プロが教える店舗&オフィスのセキュリティ対策術

先日、ワンクリック詐欺サイトにアクセスしてしまい、進行インジケータがでて、ダウンロードのようなものが一秒位、別枠で見えた後、詐欺文章のウィンドウが現れました。今の所、症状は無いが心配になり解析を試みてみました。不安なので、大丈夫かお力添えをお願いします。
Higaitaisakuサイトでは症状が出て無いと質問が禁じられているようなので、こちらで質問しました。解析手法はHigaitaisakuサイトを参考にしました。
Norton Internet Security 2005では通常モードでもセーフモードでもマルウェアは見つからなかったです。Higaitaisakuサイト内で見た感じでは該当マルウェアは無いようです。例題として挙げられて無いマルウェアがあるかも知れません。以下はセーフモードでHijackThisログを出してみました。(とりあえず冒頭のみ)
Logfile of HijackThis v1.99.1
Scan saved at 21:41:35, on 2006/12/03
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\ユーザー名\デスクトップ\HijackThis\HijackThis.exe

A 回答 (11件中1~10件)

1、ワンクリック詐欺については下記に詳しい情報と対策が書かれているので参考にしてください。



 http://oc42.jp/
 abcdefのワンクリウェア試験記録/Test record of oneclick-ware by abcdef

 http://www.whynot.jp/bluesbb+topic.top+1.htm
 ネット詐欺相談室 - 相談掲示板->ワンクリック詐欺相談室

 http://www57.tok2.com/home/keiline/
 -=-Volk's Line-=-

2.アクセスしたサイトのアドレスがわかれば下記のツールで駆除できる場合があります。

 http://sasi40dx.hp.infoseek.co.jp/test/sample.sh …
 ワンクリウェア駆除ツール(test版)

>#9さんが懸念を示して居ますので

 このカテゴリーでは、何の回答もできずに「アダ被」へ行けとか、リカバリーせよという「回答」が氾濫しています。 
 「アダ被」へ行きたくてこのサイトに投稿される質問者は稀でしょうし、リカバリーしたくないから助けを求める方がほとんどだと思います。
 ほかに回答者もなく長期間放置されてでもいない限り、この種の投稿は無視するしかないと思います。
 せめて「アダ被」で同種の質問の解決例を見つけて参照する程度の努力が回答者には必要ではないでしょうか。
    • good
    • 0
この回答へのお礼

察していただき、痛み入ります。
参照URLは以前尋ねたところもありますが、その他貴重な情報がありました。感謝します。

お礼日時:2006/12/23 23:56

http://hjdb.higaitaisaku.com/
そこでキーワード検索できます
たとえば
C:\WINNT\system32\po a ts.exe
O4 - HKLM\..\Run: [ImageViewer] C:\WINDOWS\ImageViewer.exe /s
などのエントリーを見ることができます。

ノートン2005のときにワンクリックありましたがなんでもなかったことがありました

ノートンのいろいろなログに何か記載されていれば遮断したかも。

2chにアクセスしたときに奇妙な遮断がありましたが、そういう遮断で不正プログラムが侵入できなかったかも。別のところからのアクセスがノートンによって危険なものと判断されて遮断。

心配でたまらないなら「被害対策」の専門家に見てもらうのもいいと思います。
P2Pソフトをやっていたら止めることを勧めます。
    • good
    • 0
この回答へのお礼

マルウェアのエントリーはここにあったんですか。見落としていました。

ワンクリックの時、やはり、ダウンロードやスキャンの進行インジケータが出ましたか。

ノートンのログを見ました。

ルール「Bla トロイの木馬のデフォルト遮断」がコンピュータ名(IPアドレス)ローカルホストを遮断しました

上記はワンクリックの前も後も時々出て居ますが問題ないと思います。

機能;スクリプト遮断 リスク名;疑わしいスクリプト 結果;アクセスが許可されました 項目の種類;スクリプト  発生先:適用なし
疑わしい動作;Windows Script Host Shell Object  ウィルス定義バージョン;適用なし

上記はセキュリティーリスクのログです。3回ほど出て居ますが何の事やら良く分かりません。

もちろん、遮断を経験した事あります。タスクバーのノートンのアイコンから警告メッセージがプルアップされました。ワンクリックの時は
メッセージはでませんでした。

#9のお礼欄にも書いた通りで、ほんとは被害対策でやりたいのです。
P2Pソフトは使っていません。
ありがとうございました。

お礼日時:2006/12/23 00:25

No2ですけれど、ここのサイトにいろいろと補足などを利用して、書き込みするのは、問題があります。


自力解決したい気持ちはわかりますが、ここよりもhigaitaisaku.comで相談することを勧めます。

その方が、より詳しく表示出来ますし、このような問題に関して専門の方がいるのでそちらで質問し直してください。
そのときには、こちらの質問を締め切ってください。

higaitaisaku.com
http://www.higaitaisaku.com/

質問専用掲示板に、HijackThisログと質問内容を表示して待っていてください。
    • good
    • 0
この回答へのお礼

私もとてもその掲示板を利用したいのですが、事前に以下のようなコメントがあるので、とても残念で、困ってこちらに来ました。

{以下は、このサイトの質問掲示板についての一般的な注意事項です。長々と羅列してますが、見出しだけでもどうか眺めておいてください。

症状が無いのに質問するのはご遠慮ください
現在特に困っている症状が無いのに質問するのはやめてください。「症状は無いけど、大丈夫かどうか安心したいのでログをチェックしてくれ」という奴です。}

特に症状がないと質問欄に書きましたが、敢えて気になる点を挙げれば、このOK WAVEに以前はログインできたのが、今はNorton Internet Securityのプライバシー制御をオフにしないとログインできなくなっています。私的には自力解決中のイレギュラーだと思います。
yoshi-thkさんがもし、higaitaisaku.comのスタッフで、この質問を掲示板に許可してくださると私も望むところでとても助かります。

お礼日時:2006/12/22 22:11

>以下はセーフモードでHijackThisログを出してみました。



セーフモードでは現れないものがあるので通常モードでのログを別途書き込んでください。
    • good
    • 0

ANo.6 追記



プロパティの件

SiSPower.dllのことです。

多分、C:\WINDOWS\system32フォルダにあると思います。
    • good
    • 0

ANo.4



>O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent

ネットの一部のサイトで怪しいとの指摘がありますが、プロパティを調べて下記に該当すれば問題ありません。

会社名:Silicon Integrated Systems Corporation
著作権:Copyright (C) Silicon Integrated Systems Corp

http://www.spywareterminator.com/item/711/SiSPow …
Spyware Terminator - Software Database

まだ続きがあると思いますので追記してください。

この回答への補足

SiSPower.dllを調べてみました。会社名は同上です。著作権はその後に
1998-2004 と年が付いています。問題なさそうですね。
参考URLではDescription: Safe となっていますから、安全と言うことでしょうか。
以降の枠に重複するかも知れませんが、通常モードをUPします。

補足日時:2006/12/22 22:56
    • good
    • 0
この回答へのお礼

HijackThisログをUPしようと思いましたが#9さんが懸念を示して居ますので、しばらくお待ちください。

お礼日時:2006/12/22 23:23

http://oshiete1.goo.ne.jp/qa1002634.html
これは補足の1つの項目をコピペして検索した結果表れた資料です
参考になると思います
    • good
    • 0
この回答へのお礼

どの項目の事でしょうか。
AcroIEHelper.dll
ですか。
時間かけて探しましたが分かりませんでした。

お礼日時:2006/12/22 22:35

よろしければ、続きを書き込んでみてください。


お礼欄、補足欄、自由にお使いください。

足りない場合は、追加で補足をお願いしますから、面倒でしょうが、いくらでも書き込めます。

この回答への補足

入力できないので分けて入れます。
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Program Files\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [VAIO Update 2] "C:\Program Files\Sony\VAIO Update 2\VAIOUpdt.exe" /Stationary
O4 - HKLM\..\Run: [VZRemoteCommander] C:\Program Files\Sony\Do VAIO Remocon\AvRmtCtr.exe
O4 - HKLM\..\Run: [IMJPMIG9.0] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMJP9\IMJPMIG.EXE /Preload /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [EEventManager] C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

補足日時:2006/12/21 22:00
    • good
    • 0
この回答へのお礼

助かります。
セーフモードでHijackThisログ本体部が以下です。
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Yahoo!ツールバー - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\yt.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
私の知識内ではマルウェアは見つかりませんがいかがでしょうか。

お礼日時:2006/12/21 21:58

>不安なので、大丈夫かお力添えをお願いします。


>
何が不安なのですか?身内等にワンクリック詐欺サイトにアクセスした事を知られる事ですか?今やワンクリック詐欺サイト=アダルトサイトでは無い筈。
質問者様の不安→疑心暗鬼→人知れず自己解決を試みる→該当サイトにアクセス→個人情報を伝える。
此れが相手(ワンクリック詐欺サイト)の思う壺ですヨ。
クリックしただけでは相手に此方の情報は解りません。此方からアクセスする事で初めて伝わります。
不安なら「ワンクリック詐欺サイト被害」のサイトを御覧になっては如何ですか?
http://sagi-0.bne.jp/pc/index.html
其れでも不安なら、「知る限りの対策ソフトを駆使する」。其れでも不安なら「リカバリ」を行う。其れでも不安?ならLANケーブルを抜く…

最も必要なのは被害者の「毅然たる態度」です。
    • good
    • 0
この回答へのお礼

参考URLみました。higaitaisakuでも警視庁やその他のサイトでも「毅然たる態度」を推奨しているので、了解していますが、PC内の悪さを懸念して相談しております。ありがとうございました。

お礼日時:2006/12/21 21:45

スパイウェアの類を心配するのであれば、次のサイトに書いている手順を実行してください。



higaitaisaku.com 被害対策
http://www.higaitaisaku.com/menu1.html

それだけでは、判断出来ないので。
    • good
    • 0
この回答へのお礼

PCのお掃除でスキャンディスク、キャシュやクッキーの削除をしました。また、自力で問題解決を行う手順も一応しましたが、どれがワンクリックウェア(マルウェア)なのかが分かりませんでした。何日かかけて、higaitaisakuは読み漁りました。私の見落としもあるとは思います。英語のURLで3つほど案内されて居ましたが、URLを開いて、どのようにマルウェアを検索したら良いのか難解な英語で分かりませんでした。そこで、こちらに相談に来ました。
ありがとうございました。

お礼日時:2006/12/21 21:34

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!