トップページを変えられた・・。

インターネットエクスプローラーを起動したときのトップページを変えられてしまって困っています。スパイウェアだと思い、SpybotとAd-awareをインストールしましたが、まだ、変わったままです。セーフモードでも試しました。
よくスパイウェア関係のポップアップが出てきますが、ちょっと怖くてそれは閉じるようにしています。それとウィンドウズを終了するときにエラーが出て強制終了しないとダメなんです・・。ウイルスなんでしょうか？対策法を教えてください。

No.52 回答者： heto2 回答日時： 2004/05/18 20:00

No.49

>CWShredder　で毎回引っかかるファイルはあるんだけどなぁ。

ファイル名教えてください。
複合汚染の可能性ありますので・・・

まあ、ここまで来たら、あせらずゆっくりやりましょう。

この回答へのお礼

ありがとうございます。
NEE.DLLをKILLBOXで消しちゃったんですが、（まずかったかな？）それとともにCWShredder　は引っかからなくなりました。
依然、WDM.DLLは残ってます。

お礼日時：2004/05/19 01:45

No.51 回答者： heto2 回答日時： 2004/05/18 19:54

No.49の操作

>パスをコピーして「Add File」を選択しても自動で開かないです。(・・ゞ

１．「KillBox」のメニューの「Action」＞「Delete on reboot」で
　　「PendingFileRenameOperations」画面を開いておきます。

２．「KillBox」の画面で「Paste Full path of File to Delete」という
　　入力ボックスの右にあるフォルダアイコンをクリックします。

３．ファイル選択画面が出ますので
　マイコンピューター＞Cドライブ＞Windows＞Systemを開き
　ENOOHC.DLLを選択して「OK」をクリック

４．「PendingFileRenameOperations」画面のメニューで
　「File」＞「AddFile」で選択したファイル名が画面に表示されると思います。

５．同様に他のファイルも表示させてから
　「PendingFileRenameOperations」画面のメニューで
　「Action」>「Process and Reboot」をクリック
　
以上でパソコンが再起動されファイルが削除されると思います。

この回答へのお礼

ありがとうございます。
ENOOHC.DLLはきえましたが、WDM.DLLは消えませんでした。
残念。。。

お礼日時：2004/05/19 01:37

No.50 回答者： ittochan 回答日時： 2004/05/18 11:51

heto2ちゃんのでも駄目だった場合、

WindowsXPでしたら
(Windows98でしたっけ？・・・・可能かも、今確認できず)
スタート→「すべてのプログラム」→
「アクセサリ」→「システムツール」→
「システム情報」をクリック

ソフトウェア環境の
「読み込まれているモジュール」を開いて

一覧の
「製造元」をクリックすると製造元順に並び替えられます

中にある製造元の「Microsoft Corp」や知っているメーカ以外の
モジュールを選択して
「編集」→「コピー」をクリックして
この補足に貼り付けてください。

それと、
インターネットからインストールしちゃったActiveXの場合は
Downloaded Program Filesに残骸が残っているかもしれないので
見てみてください。
方法は
インターネットオプションの「全般」タブから
「設定」をクリック
「オブジェクトの表示」をクリック

すると
Downloaded Program Filesフォルダが開きます。
このフォルダは特殊フォルダなので残骸が見えないので
↓を施します。
-------------------
「ツール」→「フォルダオプション」をクリック
「表示」タブをクリック
「アドレスバーにファイルのパス名を表示する」にチェックを入れて
「すべてのファイルフォルダを表示する」にチェックを入れて

「保護されたオペレーティングシステムファイルを表示しない」(Windows98には無いです)
のチェックを外します。
警告ダイアログが出るので「はい」をクリックします。

Downloaded Program Filesフォルダのアドレスバーに
記述されているパスをコピーして

スタート→「ファイル名を指定して実行」をクリック
入力ダイアログに
コピーした文字列を貼り付けて
最後に\desktop.iniと追加します。
（例：C:\WINDOWS\Downloaded Program Files\desktop.ini）
「OK」をクリックすると
desktop.iniファイルがメモ帳で開かれるので

CLSID={88C6C381-2E85-11d0-94DE-444553540000}
ここの先頭にセミコロン（;）を挿入して
;CLSID={88C6C381-2E85-11d0-94DE-444553540000}
こうします。

メモ帳で「ファイル」→「メモ帳の終了」をクリック
保存の確認ダイアログが出るので「はい」をクリックします。
------------------

そして
Downloaded Program Filesフォルダを閉じて
インターネットオプションの「全般」タブから
「設定」をクリック
「オブジェクトの表示」をクリックして開き直してみてください。

そして、出てきたファイル名をすべて教えて下さい。
それと、Downloaded Program Filesフォルダのパス名も教えて下さい。

この回答への補足

システム情報です。知らない製造元及び製造元が空白のものです。
読み込まれている16ビットモジュール
・RWABS16C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\RWABS16.DLL 4.0
・WIN87EMC:\WINDOWS\SYSTEM\WIN87EM.DLL3.0
読み込まれている32ビットモジュール
・HATCH32.DLLC:\PROGRAM FILES\DI\HATCHINSIDE\HATCH32.DLL99/06/07 1:25:20 GMT033f0000 - 033fc000
・DHCPCSVC.DLLC:\WINDOWS\SYSTEM\DHCPCSVC.DLL99/05/11 3:12:22 GMT7dd80000 - 7dd87000
・HATCH32.DLLC:\PROGRAM FILES\DI\HATCHINSIDE\HATCH32.DLL99/06/07 1:25:20 GMT10000000 - 1000c000
・NETBIOS.DLLC:\WINDOWS\SYSTEM\NETBIOS.DLL99/05/11 3:12:06 GMT7f820000 - 7f828000
・RWABS32.DLLC:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\RWABS32.DLL99/02/26 1:51:20 GMT02060000 - 0206a000
・MCSCAN32.DLLC:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\MCSCAN32.DLL99/10/21 3:41:54 GMT00430000 - 004bb000
・HATCH32.DLLC:\PROGRAM FILES\DI\HATCHINSIDE\HATCH32.DLL99/06/07 1:25:20 GMT03840000 - 0384c000
・RWABS32.DLLC:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\RWABS32.DLL99/02/26 1:51:20 GMT03460000 - 0346a000
・MCSCAN32.DLLC:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\MCSCAN32.DLL99/10/21 3:41:54 GMT004b0000 - 0053b000
・MOUSEHOOK.DLLC:\PROGRAM FILES\ZENRIN\EMAPZ2\WORDLINKER\MOUSEHOOK.DLL99/06/02 21:11:47 GMT30010000 - 3001e000
・MCSCAN32.DLLC:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\MCSCAN32.DLL99/10/21 3:41:54 GMT023c0000 - 0244b000
・HATCH32.DLLC:\PROGRAM FILES\DI\HATCHINSIDE\HATCH32.DLL99/06/07 1:25:20 GMT013c0000 - 013cc000
・SS_LINKER.EXEC:\PROGRAM FILES\ZENRIN\EMAPZ2\WORDLINKER\SS_LINKER.EXE99/06/18 8:22:50 GMT00400000 - 0040a000
・RWABS32.DLLC:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\RWABS32.DLL99/02/26 1:51:20 GMT013b0000 - 013ba000
・MCSCAN32.DLLC:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\MCSCAN32.DLL99/10/21 3:41:54 GMT01310000 - 0139b000
・ENOOHC.DLLC:\WINDOWS\SYSTEM\ENOOHC.DLL04/04/29 13:55:56 GMT012e0000 - 012eb000
・ATLIE.DLLC:\PROGRAM FILES\INETLITE\ATLIE.DLL99/09/07 9:42:21 GMT10000000 - 10013000
・MOUSEHOOK.EXE1, 0, 0, 1SFD Inc.MouseHookAppC:\PROGRAM FILES\ZENRIN\EMAPZ2\WORDLINKER\MOUSEHOOK.EXE99/06/02 21:11:58 GMTMouseHookApp00400000 - 00406000
・LHSHLEXT.DLL1, 8, 2, 0KazuSoft 大竹和則Shell Extension DLLC:\WINDOWS\SYSTEM\LHSHLEXT.DLL01/09/19 8:06:48 GMTLHSHLEXT Dynamic Link Library1c000000 - 1c01b000
・CSH.DLL2.00.039Blue Sky Software CorporationUser RunTime Communication DLLC:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\CSH.DLL97/02/01 0:44:50 GMTWhat's This? Help Composer02710000 - 02720000

補足日時：2004/05/18 17:56

この回答へのお礼

ありがとうございます。
C:\WINDOWS\Downloaded Program Files　の中身です。
avsniff.dll、avsniff.inf、CabSA.inf、catalog.dat、desktop.ini、DirectAnimation Java Classes.osd、Internet Explorer Classes for Java.osd、iuctl.inf、kdu_v32r.dll、Microsoft XML Parser for Java.osd、navapi.vxd、navapi32.dll、naveng32.dll、navex32a.dll、rufsi.dll、scrauth.dat、SurveyControl35.dll、surveycontrol35.inf、swflash.inf、symaveng.cat、symaveng.inf、symaveng.inf、tcscan7.dat、tcscan8.dat、tcscan9.dat、tinf.dat、tinfidx.dat、tinfl.dat、tscan1.dat、tscan1hd.dat、v.grd、v.sig、virscan.inf、virscan1.dat、virscan2.dat、virscan3.dat、virscan4.dat、virscan5.dat、virscan6.dat、virscan7.dat、virscan8.dat、virscan9.dat、virscant.dat、vscanmsx.dat、VwrCtl.inf、yacscom.dll、yacscom.inf、Yahoo! Chat JP 2.osd、yvwrctl.dll、ywcvwr.dll、zdone.dat

お礼日時：2004/05/18 17:11

No.49 回答者： heto2 回答日時： 2004/05/18 09:16

色々調べているうち、CWS.Realyellowpage というスパイウエアの可能性が出てきました。

http://www.spywareinfo.com/~merijn/cwschronicles …

このウィルスは実行プログラムをタスクマネージャのプロセスリストからでさえ見えないようにしてしまうため、特殊なツールが必要になります。

regsvr32の実行をも妨害している可能性もあります。

見つけたファイルを削除するにも特殊なツールが必要になります。

通常のファイルやレジストリの操作方法では修正できないかも知れません。

スタートページに表示されているページが次のページかどうか確認ください。
http://linklist.cc/

もしこのページと同じであれば次の作業に入ってください。

以下、Merijnさんのサイトでの説明を解りやすく書いてみました。

ただし、危険な作業ですので、時間の余裕をもって慌てず確実にやってください。

１．デスクトップに「CWS」というフォルダを作ります。

２．プログラムのダウンロード
　
　下記ファイルをダウンロードして「CWS」フォルダに保存してください。

　「PV」(ProcessView)
　http://www.spywareinfo.com/~merijn/files/pv.zip
　隠しファイルを見つけるツール
　
　「KillBox」
　http://download.broadbandmedic.com/
　OSの再起動してファイルを削除するツール
　
　「pv.zip」を解凍します。
　解凍したフォルダに「runme.bat」というファイルがあるのを確認してください。
　
　「KillBox」
　同じく「KillBox.exe」というファイルがあるのを確認してください。
　
３．任意のIE画面を開いておきます。

４．「runme.bat」を起動します。
　「pv.exe」を使って、IE関連のモジュールを一覧表示させるバッチファイルです。
　IEが起動されていなければ何も表示されません。

　「Log.txt」
　メモ帳が開き実行中のプロセスの一覧（「Log.txt」)が表示されます。

　「61c00000 61440」
　リストの2列目と3列目に上記表示のあるファイルを見つけてください。
　
　３列目にあるファイルパスとファイル名を「Ctrl+C」で、クリップボードにコピーしておきます。
　
　複数のファイルがあるかもしれません。
　下記のファイルに注意してください。
　
　ENOOHC DLL
　NEE DLL
　WDM DLL
　
５．「KillBox.exe」を起動します。

　メニューの「Action」を開き "Delete on Reboot"を選択します。

６．「PendingFileRenameOperations」という画面が開きます。

　AAA.「File」＞「Add File」
　　メニューの「File」＞「Add File」を選択するとクリップボードにコピーされているファイルパスとファイル名が自動的に追加されます。

　BBB.「File」＞「Remove File」
　　間違って削除してはいけないファイルを追加してしまった場合はその行を選択してメニューの「File」＞「Remove File」をクリックして、画面から削除します。

　　!!!　必要なファイルを誤って削除しないよう充分に注意してください!!!

　CCC.削除するファイルの追加
　　「Log.txt」に戻りファイルパスとファイル名をコピーして、「KillBox.exe」のメニューの「File」＞「Add File」をクリックします。

　DDD.「File」＞「Process and Reboot」
　　削除するファイルを確定できたら「PendingFileRenameOperations」画面の
「File」＞「Process and Reboot」をクリックします。

　EEE.パソコンが再起動され、指定したファイルが削除されます。
　
７．再起動後、任意のIE画面を開いておき「runme.bat」を起動してファイルが削除されているのを確認してください。

隠しファイルや、通常の操作では削除できないファイルを削除できればあとは「HijackThis」等で修復可能と思います。

しかし、複合汚染の可能性もあります。
削除できたファイルや、気付いたことなどレポート下さると助かります。

☆sp.htmlのこと
どうやら、DLLファイルに内蔵しているみたいです。
探しても見つからないと思います。

この回答への補足

すみません。
ENOOHC.DLLとWDM.DLLはありました。m(__)m
と、パスをコピーして「Add File」を選択しても自動で開かないです。(・・ゞ

補足日時：2004/05/18 18:12

この回答へのお礼

ありがとうございます。
そっくりです！(+_+)

80個位ファイルがありましたが、
61c00000 61440　ENOOHC DLL、NEE DLL、WDM DLL はありません。
CWShredder　で毎回引っかかるファイルはあるんだけどなぁ。

お礼日時：2004/05/18 16:44

No.48 回答者： ittochan 回答日時： 2004/05/18 06:40

ANo.#23のbeerserverちゃんへの補足を見たんですが。

＞Enumerating Browser Helper Objects:
＞(no name) - C:\WINDOWS\SYSTEM\ENBFCAA.DLL -
＞{9A2BC76A-A457-11D8-B660-00901F25D67B}
これ、
ENBFCAA.DLL
これは
レジストリの
HKEY_LOCAL_MACHINE
　＋SOFTWARE
　　＋Microsoft
　　　＋Windows
　　　　＋CurrentVersion
　　　　　＋Explorer
　　　　　　＋Browser Helper Objects
　　　　　　　＋{9A2BC76A-A457-11D8-B660-00901F25D67B}

この{9A2BC76A-A457-11D8-B660-00901F25D67B}キーのことでしょうか？
これは今も存在していますか？

この回答へのお礼

ありがとうございます。
多分こうだったと思います。
HKEY_LOCAL_MACHINE
+Software
+CLASSES
+CLSID
+{9A2BC76A-A457-11D8-B660-00901F25D67B}

削除したので今はないです。

お礼日時：2004/05/18 15:33

No.47 回答者： ittochan 回答日時： 2004/05/18 06:08

入力履歴を見て気づいたんですが

regsvr32 は
「ファイル名を指定して実行」からできますよ。

それと、
レジストリエディタは終了させずに、
regsvr32を実行します。

regsvr32を実行後
レジストリエディタを表に出して
「F5」キーを押せば
レジストリの内容が更新されるので楽です。

この回答へのお礼

ありがとうございます。
「ファイル名を指定して実行」regsvr32と入力すると
No DLL name specified.
Usage: ....

というメッセージがでたんですが・・？

お礼日時：2004/05/18 15:21

No.46 回答者： ittochan 回答日時： 2004/05/18 05:16

＞残念

＞どこかに実行履歴が残ると思いしが・・・
koroteke さんがキー入力した履歴だけ残るんですよね。
＞DllUnregisterServer in ENOOHC.DLL succeeded
＞となりました。成功かな？
＞ENOOHC.DLLのキー↓はきえていないです。
HKEY_CLASSES_ROOT
　＋CLSID
　　＋{A386326B-A6B2-11D8-B660-00909A6F7C9A}

ここ以外に
{A386326B-A6B2-11D8-B660-00909A6F7C9A}
の文字列は検索されないのなら
ANo.#37と同じように削除します。

↑を削除すれば、

HKEY_LOCAL_MACHINE
　＋Software
　　＋CLASSES
　　　＋CLSID
　　　　＋{A386326B-A6B2-11D8-B660-00909A6F7C9A}
も消えます。

NEE.DLLはどうでしょか？

この回答へのお礼

ありがとうございます。
ごめんなさい。再起動をしていないせいか、キーは消えていました。
NEE.DLLはまだ残ってます。

お礼日時：2004/05/18 15:09

No.45 回答者： heto2 回答日時： 2004/05/17 08:36

>OpenSaveMRUというキーはありませんでした。

残念
どこかに実行履歴が残ると思いしが・・・

助けて!　ittochanさん!

>RunMRUは
>a "regedit\1"
>b "command\1"
>c "regsvr32 /u ENBFCAA.DLL\1"
>d "regsvr32 /u JKFJP.DLL\1"
>MRUList "cadb"

MRUList "cadb"
下記の順(または逆順)に実行されたことを示しています。
c "regsvr32 /u ENBFCAA.DLL\1"
a "regedit\1"
d "regsvr32 /u JKFJP.DLL\1"
b "command\1"

出かけなければなりませんので、本日これまで

この回答へのお礼

ありがとうございます。
なるほど。勉強になります。

お礼日時：2004/05/17 20:37

No.44 回答者： heto2 回答日時： 2004/05/17 08:22

楽に作業できるようバッチファイル作りました。

実行結果教えてください。

:～～～～～～DirDLL2.batはじめ～～～～～～～
:sp.htmlを見つける
:DLLファイルを日付順(降順)でリストアップ
:
　c:
　cd\WINDOWS\System
　dir sp.html /s > c:\DirDLL2.txt
　dir *.dll /O-D >> c:\DirDLL2.txt
　Notepad.exe c:\DirDLL2.txt
:～～～～～～DirDLL2.bat終わり～～～～～～～

:～～～～～～DirAH2.batはじめ～～～～～～～
:隠しファイルを見つける
:「C:\WINDOWS\system のディレクトリ」以下に
:ファイル一覧を表示
:表示が無ければ隠しファイルなし。
:
　c:
　cd\WINDOWS\System
　dir /a:h > c:\DirAH2.txt
　Notepad.exe c:\DirAH2.txt
:～～～～～～DirAH2.bat終わり～～～～～～～

:～～～～～～AttDLL2.batはじめ～～～～～～～
:疑わしいファイルの属性を調べる
:
　c:
　cd\WINDOWS\System
　attrib ENOOHC.DLL > c:\AttDLL2.txt
　attrib sp.html >> c:\AttDLL2.txt
　attrib NEE.* >> c:\AttDLL2.txt
　attrib enbfcaa.dll >> c:\AttDLL2.txt
　attrib JKFJP.DLL >> c:\AttDLL2.txt
　Notepad.exe c:\AttDLL2.txt
:～～～～～～AttDLL2.bat終わり～～～～～～～

この回答へのお礼

ありがとうございます。
DirDLL2　（日付が2004年4月以降のものです。）
ENOOHC DLL 31,232 04-05-15 21:40 enoohc.dll
NEE DLL 31,232 04-05-05 6:29 nee.dll
WDM DLL 57,344 04-05-05 0:19 wdm.dll

DirAH2　
FOLDER HTT 13,240 99-12-13 15:58 folder.htt
DESKTOP INI 266 99-12-13 15:58 desktop.ini
BJBGMON GID 10,828 04-02-05 1:34 Bjbgmon.GID
BJSTS GID 10,829 01-04-19 1:34 bjsts.GID
BJSTLST GID 10,828 01-04-19 1:50 Bjstlst.GID
BJUITBL GID 19,105 03-01-24 21:49 bjuitbl.GID

AttDLL2
A ENOOHC.DLL C:\WINDOWS\System\enoohc.dll
A NEE.DLL C:\WINDOWS\System\nee.dll

お礼日時：2004/05/17 18:31

No.43 回答者： heto2 回答日時： 2004/05/17 07:20

１．「CWShredder」(Ver.1.57.0)

　「CWShredder」が（完全ではありませんが)対応し始めたようです。
　(Ver.1.57.0)をダウンロードしてチェックしてください。
　http://www.spywareinfo.com/~merijn/downloads.html

　下記のレポートが表示されるはずです。
　コピーして貼り付けてください。
　
　Infected Registry value:
　HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar
　Infected data: res://C:\WINDOWS\SYSTEM\ENOOHC.DLL/sp.html (obfuscated)
　（以下30行ほど続く)

２．sp.html
　C:\WINDOWS\SYSTEM\ENOOHC.DLL/sp.html/
　「sp.html」というファイルを見つけ出してください。
　この中にスクリプトが書き込まれている可能性があります。
　
３．ENOOHC.DLL
　ENOOHC.DLLのプロパティで「属性」を調べてください。
　
４．NEE.DLL
　以下調査ください。
　NEE.DLLがまだ存在するか?
　NEE.XXXが存在するか?

この回答へのお礼

ありがとうございます。
1.　ダウンロードしてチェックしましたが、そのようなレポートが出なかったのですが...?
2.　sp.htmlというファイルはありませんでした。
3.　ENOOHC.DLLの属性はアーカイブにチェックが入ってます。
4.　NEE.DLLはまだ存在しています。NEE.XXXは存在しないです。

お礼日時：2004/05/17 20:28