1read 100read
2012年3月セキュリティ213: 【分析】HijackThis【研究】 (955)
TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▼
Microsoft Security Essentials 48台目 (976)
●ウイルスバスター2006手抜き事件● (261)
Win XPのファイアーウォール (864)
【TrendMicro】ウイルスバスター2010 Part22 (872)
@nifty 常時安全セキュリティ24 Part 2 (450)
なんかCドライブどんどん減ってってるんですが… (132)
【分析】HijackThis【研究】
1 :04/08/01 CWShredder、Ad-aware、SpybotS&Dを使ったけどスパイウェアが除去できない、 そんな時にスパイウェアを手動で除去できるHijackThisについて研究・分析するスレッドです。 Merijn.org(本家) ttp://www.spywareinfo.com/~merijn/ 【関連リンク】 Hijack Thisによるレポート出力と手動でのスパイウェア除去 ttp://higaitaisaku.web.infoseek.co.jp/hijackthis.html HijackThisログ解析入門 ttp://higaitaisaku.web.infoseek.co.jp/htkaiseki.html HijackThis Entry Database ttp://higaitaisaku.web.infoseek.co.jp/hjtdatabase.html HijackThisに現れるスパイウェアの例 ttp://higaitaisaku.web.infoseek.co.jp/iranai.html HijackThisに現れる問題ないエントリーの例 ttp://higaitaisaku.web.infoseek.co.jp/iru.html 【関連スレッド】 エロサイト見たら…助けてください!Part35 ttp://pc6.2ch.net/test/read.cgi/pcqa/1091090092/ 【総合】スパイウェア予防駆除 Part4 ttp://pc5.2ch.net/test/read.cgi/sec/1089126024/ スパイウェア゛削除゛ソフト「Ad-aware」Part13 ttp://pc5.2ch.net/test/read.cgi/sec/1090052120/ 【雑談禁止】スパイウェア削除ソフトSpybot 15 ttp://pc5.2ch.net/test/read.cgi/sec/1090594050/
2 :04/08/01 2
3 :04/08/01 (・3・) エェー 3ですYO
4 :04/08/01 ぼるじょあたんキタ━━━━━━(゚∀゚)━━━━━━ !!!!! ttp://pc6.2ch.net/test/read.cgi/pcqa/1091090092/572 ttp://pc6.2ch.net/test/read.cgi/pcqa/1091090092/582-586 やっぱこの話の内容、すげー気になるよね。 俺はかちゅユーザーなんだけどこういう設定できるのかなぁ。
5 :04/08/01 エロサイト見たら・・・スレから要約したものを転載です。 >ゾヌ2のアクションの置き換えを使用 >Aboneのブラクラリスト機能を使用 >Live2chでは、スクリプトで置き換え これらを使う事で、HijackThisを貼った結果がこんな風に表示できるようになる…らしい。 O4 - HKLM\..\Run: [msbb] c:\program files\180solutions\msbb.exe ↓ O4 - HKLM\..\Run: [msbb] c:\program files\180solutions\msbb.exe ← ▲nCase( ttp://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=58 ) 詳しい設定方法とかを教えてもらえるとありがたいです。 この表示されているものって、ひとつひとつ手入力ですか? それとも、被害対策部屋か何かから引っ張ってくるんですか?>向こうのスレの531=532=533=544さん
6 :04/08/01 自分は一つ一つ手入力です。(面倒です) ゾヌ2でアクションで指定文字を含むの場所に \WINDOWS\Alevir.exe と書いて、動作置き換えの場所に \WINDOWS\Alevir.exe ← ▲WORM_OPASERV.F( ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp? )VName=WORM_OPASERV.F といった感じで記入して、有効にする板を全てにします。 データはひたすらROMに回って集めたり、 被害対策部屋の部屋やSpywareInfoのフォーラムから引っ張ってきたりもします。 SpywareInfoのフォーラム ttp://forums.spywareinfo.com/
7 :04/08/01 >>6 なるほど、地道な作業の積み重ねなんですね。 このスレッドで、ぞぬ2用とかAbone用とかLive2ch用とか、 このスレ住人で協力して置き換えデータベースみたいなのを 作れるといいかも。
8 :04/08/01 >>7 自分の置き換えデータなら、 アップしてもいいですよ。(NGワード) ただし実行は自己責任でお願いします。 その場合アップロダを指定していたただければサンプルとして、 提出します。
9 :04/08/01 ∧_∧ ((´∀` /^)531=532=533=544さん /⌒ ノ γ (,_,丿ソ′ i,_,ノ ||| バンザイ バンザイ ヤッター アリガトー ∧_∧ ∧_∧ ∧_∧ ∧_∧ (^(,, ´∀`)) ・∀・)(ヽ )')((・∀・ /') ヽ /ヽ ノ ヽ ノ ノ ノ ノ r ヽ / | / O | ( -、 ヽ (_,ハ_,),_,/´i,_,ノ (,_,/´i,_,ノ し' ヽ,_,) さっそくアプロダ探してきます このスレッドで、どんどんデータを蓄積できるように協力しますよ
10 :04/08/01 >>8 2ちゃんねるアプロダはどうでしょ? ttp://up.isp.2ch.net/upload/c=03okari/index.cgi はいいろさんがもしこっちのスレに来てたら、まとめサイトに 置いといて欲しいですね。
11 :04/08/01 >>10 アップしました。 /up/cf627671dd5a.zip 上のファイルをゾヌ2内の\users\ユーザ名\ngres.txtと入れ替える。 注意点があります。このファイルを使って、 2ちゃんねるを見ると普通の表示状態と全く変わってしまいます。 かならずバックアップを取って、 鑑定スレやエロサイトスレで実験してから使ってください。 また一応プライパシーデータであるのでパスを掛けました。 HijackThis
12 :04/08/01 いっぺんに何人もダウンロードしているヨカソ 全然反応がないや(´・ω・`)ショボーン しばらく待ってみて後でダウンロードしてみます(・∀・ )
13 :04/08/01 いつまで待ってもダウンロードできる様子がありません。゚(゚´Д`゚)゚。 他の人で>>11 をダウンロードできた人っていますか?
14 :04/08/01 >>13 落とせたよ。 時間大分掛かったけど、サイズが小さいから 鯖自体が重くなってファイルにアクセスできない のではないかな、気長に再挑戦してください。
15 :04/08/01 >>13 ダウンロードできたので別のところにそのままうpした。 ttp://borujoa.s27.xrea.com/upload/source/upload0261.zip こっちのうpろだのほうが軽いよ。 ttp://borujoa.s27.xrea.com/upload/upload.cgi
16 :04/08/01 >>15 のがまずかったらすぐ消すわ。
17 :04/08/01 キタ━━━━━━(゚∀゚)━━━━━━ !!!!! ありがとう、あなたもネ申です。 今何人ぐらいの人が持ってるんですかね、このツール。 カバーしてない分とかを、みんなでどんどん情報出していきましょう。
18 :04/08/01 テストしてみました、結果良好です。 でもぞぬ2はやっぱり重いですね(;´Д`)
19 :04/08/01 特定のハンドルのトリップや、 ブラクラなんかも置き換えられている。 どうやらこの人、もと鑑定スレの鑑定士なんじゃないかな?
20 :04/08/01 かちゅで同じような事ができないかどうか模索中・・・ だってぞぬ2重い・・・
21 :04/08/01 せっかく提供してくれたんだ、興味本位な詮索は辞めて データを活用することを考えませんか。 基本的な活用方法とか、追加した方がいいデータとか
22 :04/08/01 >>21 個人的に追加したいなーというデータは 被害対策の部屋のHijackThisデータベースの網羅かな。 どのぐらいをカバーしているのかがまだ不明ですが。
23 :04/08/02 >>21 他の2chブラウザでも、同じような置換フィルタを作っていきませんか? たぶんみなさんそれぞれ2chブラウザを使ってる種類、違うんじゃないかな?
24 :04/08/02 エロサイト見たら…助けてください!Part35 http://pc6.2ch.net/test/read.cgi/pcqa/1091090092/666 向こうのお客さん依頼を貼り付けておきます。 だれか見てあげてください。 Logfile of HijackThis v1.98.0 Scan saved at 7:32:22, on 2004/08/02 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\Program Files\Apoint2K\Apoint.exe C:\Program Files\Onetouch V1.0\EzButton.exe C:\WINDOWS\System32\ezSP_Px.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\Apoint2K\Apntex.exe C:\WINDOWS\System32\yvedbcwi.exe C:\WINDOWS\System32\conime.exe
25 :04/08/02 C:\Program Files\Messenger\msmsgs.exe C:\WINDOWS\System32\corujesh.exe C:\Documents and Settings\kanji\デスクトップ\HijackThis\HijackThis.exe C:\Documents and Settings\kanji\My Documents\いろいろ\ぶらうざ\openjane-0.1.11.0\Jane2ch.exe C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Internet Explorer\IEXPLORE.EXE R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) F2 - REG:system.ini: UserInit=C:\Windows\System32\wsaupdater.exe, O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\WINDOWS\EliteBar\EliteBar version 37.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [onetouch] c:\Program Files\Onetouch V1.0\EzButton.exe O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
26 :04/08/02 O4 - HKLM\..\Run: [IMJPMIG9.0] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMJP9\IMJPMIG.EXE /Preload /Migration32 O4 - HKLM\..\Run: [ara-key] C:\Program Files\WindowsUpdate\wuaudnld.tmp\cabs\com_microsoft.Q831167_IE6_SP1\Q8311674967.exe -StartUp O4 - HKLM\..\Run: [pezmjumr] C:\WINDOWS\System32\yvedbcwi.exe O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe O4 - HKLM\..\Run: [arodkn] C:\WINDOWS\arodkn.exe O4 - HKLM\..\RunOnce: [Ad-aware] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-aware.exe" "+b1" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Hdvml] C:\WINDOWS\System32\corujesh.exe O4 - Startup: Internet Explorer.lnk = C:\Program Files\Internet Explorer\IEXPLORE.EXE O4 - Startup: Jane2ch へのショートカット.lnk = ? O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Super Mapple Digital - カスタム情報記入 - res://C:\PROGRA~1\SUPERM~1.4\MappleBand.dll/110 O8 - Extra context menu item: Super Mapple Digital - 地図検索 - res://C:\PROGRA~1\SUPERM~1.4\MappleBand.dll/109 O8 - Extra context menu item: 携帯に送る(&K)... - http://www.ikehouse.co.jp/iMode/iModeWS/ie/imghook.asp O9 - Extra button: マップル - {381F73A9-29D0-45B6-88D7-F82C4BCED5D3} - C:\Program Files\Super Mapple Digital Ver.4\MappleBand.dll O9 - Extra button: リサーチ - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O14 - IERESET.INF: START_PAGE_URL=http://prius.hitachi.co.jp/go/prius/index.htm O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.mt-download.com
27 :04/08/02 O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.skoobidoo.com O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.133/legal/x.chm::/load.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=49e422e7968751004a7c475f91f16bf5704ecd078aae7d3982a3508206fdc37f677f5429ee732a811e3c55f70527c293f863e8:8b5b4fff0cd3ceb2d022384e480b9c0d O16 - DPF: {32A46776-9D08-11D2-AB61-D757626CD108} (IEAutoTool.IEAutoInput) - file://C:\Documents and Settings\kanji\デスクトップ\DOSVDX\200308\FREE\ieat1314\IEATool.CAB O16 - DPF: {706F3805-27D7-478D-80E5-E25D2BB030B3} (VacPro.internazionale_ver3) - http://www.advnt01.com/dialer/internazionale_ver3.CAB O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - %SystemRoot%\System32\mshtml.dll O18 - Protocol: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\WINDOWS\system32\urlmon.dll O18 - Protocol: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\System32\msvidctl.dll O18 - Protocol hijack: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} O18 - Protocol hijack: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B} O18 - Protocol: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll O18 - Protocol hijack: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B} O18 - Protocol: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll O18 - Protocol hijack: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - %SystemRoot%\System32\mshtml.dll O18 - Protocol: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll O18 - Protocol: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - %SystemRoot%\System32\mshtml.dll
28 :04/08/02 O18 - Protocol: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - %SystemRoot%\System32\inetcomm.dll O18 - Protocol hijack: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B} O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\System32\itss.dll O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Program Files\Common Files\Microsoft Shared\Information Retrieval\msitss.dll O18 - Protocol: msdaipp - (no CLSID) - (no file) O18 - Protocol: msjwwdat - {BAAB02DC-913E-40AA-B9ED-8068DEE42CFA} - C:\Program Files\Microsoft Office\Home Style\JWW\JWWData.dll O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL O18 - Protocol hijack: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - %SystemRoot%\System32\mshtml.dll O18 - Protocol hijack: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - %SystemRoot%\System32\mshtml.dll O18 - Protocol: vnd.ms.radio - {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINDOWS\System32\msdxm.ocx O18 - Protocol hijack: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE}
29 :04/08/02 >>◆UkZAUUIUs. 以前にこの人キンタマに感染している。 O4 - HKLM\..\Run: [ara-key] C:\Program Files\WindowsUpdate\wuaudnld.tmp\cabs\com_microsoft.Q831167_IE6_SP1\Q8311674967.exe -StartUp ny使っているのなら、診断対象外。
30 :04/08/02 >>29 誤爆しました・・・_| ̄|○
31 :04/08/02 >>29 向こうの677でし。この人、ウィルスチェックやってねーって事か(;´Д`) 釣り人ではなさそうだけど、自己責任かなーという気もしますね。 向こうの674のHijackThis指示は大間違いですよってのは気づきましたが、 キンタマとぬるぽは気づきませんでした(変なエントリだな?とは思いましたが)。 まだ俺も修行足らないな(;´Д`)俺もヤブ医者にならないよう精進せねば。
32 :04/08/02 >>31 04のO4 - HKLM\..\Run: [ara-key] ..... ってやつは百発百中でキンタマウイルスです。 また、まだウイルス定義の対応していないヌルポース2 (私はnyの作者ですというやつ)はWindowsの標準環境に、 似たエントリーを叩きだします。 自分が特別に診断して下は笑った例。 O4 - HKLM\..\Run: [System] C:\WINDOWS\Exploder.exe よくみるとExpolerではなくExploderというのがポイント。
33 :04/08/02 >>32 向こうに出すべきだった指示 「おてぃんてぃんを高速でしごけば直せます(゚∀゚)」 キンタマウィルスはデータベースに入れました、情報提供ありがとうございます。
34 :04/08/02 EliteBar情報 O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\WINDOWS\EliteBar\EliteBar version 37.dll O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\WINDOWS\EliteBar\EliteBar version 36.dll データベースに登録するには、 \WINDOWS\EliteBar\EliteBar version 37.dll ← ▲EliteBar(Fix後EliteBarフォルダをゴミ箱へ) \WINDOWS\EliteBar\EliteBar version 36.dll ← ▲EliteBar(Fix後EliteBarフォルダをゴミ箱へ) EliteBar version 36.dllの場合もあった。 まだ、Ad-AwareやSpybot-S&Dが対応していない可能性のあるスパイウェアです。 指示はFixさせた後に再起動。起動後にEliteBarフォルダをゴミ箱に移させて、 もう一度Ad-Awareを実行させて念のためゴミ掃除させます。これで解決を得ています。
35 :04/08/02 宜しくお願いします。 Logfile of HijackThis v1.98.0 Scan saved at 22:25:06, on 2004/08/02 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\Symantec Shared\ccProxy.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Program Files\Common Files\Creoapp\MrnTS_Sync5.exe C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\Program Files\Fujitsu\sa\de\jsharp\bin\SBRSVC.EXE C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
36 :04/08/02 続きです C:\WINDOWS\System32\ezSP_Px.exe C:\Program Files\Fujitsu\PowerUtility\schedule\PUSCSRVC.exe C:\Program Files\Fujitsu\MyMedia\MyMedia Server\mediaserver.exe C:\Program Files\Fujitsu\PowerUtility\schedule\PUSCDaemon.exe C:\Program Files\Fujitsu\Fujitsu Quick Touch\QuickTouch.exe C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe C:\Program Files\Fujitsu\iNetConDsp\iNetConDsp.exe C:\Program Files\Fujitsu\IndicatorUtility\IndicatorUty.exe C:\WINDOWS\System32\hkcmd.exe C:\Program Files\Fujitsu\chitose\chitose.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\Apoint2K\Apoint.exe C:\WINDOWS\AGRSMMSG.exe C:\Program Files\Messenger\msmsgs.exe C:\WINDOWS\System32\hgchcwii.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\ChIntCal\CHINTCAL.EXE C:\WINDOWS\System32\igfxext.exe C:\WINDOWS\System32\conime.exe C:\Program Files\Apoint2K\HidFind.exe C:\Program Files\Apoint2K\Apntex.exe C:\Program Files\Fujitsu\sa\bin\mpbtn.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Owner\Local Settings\Temp\hijackthis.zip の一時ディレクトリ 3\HijackThis.exe
37 :04/08/02 続きです O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {4DAA6426-E46D-20CE-8000-64550CD32B4D} - C:\WINDOWS\System32\bilcmavq.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
38 :04/08/02 続き O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [LoadPUSCDaemon] C:\Program Files\Fujitsu\PowerUtility\schedule\PUSCDaemon.exe O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\Program Files\Fujitsu\Fujitsu Quick Touch\QuickTouch.exe O4 - HKLM\..\Run: [LoadBtnHnd] C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe O4 - HKLM\..\Run: [INETCONDSP] "C:\Program Files\Fujitsu\iNetConDsp\iNetConDsp.exe" O4 - HKLM\..\Run: [IndicatorUtility] C:\Program Files\Fujitsu\IndicatorUtility\IndicatorUty.exe O4 - HKLM\..\Run: [IMJPMIG9.0] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMJP9\IMJPMIG.EXE /Preload /Migration32 O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
39 :04/08/02 O4 - HKLM\..\Run: [FMVランチャー] C:\fjuty\wallbtn\FMVLauncherKicker.exe O4 - HKLM\..\Run: [FJUPDNV_Chitose] C:\Program Files\Fujitsu\chitose\chitose.exe O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKCU\..\Run: [Tars] C:\Documents and Settings\Owner\Application Data\utwb.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: ダイヤルアップ チェッカー.lnk = C:\Program Files\ChIntCal\CHINTCAL.EXE O4 - Global Startup: 富士通サービスアシスタント.lnk = C:\Program Files\Fujitsu\sa\bin\matcli.exe O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: このページのキャッシュ - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
40 :04/08/02 以上です。 O8 - Extra context menu item: リンク元 - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: 関連ページ - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: リサーチ - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {48B35AC2-CFCE-4DF7-8B39-C3EB6F5DD111} (DreamTechnologies MADO Image Viewer Control) - http://download.sfd.co.jp/mado-book/MADOCMP_24003.CAB O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O18 - Protocol: msjwwdat - {BAAB02DC-913E-40AA-B9ED-8068DEE42CFA} - C:\Program Files\Microsoft Office\Home Style\JWW\JWWData.dll
41 :04/08/02 俺は分析するつもりはないが、HijackThisがアップデートされてるから報告。 HijackThis 1.98.1 http://forums.net-integration.net/index.php?showtopic=20686
42 :04/08/02 続いてアンインストールプログラムのログその一です ---------- UNINSTALLPROGRAMLIST "DisplayName"="Ad-aware 6 Personal" "DisplayName"="Agere Systems AC'97 Modem" "DisplayName"="ダイヤルアップ チェッカー" "DisplayName"="DivX Codec" "DisplayName"="DivX Player" "DISPLAYNAME"="Microsoft DirectX Transform optional components" "DisplayName"="" "DisplayName"="" "DisplayName"="ギコナビ" "DisplayName"="Internet Explorer Q867801" "DisplayName"="@フォトレタッチ" "DisplayName"="@メニュー" "DisplayName"="壁紙かんたん模様替え" "DisplayName"="PC乗換ガイド" "DisplayName"="@映像館" "DisplayName"="PowerUtility" "DisplayName"="SanrioTinyPark" "DisplayName"="携帯万能 for FMV" "DisplayName"="FMVランチャー" "DisplayName"="筆まめ Ver.13 ベーシック" "DisplayName"="KARUGARUnet 4.0"
43 :04/08/02 その二です "DisplayName"="Windows XP ホットフィックス - KB810217" "DisplayName"="Windows XP Hotfix (SP2) [See KB810243 for more information]" "DisplayName"="Advanced Networking Pack for Windows XP" "DisplayName"="Windows XP ホットフィックス - KB818332" "DisplayName"="Windows XP ホットフィックス - KB820291" "DisplayName"="Windows XP ホットフィックス - KB821253" "DisplayName"="Windows XP ホットフィックス - KB822603" "DisplayName"="Windows XP ホットフィックス - KB823182" "DisplayName"="Windows XP ホットフィックス - KB824105" "DisplayName"="Windows XP ホットフィックス - KB824141" "DisplayName"="Windows XP ホットフィックス - KB824143" "DisplayName"="Windows XP ホットフィックス - KB825119" "DisplayName"="Windows XP ホットフィックス - KB826367" "DisplayName"="Windows XP ホットフィックス - KB826939" "DisplayName"="Windows XP ホットフィックス - KB826942" "DisplayName"="Windows XP ホットフィックス - KB828035" "DisplayName"="Windows XP ホットフィックス - KB828741" "DisplayName"="Windows XP ホットフィックス - KB833407" "DisplayName"="Windows XP ホットフィックス - KB835732" "DisplayName"="Windows XP ホットフィックス - KB837001" "DisplayName"="Windows Media Player Hotfix [詳細については、KB837272 を参照してください]" "DisplayName"="DirectX 9 修正プログラム - KB839643" "DisplayName"="Windows XP ホットフィックス - KB839645" "DisplayName"="Windows XP ホットフィックス - KB840315" "DisplayName"="Windows XP ホットフィックス - KB840374" "DisplayName"="Windows XP ホットフィックス - KB841873" "DisplayName"="Windows XP ホットフィックス - KB842773" "DisplayName"="Microsoft Data Access Components KB870669" "DisplayName"="LiveReg (Symantec Corporation)" "DisplayName"="LiveUpdate 1.90 (Symantec Corporation)"
44 :04/08/02 その三 "DisplayName"="窓の手 2004" "DisplayName"="Medi@Show" "DisplayName"="Microsoft .NET Framework (JPN) v1.0.3705" "DisplayName"="Microsoft Visual J# .NET Redistributable Package(JPN) v1.0.4205" "DisplayName"="MyMedia (remove only)" "DisplayName"="MyMedia Server (remove only)" "DisplayName"="OASYS Viewer V8" "DisplayName"="OCNスタートパック" "DisplayName"="Outlook Express Q823353" "DisplayName"="OpenMG Limited Patch 3.3-03-10-05-01" "DisplayName"="OpenMG Limited Patch 3.3-03-08-27-01" "DisplayName"="Windows XP Hotfix (SP2) Q322011" "DisplayName"="Windows XP Hotfix (SP2) Q327979" "DisplayName"="Windows XP Hotfix (SP2) Q810090" "DisplayName"="Windows XP Hotfix (SP2) Q811147" "DisplayName"="Windows XP Hotfix (SP2) Q814995" "DisplayName"="Windows XP Hotfix (SP2) Q815917" "DisplayName"="Windows XP Hotfix (SP2) Q818213" "DisplayName"="Windows XP Hotfix (SP2) Q818654" "DisplayName"="Windows Media Player Hotfix [詳細については、Q828026 を参照してください]" "DisplayName"="RealOne Player" "DisplayName"="Shockwave" "DisplayName"="Spybot - Search & Destroy 1.3"
45 :04/08/02 その四 "DisplayName"="Start! @homepage" "DisplayName"="Norton Internet Security (Symantec Corporation)" "DisplayName"="Viewpoint Media Player (Remove Only)" "DisplayName"="FMモバイルスイッチャー " "DisplayName"="IBM ホームページ・ビルダー 7 ライト" "DisplayName"="筆ぐるめ Ver.11" "DisplayName"="GW-NS54GM" "DisplayName"="IndicatorUtility" "DisplayName"="ODN Signup Software" "DisplayName"="Norton Internet Security" "DisplayName"="AOL" "DisplayName"="@拡大ツール" "DisplayName"="" "DisplayName"="@フォトレタッチ" "DisplayName"="Microsoft Visual J# .NET Redistributable Package 1.1" "DisplayName"="壁紙かんたん模様替え" "DisplayName"="Visual J# .NET Redistributable Package" "DisplayName"="FM かんたんバックアップ" "DisplayName"="Google Toolbar for Internet Explorer" "DisplayName"="PC乗換ガイド" "DisplayName"="WebFldrs XP" "DisplayName"="DION (KDDI)" "DisplayName"="OpenMG Secure Module 3.3" "DisplayName"="Norton AntiSpam" "DisplayName"="@niftyでインターネット" "DisplayName"="筆王" "DisplayName"="DVDfunSTUDIO" "DisplayName"="" "DisplayName"="Microsoft Windows Journal ビューア"
46 :04/08/02 その五 "DisplayName"="Norton Internet Security" "DisplayName"="アップデートナビV1.1L20" "DisplayName"="Norton Internet Security" "DisplayName"="ワンタッチボタン設定" "DisplayName"="Norton Internet Security" "DisplayName"="@nifty環境設定ユーティリティ" "DisplayName"="富士通サービスアシスタント(マニュアル&サポート)" "DisplayName"="Norton AntiSpam" "DisplayName"="Microsoft Office Home Style+" "DisplayName"="時事通信社「家庭の医学」デジタル版U" "DisplayName"="@映像館" "DisplayName"="Microsoft .NET Framework (JPN)" "DisplayName"="Symantec Network Driver Update" "DisplayName"="@料金表示" "DisplayName"="PowerUtility" "DisplayName"="SigmaTel AC97 オーディオ ドライバ" "DisplayName"="百年プリント@コニカ注文用ソフトウェア" "DisplayName"="Intel(R) Extreme Graphics 2 Driver" "DisplayName"="GAMEPACK2004F" "DisplayName"="Microsoft Office Personal Edition 2003" "DisplayName"="Powered Internet[POINT] サインアップツールV1.0" "DisplayName"="InterVideo WinDVD" "DisplayName"="Norton Internet Security" "DisplayName"="Realtek RTL8139/810x Fast Ethernet NIC Driver Setup" "DisplayName"="WEB便利ツール" "DisplayName"="SanrioTinyPark" "DisplayName"="DVD-RAMドライバー" "DisplayName"="ALPS Touch Pad Driver" "DisplayName"="Visual J# .NET Redistributable 1.1- Japanese Language Pack"
47 :04/08/02 その六 "DisplayName"="CC_ccProxyMSI" "DisplayName"="BIGLOBEでインターネット" "DisplayName"="Plugfree NETWORK " "DisplayName"="Norton Internet Security" "DisplayName"="Adobe Reader 6.0 - Japanese" "DisplayName"="Microsoft .NET Framework 1.1 Japanese Language Pack" "DisplayName"="FlashAid" "DisplayName"="@コントローラ" "DisplayName"="DVD-MovieAlbumSE 3" "DisplayName"="ATLAS 翻訳パーソナル 2004 LE (ホームページ翻訳専用)" "DisplayName"="FUJITSU 音声合成" "DisplayName"="Norton AntiVirus" "DisplayName"="Microsoft .NET Framework 1.1" "DisplayName"="Symantec Script Blocking Installer" "DisplayName"="So-net簡単スターターV2.3" "DisplayName"="CC_ccStart" "DisplayName"="ccCommon" "DisplayName"="携帯万能 for FMV" "DisplayName"="ツボ リラックス" "DisplayName"="BeatJam" "DisplayName"="@FTP"
48 :04/08/02 長くなりましたがこれで最後です。 "DisplayName"="@メール" "DisplayName"="Norton Internet Security" "DisplayName"="FMVオンラインユーザー登録" "DisplayName"="Norton Internet Security" "DisplayName"="FMVランチャー" "DisplayName"="筆まめ Ver.13 ベーシック" "DisplayName"="MotionDV STUDIO" "DisplayName"="うれしレシピ" "DisplayName"="Norton Internet Security" "DisplayName"="MSRedist" "DisplayName"="Microsoft Windows XP CD 書き込みウィザード HighMAT Extension" "DisplayName"="てきぱき家計簿マム4" "DisplayName"="プロアトラスW2" "DisplayName"="マップサーバースイッチャー" "DisplayName"="乗換案内 時刻表対応版" "DisplayName"="柿木将棋V Light" "DisplayName"=""
49 :04/08/02 大変長くなりましたが、識者の皆様、>>35->>40 、>>42->>47 を どうか宜しくお願いします。
50 :04/08/02 分析と研究はするが、助言をするかは判らない。 スレタイとか、ここまでの流れを見てれば判るよね?
51 :04/08/02 >>50 わかります。客観的なご意見をいただけるだけでも有り難いと思っております。
52 :04/08/02 >>48 家計簿やるなよ
53 :04/08/02 出来るだけ、鑑定してやらないと 協力してくれる人居なくなるぞ。
54 :04/08/02 >>50 ( ´_ゝ`) >>51 マジレスしない 今HijackThis見ている人って、俺以外で何人いらっしゃいますか? フィルターに引っかかっている問題ありエントリーはなしで、フィルターの 表示なし分を調べ中です。ちょっと(もしかしたらかなり)俺は時間かかるかも。。。
55 :04/08/02 俺以外で何人いらっしゃいますか? >いないみたい
56 :04/08/03 >>55 工エェ(´Д`)ェエ工 >>35-48 さん 一応の分析結果です。フィルタ以外のもののみ。(フィルタは全て問題なしです) googleでも一切ヒットしないもの O2 - BHO: (no name) - {4DAA6426-E46D-20CE-8000-64550CD32B4D}- C:\WINDOWS\System32\bilcmavq.dll googleでヒットはあるが、情報がないもの O4 - HKCU\..\Run: [Tars] C:\Documents and Settings\Owner\Application Data\utwb.exe 富士通関連のもの O4 - HKLM\..\Run: [FJUPDNV_Chitose] C:\Program Files\Fujitsu\chitose\chitose.exe O4 - Global Startup: ダイヤルアップ チェッカー.lnk = C:\Program Files\ChIntCal\CHINTCAL.EXE O4 - Global Startup: 富士通サービスアシスタント.lnk = C:\Program Files\Fujitsu\sa\bin\matcli.exe Microsoft Office関連のもの O9 - Extra button: リサーチ - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O18 - Protocol: msjwwdat - {BAAB02DC-913E-40AA-B9ED-8068DEE42CFA} - C:\Program Files\Microsoft Office\Home Style\JWW\JWWData.dll 不明情報のみあるもの O16 - DPF: {48B35AC2-CFCE-4DF7-8B39-C3EB6F5DD111} (DreamTechnologies MADO Image Viewer Control) - http://download.sfd.co.jp/mado-book/MADOCMP_24003.CAB ←▲HijackThis 016List Bエントリー(評価未定) お好みで取捨(被害対策の部屋) O4 - HKLM\..\Run: [IMJPMIG9.0] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMJP9\IMJPMIG.EXE /Preload /Migration32 ← ▲IME関係エントリー、好みで取捨(被害対策) 問題なしエントリ O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab ←●HijackThis 016List Aエントリー(問題なし)
57 :04/08/03 >>56 の続きです。 googleで検索しても出てこないBHOがやや?ですが、FIX指示を出す程の根拠はないので今のところは放置。 同じく情報のない04エントリー(Tars)も、一応今のところは放置。 未分類の016エントリー(DreamTechnologies MADO Image Viewer Control)も今のところは放置。 後のエントリはおそらく問題ないだろうと私は思います。あまり自信はないので他の人からの指摘大歓迎。 つまり、HijackThisでFixしなければならないようなエントリは、私の見た範囲では、特にはなさそうです。 もし不安を感じるようでしたら、以下のスレッドに目を通してみて、 フリーのアンチトロイソフトを導入してみてもいいかもしれません。 もしかしたらノートン先生が見逃していたトロイが引っかかるかも? ☆☆トロイの木馬☆☆2台目 http://pc5.2ch.net/test/read.cgi/sec/1087290865/ あとは、キャッシュの削除とかの掃除をこまめにやるのと、たくさんのプログラムが入っていますので 必要ないものの常駐を切るとか、その程度しか私には助言できそうにありません。申し訳無い。
58 :04/08/03 >>57 の続きです。 他の人に「これはFixして下さい」と指示するまでは言えませんが、自己責任でいじってみるのならこの辺かな?という感じです。 O2 - BHO: (no name) - {4DAA6426-E46D-20CE-8000-64550CD32B4D}- C:\WINDOWS\System32\bilcmavq.dll 該当ファイルのプロパティを確認してみて、メーカー名などを確認してみる。 覚えの無いメーカーならばこれだけFixして一回再起動してみる。問題が起こったらバックアップから戻す。 O4 - HKCU\..\Run: [Tars] C:\Documents and Settings\Owner\Application Data\utwb.exe 該当ファイルのプロパティを確認してみて、必要がなければFixしてみる。問題が起こったらバックアップから戻す。 (HijackThisのディレクトリと同じところにありますから、きっと>>35-48 さんは「C:\Documents and Settings」に 色々とダウンロードしたファイルを置いてらっしゃると思いますので)
59 :04/08/03 PC初心者板の「エロサイト見たら…助けてください」スレから誘導されてきました870です。 宜しくお願いします。以下が現在のものとなります。 Logfile of HijackThis v1.98.0 Scan saved at 16:00:23, on 2004/08/03 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v5.50 (5.50.4134.0100) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\PCCIOMON.EXE C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\PCCPFW.EXE C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\TMPROXY.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\IMEJPMGR.EXE C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
60 :04/08/03 C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\WINDOWS\SYSTEM\LVCOMS.EXE C:\WINDOWS\SYSTEM\HIDSERV.EXE C:\WINDOWS\LOADQM.EXE C:\PROGRAM FILES\ARVEL\クリエーションマウス コンビ\5.3\MOUSE32A.EXE C:\WINDOWS\SYSTEM\INTERNST32.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAM FILES\NECTVRC\TVRC.EXE C:\PROGRAM FILES\VIA TECHNOLOGIES, INC\VIA AUDIO DRIVER SETUP PROGRAM\AUDIODECK\AUDIODECK.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAM FILES\WINDOWS MEDIA COMPONENTS\ENCODER\WMENCAGT.EXE C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\PCCGUIDE.EXE C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\PCCLIENT.EXE C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\TMOAGENT.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\PCCMAIN.EXE C:\WINDOWS\デスクトップ\新しいフォルダ\HIJACKTHIS.EXE
61 :04/08/03 O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll O3 - Toolbar: @msdxmLC.dll,-1@1041,ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [MSPCLOCK] rundll32.exe /N streamci,StreamingDeviceSetup {97ebaacc-95bd-11d0-a3ea-00a0c9223196},{53172480-4791-11D0-A5D6-28DB04C10000},{53172480-4791-11D0-A5D6-28DB04C10000} O4 - HKLM\..\Run: [MSPQM] rundll32.exe /N streamci,StreamingDeviceSetup {DDF4358E-BB2C-11D0-A42F-00A0C9223196},{97EBAACB-95BD-11D0-A3EA-00A0C9223196},{97EBAACB-95BD-11D0-A3EA-00A0C9223196} O4 - HKLM\..\Run: [MSKSSRV] rundll32.exe /N streamci,StreamingDeviceSetup {96E080C7-143C-11D1-B40F-00A0C9223196},{3C0D501A-140B-11D1-B40F-00A0C9223196},{3C0D501A-140B-11D1-B40F-00A0C9223196} O4 - HKLM\..\Run: [internat.exe] internat.exe O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe O4 - HKLM\..\Run: [Hidserv] Hidserv.exe run O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\Arvel\クリエーションマウス コンビ\5.3\MOUSE32A.EXE O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\internst32.exe internet.dll,LoadNetworkProfile O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
62 :04/08/03 O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\RunServices: [PCCIOMON.exe] "C:\Program Files\Trend Micro\Virus Buster 2004\PCCIOMON.exe" O4 - HKLM\..\RunServices: [PccPfw] C:\Program Files\Trend Micro\Virus Buster 2004\PccPfw.exe O4 - HKLM\..\RunServices: [tmproxy] C:\Program Files\Trend Micro\Virus Buster 2004\tmproxy.exe O4 - HKCU\..\Run: [NEPGRsvReScheduler] C:\Program Files\NEC\SmartVision\NEPGRsvReSche.exe O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE O4 - Startup: SmartVisionリモコン.lnk O4 - Startup: AudioDeck.lnk = C:\Program Files\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe O4 - Startup: Encoder Agent.lnk = C:\Program Files\Windows Media Components\Encoder\WMENCAGT.EXE O4 - Startup: Startup.lnk = C:\No regist Files\StartupEX\Startup.exe O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab O21 - SSODL: AUHook - {BCBCD383-3E06-11D3-91A9-00C04F68105C} - C:\WINDOWS\SYSTEM\AUHOOK.DLL 以上です。OSは先のとおりMeです。 症状はホームページがwww.selfsearch.comに指定されてしまい、 ステータスバーにはDoneと表示され、全てのサイトが信頼済みとなってしまいます。 また、数分おきに変なサイトが開き、サイト上のリンク先がmoreporn.biz/new/index.phpと一部がなってしまいます。 たとえば>>57 で書いてあるURLのリンクもmoreporn.bizとなってしまっています。 VB,Spybot,Ad-aware,CWShredderは既に実行済みで、問題は解決しません。 現在は、VBの設定で2ch以外のサイトへのアクセスを停止して対処していますが、緊急的なものに過ぎません。 自己責任でやりますので、何方か宜しくお願いいたします。
63 :04/08/03 誘導されてきましたのでお願いします。 ●CWShredderを使用しましたがCoolWWWSearchというのが一時的には消えますが再起動すると元に戻ります ●ノートンでBackdoor.Agent.Bの感染警告が常に表示されます。しかしスキャンすると異常は出ません。 以下ログです。 C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe C:\Program Files\Intel\Intel Application Accelerator\iaanotif.exe C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE C:\WINDOWS\System32\CTHELPER.EXE C:\WINDOWS\System32\DSentry.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Program Files\Dell\Media Experience\PCMService.exe
64 :04/08/03 C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\QuickTime\qttask.exe C:\WINDOWS\system32\hh64orPE.exe C:\WINDOWS\System32\pjjkvkt.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\system32\winmm64.exe C:\Documents and Settings\kim\Application Data\sacb.exe C:\WINDOWS\System32\soq.exe C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\WINDOWS\System32\CTsvcCDA.exe C:\Program Files\Intel\Intel Application Accelerator\iaantmon.exe C:\Program Files\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Program Files\Messenger\msmsgs.exe C:\Documents and Settings\kim\デスクトップ\Hijackthis\HijackThis.exe O2 - BHO: twaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: IDN Helper Object - {118CE65F-5D86-4AEA-A9BD-94F92B89119F} - C:\WINDOWS\DOWNLO~1\CNSMIN~1.DLL (file missing) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: (no name) - {6DF96C7E-CC6F-0AB8-D570-17550FD12918} - C:\WINDOWS\System32\qsbl.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: ICOO Loader BHO - {B9D90B27-AD4A-413a-88CB-3E6DDC10DC2D} - C:\WINDOWS\msopt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
65 :04/08/03 O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
66 :04/08/03 O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Application Accelerator\iaanotif.exe O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe O4 - HKLM\..\Run: [CTDVDDet] C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\Media Experience\PCMService.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [hh64orPE] C:\WINDOWS\system32\hh64orPE.exe O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\olecom32.exe O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [phkkidnvqipup] C:\WINDOWS\System32\pjjkvkt.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [SpywareGuard] C:\WINDOWS\system32\winmm64.exe O4 - HKCU\..\Run: [hh64orPE] C:\WINDOWS\system32\hh64orPE.exe O4 - HKCU\..\Run: [Eheu] C:\Documents and Settings\kim\Application Data\sacb.exe O4 - HKCU\..\Run: [Nlbof] C:\WINDOWS\System32\soq.exe
67 :04/08/03 O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O16 - DPF: {2C079F28-EE92-4700-A44B-AF5FA285FCCA} (HanGamePluginJP16 Class) - http://down.hangame.co.jp/jp/dist/hgstart/HanGamePluginJP16.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/29258cd32e922638e206/netzip/RdxIE601_ja.cab O16 - DPF: {924DDE3B-68F6-49E8-B469-33FB198EDD73} (SagaLauncher Class) - http://www.hangame.co.jp/publish/bd/HgBD.cab O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab O16 - DPF: {B74F5519-5893-4F7F-974D-96E105A3C3A8} (KingDomLauncher Class) - http://www.hangame.co.jp/publish/do/HgDO.cab O16 - DPF: {E549AC3F-9A90-4EBF-AF69-8B8CC0954DB2} (ToonsXYahooJapan Control) - http://comics.yahoo.co.jp/component/ToonsXYahooJapan.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{239347D8-CEC9-490C-B6C8-85B4944CCF4E}: NameServer = 203.139.160.73,203.139.161.39 O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll O20 - AppInit_DLLs: C:\WINDOWS\System32\hlpcdm.dll
68 :04/08/03 プログラムの追加と削除には特に怪しいものはありませんが。 気になるのが一つ、Search Assistant Uninstallというやつです。 鑑定お願いします
69 :04/08/03 まず最初に>>59-62 さん えーと、向こうで「ログおかしくない?」って言った者ですが 向こうのログと比較して、016がこっちでは新しく現れてますよね。 それから、「全てのサイトが信頼済みとなってしまいます」なのに、 HijackThisに全く出てきていないのも不思議ですよね。 (HijackThisには信頼済サイトになっているものはログに出てきます) 向こうで指示されたCWS関連のエントリは、削除したが復活したのでしょうか? それとも、削除していないのでしょうか? HijackThisにこの辺の矛盾があるので、向こうで「おかしくない?」と言っていたのですが。 最初に、まずWindowsUpdateをやって下さい。おそらくやっていないはずです。 >MSIE: Internet Explorer v5.50 (5.50.4134.0100) 次に、このページを参考にして、ウィルスバスター2004が、最新のパターンファイル、 検索エンジンの状態になっているかを確認して下さい。もしなってなければアップデートして下さい。 ttp://www.trendmicro.co.jp/support/index.asp 確信がある訳ではないですが、どうもウィルスのように思われる怪しいエントリーが見受けられます。 アップデートで最新の定義になったら、全てのファイルに対してもう一度ウィルススキャンをかけてみて下さい。 一応その段階で、HijackThisを取らずに、先に状況報告を下さい。(ウィルスが検知されたかどうか、など)
70 :04/08/03 失礼、訂正です >向こうで指示されたCWS関連のエントリは、削除したが復活したのでしょうか? >それとも、削除していないのでしょうか? 削除をFixに置き換えてください。Fixしたのに戻ったのでしょうか?それともFixしてないのでしょうか?
71 :04/08/03 あと、>>59-62 さんの場合は「****.biz」に飛ばされるという事なので http://higaitaisaku.web.infoseek.co.jp/removesearchbiz.html ここを参照してみてください。これの亜種の可能性があります。 (このスパイウェアの場合は、HijackThisのログに出てきません)
72 :04/08/03 続いて>>63-68 さん まず、CnsMinが入っている状態なので、 コントロールパネルのアプリケーションの削除から、 「Jword」などのプログラムがあった場合にはこれを削除して下さい。 CnsMinの除去方法 (ここを参考に) ttp://higaitaisaku.web.infoseek.co.jp/removecnsmin.html >>68 の「Search Assistant Uninstall」は、下を参照して、 症状が当てはまらない場合には同じくコントロールパネルから削除して下さい。 (症状が当てはまる場合には、アンインストールしないで下さい) ttp://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=217 次に、本来Spybotで検出されるはずのrelated.htmが残っている状態です。 なので、Spybotの「製品の除外」を見て、全てチェックが入っていない事を 確認して下さい(チェックが入っている場合は、チェックマークを外してください)。 また、スキャンする時に「全てのファイルをスキャン」で再度やってみて下さい。
73 :04/08/03 それから、>>59-62 さん、>>63-68 さんお二人ともですが ttp://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=226 このウィルスに感染していると思われます。 まずアンチウィルスソフトの定義・プログラムが最新かどうかを確認してみて、 最新でない場合にはアップデートして下さい。 その上で、全てのファイルを再度スキャンしてみてください。 駆除方法は、上記ページと、各アンチウィルスベンダーのデータベースを参照。
74 :04/08/03 >>59-62 さん 向こうで、他の方からあなたにこういうアドバイスが出ていますので、 併せて確認してみて下さい。 http://pc6.2ch.net/test/read.cgi/pcqa/1091090092/927
75 :04/08/03 >>69 さん 有難う御座います。ご報告いたします。 WindowsUpdate:全て完了いたしました ウイルスバスター:最新版のようです。 検査の結果:問題はありませんでした。 (但し数回リアルタイム検索状態でウイルスが発見、隔離されているようです) >向こうのログと比較して、016がこっちでは新しく現れてますよね。 ここに張りましたログは16時頃に検索した最新のものだったためと思われます。 >それから、「全てのサイトが信頼済みとなってしまいます」なのに、 >HijackThisに全く出てきていないのも不思議ですよね。 >(HijackThisには信頼済サイトになっているものはログに出てきます) それは私にはなんとも。。。不可解なことだというのは分かりましたが。。。 >向こうで指示されたCWS関連のエントリは、削除したが復活したのでしょうか? >それとも、削除していないのでしょうか? 削除しましたが復活しています。 また、ウイルスの亜種の件ですが、最初の確認の際systemという項目がなかったため これではないと思います。 >>74 さん ご報告有難う御座います。ただ今確認中です。
76 :04/08/03 >>75 リアルタイム検索で隔離されているウィルスを、駆除してみて下さい。 (隔離=メイン実行ファイルだけを別の場所に置いている状態なので、 当然レジストリその他は、全く修復されない状態のままです) ウィルスバスターは良く知らないのですが、もしリアルタイム駆除が 可能ならば、リアルタイム駆除に切り替えた方が良いかと思います。 あとトレンドマイクロのページには、「ウィルスデータベース」があるはずですから、 検出されたウィルス名で検索して、きちんと駆除できているかどうかを手動で 確認してみると良いと思います。 ウィルスの亜種の件ですが、↑で駆除した後もまだ症状が残っているなら、 上で紹介したページの手法を実際に一度試してみて下さい。 亜種の可能性があるとは、「必ずしもsystemの項目であるとは限らない」という事です。 別のファイル名にして、駆除されるのを防ごうとしている可能性は考慮に入れましょう。 大手術で切る場所はできるだけ少なくするために、まずは上のようにやってみましょう。 その後、まだ直らないようならば再度HijackThisを取ってみて、全部貼って下さい。
77 :04/08/03 遅れてすみません。システムがかなり不安定になってきてエラーがでてばっかりだったので。。。 駆除はできないようです。ファイルの削除は何度かしましたが、復活してしまいます。 亜種の件ですが感染したCLSIDがわからないのですが。。。もしかしてsystem以外の項目のCLSIDのことですか? 発見されたウイルスは以下のとおりです。 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_DLOADER.F http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_BLAZEFIND.A
78 :04/08/03 向こうのスレッドの ttp://pc6.2ch.net/test/read.cgi/pcqa/1091090092/944-947 これを考え合わせると、以下のエントリをHijackThisでFixしてみてください (Regeditで消すのも同じ事ですが、こっちならばやりなおせるので)。 O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE まずこれをFixしてみて、再起動で症状が改善しているかどうかをやってみて下さい。
79 :04/08/03 >>77 の2つはこれですね PurityScan http://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=206 WindowsSA http://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=137 まず、ここの内容を読んでおいて下さい。 トレンドマイクロのページで、「レジストリエディタ(Regedit)で削除して下さい」というのは、 HijackThisでは04のエントリーになります。 ウィルスとして検出されたファイル名をメモに取って、そのファイル名と同じエントリーが あるものを全てFixしてみて下さい。
80 :04/08/03 大変遅くなりました。 >>78 のFixは完了しましたが、問題は解決しませんでした。。。 あと>>79 のリンク先が先にいったとおりmoreporn.bizに変わってしまい分からないので、 お手数ですが、次回返信時にtp://〜といった形で書いてもらえますでしょうか? >>79 のFixはこれから試してみます。
81 :04/08/03 連書き申し訳ありません。 >>79 をHijackThisで探してみましたが、ウイルスとして検出されたファイル名に 該当するエントリーは発見できませんでした。。。
82 :04/08/03 >>81 ウィルスとして検出されたファイルは、既に削除済ですか?まだ残っていますか?
83 :04/08/03 既に削除しています。 なお、現在のところ、リアルタイム検索で発見には至っていません。
84 :04/08/03 IEを立ち上げたときに青い画面が表示されます。 Detected SPYware! System error #384とかいてあります。 お願いします。 Logfile of HijackThis v1.98.0 Scan saved at 21:58:43, on 2004/08/03 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\PROGRAM FILES\FUJITSU\FUJITSU QUICK TOUCH\QUICKTOUCH.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAM FILES\FUJITSU\BTNHND\BTNHND.EXE
85 :04/08/03 C:\WINDOWS\LOADQM.EXE C:\WINDOWS\SYSTEM\CTFMON.EXE C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE C:\PROGRAM FILES\DI\HATCHINSIDE\HATCHINSIDE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\WINDOWS\RUNDLL32.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\デスクトップ\HIJACKTHIS\HIJACKTHIS.EXE C:\WINDOWS\SYSTEM\IMEJPMGR.EXE C:\WINDOWS\デスクトップ\BEGINNERTOOL 121\BEGINNERTOOL 121.EXE O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\YAHOO!\COMPAN~1\YCOMP5~1.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll (file missing) O2 - BHO: (no name) - {3BFF365D-E942-2EE5-8753-60550DA7291F} - C:\WINDOWS\SYSTEM\YJDIENFW.DLL (file missing) O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll O3 - Toolbar: &Yahoo!ツールバー - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\ycomp5_3_15_0.dll O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [CountrySelection] pctptt.exe O4 - HKLM\..\Run: [PCTVOICE] pctvoice.exe O4 - HKLM\..\Run: [FMVSCAN] c:\fjuty\fmvscan\fmvscan.exe
86 :04/08/03 O4 - HKLM\..\Run: [Alogserv] C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\Program Files\Fujitsu\Fujitsu Quick Touch\QuickTouch.exe O4 - HKLM\..\Run: [LoadBtnHnd] C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - Startup: hatchinside.exe.lnk = C:\Program Files\DI\HatchInside\hatchinside.exe O4 - Startup: EPSONプリンタウインドウ!3 環境設定(2).lnk = C:\WINDOWS\SYSTEM\E_SRCV02.EXE O4 - Startup: JSクイックサーチファイル 自動更新.LNK = C:\JUST\JSLIB32\JSQSF32.EXE O4 - Startup: JSクイックランチ.LNK = C:\JUST\JSLIB32\JSQLNCH.EXE O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000 O8 - Extra context menu item: &Google Search - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR3.DLL/cmsearch.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR3.DLL/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR3.DLL/cmsimilar.html
87 :04/08/03 O8 - Extra context menu item: Backward &Links - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR3.DLL/cmbacklinks.html O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll O9 - Extra button: Yahoo! メッセンジャ− - {CEBF73C0-BA2E-11d4-A73A-00508B33FB82} - C:\PROGRAM FILES\YAHOO!J\MESSENGER\YPAGERJ.EXE O9 - Extra 'Tools' menuitem: Yahoo! メッセンジャ− - {CEBF73C0-BA2E-11d4-A73A-00508B33FB82} - C:\PROGRAM FILES\YAHOO!J\MESSENGER\YPAGERJ.EXE O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.skoobidoo.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.xxxtoolbar.com O15 - Trusted Zone: *.slotch.com O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net O16 - DPF: {8123E390-5EF7-11D5-A72E-006097BFA1AC} (EPSON Driver Auto-Install Control Class) - http://www.i-love-epson.co.jp/support/selfsetup/prg/estdinst.cab O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/jp/win/QuickTimeInstaller.exe O16 - DPF: {B67E0278-CD82-4CCA-AD9D-C1FBF538774A} (XPink.XPinkCtl) - http://cc.st82.arena.ne.jp/syojo/XPink.CAB
88 :04/08/03 O16 - DPF: {B15108AA-D8D0-480D-B535-07E18D6549A8} (XBurger.XBurgerCtl) - http://www.eromax.com/cab/XBurger.CAB O16 - DPF: {69A4F9FF-E915-11D5-A9F1-009099104002} (XDialer Class) - http://www.slashpink.net/new_03/158/XDialer2.CAB O16 - DPF: {4BF9BC08-8571-4E2B-AECF-EC8C9E287C04} (DialerX Control) - http://www.asia-telemedia.com/dialer/0058/DialerX.cab O16 - DPF: Yahoo! Chat JP 2 - http://cs.chat.yahoo.co.jp/c302/chat.cab O16 - DPF: {DAE3A970-40F5-11D4-9E73-0030430005BE} (AutoConnect Class) - http://home.att.ne.jp/alpha/wata/cra/b/eConnect.dll O16 - DPF: {00001007-B15C-11D4-97A4-0050BF0FBE67} (NetmarbleJapanStarter Class) - http://www.netmarble.ne.jp/game/NMStarter_JPN.cab O16 - DPF: {4085F8D0-D76A-4B1D-A82E-D580BDF14FD8} (HanGamePluginJP12 Class) - http://www.hangame.co.jp/gamenc/HanGamePluginJP12.cab O16 - DPF: {29F5DFC6-6A4B-47DB-BCF4-5A74F7CBFF43} (HanGamePluginJP13 Class) - http://www.hangame.co.jp/gamenc/HanGamePluginJP13.cab O16 - DPF: {9AB3A076-8870-4D98-BD2A-01BD1634C74C} (zxc) - http://www.2233.tv/module/zxc.cab O16 - DPF: {E8946F74-DAF3-4D7F-8988-A54E380D8D89} (sub2tv コントロール) - http://www.2233.tv/module/subocx.cab O16 - DPF: {A909CE70-E483-4BD2-848C-B1842508760E} (MuLauncher Class) - http://www.hangame.co.jp/gamenc/HanGamePluginJP13.cab O16 - DPF: {1C9D421B-ACBC-48BB-9CED-51368BC1CE31} (HgArcadePluginJP3 Class) - http://battlecart.hangame.co.jp/acgame/HgArcadePluginJP3.cab O16 - DPF: {79E0C1C0-316D-11D5-A72A-006097BFA1AC} (EPSON Web Printer-SelfTest Control Class) - http://www.i-love-epson.co.jp/support/selftest/inkjet/Prg/ESTPTest.cab O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://lw9fd.law9.hotmail.msn.com/activex/HMAtchmt.ocx
89 :04/08/03 O16 - DPF: {B469C508-9A75-4A62-BFA9-62802D653A4B} (HanGamePluginJP15 Class) - http://down.hangame.co.jp/jp/dist/hgstart/HanGamePluginJP15.cab O16 - DPF: {0A7C1A7A-5100-42C9-94A8-F803B2E24CE0} (BaBoo Class) - http://219.101.200.198/H_hangame/HgBaBoo/HgBaBoo.cab O16 - DPF: {57A3B6F7-E1C0-4A11-B2E5-F3D0DA12E754} (StoneAgeLauncher Class) - http://www.hangame.co.jp/publish/sa/HgSA.cab O16 - DPF: {2C079F28-EE92-4700-A44B-AF5FA285FCCA} (HanGamePluginJP16 Class) - http://down.hangame.co.jp/jp/dist/hgstart/HanGamePluginJP16.cab O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://C:\foo.mht!http://66.230.145.49/20647/online.chm::/on-line.exe O16 - DPF: {B74F5519-5893-4F7F-974D-96E105A3C3A8} (KingDomLauncher Class) - http://www.hangame.co.jp/publish/do/HgDO.cab O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (&Yahoo!ツールバー) - http://dl.companion.yahoo.co.jp/dl/toolbar/yiebio4.cab O16 - DPF: {924DDE3B-68F6-49E8-B469-33FB198EDD73} (SagaLauncher Class) - http://www.hangame.co.jp/publish/bd/HgBD.cab O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.133/dl/ms/x.chm::/load.exe O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab O16 - DPF: {10003000-1000-0000-1000-000000000000} - its:mhtml:file://c:MAIN5774.MHT!http://213.159.118.226/content.php::/x.exe O18 - Protocol: ndwiat - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\SYSTEM\WIASCR.DLL O18 - Protocol hijack: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B}
90 :04/08/03 O18 - Protocol hijack: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B} O18 - Protocol: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\SYSTEM\urlmon.dll O18 - Protocol: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\SYSTEM\urlmon.dll O18 - Protocol hijack: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B} O18 - Protocol hijack: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} O18 - Protocol: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\SYSTEM\urlmon.dll O18 - Protocol: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\WINDOWS\SYSTEM\urlmon.dll O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL O18 - Protocol hijack: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} O18 - Protocol: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\SYSTEM\MSHTML.DLL O18 - Protocol hijack: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\SYSTEM\ITSS.DLL O18 - Protocol: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - C:\WINDOWS\SYSTEM\INETCOMM.DLL O18 - Protocol: msdaipp - (no CLSID) - (no file) O18 - Protocol hijack: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL O18 - Protocol: vnd.ms.radio - {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINDOWS\SYSTEM\MSDXM.OCX O21 - SSODL: AUHook - {BCBCD383-3E06-11D3-91A9-00C04F68105C} - C:\WINDOWS\SYSTEM\AUHOOK.DLL O21 - SSODL: System - {F6542A5E-9820-454A-8A9C-BE4662BD4721} - C:\WINDOWS\system32\system32.dll
91 :04/08/03 >>88 も84です。 おねがいします。
92 :04/08/03 >>84 このファイルがもうないよ、ってのを最初にレジストリから削除してみたら? O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll (file missing) O2 - BHO: (no name) - {3BFF365D-E942-2EE5-8753-60550DA7291F} - C:\WINDOWS\SYSTEM\YJDIENFW.DLL (file missing)
93 :04/08/03 >>91 ウイルスチェックしたか。 それと、ここに貼る前に、エロ助の テンプレやってからにしろよ ザッと見ただけでも悲惨な状態だよ。
94 :04/08/03 >>84-91 今回出ている症状以外にも、多数のスパイウェア感染がありますので、まず HijackThisで直されるより先に、こちらのスレのテンプレを実行してみて下さい。 エロサイト見たら…助けてください!Part35 http://pc6.2ch.net/test/read.cgi/pcqa/1091090092/ あと、あなたの症状はこちらのページを参考にしてみて下さい。 ttp://higaitaisaku.web.infoseek.co.jp/removereg32.html >>83 さん 以下のエントリをFixしてみて、一度PCを再起動してみて下さい。 その後、再度向こうのスレのテンプレをやってみて下さい。 O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - ttp://www.mt-download.com/MediaTicketsInstaller.cab
95 :04/08/03 >>84 O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.skoobidoo.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.xxxtoolbar.com O15 - Trusted Zone: *.slotch.com O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net これ、自分で信頼済みに登録したの? これらのサイトに行ったら、全部勝手に何でもインストールされてしまうよ。 それとソフトを使ってスパイウェアをまず削除する事。
96 :04/08/03 >>94 さん 有難う御座います。 削除した結果右下の「信頼済みサイト」表示が「インターネット」に。 「Done」の表示が「ページが表示されました。」に。 ***.bizだったリンクが元に戻りました。 しかし、ホームページの設定だけはなぜか戻りません。 selfsearch.bizのままとなってしまいます。 また、現在でも全体的にシステムが重いような気がします。
97 :04/08/03 キタ━━━━━━(゚∀゚)━━━━━━ !!!!! どうやら、復活しているスパイウェアエントリの根源はこれだったようです。 O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe Gaobotというウィルスとの事です。 トレンドマイクロのデータベースには該当が多すぎてどれか特定できませんでしたが。 ホームページの設定が戻っていないというのは、どこのページに行っても まだ勝手にselfsearch.bizになってしまう状態という事でしょうか?
98 :04/08/03 >>97 具体的にいうと新しいウインドウを開いたときなどにabout:blankに設定しても またselfsearch.bizにアクセスし、設定も戻ってしまっている、ということです。 やたらと新しいウインドウが開くのが遅いので(システム全体が重い)、これと何か関係があるのでしょうか?
99 :04/08/03 テンプレが再度全て終わっているならば、HijackThisを起動してみて下さい。 まず最初に、>>94 でFixしたはずのエントリーが復活しているかいないかを確認して教えて下さい。 >O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\internst32.exe internet.dll,LoadNetworkProfile 次に、この該当ファイルのプロパティを確認してみて下さい。 Windowsと無関係の場合には、これをFixしてみて、再起動して下さい。
100read 1read
1read 100read
TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▲
Malware Defender (220)
システムバスター2005 Part21 (759)
X-GUARD Part4 (212)
【ノートン】ノートン社員の荒らしについて (668)
【アイドル】ウイルスバスター2008 Part32【エバ様】 (851)
セキュリティ初心者質問スレッドpart128 (340)
--log9.info------------------
【息子が】美空ひばりのどこが天才なの?【DQN】 (872)
青森の歌姫★麻生詩織 (352)
三田明を語ろう (504)
田川寿美スレッド3 (140)
【歌コン】♪..歌番組の感想を..♪【のど自慢】 (119)
長山洋子さん4 (207)
IDにenkaとか出るまで頑張るスレ Part3 (238)
【演歌の】山本智子(さとこ)スレ4【10周年】 (392)
なんだ坂 こんな坂 演歌坂 岩本公水 (302)
レコ大新人賞「山本あき」を研究するスレ (117)
サブちゃん【北山たけし】ファミリー4 (489)
泣いちっち守屋浩スレ (352)
冠二郎先生を称えるスレ (674)
★★★★★島津ゆたか★★★★★ (458)
【age】三代目コロムビア・ローズ【五分前】 (463)
【紅白出場】水樹奈々 VS 坂本冬美【夜桜お七】 (110)
--log55.com------------------
戦犯 田中佑典
☆☆☆トランポリンについて語り合うスレ☆☆☆
月刊スポーツアイは潰れたの?
元五輪代表・岡崎聡子が覚せい剤でまたまたタイーホ
小菅麻里・朝日生命体操クラブ(3)
☆寺本明日香☆
新体操やってる女の人って2
体操・新体操に関わるエロ話