こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

解決済みの質問

SpySheriff感染前に戻せない

基本的にInternetExplorerを利用しないので気付かなかったのですが、
たった今IEを起動する必要があった為、起動したら感染している事に気付きました。
SpySheriffだそうで、NortonInternetSecurity2007にて、すぐさま遮断していたようですが
(その際、NISのUpdateは確実に行っています)、どうやら完全ではなかったようです。
というのも、以下のURLにて記されているファイルとレジストリは存在しません。
http://www.symantec.com/region/jp/avcenter/venc/data/jp-adware.spysheriff.html

しかし、IE起動時のURLが「c:\secure32.html」となってしまっており、直す事が出来ません。
直しても再度IEのプロパティを見ると書き換えられています。
以下のレジストリを直接変更しても、F5を押して最新状態を取得した時点で書き換えられてしまいます。
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Local Page
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
HKEY_LOCAL_MACHINEも同様。

これを正常に戻したいのですが、どこをどうすれば良いのでしょうか?
私が行った対応は以下の通りです。
 ・http://www.symantec.com/region/jp/avcenter/venc/data/jp-adware.spysheriff.html
  の手順に従って実ファイルの確認とレジストリの確認。
  (どれも存在せず)
 ・いつも利用しているユーザーのCookiesとTemp、Temporary Internet Files、
  Temporary Internet Files\Content.IE5内のファイルを全て削除。
  (感染自体はサイトを読み込んだか何かの拍子にTemporary Internet Files\Content.IE5内に
  ファイルをダウンロードしてしまった様子)

どうか直す方法をご教示下さい。

投稿日時 - 2007-01-07 22:57:24

QNo.2650282

すぐに回答ほしいです

質問者が選んだベストアンサー

「SpySheriff」であれば「SUPERAntiSpyware」「SmitFraudFix」で駆除できるんですが、スタートページやサーチサイトを修復しても、パソコンを再起動すると、不正なサイトに書き戻されてしまうのであれば「CoolWebSearch」系のスパイウエアの可能性があります。

下記のファイルが存在しないか調べてみてください。

C:\windows\SYSTEM32\avpe32.dll
C:\windows\system32\avpe64.sys

なお、avpe32.dll等が使われている場合は、下記の記事では解決できませんし「HijackThis」では検出できません。。

http://hjdb.higaitaisaku.com/database.cgi?cmd=dp&num=37

http://www.higaitaisaku.com/removereg32.html

投稿日時 - 2007-01-09 09:48:17

お礼

ありがとうございます。
なんか、ファイルを見たり調べたりしても直せなかったので
結局リカバリーしました^^;

投稿日時 - 2007-01-16 13:12:15

ANo.6

このQ&Aは役に立ちましたか?

0人が「このQ&Aが役に立った」と投票しています

回答(6)

ANo.5

http://hjdb.higaitaisaku.com/database.cgi?cmd=dp&num=37

http://www.higaitaisaku.com/removereg32.html

ハイジャックジス
http://www.higaitaisaku.com/hijackthis.html

リカバリを視野に入れなくてもバックアップは常日頃からしたほうがいいです。

投稿日時 - 2007-01-08 20:00:12

ANo.4

http://iwata.way-nifty.com/home/2004/10/1017.htm


リカバリの方法です

わたしも今日は補足要求と雪の片付けに追われて疲れました

投稿日時 - 2007-01-08 19:00:25

ANo.3

まだウイルスが常駐しています


http://64.233.179.104/translate_c?hl=ja&sl=en&u=http://www.delphifaq.com/faq/windows_user/f1005.shtml&prev=/search%3Fq%3Dc:%255Csecure32.html%26hl%3Dja%26lr%3D%26rls%3DGFRC,GFRC:2006-53,GFRC:ja%26sa%3DG



対応策です

(1)強制終了(Crtrl+Alt+Drlete)

(2)タスクマネージャーで
 Paytime.exe・・・を入れる

(3)同exeを削除

(4)削除ツール:「c:secure32.htm」

(5)スキャン実行:何も見つからない場合
  検索のデフォルト設定

投稿日時 - 2007-01-08 18:16:16

補足

あ、ごめんなさい。
シマンテックにはその対応記されていませんね・・・。
paytime.exeは存在していないようで、プロセスを見ても実行されていません。
同様にC:\secure32.htmlというファイルも存在しません。
憶測になりますが、多分そこら辺はNISが駆除してくれたんだと思います。

NIS2007(ウィルスパターン最新)で完全スキャン後、何も発見されませんでした。
分からないので2,3回はスキャンしました・・・。結果は予測できましたが^^;

蔓延したりするのも嫌なので、ちょっと大分面倒ですがリカバリーを考え中です。

投稿日時 - 2007-01-08 18:20:03

ANo.2

ノートンの記事では、最終更新日 2006年04月27日ですが、「SpySheriff」はその後、
何度も更新されていますので、役に立たないと思います。

また、一部の「DLL」ファイルがエキスプローラによってロックされているため通常の方法では駆除できません。

この手のワルを退治してくれるソフトに「SUPERAntiSpyware」と「SmitFraudFix」というソフトがあります。

「SUPERAntiSpyware」の場合、パソコンの再起動でファイルを削除するのではないかと思います。

「SmitFraudFix」ではエキスプローラおよびエキスプローラから呼び出されているファイルをすべて強制終了させるという荒業を使います。

「SUPERAntiSpyware」
http://www.superantispyware.com/

参考「SUPERAntiSpyware」
http://fine.tok2.com/home/heto2/

SmitFraudFix v2.132 (WinXP, Win2K)
http://siri.urz.free.fr/Fix/SmitfraudFix_En.php

参考「SmitFraudFix」とは
http://fine.tok2.com/home/heto2/0700SecurityApp/0100FixAndRemove/SmitFraudFix/0100.htm

こちらは昨年暮れから「CMD」ファイルから「EXE」ファイルに変わり使いやすくなっています。

1.ダウンロードされるファイル「SmitfraudFix.exe」をダブルクリックします。
2.DOS画面が開きます。
3.しばらく待つと、Explorer.exeが強制終了され、エキスプローラ、デスクトップアイコン、タスクバーが消えますが、パソコンの再起動で回復できるので心配ありません。
4.効能書きが現れますが特に意味はないのでリターンキーで次へ
5.メニュー画面で「2」リターンで実行開始
6.「Do you want to clean the registry ? (y/n)」で「Y」リターン
「ディスククリーニング」の画面が出る場合は時間がかかるので「キャンセル」
作業が終了するとメモ帳が開き「Raport.txt」が表示されます。

投稿日時 - 2007-01-08 17:07:56

ANo.1

スパイウェアですので、次のサイトの手順を経て質問掲示板を利用して駆除するか、リカバリした方がよいです。

higaitaisaku.com 被害対策
http://www.higaitaisaku.com/menu1.html

他のサイトで質問する時には、こちらの質問はポイント無しで締め切ってください。

投稿日時 - 2007-01-08 11:53:55

あなたにオススメの質問