![](http://oshiete.xgoo.jp/images/v2/pc/qa/question_title.png?5a7ff87)
No.82
- 回答日時:
私も同じ「Search for」に苦しんでいましたが、先ほど自力で除去することができました。
その方法を下記の記事に書いておきましたので、ご覧になってみてください。
おそらく、これで完全に除去できるはずです。
http://oshiete1.goo.ne.jp/kotaeru.php3?q=871865
上手く除去できれば嬉しく思います。
参考URL:http://oshiete1.goo.ne.jp/kotaeru.php3?q=871865
ありがとうございます。
消しても消しても新たなDLLファイルが出てきちゃうんです。
Cuty_Catさんのものとは違う種類なのかな?それとも複数のウイルスに感染しているからかな・・?
No.80
- 回答日時:
>アップデートしたAd-awere 6を試してみました。
しかし、IE終了時にエラーがでます。どんなエラーでしょうか?
kernel32.dllでGoogle検索すると沢山表示されます。
しかし、これは、Windows98ユーザーで無いとわかりません。
>WININIT INI 206 04-05-26 2:10 Wininit.ini
>WININIT PIF 967 04-05-24 21:54 WININIT.PIF
>WININIT BAK 76 04-05-23 22:13 WININIT.BAK
通常、WININIT.BAKはWININIT.INIのバックアップですから、サイズがまったく違うというのはおかしいと思います。
その上WININIT.BAKのほうが、日付が古いというのは奇奇怪怪。
「.INI」が親とすると「.BAK」はその子供です。
子供の誕生日の方が、親の誕生日より古いなんて信じられますか?
>04-05-26 2:10
この時間、貴方が何をされたかを思い出してください。
多分、パソコンの電源を切る直前の時間では無かったかと思います。
☆推測できること・・・
1.「VirusX」は、BHOの名前を記憶している。
2.ユーザーは「HijackThis」等でBHO設定を削除して正常な表示に戻す。
3.パソコン終了時、ウィルスXがBHOの状態を調べる。
4.BHO設定が削除されているのがわかると「VirusX」は新しいWININIT.INIを生成する。
5.次回パソコン起動時にWININIT.INIが実行され、新しいBHOを設定する。
6.WININIT.INIは実行後、自動的にWININIT.BAKを残して消滅する。
パソコンの終了前の一瞬にWININIT.INIが生成され、次回、Windows起動前の一瞬にININIT.INIが実行されていると思います。
☆コンピューターを再起動
この仕組みは決して珍しくも何ともありません。
アプリケーションをインストールしたときに、コンピューターを再起動してください、という表示がよく出ますね。
アプリケーションのインストーラーは、Windows起動後では設定出来ない事項を、パソコンの再起動後、Windowsが起動される前にハードディスクに書き込んでアプリケーションを実行できるようにすることがよくあるのです。
☆Wininit.exe
WindowsにはWininit.exeという正規のプログラムがあります。
WindowsフォルダにWININIT.INIを見つけると、Windowsの起動前にWininit.exeが起動され、WININIT.INIに書き込まれた命令を実行します。
作業が終わるとWININIT.INIはWININIT.BAKを残して自動的に消滅する。
NUL=C:\WINDOWS\TEMP\GLB1A2B.EXEのように使用済みのファイルを削除する。
これで、WININIT.INIは二度と実行されませんし、不要なファイルは削除されます。
今回のウィルスでは、この仕組みが悪用されていると推定しています。
実験1.
「HijackThis」で調べると新しいBHOが作成されていると思います。
現在の状態でパソコンを再起動し、DOSプロンプトでDirWDM.batを実行して見てください。
WININIT.INI(04-05-26 2:10)は実行されたあとでしょうから、多分、WININIT.INIは現れないと思います。
実験2.
「HijackThis」でBHOを削除した後、パソコンをDOSプロンプトで再起動し、DirWDM.batを実行してください。
WININIT.INIを確認できたら下記のバッチを実行してみてください。
WININIT.INIに何が書かれているかがわかれば面白いと思います。
:~~~~~~TypeWIni.batはじめ~~~~~~~
c:
cd\windows
echo *** WININIT.INI 詳細 %date% %time% *** > c:\wininit.txt
echo\ >> c:\wininit.txt
type c:\windows\WININIT.ini >>c:\wininit.txt
attrib c:\windows\WININIT.ini >>c:\wininit.txt
echo\ >> c:\wininit.txt
echo *** WININIT.PIF 詳細 %date% %time% *** >> c:\wininit.txt
echo\ >> c:\wininit.txt
type c:\windows\WININIT.PIF >>c:\wininit.txt
attrib c:\windows\WININIT.PIF >>c:\wininit.txt
Notepad.exe c:\wininit.txt
exit
:~~~~~~TypeWIni.bat終わり~~~~~~~
どうもです。
不正な処理を行ったので・・・。っていうエラーです。
>04-05-26 2:10
この時間は多分再起動した時間かと思います。なのでオンの時かオフの時かはちょっと・・・。
すごくバカな質問ですが、DOSプロンプトっていうのはセーフモードのことでいいんでしょうか?
No.79
- 回答日時:
(*^o^*)オ (*^O^*)ハー
>"Hidserv.exe run"は消すべきなんですか?
「システム設定ユーティリティ」の
「スタートアップグループの項目を読み込む」の
チェックを外してWindowsを再起動させて
マイコンピュータ
+HKEY_LOCAL_MACHINE
+Software
+Microsoft
+Windows
+CurrentVersion
+RunServices ここの
名前___データ
Hidserv "Hidserv.exe run"
↑
右クリック→「削除」をクリックして
「システム設定ユーティリティ」の
「スタートアップグループの項目を読み込む」の
チェックを入れてWindowsを再起動します。
それと、Hidserv.exe を探し出して
このプログラムのバージョン情報を
補足してください。(製造元とか)
とりあえずhidserv.exeのバージョンです
会社名Microsoft Corporation
言語英語 (U.S.)
正式ファイル名HIDSERV.EXE
製品バージョン4.10.2222
製品名Microsoft(R) Windows(R) Operating System
内部名hidserv
No.78
- 回答日時:
ANo.#72の補足なんですが、
それって、
レジストリの
マイコンピュータ
+HKEY_CURRENT_USER
+Software
+Microsoft
+Windows
+CurrentVersion
+Run ←この中
それと、
マイコンピュータ
+HKEY_LOCAL_MACHINE
+Software
+Microsoft
+Windows
+CurrentVersion
+Run
のことでしょ?
これは、
「システム設定ユーティリティ」の
「スタートアップ」タブで確認したからいいんですよ。
No.76
- 回答日時:
>マイコンピュータ
>HKCU\..\RunOnce は特に問題なさそうです。
>HKCU\..\runservice は存在しないです。
>HKLM\..\RunOnce ↓です。
>Hidserv "Hidserv.exe run"
RunOnceキーは
通常でしたら
Windows起動後、登録されているプログラムが正常終了したら登録が抹消されるんです。
悪質なプログラムの中には
実行するたびにこのキーに自己登録してしまいます。
「システム設定ユーティリティ」で
「スタートアップ項目」を読み込まない状態で
ホームページが正常なのですから、
もしかしたら、これかもしれません。
レジストリの
マイコンピュータ
+HKEY_LOCAL_MACHINE
+Software
+Microsoft
+Windows
+CurrentVersion
+RunOnce ←この中の
名前_____データ
Hidserv "Hidserv.exe run"
↑
を右クリック→「削除」をクリックして
Windowsを再起動させてみてください。
ごめんなさい。
また、訂正です。m(__)m
RunOnceの中身ではなく、RunServicesの中のものでした。
すみません。ちょっとパニくってます。(^^ゞ
No.75
- 回答日時:
セーフモードで起動して
レジストリから
CLSIDの
{8B7B79C1-AA8F-11D8-B660-009002A627F8}
を削除すれば、
CHGB.DLL
は動けなくなると思います。
No.73
- 回答日時:
あれ?
「スタートアップ」タブの
>*FO-syst>m.ini:Shell=
>*FO-R□□ >ystem.ini:Shell>=
>*FO-R□□ >ystem.ini:UseInit=
>*02-BHO:(no name)-{8B7B79C1-AA8F-11D8-B660-009002A627F8}-C:/WINDOWS/SYSTEM/CHGB.DLL
>*03-Toolbar:?????-{8E718888-423F11D2-876E-00A0C9082467}-C:/WINDOWS/SYSTEM/MSDXM.OCX
これかも。
最初の3つは
win.iniとsystem.iniみたいですね。
MSDXM.OCXって
Internet Explorerのコンポーネントの1つなんですが、これ書き換えられているかも。
これらのチェックを外して
Windowsを再起動させてみて。
ごめんなさい。m(__)m
勘違いしていました。(^^ゞ
間違えてhijuckthisのlogを出しちゃいました。
msnmsgr _ "C\PROGRAM FILES\MSN MESSENGER\MSMSGER.EXE"/background
McAfeeWebScanX _ C\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe
internat.exe _ internat.exe
ScanRegistry _ c:\windows\scanregw.exe/autorun
TaskMonitor _ c:\windows\taskmon.exe
SystemTray _ SysTray.Exe
LoadPowerProfile _ Rundll32.exe powrprof.dll,LoadCurrentpwrScheme
AvconsoleEXE _ C:\Program Files\Network Associates\McAfee VirusScan\avconsol.exe/minimize
VsStatEXE _ C:\Program Files\Network Associates\McAfee VirusScan\VSSTAT.EXE/SHOWWARING
LoadQM _ loadqm.exe
Vshwin32EXE _ C:\PROGRAM FILES\NETWORK ASSOCIATES\MACAFEE VIRUSSCAN\VSHWIN32.EXE
TkBellExe _ "C:\Program Files\Real\update_OB\realsched.exe"-osboot
McafeeWebScanX _ C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe/RUNSERVUCES
Machine Debug Manager _ C:\WINOWS\SYSTEM\MDM.EXE
Hidserv _ Hidserv.exe run
LoadPowerProfile _ Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
Vshwin32.EXE _ C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE
SchedulingAgent _ mstask.exe
FM便利ツール _ C:\PROGRA~1\FUJITSU\AUV\AUVCORE.EXE
Microsoft Office StartUp _ C:\PROGRA~1MICROS~1\OFFICE\OSA9.EXE
hatchinsaide.exe _ C:\PROGRA~1DI\HATCHI~1\HATCHI~1.EXE
WordLinker _ C\PROGRA~1\ZENRIN\EMAPZ2\WORDLI~1\SS_LIN~1.EXE
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- Windows 10 windows10のクリーンインストールが完了出来ない 2 2022/06/04 13:33
- Android(アンドロイド) Android バッテリーの消耗が早くなった。2倍以上 6 2022/05/28 10:36
- デスクトップパソコン 「自動修復でPCを修復できませんでした」と表示されPCが起動しないのですが対処法はありますか? 5 2022/05/13 09:16
- Windows 10 Windows10起動しない、エラー0xc0000185修復方法 2 2022/07/14 12:28
- CPU・メモリ・マザーボード 自作PCの再起動多発について 6 2022/04/17 15:15
- Chrome(クローム) ブラウザーGoogle Chromeに関する質問 1 2023/07/07 11:22
- iPhone(アイフォーン) iPhone機種変 親への言い方 2 2022/03/26 17:30
- Visual Basic(VBA) こんにちは。ExcelVBA初心者につき困っています。Functionで始まっている処理の中で、処理 1 2022/06/18 21:40
- マルウェア・コンピュータウイルス McAfee total Protection の 偽サイトについて 2 2022/04/12 20:27
- Android 僕のXperiaXZ1(Androidバージョン 9 Pie)のtube mateが動かなってしまい 1 2022/07/28 16:19
関連するカテゴリからQ&Aを探す
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
FXonline でログインできない
-
無料体験版ウイルスソフトを消...
-
Ad-Aware 2007を削除しようとす...
-
Excel のxlsx を Excel2000で...
-
インターネットエクスプローラ...
-
タスクバーの音量アイコンが消...
-
フリーソフトをダウンロードし...
-
スパイボット
-
ノートパソコンについて ミカタ...
-
ウイルスソフトのアンインスト...
-
プログラムのアンインストール...
-
セキュリティソフトの影響でUSB...
-
ウィルスバスターが消えた。
-
ElbyCheckと言うアイコンが常に...
-
PCを立ち上げると、必ず「ソ...
-
「トラッカー」って何でしょうか?
-
通信量を見たい
-
Windowsのデスクトップ版discor...
-
Aloha Browser をWin PC にイン...
-
モバイルpasmoとモバイルsuica
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
FXonline でログインできない
-
KINGsoftが完全に削除できない ...
-
QuickShareをアンインストール...
-
ノートンからマカフィーに変え...
-
Ask.com削除について
-
ソフトアンインストール残存フ...
-
警告が出るのですが。
-
JWord のアンインストール方法...
-
「パスワードが見えるソフト」...
-
ノートパソコンについて ミカタ...
-
トップページを変えられた・・。
-
起動時に立ち上がるNortonの消...
-
OUTLOOK2010 閲覧ウィ...
-
アダルトサイトからのウイルス
-
エラー KB922770 WindowsXPでW...
-
regclean proの広告の削除の仕方
-
Reg Clean Proの完...
-
ActiveXについて・・・
-
タスクバーの音量アイコンが消...
-
勝手に新たにウインドーが開き...
おすすめ情報