Admilli Serviceというスパイウェア

Admilli Serviceというスパイウェアに感染したようで困ってます（＞＜）

セーフモードでAD-Aware seとspybotで駆除しても何度もspybotで検知されます・・・

なんとか駆除できないものでしょうか？

ＰＣは詳しくありません。

お手数おかけしますがアドバイスお願いいたします。

No.12 回答者： noname#10679 回答日時： 2005/04/06 18:47

◆パソコンのOSでWin-XP SP2を使用の場合

インターネットオプション小画面で
プライバシータブ内にある
設定スライドバーを中－高に設定
しかしcookieの設定を余り高くし過ぎると
Web画面の表示、書き込みなどが
出来なくなりますのでほどほどに設定してください
ポップアップブロックにチェックを入れてください
ウザイポップ画面が出なくなります
でもポップ表示する、しないの警告はでます

◆各種ファイル構造を確認して見る場合
スタート→すべてのプログラム(P)→アクセサリー→エクスプローラをクリック
又は
スタート→マイコンピューターをクリックして
表示されたその画面にあるツールバー上にあるフォルダーアイコンをクリック
各フォルダーのつながりが解かる様に表示されます
左にある各フォルダーをクリックするとその中にある
フォルダー又はファイルが右側に表示されます
アドレスバーにはそのつながりの内容が(例)の様に表示されます
これで少しは解かりやすくなったかな?と思います

何かマニュアル見たいな長いウザイ説明ですね
(最近は余り長くなるのでこの手の説明は普段は省略)
本当なら何時もの書き込みは
ここのURLサイトを読んで下さいで終わり(笑
http://www.higaitaisaku.com/
又はリカバリーの初期化をススメてる処だけど
国内の事例情報が見つからないし
まあ感染者が少ないので、そのままなのかな?

このアドウエアの検出は
Spybotの検出対応は2005年3月末ごろ
ウイルスバスターの英語情報公開は
2005年1月からになっているけど
オンライン検査ではフリパス(無し)??
各種ツールを使用して削除出来ていないので
今の所　少し気になるし・・・
説明が必要なら補足して下さい
今の所　情報としては　以上です

参考URL：http://www.higaitaisaku.com/

No.11 回答者： noname#10679 回答日時： 2005/04/06 18:42

さてと

各ファイル名称を検索して感染ファイルが
ある場所が解かったのでしょうか?
Spybotの検査で表示された情報も必要です
パソコン内の起動を解析するツールを使用で
HijackThisが必要になるかもしれませんね
以後の説明は初心者では難しくなりますけど・・・

(例)
C:\Documents and Settings\All Users\Application Data\Microsoft\Internet Explorer
C:\Documents and Settings\(abcd-1234)\Local Settings\Temporary Internet Files
注　記
例(abcd-1234)は使用者が設定した名称で(ユーザーアカウント)が
表示されているので書き込み禁止です、
書き込む場合は適当な(例)XXXyyyZZZにでもして下さい

薄い青系アイコンが” e “マークの場合は
Temporary Internet Filesにあるファイルは一時データなので簡単に削除できます
◆一時ファイルデータの削除方法
インターネットに接続しない状態で(通信のOFFライン)
Internet Explorer ( IE6 )を何時もの様に起動させてください
ネットに接続していないと表示に「ページが表示できません」と
出ますが気にしなくて大丈夫です
又は最初にHPのスタート設定ページが表示されます
◆手　順
1.画面にあるツールをクリック
2.インターネットオプションをクリック
3.表示された小画面で全般タブの内容にある
一時ファイルの削除にある
cookieの削除ボタンをクリック
4.ファイルの削除ボタンをクリック
表示された小画面にある
すべてのオフラインコンテンツを削除するに
チェックを入れてOKボタンをクリック
5.小画面が消えてインターネットオプション画面で
設定ボタンをクリック
6.オブジェクトの表示をクリックすると
C:\WINDOWS\Downloaded Program Files
が表示されます、その中にある各ファイルを
マウスの右ボタンでクリックしてプロパティーをクリック
内容を調べてください、説明した内容があれば
そのファイルは削除になります
7.ここにあるファイルは後からインストールされたファイルなので
パソコン使用の初期状態は元々は何もありませんので
全てのファイルを削除する事も出来ますけど
また後でWeb画面にインストール表示とか
特定のWeb画面で表示されない場合もあるので
調べて特定して下さい
続きがあります　長いので次の書き込みを参照

この回答への補足

＞6.オブジェクトの表示をクリックすると
C:\WINDOWS\Downloaded Program Files
が表示されます、その中にある各ファイルを
マウスの右ボタンでクリックしてプロパティーをクリック
内容を調べてください、説明した内容があれば
そのファイルは削除になります

こちらまでたどりつけました。

＞そのファイルは削除になります
どのように書かれてるファイルを削除すればいいでしょうか？
依存関係のとこを見ましても
Admilli Service
AdmilliServ.exe
AdmilliKeep.exe
AdmilliServX.dll
これらの文字はみつかりませんで。。。

何度もお手数おかけしてすいません。
よろしければご教授お願いします。

補足日時：2005/04/06 20:00

この回答へのお礼

こんばんわ☆
昨日に続きましてほんとにありがとうございます。

報告が遅くなりすいません。
今日は勤務だったもんですから。

＞各ファイル名称を検索して感染ファイルがある場所が解かったのでしょうか?

すいません。まだ分からないままです。。。

現時点で分かってますのが

☆セーフモードでウイルスセキュリティーを動作しましてもウイルスは検知されませんでした。

☆オンラインでのウイルスバスターでも検知はされませんでした。

☆spybotで検知されます名がAdmilli Serviceと出まして、削除しても何度も出てきます。
ファイルやフォルダの名称は私の知識では分からないんです。すいません。

☆電源を落とす前に１度spybotをして検知します。
そして、電源を切る前にもう１度spybotをした際は検知されません。
ですが再度電源を入れてネットへつなぎますと検知されます。
その都度削除はしてるのですが。。。

こういった状況です。
ＯＳはWin-XP SP2を使ってます。

Ｎｏ１１の作業をこれからしてみます。

ほんとうにありがとうございます☆

お礼日時：2005/04/06 19:48

No.10 回答者： noname#40123 回答日時： 2005/04/06 11:43

No9ですが、おそらく次のスパイウェアが検出される可能性がありますので駆除の方法をお知らせしておきます。

ADW_ADMILLI.A
http://www.trendmicro.com/vinfo/grayware/graywar …

まずNo9でも書き込みしたように、検出されたウィルスやスパイウェアの名前と場所を正確にメモしてください。

そして、上記のスパイウェアが検出されたら、XPですのでCTRL+SHIFT+ESCのボタンを同時に押してください。
すると、画面左側にプロセスの終了というような画面が出ますので、adwareのところを終了させてください。
それでスパイウェアの検出された場所が関係しているプロセスすべてを終了させてください。

そして、スタート→ファイル名を実行にregeditと入力してレジストリエディタを起動します。

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Runの順に見ていき、
Run（左側）の所になったらその画面の右の枠内を見てください。
スパイウェアの検出された場所に関係するファイルの場所がないか確認してください。あれば、削除します。
（画面右の記載部分を削除することになります）

画面左の記載部分
HKEY_LOCAL_MACHINE\Software\Microsoft
Windows\CurrentVersion\Run

画面右の記載部分
Admilli ServiceData = "<path of adware execution>\<file name of adware file>"

HKEY_LOCAL_MACHINE>Softwareの順序で、見てください。
そして、画面左の枠内で次の言葉の部分を削除してください。

おそらく以下のように表示されてます。
「HKEY_LOCAL_MACHINE\Software\Admilli Service」
その中の「Admilli Service」の部分を削除します。

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows >
CurrentVersion>Uninstallの順序で見てください。
そして、画面左の枠内で次の言葉の部分を削除してください。

おそらく以下のように表示されてます。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
CurrentVersion\Uninstall\Admilli Service

その中の「Admilli Service」の部分を削除します。

それが終わったら、レジストリエディタを終了してください。

そして、先にスパイウェアが検出された部分のファイルを削除します。

もう一度、ウィルスパターンの更新をして、最新版の状態で、
ウィルス検索・スパイウェア検索して、検出されなければ
駆除は終了です。

もしも、今後ウィルス検索していて、ウィルスの情報が英語の場合は、
google検索を利用していると、BETAと言う翻訳エンジンが使えます。
それでだいたいの英語のページの部分の翻訳が出来ますのでGoogle検索を利用してみてください。

ただし、英語のページがPDFだったり、英文が長い場合や他の言語の場合は、翻訳できませんので了解してください。

No.9 回答者： noname#40123 回答日時： 2005/04/06 11:08

初めまして、yoshi-tohokです。

申し訳ないですが次のことを実行してください。
それでないと駆除できない可能性はあります。

１．ソースネクストのウィルスセキュリティをアンインストールしてください。（完全に削除してください。）

２．ウィルスバスター2005・30日期間限定版をインストールして、ウィルスパターンの更新をしてください。
なお、ウィルスバスターの入手方法やアップデートについては次のアドレスの指示に従ってください。

ウィルスバスター30日期間限定版
http://www.trendmicro.com/jp/products/desktop/vb …

ウイルスバスター
30日期間限定版のアップデート機能を有効にするための手順
http://www.trendmicro.com/jp/products/desktop/vb …

それで、ウィルス検索とスパイウェア検索を実行してください。
おそらくだいぶ時間は掛かると思いますが、大事な作業です。
そして、出てきたウィルスやスパイウェアの名称と場所を正確に控えてください。

次に、マイコンピュータ→コントロールパネル→フォルダオプションと開いてください。
「表示」タブをクリックして、
「ファイルとフォルダの表示」で「すべてのファイルとフォルダを表示する」にチェックを入れてください。
「登録されている拡張子は表示しない」のチェックを外してください。
「保護されたオペレーションシステムファイルを表示しない」のチェックを外してください。

それが終了したら、「適用」ボタンをクリックして閉じてパソコンの指示に従い、再起動させてください。

すると、すべて隠れていたファイルやフォルダが表示されます。
スタートボタンを右クリックして「エクスプローラ」を起動させてください。
他の方が指摘していた場所がすべて表示されます。

その事を実施してウィルス検索とスパイウェア検索の結果を補足してください。

この回答へのお礼

はじめまして☆
ご助言ありがとうございます。
勤務だったもんでお返事が遅くなりましてすいません。

＞１．ソースネクストのウィルスセキュリティをアンインストールしてください。（完全に削除してください。）
私のウイルスセキュリティーはダウンロード版ですのでアンインストールしてしまうと使えなくなってしまいませんかね？

現時点で私に分かってますのが

☆セーフモードでウイルスセキュリティーを動作しましてもウイルスは検知されませんでした。

☆オンラインでのウイルスバスターでも検知はされませんでした。

☆spybotで検知されます名がAdmilli Serviceと出まして、削除しても何度も出てきます。
ファイルやフォルダの名称は私の知識では分からないんです。すいません。

☆電源を落とす前に１度spybotをして検知します。
そして、電源を切る前にもう１度spybotをした際は検知されません。
ですが再度電源を入れてネットへつなぎますと検知されます。
その都度削除はしてるのですが。。。

いまのとこ、このような状況です。

また他にもアイデアがございましたらお願いいたします。

お返事が遅くなりすいませんでした。
ありがとうございます☆

お礼日時：2005/04/06 19:38

No.8 回答者： noname#10679 回答日時： 2005/04/06 00:46

先ほどの書き込みで一部の忘れです。

>どこにあるのかすら分からない・・
画面左下にあるスタートから
マイコンピューターをクリック
ハードディスクドライブにある
ローカルディスクドライブ(C)をWクリック
後はProgram FilesフォルダーをWクリック
Admilli Serviceがあるか?ないか?
直接見て探してください

ファイル検索でも確認できます、その方法は
ANo.#6を参考にしてね

☆その他
情報検索で各HPで100件近く調べては見たのですが
情報元の信頼性でトレンドマイクロ社とその他一部
を複合的に照合して提供しているのですが、
その内容とあなたの感染状態が一致しているのか
どうか??　はこちらでは直接はわからない
後でこの情報の内容が他の感染者の参考になるか
どうかは、はあなたのパソコンの知識にかかっている
なんちゃつて(笑

今日はこの辺で、また明日確認します。

この回答へのお礼

ほんとうに何度もありがとうございます。

教えて頂いたとおり「☆ファイル検索方法」をしましたら、今しがた表示されてるのですが、それをコピーできる能力が私にありませんで、悔しいです。

＞情報検索で各HPで100件近く調べては見たのですが
とても感謝しております。
結果が出せなくて申し訳ないです。

＞今日はこの辺で、また明日確認します。
長い時間ほんとにありがとうございます。
言葉で伝えきれないかも？が残念だったりします。

☆ファイル検索方法
これで表記されたのは
C:\Ｄｏｃｕｍｅｎｔｓ　ａｎｄ　ｓｅｔｔｉｎｇ\ＡＬＬ...
１文字ずつ打ち込みましたが、こういったのが１２個出てきました。

bastard2ほんとうにありがとうございます。
今夜は私も失礼いたします。
頂いたお時間、感謝してます。

お礼日時：2005/04/06 01:17

No.7 回答者： noname#10679 回答日時： 2005/04/06 00:19

>＋CurrentVersion\Run←ここの中にある

>＋Windowsまでは開けるのですが、
>＋CurrentVersion\Run←ここの中にある が・・なし?
+省略
＋Windows
　＋CurrentVersion←ここも開けて下さい
　　＋Run←そうすれば、ここの中にある
探しているファイル名称を探す
☆注記☆
解からない場合は内容をむやみに変更しないで下さい

>C:\WINDOWS\Downloaded Program Files　
>どこにあるのかすら分からない・・
画面左下にあるスタートから
マイコンピューターをクリック
ハードディスクドライブにある
ローカルディスクドライブ(C)をWクリック
後はWINDOWSフォルダーをWクリック
Downloaded Program Filesがあります

私のプロフィルのコメントは面白半分の冗談(笑
気にしないで下さい。
コメント内容はたまに変わります(笑

どこかに日本語の説明HPがハッキリあれば
良いのですが、情報のほとんどが英語でわかりにくい
ですね、トレンドマイクロ社でも日本語のHPで
情報公開していないみたいです

No.6 回答者： noname#10679 回答日時： 2005/04/05 23:53

>何度もspybotで検知されます・・・

検出される内容の詳細を補足して下さい
それによってパソコン内を調べる場所が
変わります

Program files フォルダーの中には
Admilli Serviceフォルダーは作成されてますか?

☆ファイル検索方法
スタート→検索(S)をクリックして
左側にある詳細設定オプションで
システムフォルダーの検索にVチェック
隠しファイルとフォルダーの検索にVチェック
サブフォルダーの検索にもVチェック
" Admilli Service "を入力して検索開始
又は
AdmilliServ.exe
AdmilliKeep.exe
AdmilliServX.dll
などを入力して検索して表示された内容を
補足して下さい

No.5 回答者： noname#10679 回答日時： 2005/04/05 22:33

説明の続きです

Removing Autostart Entries from the Registry
レジストリからAutostart参加を取り去る
1.レジストリ・エディターを開いてください。
スタート→ファイル名を指定して実行
REGEDITを入力してEnterを押す
2.左側パネルで、下記のものをダブルクリック
HKEY_LOCAL_MACHINE
　＋Software
　　＋Microsoft
　　　＋Windows
　　　　＋CurrentVersion\Run←ここの中にある
↓この値を削除
Admilli ServiceData = "<path of adware execution>\<file name of adware file>"

3.(省略します)
4.再び左側パネルで、下記のものをダブルクリック
HKEY_LOCAL_MACHINE>Software ←ここにある
5.以下のsubkeyを削除してください
Admilli Service
6.左側パネルで、下記のものをダブルクリック
HKEY_LOCAL_MACHINE
　＋Software
　　＋Microsoft
　　　＋Windows
　　　　＋CurrentVersion
　　　　　＋Uninstall ←ここの中にある
7.以下のsubkeyを削除してください
Admilli Service
8.Registry Editor終了

Details: 詳細
(以下の説明は省略します)

その他
Win-Xpの場合
C:\WINDOWS\Downloaded Program Files　の内に
ある不明なファイルを調べて
各ファイルのプロパティーを確認して次の内容で
{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}
static.windupdates.com・・以下詳細省略・・
があれば削除する

以上です

この回答へのお礼

ほんとうにありがとうございます。
知識が乏しく成果を出せない私なんかのために貴重なお時間を頂いてしまって。

＞＋CurrentVersion\Run←ここの中にある
＋Windowsまでは開けるのですが、
＋CurrentVersion\Run←ここの中にある が出てこないんですね。

＞Win-Xpの場合
C:\WINDOWS\Downloaded Program Files　
教えて頂いてます「C:\WINDOWS\Downloaded Program Files」が、どこにあるのかすら分からない知識です。

見ず知らずの私なんかのために、こんなに親切に教えて下さってるのに結果が出せずごめんなさい。

もし、まだ教えて下さるなら挑戦させてください。
勉強させてください。

bastard2さんのプロフィール、「1.自分の身は自分で守れ(^0^)σ自分のパソコンは自分で守れ」
まさに私におっしゃられてる気がしました。

お礼日時：2005/04/05 23:53

No.4 回答者： noname#10679 回答日時： 2005/04/05 22:04

>私の知識ではAdmilli Serviceというのが、どこ?

情報がうまく伝わっていないようですね
トレンドマイクロ社では
Admilli Service → ADW_ADMILLI.Aとして検出
オンライン検査をする場合の参考URLです
http://www.trendmicro.co.jp/hcall/index.asp

全部を載せると著作権問題にうるさい人が
いる様なので重要ポインだけを簡易書き込みします
参考URLの英語説明HPを簡易翻訳して必要な手順を
説明すると以下の内容になります
後は自分で詳細は本翻訳してね
Description:説明:
アドウェア・プログラムは広告ポップアップを表す
感染するとProgram files フォルダーに
Admilli Serviceフォルダーを作成して
Admilli Service.EXEなど、すべての行動開始で
実行することをプログラムを作ります。
(全体の詳細部分翻訳は省略)
Solution:ソリューション:
(前半は省略)
手動の除去するには
ADW_ADMILLI.Aとして検出されたファイル名称を確認

1.タスク・マネージャーの確認
≫ On Windows 95, 98, and ME
CTRL+ALT+DELETE
≫ On Windows NT, 2000, and XP
CTRL+SHIFT+ESC, then click the Processes tab
2.動作しているプログラム*のリスト
この場合次のファイルがあるか調べる
AdmilliServ.exe
AdmilliKeep.exe
AdmilliServX.dll
3.見つけられたファイルの１つを選んでください
終わりタスクまたは終わり過程ボタンのどちらかを
押してください
4.実行中のプロセスのリストですべての
見つけられたアドウェア・ファイルの為に
同じことをしてください。
5.アドウェア・プロセスが終結したかどうか
確かめるためにタスク・マネージャーを閉めて
それからそれをまた開いてください。
6.タスク・マネージャーの終了

ここまでで、前半部分の説明です
続きは次の書き込みを参照

>ウイルス対策はウイルスセキュリティ
ソフトメーカーはソースネクストですか?　それなら
他社と比べて、検出能力、対応能力、情報公開能力
など総合的にみて低いのでウイルス対策としては
余り適していないですね

参考URL：http://www.trendmicro.co.jp/hcall/index.asp

この回答へのお礼

ありがとうございます。
ほんとに何度もありがとうございます。
ウイルスバスターのオンライン検査でも検知されませんでした。

＞ソフトメーカーはソースネクストですか?
はい、おっしゃるとおりのものです。

＞3.見つけられたファイルの１つを選んでください
ＯＳはＸＰなんですが、やはり教えてくださってる
AdmilliServ.exe
AdmilliKeep.exe
AdmilliServX.dll
は発見できません。

私の知識が乏しいがため、せっかく教えてくださってますのに申し訳ない気持ちです。。。

お礼日時：2005/04/05 23:39

No.3 回答者： noname#10679 回答日時： 2005/04/05 19:14

追加情報

http://www.2-spyware.com/remove-admilli.html

☆ADMILLI automatic removal:
download removal software ←HP内これが除去ツール

☆Delete files
AdmilliServ.exe
AdmilliKeep.exe
AdmilliServX.dll

◆注　記◆
除去ツールの効き目について詳細は不明です
使用するしないは自己判断でおねがします

参考URL：http://www.2-spyware.com/remove-admilli.html

この回答へのお礼

かさねて教えてくださりほんとにありがとうございます。
試しにdownloadしてみましたが駆除されず、こちらのソフト自体をスパイウェアとして検知してしまいました。

他にもございましたら、またお願いいたします☆

お礼日時：2005/04/05 20:27