- ベストアンサー
spazbox.netに接続しようとするスパイウェア
普段は「答える」方が多いのですが、今回はお手上げなのでよろしくお願いします。 以下のような初心者の知り合いのパソコンが、W32.Spybot.wormに感染したというので預かって、Symantecのウィルス対策情報に従って修復しました。 パソコン:VAIOの液晶一体型デスクトップ、Pen4 2.3GHz OS:Windows XP Home SP1 ウィルス対策:Norton AnriVirus 2003 Windows Update:SP2以前のUpdate済み ウィルスの影響は回避できたと判断して、初めてネットに接続してみますと... 勝手にブラウザ(IE6)が起動し、タイトルにも書きました「spazbox.net/pay.html(頭にhttp://が付きます)」というURLに接続しようとします。ブラウザを閉じるとまた立ち上がり、今度は「www.ruby-eye.com/~bean/beanos/index.html」に接続しようとします。 どう見てもスパイウェアの仕業のように見えましたので、Spybot 1.3、AD-Aware6SE、Spyware Blsterなどをインストールし、徹底的に検索・削除したのですが、一向に症状が治まりません。そこで、怪しいと思われるプログラムのアンインストール、怪しいレジストリ項目の検索、そしてmsconfigを起動し、スターアップ項目を一つ一つチェックを外して再起動してみましたが、やはり直りません。そこでWindows XP Professionalの上書きインストールもしてみました。それでもダメでした... 現時点で残る手段は、再フォーマットとリカバリしかないかなと思っております。CnsMinも退治した経験があるのですが、こんなにしつこいスパイウェアは初めてです。 そもそもこれはスパイウェアなのか? それとも他のウィルス(ワーム)の仕業なのか? 何でも結構です。何か心当たりのある方、情報をください! どうぞよろしくお願いします。
- Waxa
- お礼率95% (67/70)
- スパイウェア
- 回答数4
- ありがとう数19
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
欧米のフォーラムで情報集めてみました。 1.「arsetup.exe」というプログラムが「spazbox」に接続しようとしているようです。 2.「arsetup.exe」は微妙にファイル名を変えたり、インストールされる場所を変えたりします。 3.他に幾つかのファイルの存在が指摘されていますが、「spazbox」に関連するものか、それとも複合汚染の結果なのか私にはわかりません。 4.ごく最近の情報なので、どのウィルス対策ソフト、スパイ対策ソフトも対応できていないと思われます。 AAA.when I open IE a window opens attempting to load something with the name spazbox. http://www.helpforums.co.uk/forum/viewtopic.php?p=122937 1.インストールされるファイル C:\WINDOWS\System32\winmon32.exe C:\windows\arsetup.exe 2.「HijackThis」での表示 O4 - HKLM\..\Run: [WIN32] C:\windows\arsetup.exe O4 - HKLM\..\Run: [Window Monitor] winmon32.exe O4 - HKLM\..\Run: [Win32 Wmls Driver] winitr32.exe O4 - HKLM\..\Run: [Win32 Configuration] videosd32.exe O4 - HKLM\..\RunServices: [Window Monitor] winmon32.exe O4 - HKLM\..\RunServices: [Win32 Wmls Driver] winitr32.exe O4 - HKLM\..\RunServices: [Win32 Configuration] videosd32.exe O4 - HKCU\..\Run: [Win32 Wmls Driver] winitr32.exe O4 - HKCU\..\Run: [Win32 Configuration] videosd32.exe O4 - HKCU\..\Run: [Window Monitor] winmon32.exe O4 - HKCU\..\RunServices: [Window Monitor] winmon32.exe O4 - HKLM\..\RunOnce: [Win32 Wmls Driver] winitr32.exe O4 - HKLM\..\RunOnce: [Win32 Configuration] videosd32.exe O4 - HKCU\..\RunOnce: [Win32 Wmls Driver] winitr32.exe O4 - HKCU\..\RunOnce: [Win32 Configuration] videosd32.exe BBB.Anybody Out There Been Hit With Spazbox http://www.askmehelpdesk.com/cgi-bin/yabb/YaBB.cgi?board=computers_for_beginners;action=display;num=1093133691;start=15 1.インストールされるファイル C:\asetup.exe C:\asetup32.exe C:\arsetup32.exe C:\Program Files\Common Files\Microsoft Shared\dasetup.exe C:\WINDOWS\system32\W32usb2.exe winboot32.exe winmom32.exe 2.レジストリキーと設定される値 レジストリキー HKEY_LOCAL_MACHINE->Software->Microsoft->Windows->CurrentVersion->Run 設定される値 rundll32.exe "C:\WINDOWS\Download Program Files\bridge.dll", Load winboot32.exe winmom32.exe REGSRV32.EXE レジストリキー HKEY_LOCAL_MACHINE->Software->Microsoft->Windows->CurrentVersion->RunSer vices 設定される値 REGSRV32.EXE winboot32.exe winmom32.exe 3.「HijackThis」での表示例 O4 - HKCU\..\Run: [regsrv32.exe] regsrv32.exe (regsrv32.exe 不正なファイル) (regsvr32.exe は正規のファイルです。要注意)
その他の回答 (3)
- zoro2
- ベストアンサー率50% (105/208)
>初めてネットに接続してみますと勝手にブラウザ(IE6)が起動し これがどうも解りません。 パソコンを起動すると・・・ならわかるんですが。 >spazbox.net/pay.html ★windupdates.com へアクセスして「f119e8fb1c2d2dcee9bf8d7fd7049」というActiveXコントロールをダウンロードさせようとします。 ★xxxtoolbar.com へアクセスして 「xxxtoolbar」 をダウンロードさせようとします。 ★data.overpro.com へアクセスしてクリックビジネスに誘い込もうとします。 ★www.mt-download.com へアクセスして「mtrslib2.js」というスクリプトファイルをダウンロードさせようとします。 いずれも非常に危ないものです。 >www.ruby-eye.com/~bean/beanos/index.html 現時休業中です。 >SymantecのW32.Spybot.worm すでにスパイウエアを駆除された後だからか、現状では、参考になる情報はなさそうです。 Spybot.wormというのには色々種類があって、そのうちのどれに該当するか特定する必要があるのですが、これでは何も解りません。 とりあえず、前記二つのホームページを開いているメカニズムを調べる必要があります。 ☆「HijackThis」 「HijackThis」を使って見てください。 下記でダウンロードし、適当なフォルダに保存してください。 http://www.download.com/3000-8022-10227353.html 1.起動直後は殆ど白紙の状態です。 2.「HijackThis」以外のウィンドウを全て閉じます。 3.左下の「Scan」をクリック 4.スタートアップ設定の一覧が表示され、「Scan」ボタンが「SaveLog」に変わります。 5.「SaveLog」をクリックするとスキャン結果が保存されメモ帳に表示されます。 スキャンログの中で次の三つのキーワードを検索してください。 「f119e8fb1c2d2dcee9bf8d7fd7049」 「xxxtoolbar」 「mtrslib2.js」
お礼
ご回答ありがとうございます! > パソコンを起動すると・・・ならわかるんですが。 ウィルスの痕跡を消すまではネットに接続してなくて、その時には何も起こらなかったのですが、いざLANケーブルを挿すと、待ってましたとばかりIEが立ち上がるのです。その後もパソコンのスイッチを入れただけでは起動せず、LANケーブルを挿してネット接続が可能になるとIEが起動します。つまり外部接続の状態を常にモニターしている感じです。そこでタスクマネージャを立ち上げておいてプロセスを見張ってみて、怪しいプロセスをオフにしてみたのですがダメでした。一瞬何が立ち上がって消えたように見えたのですが、、、、分かりませんでした。 > Spybot.wormというのには色々種類があって、そのうちのどれに該当するか特定する必要があるのですが、これでは何も解りません。 そうなんです。実は私の所に届いたときには、すでに駆除された後で、そのウィルス名のみがメモされていました。とりあえず、その名前に該当する対策情報を元に作業をしました。NAV2003で全スキャンしても何も出てきませんでした。シマンテックのサイトでは、その名前のウィルスは一つだけでした。トレンドマイクロのサイトも参照して、該当する情報からファイルやレジストリの検索は行いました。ただ一つ気になるのが、このウィルスはKaZaAというファイル共有ソフトで感染するとあるのですが、パソコンにインストールされた形跡はありませんし、オーナーは「添付ファイルを開けて感染した」と言っていることです。 > 「HijackThis」を使って見てください。 了解しました。パソコンが戻ってきたら試してみます。ありがとうございました。
- manapi2929
- ベストアンサー率54% (328/604)
クールウェブシュレッダーは試されたでしょうか? あらゆるトコに飛ばされるってあたり どうもクールウェブサーチ系のように感じます 別に感染してなくても試す事は出来ます 試されてはどうでしょうか?
お礼
ご回答ありがとうございます! なるほど、そういうソフトもあるんですね! 今はちょっと手元にない(とりあえずオーナーさんにお返しした)ので、またこちらに入院したら試してみます。 ありがとうございました。
- kozo_k
- ベストアンサー率29% (55/188)
見当違いだったらごめんなさい。 >そもそもこれはスパイウェアなのか? 一度参考URLのオンラインスキャンをお試しください。 PESTPATROLのオンラインスキャンです。 (ちなみに当方はこれのパッケージ版を使用しています。)
- 参考URL:
- http://www.pestpatrol.jp/
お礼
ご回答ありがとうございます! 「そうそう、ペストパトロールを忘れていた!」と喜び勇んでオンラインスキャンしてみましたら、3件ほど怪しい項目が出てきました。そこで、そのファイルならびにレジストリ項目をばっさり削除してみたのですが... やっぱりダメでした...がっくり... しかも今日の朝からは昨日までのSpazbox.netではなく、EveryDNSとかいうページが開くようになりました。いったいどうなっているのでしょ?! とにかくありがとうございました。
関連するQ&A
- スパイウェアなのでしょうか?
現在、インターネットに接続をすると、勝手にあるHPが立ち上がってきます。外国の広告である事がほとんです。スパイウェアかと思い、Ad-awareとSpyBotを入れて削除しても解決できません。(セーフモードでしか削除できませんし、Ad-awareとSpyBotのアップデートはエラーで止まってしまうので、アップデートが出来ているかどうかもわかりません) OSはXPのホームでSP2にしていますが、SP2にする前に調子が悪くなったようです。(何かセキュリティの対策を促すコメントが出て、そのままOKしたところ入ってしまったようです) 対策方法がわかれば教えていただきたいのですが宜しくお願いします。
- ベストアンサー
- スパイウェア
- スパイウェア(?)で困っています。
遅ればせながらMEからXPにアップグレードした際にウィルスセキュリティが無効になっているのに気づかないまま、IN接続した結果、ウィルスやスパイウェアに感染しました。殆ど駆除できたのですが(ウィルスセキュリティとSPYbotを使用、7月17日)、NRCS.exeというプログラムが勝手に起動しているようで、NW接続を要求します。また、CPU使用率が100%になってしまいます。どうしても駆除できません。 なお、XPのSP2は入手していますが、これを駆除してからインストールした方が良いかなと考えています。 対策について何か情報があれば教えてください。宜しくお願いします。
- 締切済み
- スパイウェア
- Sygatがネット接続をしようとしますがスパイウェアでしょうか
機種は vaio PCG-GR5F/BP OSはウィンドウズXPで、ウィルスセキュリティーを入れています。パソコンを起動すると、ウィルスセキュリティーが「Sygatがネットに接続しようとしていますが許可しますか」と聞いてきたので拒否しました。タスクマネージャーを見るとSygat.exeがいつも起動しています。Spybotをいれて調べてみましたがスパイウェアは発見されませんでした。このままにしておいてもいいものでしょうか。
- ベストアンサー
- スパイウェア
- スパイウェア対策ソフトは複数入れるべき?それとも?
私は現在スパイウェア対策に「Spybot15」「ADaware2007」「SpywareBlaster3.5.1」をインストールしています。いずれもフリー版です。 数年前、スパイウェア対策にこれらのソフトを入れるのが有効だと各方面で聞いたのでそれ以来入れてるのですが、最近は「スパイウェア対策ソフトは複数入れないほうが良い」という意見もチラホラ聞くようになり何を信じていいやら混乱してきました。 最近のウィルス対策ソフトにはスパイウェア予防の機能もついているので、昔とは事情が変わってきたのでしょうか? 以前、ヤフーBBセキュリティ(NIS)と旧verのSpybotなどを組み合わせて使っていた頃は特に不具合は感じなかったのですが、最近OSを再インストールしウィルスバスター07に切り替えた所どうも調子が良くないように思います。 ウィルスバスターと最新verの各スパイウェア対策ソフトの組み合わせが良くないのか、SPYBOTの起動が異様に遅かったりADawareのアップデートができなかったりそれまで経験したことのない不具合があります。 スパイウェア対策ソフトはすべてアンインストールし、ウィルスバスター1本だけに任せたほうが良いのでしょうか? それともSPYBOTだけでも残しておいたほうがいいとかありますか? 皆様の意見をお聞かせください。 XPです。
- ベストアンサー
- スパイウェア
- スパイウェアにやられました
どこのサイトでやられたかはわかりませんが、rlvknlg.exeというプロセス(スパイウェア)がネット時に動いているのがわかり、削除しました。レジストリを改変されており、関係のある値を削除したのですが、rlls.dll(おそらくrlvknlg.exe付属)というものがネットをするときに使用されていることがわかりました。外部と接続するブラウザやメーラーなどがこのdllを読み込んでいるようで、何とかしてこれを読み込まずにインターネットをしたいのですが、どうすればよいでしょうか? 私のスキルではお手上げ状態です。お力をお貸しください。 環境はWinXP SP2 アンチウイルスはウイルスバスター2005 スパイウェア対策にはSpybot,Ad-Awareを使用しています。
- 締切済み
- ウィルス・マルウェア
- スパイウェアの駆除について
スパイウェアを駆除するためにspybotを使ってスパイウェアをスキャンしたんですが、削除しようと思ったら勝手にパソコンが再起動してしまいました↓ もう1度スキャンしようと思ったら、また勝手に再起動されてしまいました↓↓ スパイウェアはどのようにして駆除すればいいのでしょうか。 初心者なので全くわけがわかりません↓↓ SHARPのメビウス、osはXPで、セキュリティはウイルスバスターを使っています。 何か対策はありますでしょうか? もうわけがわからないので情報は少ないですが、どなたか教えてください。
- 締切済み
- スパイウェア
- セキュリティ対策を講じるとネットに接続できなくなってしまいます
失礼します。 OS :Windows XP HomeEdition 使用ブラウザ:Internet Explorer6 再インストールしてみると、何ともなくネットへ接続できるのですが、 いざセキュリティ対策 (NortonやSpybot,またWindows Update) を講じようとすると、Windows Updateの方は最初のアップデート (Windowsから更新に必要なものをDL)を終え、再起動をした後からネットに繋がらなくなり、 NortonやSpybotといったものについてはインストールしたら、 急にフリーズしてしまったり、ネットに接続できなくなり、IEを起動しても「ページを表示できません」画面になってしまいます。 ネットに接続できない状態になってからではありますが、Nortonではチェックをしてみました。ですが、特に何も発見されませんでした。 原因の方は、想像がついているのです。多分興味本位でインストールして 起動してしまったGnutella系ソフトにあるのだと思います。 すぐにアンインストールしましたが、その影響が続いているのでしょうか? どう解決したら良いのかわかりません。 馬鹿なことをしたと思って反省しています。 どうか助言のほどよろしくお願い致します。
- 締切済み
- その他(インターネット接続・通信)
- これってスパイウェア or 安全・・?
MicrosoftWindowsIEFirewallBypass がDドライブのSpyBotのスキャンで出てきたのですが、これはスパイウェアでしょうか、それともウィンドウズのアップデートで入ったもので安全でしょうか。 PC環境はC:Me, D;XP, EFほか・・全FAT32 Dドライブ~XP-Pro-SP2、 フレッツ・セーフティーでルーターにウィルスバスターが入ってますので、PCにはSpyBotしか入ってません。
- ベストアンサー
- スパイウェア
お礼
さきほどパソコンが戻ってきましたので、早速試してみましたら... ビンゴです!! まさしく arsetup.exe が元凶だったようです。プロセスをオフにしてからファイルを削除し、レジストリからも削除しました。再起動してネット接続してもIEは立ち上がらなくなりました! 実はタスクマネージャのプロセスには前から現れていて、怪しいなと思っていましたので、てっきりオフにして試していたと勘違いしていたようです。しかしmsconfigのスタートアップを見ても出ていないのです。巧妙ですよね。ご指摘の通り、ファイルとレジストリは以下の項目に存在しました。 ファイル: C:\WINDOWS\ レジストリ: HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run お陰様で原因が分かりホッとしております。ありがとうございました!
補足
皆様のご回答を元に無事に原因を究明することが出来ました。本当は全員にポイントを差し上げたいのですが、申し訳ないのですが、貢献度の高い順に差し上げることにしました。しかし、今回の一件は大変勉強になりました。ありがとうございました。又の機会もよろしくお願いします。