こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

解決済みの質問

スパイウェアがパソコンに寄生してしまいました…。

症状
1.インターネットエクスプローラを起動するとHOMEに何を設定しても必ず同じ外国のサイトに繋げられます。

2.パソコンのOSやIPアドレスなどが読み取られているようで、インターネットを使うとたしかYour PCなど英語でなんか書かれていて自分の使用しているOSやIPアドレスが画面にポップアップ表示されています。

3.そこでなんか英語で「あなたのパソコンはスパイウェアが寄生しています」???のような感じで出てきて「このソフトをダウンロードしてください」のようなことが英語で出てきてよく分からなくてちょっと怪しいと思ったけどそれをインストールして検索しました。
そしたら、いろいろ寄生しているものが検索されたのはいいんですけどそのパラサイトを削除するボタンを押すとなんか自分の名前とメールアドレスを登録してなんかお金を払わなければならない!?(なぜなら$29.3など書いてある)ようでなんか危ないかもと思って登録しないでいるんですが。ちなみにそのソフトはNoAdwareとかいうやつです。

どうしたらいいでしょうか?どんな個人情報が読み取られてしまうのでしょうか?パラサイトを削除するにはどうすればいいでしょうか?とても困っています。よろしくお願いします。

投稿日時 - 2004-07-02 19:25:00

QNo.912517

すぐに回答ほしいです

質問者が選んだベストアンサー

最終回です。(お互いに調べてつかれたね)

> C:\WINDOWS\system32\netoe32.exe
> プロセスのところでnetoe32.exeを削除するというこ> とでしょうか?削除しても大丈夫なのですか??

タスクマネジャでnetoe32.exeを指定して
タスクの終了ボタンをクリックする
その他のアプリケーションに影響が出ていない事を
確認する。(まだ正体がわからないので削除はしない)

>HijackThisで再度検査して
>netoe32.exeが検出できるか確認してください。
>C:\WINDOWS\system32\netoe32.exeが検出・・

netoe32.exeは通常検索すると検索に引っかからない
でもHijackThisで検査すると存在している
通常の検索設定が合っていないのでは?

直接system32のフォルダーを調べて
netoe32.exe確認する
プロパティーの内容を確認する
正体がわかれば対処する

投稿日時 - 2004-07-05 23:50:31

お礼

>最終回です。(お互いに調べてつかれたね)
本当ですね。bastard2さんが一番お疲れのことと思います。こんな素人のために今まで自分の時間を割いてまでもとても丁寧に回答くださったこと心より感謝いたします。本当にありがとうございました!!とりあえずここでいったんこの質問は締め切ります。
何かあったらまた改めて質問することにします。

最後の報告です。
Ad-awareをもう一度やってみたらnetoe32.exeは削除できたようです。これもどうやらCoolWebSearchのものでした。最近のAd-awareで引っかかるものはcoolWebSearchです。HijackThisとCoolWebShreaderとAd-awareを検出されなくなるまで一度繰り返しやっていこうと思います。何回もAd-awareをやるのも効果がある傾向があります。今まで検出されなかったものが新しく検出されることがありました。

投稿日時 - 2004-07-06 02:26:22

このQ&Aは役に立ちましたか?

95人が「このQ&Aが役に立った」と投票しています

回答(26)

ANo.25

追伸その2
現状確認です。
IE6はほぼ正常に起動していますか?
ポップアップ表示はでますか?
他のアプリケーションに影響はありませんか?

インターネットオプションでWebの設定のリセットを
おこなって下さい。
再起動してIE6の画面で
マイクロソフトのHPが表示されますか?

> タスクマネージャのプロセスで「netoe32.exe」・・
netoe32.exeのタスクを終了させると
なにかソフトが影響しますか?

HijackThisで再度検査して
netoe32.exeが検出できるか確認してください。

netoe32.exeをネットでいろいろ検索しても
情報が得られませんでした。

パソコンが正常に動作しているならばおわります
END

投稿日時 - 2004-07-05 23:00:59

お礼

04/07/05/23:10記述

こまめに回答をいただき本当にありがとうございます。
IE6はほぼ正常に起動しています。
ポップアップ表示はホームに常にYAHOOを設定しなおせば出てきません。他のアプリケーションに特に影響はありません。

> タスクマネージャのプロセスで「netoe32.exe」・・
>netoe32.exeのタスクを終了させると
>なにかソフトが影響しますか?
C:\WINDOWS\system32\netoe32.exe
プロセスのところでnetoe32.exeを削除するということでしょうか?削除しても大丈夫なのですか??

>HijackThisで再度検査して
>netoe32.exeが検出できるか確認してください。
C:\WINDOWS\system32\netoe32.exeが検出できました。

念のためウィルススキャンしてみましたが、ウィルスは検出されませんでした。

投稿日時 - 2004-07-05 23:16:53

ANo.24

追伸です。
> ちなみに「about:blank Search for型」の
> 症状です。空欄にならず同様の検索エンジンが
> 表示されます。

ANO.21に書き込みしています。

IE6の画面がabout:blankになった場合
参考URLです
http://higaitaisaku.web.infoseek.co.jp/removeaboutblank.html
を参考に対策をおこなって下さい。

参考URL:http://higaitaisaku.web.infoseek.co.jp/removeaboutblank.html

投稿日時 - 2004-07-05 22:19:58

お礼

04/07/05/22:32記述

だいぶ前の時点では「about:blank Search for型」になっていたんですが、今念のためホームにabout:blankを設定してみたらちゃんと空白が出て前なっていた英語の検索エンジンが出ませんでした。これは素人の僕の考えで行きますと#20の補足で書いたようにAd-awareを使用した事によりCoolWebSearchが除去されたためと考えられますがいかがでしょう。
いまタスクマネージャでプロセス全てに対して1つずつ明らかに大丈夫と分かるものを除き検索しました。
検索するとほとんど引っかかってプロパティも確認しました。今のところあやしそうではないのでこれらの検索に引っかかったものの詳細を述べるのは控えさせていただきますが、1つだけ検索しても引っかからないものがありました。

それはタスクマネージャのプロセスで「netoe32.exe」となっているものです。プロセスに表示されているのに検索に引っかからないというのはどういうことでしょう。これぞ怪しいと思いました。でも何故引っかからないのか~う~んわかんないです…。

投稿日時 - 2004-07-05 22:37:41

ANo.23

単純な探索方法 其の2
何時も感染する場所として、ウィルス、スパウェアが潜伏する場所は
C:\WINDOWSのフォルダー内と
C:\WINDOWS\system32内がもっとも多く潜伏する
C:\Program Filesにも潜伏する
今回の場合は
C:\Program Files\Internet Explorer内も確認する
C:\Program Files\Internet Explorer\Connection Wizard内も確認する
C:\Program Files\Internet Explorer\PLUGINS内も確認する
C:\Program Files\Internet Explorer\SIGNUP内も確認する
(rbtyl.dllのリンク関係のファイル名も含めて探す)

パソコンが感染した日から考えて
C:\WINDOWSのフォルダー内と
C:\WINDOWS\system32 内で
インストールされたファイルを直接見て探す
つい最近インストールされた日時のファイルを探す
他のファイルと比較して、
ファイルで日付と時間が他と違っている
 *****.dll を探す、及び *****.exe を探す
(注意、各ファイルをダブルクリックして動作させないこと)

ウィルス、スパイウェアが隠しファイルとなっている場合を考えて
フォルダオプションの設定は全て表示を選択する、及び
拡張子は表示するように変更と
保護されたオペレションシステムのチェックをはずす
(これでファイルが全て確認できます、操作には注意する事)

判断ポイント
ファイルの日付として、こちらのPCでは2003/04/03 21:00が多いです
それ以前のファイルについては日付と時間は同じ物が
そろっていれば対象からはずす、ただし日時がずれている場合は
プロパティの内容を確認する(バージョン、社名、製品名などを他と比較する)
(不明スパイが運良く見つかればラッキー)
以上 ここで おわります

投稿日時 - 2004-07-05 17:12:17

ANo.22

単純な探索方法 其の1
何もソフトを起動させない通常状態において確認する
タスクマネジャーを表示させて、常駐起動している*****.exeファイルを比較する
(下記の****.exeはこちらの手持ちPCの二台にて
共通しているファイルです。比較対処から外してください)
csrss.exe
ctfmon.exe
lsass.exe
pccguide.exe
PCClient.exe
PCCPFW.exe
services.exe
smss.exe
svchost.exe ローカル
svchost.exe ネットワーク
svchost.exe システム
svchost.exe システム
System
System Idle Process
Tango service.exe
taskmgr.exe
Tmntsrv.exe
TMOAgent.exe
tmproxy.exe
winlogon.exe
上記以外の****.exeファイルを各自のPC内で検索して、
起動アプリケーションを確認する
及び異常に動作している、*****.exeファイルを調べる
( system Idle Process )はCPU待機状態において99から95の数字が正常です
次にIE6を起動させて、増えた*****.exeファイルについて調べる
ここでIE6内でポップアップ表示させている*****.exeが見つかれば超ラッキー

投稿日時 - 2004-07-05 17:04:57

ANo.21

C:\WINDOWS\System32\blank.htm
about:blankは
IE6のツールをクリック
インターネットオプションをクリック
全般タブの内容において
ホームページ欄にある、空白を使用で
表示される、blank.htmです

最終的にIE6の画面がabout:blankになった場合
参考URLです
http://higaitaisaku.web.infoseek.co.jp/removeaboutblank.html

こちらが、確認したいのは
IE6の動作において、
" res://rbtyl.dll/index.html#96676 "を
ポップアップで表示させている
スパイウェア本体の名前とPC内の場所です
PC内でrbtyl.dll "を検索して、存在すれば
プロパティとリンクを確認して下さい
#96676 もPC内を検索して下さい

重要確認事項
レジストリ検索した時に何処のフォルダーに
" res://rbtyl.dll/index.html#96676 "が
書き込まれていたのか、わかりますか?
(二箇所削除した所のフォルダー名)
そのフォルダー名を確認して書き込みして下さい

レジストリのフォルダーと同じ名前のフォルダーが
PC内のWINDOWSのフォルダー内又は
C:\Program Filesなどにあるはずです
そちらで正体がわかれば、フォルダーを
丸ごと削除して下さい。

現段階においてレジストリを部分修正しても
スパイウェア本体を削除しないと復活して
しまう事はわかりました

注意
感染しているPCをインターネットに接続して
各HPを表示すると再度感染します。

投稿日時 - 2004-07-05 17:00:29

お礼

レジストリ検索した時

(名前)Search Page(種類)REG_SZ(データ)res://C:\WINDOWS\system32\rbtyl.dll/sp.html#96676

(名前)Local Page(種類)REG_SZ(データ)C:\WINDOWS\system32\blank.html

となっています。それでC:\WINDOWS\system32の中を見てみたのですがrbtyl.dllもblank.htmlも見つかりません。なんででしょうか!?

ちなみに「about:blank Search for型」の症状です。空欄にならず同様の検索エンジンが表示されます。

rbtyl.dllを
検索→ファイルやフォルダ→ファイルとフォルダすべてで検索したのですが見つかりません。検索の仕方が悪いのでしょうか。ちゃんとフォルダは隠しではなくすべて表示にしています。

投稿日時 - 2004-07-05 21:36:00

ANo.20

補足です。
> しかし、気になる怪しいのが
>(サービス)SmartLinkService(重要)空欄(製造
> 元)空欄(状態)実行中
>(サービス)Network Security Service(重要)
> 空欄(製造元)不明(状態)実行中
> の二つです。なぜ怪しいかと思ったかというと
> 製造元が空欄であるのと製造元が不明と
> なっていて実行中であることです。

前に載せましたが、ウイルス検査をしてください
オンライン検査の参考URLです
ウイルスバスターオンラインスキャン
http://www.trendmicro.co.jp/hcall/index.asp
シマンテックにてオンライン検査とセキュリティ
http://www.symantec.com/region/jp/securitycheck/index.html

上記検査はPCによって長時間になります。
(二箇所のURLにて全体を検査してください)

投稿日時 - 2004-07-04 22:26:46

補足

念のためAd-aware 6を使って削除した7/5/12:30頃のデータです。
CoolWebShreaderを使ったはずなのにCoolWebSearchが検出されました。残念ながらOkwebは2000文字までらしいので詳しいデータは省略してVender?の部分だけ書きます。全部で83個検出されました。CoolWebSearchがいっぱい入ってました。
ArchiveData(auto-quarantine- 05-07-2004 00-36-28.bckp)
======================================================

POSSIBLE BROWSER HIJACK ATTEMPT

WIN32.ADVERTS.TROJANDOWNLOADER

WINFAVORITES

COOLWEBSEARCH

180SOLUTIONS

ALEXA

VX2

TRACKING COOKIE

CLICKSPRING

投稿日時 - 2004-07-05 01:32:41

お礼

そしてセーフモードにしてもう一度Ad-awareを使うと
4つ検出され

POSSIBLE BROWSER HIJACK ATTEMPT
ッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッ
obj[0]=RegData : Software\Microsoft\Internet Explorer\Main
obj[1]=RegData : Software\Microsoft\Internet Explorer\Main

VX2
ッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッ
obj[2]=RegValue : Software\Microsoft\Windows\CurrentVersion\Run
obj[3]=File : c:\windows\system32\rqoplfo.exe
をさらに削除しました。

投稿日時 - 2004-07-05 01:45:34

ANo.19

確認の結果から
AhnSD.exeはV3 ウィルスブロックの検査データ
検索に引っかからないsoap.exeはHijackThisで削除

> 5.再びIE起動いつもの
> res://rbtyl.dll/index.html#96676
はパソコン内で" rbtyl.dll "を検索して
プロパティを確認する
レジストリ内を調べて(検索)、削除する

怪しそうなプログラム
「Home Search Assistant」
「Search Extender」
「Shopping Wizard」
をパソコン内検索でアプリケーションソフト確認する

あと出来ることは
Internet Explorer関連レジストリの完全なリセット
http://higaitaisaku.web.infoseek.co.jp/cleanfixreg.html

システムの復元をおこなってみる

レジストリキー修正
http://higaitaisaku.web.infoseek.co.jp/hkeyusers.html
レジストリ確認ポイント
(res://rbtyl.dll/index.html#96676)について
検索する
レジストリエディタで編集をクリック
検索をクリック、検索する値(res://rbtyl.dll/index.html#96676)を入力
表示された値を削除する

今まで調べた自動起動ソフトを確認する
HKEY_CURRENT_USER
+Softwares
 +Microsoft
  +Windows
    +CurrentVersion
     +Run(ここの中身全部)

HKEY_CURRENT_USER
+Softwares
 +Microsoft
  +Windows
    +Internet Explorer
     +Main(ここの中身全部)

HKEY_LOCAL_MACHINE
+Softwares
 +Microsoft
  +Windows
    +CurrentVersion
     +Run(ここの中身全部)

注意事項
レジストリについて理解する
http://www.remus.dti.ne.jp/~anfiny/reg/index.html

レジストリを変更する前に
必要なユーザーデータのバックアップをする
レジストリのバックアップ

レジストリを変更して、不安定になっても
元に戻せません(最悪の場合ハードを壊します)
自己責任です。

むりな、レジストリの編集は止めて
OSの再セットUPインストールをする事
以上です。

参考URL:http://www.remus.dti.ne.jp/~anfiny/reg/index.html

投稿日時 - 2004-07-04 21:57:31

補足

2004/7/5/2:13頃記述。
僕はレジストリでres://rbtyl.dll/index.html#96676の表示のあるものを全て削除しても変化なし。そしてホームをYAHOOに設定しなおす。またres://rbtyl.dll/index.html#96676のレジストリが再生。なんか癌みたいですね。僕はそこでこの癌には核があるのではと思いました。なんとなく有力な核は
(名前)Local Page(種類)REG_SG(データ)C:\WINDOWS\System32\blank.htm
だと思うのですがどうでしょうか?
about:blankというのとなんらかの関連をもっていそうな感じがします。
これを試しに削除しようと思うのですが、山勘が違った場合偉い事になるという恐怖感があります。
バックアップというのをとれば消してもまた直せるのでしょうか?またやり方は簡単でしょうか?
よろしくお願いします。

投稿日時 - 2004-07-05 02:15:11

お礼

回答ありがとうございます。
>レジストリ確認ポイント
>(res://rbtyl.dll/index.html#96676)について
>検索する
>レジストリエディタで編集をクリック
>検索をクリック、検索する値
>(res://rbtyl.dll/index.html#96676)を入力
>表示された値を削除する
これをやったら30個くらい??でしょうかいっぱいでてきました。その中でres://rbtyl.dll/index.html#96676となっているのが二つあったので消去しておきました。あとのやつはそうはなっておらず微妙で判別不可能なのでとりあえずやめときました。大事なレジストリを消去すると大変っぽいので。
ちなみに、現在2004/7/5/2:00頃Ad-awareおよび上記レジストリ2つ消去もホームにはいまだにres://rbtyl.dll/index.html#96676で変化なしであります。
しかし、変化があったといえばあったことがあります。
「問題が発生したため、iexplore.exe を終了します。 ご不便をおかけして申し訳ありません。」となってブラウザが閉じてしまう症状が以前増発していたのですが、soap.exeの消去以降でしょうか、「問題が発生したため、iexplore.exe を終了します。 ご不便をおかけして申し訳ありません。」となってブラウザが閉じてしまう症状がまったく起こっていません。

投稿日時 - 2004-07-05 02:01:13

ANo.18

検索内容から
ウィルス 04- [AHNSD]のAhnSD.exe
O4 - HKLM\..\Run: [AHNSD] "C:\Program Files\Ahnlab\Smart Update Utility\AhnSD.exe"

スパイウェア 04- [System Soap Pro]のsoap.exe min
O4 - HKCU\..\Run: [System Soap Pro] C:\PROGRA~1\SYSTEM~1\soap.exe min

削除する前に、各アイコンのプロパティーを確認する
リンク、社名、バージョン、などでアプリケーション
ソフトを確認する。
msconfigを起動させて、上記2個をスタートUP項目
からはずしてください
それによって症状がとまれば、ウィルスとスパイ
確定すれば直接削除する
(不安な場合はパックアップコピーを別の場所に作る)

パソコン内検索方法
スタートから検索をクリック
検索が表示されます。
AhnSD.exeを入力してPC内ファイル、フォルダーの
全てを検索するように設定する
soap.exeについても同じです。
各場所のフォルダー直接調べて、そのアイコンを
マウスの右クリックでプロパティーを確認する
それによって関連(リンク)がわかります

上記2個がウィルスとスパイの場合
HijackThisのログ内容と同じ場所の
レジストリーを削除する必要があるかもしれません

その他
HijackThisのログにあったほかの部分も
検索しましたが、はっきりとした検索が出来なかった
ので、上記2個以外は、多分大丈夫でしょう

投稿日時 - 2004-07-04 14:44:33

補足

実験結果
1.msconfig起動→スタートアップ→AhnSD.exeとsoap.exeのチェックをはずす
2.IEでホームにYAHOOを設定しなおす.
3.再起動
4.IE起動→おっYAHOOだ!直ったのか…!しかしお気に入りの中に入っているOKwebへ。
「問題が発生したため、iexplore.exe を終了します。 ご不便をおかけして申し訳ありません。」
5.再びIE起動いつものres://rbtyl.dll/index.html#96676に。

1つ分かったことがあります。
AhnSDは僕が使用しているV3 ウィルスブロックというアンチウイルスソフトに関係したものっぽいです。だからたぶんいいやつだと思います。今回の起動ではいつも右下に出ていたV3 ウィルスブロックのアイコンが消えたのでこのことからもAhnSDはいいやつだということが結構確信できると思います。

投稿日時 - 2004-07-04 16:55:45

お礼

ずっといままで付き添って頂いて本当にありがとうございますm(_ _)m
>パソコン内検索方法
>スタートから検索をクリック
>検索が表示されます。
>AhnSD.exeを入力してPC内ファイル、フォルダーの
>全てを検索するように設定する
>soap.exeについても同じです。
>各場所のフォルダー直接調べて、そのアイコンを
>マウスの右クリックでプロパティーを確認する
>それによって関連(リンク)がわかります
AhnSD.exeは検索に引っかかったのですが、soap.exeは引っかからなかったです。ということは逆に考えればsoap.exeは検索に引っかからないような悪い奴なのかも?素人の考えですいません。こんなことぐらいしか考えれないです…。

あとなんか見つけたのは
システム構成ユーティリティのサービスの項目で
左から順に
サービス 重要 製造元 状態
とあるのですが、ほとんどのものは有名な製造元のものMicrosoftなどです。
しかし、気になる怪しいのが
(サービス)SmartLinkService(重要)空欄(製造元)空欄(状態)実行中
(サービス)Network Security Service(重要)空欄(製造元)不明(状態)実行中
の二つです。なぜ怪しいかと思ったかというと製造元が空欄であるのと製造元が不明となっていて実行中であることです。

投稿日時 - 2004-07-04 17:12:17

ANo.17

以下の部分について確認検索しました。

不明 02- BHO: (no name)のntrg32.dll
DVD関係04- [ezShieldProtector for Px]のezSP_Px.exe
real関係 04- [TkBellExe]のrealsched.exe
ウィルス 04- [AHNSD]のAhnSD.exe
不明 04- [sysry.exe]のsysry.exe
不明 04- [gqezlze]のrqoplfo.exe
不明 04- [appuy.exe]のappuy.exe
スパイウェア 04- [System Soap Pro]のsoap.exe min
不明 04- [ntpw32.exe]のntpw32.exe
不明 04- [crmr32.exe]のcrmr32.exe
不明 04- [sysfl.exe] のsysfl.exe

参考確認URLです
http://gang.jp/~eko/2004/06/realplayer.html

http://higaitaisaku.web.infoseek.co.jp/removewasher.html

http://www.trendmicro.co.jp/vinfo/virusencyclo/default.asp
" AhnSD.exe "で検索すると数種類表示されます。

投稿日時 - 2004-07-04 12:07:53

補足

>以下の部分について確認検索しました。

>ウィルス 04- [AHNSD]のAhnSD.exe
>スパイウェア04- [System Soap Pro]のsoap.exe min
とウィルスとスパイウェアということはこの二つは削除した方がいいということでしょうか?

投稿日時 - 2004-07-04 13:43:59

お礼

最近よく
「問題が発生したため、iexplore.exe を終了します。 ご不便をおかけして申し訳ありません。」となってブラウザが閉じてしまう症状が増えてきました。

投稿日時 - 2004-07-04 14:22:02

ANo.16

その他(予備知識)
HijackThisのログについて、比較表の参考URLです。

http://higaitaisaku.web.infoseek.co.jp/iru.html

http://ix86house.mydns.jp/vir/vir004.htm

投稿日時 - 2004-07-04 11:29:09

補足

パターン4

タイトル"Welcome to the System Performance Wizard - Microsoft Internet Explorer"
クライアント領域の文章
OS Check: 「(青)xxxxxxxxxxx」 detected 「(緑)Clean」

Browsers Check: 「(青)IE x.x」 detected 「(緑)Clean」

SpyWare Check: (赤)「WARNING!!!」Your PC may be infected with 「Spyware」.
Click OK below to scan your system Absolutely FREE for potentially harmful SpyWare installed on
your PC.

今までのパターンと同様「」は太字を表しています。

投稿日時 - 2004-07-04 16:15:04

お礼

スパイウェア 04- [System Soap Pro]のsoap.exe min
はインターネットで自分でも調べたところどうやら削除してもよさそうな感じなので思い切って2004/7/4/19:20頃削除しましたが、ダメでした。

投稿日時 - 2004-07-04 19:22:37

ANo.15

その他(予備知識)

Google にてポップアップ広告をブロック
http://toolbar.google.com/intl/ja/

特別にセキュリティー対策をしていない状態で
インターネットで通常読み取る事が出来る
内容を確認する場合
あなたの情報(確認くん)
http://www.ugtop.com/spill.shtml

相手の事を調べる場合
ドメイン・IPアドレスからドメインの
所有者・サーバの運営者を調べる
http://www.cybersyndrome.net/whois.html

投稿日時 - 2004-07-04 11:11:28

補足

パターン3

タイトル"Adware, Spyware, Popups - They invade your privacy and harm your…"
クライアント領域の文章
DETECTED OS:(赤)xxxxxxxxxxx
DETECTED BROWSER:(赤)xxxxxxxxxxxxxxxxxxxx
Chances of you having Adware/Spyware installed:(赤)99%

Scan my PC now for free!(青アンダーライン付き)

Have you ever downloaded music online?

Is your PC running extremely slow?

Are you pestered by those horrible popup ads?

Don't let people invade your privacy and slow down your PC!

Try to scan your PC now and see for yourself if your PC
is infected!(青アンダーライン付き)

投稿日時 - 2004-07-04 14:05:39

ANo.14

HijackThisのログ残りの部分について

IEのスタートページが書き換わる場合は
ここを確認して下さい(現在はsotecがHPになっている)
O14 - IERESET.INF: START_PAGE_URL=http://www.sotec.co.jp/

以下はC:\WINDOWS\Downloaded Program Filesに
インターネットからダウンロードされた
ActiveXコントロールソフトです。

O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://***.net/winsearchie32.chm::/winsearchie32.exe
上記の部分は、検索しても種類が出る為、
こちらではわかりませんので、確認してください。

その他は以下の内容でしょう
O16-DPF Yahoo! Chat JP 2
O16-DPF Shockwave ActiveX Control
O16-DPF Yahoo! Audio Conferencing
O16-DPF microsoft.com wmv9VCM.CAB
O16-DPF http://207.188.7.150/RdxIE601_ja.cab
O16-DPF microsoft.com 
O16-DPF Shockwave Flash Object
O16-DPF Yahoo! Webcam Viewer Wrapper
名前がはっきりわかるので、大丈夫でしょう

その他
O8-Extra系とO9-Extra系は名前が分かりやすいので
そちらでも、使用ソフト名は分かると思います。

以下のスパイウエア対策をしてください
Ad-aware 6.0 build 181 のダウンロード
http://download.com.com/3000-2144-10214379.html?tag=pop
Ad-aware 6.0 build 181 の説明
http://higaitaisaku.web.infoseek.co.jp/adaware.html
以上の結果、だめな場合は

レジストリキー修正
http://higaitaisaku.web.infoseek.co.jp/hkeyusers.html

Internet Explorer関連レジストリの完全なリセット
http://higaitaisaku.web.infoseek.co.jp/cleanfixreg.html
となりますが、元の状態になる保障はありません

投稿日時 - 2004-07-04 04:43:58

補足

#13で
>以下のプロパティーを確認して、使用している
>アプリケーションソフトを確認して下さい。
どうやってやると確認できますか?やり方をご教授できれば嬉しく思います。お願いします。

投稿日時 - 2004-07-04 13:37:53

お礼

出てくる他のポップアップの形状です。

パターン2

タイトル"WARNING! - Microsoft Internet Explorer"
クライアント領域の文章
黄色い四角で囲まれた中に(「」は太字です)
「WARNING」
Your computer has been 「exposed to parasites」 known
as spyware.

Spyware monitors and transmits personal information
about your online activities and is 「a serious violation of your privacy.」

Spyware can be 「easily detected and removed」 with a
free spyware scanner avaiable for download at the link below.


>>>CLICK HERE TO KILL SPYWARE NOW<<<(青アンダーライン付き)

投稿日時 - 2004-07-04 14:05:28

ANo.13

訂正です。
O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} -
は見間違えです。

HijackThisのログについて
O2 - BHO: (no name) - {2874EF24-5B4A-FBCC-AAF3-41C5D6A1522B} - C:\WINDOWS\system32\ntrg32.dll
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AHNSD] "C:\Program Files\Ahnlab\Smart Update Utility\AhnSD.exe"
O4 - HKLM\..\Run: [sysry.exe] C:\WINDOWS\system32\sysry.exe
O4 - HKLM\..\Run: [gqezlze] C:\WINDOWS\System32\rqoplfo.exe
O4 - HKLM\..\Run: [appuy.exe] C:\WINDOWS\system32\appuy.exe
O4 - HKCU\..\Run: [System Soap Pro] C:\PROGRA~1\SYSTEM~1\soap.exe min
O4 - HKLM\..\RunOnce: [ntpw32.exe] C:\WINDOWS\ntpw32.exe
O4 - HKLM\..\RunOnce: [crmr32.exe] C:\WINDOWS\crmr32.exe
O4 - HKLM\..\RunOnce: [sysfl.exe] C:\WINDOWS\system32\sysfl.exe

以下のプロパティーを確認して、使用している
アプリケーションソフトを確認して下さい。
02- BHO: (no name)のntrg32.dll
04- [ezShieldProtector for Px]のezSP_Px.exe
04- [TkBellExe]のrealsched.exe
04- [AHNSD]のAhnSD.exe
04- [sysry.exe]のsysry.exe
04- [gqezlze]のrqoplfo.exe
04- [appuy.exe]のappuy.exe
04- [System Soap Pro]のsoap.exe min
04- [ntpw32.exe]のntpw32.exe
04- [crmr32.exe]のcrmr32.exe
04- [sysfl.exe] のsysfl.exe

Program Files系はインストールされたソフトの場合
所在ソフトがはっきりすれば問題ないと思います
system32系はインストールされたソフトが
はっきりしない場合は動作を一時停止させてみる
注意事項
HijackThisで削除する前にバックアップをしてから
おこなって下さい。

以下の内容はmsconfigを使用して動作を
一時停止させてIEの動作を確認して見てください。
O4 - Startup: gsview32.ini
O4 - Startup: WinShell.commands
O4 - Startup: WinShell.environments
O4 - Startup: WinShell.ini
O4 - Startup: WinShell.macros
O4 - Startup: WinShellMacros.bmp
O4 - Startup: WinShellTools.bmp

投稿日時 - 2004-07-04 03:38:14

補足

正しくはさっきのは"Only the best"でした。

出てくるポップアップの1つは
タイトルは"Spyware Detected - Microsoft Internet EXplorer"
そしてクライアント領域というのでしょうかそこには赤色でSpayware Detected
そして赤い四角で囲まれた中に
(赤)Attention… (黒)Your IP address: (赤)Spyware Detected!
           xxx.xxx.xxx.xxx
Someone has planted a Spybot in your PC.
(青色)Download an anti-spyware scanner for Free.
(黒色)and see for yourself!!
って書いてあります。絵が書ければ分かりやすいのですが、こんな感じです。分かりにくくてすいません。

投稿日時 - 2004-07-04 13:28:36

お礼

補足のxxx.xxx.xxx.xxxは実際は僕のIPアドレスが表示されています。プライバシー保護のためxに変えてあります。
gsview32
WinShell
は自分が使っているアプリケーションの名前なのでたぶんスパイではなさそうです。

投稿日時 - 2004-07-04 13:36:19

ANo.12

質問にあった内容で単なる確認です。

> 2.パソコンのOSやIPアドレスなどが
> 読み取られているようで、インターネットを
> 使うとたしかYour PCなど英語でなんか
> 書かれていて自分の使用している
> OSやIPアドレスが画面にポップアップ表示
> されています。

の部分は下記の参考URLの画面と似ていますか?

http://higaitaisaku.web.infoseek.co.jp/removereg32.html

参考URL:http://higaitaisaku.web.infoseek.co.jp/removereg32.html

投稿日時 - 2004-07-04 02:20:00

補足

あとの情報としてはポップアップで出てくるメッセージボックスってやつでしょうか、これのタイトルにたまに"Only The Best"って書いてあります。

投稿日時 - 2004-07-04 13:19:22

お礼

形式は2番目のものに似ています。
IP ADDRESSやOSの表示が同じようにでます。
似ているんですが、おそらく画面が違うのでこれとは種類が異なるかもしれません。
たくさん調べていただいて本当にありがとうございます。難しくて根をあげそうですが、頑張ってみます。

投稿日時 - 2004-07-04 13:17:04

ANo.11

HijackThisのログについて
怪しいと思われる部分
O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} -

他のログ部分については検索してから、
怪しい部分について再度回答します。
HijackThisで削除する前にバックアップをしてから
おこなって下さい。

その他、再確認箇所です
参考URLです。
http://higaitaisaku.web.infoseek.co.jp/removewz01-04.html
インターネットキャッシュとクッキーの削除
http://higaitaisaku.web.infoseek.co.jp/icsakujyo.html

レジストリエディタ(regedit)の使い方
http://higaitaisaku.web.infoseek.co.jp/regedit.html
(レジストリエディタは後で必要に
なるかもしれません)


Windowsをセーフモードでスパイ対策検査と
怪しいソフトのスタートUPの停止について
http://higaitaisaku.web.infoseek.co.jp/safemode.html
(注意、スタートUP項目は全てを停止させない事)

投稿日時 - 2004-07-04 02:08:07

ANo.10

状況説明ばかりで、インストールされているPC内の
場所、スパイ対策は何処まで、おこなったのですか?
おこなった結果、検査表示された内容の書き込みが
されないとこちらでは、ぜんぜんわかりません

Search ExtenderのアイコンのPC内のリンクを確認して
不審インストールファイルならばを削除する

>「パラサイトが寄生しています。スパイウェアが
> なんたらかんたら」って感じのものも出てきます。
> これが何かの役に立つでしょうか。
なにも役に立ちません。それがスパイウェアと
呼ばれている、IEの動作を邪魔しているスパイです
Spybot1.3だけで何回も繰り返し検査しても
全てが解決できません

システムの復元による手段は、ある程度スパイ対策を
した後におこなうべきです。
スパイが残っていると、スパイが再復活します

HjackThisを使用しても内容がわからない
Ad-aware 6.0 build 181を使用して対策したのですか
CoolWebShredderは使用したのですか?
ウイルス検査はしたのですか?

内容がわからない場合は
再セットUPインストール
再セットUPインストール
再セットUPインストール

その他 方法として
(直せるかどうか、こちらではわかりませんが)
レジストリキー修正方法参考URLです
http://higaitaisaku.web.infoseek.co.jp/hkeyusers.html

Internet Explorer関連レジストリの完全なリセット
修正方法参考URLです
http://higaitaisaku.web.infoseek.co.jp/cleanfixreg.html

投稿日時 - 2004-07-03 10:10:59

補足

F0 - syst>m.ini: Shell=
F0 - R>ystem.ini: Shel>=
F0 - R>ystem.ini: UserInit=
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2874EF24-5B4A-FBCC-AAF3-41C5D6A1522B} - C:\WINDOWS\system32\ntrg32.dll
O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [NECEvm] C:\Program Files\NEC\Aio\Shared\Bin\AplEvm12.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AHNSD] "C:\Program Files\Ahnlab\Smart Update Utility\AhnSD.exe"
O4 - HKLM\..\Run: [winupd] C:\WINDOWS\System32\winupd.exe
O4 - HKLM\..\Run: [sysry.exe] C:\WINDOWS\system32\sysry.exe
O4 - HKLM\..\Run: [gqezlze] C:\WINDOWS\System32\rqoplfo.exe
O4 - HKLM\..\Run: [appuy.exe] C:\WINDOWS\system32\appuy.exe
O4 - HKCU\..\Run: [System Soap Pro] C:\PROGRA~1\SYSTEM~1\soap.exe min
O4 - HKLM\..\RunOnce: [ntpw32.exe] C:\WINDOWS\ntpw32.exe
O4 - HKLM\..\RunOnce: [crmr32.exe] C:\WINDOWS\crmr32.exe
O4 - HKLM\..\RunOnce: [sysfl.exe] C:\WINDOWS\system32\sysfl.exe
O4 - Startup: CD
O4 - Startup: gsview32.ini
O4 - Startup: NTUSER.DAT
O4 - Startup: ntuser.dat.LOG
O4 - Startup: ntuser.ini
O4 - Startup: WinShell.commands
O4 - Startup: WinShell.environments
O4 - Startup: WinShell.ini
O4 - Startup: WinShell.macros
O4 - Startup: WinShellMacros.bmp
O4 - Startup: WinShellTools.bmp
O4 - Startup: ~
O4 - Global Startup: NTUSER.DAT
O4 - Global Startup: NTUSER.DAT.LOG
O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: コリャ英和!(&A) 一発!ポップアップ - res://C:\PROGRA~1\LOGOVI~1\KoryaIP\KKPOPU~1\KKPopup.exe/134
O8 - Extra context menu item: コリャ英和!(&B) ページ翻訳(訳文のみ) - res://C:\Program Files\LogoVista\KoryaIP\KETransBar\TamaIETranslationExtension.dll/201
O8 - Extra context menu item: コリャ英和!(&C) ページ翻訳(上下対訳) - res://C:\Program Files\LogoVista\KoryaIP\KETransBar\TamaIETranslationExtension.dll/202
O8 - Extra context menu item: コリャ英和!(&D) ページ翻訳(ヘッダ・リンクタグのみ) - res://C:\Program Files\LogoVista\KoryaIP\KETransBar\TamaIETranslationExtension.dll/203
O8 - Extra context menu item: コリャ英和!(&E) 翻訳(横)バーで翻訳 - res://C:\Program Files\LogoVista\KoryaIP\KETransBar\TamaIEBar.dll/205
O8 - Extra context menu item: コリャ英和!(&F) 翻訳(縦)バーで翻訳 - res://C:\Program Files\LogoVista\KoryaIP\KETransBar\TamaIEBar.dll/206
O8 - Extra context menu item: コリャ英和!(&G) 辞書バーで辞書引き - res://C:\Program Files\LogoVista\KoryaIP\KETransBar\TamaIEDictBar.dll/203
O8 - Extra context menu item: 検索Ninja(&K) - inazuma:search?TYPE=Context
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)

投稿日時 - 2004-07-04 00:23:10

お礼

O14 - IERESET.INF: START_PAGE_URL=http://www.sotec.co.jp/
O16 - DPF: Yahoo! Chat JP 2 - http://cs.chat.yahoo.co.jp/c302/chat.cab
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://***.net/winsearchie32.chm::/winsearchie32.exe
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw-intl.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://cs.chat.yahoo.co.jp/v45/yacscom.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/26b4aeaa8dd7a7536005/netzip/RdxIE601_ja.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37868.4866666667
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E504EE6E-47C6-11D5-B8AB-00D0B78F3D48} (Yahoo! Webcam Viewer Wrapper) - http://chat.yahoo.co.jp/cab/yvwrctl.cab
以上がHijack This-v1.97.7のScan結果です。
他にはCoolWebSearchのやつをやったんですが、以下のもの以外はnonpresenって感じの表示だったかな?でした。特徴的だったのが
Restoring Internet Explorer pages RESTORED (11 items)

Cleaning up orphaned leftovers done!

の二つでした。しかし、IEを起動しても同じページでダメでした。

投稿日時 - 2004-07-04 00:27:39

ANo.9

#3です。

>そのいつも現れるURLは載せた方がいいのでしょうか?

どんなにホームのページをYahooに設定しても英語のしつこいURLが出るのでは使いにくくて仕方ないと思います。

悪く表現すればわざと素人では削除のしようがないパラサイトを寄生させておいて、それを削除するには特別なソフトがある。欲しければ金を出せ。という類のものにしか思えません。

一度OSの再インストールをしてしまえば解決は早いです。

これからはネットをするときはそのようなものを寄生させないような方策をとってからインターネットを楽しんだらいいと思います。

インターネットをする前に
IEのツール>インターネットオプション>セキュリティ>レベルのカスタマイズ>AvtiveXとスクリプト関係(もちろんJAVAスクリプトも無効)を全て無効にします。

IE6.0の場合ですと上から9つくらい無効にするところがあるはずです。
こうすれば邪魔なページは勝手に開きませんし、書き換えられることもありません。パラサイトが寄生することはありません。そして自分がクリックしたところ意外は開きません。

ただしJAVAは色々なサイトで使われていますので開かないこともあります。(このOKWebもJAVAは使われています)
信頼できるサイトだけ元にもどせばいいだけでわからないサイトにいくときは必ずこれを実行してください。

もとにもどす場合はセキュリティの「規定のレベル」をクリックすればもとにもどります。

投稿日時 - 2004-07-03 08:56:32

お礼

セキュリティの説明ありがとうございます。
無効にするのも有効な手段なのですね。
HijackThisとCoolWebSearchのやつをやってみました。CoolWebSearchはやったのですが変化なしでした。
HijackThisのScan結果は#10の方の補足とお礼にまたがって(文字数が…)に書かせて頂きました。

投稿日時 - 2004-07-04 00:31:38

ANo.8

追伸です
" http://looking-for.cc "のHPを表示すると
制限付きサイトに切り替わります
セキュリティー機能が低いと、危ないです。
むやみにHPを表示しないようにして下さい

投稿日時 - 2004-07-03 00:59:49

補足

ちなみに、具体的にはIEを起動するといつも必ずホームにはアドレス
「res://rbtyl.dll/index.html#96676」
が表示され、ポップアップで「パラサイトが寄生しています。スパイウェアがなんたらかんたら」って感じのものも出てきます。これが何かの役に立つでしょうか。

投稿日時 - 2004-07-03 01:34:43

お礼

こまめに調べていただき本当にありがとうございます。やはり先ほどのプログラムは怪しそうですね。

投稿日時 - 2004-07-03 01:25:29

ANo.7

googleで検索してみました
http://www.google.co.jp/
結果
Home Search Assistantは海外サイトが多数表示
Search ExtenderはIBM系の表示が出やすい
Shopping Wizardは海外サイトが多数表示
(感想としては上記内容だけでは手に負えない)

今までの書き込み内容を考えて、
使用者が理解していない、色々なソフトが
ダウンロードインストールされ過ぎている。

HijackThisによる検索と削除の方法
http://higaitaisaku.web.infoseek.co.jp/hijackthis.html
(popup5.php?pin=96676あたりの検索が出来そう)
(でも必要ソフトと不要ソフトがわからないと判断が)

スパイ対策としてAd-aware 6.0 build 181を
試してみて、何も変わらない状態ならば、
#3さんの意見として、再セットUPインストール

必要なユーザーデーターのバックアップ後に
再セットUPインストールの方が、直しやすいです。

投稿日時 - 2004-07-03 00:33:06

補足

Search Extenderのアイコンの絵が2人の人が離れている感じのアイコンなのでなんか自分のパソコンが遠隔操作されてしまうのではないかと不安です。
一体どこまで読み取られてしまうのでしょうか?

投稿日時 - 2004-07-03 01:47:50

お礼

ありがとうございます。
HijackThisによる検索と削除の方法
http://higaitaisaku.web.infoseek.co.jp/hijackthis.html
を見ました。
1.システムの復元ポイントは設定していませんでした。→システムの復元による解決は不可能?
2.HjackThisの古いバージョン(なぜならサイトはスパイウェアのため?表示できなかった)でScanしてみたのですが、やはり自分の知識ではまったくどれを削除していいか分かりませんでした。
自分の通常のアプリケーションの名前が入っているものは削除してはいけないなぁと思うのですが、見慣れない名前のものはわからないです。

投稿日時 - 2004-07-03 01:47:06

ANo.6

NoAdware2.0は有料ソフトです。
その為に、使用料を払いなさいと警告を出して
入るのではないですか?
ソフトの中には広告付きのタイプがあります。
それらが含まれている、可能性があります
使用しない場合は削除した方がよいのでは?

スパイウェア対策ならば#4で紹介したソフトの方が
使いやすいです。

その他1
ウイルス検査もしてみてはどうですか?
オンライン検査の参考URLです
ウイルスバスターオンラインスキャン
http://www.trendmicro.co.jp/hcall/index.asp
シマンテックにてオンライン検査とセキュリティ
http://www.symantec.com/region/jp/securitycheck/index.html

上記検査はPCによって長時間になります。
(二箇所のURLにて全体を検査してください)

その他2
トロイの木馬の発見&除去をサポートする
セキュリティツーを紹介しておきます。
http://www.vector.co.jp/soft/win95/util/se161033.html

投稿日時 - 2004-07-02 23:06:15

お礼

>NoAdware2.0は有料ソフトです。
>その為に、使用料を払いなさいと警告を出して
>入るのではないですか?
有料ソフトなのですね。ありがとうございます。いちお、それはアンインストールしました。今はSpybot 1.3だけインストールしてあります。

投稿日時 - 2004-07-02 23:26:22

ANo.5

通常のプログラムの追加と削除の中に
不審なインストールされたプログラムはありませんか?

>「DSO Exploit」って削除した方がいいの・・・
現状には、これは影響していません
(バクです、そのうちSpybot1.3で修正します)

インターネットオプションにおいて
接続の中に不審な接続設定がありませんか?

> 同じサーチエンジンみたいな英語のサイト・・
インターネット一時ファイルの掃除をしても
症状が出るようなので
CoolWebShredderによる自動削除を使用してみますか?
参考URLです。
http://higaitaisaku.web.infoseek.co.jp/removecws.html

> BPS Adaware Remover Spybotのバッタもん
その件については知りません
参考URLで確認して下さい。
http://higaitaisaku.web.infoseek.co.jp/removebpsremover.html

投稿日時 - 2004-07-02 22:43:05

お礼

ありがとうございます。そのあとに試したことを述べます。
1.思い切って[DSO Exploit」というのも削除。
しかし、変化なし。
2.プログラムの追加と削除で怪しそうな「Bridge」というのを削除。しかし、変化なし。

そして、プログラムの追加と削除でさらに怪しそうなのを見つけました。しかし、よく分からない素人の私が勝手に削除しない方がいいと思いつつも思い切りも必要というところで迷っています。

実験結果
怪しそうなプログラム
「Home Search Assistant」
「Search Extender」
「Shopping Wizard」
というのがあるのですが、それを削除しようとすると
それぞれ
ショートカットエラーというタイトルのメッセージボックスでそれぞれ
「"http://looking-for.cc/uninstall/Home Search Assistant.html"を開けません」
「"http://looking-for.cc/uninstall/Search Extender.html"を開けません」
「"http://looking-for.cc/uninstall/Shopping Wizard.html"を開けません」
とメッセージが出て結局これらのものは削除不可能です。なんか意味わかんないです。

あとはタスクマネージャにもなんかいろいろありますが、大事なものがどれでどれが怪しいのか判別できないので削除できないでいます。

投稿日時 - 2004-07-02 23:24:34

ANo.4

スパイウェア対策
対策レベル1
Spybot1.3の説明URLです。
http://higaitaisaku.web.infoseek.co.jp/spybot2.html
対策レベル2
Ad-aware 6.0 build 181 のダウンロード
http://download.com.com/3000-2144-10214379.html?tag=pop
Ad-aware 6.0 build 181 の説明
http://higaitaisaku.web.infoseek.co.jp/adaware.html
事前防御はこれ
対策レベル2
SpywareBlaster 3.1のダウンロード
http://www.javacoolsoftware.com/

DSO ExploitはSpybot1.3のバクです。
Spybot1.3とAd-aware 6.0で基本対策をして下さい。
SpywareBlaster 3.1で防御してください。
その他
インターネット一時ファイルの掃除をして下さい
COOkeiの削除ボタンをクリック
ファイルの削除ボタンをクリック
設定ボタンをクリックしてオブジェクト内に
不審なファイルがインストールされていないか
確認して下さい。あれば削除して下さい

投稿日時 - 2004-07-02 21:40:09

補足

「DSO Exploit」って削除した方がいいのでしょうか?
http://higaitaisaku.web.infoseek.co.jp/spywareex.html
の中で
「BPS Spyware Remover
BPS Adaware Remover Spybotのバッタもん
BulletProofSoft.comの製品 」
バッタもんってあるんですが、ポップアップの中にバッタみたいな昆虫が8匹ぐらいで動いてる絵が表示されることがありますが、なんか関係ありますか?

投稿日時 - 2004-07-02 21:57:52

お礼

ありがとうございます。Temporary Internet Filesの中のファイルをすべて削除してからもう一度YAHOO JAPANをホームに設定してみました。そしてもう一度ホームのボタンを押すとやっぱり同じサーチエンジンみたいな英語のサイトが出てきます。このときにTemporary Internet Filesの中を見ると
「popup5.php?pin=96676」

「popup3.php?pin=96676」
というファイルがあります。
まだ、自分のOSとIPアドレスが読み取られてしまっているようです。ポップアップで表示が出てくるので。

投稿日時 - 2004-07-02 21:57:29

ANo.3

おそらく「Spybot」などでも解決しないと思います。

パソコンからその怪しげなファイルを検索して削除しても再起動してパソコンがネットに繋がった瞬間にパソコン内にまたファイルが作られるような種類のものだと思います。

一番の解決方法は面倒でしょうが再インストールしかないと思います。

投稿日時 - 2004-07-02 21:21:12

補足

「DSO Exploit」というスパイウェアだけは削除していないんですが、その影響でしょうか?

投稿日時 - 2004-07-02 21:29:01

お礼

ありがとうございます。どうやらそのようなものっぽいです。そのいつも現れるURLは載せた方がいいのでしょうか?

投稿日時 - 2004-07-02 21:26:45

検索すればわかると思いますけど一応念のために

Ad-awareとSpybotを使って駆除してください
両方やっておいたほうがいいですよ

参考URL:http://www.lavasoftusa.com/japanese/software/adaware/,http://www.safer-networking.org/

投稿日時 - 2004-07-02 20:09:34

お礼

ありがとうございました。Spybotでいくつかのスパイウェアを除去しました。http://enchanting.cside.com/security/spybot2.html
で「DSO Exploit」は削除しないように書いてあるのでこれだけ除去はしていないんですが。

投稿日時 - 2004-07-02 21:22:58

>危ないかもと思って登録しないでいるんですが。

そのまま登録せずに、ここで対処法を勉強しましょう(^o^)

既に非常に多くの方がこの件については回答しています。「スパイウェア対策」と検索すればたくさんの情報が得られますよ。

投稿日時 - 2004-07-02 19:35:43

お礼

ありがとうございます。スパイボットで除去したのですが、なんらかのパラサイトがまだ残っています。

投稿日時 - 2004-07-02 21:19:36

あなたにオススメの質問