ウィルス？不正プログラムですか？勝手に起動・・・

インターネットに接続する（ブラウザを立ち上げる）と勝手にコマンドプロンプトが立ち上がり、何か自動でプログラムが走っているようです。
事象としましては、以下の3つが発生します。
・コマンドプロンプトが立ち上がる
・ブラウザが立ち上がる

ブラウザのアクティブXの設定のためか、ページは表示されないのですが、「コンティニューならYesをクリック」とエラー表示が出ます。

またCドライブの直下に、
・コマンドプロンプトのアイコン
・IEのアイコン（HTMLファイル？）
・何かプログラムのようなアイコン2つ
・レジストリエディタのアイコン
が作成されてます。削除してもすぐにできます・・・。

かなりポコポコ立ち上がってくるのでかなり困っています。
あまりPCに詳しくないのですが、レジストリを変更されてしまったのでしょうか？
ウィルスチェック（SourceNextのウィルスセキュリティ）を実行しても発見はされません。

よろしくお願いします。

No.3 ベストアンサー 回答者： nobuchi 回答日時： 2004/11/15 14:10

なるほど、ダメでしたか・・。

『WinRAR self-extracting archive』
は「WinRARという圧縮方式の、自己解凍アーカイブ」という意味になります。
つまりはそれらを「勝手にダウンロード」するためのコマンドですね。先の「windupdates.com」を含め、やはりアクセス先は一箇所じゃなく、ランダムに探してる感がありますね、まったくやっかいな奴です。

こいつにしても、オンラインスキャンで出た『REG_LOWZONES.A』にしても、対処療法で削除した所でほとんど意味ありません。これを行ってる「親玉」を見つけないと根本的解決ではないですから・・、それが見つからないと何ともお手上げです。
ーーーー

さて、最後の手段「リカバリー」はOSだけでなく、HDDを含めたPCそのものの「初期化」を指します。
つまり、購入した時の状態に戻す、っと言えば分かりやすいでしょうか。
部分的にデータをエクスポート（出力保存）する事も可能ですが、それは後に言及しましょう。
その方法については、メーカーや型番で異なりますので詳細は提示できませんが、おそらくは取説やPC内のメーカーヘルプを「リカバリー」で検索すれば項目が出てくると思います。
参考までにこちらの記事をご覧下さい。
http://arena.nikkeibp.co.jp/qa/os/20040507/108533/

具体的な方法としては。
最も簡単なのはメーカー修理（もしかしてウィルス除去も可能かも）でリカバリーを依頼する事ですが・・。
自分で行う場合、上記サイトの説明であるように「リカバリーCD-ROM」があるもの、「HDD方式」で専用コマンドが用意されてるもの、それぞれの説明に従ってください。
例えば、富士通の製品はHDD方式で独自の「FMVかんたんバックアップ＆リカバリーウィザード」などが用意されていたりします。詳しくはメーカーのサポートに確認した方が確実でしょう。

で、データのエクスポートですが。
これもメーカーによって専用機能があったりしますので確認して欲しいのですが・・。
HDDを初期化するというのは、すべてデリートされるという意味ですよね。
ですが、ウィルスとは関係ないと思われる「個人設定」については、バックアップファイルやCD（DVD）メディアに保存しておき、リカバリー後にインポートする事も可能です。

具体的には、「マイドキュメント」「お気に入り」などのユーザーフォルダ＆ファイル。後はどうしても必要な個々のデータもバックアップしておきます。
上記のような製品自体の「ウィザード」があれば必要無いですが、手動ですとブラウザの「フォルダ」→「インポートとエクスポート」で「お気に入り」を出力できます。

ただし、「クッキー」は止めておいた方がいいでしょう。また、「ブラウザ設定」も・・止めておいた方がよさそうですね。なるべく、最小の情報だけ残すようにした方が安全です。
今まで入れた「ソフト」の類も、あらためてダウンロードするなどしましょう（何かのソフトにウィルスが寄生してる可能性も無きにしも非ずなので）。
ーーーー

余談ですが、リカバリー後には購入時の状態に戻りますから、まさに赤子状態でまっさらです。
ネットに接続する前にファイアーウォールや、対策ソフトを先にインストールし設定＆スキャンしてから繋いで下さい。

では、健闘を祈ります。
うまくいくといいですね。

この回答へのお礼

ありがとうございます！もうすこ～しだけ頑張ってみて
リカバリーを実施します。意外に頑固者で（笑）

また何かありましたら、よろしくお願いいたします。今回はありがとうございました！！

お礼日時：2004/11/16 00:17

No.2 回答者： nobuchi 回答日時： 2004/11/14 23:51

くはあ、やっかいなのに入られちゃいましたね。

「windupdates.com」にアクセスして、何らかのプログラムをダウンロードしようとしてるのですが・・。
ーーーー

さて、『システムの復元』ですが
「OSの再インストール」ではありません。
ウィンドウズMe以降に追加された、システムの設定を過去の復元ポイントに戻す機能です。
なので、Windows2000では付いてないのですよね？
ううむ　残念です・・。
ゲームで言うところの、「セーブポイントからやり直し」にあたる機能なので、感染前の時間に戻せれば・・、という可能性があったのです。
ーーーー

「トロイ型ウィルス」の中では、「windupdates.com」をはじめ、複数のサイトにつなげようとするものがあります。
ですから、今回のサイト名、ファイル名からでは特定は不可能のようです。

その後、スキャンで何か引っかかればいいのですが・・。

かなり性悪なウィルスなので、スキャンに引っかからないという事は変種・亜種の疑いも出てきて、まだ日本のデータベースに無いタイプも疑われます。
・・・探索する手段が無い訳ではないですが、これ以上の作業はレジストリ操作など、高度な知識が要求されます。
ですので、「システムの復元」が使えず・・では、最後の手段「PCのリカバリー（初期化）」を考えていただいた方がいいかも知れません。
お力になれず、申し訳ないです。
ーーーー

ちなみに、過去記事に「windupdates.com」が絡むと思われる事例を紹介しておきます。
http://bicniws.okweb.jp/kotaeru.php3?q=994492
http://oshiete1.goo.ne.jp/kotaeru.php3?q=960578& …

この回答へのお礼

またまたありがとうございます！
お聞きしたAd-AWAREを試すとたくさん削除すべき
ファイルが表示され、実施しましたが肝心のヤツは消えて
くさません！

インターネット接続中・IE起動中
エラーメッセージのようなものが出た後
WinRAR self-extracting archiveというプログラムのウィンドウが
立ち上がり、その中には以下の内容が入ってます。

Extracting YEA.REG
Cannot create YEA.REG
Extracting x.html
Extracting x.bat

close　cansel　を選べるのですが、どちらを選んでも
コマンドプロンプトが実行されます・・・。

確かに日本のDBにないのか、ウィルスセキュリティ
では見つけてくれないようです。

ただ、トレンドマイクロのウィルスバスターの
オンラインスキャンでは
１つ「REG_LOWZONES.A」という名前が発見されました。
詳細（http://www.trendmicro.co.jp/vinfo/virusencyclo/d …）を見てみると、手動で駆除とあります。

ファイル検索で見つかれば、消そうと思っていたのですが、
そんなファイル自体、また収納されているフォルダ自体
エクスプローラーの検索で出ません・・・。

いろいろと素早いレスポンスでありがとうございます。
今もそのプロンプトが立ち上がり、邪魔をします・・・。

最後に一つ教えてください。
最終手段の初期化＝OSの再インストールと考えて良いですか？

お礼日時：2004/11/15 01:26

No.1 回答者： nobuchi 回答日時： 2004/11/14 04:20

なるほど、怪しいのは間違いないですね。

まずは、回答者の皆さんが欲しい情報として、
『PC環境、OSとブラウザ。』
『ウィルスセキュリティのバージョン』
『そのブラウザに表示されようとするURL（http://は消してね）』
『差し支えなければ、その謎の生成フォルダ＆ファイル名』
を補足下さい。
ーーーー

さて、最初に『システムの復元』が可能であれば試して下さい。
ただし、自己責任の上、よーく考えて実行を判断しましょう。
何か異常が起きても責任は持てませんので・・・。
（復元の方法等はOS・バージョンが不明なので割愛します。）
復元ができない（やりたくない）なら次へ↓
ーーーー

その現象を起こす「正体」の特定が急務です。
似たウィルス（スパイウェア）は多いですが、適当な判断での手動削除は避けなければいけません。当然ながらレジストリ改変を伴っていますので、安易にいじるのはお勧めできません。

「正体」の特定、あるいは対策ソフトによる駆除ができたら・・、その後に「手動でのゴミ掃除」や「スタートアップ項目の整理」をしましょう。
ーー

では、以下のスキャン＆駆除を試して下さい。

『セーフモードで、ウィルスセキュリティによるスキャン』を試して下さい。
「セーフモード」の起動の仕方は取説を見て下さい。
（OSが不明なので、やり方の詳細は保留）

『ウィルスバスターのオンラインスキャン』
http://www.trendmicro.co.jp/hcall/index.asp

『Ad-Aware、によるスキャン』
http://www.higaitaisaku.com/adaware.html
（Spybotはウィルスセキュリティ2004と相性が悪く、不具合があるようですので除外します。）
上記サイトを参考に、Ad-Awareを導入して下さい。
これも、「通常モード」「セーフモード」の両方でスキャンしましょう。
ーーーー

また、上記で何も現れなかった場合。
次にこちらの「除去ウィザード」を試します。
参考に、目を通してみて下さい。
http://www.higaitaisaku.com/removewz01.html
ーーーー

以上で何か進展があれば、その旨をご報告下さい。
また、上記のスキャンで何かが特定されたら、それらは駆除してかまいません。
「システムの復元」「セーフモード」について説明が必要ならば、最初に示した補足項目を併せてお知らせ下さい。
では、健闘を祈ります。

この回答へのお礼

ありがとうございます。
スパイウェアっていうんですかね？
OSはWindows2000です。
ウィルスセキュリティのバージョンは「7.5.7126」となっています。

xという名前のコマンドプロンプトと見たことないプログラムアイコン（箱から本が出てるような絵です）2つは「st8z4z」と「s69tz4z」という名です。
また、つながろうとしているURLのHTTPファイルをテキストに変えてみると以下の様です。
<html>
<body>
<title> [ Y e A j U k Z ] </title>

<!-- AUTO PROMPT START -->
<script language="javascript" type="text/javascript" src="http://public.windupdates.com/prompt.php?h=***** …
<script language="javascript" type="text/javascript">self.focus();</script>
<!-- AUTO PROMPT END -->

</body>
</html>


お聞きしたもろもろを早速試してみます！
最終的に無理であれば頑張ってシステムの復元を試してみます。
これは、OSの再インストールということですよね？

お礼日時：2004/11/14 22:14