No.42
- 回答日時:
1.
>HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{9A2BC769-A457-11D8-B660-0090EFF7480C}
>HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{5AE2C585-A5E3-11D8-B660-00908DF51DD1}
>これでよろしいですか?
これは
HKEY_CLASSES_ROOT
+CLSID
+{9A2BC769-A457-11D8-B660-0090EFF7480C}
+{5AE2C585-A5E3-11D8-B660-00908DF51DD1}
のコピーなのです。
あとは無いんですね?
もし無ければレジストリエディタでの探索はこれ以上無理って事になります。
2.
>2つとも消えてませんでした。
>LoadLibrary("enbfcaa.dll")filed.
>GetLastError returns 0x00000485
>というメッセージはエラーということでしょうか?
これはregsvr32では
登録解除できなかったことになります。
現在、そのファイルが使用中の場合は登録解除できません。
Windowsをセーフモードで起動してやってみると
登録解除できるかもしれません。
1で、そこ以外に無くて
2で、Windowsのセーフモードでも駄目で
ENBFCAA.DLLとJKFJP.DLLが不必要なファイルなら
レジストリエディタで
HKEY_CLASSES_ROOT
+CLSID
+{9A2BC769-A457-11D8-B660-0090EFF7480C}
+{5AE2C585-A5E3-11D8-B660-00908DF51DD1}
この
{9A2BC769-A457-11D8-B660-0090EFF7480C}
{5AE2C585-A5E3-11D8-B660-00908DF51DD1}
2つのキーを削除すればOKです。
ENOOHC.DLLの探索はどうでしょうか?
ありがとうございます。
セーフモードでもダメだったので、削除しました。
ENOOHC.DLLは
DllUnregisterServer in ENOOHC.DLL succeeded
となりました。成功かな?けど、ENOOHC.DLLのキー↓はきえていないです。
HKEY_CLASSES_ROOT\CLSID\{A386326B-A6B2-11D8-B660-00909A6F7C9A}\InProcServer32
No.41
- 回答日時:
問題の「DLLファイル」は、IEの起動・終了・設定等操作をするとファイル名が書き換えられていたかも知れません。
試しに、IEを起動→トップページのソース表示をし保存、開いたまま「ツール→インターネットオプション」で「Webの設定のリセット」を実行後、IEを「終了→再起動」で再表示させた時のソースを比較した場合、「res://%43%3a%・・・」行のファイル名は同じでしょうか?
私の場合(Win2000)、レジストリには「res://%43%3a%5c%・・・」とエンコードされて書き込まれてましたので、この先頭の文字列でレジストリキーを検索しヒットしたモノをコード表で解析すれば現在のDLLファイルが判明すると思うので、その状態のままフォルダを検索すれば見つかるかも知れません。
ありがとうござます。
試してみましたが、同じファイル名でした。
HKEY_CURRENT_USER と HKEY_LOCAL_MACHINE と HKEY_USERS の
\Software\Microsoft\Internet Explorer の
\Main の Search Bar と Search Parge 、
\Search の Search Assistant が
"res://%43%3a%5c%57%49%4e%44%4f%57%53%5c%53%59%53%54%45%4d%5c%45%4e%4f%4f%48%43%2e%44%4c%4c/%73%70%2e%68%74%6d%6c"
となっていました。
No.40
- 回答日時:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
以下、時間がなくなってきたので、見込み運転です。
No.39でDirDllAH.txtの表示が空白であった場合、次の作業に移ってください。
1.全てのIE画面を終了させる
2.「HijackThis」を起動して、「Scan」をクリック
3.「NOOHC.DLL」を含む行の左端のチェックボックスをクリックしてチェックを入れる。
例えば下のような行
O2 - BHO: (no name) - {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx} - C:\WINDOWS\ESystem\NOOHC.DLL
(xxxxxxxxには英数字が入ります。)
4.「Fix checked」をクリック
5.「HijackThis」を終了
6.コンピュータを再起動します。
7.「Web設定のリセット」
IEを起動してメニューの「ツール」「インターネットオプション」「プログラム」画面にある「Web設定のリセット」で初期設定に戻してください。
☆お願い
参考までに下記レジストリの右側で怪しげなファイル名が無いか調べてください。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
この回答への補足
おっしゃったとおりにしました。
けど、またHijackThisでscanしたところ、
02 - BHO のところに「・・・ENOOHC.DLL」がでてきました。
ありがとうございます。
OpenSaveMRUというキーはありませんでした。
RunMRUは
a "regedit\1"
b "command\1"
c "regsvr32 /u ENBFCAA.DLL\1"
d "regsvr32 /u JKFJP.DLL\1"
MRUList "cadb"
となっています。
No.39
- 回答日時:
チョイト説明不足でした。
DirDllAH.txtは検索結果を表示するファイルです。
メモ帳等で開いてください。
空白であれば隠しファイルは無かったということになります。
korotekeさんのご回答を待って,次の作業に入りたいと思います。
敵は本能寺(NEE.DLL)にありそうです。
しかし、ファイル操作を繰り返しているうちにファイル名が変わっている可能性もありますので油断は禁物です。
何とか今日中に片付けたいですね。
ありがとうございます。
No.38のお礼のところに書いたもののみが書いてありました。
という事は空白という事でいいのかな?
と、補足です。
No.35のところでファイルは2つと書きましたが、3つになってました。m(__)m
NOOHC.DLL と NEE.DLL と WDM.DLL の3つです。
No.38
- 回答日時:
>HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Doc Find Spec MRU
MRUは「MostRecentlyUsed」の略ですから、検索履歴と考えていいでしょう。
>HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{A386326B-A6B2-11D8-B660-00909A6F7C9A}\InProcServer32
「InProcServer32」キーを使って特殊なプログラムをメモリーに読み込むようです。
しかし、この辺になると、私の知識もあやふやなので「丸呑み禁止」です。
この辺はittochanさんがお詳しいと思います。
>NEE.DLLは見つかりましたが、WDM.DLLは見つかりませんでした。
次々に、実行ファイル名を変えたり、隠しファイルにしている可能性が出てきました。
1.NEE.DLL
エキスプローラでプロパティを調べてください。
「全般」画面
サイズ:
ディスク上のサイズ:
作成日時:
更新日時:
アクセス日時:
「バージョン情報」画面
説明:
著作権:
会社名
2.WDM.DLL
NEE.DLLと摩り替わった可能性がありますが、「隠しファイル」で生きている可能性もあります。
下記バッチファイルを試してみてください。
☆バッチファイルの作成
C:\WINDOWS\System32\フォルダにある「DLL」ファイルのうち「隠し属性」のあるものをテキストファイルに書き出します。
下記の行をメモ帳等に貼り付け、例えば「DirDLLAH.bat」という名前で「c:\」に保存してください。
:~~~~~~引用はじめ~~~~~~~
c:
cd\
cd \WINDOWS\System
dir *.dll /a:h > c:\DirDllAH.txt
:~~~~~~引用終わり~~~~~~~
☆バッチファイルの実行
「c:\DirDLL.bat」を実行すると「c:\DirDllAH.txt」が作成されます。
もし、このファイルが空白であれば削除されたと判断します。
通常、DLLファイルを隠しファイルにする必要は無いはずです。
もし、隠しファイルがあれば疑っていいと思います。
☆プロパティの調査
隠し属性を削除する作業が必要です。
>新しいDLLはENOOHC.DLL
この種のファイルは「HijackThis」で楽に削除できるので、今回はあまり重要視していません。
なれぬことで大変でしょうが、着々と作業が進んでいると思っています。
korotekeさんのご回答に注目している方も多いと思います。
何度も言いますが、貴方がお持ちの情報が一番貴重なんです。
あと一息! 頑張りましょう。
ありがとうございます。
そのお言葉を励みに頑張りたいと思います。ヾ(@^▽^@)
NEE.DLLは全般タブのみで、バージョン情報はありません。
サイズ:30.5KB(31,232)、32,678バイト使用
作成日時:2004年5月5日 6:29:16
更新日時:2004年5月5日 6:29:18
アクセス日:2004年5月16日
DirDllAH.txtは
ドライブ C: のボリュームラベルはありません.
ボリュームシリアル番号は 3A30-18D8
ディレクトリは C:\WINDOWS\SYSTEM
となってます。
No.37
- 回答日時:
ENBFCAA.DLL
のCLSIDが
{9A2BC769-A457-11D8-B660-0090EFF7480C}
JKFJP.DLL
のCLSIDが
{5AE2C585-A5E3-11D8-B660-00908DF51DD1}
なので、
レジストリエディタで
{9A2BC769-A457-11D8-B660-0090EFF7480C}
と
{9A2BC769-A457-11D8-B660-0090EFF7480C}
という文字列を検索して、どこに登録されているか調べます
それと、
スタート→「ファイル名を指定して実行」をクリック
regsvr32 /u ENBFCAA.DLL
と入力して「OK」をクリック
と
スタート→「ファイル名を指定して実行」をクリック
regsvr32 /u JKFJP.DLL
と入力して「OK」をクリック
をしてみます。
もし成功のダイアログが出たら、
もう一度レジストリエディタで
HKEY_CLASSES_ROOT
+CLSID
+{9A2BC769-A457-11D8-B660-0090EFF7480C}
+{5AE2C585-A5E3-11D8-B660-00908DF51DD1}
この2つのキーが消えているか確認します。
ありがとうございます。
HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{9A2BC769-A457-11D8-B660-0090EFF7480C}
HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{5AE2C585-A5E3-11D8-B660-00908DF51DD1}
これでよろしいですか?
2つとも消えてませんでした。
LoadLibrary("enbfcaa.dll")filed.
GetLastError returns 0x00000485
というメッセージはエラーということでしょうか?
No.36
- 回答日時:
>cd /d c:\windows\systemと入力すると
無効なスイッチです。-/D
Windows98のMS-DOSプロンプトだと、
"/D"オプションは使えないのかもしれません。
(私の環境では問題ありませんが...)
以下の様に入力しても同じ結果を得られます。
C: [Enter]
CD C:\WINDOWS\SYSTEM [Enter]
([Enter]はエンターキーを押す事を意味します)
でも、heto2さんのご指摘の様に、
BHOは自動で削除されているのかもしれません。
経験不足ですみません...。
私よりheto2さんの方がずっとお詳しいので、
意見に食い違いがあったら私の方は信じないで下さい(笑)
しかし、DOSのコマンドは覚えておいて
今後の為に損はないので試してみて下さいね。
あと、レジストリの検索についてですが、
"F3"を押さないと次に進みませんのでご注意下さい。
(1つずつしか検索出来ない)
ありがとうございます。
C:[Enter]を入力すると
コマンドまたはファイル名が違います。
となります。
MS-DOSプロンプトは初めてさわったのですが難しいですね。(*_*)
No.35
- 回答日時:
★ヒューリスティックスキャン
No.13 basser_no1さん<実際に解決した方法>
マカフィーのソフトではヒューリスティックというウィルス検索方法が採用されています。
これは、ウィルスのファイル名でなくウィルスの動作パターンを特定してウィルスを検索する方法です。
新種のウィルスやファイル名が違うが動作が同じウィルスの検出に威力を発揮します。
今回のようにファイル名がわからない場合に役立っっているように思います。
☆このスパイウエアの特徴は?
No.13 basser_no1さんの解決例をヒントに、泥臭いやり方を考えてみました。
1.拡張子が「DLL」のファイルである。
2.C:\WINDOWS\System\フォルダに保存されている可能性が高い。
3.作成日がごく最近である。
4.プロパティ表示で著作権者、会社名が無いと思われる。
☆バッチファイルの作成
C:\WINDOWS\System32\フォルダにある「DLL」ファイルを新しい日付順にリストアップしてテキストファイルに書き出します。
下記の行をメモ帳等に貼り付け、例えば「DirDLL.bat」という名前で「c:\」に保存してください。
:~~~~~~引用はじめ~~~~~~~
c:
cd\WINDOWS\System
dir *.dll /O-D > c:\temp.txt
:~~~~~~引用終わり~~~~~~~
☆バッチファイルの実行
「c:\DirDLL.bat」を実行すると「c:\temp.txt」が作成されます。
☆プロパティの調査
Win98ですから、「c:\temp.txt」には2004年4月以降の日付のファイルは僅かしかないと思います。
エキスプローラでファイルを選択プロパティを調べてください。
もし日付が変更されていたら?
「それを言っちゃあ、おしまい」、ではありません。
別の方法を考えましょう
この回答への補足
補足です。新しいDLLはENOOHC.DLL
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Doc Find Spec MRU
に
a ""
b "GLB1A2B.EXE"
c "GREUNI~1.EXE"
d "WDM"
e "enoohc"
MRUList "eabcb"
というものがありました。
また、
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs
HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{A386326B-A6B2-11D8-B660-00909A6F7C9A}\InProcServer32
HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{A386326C-A6B2-11D8-B660-00901586E4EE}\InProcServer32
にもENOOHC.DLLがありました。
ありがとうございます。
2004年4月以降の日付のファイルは2つあります。
NEE.DLLは見つかりましたが、WDM.DLLは見つかりませんでした。
No.34
- 回答日時:
★裏技:IEの自動変換機能を使う。
IEにはASCIIコードをアルファベットに自動変換する機能があります。
「%」で始まる文字列をIEのアドレス欄に貼り付けます。
先頭に「http://」を追加して「移動」をクリックで下記のようになります。
変換(移動)前
http://%43%3a%5c%57%49%4e%44%4f%57%53%5c%53%59%5 …
変換(移動)後
http://C:\WINDOWS\SYSTEM\JKFJP.DLL/
これで、新しく生成されたBHOが次のファイルを使っていることが解ります。
C:\WINDOWS\SYSTEM\JKFJP.DLL
この状況は「HijackThis」にも表示されます。
★ファイルが見つからない
「HijackThis」で「Fix」した結果、レジストリ設定を削除すると同時にファイルも削除していると思います。
★「CWShredder」でも削除できない
「HijackThis」に表示されるレベルであれば「CWShredder」で駆除できると思います。
「CWShredder」で駆除できない理由は、他に隠れているファイルがあって、「ENBFCAA.DLL」や「JKFJP.DLL」を生成しているからです。
「ENBFCAA.DLL」や「JKFJP.DLL」は「HijackThis」で簡単に削除できるので大した問題ではありません。
問題は、隠れたファイルを見つけて削除することです。
しかし、簡単ではありません。
その隠しファイルもまた、次々名前を変えて出現しているからです。
★気になるファイル
No.24 回答に対する補足
[rename]
NUL=C:\WINDOWS\TEMP\GLB1A2B.EXE
NUL=C:\WINDOWS\GREUNI~1.EXE
この種のスパイウエアでは「DLL」ファイルが使われるので関係ないかもしれませんが、念のためこのファイルがあるか調べてみてください。
「NUL=」ということは消えてしまっているかも。
それとも「.EXE」になっているんでしょうか?
★「Merijn」 vs 「CoolWebSearch」
「Merijn」 さんは「CWShredder」や「HijackThis」の作者です。
まだ若い学生さんだそうですが、世界中のアンティスパイウエアの世界で注目されている人です。
しかし、「CoolWebSearch」からは商売の邪魔をするものとして憎まれています。
今年はじめから、欧米のアンティスパイウエアサイトが軒並みDDoS攻撃を受け接続不能になりました。
当然「Merijn」 さんのサイトもダウンしました。
現在、DDoS攻撃を防御できるSpyWareInfoのサイトで仮住まい中です。
そして今、「about:blank」というアドウエアに世界中が悩まされています。
「別居、解雇、逮捕の危険も?――ブラウザーを乗っ取る悪質なスパイウェア」
http://hotwired.goo.ne.jp/news/news/20040514207. …
いずれもファイル名をランダムに生成したり、ファイル名を隠すという手口を使ってアンティスパイウエアでは削除できないプログラムをばら撒いています。
ありがとうございます。
便利な裏技ですね。
GLB1A2B.EXEとGREUNI~1.EXEはないようです。
世の中には変な人もいるもんですね。
No.33
- 回答日時:
ごめんなさい。
#32のアスキーコード変換フォームは、
Internet Explorerでは使えない様です。
(Netscapeなら大丈夫です)
フリーソフトがいくつかありますのでそちらを使って下さい。
参考URL:http://search.vector.co.jp/search?query=ASCII%83 …
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- Windows 10 windows10のクリーンインストールが完了出来ない 2 2022/06/04 13:33
- Android(アンドロイド) Android バッテリーの消耗が早くなった。2倍以上 6 2022/05/28 10:36
- デスクトップパソコン 「自動修復でPCを修復できませんでした」と表示されPCが起動しないのですが対処法はありますか? 5 2022/05/13 09:16
- Windows 10 Windows10起動しない、エラー0xc0000185修復方法 2 2022/07/14 12:28
- CPU・メモリ・マザーボード 自作PCの再起動多発について 6 2022/04/17 15:15
- Chrome(クローム) ブラウザーGoogle Chromeに関する質問 1 2023/07/07 11:22
- iPhone(アイフォーン) iPhone機種変 親への言い方 2 2022/03/26 17:30
- Visual Basic(VBA) こんにちは。ExcelVBA初心者につき困っています。Functionで始まっている処理の中で、処理 1 2022/06/18 21:40
- マルウェア・コンピュータウイルス McAfee total Protection の 偽サイトについて 2 2022/04/12 20:27
- Android 僕のXperiaXZ1(Androidバージョン 9 Pie)のtube mateが動かなってしまい 1 2022/07/28 16:19
関連するカテゴリからQ&Aを探す
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
FXonline でログインできない
-
無料体験版ウイルスソフトを消...
-
Ad-Aware 2007を削除しようとす...
-
Excel のxlsx を Excel2000で...
-
インターネットエクスプローラ...
-
タスクバーの音量アイコンが消...
-
フリーソフトをダウンロードし...
-
スパイボット
-
ノートパソコンについて ミカタ...
-
ウイルスソフトのアンインスト...
-
プログラムのアンインストール...
-
セキュリティソフトの影響でUSB...
-
ウィルスバスターが消えた。
-
ElbyCheckと言うアイコンが常に...
-
PCを立ち上げると、必ず「ソ...
-
「トラッカー」って何でしょうか?
-
通信量を見たい
-
Windowsのデスクトップ版discor...
-
Aloha Browser をWin PC にイン...
-
モバイルpasmoとモバイルsuica
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
FXonline でログインできない
-
KINGsoftが完全に削除できない ...
-
QuickShareをアンインストール...
-
ノートンからマカフィーに変え...
-
Ask.com削除について
-
ソフトアンインストール残存フ...
-
警告が出るのですが。
-
JWord のアンインストール方法...
-
「パスワードが見えるソフト」...
-
ノートパソコンについて ミカタ...
-
トップページを変えられた・・。
-
起動時に立ち上がるNortonの消...
-
OUTLOOK2010 閲覧ウィ...
-
アダルトサイトからのウイルス
-
エラー KB922770 WindowsXPでW...
-
regclean proの広告の削除の仕方
-
Reg Clean Proの完...
-
ActiveXについて・・・
-
タスクバーの音量アイコンが消...
-
勝手に新たにウインドーが開き...
おすすめ情報