HijackThisとアンインストール情報

Hijackthisはソフトのスキャンで何かあれば検出されるものを自分自身で行うのですか。アンインストール情報はアプリケーションの削除のデータですか？


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Atiptaxx.exe
C:\WINDOWS\LTSMMSG.exe
C:\Program Files\Fujitsu\IndicatorUtility\IndicatorUty.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\McAfee\MSK\MskAgent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\McAfee\MSC\McLogCln.exe
C:\WINDOWS\system32\conime.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\DI\HatchInside\hatchinside.exe
C:\WINDOWS\system32\RAMASST.exe
C:\WINDOWS\System32\ati2evxx.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\Program Files\Common Files\McAfee\HackerWatch\HWAPI.exe
C

No.5 ベストアンサー 回答者： doki2 回答日時： 2006/10/25 08:55

>O4 - HKLM\..\Run: [PM3] G:\Setup.exe

　これだけでは詳細がわかりませんが、スタートアップにセットアッププログラムが登録されているというのは珍しいですね。

　外付けのドライブを特殊な用途に使うための設定でしょうか？

　エキスプローラで「G:\Setup.exe」のプロパティを調べてみてください。

　まったく心当たりがなく、必要もない場合は、「プログラムの追加と削除」で[PM3]を選択して削除できると思います。

>O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) -

　リンク先がないので判断できません。

　判断が付かない場合は「Fix」してください。

　「O-16」関連は、削除しても、必要があれば、そのサイトへアクセスしたときに、再インストールできます。

＊上記以外、怪しげな設定は見つかりませんでした。

この回答への補足

ありがとうございました、もともとSpybotFreeで検出されたので有償のSpybotを買えばいいですか？あちらでしっかりサポートやってくれぬので。

補足日時：2006/10/25 11:48

この回答へのお礼

ありがとうございました。
ドライブ中にディスクが入れっぱなしだったのでしょうか?PM3,確かMAXELL USB CAMERAっだたような？

お礼日時：2006/10/25 17:37

No.7 回答者： ryu-fiz 回答日時： 2006/10/26 00:51

{56393399-041A-4650-94C7-13DFCB1F4665}

これについては、
http://forums.us.dell.com/supportforums/board/me …
http://forum.tweakxp.com/forum/Topic208159-4-2.a …

"pestscan.cab"とありますので、PestPatrolのオンラインスキャン、PestScanのActiveXコントロールのオブジェクトでしょう。シロですね。

>CoolWebSearch CoolwebToolbar,WindowsSucurityCenterがSpybot殻検出されたんですが？

Window Security Centerについては、気にする必要はない筈です。おそらくマカフィ―のセキュリティセンターが入ったせいでWindow標準のものは無効になってると思うのでそれが出てるんでしょう。だとしたら全く問題なしです。

CoolWebSearch関連は…既に削除されたとのことなのでもう心配はいらないのでしょう。（と言えるのは、私の力量ではなくNo.1さんのご回答あってのことですが　笑）

いろいろ入れてらっしゃるようですが…それでも感染してしまうのですね。やはりIEのセキュリティ設定が肝のように思われます。そんなのかったるくてやってらんない、ということなら少なくとも海外のサイトはFirefoxかOperaでご覧になったほうがいいです。

個人的にはMVPS HOSTS Fileがお勧めなのですが…大手の総合セキュリティソフトだとHOSTS監視が厳しくて併用し辛い、かも。興味があったら
http://bdc.s15.xrea.com/component/option,com_smf …
を読んでみてください。

あと、それ以外の再感染防止のテンプレートを２つばかり。
http://www.higaitaisaku.com/korobanu.html
http://www.geocities.jp/iespyad_jpn_manual/quick …

この回答への補足

感染の可能性の高いのはエロサイトですか、普通の海外サイトですか？FireFox,Opera併用してもいいですか？この場合セキュリティソフトが使えますか？

補足日時：2006/10/26 11:00

この回答へのお礼

ありがとうございました。びっくりしましたが削除以来検出はありませんし動作の異変もありません。

お礼日時：2006/10/26 11:05

No.6 回答者： doki2 回答日時： 2006/10/25 16:01

>もともとSpybotFreeで検出されたので有償のSpybotを買えばいいですか？あちらでしっかりサポートやってくれぬので。

有償のSpybotを買ったからといってしっかりサポートしてもらえるという保証はありません。

特に、今回のように「HijackThis」のログを貼り付けただけでは門前払いになると思います。

「Spybot S&D」でスパイウエアが見つかったので不安になって、他にもスパイウエアがないかをお知りになりたかったと思いますが、少なくと「HijackThis」のログで見る限り、ANo.5でお答えした以外、異常は見つかりません。

現在不審に思う症状等を具体的に書き込んでください。

この回答への補足

HijackThisはSpybotとは無関係ですからね。
不審なのは検出されたことです。
ありがとうございました。

補足日時：2006/10/25 16:56

この回答へのお礼

CoolWebSearch CoolwebToolbar,WindowsSucurityCenterがSpybot殻検出されたんですが？

お礼日時：2006/10/25 17:41

No.4 回答者： lesson99 回答日時： 2006/10/24 18:19

＞あちらのサイトは気難しいので。

私は以前からあちらにちょくちょく誘導してましたが、途中からちょっと無責任な相談者が目に付くように見えてきたので、誘導前に厳しい前置きもしましたし、最近は誘導も控えてます。

別に違法性のあるアプリを承知で使ったり、無責任なことをやってなければあちらの回答者陣は初心者の方にもわかりやすく対応してくれていきなり叩いたりはしませんし、注意も本人の自覚を促すためです。

セキュリティソフトはマカフィーやSGアンチスパイ、Windows Defenderなどをお使いと読めますが肝心のOSやIEのバージョン表示部分がない上に、セキュリティソフトの定義日付や、その他の情報も見ないとこれだけではどうしようもありません。

HijackThisのログだけで怪しいモノをすべて見抜けるわけでもありませんし、自分での解析以前に相談も面倒がる人に回答してくれる人は他のサイトでも相手にされなくなるだけです。

とりあえず目に見える症状もないのに長いログ貼るというのはここに限らずサイトにとって迷惑な行為にもなるので、この質問を締め切ったうえでそれを認めた専門のサイトに移ってください。

この回答への補足

というか、スレッド自体掲載されないんです。皆さん
あちらのサイトのリンクを貼ってくださってますが。

ったうえでそれを認めた専門のサイトに移ってください。　被害対策のことですか？

HijackThisは自分で判断せず詳しい人に教えてもらいながら解析しなさいとのことですが。

補足日時：2006/10/25 10:06

この回答へのお礼

ありがとうございました。
目に見えての現象、ブラウザが誘導される、ToolbarがないのにSpybotでCoolwebsearch,CoolwebTolbar、WindowsSecurtyCenterが検出たんです。削除した一応なくなり増した。被害対策ではただの相談は遠慮してくださいとのことでした。ログが長すぎて字数制限があったので、前置きを書き忘れました。

お礼日時：2006/10/25 10:20

No.3 回答者： kazuof23 回答日時： 2006/10/24 17:34

セキュリティソフトは何を使っているのか、バージョンや定義書は最新かこの辺は質問する上での最低の義務でしょ。

なぜHijackThisでチェックしようとしたのか、○○の問題が出たもしくは××の現象が出たあたりを書いた方がポンとログを出すより回答が付きやすいと思うけど。

この手の問題はアダ被がベストなんだけどなぜ煙たがるのか不思議。

この回答への補足

McAfee InternetSecurity2007体験版、FreeでSpybot,SpywareBlaster,WindowsDefender,Block機能つきです。Ad-Aware,OnlineScanです。IE6,たぶん最新

補足日時：2006/10/25 09:55

この回答へのお礼

ありがとうございました。回答者がだいたいいつも同じ人だからしょう。大勢の人から回答をしようと思った人が任意で回答を行うのとは違うんでしょう。

お礼日時：2006/10/25 10:05

No.2 回答者： noname#80942 回答日時： 2006/10/24 13:54

こんにちは。

＞　Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
・・・・・・・・・・・・・・

この部分は、ログを取った時点で立ち上がっている、プロセスの情報です。

＞　スキャンで何かあれば検出されるものを自分自身で行うのですか。

０１～０２３までリストアップされた中で、不正にエントリーされたものを削除します。

HijackThisのログに出力される各エントリについては、下記サイトに詳しく解説されていますので参考にされて下さい。

参考URL：http://www.higaitaisaku.com/htkaiseki.html

この回答への補足

あちらは規約や条件が厳しいので質問を考えないと回答が出ませんので。

O16 - DPF: {44990200-3C9D-426D-81DF-AAB636FA4345} (Symantec SmartIssue) - http://www.symantec.com/techsupp/asa/ctrl/tgctls …
O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} (Symantec Script Runner Class) - http://www.symantec.com/techsupp/asa/ctrl/tgctls …
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by111fd.bay111.hotmail.msn.com/resources/ …
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) -
O16 - DPF: {A343C209-9930-4FA3-84B6-4CE697EC3F5A} (TSGVClientObj Class) - http://221.186.80.164/cyberlink/473r/User/CybTec …
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} - https://www-secure.symantec.com/techsupp/asa/ctr …
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Program Files\SiteAdvisor\4144\SiteAdv.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\ati2evxx.exe
O23 - Service: DVD-RAM_Service - Matsushita

補足日時：2006/10/24 17:12

この回答へのお礼

よろしくお願いします。

お礼日時：2006/10/24 17:16

No.1 回答者： doki2 回答日時： 2006/10/24 13:21

　参考：HijackThisによるログの取得と、不正エントリの修正(fix)方法

　http://www.higaitaisaku.com/hijackthis.html

この回答への補足

C:\PROGRA~1\McAfee\MSC\mclogsrv.exe
C:\PROGRA~1\McAfee\MSC\mcupdmgr.exe
c:\program files\common files\mcafee\mna\mcnasvc.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
C:\PROGRA~1\McAfee\MSC\mcpromgr.exe
c:\PROGRA~1\COMMON~1\mcafee\mcproxy\mcproxy.exe
c:\PROGRA~1\COMMON~1\mcafee\redirsvc\redirsvc.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\PROGRA~1\McAfee\MSC\mctskshd.exe
C:\PROGRA~1\McAfee\MSC\mcusrmgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\McAfee\MPF\MPFSrv.exe
C:\Program Files\McAfee\MSK\MskSrver.exe
C:\Program Files\Fujitsu\PCKARTE\PCKTESVC.EXE
C:\Program Files\Fujitsu\sa\api\SBRSVC.EXE
C:\Program Files\Jungle\SGAntiSpy\PZServiceNt.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
C:\PROGRA~1\McAfee\MPS\mps.exe
C:\Program Files\McAfee\MPS\mpsevh.exe
c:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\SiteAdvisor\4144\SiteAdv.exe
C:\Documents and Settings\Owner\デスクトップ\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\4144\SiteAdv.dll
O2 - BHO: IAtlIE2 Class - {36AB28F6-4BBF-11D4-9756-00000E492F6A} - C:\Program Files\Atlas Common\Atlie.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - c:\program files\mcafee\virusscan\scriptsn.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program Files\SiteAdvisor\4144\SiteAdv.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [IndicatorUtility] C:\Program Files\Fujitsu\IndicatorUtility\IndicatorUty.exe
O4 - HKLM\..\Run: [imjpmig] C:\Program Files\Common Files\Microsoft Shared\IME\IMJP\imjpmig.exe /RemAdvDef /AIMEREG /Migration /SetPreload
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [PM3] G:\Setup.exe
O4 - HKLM\..\Run: [Ulead Quick-Drop] "C:\Program Files\Ulead Systems\DVD MovieWriter 4.7 SE with VR for I-O DATA\Ulead Quick-Drop 1.0\Quick-Drop.exe" WINDOWCALL
O4 - HKLM\..\Run: [McLogLch_exe] C:\Program Files\McAfee\MSC\McLogLch.exe
O4 - HKLM\..\Run: [MskAgentexe] C:\Program Files\McAfee\MSK\MskAgent.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: Bookshelfで検索(&L) - res://C:\Program Files\Microso

補足日時：2006/10/24 17:05

この回答へのお礼

答えてくださってありがとうございました。これらは詳しい人に聞いて行うと伺ってますがあちらのサイトは気難しいので。
O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/techsupp/asa/ctr …
O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/ctr …

お礼日時：2006/10/24 17:12