意味不明のツールバーが出現してアンインストールできません！！

はじめて質問いたします。
実は、昨日の夜とつぜんブラウザ上に
意味不明のツールバーが出現しまして
「Bigin2Search.com Ber」というらしいのですが
どうしてもアンインストールできずに
困っています。

おかげでネットの速度もかなり遅くなってしまい
ウィルス感染もしたのかなと心配しております。

原因としましては
どうやらうちの主人が
どこか外国のアプリケーションをインストールして
それをアンインストールしてから
ツールバーが出現したようなんです。

今のところ、ネットの速度が遅くなる以外の
被害はないみたいなんですが
やはり不安なので、ぜひ回答のほう
よろしくお願いいたします。

できればリカバリ以外での回避が
あればぜひ教えてください。

No.3 ベストアンサー 回答者： lesson 回答日時： 2004/12/08 10:24

外国のサイトに行った後に削除できないツールバーが

表れたのでしたらスパイウェアと思います。
放っておくとＰＣ内の個人情報も抜き出されかねません。
駆除ツールのＳｐｙｂｏｔ、Ａｄ－Ａｗａｒｅを使って
すぐにスキャン、駆除してください。
参考ＵＲＬの説明にそってダウンロード、使用してください。
英語表記ですが、ＣＷＳｈｕｒｅｄｄｅｒも簡単なので
同時に使用をおすすめします。

参考URL：http://www.higaitaisaku.com/

この回答への補足

回答していただき本当にありがとうございました。

参考ＵＲＬも拝見しましたが
詳しく書いているようですので
参考にしたいと思います。

補足日時：2004/12/08 11:30

No.5 回答者： minazo 回答日時： 2004/12/08 13:32

　ツールバーがでた前の日の日付でいいと思いますが、それより以前に戻ることを試しにされてもいいんじゃないでしょうか。

No.4 回答者： ittochan 回答日時： 2004/12/08 11:06

Begin2Search.com Barかな？

http://www.begin2search.com/
のリンクの「Uninstall Toolbar」にアンインストーラがあるようですが私はこのアンインストーラは使用したことがありません。
これで治ればいいんですが、
Begin2Search.com Barは寂しがり屋さんで
他のスパイウェアを読み込むみたいです。

詳細＆駆除方法を↓に書きますが、
（クリックによる感染を防ぐため一部全角で書いてます）
「ちんぷんかんぷん」で
「早く直したい！」な場合はリカバリしてちょうだい。

http://www？.？？？？？.com/？？？？？/index.html
の
West Frontier Holdings S.A
を実行すると

ActiveXに
iiittt Class
ID:{07E9CDF4-20D2-46B1-B681-663968F527CE}
コードベース：http://www.begin2search.com/toolbar/ｗｉｎb2s32.cab

がインストールされる

レジストリに

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{52FE5233-367C-4EFB-BDD7-0BE4D212C107}"=hex:

HKEY_CURRENT_USER\Software\aaa_soft

HKEY_CLASSES_ROOT\winb2s.amo
HKEY_CLASSES_ROOT\winb2s.amo.1
HKEY_CLASSES_ROOT\winb2s.dbi
HKEY_CLASSES_ROOT\winb2s.dbi.1
HKEY_CLASSES_ROOT\winb2s.iiittt
HKEY_CLASSES_ROOT\winb2s.iiittt.1
HKEY_CLASSES_ROOT\winb2s.momo
HKEY_CLASSES_ROOT\winb2s.momo.1
HKEY_CLASSES_ROOT\winb2s.ohb
HKEY_CLASSES_ROOT\winb2s.ohb.1

[HKEY_CLASSES_ROOT\CLSID\{52FE5233-367C-4EFB-BDD7-0BE4D212C107}]
@="Begin2Search.com Bar"

[HKEY_CLASSES_ROOT\CLSID\{52FE5233-367C-4EFB-BDD7-0BE4D212C107}\InprocServer32]
@="C:\\WINDOWS\\System32\\winb2s32.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{52FE5233-367C-4EFB-BDD7-0BE4D212C107}\ProgID]
@="winb2s.dbi.1"

[HKEY_CLASSES_ROOT\CLSID\{52FE5233-367C-4EFB-BDD7-0BE4D212C107}\Programmable]

[HKEY_CLASSES_ROOT\CLSID\{52FE5233-367C-4EFB-BDD7-0BE4D212C107}\TypeLib]
@="{081DE2F6-927B-4AA9-88C1-F531C9387383}"

[HKEY_CLASSES_ROOT\CLSID\{52FE5233-367C-4EFB-BDD7-0BE4D212C107}\VersionIndependentProgID]
@="winb2s.dbi"

[HKEY_CLASSES_ROOT\CLSID\{07E9CDF4-20D2-46B1-B681-663968F527CE}]
@="iiittt Class"

[HKEY_CLASSES_ROOT\CLSID\{07E9CDF4-20D2-46B1-B681-663968F527CE}\Control]

[HKEY_CLASSES_ROOT\CLSID\{07E9CDF4-20D2-46B1-B681-663968F527CE}\Implemented Categories]

[HKEY_CLASSES_ROOT\CLSID\{07E9CDF4-20D2-46B1-B681-663968F527CE}\Implemented Categories\{7DD95802-9882-11CF-9FA9-00AA006C42C4}]

[HKEY_CLASSES_ROOT\CLSID\{07E9CDF4-20D2-46B1-B681-663968F527CE}\InprocServer32]
@="C:\\WINDOWS\\System32\\winb2s32.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{07E9CDF4-20D2-46B1-B681-663968F527CE}\MiscStatus]
@="0"

[HKEY_CLASSES_ROOT\CLSID\{07E9CDF4-20D2-46B1-B681-663968F527CE}\MiscStatus\1]
@="131473"

[HKEY_CLASSES_ROOT\CLSID\{07E9CDF4-20D2-46B1-B681-663968F527CE}\ProgID]
@="winb2s.iiittt.1"

[HKEY_CLASSES_ROOT\CLSID\{07E9CDF4-20D2-46B1-B681-663968F527CE}\Programmable]

[HKEY_CLASSES_ROOT\CLSID\{07E9CDF4-20D2-46B1-B681-663968F527CE}\ToolboxBitmap32]
@="C:\\WINDOWS\\System32\\winb2s32.dll, 102"

[HKEY_CLASSES_ROOT\CLSID\{07E9CDF4-20D2-46B1-B681-663968F527CE}\TypeLib]
@="{081DE2F6-927B-4AA9-88C1-F531C9387383}"

[HKEY_CLASSES_ROOT\CLSID\{07E9CDF4-20D2-46B1-B681-663968F527CE}\Version]
@="1.0"

[HKEY_CLASSES_ROOT\CLSID\{07E9CDF4-20D2-46B1-B681-663968F527CE}\VersionIndependentProgID]
@="winb2s.iiittt"

[HKEY_CLASSES_ROOT\CLSID\{7C5E5671-7A1D-4AE8-91F0-496ADF2825F7}]
@="momo Class"

[HKEY_CLASSES_ROOT\CLSID\{7C5E5671-7A1D-4AE8-91F0-496ADF2825F7}\InprocServer32]
@="C:\\WINDOWS\\System32\\winb2s32.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{7C5E5671-7A1D-4AE8-91F0-496ADF2825F7}\ProgID]
@="winb2s.momo.1"

[HKEY_CLASSES_ROOT\CLSID\{7C5E5671-7A1D-4AE8-91F0-496ADF2825F7}\Programmable]

[HKEY_CLASSES_ROOT\CLSID\{7C5E5671-7A1D-4AE8-91F0-496ADF2825F7}\TypeLib]
@="{081DE2F6-927B-4AA9-88C1-F531C9387383}"

[HKEY_CLASSES_ROOT\CLSID\{7C5E5671-7A1D-4AE8-91F0-496ADF2825F7}\VersionIndependentProgID]
@="winb2s.momo"

[HKEY_CLASSES_ROOT\CLSID\{4D568F0F-8AC9-40AB-88B7-415134C78777}]
@="ohb Class"

[HKEY_CLASSES_ROOT\CLSID\{4D568F0F-8AC9-40AB-88B7-415134C78777}\InprocServer32]
@="C:\\WINDOWS\\System32\\winb2s32.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{4D568F0F-8AC9-40AB-88B7-415134C78777}\ProgID]
@="winb2s.ohb.1"

[HKEY_CLASSES_ROOT\CLSID\{4D568F0F-8AC9-40AB-88B7-415134C78777}\Programmable]

[HKEY_CLASSES_ROOT\CLSID\{4D568F0F-8AC9-40AB-88B7-415134C78777}\TypeLib]
@="{081DE2F6-927B-4AA9-88C1-F531C9387383}"

[HKEY_CLASSES_ROOT\CLSID\{4D568F0F-8AC9-40AB-88B7-415134C78777}\VersionIndependentProgID]
@="winb2s.ohb"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4D568F0F-8AC9-40AB-88B7-415134C78777}]
@="ohb"

[HKEY_CLASSES_ROOT\CLSID\{09C14745-90FD-42D1-9276-4924D7DBC274}]
@="amo Class"

[HKEY_CLASSES_ROOT\CLSID\{09C14745-90FD-42D1-9276-4924D7DBC274}\InprocServer32]
@="C:\\WINDOWS\\System32\\winb2s32.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{09C14745-90FD-42D1-9276-4924D7DBC274}\ProgID]
@="winb2s.amo.1"

[HKEY_CLASSES_ROOT\CLSID\{09C14745-90FD-42D1-9276-4924D7DBC274}\Programmable]

[HKEY_CLASSES_ROOT\CLSID\{09C14745-90FD-42D1-9276-4924D7DBC274}\TypeLib]
@="{081DE2F6-927B-4AA9-88C1-F531C9387383}"

[HKEY_CLASSES_ROOT\CLSID\{09C14745-90FD-42D1-9276-4924D7DBC274}\VersionIndependentProgID]
@="winb2s.amo"

が書き込まれる

Internet Explorerを起動させると
II2.exeが実行され

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Page"="http://www.begin2search.com/ｇｏｏｇｌｅsidesearch.html"
"Search Bar"="http://www.begin2search.com/ｇｏｏｇｌｅsidesearch.html"
"Local Page"="C:\\WINDOWS\\secure.html"
"Default_Page_URL"="C:\\WINDOWS\\secure.html"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
"SearchAssistant"="http://www.begin2search.com/ｇｏｏｇｌｅsidesearch.html"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
"SearchAssistant"="http://www.begin2search.com/ｇｏｏｇｌｅsidesearch.html"

[HKEY_CURRENT_USER\Software\LocalNRD]
"LNI0d1OfSInst"="{139A3203-7D2F-4D3D-A859-AAB0B6AAB300}"
"LNI0d1OfSDist"="94|1|0|0|II22.exe"

[HKEY_CLASSES_ROOT\VX2.VX2Obj]
@="LocalNRD Functional Class"

[HKEY_CLASSES_ROOT\VX2.VX2Obj\CLSID]
@="{00320615-B6C2-40A6-8F99-F1C52D674FAD}"

[HKEY_CLASSES_ROOT\VX2.VX2Obj\CurVer]
@="LocalNRDDll.LocalNRDDllObj.1"

[HKEY_CLASSES_ROOT\CLSID\{00320615-B6C2-40A6-8F99-F1C52D674FAD}]
@="LocalNRDObj Class"

[HKEY_CLASSES_ROOT\CLSID\{00320615-B6C2-40A6-8F99-F1C52D674FAD}\InprocServer32]
@="C:\\WINDOWS\\localNRD.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{00320615-B6C2-40A6-8F99-F1C52D674FAD}\ProgID]
@="LocalNRD.LocalNRDObj.1"

[HKEY_CLASSES_ROOT\CLSID\{00320615-B6C2-40A6-8F99-F1C52D674FAD}\Programmable]

[HKEY_CLASSES_ROOT\CLSID\{00320615-B6C2-40A6-8F99-F1C52D674FAD}\TypeLib]
@="{11CC62B2-65F2-4A82-B332-5DE4E8384422}"

[HKEY_CLASSES_ROOT\CLSID\{00320615-B6C2-40A6-8F99-F1C52D674FAD}\VersionIndependentProgID]
@="LocalNRD.LocalNRDObj"

HKEY_CLASSES_ROOT\TypeLib\{690BCCB4-6B83-4203-AE77-038C116594EC}

HKEY_CLASSES_ROOT\Interface\{4534CD6B-59D6-43FD-864B-06A0D843444A}

HKEY_CLASSES_ROOT\LocalNRDDll.LocalNRDDllObj.1

HKEY_LOCAL_MACHINE\SOFTWARE\Vendor

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nlshaqmv"="C:\\WINDOWS\\System32\\zktlzvo.exe"
が書き込まれる

zktlzvo.exeが実行される

Internet Explorerの検索バーが
http://www.begin2search.com/ｇｏｏｇｌｅsidesearch.html
になる

ツールバーに
begin2search.com bar
が追加される

デスクトップに
Contact Lenses
Delete Evidence
Free Platinum Card
Get Movies
Hot Matchup
Kill All Spyware
Kill XP Popups
Popup Blocker
が追加される

Internet Explorerを何回か再起動させていると

conscorr.exeが起動し

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"conscorr"="C:\\WINDOWS\\conscorr.exe"

が登録される

Internet Explorerを何回か再起動させていると

thnall1l.exeが起動し

[HKEY_CLASSES_ROOT\MultimppDll.MultimppDllObj.1]
@="MultimppObj Class"

[HKEY_CLASSES_ROOT\MultimppDll.MultimppDllObj.1\CLSID]
@="{000020DD-C72E-4113-AF77-DD56626C6C42}"

[HKEY_CLASSES_ROOT\CLSID\{002EB272-2590-4693-B166-FBD5D9B6FEA6}]
@="MultimppObj Class"

[HKEY_CLASSES_ROOT\CLSID\{002EB272-2590-4693-B166-FBD5D9B6FEA6}\InprocServer32]
@="C:\\WINDOWS\\multimpp.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{002EB272-2590-4693-B166-FBD5D9B6FEA6}\ProgID]
@="Multimpp.MultimppObj.1"

[HKEY_CLASSES_ROOT\CLSID\{002EB272-2590-4693-B166-FBD5D9B6FEA6}\Programmable]

[HKEY_CLASSES_ROOT\CLSID\{002EB272-2590-4693-B166-FBD5D9B6FEA6}\TypeLib]
@="{11CC62B2-65F2-4A82-B332-5DE4E8384422}"

[HKEY_CLASSES_ROOT\CLSID\{002EB272-2590-4693-B166-FBD5D9B6FEA6}\VersionIndependentProgID]
@="Multimpp.MultimppObj"

HKEY_CLASSES_ROOT\TypeLib\{690BCCB4-6B83-4203-AE77-038C116594EC}

HKEY_CLASSES_ROOT\Interface\{4534CD6B-59D6-43FD-864B-06A0D843444A}

HKEY_CURRENT_USER\Software\Multimpp

が書き込まれる

ツールバーから
begin2search.com bar
が消える


タスクマネージャから
zktlzvo.exe
を停止させ

regsvr32 /u winb2s32.dll
regsvr32 /u localNRD.dll
regsvr32 /u multimpp.dll
をして


HKEY_CURRENT_USER\Software\aaa_soft
HKEY_LOCAL_MACHINE\SOFTWARE\Vendor
HKEY_CURRENT_USER\Software\Multimpp
を削除

この回答へのお礼

とても詳しい回答を本当にありがとうございました。

時間はかかるかもしれませんが
この方法で頑張ってみたいと思います。

また何かありましたら
ぜひよろしくお願いします。

お礼日時：2004/12/08 14:33

No.2 回答者： syunmaru 回答日時： 2004/12/08 10:13

アンチウィルスソフトの定義ファイルを最新(アップデート)にして、ウィルスチェックをかけてみてください。

アンインストールは、「プログラムの追加と削除」から、出来ないでしょうか??。

「窓の手」を使う方法も有りますが、恐らくスパイウェアだと思います。

Ad-Aware
　有料版は常駐監視機能あり。
　　http://www.lavasoft.de/
　　http://isweb42.infoseek.co.jp/computer/koni_bdc/ … 日本語化パッチ
　　現在の最新版
　　Free Download - Ad-Aware SE Personal 1.05
　　http://www.majorgeeks.com/download506.html

Ad-aware 日本語化
　　http://bdc.s15.xrea.com:8080/flight/
Ad-aware 6.0によるスパイウェアの除去方法
　　http://higaitaisaku.web.infoseek.co.jp/adaware.h …

SpybotSD - Spybot - Search & Destroy1.3
　日本語対応。
　　http://www.safer-networking.org/
　　http://security.kolla.de/
Spybotの使い方
　　http://www.dream-seed.com/server/spybot.html
Spybot1.3によるスパイウェアの除去方法
　　http://higaitaisaku.web.infoseek.co.jp/spybot2.htm

この回答への補足

回答していただきまして本当にありがとうございます。


プログラムの追加と削除から、それらしき
ものは削除したのですが
やはりダメでした。

他にそれと思われるアプリケーションもみつかりませんでした。

なんとかして
スパイウェアの除去に努めたいと思います。

またわからないことがあれば
質問すると思いますので
よろしくお願いします。

補足日時：2004/12/08 11:06

No.1 回答者： minazo 回答日時： 2004/12/08 10:08

　ＯＳは何でしょう？ＸＰであれば、システムの復元を利用してみてはいかがでしょう。

マックさんならごめんなさい。

この回答への補足

回答していただき本当にありがとうございます。
システムの復元も試してみましたが
やはりダメでした。

ツールバーがでた前の日の日付で
システム復元したのですが
それではいけなかったのでしょうか？

補足日時：2004/12/08 11:02