スパイウェア？に困ってます

当方、windows98/IE6.0SP1、COMPAQ Presarioです。PCにはあまり詳しくありません。
先日からIEの調子が悪くて困っています。

１．ホームページが勝手にsearch the webというわけのわからないサイトになる
２．googleやYahooでサイト検索をすると検索するたびにサイト検索用？の意味不明なポップが開く
３．ネット銀行など一部のサイトを開こうとするとマイクロソフトのエラー送信ウィンドウが開き、そのままIEを終了せざるを得なくなる
というような症状です。

当サイトの過去のQ&Aを見たところ、スパイウェアとかいうものにやられたようだと判断し、Spybotをダウンロードしました。
そしてスパイウェア検索を行い、発見されたものをすべて削除、以降「おめでとう！スパイウェアは検知されませんでした」のメッセージが表示されるようになりましたが、症状はいっこうに改善されません。
また過去のQ&Aを参考に、MSDOSプロンプトというアプリケーションで怪しいファイルを削除しようとしましたが、指摘されていたCnsというものは見つかりませんでした（上記の通りあまりPCに詳しくないのでこの作業を正しく行ったという自信はありません・・・）。

どなたかこの方面にお詳しい方、対策のアドバイスをお願いします。

No.10 ベストアンサー 回答者： heto2 回答日時： 2004/01/17 11:12

本件の元凶は「mshp.dll」のようです。

http://www.annoyances.org/exec/forum/winxp/t1072 …

「CWShredder」で駆除できると思います。

１．「mshp.dll」は正規のWindowsファイルではないので削除。
２．レジストリで下記設定を検索して全て削除。
「res://mshp.dll/index.html#22776」
３．「DPF」フォルダに関連コントロールがあれば削除。
（C:\WINDOWS\Downloaded Program Files）

「CWShredder」は、これらの作業を自動的に実行してくれると思います。

この回答へのお礼

ありがとうございます！解決いたしました！
CWShredderで駆除できました！実はあきらめかけてたんですがこれでまた快適にインターネットを楽しめそうです。
とにかく感謝いたします！では。

お礼日時：2004/01/17 13:19

No.9 回答者： heto2 回答日時： 2004/01/17 10:30

「CWShredder」

情報不足で確信がありませんが、このソフトを使って解決できたというレポートがあります。
試してみてください。

http://www.tek-tips.com/gviewthread.cfm/lev2/67/ …

その他、参考事項。

１．「Host」ファイル
スタートページや検索ページをハイジャックするスパイウエアが沢山あります。
殆どの場合「Host」ファイルを書き換えるという手法が使われています。
http://network.station.ez-net.jp/server/system/n …
XPの場合Hostsファイルは下記の場所にあります。
C:\WINDOWS\system32\drivers\etc\hosts
ほかのOSの場合「Hosts」で検索してみてください。
テキスト形式のファイルですのでメモ帳等で閲覧、編集できます。
異常な設定があればその行を削除するだけで殆どの場合正常に戻ります。
ただし、万一の場合に備え、バックアップをとって置いてください。

２．レジストリの「Run」設定
スパイウエアの殆どは、OSの起動時に、レジストリの「Run」設定を使って起動され、常駐します。

３．「DPF」フォルダ
（C:\WINDOWS\Downloaded Program Files）
このフォルダには、ActiveXコントロールという設定ファイルがインストールされます。
Windowsのアップデート等で自動的にファイルをインストールするのに利用されますが、
スパイウエアの中にはこのシステムを悪用するものがあります。
スパイウエア本体を見つけて削除してもいつの間にか復旧されてしまう。
いわゆるゾンビソフトというやつです。

４．「HijackThis」
一般のユーザーがこれらのファイルや設定を調べたり、修復するのは難解かつ危険な作業になります。
こんなときに便利なのが「HijackThis」というソフトです。
このソフトを使うと簡単に色々な設定状況のログファイルを作ってくれます。
ログファイルを投稿して、皆さんからアドバイスしてもらうというのは如何でしょう？

５．search-company.com
へんなページですね。何も検索できない。未完成？スポンサー募集中？
下記BBSでも取り上げられていますが、未解決。
いずれも、ごく最近の投稿です。
http://www.computing.net/windowsxp/wwwboard/foru …
http://www.nonagsplus.com/boards/software/data/1 …

No.8 回答者： fa-1 回答日時： 2004/01/17 02:04

#5のfa-1です。

一つ確認をお願いします。

IEのツールクリックにて出る「インターネットオプション」のホームページのアドレスはどの様になっておりますでしょうか。

この回答への補足

確かめたところ、
res://mshp.dll/index.html#22776
でした。「勝手にホームページ」のsearch the webのアドレスです。ポップのアドレスとは違っていました。
何度ホームページの設定を変えても元の木阿弥でここがホームページとして出現します。mshpとか言ってるから最初マイクロソフトのホームページかとも（一瞬だけ）思ったんですが、絶対違いますよね・・・。

補足日時：2004/01/17 10:20

No.7 回答者： noname#22689 回答日時： 2004/01/15 23:12

こんにちは。

search the webは海外の検索サイトのようで多数ありますが、
kqwcs334さんのPCが自動的に最初に繋がった時の「アドレスバー」を右クリックしてコピーして、回答者の皆さんに見て頂いたら何かヒントに成るかも・・・

この回答への補足

ポップのアドレスは
http://search-company.com/search.php?qq=aaaa&pin …
です。
「勝手にホームページ」のサイトも確かここと同じだったと思います。

補足日時：2004/01/15 23:31

No.6 回答者： trapk 回答日時： 2004/01/15 01:33

自己責任でお願いしたいのですが、

Spybotのアドバンスモードでツールのブラウザページ、ActiveX、システムスタートアップにそれらしいURLを指定しているものがいれば、それを削除すれば
実行を停止できるときもあります。

ただし、その画面では確認できるだけなので実際の変更はレジストリエディタで行うことになります。
レジストリは、扱いを間違えるとＰＣが起動しなくなる恐れもあります。

また、ポップアップをとめるだけなら例えばGoogleツールバーあたりをインストールすれば、ブロック機能が働くかもしれません。

参考URL：http://hetoheto.hp.infoseek.co.jp/index.html

No.5 回答者： fa-1 回答日時： 2004/01/15 01:22

こんにちは。

私もsearch the webで悩まされました。
結局はコントロールパネルのアプリケーションの追加削除で次のプログラムを削除して解決しました。
そのプログラムは「internet optimizer」です。
kqwcs334さんの中に入っていませんか。

この回答への補足

ありがとうございます。
探しましたが該当プログラムは入っていませんでした。なんか私のPCは重症のようですね・・・。

補足日時：2004/01/15 01:26

No.4 回答者： Hageoyadi 回答日時： 2004/01/15 00:18

そっか、違いましたか。

失礼しました。
こちらのサイトではスパイウェアについては
http://higaitaisaku.web.infoseek.co.jp/
http://www002.upp.so-net.ne.jp/dalk/higai24.html
http://sukiero.ktplan.net/erostart.html
が紹介されることが多いのですが、最新のスパイウェアに関するものばかりで、古くからのスパイウエアの亜種についてはなかなか情報が手に入りません。

私が見つけた中では
http://park2.wakwak.com/~dalk/sodansitu.html
がもっとも事例が多く保存されているようです。しょっちゅうURLが変わるのが難点ですので、このサイトの知的資産にはまったく貢献できませんが、上記ページの左上で「search the web」で検索すると・・・いくつかヒットしましたので一読してみてください。

なぜにアダルトばっかり？という突っ込みはなしでお願いします。

No.3 回答者： naonaonaonao 回答日時： 2004/01/14 23:58

＃２の方の回答に対する補足に対する回答で。

。

dir　/p
にすると１ページごとに停止してくれますよ！

でもわざわざコマンドプロンプトでなくて
マイコンピュータから入っていったり、検索を使って調べてはいかがでしょうか

この回答への補足

ありがとうございます。
お答えの通りマイコンピュータからatk.vbsを探しましたがそれらしきものはありませんでした・・・。

補足日時：2004/01/15 00:08

No.2 回答者： Hageoyadi 回答日時： 2004/01/14 23:25

詳しくはないんですけど、

正体は「TinyBar」
JS_TRAFFICHBAR.A
http://www.trendmicro.co.jp/vinfo/virusencyclo/d …
の変種として知られる迷惑プログラムです。
他の会社の広告をハイジャックして自分自身の広告と置き換えてしまうhijackerのひとつですね。

でもちょっと確信がもてないので２つほどご確認ください。
1.Windows\System　（Windows 95/98/Me の場合）を調べて 'atk.vbs' と呼ばれるファイルがあるかどうか。
2.スタート→ファイル名を指定して実行→半角で「regedit」と入力してEnterで開くレジストリエディタで
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Explorer Bars\{69550BE2-9A78-11d2-BA91-00600827878D}
というキーが存在するかどうか。
上記の２つのうち片方でも存在すればビンゴです。

この回答への補足

早速のアドバイスありがとうございます。

１に関してですが、MSDOSプロンプト＜cd　System→dir＞で調べたところ上の方が切れてしまい、ウィンドウ上にすべてのファイルが表示されませんでした。すべてのファイルを見るにはどうすればよいのでしょうか。初歩的な質問で恐縮です・・・。
２に関しては該当するキーは存在しませんでした。

補足日時：2004/01/14 23:39

No.1 回答者： izumokun 回答日時： 2004/01/14 23:25

　スパイウエアであれば、Spybotだけでなく、AD-aware も併用した方が良い、と言われてはいますが。

。。

　他にもいろいろ仕組まれている可能性がます。それ以外の対策として、

１　プログラムを仕組まれているかもしれないので、まずは「プログラムの追加と削除」に該当するものがないか、調べてください。調べる方法として、更新日時が一つの目安となります。

２　もし、「プログラムの追加と削除」になければ、Ｃドライブの「WINDOWSフォルダ」か「Program Files」の中に該当するものがないか、調べてください。

３　あとは、スタートボタン＞ファイル名を指定して実行＞「msconfig」と入力＞「スタートアップ」に該当するものがないか調べます。

４　最後に、インターネットオプション＞インターネット一時ファイルの「設定」ボタン＞オブジェクトの表示　と辿り、怪しいものがダウンロードされていないかどうか調べます

この回答への補足

ありがとうございます。
早速AD-awareをダウンロードしました。で、スキャンしたところぞろぞろと出てきました（英語なので詳細はよくわかりません）。迷わずremoveしたのですが、残念ながら症状は相変わらずです・・・。

補足日時：2004/01/15 00:28