不審なプログラムをインストールしてしまった。

アイドル画像のサイトを見ていた時に「セキュリティ警告」「～は～に署名されて配布されています。インストールしますか」こんな感じの画面が出てきて、つい、「はい」をクリックしてしまいました。
その後、IEを起動したときなどに勝手に変な広告のような画面が出てきます。
どうしたら元の状態に戻せるでしょうか。
できれば再セットアップはしたくありません（OFFICEのCD-ROMが無いので）。
宜しくお願いします。
今まで試したこと
・キャッシュ・cookie・履歴のクリア
・IEをver.5に戻してから再度6に。
・ウイルススキャン→ウイルスなし
環境
・Win98SE
・ADSL回線

No.5 ベストアンサー 回答者： heto2 回答日時： 2004/04/24 09:19

一通り調べてみました。

三つのスパイウエアはそれぞれ別系統ではないかと思います。
KaZaaなどを使っているとインストールされる可能性が高いとも思われます。

ユーザーの同意に基づいてインストールされるタイプのもので、アンティスパイウエアソフトも容易に手を出せないスパイウエアです。
「Ad-aware 6」も「Spybot-S＆D」も対応していないと思います。
Symantecが対応しているようですが、例によって、削除方法は手作業になり、危険かつ難解です。また検出されるデータが公表されていません。

以下、危険な作業ですので、事前に重要なファイルのバックアップを取っておくとともに「復元ポイント」を作って万一の際に備えてください。

★AdPowerZone（Search-Explorer）
http://www.adpowerzone.com/?id=tam39

１．プログラムの追加と削除で下記項目をアンインストールします。
　「Toolbar - Searching-4U」
　「Searching-4U"」

２．プロセスの停止
　タスクマネージャ＞プロセス画面で下記項目を選択「プロセスの終了」をクリック
　uninstall.exeexplbar.exe
　
３．DLLの停止と削除
　コマンドプロンプトを開き、下記のように入力してDLLファイルの実行を停止/削除します。（このままコピーアンドペーストでバッチファイルも作れます。）
　
　Regsvr32 /u "c:\Program Files\Bsearch-explorer\explbar.dll"
　del "c:\Program Files\Bsearch-explorer\explbar.dll"
　Regsvr32 /u "c:\windows\downloaded program files\explbar.dll"
　del "c:\windows\downloaded program files\explbar.dll"
　Regsvr32 /u "c:\windows\system32\explbar.dll"
　del "c:\windows\system32\explbar.dll"
　Regsvr32 /u "c:\windows\system\explbar.dll"
　del "c:\windows\system\explbar.dll"
　
４．レジストリエディターで下記項目があれば削除
　HKEY_CLASSES_ROOT\clsid\{23ddae8c-6a79-4d62-80aa-e95d89cb9811}
　HKEY_CLASSES_ROOT\clsid\{7fc19c98-ac4c-4d06-96d9-49f082d19fd7}
　HKEY_CLASSES_ROOT\interface\{1c5c8d85-5cdf-4908-9631-b32aa4724044}
　HKEY_CLASSES_ROOT\searchexplorer.searchexplorerobj
　HKEY_CLASSES_ROOT\searchexplorer.searchexplorerobj.1
　HKEY_CLASSES_ROOT\typelib\{7fc19c98-ac4c-4d06-96d9-49f082d19fd7}
　HKEY_CURRENT_USER\software\search-explorer
　HKEY_CURRENT_USER\software\searching-4u
　HKEY_LOCAL_MACHINE\clsid\{23ddae8c-6a79-4d62-80aa-e95d89cb9811}
　HKEY_LOCAL_MACHINE\software\classes\clsid\{23ddae8c-6a79-4d62-80aa-e95d89cb9811}
　HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{3717df55-0396-463d-98b7-647c7dc6898a}
　HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\toolbar\{23ddae8c-6a79-4d62-80aa-e95d89cb9811}
　HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\moduleusage\c:/windows/downloaded program files/explbar.dll
　HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\search-explorerietoolbar
　HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\searching-4u
　HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\searching-4uietoolbar
　HKEY_USERS\s-1-5-21-1409082233-1390067357-1801674531-500\software\search-explorer

４．デスクトップに「searching-4u toolbar.lnk」があれば削除
５．エキスプローラで下記項目があれば削除
　c:\Program Files\searching-4u\uninstall.exe
　c:\Program Files\searching-4u\uninstall.ini
　c:\windows\system\explbar.dllexplbar.exe
６．エキスプローラで下記ファイルを検索して見つかれば削除
　terms.txt

★Advnt01

「HijackThis」で比較的安全に作業できます。
「Hijack Thisの紹介」
http://www.dream-seed.com/server/hijackthis.html

「HijackThis」専用のフォルダ
　インストールされたフォルダにログファイルやバックアップデータを保存します。
　「HijackThis」専用のフォルダを作って本体を保存するようにしてください。

「HijackThis」の操作。

１．起動直後は殆ど白紙の状態です。
２．左下の「Scan」をクリック
３．スタートアップ設定の一覧が表示され、「Scan」ボタンが「Fix」に変わります。
４．下記項目を含む行があれば左端のチェックマークにチェックをいれ、「Fix」をクリック。（間違って他の行にチェックを入れないよう慎重にやってください。）
　R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://66.40.16.201/sb/
　R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
　R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
　R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
　R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://search.xrenoder.com
　R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497}
　O1 - Hosts: 193.125.201.50 ie.search.msn.com
　O1 - Hosts: 217.116.231.7 aimtoday.aol.com
　O1 - Hosts: 217.116.231.7 aimtoday.aol.com
　O1 - Hosts: 217.116.231.7 aimtoday.aol.com
　O2 - BHO: (no name) - {7C3AE047-BE1C-4830-981E-D8AE9C90F4DE} - C:\WINDOWS\FRECEVXSM.DLL
　O2 - BHO: (no name) - {01C5BF6C-E699-4CD7-BEA1-786FA05C83AB} - C:\PROGRAM FILES\SYSAI\APROPOSPLUGIN.DLL
　O4 - HKLM\..\Run: [jzdfywxx] C:\WINDOWS\kovkffz.exe
　O4 - HKLM\..\Run: [AutoUpdater] "c:\Program Files\AutoUpdate\AutoUpdate.exe"
　O4 - HKLM\..\Run: [WAST] C:\WINDOWS\WAST
　O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} (IObjSafety.DemoCtl) - 　O16 - DPF: {706F3805-27D7-478D-80E5-E25D2BB030B3} (VacPro.internazionale_ver3) -

５．「HijackThis」を終了します。

６．エキスプローラで下記ファイルがあれば削除してください。
　C:\WINDOWS\FRECEVXSM.DLL
　C:\PROGRAM FILES\SYSAI\APROPOSPLUGIN.DLL
　C:\WINDOWS\kovkffz.exe
　c:\Program Files\AutoUpdate\AutoUpdate.exe
　C:\WINDOWS\WAST
　
７．パソコンを再起動します。

★Popuppers
Uninstaller（危ないので使いません。）
http://www.popuppers.com/

シマンテックに記事があります。
Adware.Roimoi（popuppers）
http://www.symantec.com/region/jp/sarcj/data/a/a …

これも「HijackThis」を使えそうです。

「HijackThis」の操作。

１．起動直後は殆ど白紙の状態です。
２．左下の「Scan」をクリック
３．スタートアップ設定の一覧が表示され、「Scan」ボタンが「Fix」に変わります。
４．下記項目を含む行があれば左端のチェックマークにチェックをいれ、「Fix」をクリック。（間違って他の行にチェックを入れないよう慎重にやってください。）

　O2 - BHO: (no name) - {4A3BDAE8-B5E4-4443-B521-A60A4B82A30B} - C:\WINDOWS\rwznosdgz.dll
　O4 - HKLM\..\Run: [dos] dos64.exe
　O4 - HKLM\..\Run: [hyaabsqs] C:\WINDOWS\insfics.exe
　O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - 　O16 - DPF: {31150A86-0BBA-409F-BEB4-F3922D10BF34} - 　O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} -
　O16 - DPF: {E123BED4-B8C7-42BB-958F-F13CA77EF95D} (Anark Client ActiveX Control) -
　O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} -

５．「HijackThis」を終了します。

６．エキスプローラで下記ファイルがあれば削除してください。
　C:\WINDOWS\rwznosdgz.dll
　C:\WINDOWS\insfics.exe
　C:\WINDOWS\System32\dos64.exe

７．パソコンを再起動します。

巨大な回答になりました。
もうへとへとです。

このとおりやってみますか？
面倒だからクリーンインストールされますか？

ご自由に選択してください。

この回答へのお礼

回答ありがとうございます。
大変だったと思います。ほんとにありがとうございます。

お礼日時：2004/04/24 21:34

No.4 回答者： ittochan 回答日時： 2004/04/23 22:44

＞アイドル画像のサイトを見ていた時に

＞「セキュリティ警告」「～は～に署名されて
＞配布されています。インストールしますか」
＞こんな感じの画面が出てきて、
＞つい、「はい」をクリックしてしまいました。
ＩＥのツール→「インターネットオプション」をクリック
《全般》タブの「設定」をクリック
「オブジェクトの表示」をクリック

この中にない？

この回答へのお礼

回答ありがとうございます。
探してみたんですが、、、、。
それらしいものは無かったです。

お礼日時：2004/04/24 21:25

No.3 回答者： S-Fuji 回答日時： 2004/04/23 19:20

スパイウェアでしょう。

その様な場合はやたらと、OKを押さない事です。

最近は、SpybotやAd-awareでも退治出来ない物が増えているようです。
このサイトにSpybot・Ad-awareの使い方やその他のソフトの使い方が乗っています。じっくりと読んで下さい。
http://higaitaisaku.web.infoseek.co.jp/menu5.html

参考URL：http://higaitaisaku.web.infoseek.co.jp/menu5.html

この回答へのお礼

回答ありがとうございます。
まずは試してみます。

お礼日時：2004/04/23 20:47

No.2 回答者： heto2 回答日時： 2004/04/23 19:15

表示される画面のアドレス（ＵＲＬ）がわかればいいんですが。

IEの画面を右クリックして、「プロパティ」をクリック。
アドレス（ＵＲＬ）の右の文字列をマウスでなぞって反転表示させる。
その状態でCtrl＋C でコピーできるので、メモ帳に貼り付けで来ます。

この回答へのお礼

回答ありがとうございます。
勝手に表示されるページは複数あるんですが、いくつか下記に載せます。アドバイス有りましたら宜しくお願いします。
http://www.adpowerzone.com/?id=tam39
http://www.advnt01.com/new_sys/send_ocx.asp?pub_ …
http://www.popuppers.com

お礼日時：2004/04/23 20:56

No.1 回答者： noname#21343 回答日時： 2004/04/23 19:01

スパイウェアの可能性が高いですね。

とりあえず、spybot で駆除。

参考ｕｒｌを見て、ダウンロード→インストール→駆除を。

参考URL：http://enchanting.cside.com/security/spybot1.html

この回答へのお礼

回答ありがとうございます。駆除してみましたが、まだ広告が出てきます。

お礼日時：2004/04/23 20:28