トップページを変えられた・・。

インターネットエクスプローラーを起動したときのトップページを変えられてしまって困っています。スパイウェアだと思い、SpybotとAd-awareをインストールしましたが、まだ、変わったままです。セーフモードでも試しました。
よくスパイウェア関係のポップアップが出てきますが、ちょっと怖くてそれは閉じるようにしています。それとウィンドウズを終了するときにエラーが出て強制終了しないとダメなんです・・。ウイルスなんでしょうか？対策法を教えてください。

No.42 回答者： ittochan 回答日時： 2004/05/17 05:50

１．

＞HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{9A2BC769-A457-11D8-B660-0090EFF7480C}
＞HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{5AE2C585-A5E3-11D8-B660-00908DF51DD1}
＞これでよろしいですか？
これは
HKEY_CLASSES_ROOT
　＋CLSID
　　＋{9A2BC769-A457-11D8-B660-0090EFF7480C}
　　＋{5AE2C585-A5E3-11D8-B660-00908DF51DD1}
のコピーなのです。

あとは無いんですね？
もし無ければレジストリエディタでの探索はこれ以上無理って事になります。

２．
＞2つとも消えてませんでした。
＞LoadLibrary("enbfcaa.dll")filed.
＞GetLastError returns 0x00000485
＞というメッセージはエラーということでしょうか？
これはregsvr32では
登録解除できなかったことになります。
現在、そのファイルが使用中の場合は登録解除できません。
Windowsをセーフモードで起動してやってみると
登録解除できるかもしれません。

１で、そこ以外に無くて
２で、Windowsのセーフモードでも駄目で

ENBFCAA.DLLとJKFJP.DLLが不必要なファイルなら
レジストリエディタで
HKEY_CLASSES_ROOT
　＋CLSID
　　＋{9A2BC769-A457-11D8-B660-0090EFF7480C}
　　＋{5AE2C585-A5E3-11D8-B660-00908DF51DD1}
この
{9A2BC769-A457-11D8-B660-0090EFF7480C}
{5AE2C585-A5E3-11D8-B660-00908DF51DD1}
２つのキーを削除すればOKです。

ENOOHC.DLLの探索はどうでしょうか？

この回答へのお礼

ありがとうございます。
セーフモードでもダメだったので、削除しました。

ENOOHC.DLLは
DllUnregisterServer in ENOOHC.DLL succeeded
となりました。成功かな？けど、ENOOHC.DLLのキー↓はきえていないです。
HKEY_CLASSES_ROOT\CLSID\{A386326B-A6B2-11D8-B660-00909A6F7C9A}\InProcServer32

お礼日時：2004/05/17 20:00

No.41 回答者： basser_no1 回答日時： 2004/05/16 23:42

問題の「DLLファイル」は、IEの起動・終了・設定等操作をするとファイル名が書き換えられていたかも知れません。

試しに、ＩＥを起動→トップページのソース表示をし保存、開いたまま「ツール→インターネットオプション」で「Webの設定のリセット」を実行後、IEを「終了→再起動」で再表示させた時のソースを比較した場合、「res://%43%3a%・・・」行のファイル名は同じでしょうか？

私の場合（Win2000）、レジストリには「res://%43%3a%5c%・・・」とエンコードされて書き込まれてましたので、この先頭の文字列でレジストリキーを検索しヒットしたモノをコード表で解析すれば現在のDLLファイルが判明すると思うので、その状態のままフォルダを検索すれば見つかるかも知れません。

この回答へのお礼

ありがとうござます。
試してみましたが、同じファイル名でした。

HKEY_CURRENT_USER　と　HKEY_LOCAL_MACHINE　と　HKEY_USERS の　
\Software\Microsoft\Internet Explorer　の
\Main　の　Search Bar　と　Search Parge　、
\Search　の　Search Assistant　が
"res://%43%3a%5c%57%49%4e%44%4f%57%53%5c%53%59%53%54%45%4d%5c%45%4e%4f%4f%48%43%2e%44%4c%4c/%73%70%2e%68%74%6d%6c"
となっていました。

お礼日時：2004/05/17 01:14

No.40 回答者： heto2 回答日時： 2004/05/16 17:50

～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～

以下、時間がなくなってきたので、見込み運転です。
No.39でDirDllAH.txtの表示が空白であった場合、次の作業に移ってください。

１．全てのIE画面を終了させる

２．「HijackThis」を起動して、「Scan」をクリック

３．「NOOHC.DLL」を含む行の左端のチェックボックスをクリックしてチェックを入れる。
　例えば下のような行
　O2 - BHO: (no name) - {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx} - C:\WINDOWS\ESystem\NOOHC.DLL
　(xxxxxxxxには英数字が入ります。)
　
４．「Fix checked」をクリック

５．「HijackThis」を終了

６．コンピュータを再起動します。

７．「Web設定のリセット」
　IEを起動してメニューの「ツール」「インターネットオプション」「プログラム」画面にある「Web設定のリセット」で初期設定に戻してください。

☆お願い

参考までに下記レジストリの右側で怪しげなファイル名が無いか調べてください。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

この回答への補足

おっしゃったとおりにしました。
けど、またHijackThisでscanしたところ、
02 - BHO のところに「・・・ENOOHC.DLL」がでてきました。

補足日時：2004/05/16 23:19

この回答へのお礼

ありがとうございます。
OpenSaveMRUというキーはありませんでした。
RunMRUは
a "regedit\1"
b "command\1"
c "regsvr32 /u ENBFCAA.DLL\1"
d "regsvr32 /u JKFJP.DLL\1"
MRUList "cadb"
となっています。

お礼日時：2004/05/16 21:02

No.39 回答者： heto2 回答日時： 2004/05/16 16:42

チョイト説明不足でした。

DirDllAH.txtは検索結果を表示するファイルです。
メモ帳等で開いてください。
空白であれば隠しファイルは無かったということになります。

korotekeさんのご回答を待って,次の作業に入りたいと思います。

敵は本能寺(NEE.DLL)にありそうです。

しかし、ファイル操作を繰り返しているうちにファイル名が変わっている可能性もありますので油断は禁物です。

何とか今日中に片付けたいですね。

この回答への補足

ごめんなさい。
「NOOHC.DLL」ではなく、
「ENOOHC.DLL」でした。
すみません。m(__)m

補足日時：2004/05/16 21:03

この回答へのお礼

ありがとうございます。
No.38のお礼のところに書いたもののみが書いてありました。
という事は空白という事でいいのかな？
と、補足です。
No.35のところでファイルは２つと書きましたが、３つになってました。m(__)m
NOOHC.DLL　と　NEE.DLL　と　WDM.DLL　の３つです。

お礼日時：2004/05/16 20:27

No.38 回答者： heto2 回答日時： 2004/05/16 08:30

>HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Doc Find Spec MRU

　MRUは「MostRecentlyUsed」の略ですから、検索履歴と考えていいでしょう。
　
>HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{A386326B-A6B2-11D8-B660-00909A6F7C9A}\InProcServer32
　「InProcServer32」キーを使って特殊なプログラムをメモリーに読み込むようです。
　しかし、この辺になると、私の知識もあやふやなので「丸呑み禁止」です。

　この辺はittochanさんがお詳しいと思います。
　
>NEE.DLLは見つかりましたが、WDM.DLLは見つかりませんでした。
次々に、実行ファイル名を変えたり、隠しファイルにしている可能性が出てきました。

１．NEE.DLL
　エキスプローラでプロパティを調べてください。
　
　「全般」画面
　　サイズ:
　　ディスク上のサイズ:
　　作成日時:
　　更新日時:
　　アクセス日時:
　
　「バージョン情報」画面
　　説明:
　　著作権:
　　会社名
　　
２．WDM.DLL
　NEE.DLLと摩り替わった可能性がありますが、「隠しファイル」で生きている可能性もあります。
　下記バッチファイルを試してみてください。
　
☆バッチファイルの作成
　C:\WINDOWS\System32\フォルダにある「DLL」ファイルのうち「隠し属性」のあるものをテキストファイルに書き出します。
　下記の行をメモ帳等に貼り付け、例えば「DirDLLAH.bat」という名前で「c:\」に保存してください。
　:～～～～～～引用はじめ～～～～～～～
　c:
　cd\
　cd \WINDOWS\System
　dir *.dll /a:h > c:\DirDllAH.txt
　:～～～～～～引用終わり～～～～～～～
　
☆バッチファイルの実行
　「c:\DirDLL.bat」を実行すると「c:\DirDllAH.txt」が作成されます。
　もし、このファイルが空白であれば削除されたと判断します。
　
　通常、DLLファイルを隠しファイルにする必要は無いはずです。
　もし、隠しファイルがあれば疑っていいと思います。
　
☆プロパティの調査
　隠し属性を削除する作業が必要です。
　
>新しいDLLはENOOHC.DLL
この種のファイルは「HijackThis」で楽に削除できるので、今回はあまり重要視していません。

なれぬことで大変でしょうが、着々と作業が進んでいると思っています。
korotekeさんのご回答に注目している方も多いと思います。
何度も言いますが、貴方がお持ちの情報が一番貴重なんです。
あと一息! 頑張りましょう。

この回答へのお礼

ありがとうございます。
そのお言葉を励みに頑張りたいと思います。ヾ(＠＾▽＾＠)

NEE.DLLは全般タブのみで、バージョン情報はありません。
サイズ：30.5KB（31,232）、32,678バイト使用
作成日時：2004年5月5日 6:29:16
更新日時：2004年5月5日 6:29:18
アクセス日：2004年5月16日

DirDllAH.txtは
ドライブ C: のボリュームラベルはありません.
ボリュームシリアル番号は 3A30-18D8
ディレクトリは C:\WINDOWS\SYSTEM
となってます。

お礼日時：2004/05/16 15:02

No.37 回答者： ittochan 回答日時： 2004/05/16 07:32

ENBFCAA.DLL

のCLSIDが
{9A2BC769-A457-11D8-B660-0090EFF7480C}

JKFJP.DLL
のCLSIDが
{5AE2C585-A5E3-11D8-B660-00908DF51DD1}
なので、

レジストリエディタで
{9A2BC769-A457-11D8-B660-0090EFF7480C}
と
{9A2BC769-A457-11D8-B660-0090EFF7480C}
という文字列を検索して、どこに登録されているか調べます

それと、
スタート→「ファイル名を指定して実行」をクリック
regsvr32 /u ENBFCAA.DLL
と入力して「OK」をクリック
と
スタート→「ファイル名を指定して実行」をクリック
regsvr32 /u JKFJP.DLL
と入力して「OK」をクリック
をしてみます。

もし成功のダイアログが出たら、
もう一度レジストリエディタで

HKEY_CLASSES_ROOT
　＋CLSID
　　＋{9A2BC769-A457-11D8-B660-0090EFF7480C}
　　＋{5AE2C585-A5E3-11D8-B660-00908DF51DD1}

この２つのキーが消えているか確認します。

この回答へのお礼

ありがとうございます。
HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{9A2BC769-A457-11D8-B660-0090EFF7480C}
HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{5AE2C585-A5E3-11D8-B660-00908DF51DD1}
これでよろしいですか？

2つとも消えてませんでした。
LoadLibrary("enbfcaa.dll")filed.
GetLastError returns 0x00000485
というメッセージはエラーということでしょうか？

お礼日時：2004/05/16 14:33

No.36 回答者： noname#6461 回答日時： 2004/05/15 22:55

>cd /d c:\windows\systemと入力すると

無効なスイッチです。-/D

Windows98のMS-DOSプロンプトだと、
"/D"オプションは使えないのかもしれません。
（私の環境では問題ありませんが...）
以下の様に入力しても同じ結果を得られます。
　C: [Enter]
　CD C:\WINDOWS\SYSTEM [Enter]
（[Enter]はエンターキーを押す事を意味します）
でも、heto2さんのご指摘の様に、
BHOは自動で削除されているのかもしれません。
経験不足ですみません...。
私よりheto2さんの方がずっとお詳しいので、
意見に食い違いがあったら私の方は信じないで下さい（笑）
しかし、DOSのコマンドは覚えておいて
今後の為に損はないので試してみて下さいね。

あと、レジストリの検索についてですが、
"F3"を押さないと次に進みませんのでご注意下さい。
（１つずつしか検索出来ない）

この回答へのお礼

ありがとうございます。
C:[Enter]を入力すると
コマンドまたはファイル名が違います。
となります。

MS-DOSプロンプトは初めてさわったのですが難しいですね。(*_*)

お礼日時：2004/05/15 23:46

No.35 回答者： heto2 回答日時： 2004/05/15 15:06

★ヒューリスティックスキャン

　No.13　basser_no1さん＜実際に解決した方法＞
　マカフィーのソフトではヒューリスティックというウィルス検索方法が採用されています。
　これは、ウィルスのファイル名でなくウィルスの動作パターンを特定してウィルスを検索する方法です。
　新種のウィルスやファイル名が違うが動作が同じウィルスの検出に威力を発揮します。
　今回のようにファイル名がわからない場合に役立っっているように思います。
　
☆このスパイウエアの特徴は?
　
　No.13　basser_no1さんの解決例をヒントに、泥臭いやり方を考えてみました。
　
　１．拡張子が「DLL」のファイルである。
　２．C:\WINDOWS\System\フォルダに保存されている可能性が高い。
　３．作成日がごく最近である。
　４．プロパティ表示で著作権者、会社名が無いと思われる。
　
☆バッチファイルの作成
　C:\WINDOWS\System32\フォルダにある「DLL」ファイルを新しい日付順にリストアップしてテキストファイルに書き出します。
　下記の行をメモ帳等に貼り付け、例えば「DirDLL.bat」という名前で「c:\」に保存してください。
　:～～～～～～引用はじめ～～～～～～～
　c:
　cd\WINDOWS\System
　dir *.dll /O-D > c:\temp.txt
　:～～～～～～引用終わり～～～～～～～
　
☆バッチファイルの実行
　「c:\DirDLL.bat」を実行すると「c:\temp.txt」が作成されます。
　
☆プロパティの調査
　Win98ですから、「c:\temp.txt」には2004年4月以降の日付のファイルは僅かしかないと思います。
　エキスプローラでファイルを選択プロパティを調べてください。
　
　もし日付が変更されていたら?
　「それを言っちゃあ、おしまい」、ではありません。
　別の方法を考えましょう

この回答への補足

補足です。新しいDLLはENOOHC.DLL
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Doc Find Spec MRU
に
a　""
b　"GLB1A2B.EXE"
c　"GREUNI~1.EXE"
d　"WDM"
e　"enoohc"
MRUList　"eabcb"
というものがありました。
また、
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs
HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{A386326B-A6B2-11D8-B660-00909A6F7C9A}\InProcServer32
HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{A386326C-A6B2-11D8-B660-00901586E4EE}\InProcServer32
にもENOOHC.DLLがありました。

補足日時：2004/05/15 22:10

この回答へのお礼

ありがとうございます。
2004年4月以降の日付のファイルは２つあります。
NEE.DLLは見つかりましたが、WDM.DLLは見つかりませんでした。

お礼日時：2004/05/15 18:30

No.34 回答者： heto2 回答日時： 2004/05/15 13:30

★裏技：IEの自動変換機能を使う。

　IEにはASCIIコードをアルファベットに自動変換する機能があります。
　「%」で始まる文字列をIEのアドレス欄に貼り付けます。
　先頭に「http://」を追加して「移動」をクリックで下記のようになります。

　変換(移動)前
　http://%43%3a%5c%57%49%4e%44%4f%57%53%5c%53%59%5 …

　変換(移動)後
　http://C:\WINDOWS\SYSTEM\JKFJP.DLL/

　これで、新しく生成されたBHOが次のファイルを使っていることが解ります。
　C:\WINDOWS\SYSTEM\JKFJP.DLL

　この状況は「HijackThis」にも表示されます。

★ファイルが見つからない
　「HijackThis」で「Fix」した結果、レジストリ設定を削除すると同時にファイルも削除していると思います。

★「CWShredder」でも削除できない
　「HijackThis」に表示されるレベルであれば「CWShredder」で駆除できると思います。
　「CWShredder」で駆除できない理由は、他に隠れているファイルがあって、「ENBFCAA.DLL」や「JKFJP.DLL」を生成しているからです。
　「ENBFCAA.DLL」や「JKFJP.DLL」は「HijackThis」で簡単に削除できるので大した問題ではありません。
　問題は、隠れたファイルを見つけて削除することです。
　しかし、簡単ではありません。
　その隠しファイルもまた、次々名前を変えて出現しているからです。

★気になるファイル
　No.24　回答に対する補足
　[rename]
　NUL=C:\WINDOWS\TEMP\GLB1A2B.EXE
　NUL=C:\WINDOWS\GREUNI~1.EXE
　この種のスパイウエアでは「DLL」ファイルが使われるので関係ないかもしれませんが、念のためこのファイルがあるか調べてみてください。

　「NUL=」ということは消えてしまっているかも。
　それとも「.EXE」になっているんでしょうか?
　
★「Merijn」 vs 「CoolWebSearch」
　「Merijn」 さんは「CWShredder」や「HijackThis」の作者です。
　まだ若い学生さんだそうですが、世界中のアンティスパイウエアの世界で注目されている人です。
　しかし、「CoolWebSearch」からは商売の邪魔をするものとして憎まれています。
　今年はじめから、欧米のアンティスパイウエアサイトが軒並みDDoS攻撃を受け接続不能になりました。
　当然「Merijn」 さんのサイトもダウンしました。
　現在、DDoS攻撃を防御できるSpyWareInfoのサイトで仮住まい中です。
　そして今、「about:blank」というアドウエアに世界中が悩まされています。
　「別居、解雇、逮捕の危険も？――ブラウザーを乗っ取る悪質なスパイウェア」
　http://hotwired.goo.ne.jp/news/news/20040514207. …
　いずれもファイル名をランダムに生成したり、ファイル名を隠すという手口を使ってアンティスパイウエアでは削除できないプログラムをばら撒いています。

この回答へのお礼

ありがとうございます。
便利な裏技ですね。
GLB1A2B.EXEとGREUNI~1.EXEはないようです。

世の中には変な人もいるもんですね。

お礼日時：2004/05/15 18:04

No.33 回答者： noname#6461 回答日時： 2004/05/15 11:37

ごめんなさい。

#32のアスキーコード変換フォームは、
Internet Explorerでは使えない様です。
（Netscapeなら大丈夫です）
フリーソフトがいくつかありますのでそちらを使って下さい。

参考URL：http://search.vector.co.jp/search?query=ASCII%83 …

この回答へのお礼

ありがとうございます。
なかなか便利ですね。

お礼日時：2004/05/15 17:53