トップページを変えられた・・。

インターネットエクスプローラーを起動したときのトップページを変えられてしまって困っています。スパイウェアだと思い、SpybotとAd-awareをインストールしましたが、まだ、変わったままです。セーフモードでも試しました。
よくスパイウェア関係のポップアップが出てきますが、ちょっと怖くてそれは閉じるようにしています。それとウィンドウズを終了するときにエラーが出て強制終了しないとダメなんです・・。ウイルスなんでしょうか？対策法を教えてください。

No.22 回答者： heto2 回答日時： 2004/05/12 19:17

１．

http://js.searchx.cc/index.js?pin=1

　これをIEのアドレスバーにペースト

２．IEが下記表示になる
　var center_x = screen.width/2-400/2; var center_y = screen.height/2-300/2; open("http://vn.msie.cc/popup4.php?pin=1", "_blank", "channelmode=0,directories=0,
fullscreen=no,location=0,menubar=0,scrollbars=0,
status=0,titlebar=0,toolbar=0,resizable=1,
width=400,height=300,top="+center_y+",left="
+center_x);

３．http://vn.msie.cc/popup4.php?pin=1
　このページを開くと脅しのポップアップが表示される
　「SPYWARE DETECTED ON YOUR PC!」

凄いじゃありませんか。
このポップアップが表示される例が幾つかありますが、ネタが暴かれたのは始めてです。

この回答への補足

またまた、続きます。
Enumerating Download Program Files:

[DialUp Class]
InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\AUTODIAL2.DLL
CODEBASE = http://www.333999.net/AutoDial2.CAB

[SurveyCtl35 Class]
InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\SURVEYCONTROL35.DLL
CODEBASE = http://activex.microsoft.com/controls/mtswizards …

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\SYSTEM\MACROMED\FLASH\FLASH.OCX
CODEBASE = http://download.macromedia.com/pub/shockwave/cab …

[AutoConnect Class]
InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\ECONNECT.DLL
CODEBASE = http://home.att.ne.jp/sun/live/sample/ldc/eConne …

[{8AD9C840-044E-11D1-B3E9-00805F499D93}]

[{CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA}]

補足日時：2004/05/14 01:08

この回答へのお礼

ありがとうございます。
残念ながら、私には理解できませんが、他の方の有益な情報になりそうです。おそらく・・・。

ポップアップはいくつか種類があるようです。「SPYWARE DETECTED ON YOUR PC!」もその一つにあったようなきがします。

お礼日時：2004/05/12 21:49

No.21 回答者： heto2 回答日時： 2004/05/12 18:59

%43%3a%5c%57%49%4e%44%4f%57%53%5c%53%59%53%54%45%4d%5c%45%4e%42%46%43%41%41%2e%44%4c%4c

C : \ W I N D O W S \ S Y S T E M \ E N B F C A A . D L L

解読すれば、上のようになりそう。
ということは、怪しいファイルはこれでしょうか？

C:\WINDOWS\SYSTEM\ENBFCAA.DLL

この回答への補足

まだまだ続きます。
[Yahoo! Audio Conferencing]
InProcServer32 = C:\WINDOWS\DOWNLO~1\YACSCOM.DLL
CODEBASE = http://cs.chat.yahoo.co.jp/v45/yacscom.cab

[Update Class]
InProcServer32 = C:\WINDOWS\SYSTEM\IUCTL.DLL
CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/x86/an …

[Yahoo! Webcam Viewer Wrapper]
InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\YVWRCTL.DLL
CODEBASE = http://chat.yahoo.co.jp/cab/yvwrctl.cab

[Symantec RuFSI Registry Information Class]
InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\RUFSI.DLL
CODEBASE = http://security.symantec.com/sscv6/SharedContent …

[Symantec AntiVirus scanner]
InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\AVSNIFF.DLL
CODEBASE = http://security.symantec.com/sscv6/SharedContent …

補足日時：2004/05/14 01:15

この回答へのお礼

ありがとうございます。
解読とは・・・。驚きです。(・o・)
検索してみたら、そのようなファイルが存在しました。憎たらしい奴はこいつなんでしょうか？こいつを削除するんですか？

お礼日時：2004/05/12 21:38

No.20 回答者： heto2 回答日時： 2004/05/12 18:12

「Starter」を使ってみる。

http://www.simtel.net/product.download.mirrors.p …

英語しかないので嫌われそうですが、いいソフトです。
「AppInit_Dlls」での設定が表示されないので、無理かと思っていましたが、
Win98でのレジストリ設定であれば、可能性がありそうです。

起動すると自動的にスタートアップの一覧がリストアップ表示されます。
メニューの「File」「Save as plain text」をクリック。
ファイル名を例えば「Starter0512.txt」で保存します。

私の場合で、50行くらいしかありません。
さらに、「.DLL」で検索するとスタートアップで「DLL」ファイルを使っている行を数行に絞り込めます、
その中に怪しいものがあれば「あたり」になる可能性があります。

もし失敗しても勘弁してくださいね。
他にもいろいろ便利な機能が沢山ありますので・・・

この回答への補足

ありがとうございます。
あやしいものと言われましても、見てもさっぱりです。ごめんなさい。m(__)m
もうすこし私に知識があれば・・・。(._.)

補足日時：2004/05/12 22:12

この回答へのお礼

ありがとうございます。
うぅ・・。また英語ですか・・。
頑張ってやってみます。また、補足します。

お礼日時：2004/05/12 21:41

No.19 回答者： heto2 回答日時： 2004/05/12 17:30

korotekeさん。

heto2です。遠慮せずに気が付いたこと書き込んでください。
とにかく、被害者の方からの生の情報が一番役にたつんですよ。
他の皆さんも同じだと思いますが、出来れば中途半端で終わりたくないんです。
それと、特別な事情さえなければ、あせらずに、ゆっくり退治するのがいいと思います。

しかし、情報が盗まれている気配があるとか、パソコンの調子がどんどん悪くなっているとかであれば、復旧にこだわらず、クリーンインストールされるのが正しい選択だと思います。

実は、私も、調べれば調べるほど情報が増えるだけで解決に結びつかないので弱っています。
かなり混乱して来たので、一旦、整理してみることにしました。

１．「about:blank」
　このページを乗っ取るアドウエアには何種類かある。
　CoolWebSearch系のものと、それ以外のもの
　CoolWebSearch系にも何種類かある。

２．「AppInit_Dlls」
　OSが2000/XPでは、このレジストリ値を使うことがある。
　OSが9x/Meでは、このレジストリキーは存在しない。
　従って、別のところに潜んでいるスパイを見つける必要がある。
　
３．「searchx.cc」
　このケースではスタートページに「Search for」という文字列があることから、「CWShredder」が取り上げている「searchx.cc」の可能性が強い。
　しかし、「CWShredder」では解決できない。
　
　下記サイトで紹介されているページと同じものと思われる。
　http://higaitaisaku.web.infoseek.co.jp/cgi-bin/c …
　
４．実験１
　http://searchx.cc/
　この場合、「Search for」で始まるページになるが、不完全。
　
５．実験２
　http://searchx.cc/search.php
　よく似たページになるが、「Search for」でなく「Looking for」
　
６．Google検索
　「searchx.cc/」で検索すると情報がワンサカ。
　多すぎて混乱中です。
　
７．注目記事
　http://www.computing.net/windowsxp/wwwboard/foru …
　
　このページのResponse Number 13に面白い情報があります。
　「Find-All」というツールを使って怪しげなファイルを検出する方法です。
　他にも「pv.exe」（ProcessView）を使う方法があるようですが、検出される情報量が多すぎて、解析は難しそうです。
　
ということで、このあと「Find-All」の使い方でも書こうかなと思っています。

>CWShredderはパソコンを再起動するとおんなじところが何回も引っかかってます。

これに関する情報があればいただきたいところですが。
（スキャン終了後に表示される情報）

この回答への補足

変な形になりましたが、これで最後です。管理者に消されないか不安・・。
--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

WebCheck: C:\WINDOWS\SYSTEM\WEBCHECK.DLL

--------------------------------------------------
End of report, 7,238 bytes
Report generated in 0.661 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

補足日時：2004/05/14 01:20

この回答へのお礼

ありがとうございます。
私のような無知な人間には難しすぎて何が何やらです・・・。(・・?

毎回引っかかるやつです。。
CWS.Searchx REMOVED
Restoring Internet Explorer pages RESTORED(6items)
Clearing up orphaned leftovers done!

これでいいのかな？

お礼日時：2004/05/12 21:26

No.18 回答者： noname#6461 回答日時： 2004/05/12 13:55

>HKLM\..\RunServicesOnceには何もはいっていないようです。

けど似たようなところ→HKLM\..\RunServicesには6つくらい入ってました。

という事は違う種類かもしれませんね。
いずれにしても、ログは必要なので、
#17さんの方法で保存を試してみて下さい。
こちらへ貼り付ける際、
ログが長い場合は分割してくださいね。
ここの書き込みは、補足欄1000文字、
お礼欄2000文字までという制限がありますので...。

この回答へのお礼

ありがとうございます。
そんな制限があるんですね。知らなかったです。φ(..)メモメモ

startuplistがでてきましたが、それでよかったのでしょうか？

お礼日時：2004/05/12 21:09

No.17 回答者： basser_no1 回答日時： 2004/05/12 01:29

これはウイルスでは無いので「怪しいアプリケーションをスキャン」という様なオプション検索が出来ないと見つからないと思います。

Hijack Thisのログがセーブ出来ないなら、Config→MiscTools→「Generate StartupList log」を押してもログファイルが開きますのでセーブして下さい。
ログファイルで「Enumerating Browser Helper Objects:」の項目にフルパスで記載されていると思います。

heto2さんのおっしゃる通りページの表示は「Search for」だったかも知れません。
何せ連日の寝不足モードで、無意識にログも消しちゃった位なので記憶も曖昧です。
(^^;

そのページのURLですが、しっかりエンコードされてたハズです。
korotekeさん、スタートページが開いたら「表示」→「ソース」を選び「res://」の行を掲載して下さい。
res://で始まる行がレジストリにセットされてましたので。

>どうやら私はとんだ問題児のようです。迷惑かけます。(''ゞ

korotekeさん一人の問題じゃありませんから、そんなに気にする必要は無いですよ。解決すれば多くの人が助かる有益な情報に成ると思いますので。

この回答へのお礼

ありがとうございます。
href="res://%43%3a%5c%57%49%4e%44%4f%57%53%5c%53%59%53%54%45%4d%5c%45%4e%42%46%43%41%41%2e%44%4c%4c/"

これのことでしょうか？ちがったかな？それともこっちかな？

script src="http://js.searchx.cc/index.js?pin=1"

お礼日時：2004/05/12 15:49

No.16 回答者： noname#6461 回答日時： 2004/05/11 23:18

>「INSTALL.LOGがオープンしません」となります。

はて、どうしてでしょう...。(^_^;)
#15のURLの解説通り、新規フォルダを作成して、
そこにHijack Thisのプログラムを入れていますか？

取り敢えずスキャンまでは完了していますよね？
HKLM\..\RunServicesOnce（#15の省略形）
という箇所が無いかまずは探してみて下さい。
見つかったら、そこに出ているDLLファイル名や、
パス（C:\Windows...の様な場所情報）を教えて下さい。

>ウイルス検査にはシマンテックのウイルス検査を行いました。

ノートン製品版か体験版でのスキャンですか？
オンラインウイルススキャンだと#13さんの方法は無理です。

>システムの復元ってやつが見つからないです。

システムの復元はWindowsXP&Me専用の機能です。

この回答へのお礼

ありがとうございます。
ウイルス検査はオンラインスキャンでした。すみません。

>システムの復元はWindowsXP&Me専用の機能です。

ふむふむ、なるほど。XPとMeって便利なんだ。φ(..)メモメモ

HKLM\..\RunServicesOnceには何もはいっていないようです。けど似たようなところ→HKLM\..\RunServicesには6つくらい入ってました。

お礼日時：2004/05/12 02:02

No.15 回答者： noname#6461 回答日時： 2004/05/11 09:32

こんにちは、korotekeさん。

回答者#12さんのURLを見ての情報ですが、
そちらのスパイウェアと同種だとすると、
Win98では、比較的楽に駆除出来るみたいです。
Hijack Thisでシステムをスキャンして、
以下のレジストリキーを確認してみて下さい。
　HKEY_LOCAL_MACHINE\Software\Microsoft
　　\Windows\CurrentVersion\RunServicesOnce
そこに怪しいDLLファイルが登録されていれば、
（判断は難しいので補足で相談された方が良いでしょう）
正確にファイル名と存在場所をメモします。
あとはセーフモードでシステムを起動して、
該当ファイルと↑のレジストリ項目を削除です。
なお、作業は全て自己責任でお願いします。
一番のお薦めは勿論リカバリですが...。
あと、CWShredderは既にお試しになったんですよね？

CWShredder
http://higaitaisaku.web.infoseek.co.jp/removecws …
Hijack This
http://higaitaisaku.web.infoseek.co.jp/hijackthi …

>#12さん
AppInit_DllsはWindows9xには無いみたいですよ。
Windows2000/XP上で真の凶悪さを発揮する様です。

この回答への補足

ちょい補足です。!(^^)!
CWShredderはパソコンを再起動するとおんなじところが何回も引っかかってます。CWShredderでは解決しないようです。

補足日時：2004/05/11 23:11

この回答へのお礼

ありがとうございます。
CWSherdderを試してみました。しかし状況は変わらないみたいです。使いこなせてないのかもしれませんが・・・。
Hijack Thisはsave logをクリックして保存すると「INSTALL.LOGがオープンしません」となります。こっちのほうは完全に使いこなせていないです・・。恐縮ですが、Hijack Thisの使い方を教えていただければ幸いです。

お礼日時：2004/05/11 22:15

No.14 回答者： heto2 回答日時： 2004/05/11 08:52

頑張って、難問解決に挑戦しようじゃありませんか！

解りにくいことについては、及ばずながら、全力で応援します。

１．ウィルスチェック
　まだ、このウィルス（正確にはアドウエア）に対応していないと思います。
　幾つかのツールを使って、手作業で、修復する必要があるでしょう。
　
　今の所、「Spybot-S＆D」や「Ad-aware 6」は使わないでください。
　後述の「HijackThis」でのデータが「no file」とか「file missing」等、不完全な表示になってしまいます。
　
２．ウィルスプログラムの特定（BHO関連）
　basser_no1さんご説明のように、このウィルスはIEのBHO（Browser Helper Object）を使っていると思います。
　「HijackThis」を使って、「O2 - BHO:」で始まる行を全て貼り付けてください。
　
３．ウィルスプログラムの特定（AppInit_Dlls関連）
　「並」のウィルスの場合、BHO関連で有害な設定を削除し、プログラムを削除するだけで修復できます。
　しかし、削除しても、いつの間にか復活してしまうことがあります。
　この場合、No.6で説明のとおり「AppInit_Dlls」を使っている可能性があります。
　そしてその都度ファイル名を変えて出現します。
　
　レジストリエディターで下記のキーを開いて右側の画面に「AppInit_Dlls」という項目が無いか調べてください。
　ただし、レジストリの編集は非常に危険ですので事前にバックアップを作成して置いてください。
　
以上で、有害なファイルを特定できれば、削除作業へ進めると思います。
また、ページの表示は「Search of」でなく「Search for」では無いでしょうか？
ご確認ください。

取り敢えず、今回はこの辺で・・・

basser_no1さんへ

不躾なお願いですが、もしよろしければ、応援いただければ助かります。
特に、そのページのURLが解らなくて困っています。
多分、アドレス欄には「about:blank」しか表示されていないと思います。
プロパティとかソースを開ければ・・・　しかし、削除されたんであれば無理ですね。
以上、よろしくお願いいたします。

参考:レジストリバックアップ
　１．「スタート」「ファイルを指定して実行」で「Regedit」 と入力して「OK」。
　２．レジストリエディターのメニューで、「ファイル」「エクスポート」をクリック。　３．レジストリファイルのエクスポート画面下方の「エクスポート範囲」で「すべて」を選択。
　４．保存する場所（例えばマイドキュメント）とファイル名（日付がいいでしょう）を入力して「保存」

参考:「HijackThis」
http://www.spywareinfo.com/~merijn/downloads.html

１．起動直後は殆ど白紙の状態です。
２．左下の「Scan」をクリック
３．スタートアップ設定の一覧が表示され、「Scan」ボタンが「SaveLog」に変わります。
４．「SaveLog」をクリックするとメモ帳が開かれ、適当なファイル名で保存できます。。

この回答へのお礼

皆様、ほんとにありがとうございます。
どうやら私はとんだ問題児のようです。迷惑かけます。(''ゞ
ページの表示は「Search of」でなく「Search for」でした。すみません。m(__)m
今、色々試してあたふたしている所です。結果についてはまた補足したいと思っています。

お礼日時：2004/05/11 20:52

No.13 回答者： basser_no1 回答日時： 2004/05/11 00:18

何度も書いてますが、私と同じなら既知の方法では解除出来ませんし、heto2さん言われている通り解決方法を掲載している所は未だ無いと思います。

私も昔はユーザーサポートをやってた経験上、考えられる事は一通り試してますから・・・ウイルス検査は私の記載した方法でしました？（どのソフトを使いました？）

＜想定される解決方法＞
「HijackThis」でも解除出来ませんでしたので、「BHO」として検出されたＤＬＬファイルを探し隔離もしくはリネームして解除出来るか確認し、効果があればそれらを削除する。
「Ｗｅｂの設定のリセット」もその都度合わせて実行する必要があろうかと思います。

＜実際に解決した方法＞
アンチウイルスソフトも総てが対応するとは言えないのですが、解決事例として私は「McAfee ウイルス スキャン」のスキャンオプションで「怪しいアプリケーションをスキャン」と「新しいウイルスと未知のウイルスをスキャン」をチェックする事によって検出されたＤＬＬファイルを削除し解除出来ました。（定義ファイルが古いと検出されません。）

この後、「HijackThis」で解除出来なかったＢＨＯの記述が削除出来る様に成りましたので削除しました。

ＤＬＬファイルは複数ありましたので、名前も変化して行くのだと思います。

この回答へのお礼

ありがとうございます。
ウイルス検査にはシマンテックのウイルス検査を行いました。
basser_no1さんの方法も試してみたいと思います。結果はまた補足します。

お礼日時：2004/05/11 21:27