TROJ_DYFUCA.Xの駆除ができません。

ウィルスバスターオンラインウィルススキャンをしたところ、TROJ_DYFUCA.Xに感染していました。
http://okwave.jp/kotaeru.php3?q=1410266この記事と同じ内容で悩んでいます。
Windowsの＜システムフォルダ＞\REGSVR32 /U ＜手順1)の検索で発見されたファイルのパス名とファイル名＞
というのは、具体的に何を入力したらよいのでしょうか。
上記アドレスのANo.3をやってみた（「C:\\WINDOWS\Downloaded Program Files\MulDist.ocxのDllUnregisterServerは成功しました。」と出ました）のですが、ウィルススキャンするとTROJ_DYFUCA.Xに感染していると表示されます。
また、不正プログラムが追加したレジストリキーを削除しようとしても、レジストリエディタにそれらのキーがありません。

私はウィンドウズXPを使っていて、感染が発見されたのは
C:\\WINDOWS\Downloaded Program Files\MulDist.ocx
です。

長くなってしまいましたが、お願いします。切実です。

No.8 回答者： doki2 回答日時： 2006/01/08 09:11

Dyfucaには感染パターンが何種類もあります。

感染したサイトによってインストールされるファイルもレジストリもいろいろです。

質問者さんの例によく似たのが下記にあるので参考にしてみてください。

参考：「被害対策の部屋」での解析例

http://www.higaitaisaku.com/kakolog/srch.cgi?mod …

●HijackThisログ●

O16 - DPF: {FC87A650-207D-4392-A6A1-82ADBC56FA64} (MultiDist) - http://xbs.mtree.com/mt/dialers/fc/MultiDistFC.CAB

説明：

　これが「Downloaded Program Files」フォルダにインストールされたActiveXコントロールの実例です。
　「xbs.mtree.com/mt/dialers/fc/」に接続して、「MultiDistFC.CAB」というファイルをダウンロードします。

●Spybot-S&DのFixesログ●

ClimaxBucks.InternetOptimizer: Installer (ファイル, fixed)
C:\WINDOWS\Downloaded Program Files\MulDist.inf

ClimaxBucks.InternetOptimizer: Class ID (レジストリキー　, fixed)
HKEY_CLASSES_ROOT\CLSID\{BF279130-3F58-4E26-8043-CD5688A4D4C9}

ClimaxBucks.InternetOptimizer: Class ID (レジストリキー　, fixed)
HKEY_CLASSES_ROOT\CLSID\{FC87A650-207D-4392-A6A1-82ADBC56FA64}

ClimaxBucks.InternetOptimizer: Code storage database (レジストリキー　, fixed)
HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{FC87A650-207D-4392-A6A1-82ADBC56FA64}

ClimaxBucks.InternetOptimizer: Interface (レジストリキー　, fixed)
HKEY_CLASSES_ROOT\Interface\{F332D106-2EF3-45C4-BAF2-0F739D76B26A}

ClimaxBucks.InternetOptimizer: Interface (レジストリキー　, fixed)
HKEY_CLASSES_ROOT\Interface\{563E5DF0-2C1C-4513-BBF5-D380536BB8FC}

ClimaxBucks.InternetOptimizer: Root class (レジストリキー　, fixed)
HKEY_CLASSES_ROOT\MULTIDIST.MultiDistCtrl.1

ClimaxBucks.InternetOptimizer: Type library (レジストリキー　, fixed)
HKEY_CLASSES_ROOT\TypeLib\{11B6F65D-7B8D-43CB-9AAE-17234A1DB33A}

説明：

　トレンドマイクロのサイトにあるレジストリキーを削除した例です。
　
　「Spybot-S＆D」でスキャンしてこれらの項目が検出されないのであれば、当初からこのキーがなかったのではないかと思います。
　
　「Spybot-S＆D」でスキャンしてみてください。
　
☆Spybot1.4によるスパイウェアの除去方法
http://www.higaitaisaku.com/spybot2.html

>この作業は改竄されたレジストリも消去するものなのでしょうか。

トレンドマイクロのオンラインスキャンは感染状況を表示するだけで修正はしてくれません。

No.7 回答者： doki2 回答日時： 2006/01/07 11:22

No.5さんのアドバイスでもうまくいかない場合は「HijackThis」を使って見ましょう。

☆HijackThisによるレポート出力と手動でのスパイウェア除去
http://www.higaitaisaku.com/hijackthis.html

ただし、使い方がわからずに操作すると重大な支障が発生することがあります。
十分な知識なしに指示されたこと以外の操作をしないように注意してください。

とりあえず以下の作業をやってみてください。

１．「C:\HJT」と言うフォルダを作っておきます。
　以下、このフォルダを「HJT」フォルダと呼ぶことにします。
　
２．下記サイトから「HijackThis」をダウンロードします。
http://www.download.com/HijackThis/3000-8022_4-1 …

３．ダウンロードされたファイル「hijackthis.zip」を解凍すると「HijackThis.exe」と言うファイルができます。

４．「HijackThis.exe」を「HJT」フォルダに保存します。
　　以降このフォルダにログファイルやバックアップが保存されるようになります。
　　
５．IEの画面をすべて閉じた後「HijackThis.exe」を起動し「Do a system scan and save a logfile」をクリック

６．「HijackThis」の画面が開かれシステムをスキャンした結果と「hijackthis.log」の内容が表示されます。

７．また「hijackthis.log」と言うファイルが「HJT」フォルダに自動的に保存されます。

「hijackthis.log」に下記のような行があると思います。

「O16 -」で始まる行をすべてコピーして補足欄に貼り付けてください。

この回答への補足

No.5さんのアドバイスで上手くいったと思います。
作業中、もし駄目でもNo.7さんのアドバイスがあると思うと心強かったです。
ありがとうございました。
No.5さんの補足質問にも書きましたが、この作業は改竄されたレジストリも消去するものなのでしょうか。
http://www.trendmicro.co.jp/vinfo/virusencyclo/d …
で書かれているキーをRegistry Jumperで検索したのですが発見できませんでした。

補足日時：2006/01/07 23:52

No.6 回答者： X-ASTRAY 回答日時： 2006/01/07 11:00

ウイルス対策ソフトは使っていないのですか？

オンラインウイルススキャンだけではウイルス（アドウェア）の削除はできません。
ウイルスに感染したファイルの削除はすでにしているのですか？
ファイルの削除もせずにレジストリだけ削除しても意味がありません。
他にもインターネットの一時ファイルなど削除するものもありますが、削除したのでしょうか？

まずはウイルス対策ソフト名を教えてください。

この回答への補足

ありがとうございました。
ウイルスに感染したファイルの削除に手間取っていました。
No.5さんのアドバイスで完了したと思います。
インターネットの一時ファイルなど削除は、No.4さんの回答を見て行いました。
ゲートロックを導入していれば良いと思っていたので、シマンテックのアンチウィルソフトは期限切れのままでした。
ですので、ソフトの更新サービスの延長キーを購入します。

補足日時：2006/01/07 23:47

No.5 回答者： lonewolf 回答日時： 2006/01/07 10:05

C:\WINDOWS\Downloaded Program Files のフォルダは特殊なシステム属性になっているため、エクスプローラではファイル名が見えません。

スタート →「ファイル名を指定して実行」で　C:\WINDOWS\Downloaded Program Files\desktop.ini　
と入力して「OK」をクリックするとメモ帳が開きます。

[.ShellClassInfo]
CLSID={88C6C381-2E85-11d0-94DE-444553540000}

のようになっていますので、2行目の先頭に半角で;をつけて上書き保存してください。
これでエクスプローラからMulDist.cabを削除してください。
先ほどのdesktop.iniを書き換えしたままではDownloaded Program Filesの挙動がおかしくなるので先頭の;を
消して元に戻してから上書き保存してください。

この回答への補足

ありがとうございました。
アドバイスの通りに操作してみましたところ、オンラインウィルススキャンではTROJ_DYFUCA.Xが検出されませんでした。
言われたままにやるだけで何も調べないのはマナー違反だと思うのですが、
この作業は改竄されたレジストリも消去するものなのでしょうか。
http://www.trendmicro.co.jp/vinfo/virusencyclo/d …
で書かれているキーをRegistry Jumperで検索したのですが発見できませんでした。
これが正しい状態なのでしょうか。

補足日時：2006/01/07 23:45

No.4 回答者： doki2 回答日時： 2006/01/06 17:24

ちょっと混乱気味のようですので整理してみます。

１．下記サイトのANo.3を参照しての作業ですが・・・
http://okwave.jp/kotaeru.php3?q=1410266

　AAA．cd %windir%\system32
　
　　これは意味がありません。
　　このフォルダは「パスが通っている」といって、現在のDOSプロンプトがどこで開かれていてもこのフォルダは参照できるのでDOSプロンプトをわざわざ「C:\WINDOWS\System32>」にする必要がないのです。
　
　BBB．Regsvr32 /U "C:\Documents and Settings\RAN\Local Settings\Temporary Internet Files\Content.IE5\AHQLE38F\MultiDistFC[1].CAB"

　　"C:\Documents and Settings\RAN\Local Settings\Temporary Internet Files"
　
　　このフォルダはインターネット一時ファイルを保存するフォルダです。
　　したがって、このフォルダにある「CAB」フォルダの使用状況を解除しても意味がありません。
　
　　同じやるならインターネット一時ファイルの削除を実行した方がいいでしょう。
　
　★インターネット一時ファイルの削除
　http://www.trendmicro.co.jp/esolution/solutionDe …

　CCC.　Regsvr32 /U "C:\WINDOWS\Downloaded Program Files\MulDist.ocx"であれば正しい処理になると思います。

２.「C:\WINDOWS\Downloaded Program Files\MulDist.ocxのDllUnregisterServerは成功しました。」

　おそらく「Regsvr32 /U "C:\WINDOWS\Downloaded Program Files\MulDist.ocx"」を実行したのだと思います。
　
　「DLL」、「OCX」ファイルを削除するには、「Regsvr32 /U 」というコマンドを使ってシステムから解除する必要があります。
　
　と、ここまではいいのですが、このままではファイル削除の準備ができただけで、肝心のファイル削除を実行していません。
　
　ファイルが削除できていないのですから、その後、ウィルススキャンをすると「TROJ_DYFUCA.Xに感染している」と表示されるのです。
　
３.「ActiveXコントロール」について

　"C:\WINDOWS\Downloaded Program Files"フォルダ

　このフォルダは特殊なフォルダで、エキスプローラでは「MulDist.ocx」は表示されません。多分、「MoneyTree Dialer」というのが表示されると思います。
　
　これは外部のサイトに接続してファイルをインストールする「ActiveXコントロール」という特殊なシステムで、Windowsのセキュリティー対象から除外されています。
　
　このため、該当する「ActiveXコントロール」を除外しない限り、このスパイウエア関連のファイルを駆除しても自動的に、かつ、無警告で復旧されてしまいます。
　
　「ActiveXコントロール」は、通常、Windowsやウィルス対策ソフトのアップデートやオンラインウィルススキャンに使われるものですが、時々、スパイウエアやウィルスによって悪用されることがあります。
　
　「ActiveXコントロール」がインストールされる時、必ず、Windowsの警告が出るのですが、警告の意味がわからず「はい」「Yes」「OK」等をクリックしたため、悪意のある「ActiveXコントロール」がインストールされてしまったと思います。
　
４.TROJ_DYFUCA.X
　
　MoneTreeというスパイウエアの一種のようです。
　
　「ActiveXコントロール」（おそらく「MoneyTree Dialer」）と、それと「依存関係」にあるファイル（おそらく「MulDist.ocx」と「MulDist.inf」）を削除して駆除できると思いますが、「Ad-Aware SE」、「Spybot-S＆D」が対応していると思いますので　No.2さんのアドバイスに素直に従ってみてください。
　
５．レジストリの削除

　トレンドマイクロのサイトによれば沢山のレジストリが改竄されているようです。
　http://www.trendmicro.co.jp/vinfo/virusencyclo/d …　
　
　レジストリの操作には下記ソフトを使うと非常に便利です。
　「Registry Jumper」
　http://fine.tok2.com/home/heto2/0501RegJumper/00 …

その他わからないことがあれば追加質問してください。

この回答へのお礼

丁寧にありがとうございます。
スキャンしてみたのですが、検出された中に「MulDist.ocx」「MulDist.inf」「MoneyTree Dialer」というのはありませんでした。
また、教えていただいた「Registry Jumper」を使って不正プログラムが追加したレジストリキーを削除しようと検索しても、それらのキーが発見できません。
もう一度ウィルススキャンしてみましたが、PCはまだTROJ_DYFUCA.Xに感染したままです。
http://www.higaitaisaku.com/general.html
を読んで手動除去しようかと考えていますが、事態が悪化してしまわないか心配です。
よろしければ追加回答をお願いします。

お礼日時：2006/01/06 23:24

No.3 回答者： jim1 回答日時： 2006/01/06 08:59

ごめんなさい。

あなたの調べられた情報が一番詳しいし、お勧めは↓のように自信がなければプロに・・・ということで私も同意です。
レジストリには問題の文字列がないのですよね？
レジストリはやっかいなところでよく似た名前の物がいろいろあって、あやまって消してしまうとソフトやウィンドウズの動作、その後の対策に影響がでてしまうようなところです。REGEDITで実際に開いてみて再確認してください。
で、なぜ書き込みしたかというと、ちょっとディレクトリが気になりました。
c:\\....
\(バックスラッシュ)は2つで間違いないですか？
ヒントにでもなれば・・・

この回答へのお礼

ありがとうございました。
レジストリの消去は慎重に行いたいと思います。
確認してみましたが、\は二つでした。
打ち間違え、読み間違えのミスにも注意して作業をします。
私は勢いで打って間違っている事がよくあるので…
今日の深夜まで色々やってみて駄目なら明日にでも電話をしたいと思います。

お礼日時：2006/01/06 23:20

No.2 回答者： lonewolf 回答日時： 2006/01/06 08:43

セーフモードでAd-Aware SE、Spybot S&D 1.4でスキャンしてみてください。

http://www.higaitaisaku.com/menu5.html

この回答へのお礼

ありがとうございます。
Spybot S&D 1.4では何も検出されず、Ad-Aware SEではcookieのみ48件検出されました。

お礼日時：2006/01/06 23:00

No.1 回答者： violet430 回答日時： 2006/01/06 03:51

下記のページを見ても対処できないなら、お使いのウイルス対策ソフトのベンダーサポートへ相談するか、システム復元やリカバリで対処されることをお勧めします。

http://www.trendmicro.co.jp/vinfo/virusencyclo/d …

この回答へのお礼

ありがとうございます。
そのページの対処方法を見ながら作業していたのですが、手順3の
Windowsの＜システムフォルダ＞\REGSVR32 /U ＜手順1)の検索で発見されたファイルのパス名とファイル名＞
というのに何を入力してよいのかわからずに書き込みました。
もう少し粘ってみて、出来ないようだったらサポセンに相談したいと思います。

お礼日時：2006/01/06 12:57