- ベストアンサー
autorunsで不審なアプリケーションが
autoruns.exeで自動起動するアプリケーションを見てみた所、HKLM\System\CurrentControlSet\Control\Session Manager\BootExecuteという場所に搀渀挀氀攀愀渀㘀㐀⸀攀砀攀という不審な破棄されたアプリケーションを見つけ、またBootExecuteのレジストリ値にautocheck autochk *搀渀挀氀攀愀渀㘀㐀⸀攀砀攀という不審な値を見つけました。BootExecuteを使って悪意のあるマルウェア制作者もまた、スパイウェアやウイルスをロードするらしいのですがpcに対しての悪意ある侵入と見ていいのでしょうか。それともただのエラーなのでしょうか
- zuklomu
- お礼率62% (88/140)
- ネットワーク
- 回答数10
- ありがとう数8
- みんなの回答 (10)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
>broeser helper objectsによる ブラウザハイジャックか情報の漏えいを 疑っていらっしゃるのでしょうか。 私はブラウザはMozilla Firefoxを使っているのですが、 家族が別のアカウントでInternet Explorer を使っています。 いいえ。bhoはいい意味でも悪い意味でもありません。 わたしは説明が下手なのでこちらを 参考にしてください。 Browser Helper Objectsって? http://sp.okwave.jp/qa/q7779367.html IExplorer Browser Helper Objectはインストールして http://m.chiebukuro.yahoo.co.jp/detail/q1215926182 >いろいろ調べてみましたが文字の作用の 解読ができませんので、pcのクリーンインストールも考えています。 (バックアップによる復元だといつマルウェアがパソコンに侵入したか分からないので。) いまの時点でわたしがマルウェアとか 侵入とか勝手な判断はできません。 質問者さまを疑ってもないです、 疑うようなら回答はしません。 なにかヒントになりそうなリンクを貼りました。 「~製だから」、~はウイルスだとか、 北朝鮮はスパイだの「~だから情報盗まれる」など いい加減な回答は絶対にしてはならないことです。 どうして文字が変わるのか、どこから来たのか、 根本的な原因を見つけることが先だと思いました。 それが分からなくて質問されてるのは 分かります。ですがパソコンは用途の範囲や 環境があるので予測での回答しかできません。 下手な指示は悪化させるおそれがあります。
その他の回答 (9)
>BootExecuteのレジストリ値に >autocheck autochk * この後にある文字の性質を 調べたほうがいいと思いますよ。 >:日本語 ( Program not found - skipping AUTOCHECK) http://support.sohei.co.jp/2011/11/program-not-found-skipping-autocheck.html?m=1 >autocheck autochk * と “○○○○○” の 記述以外の行がある場合でも、 それがインストール済みの合法的なプログラムによる 記述であれば削除せずに残しておきます (相栄電器 サポート情報) 英語 https://jaypeeonline.net/tips-tricks/iolorgdf32-program-not-found-skip-autocheck/
>管理者権限を持っているアカウントを >自らの使用アカウントとしていました。 こちらをご自分で検索したり 調べたほうがいいです。 ユーザーアカウントの種類と違いについては、 次の項目を確認してください。 1. 標準ユーザーアカウントについて 2. 管理者アカウントについて 3. Guestアカウントについて https://121ware.com/qasearch/1007/app/servlet/qadoc?QID=014898 管理者権限については検索するか、 再度、管理者権限とはなにか?で再質問してください。 説明が下手でごめんなさい。
autoruns http://www.hippo.flnet.org/AtTheSpring/KnowledgeKasperskyDiary.html サインイン、パスワード、 ログイン(ログオン) アクセス制限、管理者権限 http://m.chiebukuro.yahoo.co.jp/detail/q1311385158 ルーターなどすべて質問者さま 名義で確認されてますか? 名義て変な言い方ですが。 フォントがないのでしょうか? あなたに対してのメッセージならタチが悪いです。 イタズラかな?確認してください。 http://www.soumu.go.jp/main_sosiki/joho_tsusin/security_previous/kiso/k04_history.htm
補足
autoruns http://www.hippo.flnet.org/AtTheSpring/KnowledgeKasperskyDiary.html これはsuviさんがautorunsの痕跡がマルウェアが自己の痕跡を自身で削除したと見ていらっしゃるのでしょうか。 サインイン、パスワード、 ログイン(ログオン) アクセス制限、管理者権限 http://m.chiebukuro.yahoo.co.jp/detail/q1311385158 ルーターなどすべて質問者さま 名義で確認されてますか? 不勉強ながら管理者権限を持っているアカウントを自らの使用アカウントとしていました。調べた限りそうするべきでは無いを今になって分かりました。
HKML HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\ >渀㘀㐀⸀ ( ⸀ ) 攀砀 >BootExecuteのレジストリ値に 「autocheck autochk *」 >broeser helper objects https://ja.m.wikipedia.org/wiki/Browser_Helper_Object いつ購入されたパソコンでしょうか? https://support.microsoft.com/ja-jp/kb/256986
補足
パソコンは五、六年前に買った、NEC製の物で使っているosはwindows7です。(windows10の無償アップグレードは機種が対応していないのでできませんでした。) >BootExecuteのレジストリ値に 「autocheck autochk *」 autocheck autochk *搀渀挀氀攀愀渀㘀㐀⸀攀砀攀の漢字の部分は削除しており、その場所のレジストリが再変更された形跡はありません。 >broeser helper objects suvi さんはbroeser helper objectsによるブラウザハイジャックか情報の漏えいを疑っていらっしゃるのでしょうか。私はブラウザはMozilla Firefoxを使っているのですが、家族が別のアカウントでInternet Explorer を使っています。
>検索しないほうがいいのは 文字化け : IT用語辞典 http://sp.e-words.jp/w/%E6%96%87%E5%AD%97%E5%8C%96%E3%81%91.html >搀渀挀氀攀 半角がないでしょう。区別がつかないので 知らない漢字は検索しないほうが安全です。 どこから来たのか、パソコンの問題か外側の問題か 確認してからのほうがいいです。 もし分かりづらいようでしたら、 回答者の方たちに詳しい方がいるので 再質問してください。質問のリンクを 貼って、わたしの回答も合わせて判断して もらってください。 早急に解決したほうがいいです。 説明が下手でごめんなさい。 >悪い意味の言葉だからでしょうか。 それともセキュリティ上の問題からでしょうか。 両方あります。意味が分からないほうが 恐いのでこちらを参考にしてください。 機種依存文字コード表 http://www.shurey.com/js/labo/character2.html >ページを表示して禁止区域(背景の赤い部分)に表示される文字は使用しないで下さい。 下記コード表は2バイトコードの特殊文字エリアです。この他に半角カナ文字エリアと外字エリアが使用禁止になります。 特に半角カナ文字は日本語の必要ない ASCII のコード表と重なる部分があり、 >それらが特殊な意味を持っていることがあるため使用しない方がよいでしょう。
補足
いろいろ調べてみましたが文字の作用の解読ができませんので、pcのクリーンインストールも考えています。(バックアップによる復元だといつマルウェアがパソコンに侵入したか分からないので。)
>悪い意味の 文法的な意味は分かりませんが、 文字コードを調べたほうがいいと思います。 文字コード表 - 日本語 (シフト JIS) - CP932 - UIC http://charset.uic.jp/show/cp932/ 文字コード表 JISコード(ISO-2022-JP) http://charset.7jp.net/jis.html >JIS X 0208 (1990) to Unicode 漢字コード表 unicodeの変換表はユニコードコンソーシアムのものを使用しています JIS X 0208 (1990) to Unicode UTF-8、UTF-16のコードがない文字は実体で表示されていても自分の環境に依存している可能性があります 機種に依存しない観点より、HTMLでUTF-8、UTF-16のコードがない文字は使用すべきではありません 逆にUTF-8、UTF-16のコードがあるのに実体が表示されない場合は(無いと思いますが)SJISでの自分の環境がよほど悪いと考えるべきです
>悪意ある侵入と見ていいのでしょうか。それともただのエラーなのでしょうか 法典、「宗教活動」みたいです。 梵語でしょうか。 身に覚えがなければ侵入です。 タチの悪いメッセージです、 気をつけてください。
>攀砀攀と この漢字を検索しないでください。
補足
検索しない方がいいというのは攀砀攀が悪い意味の言葉だからでしょうか。それともセキュリティ上の問題からでしょうか。
>pcに対しての悪意ある侵入と見ていいのでしょうか。それともただのエラーなのでしょうか 分かりませんが、漢字がめちゃくちゃです。 制御文字でしょうか。 JISコード : IT用語辞典 http://sp.e-words.jp/w/JIS%E3%82%B3%E3%83%BC%E3%83%89.html >搀渀挀氀攀愀渀㘀㐀⸀ 漢字をそのままま入力したり検索しないでください。
補足
検索しない方がいいというのは搀渀挀氀攀愀渀㘀㐀⸀が悪い意味の言葉だからでしょうか。それともセキュリティ上の問題からでしょうか。
関連するQ&A
- 起動時スキャンディスクを止めたい
こんにちは。 起動時にスキャンディスクが実行されてしまいます。 過去の質問等で下記について確認しましたが問題ありませんでした。 http://menushowdelay.blog13.fc2.com/blog-entry-532.html ダーティビットはありませんでした。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager BootExecute REG_MULTI_SZ autocheck autochk * レジストリは上記のようにautocheck autochk *になっています。 チェックディスクのログも問題ありません。 XPでウイルスバスター2008を使用していますが、先日SPYBOTをインス トールし、それ以降発生するようになった気がします。 アンインストールしても同様です。 最近ハードディスクを交換したので、復元ポイントもありません。 chkntfs /X 以外の方法でスキャンディスクを止める方法があれば教えて下さい。 お願いします。
- ベストアンサー
- Windows XP
- VB6での環境変数変更方法について
VB6で開発しておりますが、環境変数を変更してすぐに反映させる方法はありますか?(OS は WinXP pro です) レジストリの「HKLM/SYSTEM/CurrentControlSet/Control/Session Manager/Environment」のキーを更新してもPCを再起動しないと反映されないようで困っています。 何か方法はあるのでしょうか?
- 締切済み
- Visual Basic
- chkdsk /f c: が実行出来ない
タイトル通りなのですが、「chkdsk /f c:」が実行出来なくて困っています。 目的 chkdsk c: を実行すると「ファイルシステムに問題が見つかりました。」となるので 修正したい。 (重大な不具合に発展する前に対処したい) OS WindowsXP Professional Version2002 ServicePack3 症状 chkdsk /f c: でスケジュールして再起動しても実行されない やったこと 通常起動にて 1・command → chkdsk /f c: → スケジュール → 再起動 → ダメ 2・ローカルディスクのプロパティ → ツール → チェックする → チェックディスクのオプション2つにチェック → 開始 → ダメ 3・command → fsutil dirty set c: → 再起動 → ダメ SafeModeにて 通常起動の1~3をする → 全てダメ 回復コンソールをインストール → chkdsk c: /p → ダメ その他 レジストリでは HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control SessionManager BootExecuteの中身 autocheck autochk /p \??\C: autocheck autochk * となっています。 外付けのHDDを持っていないので何とか現環境で解決を試みているのですが 皆様の知識をお貸し願えないでしょうか? googleで「chkdsk /f 出来ない」などで結構調べたつもりなのですが 解決方法までは分かりませんでした。 ご存知の方、いらっしゃいましたらお願いします。
- ベストアンサー
- Windows系OS
- バッチでのレジストリPath環境変数方法
バッチでのレジストリPath環境変数方法 お世話になっております。 レジストリのPath環境変数をバッチで変更しようとています。 バッチ処理の動きとしては、下記の処理をするバッチを 作りたいのですが、上手くいきません。 ≪処理≫ 1、reg queryで、指定されたPath設定を検索 2、if errorlevel ~ 構文で if errorlevel 1 goto tran1 goto tran2 2-1、指定されたPath設定がなければ、3へ。 2-2、指定されたPath設定があれば、 4へ。 (指定されたPath環境変数は設定済み) 3、reg addで、Path環境変数を変更する 4、次の処理実施 (指定されたPath環境変数は設定済) 具体的な処理内容は、下記のような記述をしてます。 ≪バッチ内容(例)≫ @echo off reg query "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Environment" /v path | findstr /i "C:\Program Files\navnt" if errorlevel 1 goto tran1 goto tran2 :tran1 reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Environment" /v path /t REG_EXPAND_SZ /d "%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\navnt" /f :tran2 echo 次の処理へ しかし、実行すると、全てTran2へ行く処理になってしまい、Tran1への処理になりません。 ※reg query "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Environment" /v path | findstr /i "C:\Program Files\navnt" | findstr /i "C:\Program Files\navnt" 箇所の、findstr が上手く機能してないと思ってます。 オプションもいくつか追加して試しましたが、上手くいきませんでした。 (試) findstr の /c:文字列 を追加 ⇒ 結果、NG ~ | findstr /i /c:"C:\Program Files\navnt" findstrの記述が原因と思いますが、 ●tran1の reg addへ飛ぶ処理の記述をご教授頂けますか? 宜しくお願い致します。
- ベストアンサー
- Windows系OS
- Anti-Malware ログチェックお願いします
Malwarebytes Anti-Malwareを使用して、ウィルス駆除をやってみました。 以下が結果のログですが、これで大丈夫なのでしょうか。 補足や、アドバイスありましたらお願いします。 また、削除されたものがどのようなものだったか説明できる方がいましたら教えてください。 ++++++++++++++++++++++++++++++++++++++++++++++++ Malwarebytes Anti-Malware 1.70.0.1100 www.malwarebytes.org 定義バージョン: v2013.03.18.15 Windows Vista Service Pack 2 x86 NTFS Internet Explorer 9.0.8112.16421 ☆[管理者] 2013/03/19 8:11:11 mbam-log-2013-03-19 (08-11-11).txt スキャンタイプ: クイックスキャン 有効なスキャン領域: メモリ | スタートアップ | レジストリ | ファイルシステム | ヒューリスティック/追加アイテムのスキャン | ヒューリスティック/Shuriken エンジンを使用してスキャン | 不審なプログラム (PUP) | 不審な変更 (PUM) 無効なスキャン領域: ピア・ツー・ピアプログラム(P2P) スキャンしたアイテム数: 219057 経過時間: 15 分, 10 秒 メモリプロセスの検出: 2 C:\ProgramData\GBox\GBox.exe (Trojan.Dropper) -> 3708 -> 再起動後に削除されます。 C:\ProgramData\OptimizerPro1\OptimizerPro1.exe (Trojan.Dropper) -> 3716 -> 再起動後に削除されます。 メモリモジュールの検出: 0 (悪意のあるアイテムは検出されていません。) レジストリキーの検出: 10 HKCU\Software\Google\Chrome\Extensions\cjpglkicenollcignonpgiafdgfeehoj (PUP.FunMoods) -> 何の措置も取られませんでした。 HKLM\SOFTWARE\Google\Chrome\Extensions\cjpglkicenollcignonpgiafdgfeehoj (PUP.FunMoods) -> 何の措置も取られませんでした。 HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\mpfapcdfbbledbojijcbcclmlieaoogk (PUP.GamesPlayLab) -> 何の措置も取られませんでした。 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\GBox (Trojan.Dropper) -> 正常に隔離され削除されました。 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\OptimizerPro1 (Trojan.Dropper) -> 正常に隔離され削除されました。 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{11111111-1111-1111-1111-110011221158} (Adware.GamePlayLab) -> 正常に隔離され削除されました。 HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110011221158} (Adware.GamePlayLab) -> 正常に隔離され削除されました。 HKCU\{5617ECA9-488D-4BA2-8562-9710B9AB78D2} (Adware.DoubleD) -> 正常に隔離され削除されました。 HKLM\SOFTWARE\Internet Saving Optimizer (Adware.DoubleD) -> 正常に隔離され削除されました。 HKLM\SOFTWARE\Media Access Startup (Adware.DoubleD) -> 正常に隔離され削除されました。 レジストリ値の検出: 0 (悪意のあるアイテムは検出されていません。) レジストリデータ項目の検出: 3 HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> 悪: (1) 良: (0) -> 正常に隔離され修復されました。 HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> 悪: (1) 良: (0) -> 正常に隔離され修復されました。 HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> 悪: (1) 良: (0) -> 正常に隔離され修復されました。 フォルダの検出: 1 C:\Users\☆\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Disk Antivirus Professional (Rogue.FakeAV) -> 正常に隔離され削除されました。 ファイルの検出: 5 C:\Users\☆\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Storage\chrome-extension_cjpglkicenollcignonpgiafdgfeehoj_0.localstorage (PUP.FunMoods) -> 何の措置も取られませんでした。 C:\Users\☆\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_cjpglkicenollcignonpgiafdgfeehoj_0.localstorage (PUP.FunMoods) -> 何の措置も取られませんでした。 C:\ProgramData\GBox\GBox.exe (Trojan.Dropper) -> 再起動後に削除されます。 C:\ProgramData\OptimizerPro1\OptimizerPro1.exe (Trojan.Dropper) -> 再起動後に削除されます。 C:\Users\☆\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Disk Antivirus Professional\Disk Antivirus Professional.lnk (Rogue.FakeAV) -> 正常に隔離され削除されました。 (終)
- ベストアンサー
- ウィルス・マルウェア
- WinAntiVirusPro2006による設定の削除の方法
先日、カスペルスキーでHidden Data Sendingの警告が出ることについて質問させていただいた者です。ヘルプとサポートセンターからシステムの復元を実行しようとする度に、Hidden Data Sendingの警告が出ます。(アクセサリのシステムツールからシステムの復元をしようとしたときには、何も問題なく進みます) その後、カスペルスキーのルートキットスキャンで再スキャンしたところ、not-a-virus:FraudTool.Win32.WinAntiVirus.2006が見つかりましたが、削除には失敗しました。 その後、spybotを入れてスキャンしてみたところ、 Winsoftware.WinAntiVirusPro2006 と WinAntiVirusPro2006 のデータファイル(?)と、レジストリ値の設定(?)が計4つ出てきました。 これらの四つすべて削除しようとしたのですが、一つだけ削除に失敗したものがありました。「警告 いくつかの問題点が修正/削除できません;理由はファイルがメモリ上にある為です.....」という警告文が出ました。再起動直後に再びspybotでスキャンをすれば、削除できるかもしれなかったらしいので、そうしたのですが、そうすると今度は、削除されなかったスパイウェア自体が見つかりませんでした。さらに、セーフモードでもう一度スキャンしたのですが、削除されなかったスパイウェアは見つかりませんでした。 しかし、ヘルプとサポートセンターからシステムの復元をしようとすると、今でもHidden Data Sendingの警告が出るので、中にまだスパイウェアによる問題が残っているのではないかと思います。 以下が、spybotによるスパイウェア削除のログです。 --- Report generated: 2008-05-10 21:46 --- Winsoftware.WinAntiVirusPro2006: [SBI $9B8A2FDD] 設定 (レジストリ値, fixed) HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager\BootStera Winsoftware.WinAntiVirusPro2006: [SBI $C1ECE295] データ (ファイル, fixed) C:\Documents and Settings\myown\Local Settings\Temp\wa6Support.log WinAntiVirusPro2006: [SBI $48113326] 設定 (レジストリ値, fixed) HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\BootStera WinAntiVirusPro2006: [SBI $C8D098E7] 設定 (レジストリ値, fixing failed) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\BootStera 最後のfixing failedとなったものを削除したいのですが、どうしたらいいでしょうか?? よろしくお願い申し上げます。
- ベストアンサー
- スパイウェア
- 不審なアプリケーションの検出表示で駆除ができない
ブラウザでサイト開いたとき「不審なアプリケーションの検出」の画面が表示される その画面表示にて 「このファイルを駆除しますか」にて「駆除」ボタンをおすと 「駆除実行中にエラー発生」の表示となり 「再試行」ボタンをおしたら先と同じエラー表示となり駆除できません。 何度繰り返し駆除してもエラー表示です。 最後には無視して表示を消しております。 この表示は、たまにサイト表示時に表示がでますが この不審なアプリ検出時の駆除方法はどのようにして検出して また、駆除が出来ませんが駆除方法はできますか。 同じような現象がある方の対策などございましたら教えてください。 宜しくお願いいたします。 ※OKWaveより補足:「ESETセキュリティ ソフトウェア シリーズ」についての質問です。
- 締切済み
- ウィルス・マルウェア
- 不審者に話しかけられました。
高校1年です。 夕方8時ごろに部活帰りで道をあるいていると、 突然おじさんに、「割り切ったお付き合いをしませんか?」と話しかけられました。 私はとっさに走って逃げました。 私は、割り切ったお付き合い の意味が分かりません。 どういう意味なんでしょうか? よく通る道なので怖いです。
- ベストアンサー
- その他(生活・暮らし)
補足
いいえ。bhoはいい意味でも悪い意味でもありません。 >わたしは説明が下手なのでこちらを 参考にしてください。 Browser Helper Objectsって? http://sp.okwave.jp/qa/q7779367.html IExplorer Browser Helper Objectはインストールして http://m.chiebukuro.yahoo.co.jp/detail/q1215926182 Browser Helper ObjectはEmsisoft Emergency KitでHkey_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\BROWSER HELPER OBJECTS\{624EBD88-Df97‐4810-A282-26286B8BF95F}とHkey_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\BROWSER HELPER OBJECTS\{70879F23-6ED6-4461-BA7B-BC9F383FA84Fというレジストリが見つかりました。ルートキットスキャンソフトではリスクなしとされていますが具体的にどの様な働きをするのか、本当に害のない物なのかは自分で調べてみても情報が無いので分かりません。