勝手にセキュリティー警告が出る

勝手にセキュリティー警告（認証）画面が出てくると
同時にIEが立ち上がって変なサイトにつながる。
素人なものでどうか宜しくお願いします。

No.14 ベストアンサー 回答者： A1200hd40 回答日時： 2004/01/18 21:29

＊補記＊

ご利用の環境が、今一つ判り辛いのですが、企業内の機械でご利用で、外部への接続は社内ＬＡＮを通して行う環境ですか？

その場合、ＳＰＹＢＯＴ　ＳＤ等のオンラインアップデートには、プロキシの設定が必要になります。
ＳＰＹＢＯＴ　ＳＤの場合、設定メニューを開いて、その中の「設定」項目に入り、オンラインアップデート項目の、「プロキシを使用する」にチェックをいれると、プロキシ設定ウィンドウが出ますので、ＩＥのプロキシ設定と同じ内容を入力してください。

ちなみに、ＡｄーＡｗｅｒｅ６は試されましたか？
検索の判断基準や、その方法も異なるので、両方で試してみるといいと思います。

あなたにはその機械のシステム管理者権限が与えられていますか？
与えられていない場合は、システム管理者にも相談してください。
深層部を操作しなければならないので、自らの判断でシステムの初期化を行い得る権限が設定されていないと、肝心の部分に触れることが出来ません。
管理者権限でのログインが必須なのです。
（「このコンピューターの制限により、処理は取り消されました。」と言うメッセージが出て、操作が出来ない。）

ウィンドウズのセキュリティホールの中には、不正なプログラムが管理者権限を取得し、システムを書きかえる事を可能にするものもあります。

Winwowsあるいは、WindowsNTフォルダ内の、systemフォルダ、あるいはsystem32フォルダ内の、Downloadded ProgramFilesフォルダの中のアイコンを右クリックして、プロパティを表示させ、コードベースのＵＲＬが怪しかったり、名前からして怪しい物（”Loader”等）が有るなら、挙げてみてください。

この回答へのお礼

A1200hd40様色々とアドバイス等ありがとうございます。とても参考になり問題が解決いたしました。自宅のパソコンでは無いのでお礼を言うのが遅れてしまいました。

お礼日時：2004/01/23 02:01

No.13 回答者： A1200hd40 回答日時： 2004/01/16 22:34

＞念のために、スタート⇒検索⇒ファイルやフォルダで、「含まれる文字列」か、「名前」で、「ＦＳＷ」か、「ＦＳＣ」を、「サブフォルダも探す」にチェックを入れて、「マイ　コンピュータ」の中の検索をかけて見てください。

以上の記述を、

念のために、スタート⇒検索⇒ファイルやフォルダで、「名前」で、「ＦＳＷ」か、「ＦＳＣ」を、「サブフォルダも探す」にチェックを入れて、「マイ　コンピュータ」の中の検索をかけて見てください。

に、改めます。
失礼致しました。

この回答への補足

プロセスの中で８文字の物は WINLOGON,EXE SERVICES.EX
E Mcshield.exe VsTskMgr.exe NDDEAGNT.EXE EXPLORER.
EXE msime97M.exe naPrdMgr.exe QNDLOGON.EXE interna
t.exeです。

補足日時：2004/01/17 08:59

No.12 回答者： A1200hd40 回答日時： 2004/01/16 21:56

セーフモードでの起動（電源投入直後、もしくは再起動の際のＢＩＯＳ画面の直後の暗転時に、Ｆ８キーをタイミング良く入力すると現れるメニューで選択。

）は、試されましたか？

念のために、スタート⇒検索⇒ファイルやフォルダで、「含まれる文字列」か、「名前」で、「ＦＳＷ」か、「ＦＳＣ」を、「サブフォルダも探す」にチェックを入れて、「マイ　コンピュータ」の中の検索をかけて見てください。

>ランダムな８文字の物
デタラメな名前のついたものです。

たとえば、jiuftklp.exeと言う具合です。

判らなければ、画面右下のタスクトレイ上のアイコンを、減らせるだけ減らしてから、特に何もアプリケーションを使っていない状態で、タスクマネージャを呼び出して（Alt+Ctrl+Del同時押しの後、表示メニューの中から選択)、
プロセス項目に入って、動作しているプロセスを教えてください。
絞りこんでみようと思います。

<レジストリエディタで、HKEY_LOCAL_MACHINE⇒Software
⇒Microsoft⇒Windows NT⇒CurrentVersion⇒Run⇒（これ
以下）の中から、該当部分を探し出し>この該当部分も上
のファイル名ですか？

そうなります。

スパイウェアが勝手に何かをするためには、バックグラウンドタスク（見えないところで動いている処理）として、常駐して動作していなければいけません。

起動の際に、読みこみに行かない様にする必要があるのです。
実行中の場合は、停止させないと、削除などの処理は出来ません。（ファイルが使用中です！となります。）

No.11 回答者： A1200hd40 回答日時： 2004/01/16 15:27

それでは、＃８の書き込みでの、「もし、ＳＰＹＢＯＴが、～」の記述の内容を行ってみてください。

それと、大変申し訳御座いませんが、レジストリキーの記述に関わる部分と全般のことについて、大ボケをかましてしまいました。
windowsの表記が有る部分を、windows NTに読み替えてください。

一連のシステム操作においては、管理者権限でのログオンが必要ですので、管理者権限でログオンを行ってください。

ウィンドウズNTの場合、レジストリエディタが２種類有るようなのですが、regeditで変化の無い場合、regedt32で起動してみてください。

regeditをリネームすることで、使用不能にさせたり、他のファイルとの名前の交換で、別のプログラムが起動するように改変する手口があります。

この回答への補足

<もし、ＳＰＹＢＯＴが、妨害を受けてプロセスを表示で
ない時、及び、システムスタート項目を操作できないとき
は、そこで挙げているプロセス>
このプロセスとは何ですか？FSWの含まれている物ですか、それは見つかりませんでしたまたランダムな８文字の物も見当がつきません。
<レジストリエディタで、HKEY_LOCAL_MACHINE⇒Software
⇒Microsoft⇒Windows⇒CurrentVersion⇒Run⇒（これ
以下）の中から、該当部分を探し出し>この該当部分も上
のファイル名ですか？

補足日時：2004/01/16 18:41

No.10 回答者： A1200hd40 回答日時： 2004/01/13 10:54

＞ホストファイルリストを追加しようとするとアクセスが拒否されましたとエラーが出る

では、＃７の書き込みでの、プロセスリスト項目以下のところを実行してみてください。

それでも駄目なら、＃８の書き込みをもう一度良く読んで、対応してみてください。

この回答への補足

プロセスリスト中にそれらしい物がないような気がしますまたシステムスタート項目にはHK_CU:Run, Internat.exeしか存在しません。

補足日時：2004/01/16 09:19

No.9 回答者： A1200hd40 回答日時： 2004/01/12 10:05

自分の意図したところとしては、ＳＰＹＢＯＴを使っての操作のほうが、慣れていない方にとって比較的平易であるだろうと思われましたので、先ず、ＳＰＹＢＯＴを使って、それでも駄目なら次の手段を、と、言う感じで考えています。

ＳＰＹＢＯＴは、アドバンスドモードで起動してください。

イージーモードでは、初心者向けに操作を簡略化していることと引き換えに、感染後の処理などで細かく対応が出来ません。

自分の場合、クイックランチャーアイコンをクリックして起動する癖がついていますので、普段、アドバンスドモードで起動しています。
イージーモードで起動なさっていた場合、話が良くわからなかったと思います、失礼しました。

この回答への補足

ホストファイルリストを追加しようとするとアクセスが拒否されましたとエラーが出る

補足日時：2004/01/12 21:43

No.8 回答者： A1200hd40 回答日時： 2004/01/11 22:30

予想としては、Ｖ６亜種であろうと思います。

システム内部にまぎれこもうとするほど、性質の悪い物なので、更新操作などを妨害しているのかもしれません。
対策情報サイトでの評判によると、運営者も胡散臭そうです。

ファイル名、タスク／プロセス名などは、インストールされた場所（ＮＴ／２０００／Ｘｐの場合は、System32フォルダ）の周りに有るファイル名から、ランダムな半角８文字を抜き出して使用します。

では、前回の書き込みでの、プロセスリスト以下のところを実行してみてください。

もし、ＳＰＹＢＯＴが、妨害を受けてプロセスを表示できない時、及び、システムスタート項目を操作できないときは、そこで挙げているプロセスをタスクマネージャを呼び出して（Alt+Ctrl+Del同時押し、表示メニューの中から選択)停止させ、レジストリエディタで、HKEY_LOCAL_MACHINE⇒Software⇒Microsoft⇒Windows⇒CurrentVersion⇒Run⇒（これ以下）の中から、該当部分を探し出し、その値を削除してください。
同時に、HKEY_LOCAL_MACHINE⇒Software⇒Microsoft⇒Windows⇒CurrentVersion⇒RunServices⇒（これ以下）からも、探してみてください。

その後で、インストーラの削除を行います。
問題のＦＳＷ本体のシステムスタート時の起動を阻止した上で、再起動します。

Windowsフォルダないの、Systemもしくは、System32フォルダの中から、次の特徴を持つファイルをそれぞれ削除します。

まず、ファイルネームが、停止させたＦＳＷ本体の名前と同じ文字列を含んでいる。

その中で、ファイルを右クリックして出るメニューで、プロパティを選択し、その中の項目で、バージョンを参照した時に、内部名が、「loader」となっている.ＥＸＥファイル。

ドルのマークのアイコンで、同じ様に、内部名を参照すると、「FSC」となっている.ＥＸＥファイル。

.ＤＬＬファイルで、内部名が、「runpool」のもの。

７Ｋサイズの.ＥＸＥファイルで、バージョン情報が無いもの。
（全て同時にインストールされる物なので、日付に気をつけること、判らないファイルを、むやみに削除しないこと。）

カタがついたら、ＳＰＹＢＯＴを更新して、免役化を行って、マメにチェックを行ってください。
ファイヤウォールの導入も、検討されてはいかがでしょうか？

この回答への補足

プロセスを表示やシステムスタート項目等は、ＳＰＹＢＯＴの中にある項目ですか？いまいち分かりません。

補足日時：2004/01/12 07:48

No.7 回答者： A1200hd40 回答日時： 2004/01/06 19:56

ＳＰＹＢＯＴ　Ｓ＆Ｄの機能を使いきっていないことを、思い出しましたので、試してみてください。

言語日本語設定の場合で説明します。

自分は、年明けに更新を行いましたので、最終更新日が１２月３１日になっています。

ＳＰＹＢＯＴ　Ｓ＆Ｄを起動してください。

左側のメニューに、検索・リカバリ・免疫化の三つの項目が表示されます。

「免疫化」項目に入ってください。

入ったら、「インターネットエクスプローラ用免疫の常設」項目で、「免疫化」をクリックしてください。

「インターネットエクスプローラ用、バッドダウンロードブロッカーの常設」項目では、「インストール」をクリックしてください。

「推奨される様々な保護措置」項目では、「ハイジャッカーからの保護措置としてホストファイルを読取専用としてロック」にチェックを入れてください。

以上が終わったら、次のメニューに移ります。

「ツール」項目に入ってください。

入ったら、「ホストファイル」項目を開いて、「ＳＰＹＢＯＴ　Ｓ＆Ｄ　ホストファイルリスト追加」をクリックしてください。

次に、「プロセスリスト」項目に入ってください。
ここで、「ＦＳＷ」と言う文字列を含んだプロセス（Ｖ５・Ｖ６）か、ランダムな八文字の名前（Ｖ６亜種）のついたプロセスを探して、停止させてください。

次に、「システムスタート項目」に入って、「プロセスリスト」項目で停止させたプロセスと、同じ名前の値を持つ項目のチェックを外してください。

以上のことを行ってみて、その結果をお教え願います。

この回答への補足

「推奨される様々な保護措置」項目では、「ハイジャッカーからの保護措置としてホストファイルを読取専用としてロック」この項目が無い。アップデートを実行しようとするとエラーが出る。（アップデータ情報ファイル検索中にエラー発生）

補足日時：2004/01/10 22:31

No.6 回答者： A1200hd40 回答日時： 2003/12/26 10:13

念のために、もう一度確認させていただきます。

セーフモードで起動して、確認はされましたね？
セーフモードでの起動の仕方がわからない場合は、その旨お伝え願います。

SPYBOT S&Dは、最新の状態に更新してから、スキャンしましたね？

MacfeeVirusScanEnterprise7.1も最新の状態を維持してますね？

以上のことを、全て試されたなら、以下に進んでください。

レジストリ操作の前に、先ず、警告します。

これから行う操作には、細心の注意が必要になります。
重要なファイルは、全てバックアップを取り、初期化後の再インストールと言う最悪の事態に備えてください。

スタートメニューを開いて、「ファイル名を指定して実行」を選択します。
すると、コマンドや、ファイルネームを入力するウィンドウが現れますので、「regedit」と入力して、「レジストリエディタ」を起動してください。

各レジストリキーは、ツリー状に表示されます。
このツリーの中から、次に挙げる項目の内容を教えてください。

見るだけならば、レジストリは操作されませんので、とりあえず確認だけお願いします。

インストールされた物のバージョンによって、レジストリキーの表記が異なることがありますので、それを確認しなければなりません。

以下は内容や、有無を教えてください。

HKEY_LOCAL_MACHINE⇒Software⇒Microsoft⇒Windows⇒CurrentVersion⇒Run⇒（この部分）


HKEY_LOCAL_MACHINE⇒System⇒CurrentControlSet⇒Control⇒Shutdown⇒（この部分）

以下はこれと同じ内容の有無を教えてください。

HKEY_CLASSES_ROOT⇒CLSID⇒{20A03A4C-9FAF-45D5-A5C2-B6C49774E03C}、あるいは{47CC4DCD-BBC9-47A3-A677-44DB2559E0D8}

HKEY_CLASSES_ROOT⇒CLSID⇒{99B0B113-6F25-49C9-8ECF-2FDDD3EDFF6A}、あるいは{5DD7B3BE-FDEC-4563-B038-FF80F2345B89}

HKEY_CLASSES_ROOT⇒FSW_beta1.Application、あるいはFSW.Application

HKEY_CLASSES_ROOT⇒Fswinst.Application、あるいはFSWINST.FswinstCtrl.1

この回答への補足

>HKEY_LOCAL_MACHINE⇒Software⇒Microsoft⇒Windows⇒CurrentVersion⇒Run⇒（この部分）

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

HKEY_LOCAL_MACHINE⇒System⇒CurrentControlSet⇒Control⇒Shutdown⇒（この部分）
Shutdownが存在しない

あとはHKEY_CLASSES_ROOT⇒CLSIDには、5DD7B3BE-FDEC-4563-B038-FF80F2345B89は見つかりません。CLSID以外には検索で見つかるのですが

補足日時：2003/12/28 20:19

No.5 回答者： A1200hd40 回答日時： 2003/12/25 13:56

セーフモードでの起動を試してみましたか？

最近英文の広告メールなど、来てませんか？

アウトルック等のメーラーの設定は、ＨＴＭＬ形式メールを利用できるようになっていませんか？

実は、悪質なスパムの中には、メールを実際に開いていないのに、プレビュー機能を悪用して、ＨＴＭＬメール機能や、アウトルック、ＩＥ、ウィンドウズなどの、セキュリティー上の欠陥を突いて添付ファイルを実行し、アドウェア（広告表示ソフト）をメール経由で知らないうちにインストールしてしまう物もあります。
メール経由感染のウィルスも、ほぼ同様にしてやって来ます。
そうした物の被害を防ぐためには、メールは常にテキスト形式でのみ利用するのが望ましいでしょう。
さらに、はっきりしない添付ファイルは、絶対開いてはなりません。

xzoomyで検索したところ、これは、Free Scratch and Winなる、オンライン抽選サイトに関わりがあることが判りました。

一応、サービスの趣旨や、責任範囲などを英語で明示して承認を得た上でインストールする形になっていますし、アンインストーラも提供されているため、正規のサービスとして、検索エンジンを造る側が除外している可能性があります。

読んで判らなければ、こうしたメッセージには常に”ＮＯ”を選択してください。
また、必要の無い場合は、そのコンピュータを他の人に触らせないことも重要です。

参考ＵＲＬに、アンインストーラーがありますので、ダウンロードして実行してみてください。

それでアンインストール出来なければ、レジストリの操作を手動で行うことになりますので、お知らせ願います。

参考URL：http://www.freescratchandwin.com/uninstall.html

この回答への補足

アドバイスありがとうございます。アンインストーラーをダウンロードして実行しようとしたら、プロシャージエントリポイントSHGetSpecialFoldaerPathAがダイナミックリンクライブラリSHEL32．dllから見つかりません。と言うエラーが出て実行できません。

補足日時：2003/12/25 20:29