SpywareApropos.Cが駆除できません

こんばんわ。
先日いろいろと教わり、ウイルス退治をしたのですが、ノートンのセキュリティチェックの際、また、ウイルスに侵入されたようです。SpywareApropos.Cのようで調べたとおりしても駆除できず、対象のdll・exeファイルが見つかりません。また、スキャンするごとに数が増えてきています。
どうか駆除方法を教えてください。

No.1 回答者： noname#40123 回答日時： 2005/11/14 10:25

Spyware.Apropos.C

http://www.symantec.com/region/jp/avcenter/venc/ …

上記アドレスに書かれている方法で、駆除しようとしたと言うことですね。

隠しファイルの表示はしていますか？隠しファイルは次の手順で表示してください。

マイコンピュータ→コントロールパネル→フォルダオプション→表示タブをクリック
１．「すべてのファイルとフォルダを表示する」にチェック
２．「登録されているファイルの拡張子は表示しない」のチェックを外す
３．「保護されたオペーレーションシステムファイルは表示しない」のチェックを外す
「適用」ボタンをクリックして、作業を確定する。

その上でファイルを探してみてください。
仮にファイルが見つからない場合には、先にレジストリを直してください。
レジストリを直すことで、新たに侵入してくるスパイウェアを阻止することが出来ます。

レジストリを直した上で、スパイウェアに関しているファイルを検索してみてください。
それを全部削除してください。

それが出来ない場合には、最終手段としてのリカバリして、クリーンフォーマットしかないです。

この回答への補足

本日、やってみました。全く何も変わりませんでした。残念！ありがとうございました。

補足日時：2005/11/19 08:14

この回答へのお礼

ありがとうございます。基本的なところを忘れていたようです。やってみます。

お礼日時：2005/11/14 23:43

No.2 回答者： doki2 回答日時： 2005/11/15 16:18

面倒なスパイウエアに感染したようです。

パソコンを再起動するたびにファイル名、フォルダ名、レジストリキーの名前を変えるタイプです。

「swandog46」さん作成の特別なバッチファイルを使ってください。


１．下記サイトへアクセスして「aproposfix.exe」をダウンロードします。
　swandog46.geekstogo.com/aproposfix.exe

２．ダウンロードされるファイル「aproposfix.exe」は自己解凍ファイルです。

３．デスクトップ等わかりやすい場所に保存してダブルクリックすると自動的に「aproposfix」というフォルダが作成され、一連のファイルが保存されます。

４．「aproposfix」フォルダを開いて下記のファイルが保存されていることを確かめてください。
　grep.exe
　RunThis.bat
　sed.exe
　zip.exe

５．パソコンをセーフモードで再起動します。

６．「aproposfix」フォルダにある「RunThis.bat」をダブルクリック。

７．コマンドプロンプトが開きバッチファイルが実行されます。
　少し時間がかかりますが辛抱して待ってください。
　
８．何回か「続行するには何かキーを押してください . . .」と表示が出ますのでリターンキーを押して次へ進んでください。

９．作業が終了すると「aproposfix」フォルダを開きます。

１０．「log.txt」というファイルが作られていますので内容をコピーして補足欄に貼り付けてください。

この回答への補足

swandog46.geekstogo.com/aproposfix.exe
にアクセスできません。とうとうスパイウエアが活動を始め、ネットにつなぐといろんなサイトに勝手につなぎ始めました。よろしければ引き続き教えてください。また、ゴミ箱は空でした。

補足日時：2005/11/19 08:15

この回答へのお礼

ありがとうございます。また、土曜日にじっくりやってみます。ただ、このパソコンと違うパソコンなのでゆっくり移させていただきます。

お礼日時：2005/11/15 23:42

No.3 回答者： doki2 回答日時： 2005/11/19 14:40

>swandog46.geekstogo.com/aproposfix.exeにアクセスできません。

確かにおかしなダイアログがでてダウンロードできませんね。

次のページの中ほどから少し上にあるリンクをクリックしてダウンロードください。
www.dslreports.com/forum/remark,14678998

Please download AproposFix from here:
swandog46.geekstogo.com/aproposfix.exe

この回答への補足

セーフモードにするとせっかくダウンロードしたファイルが消えてしまったのでセーフモードでダウンロードしなおして実行しました。
以下が内容です。よろしくお願いします。

Log of AproposFix v1

************

Running from directory:
D:\Documents and Settings\Administrator\デスクトップ\aproposfix

************

Registry entries found:

[HKEY_LOCAL_MACHINE\Software\CsXQ4AD6bS45]
@="5IQ6IVZeffeffgfUSESiCW9effevhfA 1v2A6fWcWXIQlkfHVMZIVWfQWWQYWMGgWcW"
"Device"="\\\\.\\qoao0YsV"
"DriverPath"="D:\\WINDOWS\\system32\\drivers\\mssmusic.sys"
"DriverName"="RemServ"
"HideUninstallerName"="D:\\Program Files\\Javlayer\\schtorec.exe"
"UninstallerPath"="D:\\WINDOWS\\system32\\ulilprov.exe"
"UninstallerRegKey"="HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\{1743FF34-9317-4B68-83F2-5043FE2DF1BA}"
"UninstallerParams"="/CTUN"
"HDll"="D:\\WINDOWS\\system32\\camcsapi.dll"
"ServerAddress"="adchannel.contextplus.net"
"LegalNote"="http://adchannel.contextplus.net/legal-note/nonb …
"PartnerId"="CP.IST2"
"InstallationId"="{Xf21ba3b-ef5d-2270-b97c-9faab469262f}"
"PageFiltering"=dword:00000001
"ClientName"="D:\\Program Files\\Javlayer\\ltderror.exe"

************

Removing hidden service:
Service RemServ removed.

Removing hidden folder:
Deletion of folder Javlayer succeeded!

Deleting files:

Deletion of file D:\WINDOWS\system32\drivers\mssmusic.sys succeeded!
Deletion of file D:\WINDOWS\system32\sndfview.exe succeeded!
Deletion of file D:\WINDOWS\system32\camcsapi.dll succeeded!
Deletion of file D:\WINDOWS\system32\ulilprov.exe succeeded!

Backing up files:
Done!

Removing registry entries:

REGEDIT4

[-HKEY_CURRENT_USER\Software\CsXQ4AD6bS45]
[-HKEY_LOCAL_MACHINE\Software\CsXQ4AD6bS45]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{1743FF34-9317-4B68-83F2-5043FE2DF1BA}]

Done!

Finished!

補足日時：2005/11/19 21:13

No.4 回答者： doki2 回答日時： 2005/11/20 11:55

見事！やってくださいましたね！

「アダ被」でも未遭遇のようです。あちらの回答者さんも驚かれると思います。
もし、これで解決であれば、これだけの難問にたいし、すばらしい資料ができたことを喜んでいます。

＊私は、情報を提供しただけで、実際に解決されたのはryuuha-rosuさんです。
そして、なんといっても「swandog46」さん作成のバッチファイルのおかげですね。

以下、バッチファイルと照合しながら、ログをチェックした結果です。

１．Registry entries found:
　名前のわからないレジストリキーを見つけるという一番の難問が解決されています。
　あとは芋づる式に不正なレジストリ、フォルダ、ファイルを駆除するだけです。

２．Service RemServ removed.
　「RemServ」という名前でレジストリに登録されている項目を除去
　
３．Deletion of folder Javlayer succeeded!
　「Javlayer」という怪しげなフォルダをバックアップフォルダに移動。
　
４．いくつかの不正なファイルを削除
　Deletion of file D:\WINDOWS\system32\drivers\mssmusic.sys succeeded!
　Deletion of file D:\WINDOWS\system32\sndfview.exe succeeded!
　Deletion of file D:\WINDOWS\system32\camcsapi.dll succeeded!
　Deletion of file D:\WINDOWS\system32\ulilprov.exe succeeded!

５．Removing registry entries: 　Done!
　不正なレジストリキーの削除
　
６．Finished!
　駆除終了

以上、駆除に失敗したというログはありません。

多分おかしな現象は収まったと思います。
もう一度、ノートンでスキャンしてみてください。

もしよろしければ下記のフォルダに保存されているフォルダ/ファイルの明細お教えください。

この回答への補足

質問を閉じさせていただく前に、「もしよろしければ下記のフォルダに保存されているフォルダ/ファイルの明細お教えください。」の意味が分からないのですが、何をお伝えすればよろしいのでしょうか？セキュリテイスキャンでヒットしたのは、ズバリ「Deletion of file D:\WINDOWS\system32\drivers\mssmusic.sys succeeded!
　Deletion of file D:\WINDOWS\system32\sndfview.exe succeeded!
　Deletion of file D:\WINDOWS\system32\camcsapi.dll succeeded!
　Deletion of file D:\WINDOWS\system32\ulilprov.exe succeeded!
」でした。

補足日時：2005/12/06 19:28

この回答へのお礼

こんばんわ。いろいろと本当にありがとうございました。いろいろと事情がありやっと復帰してまいりました。パソコンは好調です。doki2さんは、このような情報をどのようにして入手されるのでしょうか？途中で何度もOSの再インストールをして逃げようとしたところをとことん付き合っていただきいい勉強をさせていただきました。また、パソコン関係でいろいろと質問させていただきますのでよろしくお願いします。

お礼日時：2005/12/06 19:27

No.5 回答者： doki2 回答日時： 2005/12/08 18:37

>>「もしよろしければ下記のフォルダに保存されているフォルダ/ファイルの明細お教えください。

」
と書いておきながらフォルダ名を書くのを忘れていました。
もし、下記のフォルダがあればファイルの明細をお教えください。

D:\Program Files\Javlayer

バッチファイルの内容がかなり複雑なのでこのフォルダの処理がどうなっているのかわからなかったのです。
今後の参考にしたいと思っています。

もし削除済みで見つからなければ「無い」で結構です。

>このような情報をどのようにして入手されるのでしょうか？
残念ながら日本はパソコンの先進国とはいえません。
海外の情報をかき集めれば殆どの問題は解決の糸口が見つかるというだけです。

お粗末さまです。

この回答への補足

おはようございます。
やっぱりきれいに削除されて見つかりませんでした。
しかし、doki2さんとのやり取りをメモをしながらやっていたため手書きのメモが残っていました。以下に記します。
D:￥ProgramFiles\Javlayer\ace.dll
D:￥ProgramFiles\Javlayer\ltderror.exe
D:￥ProgramFiles\Javlayer\schtorec.exe
D:￥ProgramFiles\Javlayer\WinGeneric.dll
です。
今回のことは、QNo.1730576で書いているようなことが原因だったようです。要するにOSがXP-PROばかりですが2つ入ってしまい、ノートンアンチウイルスが、一つは最新のアップデートがなされているのにもう一つは更新されず古いままだったと言うことで狙われたのだと思います。もし、私のレベルで1つを退治することができれば御指導ください。よろしくお願いします。

補足日時：2005/12/10 10:04

No.6 ベストアンサー 回答者： doki2 回答日時： 2005/12/10 19:03

貴重な情報ありがとうございます。

D:￥ProgramFiles\Javlayer\ace.dll
D:￥ProgramFiles\Javlayer\ltderror.exe
D:￥ProgramFiles\Javlayer\schtorec.exe
D:￥ProgramFiles\Javlayer\WinGeneric.dll

今話題の「Rootkit」関連の情報が芋づる式に沢山取れそうです。
ありがとうございます。

QNo.1730576の件

私は、XP-Pro　をつかっていません。Windows XP Home Edition　です。
私は、デュアルブートを設定していません。

Boot.iniというのはOSを起動する前の動作を設定するファイルで通常は殆ど編集しないと記憶しています。
しかし、関連情報によればデュアルブートにした場合、Boot.iniの記述が非常に複雑になるようですね。

シングルブートに戻すだけであれば、私なら、下記に方法を使います。
非常に危険なやり方ですので、あくまで、自己責任ということで・・・

以下、起動ドライブが「C」の場合です。

C:\Boot.ini を　Boot.old　にします。

新規に下記のBoot.iniを作成します。
～～～～～～～～Boot.ini　始まり～～～～～～～～～～
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /noexecute=optin
～～～～～～～～Boot.ini　終わり～～～～～～～～

Cドライブからパソコンを再起動します。

これで駄目な場合は、Boot.iniを削除してBoot.oldから書き戻します。

multi(0)disk(0)rdisk(0)partition(1)あたりの記述がポイントかと思います。

しかし、ryuuha-rosuさんの場合、Dドライブから起動されているようですね。
起動ドライブの変更によるアプリケーションの再インストール等面倒かもしれません。

システムのブート情報ファイルBOOT.INIを編集する
http://www.atmarkit.co.jp/fwin2k/win2ktips/502bo …

Boot-02 Win2000(NT) Boot.ini あれこれ
http://www.ki.rim.or.jp/~kuro/Boot/Boot-02.html

この回答へのお礼

いろいろとありがとうございました。パソコン関係のトラブルにだいぶ慣れてきましたがまだまだ皆様に教えていただくことばかりです。逆に少しでもお役に立てたならば幸いです。これからもよろしくお願いします。しかし、このブートと言うのは難しそうですね。

お礼日時：2005/12/12 19:45