボタンはありません!どうやってオフに するのでしょうか?? ちなみにさっきIEを立ち上げたとてもとても怖い POPUP?でしょうか、出てきました。 なにやらFBIにより追跡されていて あなたは有罪である、との英文でした。 一瞬見て怖かったので直ぐにネットの線を抜きました。 すぐさま、そのウィンドーは消えてしまったので よく見る隙もなかったんです。そして 次に再起動したらWORM.HITON.Aという ウィルスが発見され、削除されていました。 次から次へ。。。恐ろしくてたまりません。。 特にFBIのPOPUPするようなウィルスって あるんでしょうか??

専門家に質問してみよう