Admilli Serviceというスパイウェア

Admilli Serviceというスパイウェアに感染したようで困ってます（＞＜）

セーフモードでAD-Aware seとspybotで駆除しても何度もspybotで検知されます・・・

なんとか駆除できないものでしょうか？

ＰＣは詳しくありません。

お手数おかけしますがアドバイスお願いいたします。

No.62 回答者： noname#10679 回答日時： 2005/04/10 21:07

☆☆タスクマネジャーの確認報告☆☆

★プロセス停止します(削除予定)
=================================
MediaAccess.exe
MediaAccK.exe
=================================

◆システム構成ユーティリティー
起動しているスタートアップを状態を調べます

上記のプロセスの起動を停止して、パソコンの状態を
確認します。
アプリケーションのMedia Accessが正常ソフトなら
後で設定を元に戻します

【その他１】
他のプロセスついては、一部確認中です
もうしばらく時間がかかります。

【その他２】
システム構成ユーティリティーを使用して
起動しているスタートアップの情報の書き込みを
お願いします。
この内容とタスクマネジャーの内容と
レジストリーのいくつかの設定状態を比較して
確認します。
確認内容はスタートアップの情報を確認してから
レジストリーの確認箇所について
こちらから、書き込みます。

休憩しますので、また後で

以上の報告で解からない事があれば、
補足してください
あとで内容を確認して書き込みします

No.61 回答者： noname#10679 回答日時： 2005/04/10 20:49

☆HijackThis解析調査報告４☆(再掲載します)

●04-HKLM: [ap9h4qmo] (調査中)の件
☆スパイウエア、アドウエアの一部と判明しました。
===============================================
★O4 - HKLM\..\Run: [ap9h4qmo] C:\WINDOWS\system32\ap9h4qmo.exe
===============================================
これはHijackThisを使用して削除して下さい
もしもの時の為、HijackThisのバックアップ作業は
必ずおこなって下さい。
★注　記
こちらで調査結果が間違っていた場合に元に戻します。

No.60 回答者： noname#10679 回答日時： 2005/04/10 20:44

☆HijackThis解析調査報告３☆

==============================================
O10 - Unknown file in Winsock LSP: c:\windows\system32\k7wslsp.dll

大量に表示される原因　一部機能が変になっている?

O10 - Unknown file in Winsock LSP: c:\windows\system32\k7wslsp.dll
==============================================
☆原因
ソースネクスト社のソフトにエラーが発生しているらしい
旧バージョンをアンインストール(削除)しない状態で
さらにその時にパソコンを再起動しないで
新バージョンをインストールした時におこるらしい
又は他社の対策ソフトとの競合問題??

☆直す方法
1.セキュリティー2005のアップデートで直る場合
2.旧セキュリティー2004をアンインストール
　新セキュリティー2005もアンインストールして
　パソコンを再起動してから再度
　新セキュリティー2005をインストールする

No.59 回答者： noname#10679 回答日時： 2005/04/10 20:35

かなり説明がおそくなりました

☆HijackThis解析調査報告２☆
◆Microsoft Excel に異常があるかもしれません
Excelを再インストールする必要があるかもしれませ
異常はありませんか??　
Excelを操作して確認してください
異常がなければこの点については原因不明です
================================================
O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
==============================================
説明参考URLです
http://support.microsoft.com/default.aspx?scid=K …

参考URL：http://support.microsoft.com/default.aspx?scid=K …

No.58 回答者： noname#10679 回答日時： 2005/04/10 16:13

>｜の部分にマウスポインターをあわせても

>←｜→にポインターが変化??
????????不思議????????

◆システム構成ユーティリティー
☆画面確認について
スタートアップ項目とコマンドと場所にある
(各隙間にある薄い ｜ です)そこにマウスポインター
をあわせると変化します

広げる領域が大きくなると下に移動バーが
現れます。

本屋さんに入って、Windowsの基本操作に関する本を
探して購入してね

現在はまだログ情報の確認中です(混乱します)

パソコン操作に関して軽微な質問は別の板で質問の事

No.57 回答者： noname#10679 回答日時： 2005/04/10 15:56

【緊急重要事項】

個人情報に関して注意します
使用しいてるパソコンは富士通のFMVシリーズ
パソコンにログインしているユーザーアーカウントは
Ownerは富士通製品パソコンの標準設定された
管理者権限をもったIDになっているハズです
パスワードは各個人が設定した内容です
パスワードを(例)1234とかABCDには禁止です
及びすぐ解かるようなポチ、たまも禁止です
生年月日もパスには使用禁止です

ID関しては以後は書き込まない事
******とします又は?????として下さい

このIDは後で自分で変更してください
IDは必ず変更する事、
パスワードも変更する事

変更方法についてわからない場合は
パソコンの付属説明書を確認して下さい

No.56 回答者： ksuzuki 回答日時： 2005/04/10 14:17

xtbさんへ

> バックアップのやり方なんですがアダルトサイト被害者のＨＰで確かめたんですが「スタート画面から、「Config」→「Backups」を選ぶと」と説明されてるんですが「Config」→「Backups」の文字がHijackThisの最初の画面でみつからず方法がわかりません。

バックアップ（削除したファイルの安全な場所への保管）は、何もしなくても行われます。安心して、「FixChecked」をクリックしてください。

上記の「「スタート画面から、「Config」→「Backups」を選ぶと」」というのは、問題が生じた場合に、バックアップ(保管）されたファイルから元の状態に戻すための方法です。元に戻したい場合は、HijackThisをスタートした画面から、「View the list of backups」をクリックしてください。削除したものの一覧が表示されるので、元に戻したいものの左の□にチェックを入れて、「Restore」をクリックしてください。

この回答へのお礼

こんにちわ。
アドバイス下さいましてありがとうございます。
おかげさまでバックアップが理解できました☆
また何かありましたら教えてくださいませ。
必死で作業してましたもので、お返事が遅くなりすいませんでした。
ありがとうございました。

お礼日時：2005/04/10 15:59

No.55 回答者： noname#10679 回答日時： 2005/04/10 14:08

>、「Config」→「Backups」を選ぶと」と

>説明されてるんですが「Config」→「Backups」の
>文字がHijackThisの最初の画面でみつからず
>方法がわかりません。

参考HPにある下記の太い文字部分を確認して下さい
バージョンによる違いについてまでは知りません
まだ勝手に内容を削除しないで下さい

◆Hijack Thisを使った手動でのスパイウェア除去

◆問題が起きた場合は復活もできます

HijackThisでスキャン内容を表示されると
その画面で右側のボタンでConfigボタンです
「Backups」はバックアップされた内容を確認する
場合です。又はバックアップ情報を削除する場合

☆☆☆　そ　の　他　☆☆☆
新HijackThisのログについて詳細を確認中です
こちらが混乱しますので、関連の質問は
しばらく待ってくださいね

No.54 回答者： noname#10679 回答日時： 2005/04/10 13:44

>Ｎｏ３７～Ｎｏ４０の補足欄へ接続状態でのHijackThis・・・・

>ファイルの検索をしますとide21201.vxdに関するのが３つ出ます。

確認中です、情報量が多いので時間がかかります
内容を整理しますので
3時間から4時間ぐらい、しばらく待ってください

＞☆システム構成ユーティリティーの
＞スタートアップ情報
＞☆タスクマネジャーのプロセス情報
>>こちらはどのような作業で判明しますか？

◆システム構成ユーティリティー
起動しているスタートアップを状態を調べます

1.スタートからファイル名を指定して実行(R)をクリック
2.名前　msconfig を入力してOKボタンをクリック
3.スタートアップタブをクリック
4.スタートアップ項目、コマンド、場所の内容を
紙メモして後で補足で書き込みをして下さい
隠れて見えない部分は｜の部分にマウスポインターを
あわせると←｜→にポインターが変化しますので
マウス左ボタンを押したままドラックして広げて
内容を紙メモして下さい
パソコンの状態を調べるのに必要な情報です
掲示版に書き込みをして補足してください
5.調べ終わったらキャンセルボタン又は×ボタンで
終了してください
6.現在はまだ内容は変更しないで下さい

◆タスクマネジャーの確認方法
画面下に青のタスクバーが表示されていますね
そこにマウスポインター(白の矢印)を合わせて
マウスの右ボタンをクリック
選択メニューが表示されますので、その中にある
タスクマネジャーをクリック
プロセスタブをクリックして確認する
紙メモして下さい、まとめて書き込みして下さい

以上です
(3時間から4時間ぐらい、しばらく待ってください)

この回答への補足

QuickTouch.exe Owner 00 832k
IndicatorUty.exe Owner 00 388k
SOUNDMAN.EXE Owner 00 780k
AGRSMMSG.exe Owner 00 448k
K7PSSrvc.exe SYSTEM 00 244k
K7emlpxy.exe Owner 00 1576k
explorer.exe Owner 00 19496k
K7rtscan.exe SYSTEM 00 280k
spoolsv.exe SYSTEM 00 680k
VRService.exe SYSTEM 00 200k
svchost.exe LOCAL SERVICE 00 1680k
conime.exe Owner 00 316k
sgmain.exe Owner 00 2400k
svchost.exe NETWORKSERV... 00 1064k
wdfmgr.exe LOCALSERVICE 00 60k
svchost.exe SYSTEM 00 6916k
svchost.exe NETWORKSERV... 00 1456k
iexplore.exe Owner 00 22520k
DTClock.exe Owner 00 1120k
svchost.exe SYSTEM 00 1092k
svchost.exe SYSTEM 00 392k
lsass.exe SYSTEM 00 1136k
services.exe SYSTEM 00 1356k
winlogon.exe SYSTEM 00 3292k
csrss.exe SYSTEM 00 3872k
SBRSVC.exe SYSTEM 00 48k
smss.exe SYSTEM 00 52k
eTVtimer.exe Owner 00 1072k
MrnTS_Sync5.exe SYSTEM 00 212k
MDM.exe SYSTEM 00 472k
K7TSMngr.exe SYSTEM 00 352k
msmsgs.exe Owner 00 1756k
System SYSTEM 00 28k
SystemIdleProce.. SYSTEM 98 16k

こういう状態です。
宜しくお願いします。

補足日時：2005/04/10 15:48

この回答へのお礼

すいません、貴重なお時間をさいて頂きまして。
ほんとうにありがとうございます。

◆システム構成ユーティリティー
起動しているスタートアップを状態を調べます

＞隠れて見えない部分は｜の部分にマウスポインター＞をあわせると←｜→にポインターが変化しますので
＞マウス左ボタンを押したままドラックして広げて
すいません、私のでは｜の部分にマウスポインターをあわせても←｜→にポインターが変化しないんですぅ。

タスクマネジャーの確認方法が出来ました。
HijackThis.exe Owner 00 3632k
svchost.exe SYSTEM 00 368k
mmkbd.exe Owner 00 448k
alg.exe LOCAL SERVICE 00 136k
PUSCSRVC.exe SYSTEM 00 292k
sgbhp.exe Owner 00 1688k
taskmgr.exe Owner 00 5956k
mpbtn.exe Owner 00 324k
mediserver.exe SYSTEM 00 732k
ctfmon.exe Owner 00 588k
MediaAccess.exe Owner 00 356k
MediaAccK.exe Owner 00 320k
updatenv.exe Owner 00 680k
K70ELodr.exe Owner 00 84k
Brightwin.exe Owner 00 1160k
K'SysTry.exe Owner 00 332k
jusched.exe Owner 00 52k
EEventMnager.exe Owner 00 1072k
IRRCManager.exe Owner 00 436k
DspHnd.exe Owner 00 272k
K7fwsrvc.exe SYSTEM 00 616k
ezSP_Px.exe Owner 00 576k
PUSCDaemon.exe Owner 00 300k
続きを補足欄へ書かせて頂きます

お礼日時：2005/04/10 15:19

No.53 回答者： noname#10679 回答日時： 2005/04/10 12:41

☆HijackThis解析調査報告☆

●04-HKLM: [ap9h4qmo] (調査中)の件
スパイウエア、アドウエアの一部と判明しました。
★O4 - HKLM\..\Run: [ap9h4qmo] C:\WINDOWS\system32\ap9h4qmo.exe

これはHijackThisを使用して削除して下さい
もしもの時の為、HijackThisのバックアップ作業は
必ずおこなって下さい。
★注　記
こちらで調査結果が間違っていた場合に元に戻します。

【その他】
たの不明箇所、疑問箇所については現在調査中です
内容が判明した場合、随時調査報告します。

この回答へのお礼

すいません。
お手数おかけしております。

＞★O4 - HKLM\..\Run: [ap9h4qmo] C:\WINDOWS\system32\ap9h4qmo.exe
こちらは接続状態でHijackThisを使用して確認できました。
バックアップのやり方なんですがアダルトサイト被害者のＨＰで確かめたんですが「スタート画面から、「Config」→「Backups」を選ぶと」と説明されてるんですが「Config」→「Backups」の文字がHijackThisの最初の画面でみつからず方法がわかりません。
説明画面のHijackThisはｖ１．９４となってまして、私のはｖ１．９９．１だからバックアップの機能がないんでしょうか？
お手数おかけしますが教えてください。

お礼日時：2005/04/10 13:32