スパイウェアではないのでしょうか？

ずいぶん前より、インターネットに接続すると、勝手にカチッと無修正画像が２つ重なって出てきたり、パソコンを起動や再起動するとデスクトップにura-ビデオと書いたwindows media ｐlayerのショートかットキーがでてきていました、これは、ほかの方と同じ症状だと思いspybotをダウンロードし、駆除しました。これでもう安心と思っていたら、ビデオはまだ毎回出てきます、これはスパイウェアではなかったのでしょうか？初心者ですのでどなたか簡単にできる駆除の仕方を教えて下さい！宜しくお願いします。

No.10 ベストアンサー 回答者： heto2 回答日時： 2004/04/06 09:07

No.8への追加です。

「Wild_jp.exe」はプロセスで実行中のため削除しようとしても「削除できません」というエラーになると思います。
タスクマネージャを使って、Wild_jp.exeを停止させておく必要があります。

１．タスクマネージャの起動
・Windows 95/98/ME の場合 CTRL+ALT+DELETEを押します。
・Windows NT/2000/XP の場合 CTRL+SHIFT+ESCを押します。
２．プロセスの表示
　「プロセス」タブをクリック
３．「Wild_jp.exe」の実行停止
　「プロセス」画面で「Wild_jp.exe」を選択して画面右下の「プロセスの終了」をクリック。

これ以降、No.8の「手作業での削除方法」を試してください。

No.12 回答者： genta888 回答日時： 2004/04/19 17:00

書き忘れ。

。。。

No.11文頭に補足。
No.7さんの４とNo.5さんに対する補足です。

この回答への補足

ご記入ありがとうございました！お恥ずかしながらいまだに、解決しておりません。。。１つ教えていただきたいのですが、Ｗindowsのエクスプローラはどうしたらつかえるのですか？これを使いフォルダを削除する。と書いてあるのです。どうしたらいいのでしょうか？

補足日時：2004/04/19 19:46

No.11 回答者： genta888 回答日時： 2004/04/19 16:58

>Excite Wall Paper excite wall paper.lnk FM-A925580C4050\Owner スタートアップ

FM-V系の壁紙かと。

>MSMSGS "c:\program files\messenger\msmsgs.exe" /background FM-A925580C4050\Owner HKU\S-1-5-21-1355584166-1754454208-3760404233-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
間違いなく、MSNMessengerです。（特に、/backgroundオプション）

>ctfmon.exe c:\windows\system32\ctfmon.exe FM-A925580C4050\Owner HKU\S-1-5-21-1355584166-1754454208-3760404233-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
参考URL参照のこと。（Microsoft）

参考URL：http://support.microsoft.com/default.aspx?scid=k …

No.9 回答者： heto2 回答日時： 2004/04/05 07:28

補足です。

>私のパソコンはケーブルインターネットなんですが有料のサイトにつながりいきなり請求書がきたりするのでしょうか～？　

接続されたのであれば請求が来ると考えてください。
一寸繋いだだけであれば大した金額にならないと思います。
世の中色々ありますから、この程度のことで、あまり深刻に考えないように。

ADSLやケーブルの場合、有料のサイトにはつながらないという人がありますが、私はそんな話は信用しません。

現にADSL用のダウンロードサイトというのを見たことがありますし、接続設定をダイアルアップに変えてしまうスパイウエアもあります。

もし、怪しげなサイトを訪れるのであれば、常に、接続設定が正常かどうか調べておくことも大切です。

この回答へのお礼

迅速な対応いつもありがとうございます！初心者にはとても心強く大変感謝しております！まだ、トロイと格闘中です！頑張ります！！(≧∇≦)b

お礼日時：2004/04/05 11:38

No.8 回答者： heto2 回答日時： 2004/04/05 07:12

いつもながら、一般ユーザーにはわかりにくい説明ですね。

どうして手作業になるのか疑問に思います。

「Spybot-S＆D」がこのスパイウエアにほぼ対応しています。
http://download.com.com/3000-2144-10122137.html? …

以下、手作業での削除方法です。

１．エキスプローラでファイルを削除
"c:\program files\comsoft\dialers\Wild_jp\Wild_jp.exe"

２．エキスプローラでフォルダを削除
"c:\program files\comsoft\dialers\Wild_jp"
"c:\program files\comsoft\dialers"
"c:\program files\comsoft"

３．エキスプローラでショートカットを削除
"C:\Documents and Settings\m\スタート メニュー\Wild_jp.lnk"
"C:\Documents and Settings\m\デスクトップ\Wild_jp.lnk"

４．レジストリエディターでレジストリを削除
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run c:\program files\comsoft\dialers\wild_jp\wild_jp.exe /noconnect
HKEY_CURRENT_USER\Software\Comsoft
HKEY_CURRENT_USER\Software\Comsoft\Dialers
HKEY_LOCAL_MACHINE\Software\Comsoft
HKEY_LOCAL_MACHINE\Software\Comsoft\Dialers
HKEY_USERS\S-1-5-21-1214440339-1343024091-1957994488-1004\Software\ComSoft\dialers

レジストリの削除が難しければ（１）～（３）までで状況を確認してください。
多分、このスパイウエアは動かなくなります。
（４）は一種のごみ掃除です。残っていても大きな悪影響はありません。

頑張ってね。

No.7 回答者： heto2 回答日時： 2004/04/02 09:28

1.危険！

　そのショートカットをクリックしないように！
　国際電話、有料電話に接続する可能性があります。
　「ご注意下さい、海外の情報提供サービス！！」
　http://www.kddi.com/topics/atx/image.html

２．緊急！接続設定の調査
　IEメニューの「ツール」「インターネットオプション」「接続」を開きます。
　プロバイダー以外の設定が追加されていないか調べてください。
　もし、不審な設定があり、「規定」になっていればインターネットに接続するたびに高額な料金がかかる危険があります。

３．大いなる誤解
>spybotをダウンロードし、駆除しました
　「Spybot-S＆D」で全てのスパイウエアを駆除できるとは限りません。
　特に、日本でしか出回っていないスパイウエアはチェックできません。
　「ura-ビデオ」という名前からして、日本人向きとしか思えません。
　一度、下記サイトで「ウイルスバスターオンラインスキャン」を試してください。
　http://www.trendmicro.co.jp/hcall/index.asp
　
４．msconfig
　前回（No.5）で停止した３項目は復活させてください。
　スパイウエアとは関係ないように思います。

５．ショートカット
　リンク先の無いショートカットというのは私のパソコンには一つもありません。
　URLまたは実行ファイルが必ずリンクされているはずです。
　私の想像ではダイアラーソフトがリンクされていると思います。
　そのソフトを削除する必要があります。
　
６．疑問？
　そのショートカットを右クリックの「削除」で削除できなかったのですか？
　それとも、削除してもパソコンを再起動するとまた出てくるのですか。
　
７．「desktop.ini」
　通常パソコンを起動すると４つの「desktop.ini」がメモリーに呼び出され、そのうち一つに、必ずログインユーザーのものがあります。
　desktop desktop.ini FM-A925580C4050\Owner スタートアップ
　desktop desktop.ini NT AUTHORITY\SYSTEM スタートアップ
　desktop desktop.ini .DEFAULT スタートアップ
　desktop desktop.ini All Users 共通スタートアップ

　私の推定では「FM-A925580C4050」がログインユーザーとしか考えられません。
　もう一度「スタート＞コントロールパネル＞ユーザーアカウント」で調べてみてください。
　
８．「desktop.ini」とは
　ユーザーがファイル、フォルダ、およびそのコンテンツを表示する方法についての情報が保存されているファイルです。
　システムが自動的に作成しますので、通常ユーザーが意識する必要はありません。
　また、一般ユーザーが、このファイルを編集したり削除してはいけません。

この回答への補足

いつもアドバイスありがとうございます！今日、上記３番のウイルスバスターオンラインスキャンやってみました！なんと２件見つかりました。ウイルス名TROJ_WILDJP.Aでした。手動削除手順が、書いてありましたが・・・素人には難しそうです。ゆっくりやってみようと思います。あと１番の国際電話や有料サイトなんですが、私のパソコンはケーブルインターネットなんですが有料のサイトにつながりいきなり請求書がきたりするのでしょうか～？　　　お忙しいとは思いますが教えて下さい。よろしくお願いします！

補足日時：2004/04/04 22:44

No.6 回答者： heto2 回答日時： 2004/04/01 13:19

１．「FM-A9255・・・・・・・」

　なにか心当たりありませんか？
　例えば貴方のログインユーザー名とか
　「スタート＞コントロールパネル＞ユーザーアカウント」で調べられます。
　
２．無修正画像
　画像を表示しているプログラム（IEとかMSペイントとか）は？
　右クリックしてメニューを表示できますか？
　
３．Windows Media Playerのショートカットキー
　右クリックして「プロパティ」を表示できますか？
　出来ればリンク先教えてください。

この回答への補足

お世話になっております！上記の１番FM・・・全く心当たりありません！２番の無修正画像は今のところでなくなりました～しかし、３番はほぼ毎回出てきます！プロパティ開いたのですがリンク先などは書いていませんでした！１度再生しないといけないのでしょうか？しかし、再生すると１０秒ほど再生した後、無修正画像のページに勝手に接続され、スパイボットに引っかかるものがついてきます！市販のウイルスバスターみたいな物を買ったらきえるでしょうか？でもこれは、ウイルスじゃないんですよね～・・・困った・・・

補足日時：2004/04/02 00:00

No.5 回答者： heto2 回答日時： 2004/03/30 19:20

う～ん。

参りました。
ずばり、スパイウエアと断定できるものが無いのです。
しかし、なぜ、こんなものが？ というのが次の3項目です。

Excite Wall Paper excite wall paper.lnk FM-A925580C4050\Owner スタートアップ
MSMSGS "c:\program files\messenger\msmsgs.exe" /background FM-A925580C4050\Owner HKU\S-1-5-21-1355584166-1754454208-3760404233-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ctfmon.exe c:\windows\system32\ctfmon.exe FM-A925580C4050\Owner HKU\S-1-5-21-1355584166-1754454208-3760404233-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

試しにMSCONFIGで以上３項目を停止してみてください。

☆msconfig
１．「スタート」「ファイル名を指定して実行」「msconfig」で「OK」
２．「システム構成ユーティリティ」の画面になります。
３．「スタートアップ」タブをクリック

４．スタートアップ項目で上記３項目の左にあるチェックボックスをクリックしてチェックマークを消して「OK」をクリックください。
５．ダイアログが表示されますので、「再起動」を選択してパソコンを再起動してください。

復旧するにはチェックボックスをクリックするとチェックマークが入りますので「OK」をクリックして再起動すると元に戻ります。

この回答への補足

アドバイスありがとうございます。教えていただいたとうりに「スタートアップ項目」で「ctfmon」「msmsgs」「Excite Wall Paper」と書いてあるものを、チェックを消し、再起動してみたところまだ、URA－ビデオ出てきました！　　　　　　　　　　　　　　　　　　　　全般タブでスタートアップ選択をするようにと出るのですが、通常と診断と項目を選ぶやつの、どれにしたらいいのでしょうか？　　　　　　　　　　　　　　　　　　　　　　　　　今は上記の３つはチェック消してますが、そのままでよいでしょうか？特に問題ないようでしたら、そのままにしておこうと思ってます！　　　　　　　　　　　　　　　　　　　　初心者で何も分からずお手数をおかけしますが、お返事宜しくお願いします！

補足日時：2004/03/31 16:05

No.4 回答者： WindowsUpUp 回答日時： 2004/03/30 14:57

★　申し訳ありませんが、以下は駆除方法についてのアドバイスではありません。

駆除が一段落した後でお読みください。

残念ながら、スパイウェアに関して「簡単にできる駆除の仕方」は存在しないと考えた方が良いでしょう（「クリーンインストール」が一番簡単＆確実な場合もあるかもしれません・・・）。

しかし、比較的簡単に実行できる「予防」の方法はあります。今回の件が解決したら、ぜひ「予防」策を固められるようお勧めします（また感染したら大変ですから）。

【 予防法１ 】怪しげなサイトは一切見ない

●　見るなら「アクティブコンテンツ」を全部遮断した上で、「スパイウェアに感染したら全部自力で解決する」覚悟を固めてから見るようにします。

【 予防法２ 】スパイウェア「予防」ツールの導入

私は、以下の２つをお勧めします。

（１）SpywareBlaster

2.6.1 から 3.0 へ、2004年3月29日にバージョンアップしたばかりです。新バージョンに関する日本語情報が出揃ってから導入した方が良いかもしれません。

（２）IE-SPYAD（IE 専用の安全性向上ツール）

海外のスパイウェア対策フォーラムでは大変評価の高いツールですが、日本ではほとんど知られていません（その点が心配なようでしたら、使用は控えるべきでしょう）。
私自身は何の問題もなく使っています。導入＆更新は簡単だと思います。


その他の詳細については、参考 URL をご覧ください。

参考URL：http://oshiete1.goo.ne.jp/kotaeru.php3?q=817698

この回答へのお礼

予防方法ありがとうございます！頑張って早く駆除し、予防したいです！

お礼日時：2004/03/30 17:07

No.3 回答者： R-Fuji 回答日時： 2004/03/30 10:32

アプリケーションとして組み込まれ、アンインストーラでないと削除できない部類があるようです。

実際、確認はしてませんが過去にポップアップが出る原因がスパイウェアだった事例がありました。

下記、サイトの一覧情報は若干古いですが、n-CASEもアンインストーラが配布されているようです。

参考URL：http://higaitaisaku.web.infoseek.co.jp/uninstall …

この回答へのお礼

アドバイスありがとうございます。サイト参考にさせていただきます！

お礼日時：2004/03/30 17:05