トップページを変えられた・・。

インターネットエクスプローラーを起動したときのトップページを変えられてしまって困っています。スパイウェアだと思い、SpybotとAd-awareをインストールしましたが、まだ、変わったままです。セーフモードでも試しました。
よくスパイウェア関係のポップアップが出てきますが、ちょっと怖くてそれは閉じるようにしています。それとウィンドウズを終了するときにエラーが出て強制終了しないとダメなんです・・。ウイルスなんでしょうか？対策法を教えてください。

No.72 回答者： ittochan 回答日時： 2004/05/25 10:59

それと、レジストリの

マイコンピュータ　
　＋HKEY_CURRENT_USER
　　＋Software
　　　＋Microsoft
　　　　＋Windows
　　　　　＋CurrentVersion
　　　　　　＋Policies
　　　　　　　＋Explorer
　　　　　　　　＋Run ←この中
と、

マイコンピュータ　
　＋HKEY_LOCAL_MACHINE
　　＋Software
　　　＋Microsoft
　　　　＋Windows
　　　　　＋CurrentVersion
　　　　　　＋Policies
　　　　　　　＋Explorer
　　　　　　　　＋Run ←この中
もね。

この回答へのお礼

HKCU\..\Run
msnmsgr　""C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background"

HKLM\..\Run
AvconsoleEXE　"C:\Program Files\Network Associates\McAfee VirusScan\avconsol.exe /minimize"
internat.exe　"internat.exe"
LoadBtnHnd　"C:\Program Files\Common Files\Fujitsu Shared\BtnHnd.exe"
LoadPowerProfile　"Rundll32.exe powrprof.dll,LoadCurrentPwrScheme"
LoadQM　"loadqm.exe"
McAfeeWebScanX　"C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe"
ScanRegistry　"c:\windows\scanregw.exe /autorun"
SystemTray　"SysTray.Exe"
TaskMonitor　"c:\windows\taskmon.exe"
TkBellExe　""C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot"
Vshwin32EXE　"C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE"
VsStatEXE　"C:\Program Files\Network Associates\McAfee VirusScan\VSSTAT.EXE /SHOWWARNING"

お礼日時：2004/05/26 00:26

No.71 回答者： heto2 回答日時： 2004/05/25 09:35

No.69

１．WININIT.EXE
　WININIT.INIを実行するためのプログラムです。
　バイナリーファイルですから、バイナリーエディターを使わないと正常に表示できません。
　これは文字化けではありません。
　マイクロソフトの正規のファイルではないかと思います。
　プロパティを調べてください。
　WININIT.sav　WININIT.000については私には解りません。
　WININIT.EXE、WININIT.INIともに通常のアプリケーションソフトのインストールに使われることがあります。
　WININIT.EXEという名のファイルが悪用される例があるようですが、動作がまったく違うので、今回の件には関係ないと思います。
　
２．「Ad-aware 6」で除去できるという情報があります。
　最新のデータにアップデートして試してください。
　この種のウィルスではWindowsが起動された状態では修復できないことがあります。
　スキャン実行後、パソコンを再起動したときに、Windows起動前に「Ad-aware 6」が起動されて修復作業が実行されます。
　
３．バッチファイル手直ししました。
　必ずDOSプロンプトで実行してください。
:～～～～～～DirWDM.batはじめ～～～～～～～
C:

echo *** WDM.*詳細 %date%%time% *** > c:\DirWDM.txt
echo\ >> c:\DirWDM.txt
cd \WINDOWS\SYSTEM\
dir WDM.* >> c:\DirWDM.txt
attrib WDM.* >> c:\DirWDM.txt
echo\ >> c:\DirWDM.txt

echo *** GLB1A2B.* 詳細 %date%%time% *** >> c:\DirWDM.txt
echo\ >> c:\DirWDM.txt
cd \WINDOWS\TEMP\
dir GLB1A2B.* >> c:\DirWDM.txt
attrib GLB1A2B.* >> c:\DirWDM.txt
echo\ >> c:\DirWDM.txt

echo *** WININIT.*詳細 %date%%time% *** >> c:\DirWDM.txt
echo\ >> c:\DirWDM.txt
cd\
dir WININIT.* /s >> c:\DirWDM.txt

Notepad.exe c:\DirWDM.txt
exit
:～～～～～～DirWDM.bat終わり～～～～～～～

この回答へのお礼

ありがとうございます。
アップデートしたAd-awere 6を試してみました。しかし、IE終了時にエラーがでます。
以前、kernel32.dllが毎回CWShredderで引っかかるといっていましたが、Ad-awereで引っかかるものでした。
すみません。m(__)m

*** WDM.*詳細 ***


ドライブ C: のボリュームラベルはありません.
ボリュームシリアル番号は 3A30-18D8
ディレクトリは C:\WINDOWS\SYSTEM

WDM DLL 57,344 04-05-05 0:19 wdm.dll
1 個 57,344 バイトのファイルがあります.
0 ディレクトリ 8,590.28 メガバイトの空きがあります.
A WDM.DLL C:\WINDOWS\SYSTEM\wdm.dll

*** GLB1A2B.* 詳細 ***


ドライブ C: のボリュームラベルはありません.
ボリュームシリアル番号は 3A30-18D8
ディレクトリは C:\WINDOWS\TEMP

8,590.28 メガバイトの空きがあります.

*** WININIT.*詳細 ***


ドライブ C: のボリュームラベルはありません.
ボリュームシリアル番号は 3A30-18D8

ディレクトリは C:\WINDOWS

WININIT BAK 76 04-05-23 22:13 WININIT.BAK
WININIT PIF 967 04-05-24 21:54 WININIT.PIF
WININIT EXE 42,021 99-05-05 22:22 WININIT.EXE
WININIT SAV 8,942 04-02-15 10:28 WININIT.SAV
WININIT 000 87 04-05-19 0:36 wininit.000
WININIT INI 206 04-05-26 2:10 Wininit.ini
6 個 52,299 バイトのファイルがあります.

一覧のファイル総数:
6 個 52,299 バイトのファイルがあります.
0 ディレクトリ 8,590.28 メガバイトの空きがあります.

お礼日時：2004/05/26 02:32

No.70 回答者： ittochan 回答日時： 2004/05/25 06:37

＞「スタートアップグループの項目を読み込む」の

＞チェックだけをはずしたときも
＞正常に動いているようでした。
「システム設定ユーティリティ」の「スタートアップ」は正常のようです。

となると、

レジストリの

マイコンピュータ　
　＋HKEY_CURRENT_USER
　　＋Software
　　　＋Microsoft
　　　　＋Windows
　　　　　＋CurrentVersion
　　　　　　＋RunOnce ←この中か
　　　　　　＋runservice ←この中か

それと、

マイコンピュータ　
　＋HKEY_LOCAL_MACHINE
　　＋Software
　　　＋Microsoft
　　　　＋Windows
　　　　　＋CurrentVersion
　　　　　　＋RunOnce　←この中か
　　　　　　＋RunOnceEx　←この中
　　　　　　＋runservice ←この中を

調べてみてください。

この回答へのお礼

マイコンピュータ　
HKCU\..\RunOnce は特に問題なさそうです。
HKCU\..\runservice は存在しないです。
HKLM\..\RunOnce　↓です。
Hidserv "Hidserv.exe run"
LoadPowerProfile "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme"
Machine Debug Manager　"C:\WINDOWS\SYSTEM\MDM.EXE"
McAfeeWebScanX "C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe /RUNSERVICES"
SchedulingAgent "mstask.exe"
Vshwin32EXE "C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE"
HKLM\..\RunOnceEx　 は問題ないようです。
HKLM\..\runservice は存在しないです。

お礼日時：2004/05/25 23:55

No.69 回答者： heto2 回答日時： 2004/05/24 08:56

No.67のご回答

>1.WININIT.BAKはあります。削除して良いんですか？
ご存知のように、WININIT.BAKはININIT.INIのバックアップファイルです。
そのままでも、危害は無いと思います。
上記、ご回答をみて気が付いたんですが、このファイルに重要な手がかりがあるかもしれません。
メモ帳で開いて、中身を貼り付けていただけませんか?

参考
http://homepage2.nifty.com/DSS/WinSys/Win/Winini …
WININIT.INIはリブート時にファイルの置き換えをおこなう為の設定ファイルである．
NUL = にするとそのファイルを削除する．
置き換えが成功すると WININIT.INI は WININIT.BAK になる．
WININIT.EXE は Windows が起動する前に実行される

>3.WDM.DLLを消そうと努力してみましたが、killboxでは見つからないので、消す事が出来ませんでした。
killboxをあまりあてにしないでください。
killboxはWindows起動後に動作する。
ということは、WININIT.INIによるファイル操作が終わってからしか使えない。
「あとの祭り」という奴です。
セーフモードのDOSプロンプト画面を呼び出して、WININIT.INIが起動される前の状態でのファイル操作が必要と思います。

>5.セーフモードでも見つかりませんでした。
No.56のDirDLL3.batで表示されるにもかかわらずセーフモードで見つからないというのが私には理解できません。
>WDM.DLL　2ae60000 131072　C:\WINDOWS\SYSTEM\WDM.DLL

☆セーフモードのDOSプロンプト画面
パソコン再起動直後「F8」キーを連打
黒い画面が表示され、DOSプロンプトという項目が表示されます。
DOSプロンプト画面では、Windowsの機能は一切使えません。
BATファイルは使用できます。
下記のバッチ実行して結果貼り付けてみてください。
～～～～～～DirWDM.batはじめ～～～～～～～
C:
cd \WINDOWS\SYSTEM\
echo WDM.DLL詳細 %date%%time%> c:\DirWDM.txt
dir WDM.DLL >> c:\DirWDM.txt
attrib WDM.DLL >> c:\DirWDM.txt
Notepad.exe c:\DirDWDM.txt
exit
:～～～～～～DirWDM.bat終わり～～～～～～～

この回答への補足

DirDWDM.txtは真っ白でした。

補足日時：2004/05/24 22:22

この回答へのお礼

ありがとうございます。
WININIT.EXE　WININIT.sav　WININIT.000がありました。これらは関係ないですか？

WININIT.BAK の中身です。
[rename]
NUL=C:\WINDOWS\TEMP\GLB1A2B.EXE
NUL=C:\WINDOWS\TEMP\GLB1A2B.EXE

WININIT.000の中身
[rename]
NUL=c:\windows\cookies\既定@cgi-bin[2].txt
NUL=C:\WINDOWS\TEMP\GLB1A2B.EXE

WININIT.EXE　はいっぱい文字化けしています。
WININIT.sav　は何かのファイルがたくさん書いてあります。

お礼日時：2004/05/24 21:59

No.68 回答者： heto2 回答日時： 2004/05/23 07:55

「HijackThis」ログ

*02-BHO:(no name)-{8B7B79C1-AA8F-11D8-B660-009002A627F8}-C:/WINDOWS/SYSTEM/CHGB.DLL
これが「about:blank」を表示していることには間違いないんですが、消しても、すぐ別名で復活するのでは意味がありません。

*016-DPF:{8AD9C840-044-11D1-B3E9-00805F499D93}Java Runtime Environment 1.4.0_01)-
*016-DPF:{CAFEEFAC-0014-0000-0001-ABCDEFFDCBA}Java Runtime Environment 1.4.0_01)-
あまり見ない設定です。
MSJVM（JavaVitualMchine)の脆弱性を付いたウィルスが流行した時期がありますので、それに関連しているかもしれません。
削除されては如何でしょう。

「Fix」した項目の復元方法
１．「HijackThis」画面右下の「Config」をクリック
２．「Backups」をクリック
３．バックアップリストから該当する行を選択して右側の「Restore」をクリック。

この回答へのお礼

ありがとうございます。
消してみましたがとりあえず問題なしです。

お礼日時：2004/05/24 22:02

No.67 回答者： heto2 回答日時： 2004/05/23 07:54

StartupListで気になるもの

１．GLB1A2B.EXE
　C:\WINDOWS\WININIT.BAK listing:
　(Created 19/5/2004, 1:23:36)
　[rename]
　NUL=C:\WINDOWS\TEMP\GLB1A2B.EXE
　
　蒸し返しになりますが、このファイルを探しも見つからない?
　実行後、WININIT.INIとともにこのファイルが削除された。
　しかし、WININIT.BAKの削除を忘れたということだと思います。
　http://homepage2.nifty.com/DSS/WinSys/Win/Winini …

２．DOS4G=QUIET
　C:\AUTOEXEC.BAT listing:
　SET DOS4G=QUIET
　
　これは滅多に出てこない設定です。
　なぜこんなものがあるのか、私には解りません。
　C:\AUTOEXEC.BATを開いて、SET DOS4G=QUIETの左に「rem」または「：」(コロン)と書くと、この設定行を無効に出来ます。
　
３．NCG.DLL
　Enumerating Browser Helper Objects:
　(no name) - C:\WINDOWS\SYSTEM\NCG.DLL - {9E4F3FA1-A9B8-11D8-B660-0090237C27D7}

　新しいBHOが設定されています。
　WDM.DLLを削除できない限り解決の方法が無いようです。

４．もしかして・・・
　運のいいことに、唯一の自己解決者、basser_no1さん、korotekeさん、そして私が偶然、マカフィーのAV（AntiVirus）ソフトを使っていることです。
　一度、マカフィーのヒューリスティックスキャンを試してみてください。
　ただし、私の場合、文字化け障害のため通常のメニューでなくアイコンメニューでの操作になりますのであしからず。
　
　AAA.マカフィーのアイコンをクリック
　BBB.「VirusScan」＞「オプション」
　CCC.ActiveVsheild画面の「詳細設定」をクリック
　DDD.「新しいウィルスと未知のウィルスをスキャン」にチェックを入れる。
　EEE.「OK」「OK」でオプション画面を閉じる
　
　以上の設定で、Cドライブをスキャンしてみてください。
　
５．残された手段
　セーフモードの選択画面でDOSプロンプトを選択。
　DOS画面で下記ファイルを探し出して削除するくらいしか思い当たりません。
　C:\WINDOWS\TEMP\GLB1A2B.EXE
　C:\WINDOWS\SYSTEM\WDM.DLL
　
　それでも駄目なら、私は、すごすごと退場＝敗北です。
　Windowsの奥の奥で何かが設定されているとしか考えられません。

この回答へのお礼

ありがとうございます。
1.WININIT.BAKはあります。削除して良いんですか？

2.無効にしました。とりあえず、問題ないようです。

3.WDM.DLLを消そうと努力してみましたが、killboxでは見つからないので、消す事が出来ませんでした。

4.ヒューリスティックスキャンでも検出できませんでした。

5.セーフモードでも見つかりませんでした。
ん～、諦めてOS再インストールすべきなのかな・・？

お礼日時：2004/05/24 01:23

No.66 回答者： heto2 回答日時： 2004/05/23 07:50

＞正常に動いてました。

＞エラーも出ませんでした。o(^▽^)o
という表現があちこちにありますので、一応解決したものと思っていました。
ひょっとすると未解決でしょうか。

取り敢えず、補足情報についてのコメント書き込んでおきます。
～～～～～～～～～～～～～～～～～～～～～～～～

No.54 補足の件
>CWShredder　でやっぱり引っかかります。一時的なものだったのかな？
>まだ、about:blankのままです。
>WDM.DLL　2ae60000 131072　C:\WINDOWS\SYSTEM\WDM.DLL
>4月以降のファイルは　NCG.DLL　と　WDM.DLLです。

新しいファイルが出てきましたね。
それぞれの日付を調べてください。
WDM.DLLの日付が新しければ、一旦削除された後、同名で再登場ということに。
この場合、第3のファイルの存在を疑うことになります。
矢張り、KERNEL32.DLLでしょうか?
～～～～～～～～～～～～～～～～～～～～～～～～

No.56 補足の件
>CWShredder　で引っかかるファイルなんですけど、
>とりあえず、覚えいているのは　KERNEL32.DLL　です。

このファイルは文字通りWindowsの核となるファイルです。
このファイルが無いとWindowsを起動できないはずです。

Running processesでも先ず一番に表示されます。
C:\WINDOWS\SYSTEM\KERNEL32.DLL

考えられることは
１．非常によく似た名前のファイル
２．他のフォルダにある同名のファイル
３．正規のファイルの末尾に悪意のあるコードを追加されている
　DOSモードで起動して、一旦削除しWindowsを上書きインストールすればいいかもしれませんが、非常に危険なので、お勧めできません。
　またAV（AntiVirus）ソフトがインストールされているので、もし、このファイルが汚染されていればブロックされていると思います。
～～～～～～～～～～～～～～～～～～～～～～～～

No.58 補足の件
>「HijackThis」で「savelog」→「保存」をすると、
>INSTALL.LOGファイルがオープンしませんとなります。
日本語のエラー表示であれば、システムから出ていると思います。
ウィルスが「HijackThis」を書き換えているのかもしれません。
例えば上のコマンドを実行しようとするとNotePad.exeをアンインストールさせる。
しかし、NotePad.exeには、INSTALL.LOGファイルが無いのでシステムエラーになる。
ただし、これは私の推定です。プロが聞くと大笑いするかもしれません。
「HijackThis」フォルダを一旦削除して再インストールすると直るかもしれません。
hijackthis.zipを解凍して「HijackThis.exe」を適当なフォルダに保存するだけでいいはずです。
最新バージョン（v1.97.6)を確認しておいてください。
～～～～～～～～～～～～～～～～～～～～～～～～

No.59 補足の件
>02-BHO（no name)のところに新しいやつは出てきてません。
>それだけでは説明不足かな？

IEを起動すると、また現れると思います。
現にStartupListに出ています。
Enumerating Browser Helper Objects:
(no name) - C:\WINDOWS\SYSTEM\NCG.DLL - {9E4F3FA1-A9B8-11D8-B660-0090237C27D7}

NCG.DLLファイルを削除、レジストリから削除してもまた別の名前のものが現れます。
～～～～～～～～～～～～～～～～～～～～～～～～

この回答へのお礼

ごめんなさい。m(__)m
ややこしい表現をしてしまいまして。
まだ未解決です。(”ゞ

KERNEL32.DLLに似たような奴だったのかな？それとも私の勘違い？？？

お礼日時：2004/05/23 21:19

No.65 回答者： fasnol 回答日時： 2004/05/23 02:44

どうも私の症状と同じようなので…

私もアドレスが "about:blank"で、"Search for"と書かれたページが表示されていました。そしてスパイウェアの警告のウィンドウが開いていたのですが、こちらの回答を参考にさせて頂いたら解決できました。ちなみにＷｉｎｄｏｗｓ９８です。

C:\WINDOWS\SYSTEM\GAMEBE.DLL
こんなファイルはありませんか？　私はHijackThisを使って見つけました。ログを見させてもらった限りでは無いようなのですが、私の場合はこのファイルを削除することで解決できましたので、参考までにお教えしておきます。

この回答へのお礼

ありがとうございます。
ん～、どうやらGAMEBE.DLLファイルは存在しないようです。
残念です・・・。（／。＼）

お礼日時：2004/05/23 21:03

No.64 回答者： ittochan 回答日時： 2004/05/21 23:56

＞{E6FB5E20-DE35-11CF-9C87-00AA005127ED}を含む

＞レジストリはいくつかあるようです。関係ないかな？
レジストリの

マイコンピュータ
　＋HKEY_CLASSES_ROOT
　　＋CLSID
　　　＋{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
　　　　＋InProcServer32 ←クリック
右ウィンドウの
名前＿＿＿種類＿＿＿＿データ
(標準)　REG_SZ　　c:\windows\System\webcheck.dll
ってなってて
この
webcheck.dllの製造元が
Microsoftなら問題ないと思います

この回答への補足

これで全部です。
*016-DPF:{8FBFE5FF-5E98-11D3-80AF-00C04FCBC72}(SurveyCtl35 Class)-http://activex.microsoft.com/contorols.mtswizard …
*016-DPF:{D27CDB6E-AE6D-11CF96B8-44553540000}(Shockwave Flash Object)-http://download.macromedia.com/pub/shockwave/cab …
*016-DPF:{8AD9C840-044-11D1-B3E9-00805F499D93}Java Runtime Environment 1.4.0_01)-
*016-DPF:{CAFEEFAC-0014-0000-0001-ABCDEFFDCBA}Java Runtime Environment 1.4.0_01)-
*016-DPF:{2B323CD9-50E3-11D3-9466-00A0C9700498}(Yahoo! Audio Conferencing)-http://cs.chat.yahoo.co.jp/v45/yacscom.cab
*016-DPF:Yahoo! Chat JP 2-http://cs.chat.yahoo.co.jp/c302/chat.cab
*016-DPF:{9F1C11AA-197B-4942-BA54-47A8489BB47F}(Update Class)-http://v4.windowsupdate.microsoft.com/CAB/x86/an …
*016-DPF:{E504EE6E-47C6-11D5-B8AB-00D0B78FD48}(Yahoo! Webcam Viewer Wrapper)-http://chat.yahoo.co.jp/cab/yvwrctl.cab
*016-DPF:{C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE}(Symantec RuFSI Registry Information Class)-http://security.symantec.com/sscv6/SharedContent …
*016-DPF:{2BC66F54-93A8-11D3-BEB6-00105AA9B6AE}(Symantec AntiVirus scanner)-http://security.symantec.com/sscv6/SharedContent …
*018-Protocol hijack:http-{79EAC9E2-BAF9-11CE-8C82-00AA004BA90B}

補足日時：2004/05/22 19:23

この回答へのお礼

ありがとうございます。
種類の列が元々ないのですが、(標準)　ｃ:\windows\System\webcheck.dllとなってます。
製造元はMictosoftでした。

下の補足の続きです。
*04-HKLM\..\RunServices:[McAfeeWebScanX]C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanXExe/RUNSERVICES
*04-HKLM\..\RunServices:[Mchine Debug Manager]C:/WINDOWS/SYSTEM/MDM.EXE
*04-HKLM\..\RunServices:[Hidserv]Hidserv.exe run
*04-HKLM\..\RunServices:[LoadPowerProfiles]Rundll32.exe powprof.dll,LoadCurrentPwrScheme
*04-HKLM\..\RunServices:[Vshwin32EXE]C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE
*04-HKLM\..\RunServices:[SchedulingAgent]mstask.exe
*04-HKCU\..\Run:[msnmsgr]"C:/PROGRAM FILES/MSN MESSENGER/MSNMSGR.EXE"/background
*04-Startup:FM・□□□□[□.lnk=C:/Program Files/Fujitsu/AUV/AUVCore.exe
*04-Startup:Microsoft Office.lnk=C:/Program Files/Microsoft Office/Office/OSA9.EXE
*04-Startup:hatchinside.exelnk=C:Program Files/HatchInside/hatchinside.exe
*04-Startup:WordLinker.lnk=C:/Program Files/ZENRIN/EmapZ2/WordLinker/SS_Linker.exe
*09-Extra button:RealGuide(HKLM)

お礼日時：2004/05/22 19:21

No.63 回答者： ittochan 回答日時： 2004/05/21 23:37

＞{E6FB5E20-DE35-11CF-9C87-00AA005127ED}を含む

＞レジストリはいくつかあるようです。関係ないかな？
どこにあるか補足してね。

＞「スタートアップグループの項目を読み込む」の
＞チェックだけをはずしたときも
＞正常に動いているようでした
となると
システム設定ユーティリティの
「スタートアップ」タブの中に
怪しいのがあることになります。
ここの一覧を補足していただけませんか？

この回答への補足

*FO-syst>m.ini:Shell=
*FO-R□□　>ystem.ini:Shell>=
*FO-R□□　>ystem.ini:UseInit=
*02-BHO:(no name)-{8B7B79C1-AA8F-11D8-B660-009002A627F8}-C:/WINDOWS/SYSTEM/CHGB.DLL
*03-Toolbar:?????-{8E718888-423F11D2-876E-00A0C9082467}-C:/WINDOWS/SYSTEM/MSDXM.OCX
*04-HKLM\..\Run:[McafeeWebScanX]C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanXExe
*04-HKLM\..\Run:[internat]unternat.exe
*04-HKLM\..\Run:[ScanRegistry]c:/windows/scanregw.exe/autorun
*04-HKLM\..\Run:[TaskMonitor]c:/windows/taskmon.exe
*04-HKLM\..\Run:[SystemTray]Systray.Exe
*04-HKLM\..\Run:[LoadPowerProfile]Rundll32.exe powprof.dll,LoadCurrentPwrscheme
*04-HKLM\..\Run:[LoadBtnHnd]C:/Program Files/Common Files/Fujitsu Shared/Btnhnd.exe
*04-HKLM\..\Run:[AvconsoleEXE]C:/Program Files/Network Associates/McAfee VirusScan/avconsol.exe/minimize
*04-HKLM\..\Run:[VsStatEXE]CProgram Files/Network Associates/McAfee VirusScan/VSSTAT.EXE/SHOWWARNING
*04-HKLM\..\Run:[LoadOM]loadam.exe
*04-HKLM\..\Run:[Vshwin32EXE]C:PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE
*04-HKLM\..\Run:[TkBellExe]"C:Program Files/Common Files/Real/Update_OB/realshed.exe"-osboot

補足日時：2004/05/22 17:21

この回答へのお礼

ありがとうございます。
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}　(標準)"webchek"
HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}　(標準)"webchek"
HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\ClsidFeature　{E6FB5E20-DE35-11CF-9C87-00AA005127ED}　"{3af36230-a269-11d1-b5bf-0000f8051515}!6,0,2800,1106"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved　{E6FB5E20-DE35-11CF-9C87-00AA005127ED}　"webchek"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad 　webchek　"{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"

お礼日時：2004/05/22 17:19