ウイルス

インターネット初心者です。

4日前から突然パソコンがおかしくなってしまいました。
今まではYahooを『ツール』の『インターネットオプション』の全般のインターネットアドレスに設定していたのですがウイルスに書き換えられてしまい『about blank』
となってしまい『Search for』というページになってしまいます。
症状は勝手にカーソルが動いてしまったり思うように動かなかったりします。


ブラウザのホームページが書き換えられてしまい何度通常見ているホームページのアドレスにしてもaboutblankになってしまいます。

ウイルス検索をしてみて最初102個のウイルス検出され一度に削除出来なかったために次に3個の、最後に1個を削除してウイルスなしとなったのですが実際には未だにabout'blankになってしまいます。

どうやったら直るのですか？助言お願いいたします。
ウイルスの名前もわかる方教えて下さい。

No.31 ベストアンサー 回答者： ittochan 回答日時： 2004/05/20 06:56

レジストリの

HKEY_LOCAL_MACHINE
　＋SOFTWARE
　　＋Microsoft
　　　＋Windows
　　　　＋CurrentVersion
　　　　　＋ShellServiceObjectDelayLoad ←クリック

このキーの左側のウィンドウに
WebCheck以外に何か登録されていませんか？

No.30 回答者： ittochan 回答日時： 2004/05/18 12:28

Windows98ですよね？

スタート→「プログラム」→
「アクセサリ」→「システムツール」→
「システム情報」をクリック

ソフトウェア環境の
「読み込まれている xxビット モジュール」を開いて

一覧の中にある製造元の「Microsoft Corp」や知っているメーカ以外の
モジュールを選択して
「編集」→「コピー」をクリックして
この補足に貼り付けてください。

それと、
ソフトウェア環境の
「スタートアップ」や
「実行中のタスク」もお願いします。

それと、
インターネットからインストールしちゃったActiveXの場合は
Downloaded Program Filesに残骸が残っているかもしれないので
見てみてください。
方法は
インターネットオプションの「全般」タブから
「設定」をクリック
「オブジェクトの表示」をクリック

すると
Downloaded Program Filesフォルダが開きます。
このフォルダは特殊フォルダなので残骸が見えないので
↓を施します。
-------------------
「ツール」→「フォルダオプション」をクリック
「表示」タブをクリック
「アドレスバーにファイルのパス名を表示する」にチェックを入れて
「すべてのファイルフォルダを表示する」を選択して
「登録されているファイルの拡張子は表示しない」のチェックを外して

Downloaded Program Filesフォルダのアドレスバーに
記述されているパスをコピーして

スタート→「ファイル名を指定して実行」をクリック
入力ダイアログに
コピーした文字列を貼り付けて
最後に\desktop.iniと追加します。
（例：C:\WINDOWS\Downloaded Program Files\desktop.ini）
「OK」をクリックすると
desktop.iniファイルがメモ帳で開かれるので

CLSID={88C6C381-2E85-11d0-94DE-444553540000}
ここの先頭にセミコロン（;）を挿入して
;CLSID={88C6C381-2E85-11d0-94DE-444553540000}
こうします。

メモ帳で「ファイル」→「メモ帳の終了」をクリック
保存の確認ダイアログが出るので「はい」をクリックします。
------------------

そして
Downloaded Program Filesフォルダを閉じて
インターネットオプションの「全般」タブから
「設定」をクリック
「オブジェクトの表示」をクリックして開き直してみてください。

No.29 回答者： ittochan 回答日時： 2004/05/18 05:00

＞ittochanさんが教えてくれた通り検索してみて

＞削除しました。
どこに何があったのか教えてほしかったです。

＞About blankなのですが、
＞それは完治してないという事でしょうか？
ANo.#1の「Webの設定のリセット」で
ホームページがMSNにならないのなら完治してません。

ANo.#1の「Webの設定のリセット」をクリックして
「全般」タブをクリックして
ホームページはMSNでしょうか？

No.28 回答者： ittochan 回答日時： 2004/05/17 05:58

＞06849E9F-CBD7-4D59-B87D-784B7D6BE0B3

これは
アクロバットリーダーです。
PDFファイルを見るアプリね

＞53707962-6F74-2D53-2644-206D7942484F
これはspybotね。

＞9051D496-A7B7-4664-9857-D122404986FO
これを
レジストリエディタで

マイコンピュータ
　＋HKEY_CLASSES_ROOT ←クリック
して「編集」→「検索」から
検索してみてください。

＞AA58ED58-OADD-4d91-8333-CF10577473F7
これはGoogleのツールバーね

＞F7F808FO-6F7D-442C-93E3-4A4827C2E4CB
これも、
レジストリエディタで

マイコンピュータ
　＋HKEY_CLASSES_ROOT ←クリック
して「編集」→「検索」から
検索してみてください。

この回答への補足

見てみたら、また元のSearch forに戻ってしまいました。

補足日時：2004/05/17 19:00

この回答へのお礼

回答ありがとうございます。
ittochanさんが教えてくれた通り検索してみて削除しました。
それでツールのインターネットオプションの設定をMSNに変えました。履歴も消しました。そしてインターネットまた開いてみた所、Search forではなくMsnになってました。
本当にありがとうございました。凄い嬉しいです。でもアドレスの所は未だにAbout blankなのですが、それは完治してないという事でしょうか？

お礼日時：2004/05/17 14:50

No.27 回答者： ittochan 回答日時： 2004/05/15 06:43

レジストリエディタで

マイコンピュータ
　＋HKEY_LOCAL_MACHINE
　　＋SOFTWARE
　　　＋Microsoft
　　　　＋Windows
　　　　　＋CurrentVersion
　　　　　　＋Explorer
　　　　　　　＋Browser Helper Objects
　　　　　　　　＋{数字の羅列}
このBrowser Helper Objectsキーに
悪質なActiveXのCLSIDが登録されているかもしれないので、見てみてね。

この回答へのお礼

お礼など全て遅れてて申し訳ありません。ありがとうございます。ittochanさんが教えて下さった通り見てみました。でも悪質なActiveXCLSIDってどの様に見分けるのですか？
一応数字の羅列見てみた所、5通りありました。
06849E9F-CBD7-4D59-B87D-784B7D6BE0B3
と
53707962-6F74-2D53-2644-206D7942484F
と
9051D496-A7B7-4664-9857-D122404986FO
と
AA58ED58-OADD-4d91-8333-CF10577473F7
と
F7F808FO-6F7D-442C-93E3-4A4827C2E4CB
でした。宜しくお願いいたします。

お礼日時：2004/05/16 19:02

No.26 回答者： ittochan 回答日時： 2004/05/13 02:17

heto2ちゃんやbeerserverちゃんの

アドバイスにしたがって
怪しいDLL(もしくはOCX)ファイルを探したほうがいいかも。
そして、レジストリエディタで
そのファイル名を検索して
CLSIDを調べたほうがいいかもしれません。

この回答へのお礼

返事送れて申し訳ありません。
怪しいファイルと怪しくないファイルの区別が付かないのですが・・。
相変わらずabout blankのままです。

お礼日時：2004/05/16 19:04

No.25 回答者： noname#6461 回答日時： 2004/05/11 13:25

No.852603(#12)におけるheto2さんの

参考URLの情報を自分なりに訳してみました。
新種のabout:blankの駆除方法です。
不適切な点がありましたらご指摘下さい。

これはWindows2000/XP向けの情報です。
作業中、レジストリを編集する必要があります。
事前に必ずバックアップを取り、
実行される場合は自己責任でお願いします。無保証です。
自信が無ければリカバリされる事を強くお薦め致します。

レジストリエディタではダメな場合がある様なので、
フリーソフトのRegistrar Liteをダウンロードします。
　http://www.resplendence.com/reglite
また、ファイル削除用にKillBoxをダウンロードします。
　http://download.broadbandmedic.com
この2つは予めインストールしておいて下さい。
その後、セーフモードでシステムを起動します。

Registrar Liteを起動して、以下の場所を開きます。
　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　\Windows NT\CurrentVersion\Windows\\AppInit_DLLs
"AppInit_DLLs"をダブルクリックしてエディタを開き、
表示された値の中に怪しいDLLファイルが見つかったら、
そのDLLファイル名とパスを正確にメモしておいて下さい。

キーの名前を"Windows"→"NotWindows"に変更します。
　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　\Windows NT\CurrentVersion\ → Windows ←ココ

再度、"AppInit_DLLs"をダブルクリックして、
エディタで問題のDLLに関する値を削除します。

キーの名前を"NotWindows"→"Windows"に戻します。
確実に元の名前に戻ったか繰り返し確認して下さい。

Ad-aware,SpyBot,CWShredderでスキャンします。
発見されたスパイウェアは駆除して下さい。

コマンドプロンプトを起動します。
　ファイル名を指定して実行→"cmd"と入力してOK
以下のコマンドでシステムフォルダへ移動します。
　cd /d %systemroot%\system32
前にメモしたDLLファイルの存在を確認します。
　dir ファイル名
ファイルの読み取り専用属性を解除します。
　attrib -R ファイル名

ファイル削除の為にKillBoxを起動します。
削除対象には以下を指定
　%systemroot%\system32\ファイル名
メニューから以下の操作を行って下さい。
　Select Action → Delete on Reboot
　Select File → Add file
　Select Action → Process and Reboot
リブートされるのでセーフモードで起動して、
ファイルが削除されているかを確認します。
最後にAd-aware,SpyBot,CWShredderでスキャンして下さい。

問題が無ければ作業終了です。再起動して下さい。

参考URL：http://www.spywareinfo.com/forums/index.php?show …

No.24 回答者： heto2 回答日時： 2004/05/11 10:35

非常によく似た質問がここにあります。

質問者：ヤスさん
http://higaitaisaku.web.infoseek.co.jp/cgi-bin/c …

どうやら、複数のウィルス等に感染しているようです。
「about:blank」、
「ARERT!!!!・・・」（正しくは、「ALERT・・・」？）
「Window.exe」

１．「about:blank」
AAA.　「BHO」関連
　「HijackThis」で下記の行を「Fix」して駆除できます。
　O2 - BHO: (no name) - {6D586BBA-917A-4C21-A858-096290AA1D41} - C:\WINDOWS\System32\pmb.dll
　このとき使われるファイル名「pmb.dll」はその都度変化します。
　また、下記の「AppInit_Dlls」に登録された「DLL」ファイルを使って、すぐに復活してしまいます。
　
BBB.「AppInit_Dlls」関連
　これは「HijackThis」では見つかりません。
　危険ですが、レジストリエディターで直接調べるしかありません。
　
　レジストリエディターで下記のキーを開きます。
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

　右側の画面で下記の設定があるかどうか確認してください。
　　名前　：AppInit_DLLs

２．「ARERT!!!!・・・」
　この項目については、ファイルやレジストリ設定を特定できません。
　インターネットに接続中に飛び込んでくる悪質な広告ページだと思います。
　例:InternetWasher、System Soap Pro
　http://higaitaisaku.web.infoseek.co.jp/removewas …
　
３．「Window.exe」
　キーロガーを含む、かなり、強力かつ悪質なウィルスですが、トレンドマイクロが対応していますので、削除されたと思います。
　http://www.trendmicro.co.jp/vinfo/virusencyclo/d …
　http://inet.trendmicro.co.jp/virusinfo/isp/defau …
　
　「HijackThis」のログに下記の行がありますが、window.exeを削除しようとしても見つかりません。（多分、レジストリの削除漏れでしょう）
　O4 - HKCU\..\Run: [window.exe] C:\WINDOWS\System32\window.exe

ヤスさんのケースでは、一連の作業で症状が消えたことになっています。
「Window.exe」は、AV（AntiVirus）ソフトが消してくれたと思います。
「ARERT!!!!・・・」は、また厚かましく飛び込んでくる可能性があります。
「about:blank」はいつ再発してもおかしくありません。

その理由は、最終のログに下記の行があるからです。
O2 - BHO: (no name) - {10829626-863F-45FC-8CAF-E82DBDB4297D} - C:\WINDOWS\System32\pmb.dll (file missing)
「AppInit_DLLs」に登録されたファイルが動き出し、別のファイル名で、「about:blank」が復活すると思います。

しかし、レジストリにお詳しい、ittochanさんの手にかかれば、簡単に解決できると思います。

No.23 回答者： ittochan 回答日時： 2004/05/11 06:04

ANo.#22の

３．なのですが、
確認のため「スタートアップ」項目を補足していただけませんか？

No.22 回答者： ittochan 回答日時： 2004/05/11 05:36

＞再び確認してみた所Default_Page_URLのアドレスは

＞http://www.microsoft.com/isapi/redir.dll?prd=ie& …
＞となっていました。
ANo.#11のDefault_Page_URLが
そのようになっているのなら、
ANo.#16、ANo.#19は正常と思われます。

のもかかわらず、
１．
「Webの設定のリセット」直後、
「インターネットオプション」の
「全般」タブの
「ホームページ」が
about'blankになってしまう

２．
「Webの設定のリセット」後、
Windowsを再起動させなくても
「インターネットオプション」の
「全般」タブの
「ホームページ」が
about'blankになってしまう

３．
msconfigの「スタートアップ」に怪しいプログラムが無い。

の場合は、

Internet Explorerの
「ツール」→「インターネットオプション」をクリック
「全般」タブで「設定」をクリック
「オブジェクトの表示」をクリックします。
この中に
怪しいのがありませんか？