トップページを変えられた・・。

インターネットエクスプローラーを起動したときのトップページを変えられてしまって困っています。スパイウェアだと思い、SpybotとAd-awareをインストールしましたが、まだ、変わったままです。セーフモードでも試しました。
よくスパイウェア関係のポップアップが出てきますが、ちょっと怖くてそれは閉じるようにしています。それとウィンドウズを終了するときにエラーが出て強制終了しないとダメなんです・・。ウイルスなんでしょうか？対策法を教えてください。

No.102 ベストアンサー 回答者： ittochan 回答日時： 2004/06/08 12:54

＞その使用目的もわかりません。

(^^ゞ
＞ぜひ教えていただけますでしょうか？
↓こういったサイトのJavaアプレットを動作させるために使用します。

悪質なものに置き換えられた可能性として
Java Runtime の上書きを回答したのです。

参考URL：http://fukuoka.cool.ne.jp/fullhouse/labo/labo.html

この回答へのお礼

誠に勝手ながら、とある事情によりこの質問を締め切りたいと思います。
まだ、解決はしておりませんが、気が向いたときにOSの再インストールをしようと思います。
皆様本当にありがとうございました。

お礼日時：2004/06/15 20:03

No.101 回答者： heto2 回答日時： 2004/06/04 08:03

No.97

１．レジストリキー全体をバックアップ
　レジストリキー全体をバックアップするのは結構時間がかかります。
　私の場合、(XP)で2～3分６MB 以上ありました。
　
２．レジストリキーをバックアップしない
　回答者の立場としてそれはいえません。
　「いざとなればクリーンインストール」
　と割り切ればバックアップなどいらないという考えもあります。
　あくまで自己責任という逃げ口上を付けておきます。
　
３．個別にバックアップ
　キーを右クリックしたとき「削除」と同時に「エクスポート」コマンドが表示されます。
　操作が面倒ですが、貴方の場合、これが適していると思います。

この回答へのお礼

操作が間違ってるのかな？個別に削除してもエクスポートは出来ないみたいです。
けどまぁ、いざとなれば・・・。

お礼日時：2004/06/09 00:51

No.100 回答者： ittochan 回答日時： 2004/06/04 06:37

＞どれをダウンロードすればいいんでしょうか？

「Windows (オフラインインストール) 」が良いのでは

この回答へのお礼

ダウンロードしました。
けど、どうやって使うものなのか、その使用目的もわかりません。(^^ゞ
ぜひ教えていただけますでしょうか？

お礼日時：2004/06/06 23:03

No.99 回答者： ittochan 回答日時： 2004/06/03 05:09

それと、

ANo.#98の
Browser Helper Objectsキーに登録されているものは
「インターネットオプション」の
「詳細設定」タブの
「サードパーティ製のブラウザ拡張を有効にする」の
チェックを外すと機能しなくなります。

この回答へのお礼

最近何かと忙しくて返事が遅れていることをお許しください。m(__)m
と、補足です。
スタートアップのチェックをすべて外してもしばらくするとやっぱりaboutblankになっちゃいます。

お礼日時：2004/06/05 11:41

No.98 回答者： ittochan 回答日時： 2004/06/03 04:54

＞色々調べたんですが、

＞しばらくしてからaboutblankになるようです。
＞もしくは何かの動作がきっかけになるのかな？
システム設定ユーティリティの
「スタートアップ項目を読み込む」にチェックが
入っていなくてもそうなるのなら、
Browser Helper Objects
が怪しいです、
これはInternet Explorerで特定のアクションを起こすと動作します。
（アクティブデスクトップがオンになっていると
Internet Explorerを起動しなくても動作する可能性があります）

heta2ちゃんの

２．
マイコンピュータ
　＋HKEY_LOCAL_MACHINE
　　＋SOFTWARE
　　　＋Microsoft
　　　　＋Windows
　　　　　＋CurrentVersion
　　　　　　＋Explorer
　　　　　　　＋Browser Helper Objects
このBrowser Helper Objectsキーにぶら下がっている
のがそうです。

それと、普通は

マイコンピュータ
　＋HKEY_CLASSES_ROOT
　　＋PROTOCOLS
　　　＋Filter
　　　　＋text/plain ←これはありません

４．
マイコンピュータ
　＋HKEY_CURRENT_USER
　　＋Software
　　　＋Microsoft
　　　　＋Internet Explorer
　　　　　＋Toolbar
このToolbarキーを削除して構いません。
これは「マイコンピュータ」等を開くと
エクスプローラが再作成してくれます。
（ツールバーの設定が初期化されます）

５．のJava Runtime ですが、
{8AD9C840-044E-11D1-B3E9-00805F499D93}
{CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA}
このCLSIDは正規のものをインストールしても
スパイウェアとして認識されてしまいます。
↓から最新版をインストールして上書きしてみるのもいいかも。

参考URL：http://java.com/ja/download/manual.jsp

この回答へのお礼

すみません、どれをダウンロードすればいいんでしょうか？

お礼日時：2004/06/04 02:09

No.97 回答者： heto2 回答日時： 2004/06/02 19:26

ここは「CWShredder」を信じて、「やるっきゃない」と思います。

その前にittochanさんのご意見、是非、拝聴したいところでもあります。

１．レジストリのバックアップ
　レジストリエディターを開き「マイコンピューター」右クリック
　「エクスポート」をクリック
　適当な名前(例えば、2004_06_02.reg)でわかりやすい場所に保存

２．レジストリキーの削除
　HKEY_CLASSES_ROOT\CLSID\{6439D220-B3F5-11D8-B660-00906B195D49}
　HKEY_CLASSES_ROOT\CLSID\{6439D221-B3F5-11D8-B660-00900455F8D2}
　HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain
　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper\Objects\{6439D221-B3F5-11D8-B660-00900455F8D2}
　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\HOMEOldSP

３．レジストリ値の削除
　HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main
　Start Page = "about:blank"
　レジストリキーを消していけません。
　右側の画面で「Start Page」を右クリックして「削除」

４．下のレジストリ値は私のレジストリにもあるので、消さない方がいいかも
　HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
　レジストリ値　ITBarLayout

５．「HijackThis」ログで削除
　気になるのは、No.54にある二つの設定です。

　[{8AD9C840-044E-11D1-B3E9-00805F499D93}]
　[{CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA}]

　「HijackThis」のログで下記の行にチェックを入れて「Fix checked」
　016-DPF:{8AD9C840-044-11D1-B3E9-00805F499D93}Java Runtime Environment 1.4.0_01)-
　016-DPF:{CAFEEFAC-0014-0000-0001-ABCDEFFDCBA}Java Runtime Environment 1.4.0_01)-
　018-Protocol hijack:http-{79EAC9E2-BAF9-11CE-8C82-00AA004BA90B}

６．ファイルの削除
　c:\windows\system\aljnbaa.dll
　多分セーフモードでの操作になると思います。

７．パソコンを再起動

８．「CWShredder」で再チェック

これでも復活するなら?　くよくよしない。

プログラムに精通した人間が本気でかかれば素人を騙すのは簡単なことです。
特に、正規のファイルを改変された場合など、素人には手も足も出ませんし、手を出すべきでもありません。

この回答への補足

　HKEY_CLASSES_ROOT\CLSID\{6439D220-B3F5-11D8-B660-00906B195D49}
　HKEY_CLASSES_ROOT\CLSID\{6439D221-B3F5-11D8-B660-00900455F8D2}
　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper\Objects\{6439D221-B3F5-11D8-B660-00900455F8D2}
はありませんでした。他は削除しました。
３つのHijackThisのログも存在しませんでした。

補足日時：2004/06/06 12:19

この回答へのお礼

最初の段階でつまづいてしまいました。
エクスポートができないです。(+_+)
出来なくても削除して大丈夫ですか？

お礼日時：2004/06/04 01:55

No.96 回答者： heto2 回答日時： 2004/06/02 12:01

「TrackZapper」

私なら、このソフトはお勧めしません。

１．検出基準が出鱈目
　私が試用してみた結果、必要なファイルであって、スパイウエアでもウィルスでもないファイルが続々検出されました。
　間違って削除していたらと思うとぞっとします。

２．「Ad-aware」の旧バージョンそっくり
　盗用だとはいえませんが、とにかく旧バージョンとよく似ています。

３．「LSPFix.exe」
　これも、http://cexx.org/lspfix.htm で公開されているソフトと殆ど同じ。
　出典も表示なし。
　
４．98では無理
　幾つかのプログラムをメモリに常駐させるタイプですので、98系のOSでの使用は苦しいのではないかと思います。
　特に、ウィルスソフトを常駐させた上に、さらに、このソフトを実行させるのは、殆ど不可能と思います。
　
５．アンインストールが不完全
　プログラムを終了したあとも２つのプログラムがプロセスで実行されたまま。
　このため、完全にアンインストールされず残骸が残ってしまいます。
　
６．「Ad-aware 6」でスキャン
　なんと!スパイウエア(Malware)?
　
７．Google検索
　「TrackZapper」を日本語で検索してみてください。

この回答へのお礼

ご忠告ありがとうございます。
使用しないことにします。
結局使わなかったけど、残骸が残っているのかな？？

お礼日時：2004/06/02 13:42

No.95 回答者： ittochan 回答日時： 2004/06/02 05:05

＞２つのチェックを外しても、

＞しばらくするとまたaboutblankにもどってます。
＞この２つは違うのかな？
違うみたいです。

この回答への補足

色々調べたんですが、しばらくしてからaboutblankになるようです。もしくは何かの動作がきっかけになるのかな？
なので、どれが原因なのか判定するのが難しいです。
どういう判定方法がいいのかな？(?_?)

補足日時：2004/06/02 15:30

この回答へのお礼

調べなおします。
また、補足します。

お礼日時：2004/06/02 13:31

No.94 回答者： Cuty_Cat 回答日時： 2004/06/02 04:51

trialボタンを押すと、画面が消えてしまうのですか？

私の場合は、すぐに次の画面が出ました。

インストールを失敗しているのかもしれません。
再度インストールをしてみて下さい。

あと、同じ症状で困っていた方が、また無事に削除に成功したようです。
http://oshiete1.goo.ne.jp/kotaeru.php3?q=871865
上記ページを参考にしてみて下さい。

このspywareはレジストリをいじらなくても、駆除ソフトでなんとかなるレベルかもしれません。
このソフトさえ上手く動作すれば、駆除できる可能性もぐっとあがります。
なんとか、動作できるようになれば良いのですが。。
。
あと一歩です。がんばりましょう（＾＾）

参考URL：http://oshiete1.goo.ne.jp/kotaeru.php3?q=871865

この回答へのお礼

ありがとうございます。
けど、No.96のheto2さんのご意見で使用しないほうが良いとのことなので、使わない事にします。
それに、Ad-awereが消しちゃったみたいです。
せっかくのご回答なんですが・・。すみません。m(__)m
誠にありがとうございます。

お礼日時：2004/06/02 13:28

No.93 回答者： heto2 回答日時： 2004/06/01 08:23

No.88のお返事

AAA.Possible Browser Hijack attempt

最後のブロックにある下記項目が非常に気になります。
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main
Start Page = "about:blank"

BBB.Cool Web Search
これについての情報が何か無かったでしょうか?

CCC.「Ad-aware 6」で駆除できないか試してください。
１．IEの画面を全て閉じておきます。
２．「Ad-aware 6」を起動
３．「Chek fo updates now.」をクリックして最新のデータにします。
４．スキャン実行＞終了
５．「Show logfile」をクリック
６．「Save」をクリックして適当なファイル名(例えばC:\AAW001.txt)で保存
７．「Next」をクリック
８．「X objects will be removed. Continue?」で「OK」をクリック。
９．パソコンを再起動して、「Ad-aware 6」で再スキャン

この回答へのお礼

CoolWebSearchの情報です。
CoolWebSearch Object recognized!
Type : RegKey
Data :
Rootkey : HKEY_CLASSES_ROOT
Object : CLSID\{6439D220-B3F5-11D8-B660-00906B195D49}


CoolWebSearch Object recognized!
Type : File
Data : aljnbaa.dll
Object : c:\windows\system\
FileSize : 30 KB
Created on : 04/06/01 8:59:14
Last accessed : 04/05/31 15:00:00
Last modified : 04/06/01 8:59:16



CoolWebSearch Object recognized!
Type : RegKey
Data :
Rootkey : HKEY_CLASSES_ROOT
Object : CLSID\{6439D221-B3F5-11D8-B660-00900455F8D2}


CoolWebSearch Object recognized!
Type : RegKey
Data :
Rootkey : HKEY_CLASSES_ROOT
Object : PROTOCOLS\Filter\text/html


CoolWebSearch Object recognized!
Type : RegKey
Data :
Rootkey : HKEY_CLASSES_ROOT
Object : PROTOCOLS\Filter\text/plain


CoolWebSearch Object recognized!
Type : RegKey
Data :
Rootkey : HKEY_LOCAL_MACHINE
Object : SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6439D221-B3F5-11D8-B660-00900455F8D2}

CoolWebSearch Object recognized!
Type : RegValue
Data :
Rootkey : HKEY_LOCAL_MACHINE
Object : SOFTWARE\Microsoft\Internet Explorer\Main
Value : HOMEOldSP

CoolWebSearch Object recognized!
Type : RegValue
Data :
Rootkey : HKEY_CURRENT_USER
Object : Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
Value : ITBarLayout

お礼日時：2004/06/02 13:54