![](http://oshiete.xgoo.jp/images/v2/pc/qa/question_title.png?5a7ff87)
No.22
- 回答日時:
1.
http://js.searchx.cc/index.js?pin=1これをIEのアドレスバーにペースト
2.IEが下記表示になる
var center_x = screen.width/2-400/2; var center_y = screen.height/2-300/2; open("http://vn.msie.cc/popup4.php?pin=1", "_blank", "channelmode=0,directories=0,
fullscreen=no,location=0,menubar=0,scrollbars=0,
status=0,titlebar=0,toolbar=0,resizable=1,
width=400,height=300,top="+center_y+",left="
+center_x);
3.http://vn.msie.cc/popup4.php?pin=1
このページを開くと脅しのポップアップが表示される
「SPYWARE DETECTED ON YOUR PC!」
凄いじゃありませんか。
このポップアップが表示される例が幾つかありますが、ネタが暴かれたのは始めてです。
この回答への補足
またまた、続きます。
Enumerating Download Program Files:
[DialUp Class]
InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\AUTODIAL2.DLL
CODEBASE = http://www.333999.net/AutoDial2.CAB
[SurveyCtl35 Class]
InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\SURVEYCONTROL35.DLL
CODEBASE = http://activex.microsoft.com/controls/mtswizards …
[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\SYSTEM\MACROMED\FLASH\FLASH.OCX
CODEBASE = http://download.macromedia.com/pub/shockwave/cab …
[AutoConnect Class]
InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\ECONNECT.DLL
CODEBASE = http://home.att.ne.jp/sun/live/sample/ldc/eConne …
[{8AD9C840-044E-11D1-B3E9-00805F499D93}]
[{CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA}]
ありがとうございます。
残念ながら、私には理解できませんが、他の方の有益な情報になりそうです。おそらく・・・。
ポップアップはいくつか種類があるようです。「SPYWARE DETECTED ON YOUR PC!」もその一つにあったようなきがします。
No.21
- 回答日時:
%43%3a%5c%57%49%4e%44%4f%57%53%5c%53%59%53%54%45%4d%5c%45%4e%42%46%43%41%41%2e%44%4c%4c
C : \ W I N D O W S \ S Y S T E M \ E N B F C A A . D L L
解読すれば、上のようになりそう。
ということは、怪しいファイルはこれでしょうか?
C:\WINDOWS\SYSTEM\ENBFCAA.DLL
この回答への補足
まだまだ続きます。
[Yahoo! Audio Conferencing]
InProcServer32 = C:\WINDOWS\DOWNLO~1\YACSCOM.DLL
CODEBASE = http://cs.chat.yahoo.co.jp/v45/yacscom.cab
[Update Class]
InProcServer32 = C:\WINDOWS\SYSTEM\IUCTL.DLL
CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/x86/an …
[Yahoo! Webcam Viewer Wrapper]
InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\YVWRCTL.DLL
CODEBASE = http://chat.yahoo.co.jp/cab/yvwrctl.cab
[Symantec RuFSI Registry Information Class]
InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\RUFSI.DLL
CODEBASE = http://security.symantec.com/sscv6/SharedContent …
[Symantec AntiVirus scanner]
InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\AVSNIFF.DLL
CODEBASE = http://security.symantec.com/sscv6/SharedContent …
ありがとうございます。
解読とは・・・。驚きです。(・o・)
検索してみたら、そのようなファイルが存在しました。憎たらしい奴はこいつなんでしょうか?こいつを削除するんですか?
No.20
- 回答日時:
「Starter」を使ってみる。
http://www.simtel.net/product.download.mirrors.p …
英語しかないので嫌われそうですが、いいソフトです。
「AppInit_Dlls」での設定が表示されないので、無理かと思っていましたが、
Win98でのレジストリ設定であれば、可能性がありそうです。
起動すると自動的にスタートアップの一覧がリストアップ表示されます。
メニューの「File」「Save as plain text」をクリック。
ファイル名を例えば「Starter0512.txt」で保存します。
私の場合で、50行くらいしかありません。
さらに、「.DLL」で検索するとスタートアップで「DLL」ファイルを使っている行を数行に絞り込めます、
その中に怪しいものがあれば「あたり」になる可能性があります。
もし失敗しても勘弁してくださいね。
他にもいろいろ便利な機能が沢山ありますので・・・
この回答への補足
ありがとうございます。
あやしいものと言われましても、見てもさっぱりです。ごめんなさい。m(__)m
もうすこし私に知識があれば・・・。(._.)
No.19
- 回答日時:
korotekeさん。
heto2です。遠慮せずに気が付いたこと書き込んでください。とにかく、被害者の方からの生の情報が一番役にたつんですよ。
他の皆さんも同じだと思いますが、出来れば中途半端で終わりたくないんです。
それと、特別な事情さえなければ、あせらずに、ゆっくり退治するのがいいと思います。
しかし、情報が盗まれている気配があるとか、パソコンの調子がどんどん悪くなっているとかであれば、復旧にこだわらず、クリーンインストールされるのが正しい選択だと思います。
実は、私も、調べれば調べるほど情報が増えるだけで解決に結びつかないので弱っています。
かなり混乱して来たので、一旦、整理してみることにしました。
1.「about:blank」
このページを乗っ取るアドウエアには何種類かある。
CoolWebSearch系のものと、それ以外のもの
CoolWebSearch系にも何種類かある。
2.「AppInit_Dlls」
OSが2000/XPでは、このレジストリ値を使うことがある。
OSが9x/Meでは、このレジストリキーは存在しない。
従って、別のところに潜んでいるスパイを見つける必要がある。
3.「searchx.cc」
このケースではスタートページに「Search for」という文字列があることから、「CWShredder」が取り上げている「searchx.cc」の可能性が強い。
しかし、「CWShredder」では解決できない。
下記サイトで紹介されているページと同じものと思われる。
http://higaitaisaku.web.infoseek.co.jp/cgi-bin/c …
4.実験1
http://searchx.cc/
この場合、「Search for」で始まるページになるが、不完全。
5.実験2
http://searchx.cc/search.php
よく似たページになるが、「Search for」でなく「Looking for」
6.Google検索
「searchx.cc/」で検索すると情報がワンサカ。
多すぎて混乱中です。
7.注目記事
http://www.computing.net/windowsxp/wwwboard/foru …
このページのResponse Number 13に面白い情報があります。
「Find-All」というツールを使って怪しげなファイルを検出する方法です。
他にも「pv.exe」(ProcessView)を使う方法があるようですが、検出される情報量が多すぎて、解析は難しそうです。
ということで、このあと「Find-All」の使い方でも書こうかなと思っています。
>CWShredderはパソコンを再起動するとおんなじところが何回も引っかかってます。
これに関する情報があればいただきたいところですが。
(スキャン終了後に表示される情報)
この回答への補足
変な形になりましたが、これで最後です。管理者に消されないか不安・・。
--------------------------------------------------
Enumerating ShellServiceObjectDelayLoad items:
WebCheck: C:\WINDOWS\SYSTEM\WEBCHECK.DLL
--------------------------------------------------
End of report, 7,238 bytes
Report generated in 0.661 seconds
Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only
ありがとうございます。
私のような無知な人間には難しすぎて何が何やらです・・・。(・・?
毎回引っかかるやつです。。
CWS.Searchx REMOVED
Restoring Internet Explorer pages RESTORED(6items)
Clearing up orphaned leftovers done!
これでいいのかな?
No.18
- 回答日時:
>HKLM\..\RunServicesOnceには何もはいっていないようです。
けど似たようなところ→HKLM\..\RunServicesには6つくらい入ってました。という事は違う種類かもしれませんね。
いずれにしても、ログは必要なので、
#17さんの方法で保存を試してみて下さい。
こちらへ貼り付ける際、
ログが長い場合は分割してくださいね。
ここの書き込みは、補足欄1000文字、
お礼欄2000文字までという制限がありますので...。
ありがとうございます。
そんな制限があるんですね。知らなかったです。φ(..)メモメモ
startuplistがでてきましたが、それでよかったのでしょうか?
No.17
- 回答日時:
これはウイルスでは無いので「怪しいアプリケーションをスキャン」という様なオプション検索が出来ないと見つからないと思います。
Hijack Thisのログがセーブ出来ないなら、Config→MiscTools→「Generate StartupList log」を押してもログファイルが開きますのでセーブして下さい。
ログファイルで「Enumerating Browser Helper Objects:」の項目にフルパスで記載されていると思います。
heto2さんのおっしゃる通りページの表示は「Search for」だったかも知れません。
何せ連日の寝不足モードで、無意識にログも消しちゃった位なので記憶も曖昧です。
(^^;
そのページのURLですが、しっかりエンコードされてたハズです。
korotekeさん、スタートページが開いたら「表示」→「ソース」を選び「res://」の行を掲載して下さい。
res://で始まる行がレジストリにセットされてましたので。
>どうやら私はとんだ問題児のようです。迷惑かけます。(''ゞ
korotekeさん一人の問題じゃありませんから、そんなに気にする必要は無いですよ。解決すれば多くの人が助かる有益な情報に成ると思いますので。
ありがとうございます。
href="res://%43%3a%5c%57%49%4e%44%4f%57%53%5c%53%59%53%54%45%4d%5c%45%4e%42%46%43%41%41%2e%44%4c%4c/"
これのことでしょうか?ちがったかな?それともこっちかな?
script src="http://js.searchx.cc/index.js?pin=1"
No.16
- 回答日時:
>「INSTALL.LOGがオープンしません」となります。
はて、どうしてでしょう...。(^_^;)
#15のURLの解説通り、新規フォルダを作成して、
そこにHijack Thisのプログラムを入れていますか?
取り敢えずスキャンまでは完了していますよね?
HKLM\..\RunServicesOnce(#15の省略形)
という箇所が無いかまずは探してみて下さい。
見つかったら、そこに出ているDLLファイル名や、
パス(C:\Windows...の様な場所情報)を教えて下さい。
>ウイルス検査にはシマンテックのウイルス検査を行いました。
ノートン製品版か体験版でのスキャンですか?
オンラインウイルススキャンだと#13さんの方法は無理です。
>システムの復元ってやつが見つからないです。
システムの復元はWindowsXP&Me専用の機能です。
ありがとうございます。
ウイルス検査はオンラインスキャンでした。すみません。
>システムの復元はWindowsXP&Me専用の機能です。
ふむふむ、なるほど。XPとMeって便利なんだ。φ(..)メモメモ
HKLM\..\RunServicesOnceには何もはいっていないようです。けど似たようなところ→HKLM\..\RunServicesには6つくらい入ってました。
No.15
- 回答日時:
こんにちは、korotekeさん。
回答者#12さんのURLを見ての情報ですが、
そちらのスパイウェアと同種だとすると、
Win98では、比較的楽に駆除出来るみたいです。
Hijack Thisでシステムをスキャンして、
以下のレジストリキーを確認してみて下さい。
HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\CurrentVersion\RunServicesOnce
そこに怪しいDLLファイルが登録されていれば、
(判断は難しいので補足で相談された方が良いでしょう)
正確にファイル名と存在場所をメモします。
あとはセーフモードでシステムを起動して、
該当ファイルと↑のレジストリ項目を削除です。
なお、作業は全て自己責任でお願いします。
一番のお薦めは勿論リカバリですが...。
あと、CWShredderは既にお試しになったんですよね?
CWShredder
http://higaitaisaku.web.infoseek.co.jp/removecws …
Hijack This
http://higaitaisaku.web.infoseek.co.jp/hijackthi …
>#12さん
AppInit_DllsはWindows9xには無いみたいですよ。
Windows2000/XP上で真の凶悪さを発揮する様です。
この回答への補足
ちょい補足です。!(^^)!
CWShredderはパソコンを再起動するとおんなじところが何回も引っかかってます。CWShredderでは解決しないようです。
ありがとうございます。
CWSherdderを試してみました。しかし状況は変わらないみたいです。使いこなせてないのかもしれませんが・・・。
Hijack Thisはsave logをクリックして保存すると「INSTALL.LOGがオープンしません」となります。こっちのほうは完全に使いこなせていないです・・。恐縮ですが、Hijack Thisの使い方を教えていただければ幸いです。
No.14
- 回答日時:
頑張って、難問解決に挑戦しようじゃありませんか!
解りにくいことについては、及ばずながら、全力で応援します。
1.ウィルスチェック
まだ、このウィルス(正確にはアドウエア)に対応していないと思います。
幾つかのツールを使って、手作業で、修復する必要があるでしょう。
今の所、「Spybot-S&D」や「Ad-aware 6」は使わないでください。
後述の「HijackThis」でのデータが「no file」とか「file missing」等、不完全な表示になってしまいます。
2.ウィルスプログラムの特定(BHO関連)
basser_no1さんご説明のように、このウィルスはIEのBHO(Browser Helper Object)を使っていると思います。
「HijackThis」を使って、「O2 - BHO:」で始まる行を全て貼り付けてください。
3.ウィルスプログラムの特定(AppInit_Dlls関連)
「並」のウィルスの場合、BHO関連で有害な設定を削除し、プログラムを削除するだけで修復できます。
しかし、削除しても、いつの間にか復活してしまうことがあります。
この場合、No.6で説明のとおり「AppInit_Dlls」を使っている可能性があります。
そしてその都度ファイル名を変えて出現します。
レジストリエディターで下記のキーを開いて右側の画面に「AppInit_Dlls」という項目が無いか調べてください。
ただし、レジストリの編集は非常に危険ですので事前にバックアップを作成して置いてください。
以上で、有害なファイルを特定できれば、削除作業へ進めると思います。
また、ページの表示は「Search of」でなく「Search for」では無いでしょうか?
ご確認ください。
取り敢えず、今回はこの辺で・・・
basser_no1さんへ
不躾なお願いですが、もしよろしければ、応援いただければ助かります。
特に、そのページのURLが解らなくて困っています。
多分、アドレス欄には「about:blank」しか表示されていないと思います。
プロパティとかソースを開ければ・・・ しかし、削除されたんであれば無理ですね。
以上、よろしくお願いいたします。
参考:レジストリバックアップ
1.「スタート」「ファイルを指定して実行」で「Regedit」 と入力して「OK」。
2.レジストリエディターのメニューで、「ファイル」「エクスポート」をクリック。 3.レジストリファイルのエクスポート画面下方の「エクスポート範囲」で「すべて」を選択。
4.保存する場所(例えばマイドキュメント)とファイル名(日付がいいでしょう)を入力して「保存」
参考:「HijackThis」
http://www.spywareinfo.com/~merijn/downloads.html
1.起動直後は殆ど白紙の状態です。
2.左下の「Scan」をクリック
3.スタートアップ設定の一覧が表示され、「Scan」ボタンが「SaveLog」に変わります。
4.「SaveLog」をクリックするとメモ帳が開かれ、適当なファイル名で保存できます。。
皆様、ほんとにありがとうございます。
どうやら私はとんだ問題児のようです。迷惑かけます。(''ゞ
ページの表示は「Search of」でなく「Search for」でした。すみません。m(__)m
今、色々試してあたふたしている所です。結果についてはまた補足したいと思っています。
No.13
- 回答日時:
何度も書いてますが、私と同じなら既知の方法では解除出来ませんし、heto2さん言われている通り解決方法を掲載している所は未だ無いと思います。
私も昔はユーザーサポートをやってた経験上、考えられる事は一通り試してますから・・・ウイルス検査は私の記載した方法でしました?(どのソフトを使いました?)<想定される解決方法>
「HijackThis」でも解除出来ませんでしたので、「BHO」として検出されたDLLファイルを探し隔離もしくはリネームして解除出来るか確認し、効果があればそれらを削除する。
「Webの設定のリセット」もその都度合わせて実行する必要があろうかと思います。
<実際に解決した方法>
アンチウイルスソフトも総てが対応するとは言えないのですが、解決事例として私は「McAfee ウイルス スキャン」のスキャンオプションで「怪しいアプリケーションをスキャン」と「新しいウイルスと未知のウイルスをスキャン」をチェックする事によって検出されたDLLファイルを削除し解除出来ました。(定義ファイルが古いと検出されません。)
この後、「HijackThis」で解除出来なかったBHOの記述が削除出来る様に成りましたので削除しました。
DLLファイルは複数ありましたので、名前も変化して行くのだと思います。
ありがとうございます。
ウイルス検査にはシマンテックのウイルス検査を行いました。
basser_no1さんの方法も試してみたいと思います。結果はまた補足します。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- Windows 10 windows10のクリーンインストールが完了出来ない 2 2022/06/04 13:33
- Android(アンドロイド) Android バッテリーの消耗が早くなった。2倍以上 6 2022/05/28 10:36
- デスクトップパソコン 「自動修復でPCを修復できませんでした」と表示されPCが起動しないのですが対処法はありますか? 5 2022/05/13 09:16
- Windows 10 Windows10起動しない、エラー0xc0000185修復方法 2 2022/07/14 12:28
- CPU・メモリ・マザーボード 自作PCの再起動多発について 6 2022/04/17 15:15
- Chrome(クローム) ブラウザーGoogle Chromeに関する質問 1 2023/07/07 11:22
- iPhone(アイフォーン) iPhone機種変 親への言い方 2 2022/03/26 17:30
- Visual Basic(VBA) こんにちは。ExcelVBA初心者につき困っています。Functionで始まっている処理の中で、処理 1 2022/06/18 21:40
- マルウェア・コンピュータウイルス McAfee total Protection の 偽サイトについて 2 2022/04/12 20:27
- Android 僕のXperiaXZ1(Androidバージョン 9 Pie)のtube mateが動かなってしまい 1 2022/07/28 16:19
関連するカテゴリからQ&Aを探す
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
FXonline でログインできない
-
無料体験版ウイルスソフトを消...
-
Ad-Aware 2007を削除しようとす...
-
Excel のxlsx を Excel2000で...
-
インターネットエクスプローラ...
-
タスクバーの音量アイコンが消...
-
フリーソフトをダウンロードし...
-
スパイボット
-
ノートパソコンについて ミカタ...
-
ウイルスソフトのアンインスト...
-
プログラムのアンインストール...
-
セキュリティソフトの影響でUSB...
-
ウィルスバスターが消えた。
-
ElbyCheckと言うアイコンが常に...
-
PCを立ち上げると、必ず「ソ...
-
「トラッカー」って何でしょうか?
-
通信量を見たい
-
Windowsのデスクトップ版discor...
-
Aloha Browser をWin PC にイン...
-
モバイルpasmoとモバイルsuica
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
FXonline でログインできない
-
KINGsoftが完全に削除できない ...
-
QuickShareをアンインストール...
-
ノートンからマカフィーに変え...
-
Ask.com削除について
-
ソフトアンインストール残存フ...
-
警告が出るのですが。
-
JWord のアンインストール方法...
-
「パスワードが見えるソフト」...
-
ノートパソコンについて ミカタ...
-
トップページを変えられた・・。
-
起動時に立ち上がるNortonの消...
-
OUTLOOK2010 閲覧ウィ...
-
アダルトサイトからのウイルス
-
エラー KB922770 WindowsXPでW...
-
regclean proの広告の削除の仕方
-
Reg Clean Proの完...
-
ActiveXについて・・・
-
タスクバーの音量アイコンが消...
-
勝手に新たにウインドーが開き...
おすすめ情報