トップページを変えられた・・。

インターネットエクスプローラーを起動したときのトップページを変えられてしまって困っています。スパイウェアだと思い、SpybotとAd-awareをインストールしましたが、まだ、変わったままです。セーフモードでも試しました。
よくスパイウェア関係のポップアップが出てきますが、ちょっと怖くてそれは閉じるようにしています。それとウィンドウズを終了するときにエラーが出て強制終了しないとダメなんです・・。ウイルスなんでしょうか？対策法を教えてください。

No.62 回答者： ittochan 回答日時： 2004/05/21 02:26

＞WebCheck "{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"

＞というのがあります。
それだけなら、そこは正常です。

＞正常に動いてました。
＞エラーも出ませんでした。o(^▽^)o
標準の起動でも正常なら直ってますが、

標準の起動で駄目なら

「システム設定ユーティリティ」の「全般」タブで
「起動オプションを選択する」を選択します。

「スタートアップグループの項目を読み込む」
のチェックだけを外してみてください。

これで再起動されたWindowsで
「Webの設定のリセット」はどうでしょうか？

確認後、
「標準の起動」でWindowsを再起動させてね。

この回答へのお礼

ありがとうございます。
{E6FB5E20-DE35-11CF-9C87-00AA005127ED}を含むレジストリはいくつかあるようです。関係ないかな？

「スタートアップグループの項目を読み込む」のチェックだけをはずしたときも正常に動いているようでした。

お礼日時：2004/05/21 05:35

No.61 回答者： ittochan 回答日時： 2004/05/20 04:53

レジストリの

HKEY_LOCAL_MACHINE
　＋SOFTWARE
　　＋Microsoft
　　　＋Windows
　　　　＋CurrentVersion
　　　　　＋ShellServiceObjectDelayLoad ←クリック

右側のウィンドウに
WebCheck以外に何か登録されていませんか？

この回答へのお礼

ありがとうございます。
WebCheck "{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
というのがあります。

お礼日時：2004/05/20 15:02

No.60 回答者： ittochan 回答日時： 2004/05/20 03:00

＞とりあえず、正常に動くようです。

＞IE終了時に出るエラーもでないです。
('◇')ゞラジャ

では、
「システム設定ユーティリティ」の「全般」タブで
「起動オプションを選択する」を選択します。

「SYSTEM.INIファイルを処理する」
「WIN.INIファイルを処理する」
「スタートアップグループの項目を読み込む」
のチェックを外してみてください。

これで再起動されたWindowsで
「Webの設定のリセット」はどうでしょうか？

確認後、
「標準の起動」でWindowsを再起動させてね。

この回答へのお礼

ありがとうござます。
正常に動いてました。
エラーも出ませんでした。o(^▽^)o

お礼日時：2004/05/20 15:23

No.59 回答者： heto2 回答日時： 2004/05/19 18:23

よく見ると、これはスタートアップリストですね。

これも役に立つんですが、No.55の説明どおり操作すると別のものが出ます。
それが「HijackThis」のログです。
よろしく・・・

この回答へのお礼

02-BHO（no name)のところに新しいやつは出てきてません。
それだけでは説明不足かな？

お礼日時：2004/05/19 18:44

No.58 回答者： heto2 回答日時： 2004/05/19 17:51

「HijackThis」ログ

一番大事な部分が抜けているみたい。

「C:\MY DOCUMENTS\HIJACKTHIS\HIJACKTHIS.EXE」
のあとからチェックボックスを入れる部分の表示

入れる場所が無かったんでしょうか?
それともこれから入れる?、

この回答へのお礼

すみません。m(__)m
「savelog」→「保存」をすると、
INSTALL.LOGファイルがオープンしませんとなります。
どういうことだろ？

お礼日時：2004/05/19 18:37

No.57 回答者： ittochan 回答日時： 2004/05/19 12:43

スタート→「ファイル名を指定して実行」をクリック

msconfig
と入力して「OK」をクリック
「システム設定ユーティリティ」が起動されます

「全般」タブの
「診断スタートアップ」を選択して
システム設定ユーティリティを終了させます。

Windowsが最小のシステムで再起動されます。

この状態で
「Webの設定のリセット」ではどうなりますか？

結果を確認したら、

「システム設定ユーティリティ」を起動させて
「全般」タブの
「標準」を選択して
システム設定ユーティリティを終了させて
Windowsを通常の状態で再起動します。

この回答へのお礼

ありがとうございます。
とりあえず、正常に動くようです。
IE終了時に出るエラーもでないです。

お礼日時：2004/05/19 18:31

No.56 回答者： heto2 回答日時： 2004/05/19 08:56

>NEE.DLLをKILLBOXで消しちゃったんですが

　
　表で動くファイル：ENOOHC.DLL
　裏で動くファイル：NEE.DLL
　
　両方殺せば「about:blank」は消えるとにらんでたんですが・・・
　
　裏の裏で動くファイル：WDM.DLL???
　
>CWShredder　は引っかからなくなりました
　それでも、まだ、スタートページは「about:blank」ですか?
　No.41 basser_no1さんの「Webの設定のリセット」を実行して正常に戻りませんか?

>依然、WDM.DLLは残ってます。
　「runme.bat」で作成された「Log.txt」にどのように表示されていますか。
　WDM DLLの行全体を貼り付けてください。
　
☆DirDLL3.bat
　新しいファイルが出現している可能性もあります。
　下記バッチ実行して、4月以降の新しいデータが無いか調べてください。
:～～～～～～DirDLL3.batはじめ～～～～～～～
c:
cd\WINDOWS\System
echo DLLファイルリスト日付順(降順) %date%%time%> c:\DirDLL3.txt
echo\ >> c:\DirDLL3.txt
dir *.dll /O-D >> c:\DirDLL3.txt
Notepad.exe c:\DirDLL3.txt
exit
:～～～～～～DirDLL3.bat終わり～～～～～～～

この回答への補足

CWShredder　で引っかかるファイルなんですけど、
どうやって見たのか忘れちゃいました。
すみません。m(__)m
とりあえず、覚えいているのは　KERNEL32.DLL　です。

補足日時：2004/05/19 19:40

この回答へのお礼

ありがとうございます。
CWShredder　でやっぱり引っかかります。一時的なものだったのかな？まだ、about:blankのままです。

WDM.DLL　2ae60000 131072　C:\WINDOWS\SYSTEM\WDM.DLL

4月以降のファイルは　NCG.DLL　と　WDM.DLLです。

お礼日時：2004/05/19 17:49

No.55 回答者： heto2 回答日時： 2004/05/19 06:48

「HijackThis」のログを貼り付けてみてください。

「Scan」ボタンを押し、リストが表示されると「Scan」ボタンが「Save log」に変わります。

「Save log」をクリックするとメモ帳で表示されます。

長ければ分割が必要になるかもしれません。

この回答への補足

Listing of startup folders:

Shell folders Startup:
[C:\WINDOWS\スタート メニュー\プログラム\スタートアップ]
FM便利ツール.lnk = C:\Program Files\Fujitsu\AUV\AUVCore.exe
Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
hatchinside.exe.lnk = C:\Program Files\DI\HatchInside\hatchinside.exe
WordLinker.lnk = C:\Program Files\ZENRIN\EmapZ2\WordLinker\SS_Linker.exe

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

internat.exe = internat.exe
ScanRegistry = c:\windows\scanregw.exe /autorun
TaskMonitor = c:\windows\taskmon.exe
SystemTray = SysTray.Exe
LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
LoadBtnHnd = C:\Program Files\Common Files\Fujitsu Shared\BtnHnd.exe
AvconsoleEXE = C:\Program Files\Network Associates\McAfee VirusScan\avconsol.exe /minimize
VsStatEXE = C:\Program Files\Network Associates\McAfee VirusScan\VSSTAT.EXE /SHOWWARNING
LoadQM = loadqm.exe
Vshwin32EXE = C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE
McAfeeWebScanX = C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe
TkBellExe = "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

Machine Debug Manager = C:\WINDOWS\SYSTEM\MDM.EXE
Hidserv = Hidserv.exe run
LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
Vshwin32EXE = C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE
McAfeeWebScanX = C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe /RUNSERVICES
SchedulingAgent = mstask.exe

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

msnmsgr = "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background

--------------------------------------------------

C:\WINDOWS\WININIT.BAK listing:
(Created 19/5/2004, 1:23:36)

[rename]
NUL=C:\WINDOWS\TEMP\GLB1A2B.EXE

--------------------------------------------------

C:\AUTOEXEC.BAT listing:

SET DOS4G=QUIET
C:\PROGRA~1\NETWOR~1\MCAFEE~1\SCAN.EXE C:\ /NOBREAK /SILENT
IF ERRORLEVEL 1 PAUSE
loadhigh c:\windows\COMMAND\nlsfunc.exe c:\windows\country.sys
SET PATH=C:\FJUTY;
SET PATH=%PATH%;C:\PROGRA~1\NETWOR~1\MCAFEE~1

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:\PROGRA~1\INETLITE\ATLIE.DLL - {4449EEE1-2955-11D3-8B43-0000E20DA208}
(no name) - C:\WINDOWS\SYSTEM\NCG.DLL - {9E4F3FA1-A9B8-11D8-B660-0090237C27D7}

--------------------------------------------------

補足日時：2004/05/19 17:30

この回答へのお礼

ありがとうございます。
StartupList report, 04/05/19, 17:25:35
StartupList version: 1.52
Started from : C:\MY DOCUMENTS\HIJACKTHIS\HIJACKTHIS.EXE
Detected: Windows 98 SE (Win9x 4.10.2222A)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE
C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WEBSCANX.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\HIDSERV.EXE
C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSSTAT.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\COMMON FILES\FUJITSU SHARED\BTNHND.EXE
C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\AVCONSOL.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAM FILES\FUJITSU\AUV\AUVCORE.EXE
C:\PROGRAM FILES\DI\HATCHINSIDE\HATCHINSIDE.EXE
C:\PROGRAM FILES\ZENRIN\EMAPZ2\WORDLINKER\SS_LINKER.EXE
C:\WINDOWS\SYSTEM\IMEJPMGR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\ZENRIN\EMAPZ2\WORDLINKER\MOUSEHOOK.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\MY DOCUMENTS\HIJACKTHIS\HIJACKTHIS.EXE

お礼日時：2004/05/19 17:28

No.54 回答者： ittochan 回答日時： 2004/05/18 20:21

Downloaded Program Filesフォルダに残骸は存在していませんでした。

Downloaded Program Filesフォルダにある
desktop.iniファイルをダブルクリックします。

メモ帳で開かれるので

;CLSID={88C6C381-2E85-11d0-94DE-444553540000}
これを
CLSID={88C6C381-2E85-11d0-94DE-444553540000}
こうします。

メモ帳で「ファイル」→「メモ帳の終了」をクリック
保存の確認ダイアログが出るので「はい」をクリックします。
-----------------------

ENOOHC.DLL が一番あやしいですね。
MS-DOSで起動してこのファイルを変名してみるとか。

NEE.DLLは読み込まれていないので
Windowsをセーフモードで起動して直接変名してみてもいいかも。

この回答への補足

Enumerating Download Program Files:

[SurveyCtl35 Class]
InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\SURVEYCONTROL35.DLL
CODEBASE = http://activex.microsoft.com/controls/mtswizards …

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\SYSTEM\MACROMED\FLASH\FLASH.OCX
CODEBASE = http://download.macromedia.com/pub/shockwave/cab …

[{8AD9C840-044E-11D1-B3E9-00805F499D93}]

[{CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA}]

[Yahoo! Audio Conferencing]
InProcServer32 = C:\WINDOWS\DOWNLO~1\YACSCOM.DLL
CODEBASE = http://cs.chat.yahoo.co.jp/v45/yacscom.cab

[Update Class]
InProcServer32 = C:\WINDOWS\SYSTEM\IUCTL.DLL
CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/x86/an …

[Yahoo! Webcam Viewer Wrapper]
InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\YVWRCTL.DLL
CODEBASE = http://chat.yahoo.co.jp/cab/yvwrctl.cab

[Symantec RuFSI Registry Information Class]
InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\RUFSI.DLL
CODEBASE = http://security.symantec.com/sscv6/SharedContent …

[Symantec AntiVirus scanner]
InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\AVSNIFF.DLL
CODEBASE = http://security.symantec.com/sscv6/SharedContent …

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

WebCheck: C:\WINDOWS\SYSTEM\WEBCHECK.DLL

--------------------------------------------------
End of report, 6,451 bytes
Report generated in 0.320 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

補足日時：2004/05/19 17:36

この回答へのお礼

ありがとうございます。
ほっ、残骸が消えててよかった。o(^▽^)o

ごめんなさい、NEE.DLLは消しちゃいました・・。(--ゞ

お礼日時：2004/05/19 02:00

No.53 回答者： ittochan 回答日時： 2004/05/18 20:12

＞「ファイル名を指定して実行」regsvr32と入力すると

＞No DLL name specified.
＞Usage: ....
＞というメッセージがでたんですが・・？
いえいえ、
regsvr32 /u ENBFCAA.DLL
って意味です。
ごめんなさい。
私の勘違いでした。

この回答へのお礼

ありがとうございます。
あっ、そういう意味だったのか、なるほど。
私の無知のせいでございます。m(__)m

お礼日時：2004/05/19 01:51