スパイウェアを削除しても・・・

OSはWINDOWS2000です。　スパイウェア駆除ソフトAdawareでスパイウェアをスキャンしたらHKEY_LOCAL_MACHINE:SOFTWARE\roimo\ と HKEY_LOCAL_MACHINE:SOFTWARE\ssprint\ というレジストリキーが検出されるのですが、何度削除しても、毎回検出されるんです。原因がどうしても分からないので、詳しい方教えて下さい。宜しくお願いします。

No.2 ベストアンサー 回答者： heto2 回答日時： 2004/06/12 17:39

１．今回の件では下記のようなことが推測されます。

　AAA.「Ad-aware 6」がスパイウエア（roings, roimoi, ssprint)を検知する。
　BBB.ユーザー選択により一旦削除される。
　CCC.次回、パソコン起動時に、スパイウエアが削除されているのがわかると、インストーラーが起動され、再インストールされる。

　ActiveXを使って復活させる場合は「HijackThis」のログで簡単にFixできます。

　下記の設定を使う例が報告されいずれも解決しています。

O16 - DPF: {FF65677A-8977-48CA-916A-DFF81B037DF3} (WMService Class) - http://download.overpro.com/WildApp.cab
O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} (IObjSafety.DemoCtl) - http://cabs.roings.com/cabs/downplain.cab
O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} - http://cabs.roings.com/cabs/chedownzip.cab


２．問題は、ActiveXではなく、別途インストーラーが存在するケースです。

LavaSoftのサポートフォーラムでも殆ど未解決になっています。
http://www.lavasoftsupport.com/index.php?&act=ST …

下記のファイルを削除して解決した例があるようですが、調べてみてください。
ただし、ファイル名が色々変化するので全ての感染例に当てはまるとはいえません。

artmmp.ini
ast_4_mm.exe
at.aut
cpr.exe
DictComp3s.exe
dszal.dll
optimize.exe
tempf.txt
usta32.ini
qsldo.dll
unstall.exe
slqdc.exe
wsem217.dll
wlxwezyyo.dll

３．最近作成されたファイル
野暮ったいやり方ですが、感染した日以降に作成されたファイルを調べ上げる方法があります。
「Ad-aware 6」で削除し、再起動したときに幾つかのファイルが生成されると思います。
名前はランダムに作成されると思いますが、誕生日はごまかせないと思います。

そのためのバッチファイルを作ってみました。

対象とするファイル：「DLL」「EXE」「INI」
対象とするフォルダ：「%SYSTEMRoot%」「%SYSTEMRoot%\system32」等
７つありますので、別々に作成して実行してください。
　
　:～～～～～～DirDLL.batはじめ～～～～～～～
　echo 「DLL」ファイル一覧日付順 %SYSTEMRoot% > c:\DirDLL.txt
　echo\ >> c:\DirDLL.txt
　c:
　cd %SYSTEMRoot%
　dir *.dll /O-D >> c:\DirDLL.txt
　notepad c:\DirDLL.txt
　exit
　:～～～～～～DirDLL.bat終わり～～～～～～～
　:～～～～～～DirDLL2.batはじめ～～～～～～～
　echo 「DLL」ファイル一覧日付順 %SYSTEMRoot%\system32 > c:\DirDLL2.txt
　echo\ >> c:\DirDLL2.txt
　c:
　cd %SYSTEMRoot%\system32
　dir *.dll /O-D >> c:\DirDLL2.txt
　notepad c:\DirDLL2.txt
　exit
　:～～～～～～DirDLL2.bat終わり～～～～～～～
　:～～～～～～DirEXE1.batはじめ～～～～～～～
　echo 「EXE」ファイル一覧日付順 %SYSTEMRoot% > c:\DirEXE1.txt
　echo\ >> c:\DirEXE1.txt
　c:
　cd %SYSTEMRoot%
　dir *.exe /O-D >> c:\DirEXE1.txt
　notepad c:\DirEXE1.txt
　exit
　:～～～～～～DirEXE1.bat終わり～～～～～～～
　:～～～～～～DirEXE2.batはじめ～～～～～～～
　echo 「EXE」ファイル一覧日付順 %SYSTEMRoot%\system32 > c:\DirEXE2.txt
　echo\ >> c:\DirEXE2.txt
　c:
　cd %SYSTEMRoot%\system32
　dir *.exe /O-D >> c:\DirEXE2.txt
　notepad c:\DirEXE2.txt
　exit
　:～～～～～～DirEXE2.bat終わり～～～～～～～
　:～～～～～～DirINI0.batはじめ～～～～～～～
　echo 「INI」ファイル一覧・日付順 C:\ > c:\DirINI0.txt
　echo\ >> c:\DirINI0.txt
　c:
　cd\
　dir *.ini /O-D >> c:\DirINI0.txt
　notepad c:\DirINI0.txt
　exit
　:～～～～～～DirINI0.bat終わり～～～～～～～
　:～～～～～～DirINI1.batはじめ～～～～～～～
　echo 「INI」ファイル一覧・日付順 %SYSTEMRoot% > c:\DirINI1.txt
　echo\ >> c:\DirINI1.txt
　c:
　cd %SYSTEMRoot%
　dir *.ini /O-D >> c:\DirINI1.txt
　notepad c:\DirINI1.txt
　exit
　:～～～～～～DirINI1.bat終わり～～～～～～～
　:～～～～～～DirINI2.batはじめ～～～～～～～
　echo 「INI」ファイル一覧・日付順 %SYSTEMRoot%\system32 > c:\DirINI2.txt
　echo\ >> c:\DirINI2.txt
　c:
　cd %SYSTEMRoot%\system32
　dir *.ini /O-D >> c:\DirINI2.txt
　notepad c:\DirINI2.txt
　exit
　:～～～～～～DirINI2.bat終わり～～～～～～～

お役に立てばいいんですが。

この回答へのお礼

おかげさまで解決できました。
大変なアドバイスありがとうございました。

お礼日時：2004/06/25 09:10

No.1 回答者： heto2 回答日時： 2004/06/10 19:03

正確には「roimo」でなく「Roing」ではないかと思います。

「Ad-aware 6」が対応していると思います。
最新のデータにアップデートしてスキャンしてみてください。
駆除後、パソコンを再起動してもう一度スキャンしてみてください。

もし駄目なら「HijackThis」での作業になります。
下記の項目が表示されると思います。
O2 - BHO: (no name) - {09D3C18B-BA78-4DD6-B38B-7B8C4E978E3C} - C:\WINDOWS\soppfaifn.dll
O16 - DPF: {FF65677A-8977-48CA-916A-DFF81B037DF3} (WMService Class) - http://download.overpro.com/WildApp.cab

その行の左端のチェックボックスにチェックを入れ「Fix checked」をクリック。
パソコンを再起動してください。

この回答への補足

回答ありがとうございます。heto2さんがおっしゃるように、「Roing」です。
教えていただいたとうりに、「Adware」をアップデートして、スキャンし駆除後、再起動しもう一度スキャンしましたが、ダメでした。
「HijackThis」で項目を探しましたが、見つかりませんでした。（以前に一度「Hijack This」を使用した時にもしかしたら削除したかもしれません・・・）
もし何かまだ、削除できる可能性があれば、教えていただければと思います。ありがとうございました。

補足日時：2004/06/11 18:05