トップページを変えられた・・。

インターネットエクスプローラーを起動したときのトップページを変えられてしまって困っています。スパイウェアだと思い、SpybotとAd-awareをインストールしましたが、まだ、変わったままです。セーフモードでも試しました。
よくスパイウェア関係のポップアップが出てきますが、ちょっと怖くてそれは閉じるようにしています。それとウィンドウズを終了するときにエラーが出て強制終了しないとダメなんです・・。ウイルスなんでしょうか？対策法を教えてください。

No.82 回答者： Cuty_Cat 回答日時： 2004/05/27 08:46

私も同じ「Search for」に苦しんでいましたが、先ほど自力で除去することができました。

その方法を下記の記事に書いておきましたので、ご覧になってみてください。
おそらく、これで完全に除去できるはずです。
http://oshiete1.goo.ne.jp/kotaeru.php3?q=871865

上手く除去できれば嬉しく思います。

参考URL：http://oshiete1.goo.ne.jp/kotaeru.php3?q=871865

この回答へのお礼

ありがとうございます。
消しても消しても新たなDLLファイルが出てきちゃうんです。
Cuty_Catさんのものとは違う種類なのかな？それとも複数のウイルスに感染しているからかな・・？

お礼日時：2004/05/27 21:49

No.81 回答者： ittochan 回答日時： 2004/05/27 07:13

＞とりあえずhidserv.exeのバージョンです

それ、問題ないようです。
USBキーボードを使用している環境にあるようです。

No.80 回答者： heto2 回答日時： 2004/05/26 22:53

>アップデートしたAd-awere 6を試してみました。

しかし、IE終了時にエラーがでます。

どんなエラーでしょうか?
kernel32.dllでGoogle検索すると沢山表示されます。
しかし、これは、Windows98ユーザーで無いとわかりません。

>WININIT INI 206 04-05-26 2:10 Wininit.ini
>WININIT PIF 967 04-05-24 21:54 WININIT.PIF
>WININIT BAK 76 04-05-23 22:13 WININIT.BAK

通常、WININIT.BAKはWININIT.INIのバックアップですから、サイズがまったく違うというのはおかしいと思います。

その上WININIT.BAKのほうが、日付が古いというのは奇奇怪怪。
「.INI」が親とすると「.BAK」はその子供です。
子供の誕生日の方が、親の誕生日より古いなんて信じられますか?

>04-05-26 2:10

この時間、貴方が何をされたかを思い出してください。
多分、パソコンの電源を切る直前の時間では無かったかと思います。

☆推測できること・・・

１．「VirusX」は、BHOの名前を記憶している。
２．ユーザーは「HijackThis」等でBHO設定を削除して正常な表示に戻す。
３．パソコン終了時、ウィルスXがBHOの状態を調べる。
４．BHO設定が削除されているのがわかると「VirusX」は新しいWININIT.INIを生成する。
５．次回パソコン起動時にWININIT.INIが実行され、新しいBHOを設定する。
６．WININIT.INIは実行後、自動的にWININIT.BAKを残して消滅する。

パソコンの終了前の一瞬にWININIT.INIが生成され、次回、Windows起動前の一瞬にININIT.INIが実行されていると思います。

☆コンピューターを再起動
この仕組みは決して珍しくも何ともありません。
アプリケーションをインストールしたときに、コンピューターを再起動してください、という表示がよく出ますね。

アプリケーションのインストーラーは、Windows起動後では設定出来ない事項を、パソコンの再起動後、Windowsが起動される前にハードディスクに書き込んでアプリケーションを実行できるようにすることがよくあるのです。

☆Wininit.exe
WindowsにはWininit.exeという正規のプログラムがあります。
WindowsフォルダにWININIT.INIを見つけると、Windowsの起動前にWininit.exeが起動され、WININIT.INIに書き込まれた命令を実行します。
作業が終わるとWININIT.INIはWININIT.BAKを残して自動的に消滅する。
NUL=C:\WINDOWS\TEMP\GLB1A2B.EXEのように使用済みのファイルを削除する。
これで、WININIT.INIは二度と実行されませんし、不要なファイルは削除されます。

今回のウィルスでは、この仕組みが悪用されていると推定しています。

実験1.
「HijackThis」で調べると新しいBHOが作成されていると思います。
現在の状態でパソコンを再起動し、DOSプロンプトでDirWDM.batを実行して見てください。
WININIT.INI（04-05-26 2:10)は実行されたあとでしょうから、多分、WININIT.INIは現れないと思います。

実験2.
「HijackThis」でBHOを削除した後、パソコンをDOSプロンプトで再起動し、DirWDM.batを実行してください。
WININIT.INIを確認できたら下記のバッチを実行してみてください。
WININIT.INIに何が書かれているかがわかれば面白いと思います。

:～～～～～～TypeWIni.batはじめ～～～～～～～
c:
cd\windows

echo *** WININIT.INI 詳細 %date% %time% *** > c:\wininit.txt
echo\ >> c:\wininit.txt
type c:\windows\WININIT.ini >>c:\wininit.txt
attrib c:\windows\WININIT.ini >>c:\wininit.txt

echo\ >> c:\wininit.txt
echo *** WININIT.PIF 詳細 %date% %time% *** >> c:\wininit.txt
echo\ >> c:\wininit.txt
type c:\windows\WININIT.PIF >>c:\wininit.txt
attrib c:\windows\WININIT.PIF >>c:\wininit.txt


Notepad.exe c:\wininit.txt
exit
:～～～～～～TypeWIni.bat終わり～～～～～～～

この回答へのお礼

どうもです。
不正な処理を行ったので・・・。っていうエラーです。

>04-05-26 2:10
この時間は多分再起動した時間かと思います。なのでオンの時かオフの時かはちょっと・・・。

すごくバカな質問ですが、DOSプロンプトっていうのはセーフモードのことでいいんでしょうか？

お礼日時：2004/05/27 05:59

No.79 回答者： ittochan 回答日時： 2004/05/26 06:27

(*^o^*)オ (*^O^*)ハー

＞"Hidserv.exe run"は消すべきなんですか？
「システム設定ユーティリティ」の
「スタートアップグループの項目を読み込む」の
チェックを外してWindowsを再起動させて

マイコンピュータ　
　＋HKEY_LOCAL_MACHINE
　　＋Software
　　　＋Microsoft
　　　　＋Windows
　　　　　＋CurrentVersion
　　　　　　＋RunServices ここの
名前＿＿＿データ
Hidserv "Hidserv.exe run"
↑
右クリック→「削除」をクリックして

「システム設定ユーティリティ」の
「スタートアップグループの項目を読み込む」の
チェックを入れてWindowsを再起動します。

それと、Hidserv.exe　を探し出して
このプログラムのバージョン情報を
補足してください。（製造元とか）

この回答へのお礼

とりあえずhidserv.exeのバージョンです
会社名Microsoft Corporation
言語英語 (U.S.)
正式ファイル名HIDSERV.EXE
製品バージョン4.10.2222
製品名Microsoft(R) Windows(R) Operating System
内部名hidserv

お礼日時：2004/05/27 04:31

No.78 回答者： ittochan 回答日時： 2004/05/26 00:37

ANo.#72の補足なんですが、

それって、
レジストリの

マイコンピュータ　
　＋HKEY_CURRENT_USER
　　＋Software
　　　＋Microsoft
　　　　＋Windows
　　　　　＋CurrentVersion
　　　　　　＋Run ←この中

それと、

マイコンピュータ　
　＋HKEY_LOCAL_MACHINE
　　＋Software
　　　＋Microsoft
　　　　＋Windows
　　　　　＋CurrentVersion
　　　　　　＋Run
のことでしょ？
これは、
「システム設定ユーティリティ」の
「スタートアップ」タブで確認したからいいんですよ。

この回答へのお礼

はっ、そうでしたか。
"Hidserv.exe run"は消すべきなんですか？

お礼日時：2004/05/26 03:13

No.77 回答者： ittochan 回答日時： 2004/05/26 00:28

「スタートアップグループの項目を読み込む」の

チェックを外してWindowsを起動させてから
ANo.#76を実施してみてください。
そのほうが安全かもしれません。

この回答へのお礼

ややこしくなってすみません。
No.73は行ったほうがいいんですか？

お礼日時：2004/05/26 01:29

No.76 回答者： ittochan 回答日時： 2004/05/26 00:24

＞マイコンピュータ　

＞HKCU\..\RunOnce は特に問題なさそうです。
＞HKCU\..\runservice は存在しないです。
＞HKLM\..\RunOnce　↓です。
＞Hidserv "Hidserv.exe run"
RunOnceキーは
通常でしたら
Windows起動後、登録されているプログラムが正常終了したら登録が抹消されるんです。

悪質なプログラムの中には
実行するたびにこのキーに自己登録してしまいます。

「システム設定ユーティリティ」で
「スタートアップ項目」を読み込まない状態で
ホームページが正常なのですから、
もしかしたら、これかもしれません。

レジストリの

マイコンピュータ　
　＋HKEY_LOCAL_MACHINE
　　＋Software
　　　＋Microsoft
　　　　＋Windows
　　　　　＋CurrentVersion
　　　　　　＋RunOnce　←この中の
名前＿＿＿＿＿データ
Hidserv　　"Hidserv.exe run"
↑
を右クリック→「削除」をクリックして

Windowsを再起動させてみてください。

この回答へのお礼

ごめんなさい。
また、訂正です。m(__)m
RunOnceの中身ではなく、RunServicesの中のものでした。

すみません。ちょっとパニくってます。(^^ゞ

お礼日時：2004/05/26 02:51

No.75 回答者： ittochan 回答日時： 2004/05/25 23:42

セーフモードで起動して

レジストリから
CLSIDの
{8B7B79C1-AA8F-11D8-B660-009002A627F8}
を削除すれば、
CHGB.DLL
は動けなくなると思います。

No.74 回答者： ittochan 回答日時： 2004/05/25 23:33

あっ違う。

heta2ちゃんへの補足を私のに書いたんですね。

この回答へのお礼

ごめんなさい。
結果的にそうなりました。(^^ゞ

お礼日時：2004/05/26 02:36

No.73 回答者： ittochan 回答日時： 2004/05/25 23:29

あれ？

「スタートアップ」タブの

＞*FO-syst>m.ini:Shell=
＞*FO-R□□　>ystem.ini:Shell>=
＞*FO-R□□　>ystem.ini:UseInit=
＞*02-BHO:(no name)-{8B7B79C1-AA8F-11D8-B660-009002A627F8}-C:/WINDOWS/SYSTEM/CHGB.DLL
＞*03-Toolbar:?????-{8E718888-423F11D2-876E-00A0C9082467}-C:/WINDOWS/SYSTEM/MSDXM.OCX

これかも。
最初の３つは
win.iniとsystem.iniみたいですね。

MSDXM.OCXって
Internet Explorerのコンポーネントの１つなんですが、これ書き換えられているかも。

これらのチェックを外して
Windowsを再起動させてみて。

この回答へのお礼

ごめんなさい。m(__)m
勘違いしていました。(^^ゞ
間違えてhijuckthisのlogを出しちゃいました。

msnmsgr _ "C\PROGRAM FILES\MSN MESSENGER\MSMSGER.EXE"/background
McAfeeWebScanX _ C\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe
internat.exe _ internat.exe
ScanRegistry _ c:\windows\scanregw.exe/autorun
TaskMonitor _ c:\windows\taskmon.exe
SystemTray _ SysTray.Exe
LoadPowerProfile _ Rundll32.exe powrprof.dll,LoadCurrentpwrScheme
AvconsoleEXE _ C:\Program Files\Network Associates\McAfee VirusScan\avconsol.exe/minimize
VsStatEXE _ C:\Program Files\Network Associates\McAfee VirusScan\VSSTAT.EXE/SHOWWARING
LoadQM _ loadqm.exe
Vshwin32EXE _ C:\PROGRAM FILES\NETWORK ASSOCIATES\MACAFEE VIRUSSCAN\VSHWIN32.EXE
TkBellExe _ "C:\Program Files\Real\update_OB\realsched.exe"-osboot
McafeeWebScanX _ C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe/RUNSERVUCES
Machine Debug Manager _ C:\WINOWS\SYSTEM\MDM.EXE
Hidserv _ Hidserv.exe run
LoadPowerProfile _ Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
Vshwin32.EXE _ C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE
SchedulingAgent _ mstask.exe
FM便利ツール _ C:\PROGRA~1\FUJITSU\AUV\AUVCORE.EXE
Microsoft Office StartUp _ C:\PROGRA~1MICROS~1\OFFICE\OSA9.EXE
hatchinsaide.exe _ C:\PROGRA~1DI\HATCHI~1\HATCHI~1.EXE
WordLinker _ C\PROGRA~1\ZENRIN\EMAPZ2\WORDLI~1\SS_LIN~1.EXE

お礼日時：2004/05/26 01:12