アドウェア：「ADW_BITLOCKER.AJ」と「ADW_UPHOB.A」

「ADW_BITLOCKER.AJ」と「ADW_UPHOB.A」というアドウェアを数週間前から検索し続けていまして、困っています。
トレンドマイクロのセキュリティ情報によりますと実害はないらしいのですが、これを検索するようになってからパソコンを経ち上げると必ずインターネットが即座に開き、リンク切れの広告を表示するようになってしまいました。
関係のない広告やポルノ画像なんかも表示されます。どれも以前にはないことでした。
トレンドマイクロのページで対応方法なども見てみましたが、スパイウェアプログラムがシステムフォルダに入っているためかやり方が悪いのか対処し切れません。
どなたか分かる方いらっしゃいましたら解答よろしくお願いします。

ちなみに、トレンドマイクロの詳細情報は下記アドレスです。
http://www.trendmicro.co.jp/vinfo/grayware/ve_gr …
http://www.trendmicro.co.jp/vinfo/grayware/ve_gr …

No.4 ベストアンサー 回答者： doki2 回答日時： 2006/12/23 09:28

>パソコンを経ち上げると必ずインターネットが即座に開き、リンク切れの広告を表示するように

トレンドマイクロの情報より引用

１．HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　adstart = ""iexplore.exe" "http://iesettin＜省略＞update""
　
　この設定によりＰＣ立ち上げと同時にＩＥが起動され特定のサイトが表示されます。
　
２．HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
　　Browser Helper Objects\{E954DB82-1533-4714-92F2-59C98D5C18CC}
　
　「BHO」（Browser Helper Objects）が使われています。
　
３．{E954DB82-1533-4714-92F2-59C98D5C18CC}でググると「アダ被」に同種の質問の解決例があります。
　
　回答者「kk」さんの丁寧な説明があるので参考にしてください。
　
　http://bbs.higaitaisaku.com/cbbs.cgi?mode=all&nu …
　PCトラブル質問掲示板 [One Tree All Message]
　
４．ポイント

　AAA．セーフモードで起動し「HijackThis」で下記の項目を「Fix」
　
　　O2 - BHO: (no name) - {4D25F921-B9FE-4682-BF72-8AB8210D6D75} - C:\Program Files\MyWaySA\SrchAsDe\deSrcAs.dll
　　O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
　　O2 - BHO: Banner Rotator - {E954DB82-1533-4714-92F2-59C98D5C18CC} - C:\WINDOWS\system32\brrotate.dll
　　O4 - HKLM\..\Run: [adstart] "iexplore.exe" "http://iesettingsupdate"

　BBB．通常モードで再起動して「HijackThis」で上記の項目が削除されているか確認
　
　CCC．通常モードのまま、エキスプローラで下記ファイルが削除されているか確認
　
　　C:\WINDOWS\system32\brrotate.dll
　　
　DDD．通常モードのまま、エキスプローラで下記フォルダを削除
　
　　C:\Program Files\MyWaySA
　　
　他のウィルスとの複合感染がなければ以上で症状はなくなると思います。
　
　わからないところがあれば補足欄に書き込んでください。
　
参考

　HijackThisによるログの取得と、不正エントリの修正(fix)方法
　http://www.higaitaisaku.com/hijackthis.html
　
　強削(Windows95/98/Me / ユーティリティ)
　http://www.vector.co.jp/soft/win95/util/se298257 …
　
　KillBox.exeの代わりに使えると思います。
　
以上、トレンドマイクロの説明では使われているファイル名が表示されないので、若干異なる箇所があるかもしれませんが、その際は、削除したいファイル名を具体的に明示してください。

この回答への補足

お答えいただき有難うございました。
迅速に回答して頂いたにも拘らずこちらの返答が遅れてしまい申し訳ありませんでした。

doki2様の回答を参考にし、kk様の手順に従って作業1(HijackThisでFix→対策ツールでフルスキャン→ログ取得)まで実行いたしました。
それにより起動時に自動的に広告がでるという症状はなくなりました。
その後の対応としてkk様の回答では感染ファイルの削除を指示しておりますが、あちらの質問者の方のログと自分のを照らし合わせて見てもどのファイルを削除したらいいのかいまいちよくわかりません。

またC:\WINDOWS\system32\brrotate.dll、C:\Program Files\MyWaySAどちらのファイルもエキスプローラで検索しましたが、見つかりませんでした。

ログはこちらです↓
http://www.geocities.jp/dummy19110/index.html

明日から10日ほどパソコンを触れない状態になりますので、申し訳ありませんが返信が出来なくなります。戻り次第作業続行いたしますのでもしお時間ありましたら再度アドバイスの方よろしくお願いします。

補足日時：2006/12/27 19:51

No.7 回答者： doki2 回答日時： 2007/01/10 08:45

rara1016さんのご対応でよかったのではないかと思います。

問題はP2Pソフトでしょうね。

いまはGoogle、Yahoo、MSN等優れた検索システムがありますから、危険を冒してこの種のソフトを使う必要性は少なくなっていると思うんですがどうでしょうか。

☆お勧め

SiteAdvisor
http://www.altech-ads.com/product/10002747.htm
McAfee SiteAdvisor - 海外のソフトウェア(フリーウェア/シェアウェア)がダウンロード出来るサイト

「eWido」オンラインスキャン
http://fine.tok2.com/home/heto2/

ウィルスバスターはほかのセキュリティソフトと干渉することが多いので、「PrevX」をアンインストールして、こちらのオンラインスキャンを使われるのがいいと思います。

この回答へのお礼

LimeWireの危険性や何かも一応は分かってはいるつもりなのですが・・・
ここまでお世話になっていて何なのですが、パソコン初心者なので感染し処理していても危険だという実感がいまいち湧かず、やはり手放せない、という感じです。

教えていただいたオンラインスキャン、使わせていただきます。
語彙が少なく繰り返しになってしまいますが、本当に長期間お付き合いいただきありがとうございました。
アダ被など為になるサイトもご紹介いただきましたので読み進めてみたいと思います。
また何かありましたらその時はよろしくお願いします。ありがとうございました。

お礼日時：2007/01/11 19:42

No.6 回答者： doki2 回答日時： 2006/12/28 13:48

１．HijackThisログ

　下記の項目を「Fix」してください。

　O2 - BHO: ohb - {5ED7D3DE-6DBE-4516-8712-436325722327} - C:\WINDOWS\system32\SmartShopper\SmartShopper0.dll
　O4 - HKCU\..\Run: [Chckup] C:\WINDOWS\system32\Netverchk.exe
　O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

２．eScanログ

　AAA.SmartShopper関連

　　ファイルだけでなく、レジストリの修復も必要です。
　　下記ソフトが対応しているようですのでダウンロードしてスキャンしてください。

Prevx1 Remove Malware
　　http://info.prevx.com/downloadremove.asp?mlw=Adw …
　　
　　C:\WINDOWS\system32\SmartShopper\SmartShopper0.dll = Spy/Ad "AdWare.Win32.Beginto.f"
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\smartshopper !!!
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\smartshopper !!!
Offending Key found: HKCU\Software\smartshopper !!!
C:\WINDOWS\system32\SearchTool\nsr7A.dll = Spy/Ad "AdWare.Win32.Beginto.f"
C:\WINDOWS\system32\SmartShopper\SmartShopper0.dll = Spy/Ad "AdWare.Win32.Beginto.f"

下記のものもSmartShopper関連ではないかと思います。

Object "hotbar.shopperreports Toolbar" found in File System
Object "hotbar.shopperreports Toolbar" found in File System
Object "hotbar.shopperreports Toolbar" found in File System

　BBB.ウィルスバスターの隔離ファイルです。

ウィルスバスターで隔離ファイルの管理機能を使って削除してください。
C:\Program Files\Trend Micro\Virus Buster 2006\Quarantine\248.tmp = Spy/Ad "AdWare.Win32.Beginto.f"
　
　CCC.「HijackThis」のバックアップファイル
　　エキスプローラで「HijackThis」をインストールしたフォルダで「backups」フォルダを開いて下記のファイルを削除してください。
backup-20061226-031245-713.dll

　DDD.grokster

悪質なP2Pソフトが入っています。
Object "grokster Spyware/Adware" found in File System

　EEE.Offending Key found: HKCU\\magnet !!!

Limewire関連ですね。

３．SilentRunnersログ

　申し訳ありませんが、よほど困ったときか、暇なとき以外このツールのログは読まないことにしていますので、このログについてはノーコメントです。

４．結論

　滅多に言わないことにしていますが、リカバリー推奨です。

　下記参考にしてください。
　
　http://210.173.173.72/cda/news/2005/03/09/6783.h …
　シマンテック、スパイウェアの被害防止に「使用許諾契約」熟読のススメ
　海外のP2Pソフトには要注意

この回答へのお礼

またもや返事が大変遅くなってしまい申し訳ありませんでした。

1．
HijackThisのログは表記されていたものすべてFixいたしました。

2．AAA.
Prevx1 Remove MalwareはDL後スキャンし、jailに入っているものはすべて削除いたしました。
ですがC:\WINDOWS\SYSTEM32\NETVERCHK.EXEがHolding Cellに入っているのですが、Send to Jailにできませんので放置してあります。
ウイルスバスター2006によるとこれにADW_UPHOB.Aのスパイウェアがついているようなのですが・・・。

BBB.
ウイルスバスターの隔離ファイルの管理機能ではなぜか
C:\Program Files\Trend Micro\Virus Buster 2006\Quarantine\248.tmp
が開けませんでしたので手動で削除してしまったのですが・・・大丈夫でしょうか？

CCC.
HijackThisのバックアップファイルは削除いたしました。

doki2様のご忠告どおり、リカバリーすることにいたしました。
長期間にわたりご協力いただき有難うございました。
また何かありましたら、その時はよろしくお願いいたします。

お礼日時：2007/01/09 19:34

No.5 回答者： X-ASTRAY 回答日時： 2006/12/23 10:39

質問の前にまずはパソコンに入っているウイルス対策ソフトは何か？最新版にアップデートはしてるのか書いてください。

あと、WindowsUpdateもしているか書きましょう。

今のままでは直りません。

この回答への補足

ご指摘有難うございました。
迅速に回答して頂いたにも拘らずこちらの返答が遅れてしまい申し訳ありませんでした。
ウイルス対策ソフトはウイルスバスター2006を使用しております。
最新版にアップデートもしており、アドウェアの検索はしても削除できない状態でした。
WindowsUpdateも最新版です。

補足日時：2006/12/27 19:23

No.3 回答者： beathouse 回答日時： 2006/12/23 01:32

基本的にアドウェアというのは広告を表示する程度なので放っておい他方がいいように思いますが、消したいなら、ad-awareやspybot等を使って消せると思います

リンク先のソフトを試してみてください
両方とも無料で使うことができます
この方法で削除できればリカバリ等をやって他のデータを消さなくてもOKなのでバックアップなどを取る必要もありません

参考URL：http://enchanting.cside.com/security/adaware.htm …

この回答へのお礼

お答えいただき有難うございました。
迅速に回答して頂いたにも拘らずこちらの返答が遅れてしまい申し訳ありませんでした。
SpybotをDLして試させていただきましたが、どうもそれだけでは対処できなかったようなのでdoki2様の回答を参考にさせていただきました。
今後また質問する機会がございましたらその時はよろしくお願いいたします。

お礼日時：2006/12/27 18:19

No.2 回答者： TIYOU 回答日時： 2006/12/23 01:09

NO1です。

ULRが間違っていました。すみません。以下を参照ください。
ウイルススキャンです。
http://www.kaspersky.co.jp/scanforvirus/
スパイウエアチェックサイト
http://anti-threat.shareedge.com/

この回答へのお礼

お答えいただき有難うございました。
迅速に回答して頂いたにも拘らずこちらの返答が遅れてしまい申し訳ありませんでした。
折角お答えいただいたのですが、doki2様の回答を参考にさせていただきました。
今後また質問する機会がございましたらその時はよろしくお願いいたします。

お礼日時：2006/12/27 17:59

No.1 回答者： TIYOU 回答日時： 2006/12/23 01:04

データーバックアップ後リカバリをお勧めいたします。

一応以下の手順を踏んでみてください。
以下でスキャンしてください。
​http://www.kaspersky.co.jp/scanforvirus/​
念のためにスパイウエアチェックサイトも乗せて置きます。
時間はかかりますが、数回チェックするのが良いと思います。
チェック削除後、不安な場合はバックアップからリカバリをしてください。
右上2種類、1つずつチェックください。
削除後一旦「システムの復元機能」＝無効に設定下さい。
これは削除後データーからも削除する為です。
削除後、再チェック、その後「システムの復元機能」＝有効にしてください。
​http://anti-threat.shareedge.com/​
スキャンの際にトレンドマイクロの常駐機能はＯＦＦにしてください。