Adware.Aurora

Adware.Auroraが検出されたので、以下のサイト

http://www.symantec.com/region/jp/avcenter/venc/ …

に従って駆除しようとしたのですが、手順１においてはアドウェア自体がコントロールパネルを開いても見つからず、また手順４において「c.検出されたサービスを探し出して、選択します。」とあり、どのサービスのことを言っているのかが分かりません。service.mscを実行してリストアップされたサービスはかなり量があると思うのですが、全て手順通りに処理しろと言うことなのでしょうか？

ちなみにリスクファイルは
C:\WINDOWS\system32\cqdvsa.exe
C:\WINDOWS\Nail.exe　です。よろしくお願いします。

No.13 ベストアンサー 回答者： doki2 回答日時： 2005/08/31 05:24

再起動するたびに名前が変わるんですから、ご自分で判断して作業していただくしかありません。

１．オンラインスキャンでファイル名を特定する
２．再起動せず「HijackThis」を起動する
３．「O4 - 」で始まる行の中で、そのファイル名を含む行を見つける
４．その行の左端にチェックを入れ「Fix checked」をクリック
５．再度オンラインスキャンを実行して結果を確認する

ところで、masa0708さんはウィルス対策ソフトを導入していないようですが、必ず導入するようにしてください。

参考:転ばぬ先の杖 － さらなる被害を受けないために
http://www.higaitaisaku.com/korobanu.html

この回答へのお礼

スキャンでも検出されなくなりました！ありがとうございました！！

ただウィルス対策ソフトの件なのですが、どうやらWindows installerがおかしいらしく、最近ダウンロード版で購入したNorton Antivirus 2005のインストールが出来ません。ほかにもiTunesの更新版ダウンロードなどもエラーになってしまいます。Windows installer 3.1を一度アンインストールをし、Windowsのページから再インストールしても問題は解決しません…。
しかしこの質問の枠で別な質問に答えていただくのも何ですので、この問題はまた別枠で立てたいと思います。
Adware.Auroraの件、本当にありがとうございました。

お礼日時：2005/09/01 03:06

No.12 回答者： doki2 回答日時： 2005/08/28 17:50

No.11と同じ作業をセーフモードで実行てみてください。

この回答への補足

セーフモードで実行した結果、findNail.batは

「hijackthis.logの調査」

「ファイルの調査」

となったのですが、symantecのオンラインスキャンを行うと

C:\WINDOWS\system32\rzfhmno.exe は　Adware.Aurora に感染しています。

といった表示が出てしまいます…。

補足日時：2005/08/31 00:49

No.11 回答者： doki2 回答日時： 2005/08/27 07:05

>O4 - HKLM\..\Run: [nzltqv] C:\WINDOWS\system32\vrcmzs.exe r

もうお気づきだと思いますが、このファイルはパソコンを再起動するたびに名前を変えて現れます。

「HijackThis」を通常モードで起動
「O4 -」で始まる行の中に行末に「 r」がつく行を見つけチェックを入れ「Fix checked」をクリックしてください。

以上で、Adware.Auroraは駆除できたと思います。

その他お気づきの点あれば書き込んでください。

この回答への補足

＞「HijackThis」を通常モードで起動
　 「O4 -」で始まる行の中に行末に「 r」がつく行を見つけチェックを入れ「Fix checked」をクリックしてください。

この作業を行った後ウィルススキャンをしてみると、また別の名でAdware.Auroraに感染したファイルが現れてしまいます…。
同様にHijackThisを起動し"r"のつく行にチェックを入れFix checkedを行った後、再度スキャンを実行すると、また違った名の感染ファイルが検出されてしまいます。もうこの名前を変えて現れるファイルを削除することは出来ないのでしょうか？

補足日時：2005/08/28 13:58

No.10 回答者： doki2 回答日時： 2005/08/26 08:56

追加作業

１．セーフモードで再起動
２．「Ctrl」 + 「Shift」 + 「Esc」 でタスクマネージャを起動
３．「プロセス」タブを開き「イメージ名」欄の「Explorer.exe」 を右クリック
４．「プロセスツリーの終了」をクリック
５． タスクマネージャの「アプリケーション」タブを開く
６．画面右下の「新しいタスク」ボタンをクリック
７．名前欄に「C:\HJT\HijackThis.exe」をコピーして貼り付けて「OK」
８．「HijackThis」の画面で「Do a system scan and save a logfile」をクリック
９．「HijackThis」の画面で下記の行にチェックを入れ「Fix checked」をクリック

　F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
　
１０．「C:\HJT\findNail.bat」をダブルクリックして実行
１１．パソコンを通常モードで再起動
１２．「C:\HJT\findNail.txt」の内容をレポートください。

この回答への補足

「hijackthis.logの調査」
O4 - HKLM\..\Run: [nzltqv] C:\WINDOWS\system32\vrcmzs.exe r

「ファイルの調査」

補足日時：2005/08/26 21:57

No.9 回答者： doki2 回答日時： 2005/08/25 12:01

☆「Nailfix.zip」のダウンロード

　
http://www.noidea.us/easyfile/

　「Nail/Aurora Spyware Fix」をクリックして「Nailfix.zip」をダウンロードし、解凍してできる「Nailfix.cmd」と「Process.exe」を「HJT」フォルダに保存。
　
　これらのツールで、Nail等のファイルを駆除するとともに、レジストリを修正します。
　
☆「HJT」フォルダのショートカットをデスクトップに。

　nailfix.cmdを実行するとエキスプローラが閉じられてしまうので「HJT」フォルダのショートカットをデスクトップに作っておくと便利です。
　
☆ファイルの確認

　今までの作業で「HJT」フォルダに下記のファイルが保存されていると思います。
　
　CleanUp!のショートカット
　findNail.bat
　findNail.txt
　HijackThis.exe
　hijackthis.log
　nailfix.cmd
　Process.exe
　
☆「Nailfix.cmd」の実行

　パソコンをセーフモードで再起動して「Nailfix.cmd」を実行。
　画面がちらつきエキスプローラの画面が消えますが異常ではありません。

　Windowsをセーフモードで起動する
http://service1.symantec.com/SUPPORT/INTER/tsgen …

☆結果の確認
　
　パソコンを通常モードで再起動します。
　「HijackThis.exe」を起動し「Do a system scan and save a logfile」をクリック。
　「findNail.bat」を実行してメモ帳に表示される内容を貼り付けてください。

この回答への補足

「hijackthis.logの調査」
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O4 - HKLM\..\Run: [uvfper] C:\WINDOWS\system32\nlkemo.exe r

「ファイルの調査」

-----------------------------------------------------------
以上の内容が表示されました。これは問題の「Nail.exe」が削除されたと判断していいんでしょうか？
また、この後作業すべき事はありますか？

補足日時：2005/08/26 05:24

No.8 回答者： doki2 回答日時： 2005/08/25 11:57

☆一時ファイル等の掃除

「CleanUp!」 というソフトを使って、一時ファイル、キャッシュファイル、Prefetchファイル等を削除して、無駄なスキャン操作をできるだけ少なくします。

また、最近のスパイウエアのなかにはテンポラリフォルダに潜むものがあるので、それらを駆除する効果もあります。

☆「CleanUp!」 のダウンロード/インストール

http://home.comcast.net/~sgould4567/software/cle …
　ページ中ほどの「CleanUp! 4.0 Downloads」から「Available from:」の欄で
「CleanUp40.zip」をクリックしてダウンロード。

　回線が混雑してダウンロードできない場合下記からダウンロードします。
http://www.norbiesworld.co.uk/Downloads/get=17.h …

　このページで「CleanUp40.zip」をクリック
　次のページで「Security Code」の右に表示される文字を「Type code」の右に入力して
　「Get download」をクリック。

　「CleanUp40.zip」を解凍すると「CleanUp40.exe」というインストーラーが現れます。
　クリックするとSOFTWARE LICENSE AGREEMENTの画面になります。
　「I agree with the above terms and conditions」にチェックを入れ「Next」をクリック。
　以下、画面の指示に従ってインストールします。

　最後の画面で下記項目のチェックをはずして「OK」
　View Readme File
　Run Installed Application
　
　"C:\Program Files\CleanUp!\Cleanup.exe"のショートカットを
　「HJT」フォルダに保存してください。

　「HJT」フォルダの「CleanUp!」をクリックしてプログラムを起動。
　画面右のメニューで「Option」を選択。
　「Empty Recycle Bins」のチェックをはずして「OK」。
　(これはゴミ箱に移動されたファイルを呼び戻す必要があるかもしれないからです。)
　
　「CleanUp!」の画面に戻りメニューの「CleanUp!」をクリック。
　IEが開かれていると警告が出ますので、IEの画面をすべて閉じて「OK」をクリック。
　
　グレイ表示になっているボタンが正常に戻ると削除作業終了です。
　
　また、このソフトは全ドライブを検索しますが、通常Cドライブ以外にテンポラリファイルが作られることはほとんどありません。
　画面一番下の表示が「Scanning D: drive for temporary files」になった場合、「Stop」ボタンを押して作業を終了してください。
　
　画面下のほうでパソコンを再起動するように表示されますが、ここは任意に。

No.7 回答者： doki2 回答日時： 2005/08/25 10:19

☆データのバックアップ

　危険な作業が入りますので、下記ページ参考に重要なデータのバックアップを取ってください。
　参考：何をバックアップすべきか？
　http://www.higaitaisaku.com/backup.html
　
☆復元ポイントの再設定

　[システムの復元] を一旦「無効」にした後、[システムの復元] を「有効」にしてください。
　
　システムの復元機能を有効/無効にする方法(XP)
http://service1.symantec.com/SUPPORT/INTER/tsgen …

No.6 回答者： doki2 回答日時： 2005/08/25 09:22

症状の確認

「findNail.bat」の作成

１．「HJT」フォルダを開きクリックして「新規作成」でテキストドキュメントを選択。

２．「新規テキスト ドキュメント.txt」を「findNail.bat」という名前で保存します。
　　この時点では「findNail.bat」は空白の状態です。

３．下記「はじめ」～「終わり」をコピーして「findNail.bat」に貼り付け上書き保存してください。

:～～～～～～～～～～「はじめ」～～～～～～～～～～
if exist C:\HJT\findNail.txt del C:\HJT\findNail.txt

echo 「hijackthis.logの調査」 > C:\HJT\findNail.txt

type hijackthis.log | find /i "Nail" >> C:\HJT\findNail.txt
type hijackthis.log | find /i "svcproc" >> C:\HJT\findNail.txt
type hijackthis.log | find /i ".exe r" >> C:\HJT\findNail.txt

echo. >> C:\HJT\findNail.txt

echo 「ファイルの調査」 >> C:\HJT\findNail.txt

c:
cd \Windows
dir /b Nail.exe >> C:\HJT\findNail.txt
dir /b svcproc.exe >> C:\HJT\findNail.txt
dir /b IDDJHJM.ini >> C:\HJT\findNail.txt
dir /b abiuninst.htm >> C:\HJT\findNail.txt

cd \Windows\System32
dir /b DrPMon.dll >> C:\HJT\findNail.txt

notepad C:\HJT\findNail.txt
:～～～～～～～～～～「終わり」～～～～～～～～～～

４．「findNail.bat」をダブルクリックして実行すると結果がメモ帳で表示されます。
５．結果を補足欄に貼り付けてください。

この回答への補足

「hijackthis.logの調査」
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O4 - HKLM\..\Run: [pjmeoj] C:\WINDOWS\system32\jrdmmj.exe r

「ファイルの調査」
Nail.exe

補足日時：2005/08/26 04:46

No.5 回答者： doki2 回答日時： 2005/08/25 09:17

>ご面倒でなければ教えていただきたいです。

よろしくお願いします。

こちらこそ、よろしくお願いします。

「HijackThis」の導入

　症状の診断や修復に使うものです。使い方等については下記参照ください。
　
　☆HijackThisによるレポート出力と手動でのスパイウェア除去
　http://www.higaitaisaku.com/hijackthis.html
　
　ただし、使い方がわからずに操作すると重大な支障が発生することがあります。
　十分な知識なしに指示されたこと以外の操作をしないように注意してください。

１．Cドライブのルートに「HJT」と言うフォルダを作っておきます。（C:\HJT)
　以下、このフォルダを「HJT」フォルダと呼ぶことにします。
　
２．下記サイトから「HijackThis」をダウンロードします。
http://www.download.com/HijackThis/3000-8022_4-1 …

３．ダウンロードされたファイル「hijackthis.zip」を解凍すると「HijackThis.exe」と言うファイルができます。

４．「HijackThis.exe」を「HJT」フォルダに保存します。
　　以降このフォルダにログファイルやバックアップが保存されるようになります。
　　
５．「HijackThis.exe」を起動し「Do a system scan and save a logfile」をクリック

６．「HijackThis」の画面が開かれシステムをスキャンした結果が一覧表示されます。

７．その後、メモ帳が開かれスキャン結果が表示されます。

８．「HJT」フォルダを開き「hijackthis.log」が保存されているのを確認してください。

No.4 回答者： doki2 回答日時： 2005/08/23 08:07

かなり面倒な作業になりますが、やってみますか？

この回答への補足

何ぶんこのようなウィルス・スパイウェア等に感染したのは初めてなので出来る自信はありませんが、ご面倒でなければ教えていただきたいです。よろしくお願いします。

補足日時：2005/08/24 17:40