Admilli Serviceというスパイウェア

Admilli Serviceというスパイウェアに感染したようで困ってます（＞＜）

セーフモードでAD-Aware seとspybotで駆除しても何度もspybotで検知されます・・・

なんとか駆除できないものでしょうか？

ＰＣは詳しくありません。

お手数おかけしますがアドバイスお願いいたします。

No.22 回答者： noname#10679 回答日時： 2005/04/07 22:29

>HKEY_LOCAL_MACHINE

　＋Software
　　＋Microsoft
>Code Store Database
>といとこが表示されて、ＣＯＤＥＢＡＳＥというの
>が画面右側に表示されます。
>これを削除でしょうかね？

今見ている上記のレジストリーの場所は違います
削除は禁止です

No.21 回答者： noname#10679 回答日時： 2005/04/07 22:26

>削除してセーフモードでAD-Aware seとspybotをした

>際は検知されませんでしたが、再起動して調べたら
>検知されて、また同じｓｙｓｔｅｍ３２という
>ファイルに現れます。。。

ide21201.vxd が有ったり、無かったりで混乱ですね
検査で見つかったide21201.vxd を削除したかな?
パソコン内を検索(S)では時間がかかる事と
間違って違うファイルをゴミ箱に入れる場合も
ありますりで、直接探す方法て削除してみましょう
次の書き込みで手順を再度説明します

>ウイルスセキュリティの警告文が出ます。
>それまではなかった現象です。
ソースネクスト社のウイルスセキュリティは
最新の2005年度版ですか?
検査をする為のアップデートはしてますか?
ウイルスセキュリティの全体検査ではウイルスを
検知できないのでしょうか?

☆TROJ_AGENT.BFについて
前にトレンドマイクロ社のオンライン検査をして
何も検知されなかったと言っていますが
その時の検査方法の手順に間違いは無かったですか?
オンライン検査でパソコンを検査すると30分以上は
かかります。
他社のオンライン検査をしてウイルス確認をする
方法もあります

◆シーマンテック社
http://security.symantec.com/ssc/home.asp?j=1&la …
◆マカフィー社
http://jp.mcafee.com/root/mfs/default.asp?cid=9992

時間があるときにオンライン検査をして
ウイルス感染状況を調べてください

この回答への補足

何度もすいません。ありがとうございます。

＞検査で見つかったide21201.vxd を削除したかな?
はい、ｓｐｙ－ｂｏｔからの展開で削除しましたが電源を切って再度立ち上げて検査すると出ます。。。

＞最新の2005年度版ですか?
＞検査をする為のアップデートはしてますか?
はい２００５年度版でＵＰデートは自動でなりますのと自分でもしょっちゅうしてます。

＞その時の検査方法の手順に間違いは無かったですか?
＞オンライン検査でパソコンを検査すると30分以上は
かかります。
はい手順は間違いなかったと思います。
時間は計ってませんが３０分よりかかったはずです。

＞今見ている上記のレジストリーの場所は違います
削除は禁止です
分かりました。
ありがとうございます☆

補足日時：2005/04/07 22:35

No.20 回答者： noname#10679 回答日時： 2005/04/07 21:07

ide21201.vxd をゴミ箱にポイした後に

ANo.#19で書き込んだ内容
☆TROJ_AGENT.BFのHP説明を元に以下の
レジストリを探して修正します

☆レジストリエディタ（regedit）の使い方
参考URLです。使用方法を理解して下さい
http://www.higaitaisaku.com/regedit.html

◆探す場所です　(その一)
HKEY_LOCAL_MACHINE
　＋Software
　　＋Microsoft
　　　＋Windows
　　　　＋CurrentVersion
　　　　　＋Run←ここの中にある
以下の内容を探して削除です
★WindUpdates = " < malware_path_and_filename > "

◆探す場所です　(その二)
HKEY_LOCAL_MACHINE
　＋Software
　　＋Microsoft
　　　＋Windows
　　　　＋CurrentVersion
　　　　　＋Uninstall
　　　　　　＋Wind Updates←これだけを削除

◆アプリケーションの追加と削除
スタートからコントロールパネルの
「アプリケーションの追加と削除」の内容を確認して
削除するアプリケーションの名称(例)
★Wind Updates
★Admilli Service
★自分でインストールしたアプリケーション名が
解かればそれを削除

通常モードでパソコンを再起動して、
パソコンに異常が何も無くて
AD-Aware seとspybotで検査してAdmilli Serviceが
検出されなければ終了です

【その他】
ANo.#17で書き込んだ内容でシステムの復元について
参考URLです
http://www.higaitaisaku.com/removewz05.html
http://www.higaitaisaku.com/fukugen.html

システムの復元の方法の説明を読んで理解して下さい
後で必要になった場合に使用しますが
現在はシステムの復元はしません。

この回答への補足

ありがとうございます。
>
◆探す場所です　(その一)
HKEY_LOCAL_MACHINE
　＋Software
　　＋Microsoft
　　　＋Windows
　　　　＋CurrentVersion
　　　　　＋Run←ここの中にある
以下の内容を探して削除です
★WindUpdates = " < malware_path_and_filename > "

Runまで行けたんですが画面右側に「WindUpdates = " < malware_path_and_filename > "」がみつかりません。。。

補足日時：2005/04/07 21:40

この回答へのお礼

補足は１度しか使えないのでお礼のほうで失礼します。

＞以下の内容を探して削除です
＞★WindUpdates = " < malware_path_and_filename > "
レジストリの検索で「WindUpdates」だけは
HKEY_LOCAL_MACHINE
　＋Software
　　＋Microsoft
Code Store Database
といとこが表示されて、ＣＯＤＥＢＡＳＥというのが画面右側に表示されます。
これを削除でしょうかね？
「malware_path_and_filename 」では何もでてきません。
また◆探す場所です　(その二)の「Wind Updates」でも何もでてきません。

＞◆アプリケーションの追加と削除
こちらに★Wind Updates★Admilli Serviceはみつかりませんでした。
★自分でインストールしたアプリケーション名
解らないんですぅ。。。

お手数おかけしますが、宜しくお願いします。

お礼日時：2005/04/07 22:18

No.19 回答者： noname#10679 回答日時： 2005/04/07 20:27

>昨夜「ide21201．vxd」で検索・・・２時間ほど・・

>ＰＣは動作・・見ますとみつからない・・?
パソコン内をスタートから検索(S)で調べても
普通は2時間もかかりませんけど??
長くて5分から10分くらいのハズですけど??
長時間の検索になっていしまったのか?は
こちらではわかりません、できれば
検索する場合はネットの接続はしないで下さい
(こちらのパソコンではネット接続中の検索しても
今まで2時間もかかった事はありませんけど?)
パソコン単体動作で確認して下さい

>「ide21201.vxd 仮想デバイスドライバ５ＫＢ」というのが表示
そうです、それを削除です、
ただし、ゴミ箱にポイしても、
まだ完全消去はしないでください
パソコンに異常が発生しないか確認して下さい

参考の類似と思われるウイルス情報です
☆TROJ_AGENT.BF
http://www.trendmicro.co.jp/vinfo/virusencyclo/d …

次の書き込みでide21201.vxd について
調べた情報を載せます

参考URL：http://www.trendmicro.co.jp/vinfo/virusencyclo/d …

この回答への補足

こんばんわ。
何度もすいません。
ほんとにありがとうございます。

>「ide21201.vxd 仮想デバイスドライバ５ＫＢ」とい＞うのが表示
＞そうです、それを削除です、
＞ただし、ゴミ箱にポイしても、
＞まだ完全消去はしないでください
＞パソコンに異常が発生しないか確認して下さい
削除してセーフモードでAD-Aware seとspybotをした際は検知されませんでしたが、再起動して調べたら検知されて、また同じｓｙｓｔｅｍ３２というファイルに現れます。。。

＞参考の類似と思われるウイルス情報です
＞☆TROJ_AGENT.BF
こちら拝見しました。
素人ながら思いますにｉｄｅ２１２０１．ｖｘｄに感染する際ウイルスセキュリティが「ウイルスを発見しました」と警告文が出てた時かな？と思いました。
リンク先をクリックした際にそうなりました。
それ以後スパイウェアとして発見されます。
bastard2さんが当初よりおっしゃられてたウイルスのような気がします。
また、ネット接続中にその際感染しようとしたウイルスのような気がするんですが、勝手にＰＣへアクセスしようとしてきます。（ウイルスセキュリティの警告文が出ます。それまではなかった現象です。）

＞普通は2時間もかかりませんけど??
昨夜は２時間ほどかかりました。
きょう帰宅してからの検索は２０分くらいでした。
帰宅後もみつかりません。。。

現在このような感じです。
お手数おかけしますが、よろしければアドバイスお願いします。

補足日時：2005/04/07 21:12

No.18 回答者： noname#10679 回答日時： 2005/04/07 00:40

【重要事項】

◆6.オブジェクトの表示で調べる内容
C:\WINDOWS\Downloaded Program Files
の内にある不明な各ファイルを調べる
(現時点では、どのファイルなのか?は名称不明)
全ファイルのプロパティー内容を確認して下さい
以下の内容です
全般タブ
ID {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}
コードベース ?ttp://static.windupdates.com・・省略
上記で説明した事で補足します

>業者　Windupdates(アドウエアを撒き散らしている)
これが判明したのでコードベース内に同じ名前のある
そのファイルが関係しています
その内容を紙メモしておいてください

見つけたID番号も上記の説明と違うかもしれませんが
後で必要になるかもしれないので紙メモです
正確に記録してください、削除前に
出来れば見つけた場合ID、コードベース内容
そのファイル名称を補足へ書き込みして下さい

以上です

この回答への補足

こんにちわ、お世話になっております。

検索方法から削除しようと思いまして昨夜「ｉｄｅ２１２０１．ｖｘｄ」で検索しましたら２時間ほどかかったでしょうか、いくつものファイルというんでしょうか？出てきました。
そして「続きは明日しよう」と電源を切り寝ました。
朝仕事に出る前に「留守中に検索しておこう」とＰＣは動作さして帰って見ますとみつからないんです。。
昨夜と同じようにやったはずなんですが。。。
再度いまも検索してます。

またｓｐｙ－ｂｏｔで検知さしておいて
「Ａｄｍｉｌｌｉ　Ｓｅｒｖｉｃｅ」と出てる部分をクリックしまして
データー「Ｃ\WINDOWS\ｓｙｓｔｅｍ３２\ｉｄｅ２１２０１．ｖｘｄ」の部分を　右クリック→更なる詳細→ロケーションへ移動Ｊ　と展開していきますと
ｓｙｓｔｅｍ３２というファイルが出てきて、その中に
「ｉｄｅ２１２０１．ｖｘｄ　仮想デバイスドライバ５ＫＢ」というのが表示されます。
これを削除すればよろしいでしょうか？

ほんとに何度もすいません。
ありがとうございます。

補足日時：2005/04/07 17:19

No.17 回答者： noname#10679 回答日時： 2005/04/07 00:16

他の方が書き込みされていますが、気にしないで

パソコンの状態を調べてわかった内容を
補足してください
現状でもパソコンがある程度動作しているようなので
感染ファイルを削除して、レジストリを修正すれば
症状は直ると思います
質問者があきらめない限りの条件付きで
こちらが、わかる範囲でバックアップします
けど・・・
手に負えない場合は逃げますのでアシカラズ(笑
>教官！
単なる暇人です。このアドウエアが気になるだけ

◆HijackThisの使用について
見つかったファイル以外に関係している
ファイルを見つけるのに使用します
☆説明の参考URLです
http://www.higaitaisaku.com/hijackthis.html

HPの説明を読んでツールを用意してください

◆AD-Aware seの使用について
☆説明の参考URLです
http://www.higaitaisaku.com/adaware.html
使用方法のわからない時は参考にして下さい

◆ある程度、アドウエアの感染症状が無くなった場合
システムの復元方法もあります

今日はこの辺で、また明日確認します。

参考URL：http://www.higaitaisaku.com/hijackthis.html

この回答への補足

お礼、補足は時間が出ないんですね(^^ゞ

いろいろやってみましたが、きょうはお手上げになっちゃって＞＜

明日、帰宅してからチャレンジさせてくださいませ。

貴重なお時間を頂きまして感謝です☆

補足日時：2005/04/07 02:51

No.16 回答者： noname#10679 回答日時： 2005/04/06 23:34

やっと、やっと、やっと 長が～ぃ　(笑

検査の詳細情報でアドウエアの正体が解かりましたね

C：\WINDOWS\system32\ide21201.vxd

AD-Aware seとspybotの検査内容が同じなので
アドウエア感染ファイル名称 ide21201.vxd ですね

◆タスクマネジャーでプロセスタブの内容を確認
☆AdmilliServ.exe←ファイル名称
☆AdmilliKeep.exe←ファイル名称
☆ide21201.vxdに似た名称で
(例)ide21201.exeなど
これらの名称はありませんか?調べてください
及び
パソコン内を検索(S)で調べてください
さらに
ANo.#13で説明している、オブジェクトの表示にある
全ファイルのプロパティーを再度確認して
ide21201.vxdに関係している、そのファイル名を
探してください
見つからない場合は
HijackThisで起動解析して他に関係している
感染ファイルを探します、説明は後でします

◆ide21201.vxd の削除方法
1.パソコンをセーフモードで起動して下さい
2.感染ファイルの場所は
C：\WINDOWS\system32←ここのフォルダーの中です
直接探してゴミ箱へポイして削除して下さい

◆検索方法から削除するには
パソコンをセーフモードで起動して下さい
1.スタートから検索(S)をクリックして
2.ide21201.vxd を入力して検索開始
3.検索終了にて表示されたide21201.vxd を
マウスで右クリックして削除です

☆注記☆
感染ファイルide21201.vxd がsystem32フォルダ内に
あるので、削除できませんなどの表示がでるかも
しれません、その場合は
他の方法を書き込みますので補足してください

この回答へのお礼

いま「更新」をしてＮｏ１６が書かれてるの知りました(^^ゞ
いろいろあくせくしてる最中でした（＾＾；

＞◆検索方法から削除するには
＞パソコンをセーフモードで起動して下さい
＞1.スタートから検索(S)をクリックして
＞2.ide21201.vxd を入力して検索開始
＞3.検索終了にて表示されたide21201.vxd を
＞マウスで右クリックして削除です

教官！こちら挑戦してみます(^_-)

お礼日時：2005/04/06 23:44

No.15 回答者： noname#40123 回答日時： 2005/04/06 22:51

はっきりと言えば、今の状態では絶対に駆除は出来ません。

☆セーフモードでウイルスセキュリティーを動作しましてもウイルスは検知されませんでした。
☆オンラインでのウイルスバスターでも検知はされませんでした。

要するに、ウィルスではないのに、ウィルス検索しても無意味です。
相手は「スパイウェア」です。
ついでに言えば、ウィルスセキュリティでは検出できなかったので、別のウィルス対策ソフトを使うべきでしょう。

＞私のウイルスセキュリティーはダウンロード版ですのでアンインストールしてしまうと使えなくなってしまいませんかね？

そのような場合には、購入時にダウンロードして保管のために別のCD-Rに保存しておく方がよいですけれど。

それでは、「ダウンロード版のシリアルナンバー」やパスワード等を、別途記録しておいてください。
そして、「ウィルスセキュリティ」を削除してください。

そして、ウィルスバスターをインストールして、アップデートしてください。
そして、スパイウェア検知を起動して検索してください。

それでスパイウェアが検知されれば、それを削除してください。

そして、その処置が終了してから、ウィルスバスターをアンインストールして、
ウィルスセキュリティの体験版をインストールしてください。

それに、シリアルナンバーやバスワードを入れることで、製品版に移行できるそうです。
その内容は以下のアドレスに書いています。

ソースネクスト
製品をご購入いただいた場合の継続方法
http://sec.sourcenext.info/keizoku/02.html

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
よくあるお問合わせ

Q. 体験版はどうすれば製品版に継続できるか？

A. 製品版と同様の手続きを行なうことで、アンインストールすることなくそのまま製品版としてご利用いただけます。お手続きの方法は、左記をご覧ください。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

厳しいことを書き込みますが、
パソコンのすべてのファイルを表示しないで、スパイウェアやウィルスは駆除できません。

また、すべてのトラブルは「ウィルス」とは限りません。
ですから、「スパイウェア」を検索する必要があるのですが、起動して接続する度に検出されるのであれば
ネットに接続する事で、ウィルス等が入る命令を入れられていることを考えて、レジストリを改修するか、
リカバリをしてクリーンアップインストールすると言うことも考えてください。

この回答へのお礼

こんばんわ！
（作業がやっと終わりましたもんでお返事が遅くなりました。すいません。）

アドバイスありがとうございます☆

経過を申し上げますと
☆ide21201.vxdを検索しますと存在しました。
ですが私の知識で削除しましても、再度検知されてしまいまして。。。

よろしければ、またアドバイスお願いします☆

何度もＰＣが未熟な私にアドバイスくださり感謝です！
＞厳しいことを書き込みますが、とのご発言
本質をおっしゃってくださり、ありがたいです。

最終的にどうにもならないんであれば、リカバリをしてクリーンアップインストールとのアドバイスを実行せざるをえないですか。。。

それも１つの手段と覚えさせていただきます。

ほんとに、ありがとうございます。

お礼日時：2005/04/07 02:09

No.14 回答者： noname#10679 回答日時： 2005/04/06 21:52

>そして、電源を切る前にもう１度spybotをした際は検知されません。

>ですが再度電源を入れてネットへつなぎますと検知されます。

◆再度タスクマネジャーを確認して見ましょう
画面下に青のタスクバーが表示されていますね
そこにマウスポインター(白の矢印)を合わせて
マウスの右ボタンをクリック
選択メニューが表示されますので、その中にある
タスクマネジャーをクリック
プロセスタブをクリックして確認する

☆確認方法の条件
1.最初にパソコンの電源を入れた時で
ネット接続はしていない状態のプロセスに
表示されているイメージ名の内容を確認する

2.ネット接続をした状態のプロセスに表示されて
いるイメージ名の内容を確認する

3.(1.と2.)の状態で違っているイメージ名を調べる

>AdmilliServ.exe←ファイル名称
>AdmilliKeep.exe←ファイル名称
これらの名称はありませんか?

◆Spybotで検知される内容について
スキャン終了後" Admilli Service "が検知されるのは
間違いないですね
その時に確認する場所について
☆☆各項目の「＋」をクリックすると詳細が表示されます☆☆
その内容が重要です、再検査して補足して下さい
☆説明の参考URLです
http://www.higaitaisaku.com/spybot2.html

参考URL：http://www.higaitaisaku.com/spybot2.html

No.13 回答者： noname#10679 回答日時： 2005/04/06 21:29

◆6.オブジェクトの表示で調べる内容

ANo.#5で説明している内容で次の事です

☆Win-Xpの場合
C:\WINDOWS\Downloaded Program Files
の内にある不明な各ファイルを調べる
(現時点では、どのファイルなのか?は名称不明)
全ファイルのプロパティー内容を確認して下さい
以下の内容です
全般タブ
ID {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}
コードベース ?ttp://static.windupdates.com・・省略
があれば削除する

>依存関係のとこを見ましても
>Admilli Service←フォルダー名称
>AdmilliServ.exe←ファイル名称
>AdmilliKeep.exe←ファイル名称
>AdmilliServX.dll←ファイル名称
>これらの文字はみつかりませんで。。。

これを調べる方法はスタートから検索(S)となります

この回答へのお礼

こんばんわ、ほんとに何度もありがとうございます。

あれから新たに解った事を書かせて頂きます。

☆電源を切り再度ＰＣをつけますと、ブラウザを開かずメールソフトを開かなくともAD-Aware seとspybotに検知されます。
接続はＣＡＴＶです。
ＣＡＴＶのモデムというんでしょうか？それの電源を切ってＰＣの電源を入れるのは、まだ試してません。

☆＞インターネットオプション小画面で
＞プライバシータブ内にある
＞設定スライドバーを中－高に設定
＞しかしcookieの設定を余り高くし過ぎると
＞Web画面の表示、書き込みなどが
＞出来なくなりますのでほどほどに設定してください
＞ポップアップブロックにチェックを入れてください
＞ウザイポップ画面が出なくなります
＞でもポップ表示する、しないの警告はでます

ご指導ありがとうございます。
こちらを試しましたが、やはり検知されました。

☆AD-Aware seでは
業者　　　　　　　　　　ＷｉｎｄＵｐｄａｔｅｓ
カテゴリ　　　　　　　　Ｍａｌｗａｒｅ
オブジェクトタイプ　　　Ｆｉｌｅ
サイズ　　　　　　　　　４７２０Ｂｙｔｅｓ
ロケーション　　　　　　Ｃ（スラッシュの逆　打て　　　　　　　　　　　　ないんです（＾＾；）
　　　　　　　　　　　　WINDOWS（スラッシュ逆）
　　　　　　　　　　　　ｓｙｓｔｅｍ３２（スラッ　　　　　　　　　　　　シュ逆）ｉｄｅ２１２０　　　　　　　　　　　　　１．ｖｘｄ
長く書きます（スラッシュ逆はスラッシュで打ちます(^^ゞ）
Ｃ／WINDOWS／ｓｙｓｔｅｍ３２／ｉｄｅ２１２０１．ｖｘｄ
と出ました。
ようやくAD-Aware seとspybotの表示のさせ方が少し解りました（＾＾；

☆spybotでは
ｃ：\WINDOWS\ｓｙｓｔｅｍ３２\ｉｄｅ２１２０１．ｖｘｄ
ファイル

と出ました。
どうやらAD-Aware seと同じもののようです。

何時間もかかって、この程度ですいません。

お礼日時：2005/04/06 22:48