インターネットができなくなる。

窓の社にあるフリーのウィルス対策ソフト
『AVG Anti-Virus Free Edition 日本語版 v8.0.169』を
インストールしたらインターネットができなくなります。
OSはWindowsXPです。モデムはADSLモデムNVIIIをレンタル使用しています。
普段はインターネットができています。

成り行きとしては…↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓
(1)インストール後、ウィルス発見のウィンドウが出ます。
　C:\WINDOWS\system32\配下の2つくらいのファイルが対象です。
　(すみません。ファイル名は覚えていません。)
　これを隔離しました。

(2)その後くらいからなのかな…、ローカルエリア接続のアドレスが
　169.192.xxx.xxxみたいに普段と全然違うアドレスになってしまいます。
　通常ネットができてる時は、192.168.1.x みたいにきちんと
　モデム(ルータ)側からアドレスが振られます。

(3)次にその状態のまま、ADSL接続をすると「ADSLに接続しました」っと
　右下のアイコンから出るのですが、Yahooサイトなどを開くとページが
　表示されません。
↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑

おそらく(1)をした事によって、(2)のアドレスが変になりネットができなく
なったのかなと考えています。←憶測です。

その後、、、
・ローカルエリア接続を無効→有効をやってみる
・ローカルアドレスを192.168.1.2と固定にしてみる
しかし、いずれもネットはできませんでした。

復旧は毎回、システムの復元でインストール前の状態に戻しています。


原因は何が考えられますでしょうか？？
他の方は、このソフト入れて普通にネットできてますでしょうか？

それとも、(1)のファイルはウィルスチェックに引っかかるけど、実際は無視して
いいファイルなのでしょうか？


長々と申し訳ありません。
分かる範囲でも全然構いませんのでコメント頂けますでしょうか。
よろしくお願いします。

No.1 回答者： doki2 回答日時： 2008/09/29 13:47

「AVG」の修復ミスかも知れません。

アドウエアの中には「Winsock LSP」の設定（インターネットとの接続設定）を改変するものがあります。

改変があった場合、「HijackThis」では「O10」に、例えば、下記のように検出されます。

O10 - Unknown file in Winsock LSP: c:\windows\system\～

ところが、「HijackThis」で、これらの設定を選択して「Fix」してしまうとインターネットに接続することができなくなることがあります。
また、かなり以前のことですが、「Ad-aware」で、この種の修復ミスが原因で、世界中の多くのパソコンが接続不能になりました。

「HijackThis」で「O10」で始まる行が検出され、そのアドレスが「AVG」で検出されるものと同じであれば、その行を補足欄に貼り付けてみてください。

参考：「HijackThis」 ログ チュートリアル
http://www.shareedge.com/public/20050528-002/Hel …

この回答への補足

一応「HijackThis」を実行してみたのでログを貼り付けます。

～～～～～～～～～～以下抜粋～～～～～～～～～～
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
O10 - Unknown file in Winsock LSP: rsvp32_2.dll
～～～～～～～～～～～～～～～～～～～～～～～～

ちなみに、AVGで検出されたファイルは以下の3つです。
(1)C:\WINDOWS\system32\rsvp32_2.dll
　トロイの木馬Proxy.GBJ
(2)C:\WINDOWS\1lx.exe
　トロイの木馬Proxy.GBJ
(3)C:\WINDOWS\SYSTEM32\COMET.DLL
　アドウェアGeneric.GEH

(1)が該当するのかなと思います。
この事から何が分かるのか自分じゃなんともです…＞＜；

補足日時：2008/10/01 20:56

この回答へのお礼

みなさんのご協力もあり、
昨日からAVGを起動させたまま
無事インターネットが出来ています。

このまま運用していこうと思います。
ご協力ありがとうございました。

また、何か起きましたらよろしくお願いします。

お礼日時：2008/10/02 20:52

No.2 回答者： ryu-fiz 回答日時： 2008/09/29 18:28

LSPに関わるファイルの処理は、慎重に行う必要があると思います。

今回のように単純にファイルを削除しただけだと問題が発生する場合も少なくありません。

１番さんの回答が適切だと思いますが、ご自身の力で何とかしてみたいということであれば、次のURLを熟読の上、作業に当たってみてください。

http://www.higaitaisaku.com/lsp.html

でもまず…AVGが処理したファイル名を特定することが先決かも。大概のウイルス対策ソフトでは、検査結果をログとして保存しているものです。そのログを閲覧出来れば、検出されたファイルに関する情報が得られる筈ですが。私はAVGのユーザーではないので、具体的にどうすればログが見れるか分からないですが…方法は必ずあると思います。

最悪、ログが閲覧できなくても隔離室の中を覗けばそのファイルが置かれているので分からない筈はないと思いますが。

次のサイトでAVGに関する情報をまとめてらっしゃいます。参考になると思いますよ。

http://atubon.hp.infoseek.co.jp/

AVGに限りませんが…ウイルス対策ソフトがネットワークアダプタの関連ファイルを誤検出した結果、ネットに繋がらなくなるケースは少なくないと思います。誤検出の可能性は多分にありますが…それはそのファイルについての情報を探さないと何とも言えません。

この回答への補足

AVGが処理したファイル名は以下の通りでした。
(1)C:\WINDOWS\system32\rsvp32_2.dll
　トロイの木馬Proxy.GBJ
(2)C:\WINDOWS\1lx.exe
　トロイの木馬Proxy.GBJ
(3)C:\WINDOWS\SYSTEM32\COMET.DLL
　アドウェアGeneric.GEH

1番の方の言うようにHijackThisをやってみました。
結果は1番さんのところに補足で付けています。
自分にはさっぱりですが…(＞＜；

なんとなく(1)が該当するのかなと思うのですが
それが何がなんなのか……

補足日時：2008/10/01 21:03

この回答へのお礼

みなさんのご協力もあり、
昨日からAVGを起動させたまま
無事インターネットが出来ています。

このまま運用していこうと思います。
ご協力ありがとうございました。

また、何か起きましたらよろしくお願いします。

お礼日時：2008/10/02 20:52

No.3 回答者： wamos101 回答日時： 2008/09/29 23:54

こんにちは。

私はクラッカーコミュティー巡りや対策ソフトの性能テストなどをしております。

AVGの誤検出→隔離の可能性がありそうですね。

対策ソフトはログ(記録)を取ってますからまずは確認することです。

>169.192.xxx.xxxみたいに普段と全然違うアドレスになってしまいます。

リンクローカルアドレスがセットされるとWANには出て行けません。

この回答への補足

誤検出ですか……
1番さんのところにHijackThis.exeのログと
検出されたファイル＆ウィルス名を
貼り付けましたので、何か分かるようでしたら
ご教授願います。

補足日時：2008/10/01 21:07

この回答へのお礼

みなさんのご協力もあり、
昨日からAVGを起動させたまま
無事インターネットが出来ています。

このまま運用していこうと思います。
ご協力ありがとうございました。

また、何か起きましたらよろしくお願いします。

お礼日時：2008/10/02 20:52

No.4 回答者： ryu-fiz 回答日時： 2008/10/02 01:03

http://www.higaitaisaku.com/lsp.html

先の回答でも挙げたこのリンク先を参考にして、LSP-fixを使ってみてください。『LSP-fixによる復旧』の項に次のように書かれています。

*****
・不正エントリがKeep側にあればこれをRemove側に移動
・正規エントリがRemove側にあれば、レジストリ上誤ってファイルがないと認識されている可能性があるので、これをKeep側に移動
*****

今回の場合不正エントリとして"rsvp32_2.dll"が現れる筈です。LSP-fixを起動し、Keep側に"rsvp32_2.dll"が表示されていたら、Remove側に移動してFinishをクリック、システムを再起動すればOKだと思います。

ただし、もし万が一Remove側に"rsvp32_2.dll"以外のファイルが表示されている場合は、直ちにそこで作業を中止し、Keep側とRemove側とにあらわれているファイル名を全て控えた上で、右上×ボタンでLSP-fixを終了してください。そして控えたファイル名を補足して下さい。

なお、

>復旧は毎回、システムの復元でインストール前の状態に戻しています。

とのことなので、もし現時点でAVGが検出、隔離したファイルが下の場所に存在しているようなら、LSP-fixでの作業に成功後に改めて隔離して様子を見てください。

と同時に、F-Secureのオンラインスキャンで他の感染がないかどうかを再確認してください。

http://www.f-secure.co.jp/v-descs/disinfestation …

Tracking Cookieは現状気にしなくて構いません。また、"AVG"という文字列が含まれる場所から検出があった場合には隔離フォルダからの検出である可能性が高いので心配いらないと思います。それ以外の感染が見つかり、削除できない場合には深刻な感染であると判断されるのでリカバリを推奨します。

安全にリカバリを進めるためには、次のURLを参考にしてください。
http://iwata.way-nifty.com/home/2004/10/1017.html

昨今の感染は手強くなっており、ウイルス対策ソフトで防ぐことが困難になっているものも増えています。ウイルス対策ソフトを入れて、怪しいサイトを見ないようにするだけでは防げない感染も少なからずあります。同様な感染を防ぐために次のような点に注意してください。

１）各種アプリケーションソフトのセキュリティ更新を怠らない。

Windows Updateの必要性はこれまでも叫ばれて来ましたが、悪用されるセキュリティ上の問題点＝脆弱性は、WindowsOS上のものから各アプリケーションソフトのものへと主流が移り変わりつつあります。つまり、これからのネットセキュリティにおいては、OSだけでなく、その上で実行される各種アプリケーションソフトを必要に応じて最新のものに更新することも怠ってはいけません。例えば、

・Firefox、Operaなどのブラウザ。
・Sun Java 仮想マシン(JRE)。
・Flash PlayerやShockwave Playerなどのプラグイン。
・Real Player、QuickTimeなどのメディアプレイヤー。
・Adobe Readerや圧縮解凍ソフトなど、それ以外のアプリケーションソフト。

最新の感染では、そうしたアプリケーションソフトの脆弱性が利用されることが殆どです。一般サイトが何らかの理由で改変された結果、そうした脆弱性を利用した仕掛けの施された悪意のあるサイトにこっそり転送されて感染が試みられます。

http://internet.watch.impress.co.jp/
http://www.itmedia.co.jp/enterprise/security/

こうしたサイトを出来れば毎日チェックし、速やかな対処を行えば防ぐことの出来る感染も多いのです。

２）標準設定のInternet Explorerはセキュリティ上危険な面が多いことを認識すること。

IEで扱うことの出来るJavaScriptはJScriptといい、Windowsを直接操作出来るように拡張されており、各種感染に悪用されることがあります。勝手の知らないサイトではIEのセキュリティレベルをあらかじめ上げておく必要があると考えられます。

でも、セキュリティレベルをTPOに合わせて切り替えて使うことはユーザーにとってかなり負担になります。IEに依存しないFirefoxやOperaのようなブラウザを普段遣いにすることで、各種感染のリスクを大幅に下げることが可能です。

http://www.mozilla-japan.org/products/firefox/
http://jp.opera.com/

もちろん、各ブラウザにおいても随時セキュリティ上の問題点が見つかることがあり、その場合には危険が生じます。でも必要な情報を入手した上で随時最新のものを使うように心掛ければ、IEほどには感染のリスクは高くありません。

もしどうしてもIEをあらゆる局面で常用したいというのであれば、次のURLで紹介されているReducedPermissionsのようなソフトの利用を検討してください。

http://www.oshiete-kun.net/archives/2006/05/iere …

制限つきユーザー上でIEを利用することが出来れば、JavaScriptやActiveXの実行に関してサイト閲覧上の効果を損なわずに利用が可能になる一方、システムに重大な変更をもたらすような危険な動作は抑制されます。ただし、ActiveXのインストールが必要な場合など、必要に応じて管理者権限での起動を使い分ける必要はあります。また、権限の昇格を伴う脆弱性がIEやプラグインソフトなどに存在している場合には、ReducedPermissionsを使っていても安全とは言えないケースも出て来ます。くれぐれも過信しないようにしてください。

なお、Windows Vista上のIE7では、感染を防ぐための配慮が行われていますので、標準設定のままでもXP以前のものよりかなり安全です。無理に他のブラウザを常用する必要はないかも知れません。ただし、Flash Playerなど他のアプリケーションソフトや、WindowsOSのセキュリティ上の問題点＝脆弱性の影響には十分注意しなくてはいけません。その辺は１）で説明した通りです。

この回答への補足

LSP-fixをやってみました。
"Remove側"に「rsvp32_2.dll」がありました。
ちなみに"Remove側"には他にファイルはありませんでした。

このままfinishを押して終了させました。
(起動から終了まで特にファイルの移動はさせていません)

補足日時：2008/10/02 20:45

この回答へのお礼

みなさんのご協力もあり、
昨日からAVGを起動させたまま
無事インターネットが出来ています。

このまま運用していこうと思います。
ご協力ありがとうございました。

また、何か起きましたらよろしくお願いします。

お礼日時：2008/10/02 20:52

No.5 回答者： ryu-fiz 回答日時： 2008/10/02 23:34

>みなさんのご協力もあり、

>昨日からAVGを起動させたまま
>無事インターネットが出来ています。
>
>このまま運用していこうと思います。

LSP-fixが功を奏したようで何よりですが…AVGで検出出来ない感染も多数存在します。自覚症状がなくなっただけで安心せずに、F-Secureオンラインスキャンによるセカンドオピニオンを求められることを強く推奨します。

No.6 回答者： doki2 回答日時： 2008/10/03 07:26

原因はやはりAVGの修復ミスだったような気がします。

もし、そうであれば、AVGにたくさんの問い合わせが寄せられ、AVGが内密でプログラムを修正した可能性があります。
できれば下記作業実施し、結果教えてください。

１．新しい復元ポイントを作っておく。
２．AVGでスキャン/駆除を実行し、その後、インターネットに接続可能か調べてみる。
３．「HijackThis」で下記の行が表示されなくなったかどうか確認する。
　　O10 - Unknown file in Winsock LSP: rsvp32_2.dll
４．エキスプローラで下記ファイルが削除されているかどうか確認する。
　　C:\WINDOWS\system32\rsvp32_2.dll
　　C:\WINDOWS\1lx.exe
　　C:\WINDOWS\SYSTEM32\COMET.DLL
　　
LSPを操作するウィルスは、必ず、ほかのプログラムをインストールするので、LSPを修復しただけで安心してはいけないと思います。

http://hjdb.higaitaisaku.com/database.cgi?cmd=dp …
Infostealer.Banker.C (HJT DB)

http://www.higaitaisaku.com/kakolog/cbbs.cgi?mod …
アダ被　過去ログ（17） － 2007年2月1日～2007年5月6日 [No89431 の記事表示]
C:\WINDOWS\system32\rsvp32_2.dll = Virus "Trojan-Proxy.Win32.Agent.ly"

http://forum.higaitaisaku.com/viewtopic.php?t=1429
【アダ被】フォーラム :: トピックを表示 - メールや掲示板投稿に myscreensavers.info が挿入？

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing

http://www.suggestafix.com/lofiversion/index.php …
Suggest A Fix PC Support Forums > Comp Infected By Rsvp32_2.dll And Csvhost.exe - Unable To Access Inter
O2 - BHO: (no name) - {73364D99-1240-4dff-B11A-67E448373048} - C:\WINDOWS\System32\ipv6monl.dll
O4 - Global Startup: Wincbr.exe
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll

http://forums.techguy.org/malware-removal-hijack …
Trojan // Worm invasion Ntos.exe - Tech Support Guy Forums
F2 - REG:system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O10 - Unknown file in Winsock LSP: c:\windows\system32\pbhblggek.dll

http://forums.pcpitstop.com/lofiversion/index.ph …
PC Pitstop Forums > Think I have a virus from pop-up on my computer
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing
O20 - Winlogon Notify: mszsrn32 - C:\WINDOWS\system32\mszsrn32.dll