Your computer is infected!　とバルーンが出る。

Question

観覧して頂いてありがとうございます。
非常に困っています。
よければ回答ください。

先日から右下（時計の横）の方に×印のマークが二つ程現れ、
10秒に一回ぐらいはそこからバルーンが表示されます。
文は以下の通りです。

Your computer is infected!

Windows has detected spyware infection!

It is recimmended to use special antispayware tools to

prevent deta loss . windiws will now download  and install

the most up-to-date antispyware for you.

click here to protect your computer from spyware 

このメッセージが表示されるようになって以降、
今までは鳴らなかったようなチューチューといったカンジの音がPC本体から出たり、
PC自体の動作も遅くなった気がします。
ノートンで一応システム全スキャンをしてみましたが、
反応しませんでした…。
Spypodというヤツも試してみましたが、
PCが悪いんでしょうが何度もエラーが出て使えません。

PCの知識に関しては初心者同然なのですが、
よろしくお願いします…。
OSはウィンドウズXPです。

doki2 · Accepted Answer

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

このキーにはスパイウエア以外の正規の値が設定されていることがあります。
従って、このキーを消してはいけません。

引き続き

２．ファイルの調査
３．レジストリの検索

の作業を続けて結果補足してください。

これらの作業がむつかしいようであればリカバリしたほうがいいかもしれません。

doki2 · Answer

>「Registry Jumper」「ページが表示出来ません」

　失礼しました。変更されていました。
　http://fine.tok2.com/home/heto2/0500MiniTool/0501RegJumper/001.htm

>「cannot jump key "上記のレジストリキー" is not exists in the ragistry」

　このレジストリキーの場合「CLSID」が参照されています。

　スパイウエアのバージョンによって「CLSID」が変わってしまうとレジストリキーも変わってしまい「Registry Jumper」でもエラーになるということです。

　下記のページに別の「CLSID」を使った例があります。

Spyaxe
http://www.mcafee.com/japan/security/virS.asp?v=Spyaxe

１．レジストリキーの調査

　「Registry Jumper」で下記のレジストリキーをヒットできるか調べてください。

HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{A1D9D3F0-8C2A-9A1D-A376-2CACFB10AB72} 

HKEY_CURRENT_USER\Software\Classes\CLSID\{A1D9D3F0-8C2A-9A1D-A376-2CACFB10AB72}\InProcServer32

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

２．ファイルの調査

　下記ファイルの有無を確認ください。

　C:\WINDOWS\system32\svchosts.dll 
　C:\WINDOWS\system32\ioctrl.dll 
　C:\WINDOWS\system32
etwrap.dll

　「svchost.dll」　はWindows正規のファイルであり
　「svchosts.dll」 がスパイウエアであることに注意してください。
　
３．レジストリの検索

　もし、上記(２)で不審なファイルが見つかれば、レジストリのどこで引用されているかを調べる必要があります。
　
　ファイル名を特定できればレジストリを検索して設定状況を調べることができます。
　
　レジストリの検索はレジストリエディターでもできますが、その場合何度も検索を繰り返す必要があります。
　
　「RegSrch.vbs」というツールを使ってみてください
　
http://fine.tok2.com/home/heto2/0500MiniTool/0506RegSrch/0001.htm

doki2 · Answer

こいつですね!

Trojan.Spaxe 
http://www.symantec.com/region/jp/avcenter/venc/data/jp-trojan.spaxe.html

１．「Registry Jumper」を使う。その１

　☆参考:「Registry Jumper」
　　レジストリの操作には下記ソフトを使うと非常に便利です。
　　上のような長いレジストリキーでもコピペで一気にジャンプ表示してくれます。
　　http://fine.tok2.com/home/heto2/0501RegJumper/001.htm

　AAA.「Registry Jumper」を起動しておきます。
　
　BBB.下記のレジストリキーをマウスで選択して「Ctrl + C」でコピーします。
　
　　HKEY_CLASSES_ROOT\CLSID\{A2D9D3F0-8C2A-2A1D-A376-1BECFB10AB72}\InProcServer32
　
　CCC.「Registry Jumper」のタイトルバーをマウスでクリック
　　(「Registry Jumper」がアクティブになります。)
　
　DDD.「Ctrl + V」でペーストします。
　
　以上の操作で、自動的にレジストリエディターが起動され、レジストリキーが表示されるか確認してください。
　
とりあえず、ここまで。結果を補足してください。

lonewolf · Answer

SpySheriff をインストールさせようとしているスパイウェアが組み込まれているようです。
ステルス機能を持つマルウエア、リネームを監視しているマルウエア、キーロガー、バックドアなど複数のテクニックを使い、駆除するにはかなりのスキルが必要になります。
アダルトサイト被害者対策の部屋の掲示板で投稿するか、リカバリしてください。
掲示板に投稿するには、HijackThisによるログの取得とアンインストール情報ログが必要になります。
http://www.higaitaisaku.com/menu2.html

yoshi-thk · Answer

ノートンでは、検知しないタイプのスパイウェアでしょう。
次のアドレスに書かれている手順を実行してください。

アダルトサイト被害対策の部屋　被害対策
http://www.higaitaisaku.com/menu1.html

途中でSpybotS&Dを実行するところがありますが、それももう一度実行してください。

Your computer is infected! とバルーンが出る。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

>「Registry Jumper」「ページが表示出来ません」

こいつですね!

SpySheriff をインストールさせようとしているスパイウェアが組み込まれているようです。

ノートンでは、検知しないタイプのスパイウェアでしょう。

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング

Your computer is infected!　とバルーンが出る。