デスクトップの画面上に・・・

ウィルスに感染したらしく、デスクトップの画面上に背景でもない画像が貼りついてます。その画面中央にはクリックするとhttp://www.smart-security.info/?affid=DNN-1に繋がる画像があります。また、IEのアイコンをクリックしてネットを接続しようとするとC:\WINDOWS\secure.htmlに接続されます。ウィルスバスターでウィルスは削除したのですが、元に戻りません。どうしたらいいでしょうか？

No.8 回答者： tsuguhozu 回答日時： 2006/04/11 21:37

hijackthis.logよりはタスクマネージャーでプロセス書き出してください。

NO.6の人はWINDOWS2000以前使っていますね。WINDOWS98はWINDOWSフォルダにシェルおきますので＜いわゆるEXPLORER.EXE＞
hijackthis.logを見ると、windows2000以降ですよね。
危ないですのでEXPLORERは消さないでください

No.7 回答者： tsuguhozu 回答日時： 2006/04/11 21:30

突っ込み形式で、書きたいと思います。

Highjackログの
O4 - HKLM\..\Run: [Explorer] C:\WINDOWS\system32\explorer.exe
が元凶です。

そんなわけ無いでしょう

よく考えてみれば
explorer.exeはWindows直下にいるものであり
system32にはいません。

シェルやディスプレイを使うWINDOWSに関連してるやつはSYSTEM32にいますよ。EXPLORERはシェルなのでSYSTEM32にいますよ。うちなんかエラーでEXPLORER起動しなおしたことあるので。

system32内のexplorer.exeを削除
windows内のsecure.htmlを削除

それやるとWINDOWSが起動しなくなります。シェルですから

No.6 回答者： alpha2k 回答日時： 2004/07/10 16:19

Highjackログの

O4 - HKLM\..\Run: [Explorer] C:\WINDOWS\system32\explorer.exe
が元凶です。
よく考えてみれば
explorer.exeはWindows直下にいるものであり
system32にはいません。
ようは成りすましているわけと思われます。
highjackthisにて
上記項目を削除し
system32内のexplorer.exeを削除
windows内のsecure.htmlを削除
最後にsystem32-drivers-etc内　hosts　ファイルを削除すれば
まずその問題は解決すると思われます。

No.5 回答者： Imiko 回答日時： 2004/07/06 10:31

レスが遅くなってすみません。

このログではおかしなものは動いていないようです。前回の参考URLで紹介したWebサイトで紹介されているものとはタイプが違うのかもしれませんし、ウイルスを削除したことで、ある程度は駆除できているのかもしれません。

ウイルスバスターで駆除したウイルス名はメモしてありますか？ メモしてあれば、それを教えてください。より的確なアドバイスができるかもしれません。

secure.html で検索してみると、シマンテックのサイトで Trojan.Ecure というトロイの木馬が見つかりました。
参考URLをご覧ください。このページの後半に「駆除方法」がありますので、それを参考にしてみてください。

また、トレンドマイクロのサイトでは、TROJ_HARNIG.A が見つかりました。
http://www.trendmicro.co.jp/vinfo/virusencyclo/d …
こちらにも「手動削除手順」が記載されていますので、お試しください。

参考URL：http://www.symantec.co.jp/region/jp/sarcj/data/t …

No.4 回答者： Imiko 回答日時： 2004/07/05 14:16

＞ hijackthis.logというファイルでログは取ってあるのですが・・・

では、前回の参考URLにある、下記の手順はお済みですか？

---------------------
O4 - HKLM\..\Run: [Reg32] C:\WINDOWS\reg32.exe （最近reg33.exeという奴も出てきました）
O4 - HKLM\..\Run: [Dial32] C:\WINDOWS\dl.exe
O4 - HKLM\..\Run: [Dial33] C:\WINDOWS\dlm.exe
O4 - HKLM\..\Run: [Cons] C:\WINDOWS\consol32.exe
O4 - HKLM\..\Run: [Serv] C:\WINDOWS\msstasks.exe

HijackThis以外のウィンドウをすべて閉じ、見つかったエントリエントリをHijackThisから「Fix Checked」ボタンを使って削除し、PCを再起動して下さい。
---------------------

この回答への補足

4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [DadApp] C:\Program Files\Dell\AccessDirect\dadapp.exe
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [imjpmig] C:\Program Files\Common Files\Microsoft Shared\IME\IMJP\imjpmig.exe /RemAdvDef /AIMEREG /Migration /SetPreload
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [JobHisInit] C:\Program Files\RMClient\JobHisInit.exe
O4 - HKLM\..\Run: [MplSetUp] C:\Program Files\RMClient\MplSetUp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Explorer] C:\WINDOWS\system32\explorer.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Virus Buster 2004\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Program Files\Trend Micro\Virus Buster 2004\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Program Files\Trend Micro\Virus Buster 2004\TMOAgent.exe" /run
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: NTUSER.DAT
O4 - Startup: ntuser.dat.LOG
O4 - Startup: ntuser.ini
のなかに該当するログがないのですが、どうしたらいいですか？

補足日時：2004/07/05 14:39

No.3 回答者： Imiko 回答日時： 2004/07/05 13:46

どこまで実行なさったのでしょうか？

HiJack This のログは取りましたか？

この回答への補足

お手数掛けて申し訳ないです。hijackthis.logというファイルでログは取ってあるのですが・・・

補足日時：2004/07/05 13:51

No.2 回答者： Imiko 回答日時： 2004/07/05 10:27

スパイウェアのようです。

下記の参考URLは
「ホームページがsecure32.html、secure.html、security-warning.com/secure2.phpに」
というタイトルのページです。
このページの説明に従って対処してみてください。

参考URL：http://higaitaisaku.web.infoseek.co.jp/removereg …

この回答へのお礼

返事、ありがとうございます。参考URLに従って対処してみましたが、どのファイルを削除したらいいのか分かりません。何か分かる方法があれば教えてください。

お礼日時：2004/07/05 13:23

No.1 回答者： a12b12 回答日時： 2004/07/05 10:01

ウイルスバスターでウイルスを削除しても、削除する前にウイルスが実行されると意味がありません。

ウイルスが発見された後にそのファイルをクリックや実行しませんでしたか？

ウイルスを実行した場合、大きくプログラムを改悪されてしまいます。

WINDOWS　ＸＰでしたら、スタート⇒アクセサリ⇒システムツール⇒システムの復元で

ウイルスに感染する前に戻しましょう・・・

9×系でしたら再インストールしか安心な方法はないかと思います。

この回答へのお礼

返事ありがとうございます。システムの復元はできませんでした。また、何かいい方法があれば教えてください。

お礼日時：2004/07/05 13:19