Ad-awareでなんかい消しても…

スパイウェアだと思われるものがPCに入ってしまいました。
Ad-awareでスキャンすると7個検出されてそれを削除
するのですが、何回やってもまた7個検出されます。
自分が思うに「Windows タスク マネージャ」で何かを
停止しなければ消えないんだと思います。
しかしどれを停止していいのかわかりません…

症状としてはIEの「インターネットオプション」の
ホームページの設定のＵＲＬが
http://lnvsnq.outhost.info/
というページになっています。
もちろんレジストリなどを消さないと何回設定し直しても
もとに戻る事は知っているのですが。。。
上にも書いたようにレジストリを消すときに何かを停止しないと
消せないので、解る方何を停止してから消せばいいのか
教えていただけますでしょうか。

ちなみにAd-awareで検出されるのはType:RegData
[HKEY_CURRENT_USER:Software\Microsoft\Internet Explorer\Main"Start Page"("http://lnvsnq.outhost.info/")]
[HKEY_CURRENT_USER:Software\Microsoft\Internet Explorer\Main"Default_Page_URL"("http://lnvsnq.outhost.info/")]
[HKEY_CURRENT_USER:Software\Microsoft\Internet Explorer\Search"SearchAssistant"("http://lnvsnq.outhost.info/sp.php/")]
[HKEY_CURRENT_USER:Software\Microsoft\Internet Explorer\Search"CustomizeSearch"("http://lnvsnq.outhost.info/sp.php/")]
[HKEY_LOCAL_MACHINE:Software\Microsoft\Internet Explorer\Main"Start Page"("http://lnvsnq.outhost.info/")]
[HKEY_LOCAL_MACHINE:Software\Microsoft\Internet Explorer\Main"Default_Page_URL"("http://lnvsnq.outhost.info/")]
[HKEY_LOCAL_MACHINE:Software\Microsoft\Internet Explorer\Search"CustomizeSearch"("http://lnvsnq.outhost.info/sp.php/")]

です。お願いいたします。

No.1 回答者： zoro2 回答日時： 2004/08/26 15:03

１．「タスク マネージャ」の「プロセス」で「wmplayer」が起動されていないか調べてください。

２．Windows Media Player が使えるか調べてください。

No.2 回答者： zoro2 回答日時： 2004/08/26 19:10

下記ウィルスに該当すると思います。

BKDR_HACDEF.E
http://www.trendmicro.co.jp/vinfo/virusencyclo/d …

実際にはこのウィルスには幾つかのバリエーションがあるので、このページに書かれていいるより複雑で、かなり面倒な作業になりそうです。

「HijackThis」を使ってください。
　下記でダウンロードし、適当なフォルダに保存してください。
　http://www.download.com/3000-8022-10227353.html

１．起動直後は殆ど白紙の状態です。
２．「HijackThis」以外のウィンドウを全て閉じます。
３．左下の「Scan」をクリック
４．スタートアップ設定の一覧が表示され、「Scan」ボタンが「SaveLog」に変わります。
５．「SaveLog」をクリックするとメモ帳が開きます。
６．「HijackThis」の画面で下記項目があれば補足してください。

「R0 - 」で始まる行
「R1 - 」で始まる行
「R3 - 」で始まる行
「O2 - 」で始まる行
「O4 - 」で始まる行であって「wupdater.exe」を含む行
「O4 - 」で始まる行であって「svhost.exe」を含む行
「O16 - 」で始まる行であって「ｈttp://213.159.」を含む行
「O19 - User stylesheet: 」で始まる行

この回答への補足

ありがとうございます。
さっそくDLして実行してみました。

結果としては、
「O2 - 」で始まる行がありました。他には
「O4 - 」で始まる行も「O16 - 」で始まる行も
あったのですがいずれも.exeや「http://213.159.」
などは含んでいませんでした。

しかしタスクマネージャのプロセスを開いてみると
svhost.exeがいくつかありました。
しかし4つほどあったうち2つはSYSTEM、のこりは
LOCAL SERVICE、NETOWORK SERVICE　というユーザー名
でした。他にも何かと沢山起動されています。
もちろん起動していても問題ないものもあるとおもいますが、
心配なので他にも起動していておかしいものがあったら
教えていただけますでしょうか。
一度に複数の質問をしてしまい申し訳ありません、
ちなみに、wmplayerは起動されていませんでした。
それと、Windows Media Playerは普通に使えます。

補足日時：2004/08/26 21:46

No.3 回答者： zoro2 回答日時： 2004/08/27 10:01

「O2」（BHO－BrowserHelperObject）を使うタイプだと思います。

「HijackThis」でスキャンして「SaveLog」をクリックして適当な名前で、適当な場所に保存してください。
保存したファイルをメモ帳で開き下記の行をコピーして補足欄等に貼り付けてください。

１．「O2」を含む行
２．O4 - HKLM\..\Run: [updater] C:\Program Files\Common files\updater\wupdater.exe
３．O4 - HKLM\..\Run: [Network Service] C:\WINDOWS\svhost.exe -sr -1
４．O4 - HKCU\..\Run: [Network Service] C:\WINDOWS\svhost.exe -sr -1