Admilli Serviceというスパイウェアに感染したようで困ってます(><)

セーフモードでAD-Aware seとspybotで駆除しても何度もspybotで検知されます・・・

なんとか駆除できないものでしょうか?

PCは詳しくありません。

お手数おかけしますがアドバイスお願いいたします。

A 回答 (82件中1~10件)

<<<<< まだ 終 了 前?? >>>>>



>◆Internet Optimizer←削除
>◆Media Pass←削除
>>プログラムの追加と削除の所に
>>似たような文字列もみあたりませんでした。
確認して無ければ終了です

>★ウイルスセキュリティの履歴情報の一部
>場所はC:\Temp←ここの中にある
>子分 C:\Temp salm.exe
>子分 C:\Temp optimize.exe
>>こちらを「直接ファイルの有る場所を確認して
>>有れば削除」とのことですが直接のファイルの
>>見方をお手数おかけしますが教えて下さい。
説明
C:←とある場合は主にローカルドライブCの意味
\←その後に\は絶対パス又は相対パスの意味で
階層を表しています
Temp←はフォルダ名称の事で
salm.exe←はその中にあるファイル名称となります

直接確認してと言ったのは、パソコン内を検索すると
あなたのパソコンでは検索時間がなぜか?
かかり過ぎるので、
この場合は 場所がわかる状態なので
画面左下 スタートからマイコンピーターをクリック
ローカルディスク(C:)をWクリックして開く
その中にあるTempフォルダーをWクリックして開く
さらにその中にsalm.exeファイル名を探して削除です
これらはウイルスセキュリティの履歴情報の一部
なので見つからなければ終了して下さい

他に似たような表現として
C:\program Files\←のように斜めを使用の
場合もあります、つながりとしての意味は似た物です
そろそろ、フォルダーのつながり方の意味に
慣れてくださいね
細かく手順を書き込みすると時間がかかります

不明「 pass0100.lzh 」と不明「 FATHER.LZH 」に
ついてですが、知り合いの人に聞いても多分???ですね
それに、こちら(私)からの追跡も無理です
圧縮された.lzhファイルを解凍できるソフトで
中身にどのようなファイルがあるのか調べる必要が
あります、解凍しただけでは解凍後のファイルを
クリックして実行しなければ、インストールされない
ハズですが、たまに解凍するとインストール動作する
タイプもあるので、ウイルスの可能性がある
素性の知らないファイルをクリックして開けるのは
危険ですと注意しただけです
圧縮されたファイルはそのままでは、普通は
活動しませんので、パソコンに詳しい知り合いの人に
直接見てもらって確認してもらった方が早いです
又は危険覚悟で自分で解凍して中身を見て見ますか?

不明「 pass0100.lzh 」
不明「 FATHER.LZH 」
については、こちら(私)では終了とします

追加補足質問が無ければこの辺で終了です
質問を締め切ってね
それともComeback??
    • good
    • 0
この回答へのお礼

長時間教えて頂き、また調査頂きありがとうございました。
>★ウイルスセキュリティの履歴情報の一部
>場所はC:\Temp←ここの中にある
>子分 C:\Temp salm.exe
>子分 C:\Temp optimize.exe
こちら直接確認できましてsalm.exeに似た文字列がありましたので削除しました。

不明「 pass0100.lzh 」不明「 FATHER.LZH 」は誰も「知らない」とのことなんで削除しました。

貴重な時間をおさき下さりたいへん感謝してます。
ありがとうございました☆

お礼日時:2005/04/13 23:12

<<<<< 終了あいさつ >>>>>



>おかげさまでパソコンは通常モードで作動してます。
>セキュリティの履歴、・・今の時点では増えてません
パソコンをしばらく使用して異常がなければ
HijackThisで保存されたウイルス関係の
バックアップ情報は削除して下さい
【注 意】
HijackThisの操作を間違って、
削除したウイルスを復活させないでね (笑

長期間の対策になってしまって、m(_ _)m
解かり難い駆除作業はお疲れ様でした
正常ならバンザイ バンザイ ですね
\(^^\)  o(^▽^)o  (/^^)/
追加補足質問が無ければこれで終了です
質問を締め切ってね
 ?( ^_^)/~~~
The End??
    • good
    • 0

長時間の検索作業はお疲れ様でした



>セーフモードで検索しましたがみつかりません
>また検索が時間がかかる・・のはなぜでしょう?
パソコンをセーフモードで起動すると
機能制限がかかります、本来の通常機能が動作
しないので、遅くなったり操作できないハード部分が
出来ます
パソコン内のファイル検索をする場合は
通常モードで、その検索ファイルの場所を調べて下さい
他の原因としては、常駐起動しているソフトが
多い場合も、パソコン全体のパフォーマンスが
下がって遅く感じる場合
ハードウェアーの基本スペック問題(例)メモリー容量

☆Media Access←削除済みですから調べる必要無し
☆ap9h4qmo.exe←HijackThisを使用して削除済み?
☆ap9h4qmo.ini←これだけを確認して見る
ap9h4qmo.iniを検索して見つからなくても、
ap9h4qmo.exeが削除済みなら、影響は無いハズ

プログラムの追加と削除にある内容を確認して
以下が有れば削除です
===============================================
★インストールされた可能性のある内容です
C:\program Files\Internet Optimizer
C:\Program Files\Media Pass
アプリケーション名で以下があれば削除です
◆Internet Optimizer←削除
◆Media Pass←削除
===============================================

直接ファイルの有る場所を確認して有れば削除
===============================================
★ウイルスセキュリティの履歴情報の一部
場所はC:\Temp←ここの中にある
子分 C:\Temp salm.exe
子分 C:\Temp optimize.exe
===============================================

なにも無ければ、こちら(私)からの追跡は無理です

この回答への補足

こんばんわ、連日遅くまですいません。
ほんとにありがとうございます。

>☆ap9h4qmo.exe←HijackThisを使用して削除済み?
HijackThisでなくレジストリのRunの所にあったのを削除しました。

>☆ap9h4qmo.ini←これだけを確認して見る
検索で再度確認してみます。

>ap9h4qmo.exeが削除済みなら、影響は無いハズ
こちらも再度検索してみます。

>◆Internet Optimizer←削除
>◆Media Pass←削除
プログラムの追加と削除の所に似たような文字列もみあたりませんでした。

>★ウイルスセキュリティの履歴情報の一部
>場所はC:\Temp←ここの中にある
>子分 C:\Temp salm.exe
>子分 C:\Temp optimize.exe
こちらを「直接ファイルの有る場所を確認して有れば削除」とのことですが直接のファイルの見方をお手数おかけしますが教えて下さい。

不明「 pass0100.lzh 」と不明「 FATHER.LZH 」についてですが職場の友達で2人PCを使ったことがある人に聞きましても「覚えが無い」とのことでした。
地元の友達3人と彼にもこれから確認してみます。
TELと検索で時間が遅くなる可能性が高いです。
ご報告が遅くなります事をお許し下さい。

補足日時:2005/04/13 20:24
    • good
    • 0

ANo.#75の補足質問について


☆セーフモードのデスクトップの画面で
◇不明 「 pass0100.lzh 」
=================================================
拡張子から考えるとlzh 形式は
日本国内でよく使用される圧縮ファイルです
解凍して中身が次の内容だった場合
PassMie.exeが実行プログラム
PassMie.txtがマニュアル(説明書)
フリーウエアーツールで
品名 パスみえ2000
使用説明
パスワードが「****」と表示されている部分を
実際の内容で表示させるソフトです
パソコン使用者本人がパスワードを忘れない限り
必要がありません、他人に使用されると
あなたのパソコンのパスワードが解かってしまいます
=================================================
こちらから聞きたいです、なぜ
セーフモードのデスクトップの画面に
上記のツールがあるのですか? 不思議です
最初からダウンロードはされていないツールです
PassMie.exeをファイル検索してパソコン内にあれば、
質問者のあなた又は誰かが使用した可能性が有ります

◇不明 「 FATHER.LZH 」について
=================================================
こちらも拡張子から考えるとlzh 形式は
日本国内でよく使用される圧縮ファイルです
解凍して中身を確認しないと、わかりません
これらの圧縮ファイルは最初からありませんので
質問者のあなた又は誰か?がダウンロードした物です
知らない圧縮ファイルを解凍してインストールする事
は、ウイルスに感染する危険が大きくなります
=================================================

この不明LZH形式のファイルについては以上です
    • good
    • 0
この回答へのお礼

検索が長くかかってしまいましてすいません。
☆ap9h4qmo.exe ☆ap9h4qmo.ini ☆Media Accessをセーフモードで検索しましたがみつかりませんでした。
お手数おかけしますが別の削除方を教えて下さい。
また検索が時間がかかる時があれば、20分くらいで(1つの検索がですが)終わる場合とがあるのはなぜでしょう?
オフラインでこの3つの検索で2時間以上かかってます。。。

不明「 pass0100.lzh 」と不明「 FATHER.LZH 」は私にもまったく分かりません。
昨夜、削除の作業が終わってセーフモードの画面で出てきました。
それまでは見たことがありません。(通常画面でもです。現在通常画面では現れません)
私のPCを使ったことがある友達などに明日確認してみます。

今日はこのあたりで失礼します。

ありがとうございました☆

お礼日時:2005/04/13 00:37

>こういった状態ですが他にもありますか?


悪玉A菌グループ は検知が無ければ完了です
悪玉b菌グループ は未確定です
b菌の感染症状が無ければ、これ以上は解かりません
(各社のオンライン検査をした時に検知無しの為)

>ide21201.vxd:検索で発見、削除
>セーフモードでspy-botに検知されなくなりました。
パソコンを通常モードで起動をしても
ide21201.vxd の復活再生がなければ
悪玉A菌グループについては逮捕完了でしょう
=================================================
☆悪玉A菌グループ Admilli Service は終了です
 隠れ家 Media Access
 偽住所 ttp://static.windupdates.com/
 親 分 MediaAccess.exe
 実行犯 MediaAccK.exe
 実行犯の影 ide21201.vxd
 実行計画案 info.txt
=================================================

★疑いの場所についてANo.#30から証言
>ウイルスセキュリティの履歴から感染したであろう
>4/4から毎日急にウイルス履歴が残ってます。
>それまでは履歴にめったに出ませんでした。
>他にもあるんですが、こういったのが何度も
>繰り返し残されています。
=================================================
☆悪玉b菌グループ (トロイの木馬系) 未確定
 情報収集犯 ap9h4qmo.exe
 収集計画書 ap9h4qmo.ini
 子分 未逮捕の可能性有り 注意です

★インストールされた可能性のある内容です
C:\program Files\Internet Optimizer
C:\Program Files\Media Pass
★ウイルスセキュリティの履歴情報の一部
子分 C:\Temp salm.exe
子分 C:\Temp optimize.exe
他の履歴も有るので確認して、場合により削除
=================================================

◆ANo.#77のお礼欄の内容について
>ap9h4qmo.exe:レジストリのRunで発見、削除
>ap9h4qmo.ini:system32で検索すると2つ
>出ますが「ファイルを削除できません。
>送り側のファイルまたはディスクから
>読み取れません」となりますが大丈夫ですか?
================================================
ANo.#74の説明を確認して下さい
大丈夫ではありません
「 ap9h4qmo.ini 」は悪玉b菌グループ の一部です
削除する必要があります
通常モードで削除出来ない場合は
セーフモードで削除して下さい
どちらのモードでも削除出来ない場合は
後で別の削除ツールを教えますので、まずは削除です
=================================================

【質 問】
◇パソコンは通常モードで正常に動作していますか?
◇ウイルスセキュリティの履歴には未だに記録が
増えていますか?

この回答への補足

こんばんわ。
アドバイスありがとうございます。

はい、おかげさまでパソコンは通常モードで作動してます。ありがとうございます☆
ウイルスセキュリティの履歴は、今日の今の時点では増えてません。
注意して今後も確認します。

ap9h4qmo.iniのセーフモードでの確認をしてみます。
のちほど報告させて頂きます。

補足日時:2005/04/12 22:00
    • good
    • 0

パソコンの起動をしても ide21201.vxd の再生が


無ければ完了です

検索しても見つからないファイルは、今回は
無いと思いますので検索は終了です
レジストリー内検索も同じく無ければ終了です

悪玉菌 Admilli Service 対策本部終了報告

 隠れ家 Media Access
 偽住所 ttp://static.windupdates.com/
 親 分 MediaAccess.exe
 実行犯 MediaAccK.exe
 実行犯の影 ide21201.vxd
 実行計画案 info.txt
 情報収集犯 ap9h4qmo.exe
 収集計画書 ap9h4qmo.ini

上記が今回逮捕されたファイル名です
予想された、他の子分を検索して頂いたのですが
見つからないので終了です

【その他】
セーフモードのデスクトップの画面
pass0100.lzh
father.lzh
後で調べて見ます

【拡張子 簡単解説】
*****.lzh通常使用する為には、解凍するソフトが必要
日本でもっともポピュラーな圧縮形式。

この回答への補足

すいません、忘れてました!
☆Media Accessで検索:Ad-Awareと表示され、日にちが感染した日と思われる日から3日間ほどありましたので削除しました。

補足日時:2005/04/12 20:11
    • good
    • 0
この回答へのお礼

こんばんわ、お世話になってます。
現状を報告させて頂きます。

☆Media Access:検索で削除
☆ap9h4qmo.exe:レジストリのRunで発見、削除
☆ap9h4qmo.ini:system32で検索すると2つ出ますが「ファイルを削除できません。送り側のファイルまたはディスクから読み取れません」となりますが大丈夫ですか?
☆ide21201.vxd:検索で発見、削除

セーフモードでspy-botに検知されなくなりました。
本当にありがとうございます☆

こういった状態ですが他にもありますか?
よろしくお願いします。

お礼日時:2005/04/12 19:56

調べた全ての箇所を削除して、パソコンを再起動して


HijackThisを使用してスキャン、消えている事を確認
AD-Aware seとspybotの検査で異常検知が無ければ
終了と思います

バサッ~~~\(‐ ̄ )))(((  ̄‐)/~~~バサッ
パソコンが正常になりますように
((((ToT)†~~~ 悪霊退散!!!

☆注意
もしもの時、削除内容がバックアップが出来る場合は
念の為残してください
Windows Win-XP の動作に異常が無い事
各アプリケーションに異常が無い事

☆アフターサービス(^.^;
今までの内容で疑問、補足質問、再説明箇所が
あれば、後で確認後して書き込みます

今日はこれで終了します
    • good
    • 0

>現在地元の友人とTELがわりに使用してますので


>相手の同意が得れたらyahooに変更してもらい
>削除します。

Windows Messengerの削除ではありません

☆Windows Messengerの機能停止です

◆方 法◆
スタート→コントロールパネルから
プログラムの追加と削除 画面にある
(左側)Windowsコンポーネントの追加と削除をクリック
Windowsコンポネットウィザード画面で
その中にあるWindows Messengerのチェックを外す
次のボタンをクリック
しばらく待つてから完了ボタンです
(☆Windows Messengerの機能が停止します)

再度追加する場合は
Windowsコンポネットウィザード画面で
チェックを付けて次をクリック
しばらく待って完了ボタンで元に戻ります

この回答への補足

お手数おかけしてます。

ide21201.iniとide21201.dllを検索してもみつかりませんでした。

【レジストリ関係】は何もできなかったんですが、【プログラムの追加と削除】こちらでみつかったので削除しまして、パソコン内でap9h4qmo.iniを検索して
検索でみつかったんで削除しました。
ide21201.vxdを検索からみつけましたんで削除しました。
結果spay-botでセーフモードでも検知されませんでした☆
ありがとうございます。

ですが、セーフモードのデスクトップの画面で
pass0100.lzh
場所:デスクトップ
ファイルの種類:LZHファイル

father.lzh
ファイルの種類:LZH
プログラム:InternetExplorer
このような表示が新たに出ます。
大丈夫でしょうか?

明日帰宅後確認させて頂きます。
連日遅くまでありがとうございます。

補足日時:2005/04/11 23:59
    • good
    • 0

<<<<< 全 ま と め 情 報 >>>>>


書き込み漏れにより情報追加です

★HijackThisを使用して削除します
===============================================
O4 - HKLM\..\Run: [ap9h4qmo] C:\WINDOWS\system32\ap9h4qmo.exe
===============================================
▽【レジストリ関係】
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run ←ここの中確認
これを削除
ap9h4qmo = "C\WINDOWS\system32\ap9h4qmo.exe"

▽備 考
パソコン内でap9h4qmo.iniを検索して、もし有れば削除

以上でパソコンが正常に戻れば終了となります
今までの内容で疑問、補足質問、再説明箇所が
あれば書き込みます
    • good
    • 0
この回答へのお礼

連日お世話になって、申し訳ありません。
途中経過を報告させて頂きます。

>【レジストリ関係】
>HKEY_LOCAL_MACHINE>Software>Microsoft>
>Windows>CurrentVersion>Run ←ここの中確認
>これを削除
>Media Access = "%Program Files%\MEDACCESS\MediaAccK.exe"
何度もレジストリで確認したんですが、Runまで辿り着いても見当たらないんですね。
【プログラムの追加と削除】
こちらでみつかったので削除しました。

>▽備 考
>パソコン内でap9h4qmo.iniを検索して、もし有れば削除
検索でみつかったんで削除しました。

>ウイルスセキュリティ2005を使用では
>Messengerとの併用はできませんので
>使用していない場合は
>Windows Messengerの機能停止してください
URLで確認させて頂きました。
現在地元の友人とTELがわりに使用してますので相手の同意が得れたらyahooに変更してもらい削除します。

>★ide21201.vxdを直接削除します
検索からみつけましたんで削除しました。
現在ide21201.iniとide21201.dllを検索してます。
結果が解り次第報告させて下さいませ☆

お礼日時:2005/04/11 22:51

<<<<< 全 ま と め 情 報 >>>>>


☆HijackThis解析☆
★プログラムの追加と削除からMedia Accessを削除します
又は直接Media Accessフォルダーを丸ごと削除します
★HijackThisを使用して削除します
=================================================
C:\Program Files\Media Access\MediaAccK.exe
C:\Program Files\Media Access\MediaAccess.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
=================================================
▽備 考
<Program Files folder>\Media Access\info.txt
<Program Files folder>\Media Access\MediaAccX.dll
<Program Files folder>\Media Access\MediaAccK.exe
<Program Files folder>\Media Access\MediaAccess.exe
▽【レジストリ関係】
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run ←ここの中確認
これを削除
Media Access = "%Program Files%\MEDIA ACCESS\MediaAccK.exe"

★HijackThisを使用して削除します
===============================================
O4 - HKLM\..\Run: [ap9h4qmo] C:\WINDOWS\system32\ap9h4qmo.exe
===============================================
▽備 考
パソコン内でap9h4qmo.iniを検索して、もし有れば削除

★ide21201.vxdを直接削除します
=================================================
場所 C:\WINDOWS\system32\ide21201.vxd
削除ファイル名 ide21201.vxd
=================================================
▽備 考
(注) Media Accessが有るとide21201.vxdだけを削除しても再生します
(例) 検索してide21201.ini、ide21201.dll、などが有れば削除します

☆HijackThisの使用により削除済み
===================================
016-DPF:{15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6}
- ・ttp://static.windupdates.com/・・・省略
===================================

☆ 参考情報 ☆
ADW_WUPD.F
http://www.trendmicro.co.jp/vinfo/virusencyclo/d …

これで全ての情報です
削除方法でわからない場合は補足質問をして下さい
    • good
    • 0
1  2  3  4  5  6  7  8  9 次の回答→

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

今、見られている記事はコレ!

  • Macにウイルス対策は必要?

    iPodに始まってiPhoneそしてiPadと、いつの間にか身近にアップル製品がやたら増えた。友人はパソコンもさっさとMacに乗り換え、発売されたばかりのMac OS X「ライオン」をいち早く導入。そこまではいいんだけれど、...

  • ハッカーって悪者なの?

    「ハッカー」と聞いて頭に浮かぶイメージといえば? 黒メガネをかけて黒っぽい服装をした見るからに怪しげな人物がコンピュータを操作している――という図が浮かぶ人も多いのでは。「ハッカー集団」がソニーなどのウ...

  • 百花繚乱のブラウザ、真の「最強」は一体どれ?

    移り気なユーザーにはうれしくもあり、悩みでもある。新しいブラウザが次々に登場している。マイクロソフトの「Internet Explorer(IE)」が独り勝ちだった時代は既に過去。オープンソースの「Firefox」が勢力を伸ば...

  • GENOウイルス騒動に見るイマドキのウイルス事情

    私のウイルス初体験は「ハッピーニューイヤー」だった。ある日、知人から届いたメールをクリックしたら、PCの画面に花火が上がった。普段からふざけてばかりの相手だったので、またあいつが変なものを送ってきたな...

  • 細田守監督の作品の世界を堪能!「時をかける少女カフェ」が大阪にオープン

    細田守監督の「時をかける少女」の公開から今年で10年が経つ。と、聞いて「えっ! もうそんなに経ったの!? ついこの前かと思っていた」とショックを受けた筆者であった。時が経つのは早いものである。 だが、“つ...

おしトピ編集部からのゆる~い質問を出題中

お題をもっとみる

このQ&Aを見た人が検索しているワード


このカテゴリの人気Q&Aランキング

おすすめ情報

カテゴリ