【分析】HijackThis【研究】

1 ：04/08/01

CWShredder、Ad-aware、SpybotS&Dを使ったけどスパイウェアが除去できない、
そんな時にスパイウェアを手動で除去できるHijackThisについて研究・分析するスレッドです。
Merijn.org（本家）
ttp://www.spywareinfo.com/~merijn/
【関連リンク】
Hijack Thisによるレポート出力と手動でのスパイウェア除去
ttp://higaitaisaku.web.infoseek.co.jp/hijackthis.html
HijackThisログ解析入門
ttp://higaitaisaku.web.infoseek.co.jp/htkaiseki.html
HijackThis Entry Database
ttp://higaitaisaku.web.infoseek.co.jp/hjtdatabase.html
HijackThisに現れるスパイウェアの例
ttp://higaitaisaku.web.infoseek.co.jp/iranai.html
HijackThisに現れる問題ないエントリーの例
ttp://higaitaisaku.web.infoseek.co.jp/iru.html
【関連スレッド】
エロサイト見たら…助けてください！Part35
ttp://pc6.2ch.net/test/read.cgi/pcqa/1091090092/
【総合】スパイウェア予防駆除 Part4
ttp://pc5.2ch.net/test/read.cgi/sec/1089126024/
スパイウェア゛削除゛ソフト「Ad-aware」Part13
ttp://pc5.2ch.net/test/read.cgi/sec/1090052120/
【雑談禁止】スパイウェア削除ソフトSpybot 15
ttp://pc5.2ch.net/test/read.cgi/sec/1090594050/

2 ：04/08/01

2

3 ：04/08/01

（・３・）　エェー　3ですYO

4 ：04/08/01

ぼるじょあたんｷﾀ━━━━━━(ﾟ∀ﾟ)━━━━━━ !!!!!
ttp://pc6.2ch.net/test/read.cgi/pcqa/1091090092/572
ttp://pc6.2ch.net/test/read.cgi/pcqa/1091090092/582-586
やっぱこの話の内容、すげー気になるよね。
俺はかちゅユーザーなんだけどこういう設定できるのかなぁ。

5 ：04/08/01

エロサイト見たら・・・スレから要約したものを転載です。
>ゾヌ2のアクションの置き換えを使用
>Aboneのブラクラリスト機能を使用
>Live2chでは、スクリプトで置き換え
これらを使う事で、HijackThisを貼った結果がこんな風に表示できるようになる…らしい。
O4 - HKLM\..\Run: [msbb] c:\program files\180solutions\msbb.exe
　↓
O4 - HKLM\..\Run: [msbb] c:\program files\180solutions\msbb.exe ← ▲nCase( ttp://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=58 )
詳しい設定方法とかを教えてもらえるとありがたいです。
この表示されているものって、ひとつひとつ手入力ですか？
それとも、被害対策部屋か何かから引っ張ってくるんですか？＞向こうのスレの531=532=533=544さん

6 ：04/08/01

自分は一つ一つ手入力です。(面倒です)
ゾヌ2でアクションで指定文字を含むの場所に
\WINDOWS\Alevir.exe
と書いて、動作置き換えの場所に
\WINDOWS\Alevir.exe ← ▲WORM_OPASERV.F( ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp? )VName=WORM_OPASERV.F
といった感じで記入して、有効にする板を全てにします。
データはひたすらROMに回って集めたり、
被害対策部屋の部屋やSpywareInfoのフォーラムから引っ張ってきたりもします。
SpywareInfoのフォーラム
ttp://forums.spywareinfo.com/

7 ：04/08/01

>>6
なるほど、地道な作業の積み重ねなんですね。
このスレッドで、ぞぬ２用とかAbone用とかLive2ch用とか、
このスレ住人で協力して置き換えデータベースみたいなのを
作れるといいかも。

8 ：04/08/01

>>7
自分の置き換えデータなら、
アップしてもいいですよ。(NGワード)
ただし実行は自己責任でお願いします。
その場合アップロダを指定していたただければサンプルとして、
提出します。

9 ：04/08/01

　　　　　　　　　　　　　∧＿∧
　　　　　　　　　　　　(（´∀｀ /＾)531=532=533=544さん
　　　　　　　　　　　 /⌒　　　ノ　
　　　　　　　　 γ （,＿,丿ソ′　　
　　　　　　　　　i,_,ノ　　|||
ﾊﾞﾝｻﾞｲ　　ﾊﾞﾝｻﾞｲ　　　　　　　　ﾔｯﾀｰ　　アリガトｰ
　　 ∧＿∧　∧＿∧　 ∧＿∧　　∧＿∧
　(＾（,, ´∀｀）)　・∀・）(ヽ　　　 ）')(（・∀・ /')
　　ヽ　　　 /ヽ　　　 ﾉ ヽ　　　 ﾉ　 ﾉ　 　ノ
　 　ﾉ　 ｒ　ヽ /　　　 |　/　　Ｏ |　（　-､　ヽ
　 （＿,ハ＿,）,_,/´i,_,ﾉ （,_,/´i,_,ﾉ　 し'　ヽ,_,）
さっそくアプロダ探してきます
このスレッドで、どんどんデータを蓄積できるように協力しますよ

10 ：04/08/01

>>8
２ちゃんねるアプロダはどうでしょ？
ttp://up.isp.2ch.net/upload/c=03okari/index.cgi
はいいろさんがもしこっちのスレに来てたら、まとめサイトに
置いといて欲しいですね。

11 ：04/08/01

>>10
アップしました。
/up/cf627671dd5a.zip
上のファイルをゾヌ2内の\users\ユーザ名\ngres.txtと入れ替える。
注意点があります。このファイルを使って、
2ちゃんねるを見ると普通の表示状態と全く変わってしまいます。
かならずバックアップを取って、
鑑定スレやエロサイトスレで実験してから使ってください。
また一応プライパシーデータであるのでパスを掛けました。
HijackThis

12 ：04/08/01

いっぺんに何人もダウンロードしているﾖｶｿ
全然反応がないや(´･ω･`)ｼｮﾎﾞｰﾝ
しばらく待ってみて後でダウンロードしてみます（・∀・　）

13 ：04/08/01

いつまで待ってもダウンロードできる様子がありません｡ﾟ(ﾟ´Д｀ﾟ)ﾟ。
他の人で>>11をダウンロードできた人っていますか？

14 ：04/08/01

>>13
落とせたよ。
時間大分掛かったけど、サイズが小さいから
鯖自体が重くなってファイルにアクセスできない
のではないかな、気長に再挑戦してください。

15 ：04/08/01

>>13
ダウンロードできたので別のところにそのままうｐした。
ttp://borujoa.s27.xrea.com/upload/source/upload0261.zip
こっちのうｐろだのほうが軽いよ。
ttp://borujoa.s27.xrea.com/upload/upload.cgi

16 ：04/08/01

>>15のがまずかったらすぐ消すわ。

17 ：04/08/01

ｷﾀ━━━━━━(ﾟ∀ﾟ)━━━━━━ !!!!!
ありがとう、あなたもネ申です。
今何人ぐらいの人が持ってるんですかね、このツール。
カバーしてない分とかを、みんなでどんどん情報出していきましょう。

18 ：04/08/01

テストしてみました、結果良好です。
でもぞぬ２はやっぱり重いですね（；´Д｀）

19 ：04/08/01

特定のハンドルのトリップや、
ブラクラなんかも置き換えられている。
どうやらこの人、もと鑑定スレの鑑定士なんじゃないかな？

20 ：04/08/01

かちゅで同じような事ができないかどうか模索中・・・
だってぞぬ２重い・・・

21 ：04/08/01

せっかく提供してくれたんだ、興味本位な詮索は辞めて
データを活用することを考えませんか。
基本的な活用方法とか、追加した方がいいデータとか

22 ：04/08/01

>>21
個人的に追加したいなーというデータは
被害対策の部屋のHijackThisデータベースの網羅かな。
どのぐらいをカバーしているのかがまだ不明ですが。

23 ：04/08/02

>>21
他の2chブラウザでも、同じような置換フィルタを作っていきませんか？
たぶんみなさんそれぞれ2chブラウザを使ってる種類、違うんじゃないかな？

24 ：04/08/02

エロサイト見たら…助けてください！Part35
http://pc6.2ch.net/test/read.cgi/pcqa/1091090092/666
向こうのお客さん依頼を貼り付けておきます。
だれか見てあげてください。
Logfile of HijackThis v1.98.0
Scan saved at 7:32:22, on 2004/08/02
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Onetouch V1.0\EzButton.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\System32\yvedbcwi.exe
C:\WINDOWS\System32\conime.exe

25 ：04/08/02

C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\corujesh.exe
C:\Documents and Settings\ｋanji\デスクトップ\HijackThis\HijackThis.exe
C:\Documents and Settings\ｋanji\My Documents\いろいろ\ぶらうざ\openjane-0.1.11.0\Jane2ch.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F2 - REG:system.ini: UserInit=C:\Windows\System32\wsaupdater.exe,
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\WINDOWS\EliteBar\EliteBar version 37.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [onetouch] c:\Program Files\Onetouch V1.0\EzButton.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe

26 ：04/08/02

O4 - HKLM\..\Run: [IMJPMIG9.0] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMJP9\IMJPMIG.EXE /Preload /Migration32
O4 - HKLM\..\Run: [ara-key] C:\Program Files\WindowsUpdate\wuaudnld.tmp\cabs\com_microsoft.Q831167_IE6_SP1\Q8311674967.exe -StartUp
O4 - HKLM\..\Run: [pezmjumr] C:\WINDOWS\System32\yvedbcwi.exe
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [arodkn] C:\WINDOWS\arodkn.exe
O4 - HKLM\..\RunOnce: [Ad-aware] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-aware.exe" "+b1"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Hdvml] C:\WINDOWS\System32\corujesh.exe
O4 - Startup: Internet Explorer.lnk = C:\Program Files\Internet Explorer\IEXPLORE.EXE
O4 - Startup: Jane2ch へのショートカット.lnk = ?
O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Super Mapple Digital - カスタム情報記入 - res://C:\PROGRA~1\SUPERM~1.4\MappleBand.dll/110
O8 - Extra context menu item: Super Mapple Digital - 地図検索 - res://C:\PROGRA~1\SUPERM~1.4\MappleBand.dll/109
O8 - Extra context menu item: 携帯に送る(&K)... - http://www.ikehouse.co.jp/iMode/iModeWS/ie/imghook.asp
O9 - Extra button: マップル - {381F73A9-29D0-45B6-88D7-F82C4BCED5D3} - C:\Program Files\Super Mapple Digital Ver.4\MappleBand.dll
O9 - Extra button: リサーチ - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://prius.hitachi.co.jp/go/prius/index.htm
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com

27 ：04/08/02

O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.133/legal/x.chm::/load.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=49e422e7968751004a7c475f91f16bf5704ecd078aae7d3982a3508206fdc37f677f5429ee732a811e3c55f70527c293f863e8:8b5b4fff0cd3ceb2d022384e480b9c0d
O16 - DPF: {32A46776-9D08-11D2-AB61-D757626CD108} (IEAutoTool.IEAutoInput) - file://C:\Documents and Settings\ｋanji\デスクトップ\DOSVDX\200308\FREE\ieat1314\IEATool.CAB
O16 - DPF: {706F3805-27D7-478D-80E5-E25D2BB030B3} (VacPro.internazionale_ver3) - http://www.advnt01.com/dialer/internazionale_ver3.CAB
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - %SystemRoot%\System32\mshtml.dll
O18 - Protocol: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\System32\msvidctl.dll
O18 - Protocol hijack: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol hijack: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol hijack: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol hijack: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6}
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - %SystemRoot%\System32\mshtml.dll
O18 - Protocol: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - %SystemRoot%\System32\mshtml.dll

28 ：04/08/02

O18 - Protocol: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - %SystemRoot%\System32\inetcomm.dll
O18 - Protocol hijack: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\System32\itss.dll
O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Program Files\Common Files\Microsoft Shared\Information Retrieval\msitss.dll
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol: msjwwdat - {BAAB02DC-913E-40AA-B9ED-8068DEE42CFA} - C:\Program Files\Microsoft Office\Home Style\JWW\JWWData.dll
O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
O18 - Protocol hijack: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B}
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - %SystemRoot%\System32\mshtml.dll
O18 - Protocol hijack: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E}
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - %SystemRoot%\System32\mshtml.dll
O18 - Protocol: vnd.ms.radio - {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINDOWS\System32\msdxm.ocx
O18 - Protocol hijack: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE}

29 ：04/08/02

>>◆UkZAUUIUs.
以前にこの人キンタマに感染している。
O4 - HKLM\..\Run: [ara-key] C:\Program Files\WindowsUpdate\wuaudnld.tmp\cabs\com_microsoft.Q831167_IE6_SP1\Q8311674967.exe -StartUp
ny使っているのなら、診断対象外。

30 ：04/08/02

>>29
誤爆しました・・・＿|￣|○

31 ：04/08/02

>>29
向こうの677でし。この人、ウィルスチェックやってねーって事か（；´Д｀）
釣り人ではなさそうだけど、自己責任かなーという気もしますね。
向こうの674のHijackThis指示は大間違いですよってのは気づきましたが、
キンタマとぬるぽは気づきませんでした（変なエントリだな？とは思いましたが）。
まだ俺も修行足らないな（；´Д｀）俺もヤブ医者にならないよう精進せねば。

32 ：04/08/02

>>31
04のO4 - HKLM\..\Run: [ara-key] .....
ってやつは百発百中でキンタマウイルスです。
また、まだウイルス定義の対応していないヌルポース2
(私はnyの作者ですというやつ)はWindowsの標準環境に、
似たエントリーを叩きだします。
自分が特別に診断して下は笑った例。
O4 - HKLM\..\Run: [System] C:\WINDOWS\Exploder.exe
よくみるとExpolerではなくExploderというのがポイント。

33 ：04/08/02

>>32
向こうに出すべきだった指示
「おてぃんてぃんを高速でしごけば直せます(ﾟ∀ﾟ)」
キンタマウィルスはデータベースに入れました、情報提供ありがとうございます。

34 ：04/08/02

EliteBar情報
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\WINDOWS\EliteBar\EliteBar version 37.dll
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\WINDOWS\EliteBar\EliteBar version 36.dll
データベースに登録するには、
\WINDOWS\EliteBar\EliteBar version 37.dll ← ▲EliteBar(Fix後EliteBarフォルダをゴミ箱へ)
\WINDOWS\EliteBar\EliteBar version 36.dll ← ▲EliteBar(Fix後EliteBarフォルダをゴミ箱へ)
EliteBar version 36.dllの場合もあった。
まだ、Ad-AwareやSpybot-S&Dが対応していない可能性のあるスパイウェアです。
指示はFixさせた後に再起動。起動後にEliteBarフォルダをゴミ箱に移させて、
もう一度Ad-Awareを実行させて念のためゴミ掃除させます。これで解決を得ています。

35 ：04/08/02

宜しくお願いします。
Logfile of HijackThis v1.98.0
Scan saved at 22:25:06, on 2004/08/02
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Common Files\Creoapp\MrnTS_Sync5.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Program Files\Fujitsu\sa\de\jsharp\bin\SBRSVC.EXE
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

36 ：04/08/02

続きです
C:\WINDOWS\System32\ezSP_Px.exe
C:\Program Files\Fujitsu\PowerUtility\schedule\PUSCSRVC.exe
C:\Program Files\Fujitsu\MyMedia\MyMedia Server\mediaserver.exe
C:\Program Files\Fujitsu\PowerUtility\schedule\PUSCDaemon.exe
C:\Program Files\Fujitsu\Fujitsu Quick Touch\QuickTouch.exe
C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe
C:\Program Files\Fujitsu\iNetConDsp\iNetConDsp.exe
C:\Program Files\Fujitsu\IndicatorUtility\IndicatorUty.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Fujitsu\chitose\chitose.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\hgchcwii.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\ChIntCal\CHINTCAL.EXE
C:\WINDOWS\System32\igfxext.exe
C:\WINDOWS\System32\conime.exe
C:\Program Files\Apoint2K\HidFind.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Fujitsu\sa\bin\mpbtn.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Owner\Local Settings\Temp\hijackthis.zip の一時ディレクトリ 3\HijackThis.exe

37 ：04/08/02

続きです
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4DAA6426-E46D-20CE-8000-64550CD32B4D} - C:\WINDOWS\System32\bilcmavq.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

38 ：04/08/02

続き
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [LoadPUSCDaemon] C:\Program Files\Fujitsu\PowerUtility\schedule\PUSCDaemon.exe
O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\Program Files\Fujitsu\Fujitsu Quick Touch\QuickTouch.exe
O4 - HKLM\..\Run: [LoadBtnHnd] C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe
O4 - HKLM\..\Run: [INETCONDSP] "C:\Program Files\Fujitsu\iNetConDsp\iNetConDsp.exe"
O4 - HKLM\..\Run: [IndicatorUtility] C:\Program Files\Fujitsu\IndicatorUtility\IndicatorUty.exe
O4 - HKLM\..\Run: [IMJPMIG9.0] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMJP9\IMJPMIG.EXE /Preload /Migration32
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

39 ：04/08/02

O4 - HKLM\..\Run: [FMVランチャー] C:\fjuty\wallbtn\FMVLauncherKicker.exe
O4 - HKLM\..\Run: [FJUPDNV_Chitose] C:\Program Files\Fujitsu\chitose\chitose.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKCU\..\Run: [Tars] C:\Documents and Settings\Owner\Application Data\utwb.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: ダイヤルアップ チェッカー.lnk = C:\Program Files\ChIntCal\CHINTCAL.EXE
O4 - Global Startup: 富士通サービスアシスタント.lnk = C:\Program Files\Fujitsu\sa\bin\matcli.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: このページのキャッシュ - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

40 ：04/08/02

以上です。
O8 - Extra context menu item: リンク元 - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: 関連ページ - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: リサーチ - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {48B35AC2-CFCE-4DF7-8B39-C3EB6F5DD111} (DreamTechnologies MADO Image Viewer Control) - http://download.sfd.co.jp/mado-book/MADOCMP_24003.CAB
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O18 - Protocol: msjwwdat - {BAAB02DC-913E-40AA-B9ED-8068DEE42CFA} - C:\Program Files\Microsoft Office\Home Style\JWW\JWWData.dll

41 ：04/08/02

俺は分析するつもりはないが、HijackThisがアップデートされてるから報告。
HijackThis 1.98.1
http://forums.net-integration.net/index.php?showtopic=20686

42 ：04/08/02

続いてアンインストールプログラムのログその一です
---------- UNINSTALLPROGRAMLIST
"DisplayName"="Ad-aware 6 Personal"
"DisplayName"="Agere Systems AC'97 Modem"
"DisplayName"="ダイヤルアップ チェッカー"
"DisplayName"="DivX Codec"
"DisplayName"="DivX Player"
"DISPLAYNAME"="Microsoft DirectX Transform optional components"
"DisplayName"=""
"DisplayName"=""
"DisplayName"="ギコナビ"
"DisplayName"="Internet Explorer Q867801"
"DisplayName"="＠フォトレタッチ"
"DisplayName"="＠メニュー"
"DisplayName"="壁紙かんたん模様替え"
"DisplayName"="PC乗換ガイド"
"DisplayName"="＠映像館"
"DisplayName"="PowerUtility"
"DisplayName"="SanrioTinyPark"
"DisplayName"="携帯万能 for FMV"
"DisplayName"="FMVランチャー"
"DisplayName"="筆まめ Ver.13 ベーシック"
"DisplayName"="KARUGARUnet 4.0"

43 ：04/08/02

その二です
"DisplayName"="Windows XP ホットフィックス - KB810217"
"DisplayName"="Windows XP Hotfix (SP2) [See KB810243 for more information]"
"DisplayName"="Advanced Networking Pack for Windows XP"
"DisplayName"="Windows XP ホットフィックス - KB818332"
"DisplayName"="Windows XP ホットフィックス - KB820291"
"DisplayName"="Windows XP ホットフィックス - KB821253"
"DisplayName"="Windows XP ホットフィックス - KB822603"
"DisplayName"="Windows XP ホットフィックス - KB823182"
"DisplayName"="Windows XP ホットフィックス - KB824105"
"DisplayName"="Windows XP ホットフィックス - KB824141"
"DisplayName"="Windows XP ホットフィックス - KB824143"
"DisplayName"="Windows XP ホットフィックス - KB825119"
"DisplayName"="Windows XP ホットフィックス - KB826367"
"DisplayName"="Windows XP ホットフィックス - KB826939"
"DisplayName"="Windows XP ホットフィックス - KB826942"
"DisplayName"="Windows XP ホットフィックス - KB828035"
"DisplayName"="Windows XP ホットフィックス - KB828741"
"DisplayName"="Windows XP ホットフィックス - KB833407"
"DisplayName"="Windows XP ホットフィックス - KB835732"
"DisplayName"="Windows XP ホットフィックス - KB837001"
"DisplayName"="Windows Media Player Hotfix [詳細については、KB837272 を参照してください]"
"DisplayName"="DirectX 9 修正プログラム - KB839643"
"DisplayName"="Windows XP ホットフィックス - KB839645"
"DisplayName"="Windows XP ホットフィックス - KB840315"
"DisplayName"="Windows XP ホットフィックス - KB840374"
"DisplayName"="Windows XP ホットフィックス - KB841873"
"DisplayName"="Windows XP ホットフィックス - KB842773"
"DisplayName"="Microsoft Data Access Components KB870669"
"DisplayName"="LiveReg (Symantec Corporation)"
"DisplayName"="LiveUpdate 1.90 (Symantec Corporation)"

44 ：04/08/02

その三
"DisplayName"="窓の手 2004"
"DisplayName"="Medi@Show"
"DisplayName"="Microsoft .NET Framework (JPN) v1.0.3705"
"DisplayName"="Microsoft Visual J# .NET Redistributable Package(JPN) v1.0.4205"
"DisplayName"="MyMedia (remove only)"
"DisplayName"="MyMedia Server (remove only)"
"DisplayName"="OASYS Viewer V8"
"DisplayName"="OCNｽﾀｰﾄﾊﾟｯｸ"
"DisplayName"="Outlook Express Q823353"
"DisplayName"="OpenMG Limited Patch 3.3-03-10-05-01"
"DisplayName"="OpenMG Limited Patch 3.3-03-08-27-01"
"DisplayName"="Windows XP Hotfix (SP2) Q322011"
"DisplayName"="Windows XP Hotfix (SP2) Q327979"
"DisplayName"="Windows XP Hotfix (SP2) Q810090"
"DisplayName"="Windows XP Hotfix (SP2) Q811147"
"DisplayName"="Windows XP Hotfix (SP2) Q814995"
"DisplayName"="Windows XP Hotfix (SP2) Q815917"
"DisplayName"="Windows XP Hotfix (SP2) Q818213"
"DisplayName"="Windows XP Hotfix (SP2) Q818654"
"DisplayName"="Windows Media Player Hotfix [詳細については、Q828026 を参照してください]"
"DisplayName"="RealOne Player"
"DisplayName"="Shockwave"
"DisplayName"="Spybot - Search & Destroy 1.3"

45 ：04/08/02

その四
"DisplayName"="Start! @homepage"
"DisplayName"="Norton Internet Security (Symantec Corporation)"
"DisplayName"="Viewpoint Media Player (Remove Only)"
"DisplayName"="FMモバイルスイッチャー "
"DisplayName"="IBM ホームページ・ビルダー 7 ライト"
"DisplayName"="筆ぐるめ Ver.11"
"DisplayName"="GW-NS54GM"
"DisplayName"="IndicatorUtility"
"DisplayName"="ODN Signup Software"
"DisplayName"="Norton Internet Security"
"DisplayName"="AOL"
"DisplayName"="＠拡大ツール"
"DisplayName"=""
"DisplayName"="＠フォトレタッチ"
"DisplayName"="Microsoft Visual J# .NET Redistributable Package 1.1"
"DisplayName"="壁紙かんたん模様替え"
"DisplayName"="Visual J# .NET Redistributable Package"
"DisplayName"="FM かんたんバックアップ"
"DisplayName"="Google Toolbar for Internet Explorer"
"DisplayName"="PC乗換ガイド"
"DisplayName"="WebFldrs XP"
"DisplayName"="DION (KDDI)"
"DisplayName"="OpenMG Secure Module 3.3"
"DisplayName"="Norton AntiSpam"
"DisplayName"="@niftyでインターネット"
"DisplayName"="筆王"
"DisplayName"="DVDfunSTUDIO"
"DisplayName"=""
"DisplayName"="Microsoft Windows Journal ビューア"

46 ：04/08/02

その五
"DisplayName"="Norton Internet Security"
"DisplayName"="アップデートナビV1.1L20"
"DisplayName"="Norton Internet Security"
"DisplayName"="ワンタッチボタン設定"
"DisplayName"="Norton Internet Security"
"DisplayName"="@nifty環境設定ユーティリティ"
"DisplayName"="富士通サービスアシスタント（マニュアル＆サポート）"
"DisplayName"="Norton AntiSpam"
"DisplayName"="Microsoft Office Home Style+"
"DisplayName"="時事通信社「家庭の医学」デジタル版�U"
"DisplayName"="＠映像館"
"DisplayName"="Microsoft .NET Framework (JPN)"
"DisplayName"="Symantec Network Driver Update"
"DisplayName"="＠料金表示"
"DisplayName"="PowerUtility"
"DisplayName"="SigmaTel AC97 オーディオ ドライバ"
"DisplayName"="百年プリント＠コニカ注文用ソフトウェア"
"DisplayName"="Intel(R) Extreme Graphics 2 Driver"
"DisplayName"="GAMEPACK2004F"
"DisplayName"="Microsoft Office Personal Edition 2003"
"DisplayName"="Powered Internet[POINT] サインアップツールV1.0"
"DisplayName"="InterVideo WinDVD"
"DisplayName"="Norton Internet Security"
"DisplayName"="Realtek RTL8139/810x Fast Ethernet NIC Driver Setup"
"DisplayName"="WEB便利ツール"
"DisplayName"="SanrioTinyPark"
"DisplayName"="DVD-RAMドライバー"
"DisplayName"="ALPS Touch Pad Driver"
"DisplayName"="Visual J# .NET Redistributable 1.1- Japanese Language Pack"

47 ：04/08/02

その六
"DisplayName"="CC_ccProxyMSI"
"DisplayName"="BIGLOBEでインターネット"
"DisplayName"="Plugfree NETWORK "
"DisplayName"="Norton Internet Security"
"DisplayName"="Adobe Reader 6.0 - Japanese"
"DisplayName"="Microsoft .NET Framework 1.1 Japanese Language Pack"
"DisplayName"="FlashAid"
"DisplayName"="＠コントローラ"
"DisplayName"="DVD-MovieAlbumSE 3"
"DisplayName"="ATLAS 翻訳パーソナル 2004 LE (ホームページ翻訳専用)"
"DisplayName"="FUJITSU 音声合成"
"DisplayName"="Norton AntiVirus"
"DisplayName"="Microsoft .NET Framework 1.1"
"DisplayName"="Symantec Script Blocking Installer"
"DisplayName"="So-net簡単スターターV2.3"
"DisplayName"="CC_ccStart"
"DisplayName"="ccCommon"
"DisplayName"="携帯万能 for FMV"
"DisplayName"="ツボ リラックス"
"DisplayName"="BeatJam"
"DisplayName"="＠ＦＴＰ"

48 ：04/08/02

長くなりましたがこれで最後です。
"DisplayName"="＠メール"
"DisplayName"="Norton Internet Security"
"DisplayName"="FMVオンラインユーザー登録"
"DisplayName"="Norton Internet Security"
"DisplayName"="FMVランチャー"
"DisplayName"="筆まめ Ver.13 ベーシック"
"DisplayName"="MotionDV STUDIO"
"DisplayName"="うれしレシピ"
"DisplayName"="Norton Internet Security"
"DisplayName"="MSRedist"
"DisplayName"="Microsoft Windows XP CD 書き込みウィザード HighMAT Extension"
"DisplayName"="てきぱき家計簿マム４"
"DisplayName"="プロアトラスＷ2"
"DisplayName"="マップサーバースイッチャー"
"DisplayName"="乗換案内 時刻表対応版"
"DisplayName"="柿木将棋�V Light"
"DisplayName"=""

49 ：04/08/02

大変長くなりましたが、識者の皆様、>>35->>40、>>42->>47を
どうか宜しくお願いします。

50 ：04/08/02

分析と研究はするが、助言をするかは判らない。
スレタイとか、ここまでの流れを見てれば判るよね？

51 ：04/08/02

>>50
わかります。客観的なご意見をいただけるだけでも有り難いと思っております。

52 ：04/08/02

>>48
家計簿やるなよ

53 ：04/08/02

出来るだけ、鑑定してやらないと
協力してくれる人居なくなるぞ。

54 ：04/08/02

>>50　（　´_ゝ`）
>>51　マジレスしない
今HijackThis見ている人って、俺以外で何人いらっしゃいますか？
フィルターに引っかかっている問題ありエントリーはなしで、フィルターの
表示なし分を調べ中です。ちょっと（もしかしたらかなり）俺は時間かかるかも。。。

55 ：04/08/02

俺以外で何人いらっしゃいますか？
＞いないみたい

56 ：04/08/03

>>55 工エェ（´Д｀）ェエ工
>>35-48さん　一応の分析結果です。フィルタ以外のもののみ。（フィルタは全て問題なしです）
googleでも一切ヒットしないもの
O2 - BHO: (no name) - {4DAA6426-E46D-20CE-8000-64550CD32B4D}- C:\WINDOWS\System32\bilcmavq.dll
googleでヒットはあるが、情報がないもの
O4 - HKCU\..\Run: [Tars] C:\Documents and Settings\Owner\Application Data\utwb.exe
富士通関連のもの
O4 - HKLM\..\Run: [FJUPDNV_Chitose] C:\Program Files\Fujitsu\chitose\chitose.exe
O4 - Global Startup: ダイヤルアップ チェッカー.lnk = C:\Program Files\ChIntCal\CHINTCAL.EXE
O4 - Global Startup: 富士通サービスアシスタント.lnk = C:\Program Files\Fujitsu\sa\bin\matcli.exe
Microsoft Office関連のもの
O9 - Extra button: リサーチ - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL 　
O18 - Protocol: msjwwdat - {BAAB02DC-913E-40AA-B9ED-8068DEE42CFA} - C:\Program Files\Microsoft Office\Home Style\JWW\JWWData.dll　
不明情報のみあるもの
O16 - DPF: {48B35AC2-CFCE-4DF7-8B39-C3EB6F5DD111} (DreamTechnologies MADO Image Viewer Control) - http://download.sfd.co.jp/mado-book/MADOCMP_24003.CAB 　←▲HijackThis 016List Bエントリー（評価未定）
お好みで取捨（被害対策の部屋）
O4 - HKLM\..\Run: [IMJPMIG9.0] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMJP9\IMJPMIG.EXE /Preload /Migration32　← ▲IME関係エントリー、好みで取捨（被害対策）
問題なしエントリ
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab 　←●HijackThis 016List Aエントリー（問題なし）

57 ：04/08/03

>>56の続きです。
googleで検索しても出てこないBHOがやや？ですが、FIX指示を出す程の根拠はないので今のところは放置。
同じく情報のない04エントリー（Tars）も、一応今のところは放置。
未分類の016エントリー（DreamTechnologies MADO Image Viewer Control）も今のところは放置。
後のエントリはおそらく問題ないだろうと私は思います。あまり自信はないので他の人からの指摘大歓迎。
つまり、HijackThisでFixしなければならないようなエントリは、私の見た範囲では、特にはなさそうです。
もし不安を感じるようでしたら、以下のスレッドに目を通してみて、
フリーのアンチトロイソフトを導入してみてもいいかもしれません。
もしかしたらノートン先生が見逃していたトロイが引っかかるかも？
☆☆トロイの木馬☆☆2台目
http://pc5.2ch.net/test/read.cgi/sec/1087290865/
あとは、キャッシュの削除とかの掃除をこまめにやるのと、たくさんのプログラムが入っていますので
必要ないものの常駐を切るとか、その程度しか私には助言できそうにありません。申し訳無い。

58 ：04/08/03

>>57の続きです。
他の人に「これはFixして下さい」と指示するまでは言えませんが、自己責任でいじってみるのならこの辺かな？という感じです。
O2 - BHO: (no name) - {4DAA6426-E46D-20CE-8000-64550CD32B4D}- C:\WINDOWS\System32\bilcmavq.dll
該当ファイルのプロパティを確認してみて、メーカー名などを確認してみる。
覚えの無いメーカーならばこれだけFixして一回再起動してみる。問題が起こったらバックアップから戻す。
O4 - HKCU\..\Run: [Tars] C:\Documents and Settings\Owner\Application Data\utwb.exe
該当ファイルのプロパティを確認してみて、必要がなければFixしてみる。問題が起こったらバックアップから戻す。
（HijackThisのディレクトリと同じところにありますから、きっと>>35-48さんは「C:\Documents and Settings」に
色々とダウンロードしたファイルを置いてらっしゃると思いますので）

59 ：04/08/03

PC初心者板の「エロサイト見たら…助けてください」スレから誘導されてきました870です。
宜しくお願いします。以下が現在のものとなります。
Logfile of HijackThis v1.98.0
Scan saved at 16:00:23, on 2004/08/03
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\PCCIOMON.EXE
C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\PCCPFW.EXE
C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\TMPROXY.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\IMEJPMGR.EXE
C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE

60 ：04/08/03

C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\SYSTEM\LVCOMS.EXE
C:\WINDOWS\SYSTEM\HIDSERV.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAM FILES\ARVEL\クリエーションマウス　コンビ\5.3\MOUSE32A.EXE
C:\WINDOWS\SYSTEM\INTERNST32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\NECTVRC\TVRC.EXE
C:\PROGRAM FILES\VIA TECHNOLOGIES, INC\VIA AUDIO DRIVER SETUP PROGRAM\AUDIODECK\AUDIODECK.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\WINDOWS MEDIA COMPONENTS\ENCODER\WMENCAGT.EXE
C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\PCCGUIDE.EXE
C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\PCCLIENT.EXE
C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\TMOAGENT.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\PCCMAIN.EXE
C:\WINDOWS\ﾃﾞｽｸﾄｯﾌﾟ\新しいフォルダ\HIJACKTHIS.EXE

61 ：04/08/03

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll
O3 - Toolbar: @msdxmLC.dll,-1@1041,ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [MSPCLOCK] rundll32.exe /N streamci,StreamingDeviceSetup {97ebaacc-95bd-11d0-a3ea-00a0c9223196},{53172480-4791-11D0-A5D6-28DB04C10000},{53172480-4791-11D0-A5D6-28DB04C10000}
O4 - HKLM\..\Run: [MSPQM] rundll32.exe /N streamci,StreamingDeviceSetup {DDF4358E-BB2C-11D0-A42F-00A0C9223196},{97EBAACB-95BD-11D0-A3EA-00A0C9223196},{97EBAACB-95BD-11D0-A3EA-00A0C9223196}
O4 - HKLM\..\Run: [MSKSSRV] rundll32.exe /N streamci,StreamingDeviceSetup {96E080C7-143C-11D1-B40F-00A0C9223196},{3C0D501A-140B-11D1-B40F-00A0C9223196},{3C0D501A-140B-11D1-B40F-00A0C9223196}
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe
O4 - HKLM\..\Run: [Hidserv] Hidserv.exe run
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\Arvel\クリエーションマウス　コンビ\5.3\MOUSE32A.EXE
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\internst32.exe internet.dll,LoadNetworkProfile
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

62 ：04/08/03

O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [PCCIOMON.exe] "C:\Program Files\Trend Micro\Virus Buster 2004\PCCIOMON.exe"
O4 - HKLM\..\RunServices: [PccPfw] C:\Program Files\Trend Micro\Virus Buster 2004\PccPfw.exe
O4 - HKLM\..\RunServices: [tmproxy] C:\Program Files\Trend Micro\Virus Buster 2004\tmproxy.exe
O4 - HKCU\..\Run: [NEPGRsvReScheduler] C:\Program Files\NEC\SmartVision\NEPGRsvReSche.exe
O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
O4 - Startup: SmartVisionリモコン.lnk
O4 - Startup: AudioDeck.lnk = C:\Program Files\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
O4 - Startup: Encoder Agent.lnk = C:\Program Files\Windows Media Components\Encoder\WMENCAGT.EXE
O4 - Startup: Startup.lnk = C:\No regist Files\StartupEX\Startup.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O21 - SSODL: AUHook - {BCBCD383-3E06-11D3-91A9-00C04F68105C} - C:\WINDOWS\SYSTEM\AUHOOK.DLL
以上です。OSは先のとおりMeです。
症状はホームページがwww.selfsearch.comに指定されてしまい、
ステータスバーにはDoneと表示され、全てのサイトが信頼済みとなってしまいます。
また、数分おきに変なサイトが開き、サイト上のリンク先がmoreporn.biz/new/index.phpと一部がなってしまいます。
たとえば>>57で書いてあるURLのリンクもmoreporn.bizとなってしまっています。
VB,Spybot,Ad-aware,CWShredderは既に実行済みで、問題は解決しません。
現在は、VBの設定で2ch以外のサイトへのアクセスを停止して対処していますが、緊急的なものに過ぎません。
自己責任でやりますので、何方か宜しくお願いいたします。

63 ：04/08/03

誘導されてきましたのでお願いします。
●CWShredderを使用しましたがCoolWWWSearchというのが一時的には消えますが再起動すると元に戻ります
●ノートンでBackdoor.Agent.Bの感染警告が常に表示されます。しかしスキャンすると異常は出ません。
以下ログです。
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
C:\Program Files\Intel\Intel Application Accelerator\iaanotif.exe
C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\DSentry.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Dell\Media Experience\PCMService.exe

64 ：04/08/03

C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\hh64orPE.exe
C:\WINDOWS\System32\pjjkvkt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\winmm64.exe
C:\Documents and Settings\kim\Application Data\sacb.exe
C:\WINDOWS\System32\soq.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Program Files\Intel\Intel Application Accelerator\iaantmon.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\kim\デスクトップ\Hijackthis\HijackThis.exe
O2 - BHO: twaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IDN Helper Object - {118CE65F-5D86-4AEA-A9BD-94F92B89119F} - C:\WINDOWS\DOWNLO~1\CNSMIN~1.DLL (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {6DF96C7E-CC6F-0AB8-D570-17550FD12918} - C:\WINDOWS\System32\qsbl.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: ICOO Loader BHO - {B9D90B27-AD4A-413a-88CB-3E6DDC10DC2D} - C:\WINDOWS\msopt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

65 ：04/08/03

O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

66 ：04/08/03

O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Application Accelerator\iaanotif.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\Media Experience\PCMService.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [hh64orPE] C:\WINDOWS\system32\hh64orPE.exe
O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\olecom32.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [phkkidnvqipup] C:\WINDOWS\System32\pjjkvkt.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpywareGuard] C:\WINDOWS\system32\winmm64.exe
O4 - HKCU\..\Run: [hh64orPE] C:\WINDOWS\system32\hh64orPE.exe
O4 - HKCU\..\Run: [Eheu] C:\Documents and Settings\kim\Application Data\sacb.exe
O4 - HKCU\..\Run: [Nlbof] C:\WINDOWS\System32\soq.exe

67 ：04/08/03

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {2C079F28-EE92-4700-A44B-AF5FA285FCCA} (HanGamePluginJP16 Class) - http://down.hangame.co.jp/jp/dist/hgstart/HanGamePluginJP16.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/29258cd32e922638e206/netzip/RdxIE601_ja.cab
O16 - DPF: {924DDE3B-68F6-49E8-B469-33FB198EDD73} (SagaLauncher Class) - http://www.hangame.co.jp/publish/bd/HgBD.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {B74F5519-5893-4F7F-974D-96E105A3C3A8} (KingDomLauncher Class) - http://www.hangame.co.jp/publish/do/HgDO.cab
O16 - DPF: {E549AC3F-9A90-4EBF-AF69-8B8CC0954DB2} (ToonsXYahooJapan Control) - http://comics.yahoo.co.jp/component/ToonsXYahooJapan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{239347D8-CEC9-490C-B6C8-85B4944CCF4E}: NameServer = 203.139.160.73,203.139.161.39
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll
O20 - AppInit_DLLs: C:\WINDOWS\System32\hlpcdm.dll

68 ：04/08/03

プログラムの追加と削除には特に怪しいものはありませんが。
気になるのが一つ、Search Assistant Uninstallというやつです。
鑑定お願いします

69 ：04/08/03

まず最初に>>59-62さん
えーと、向こうで「ログおかしくない？」って言った者ですが
向こうのログと比較して、016がこっちでは新しく現れてますよね。
それから、「全てのサイトが信頼済みとなってしまいます」なのに、
HijackThisに全く出てきていないのも不思議ですよね。
（HijackThisには信頼済サイトになっているものはログに出てきます）
向こうで指示されたCWS関連のエントリは、削除したが復活したのでしょうか？
それとも、削除していないのでしょうか？
HijackThisにこの辺の矛盾があるので、向こうで「おかしくない？」と言っていたのですが。
最初に、まずWindowsUpdateをやって下さい。おそらくやっていないはずです。
>MSIE: Internet Explorer v5.50 (5.50.4134.0100)
次に、このページを参考にして、ウィルスバスター2004が、最新のパターンファイル、
検索エンジンの状態になっているかを確認して下さい。もしなってなければアップデートして下さい。
ttp://www.trendmicro.co.jp/support/index.asp
確信がある訳ではないですが、どうもウィルスのように思われる怪しいエントリーが見受けられます。
アップデートで最新の定義になったら、全てのファイルに対してもう一度ウィルススキャンをかけてみて下さい。
一応その段階で、HijackThisを取らずに、先に状況報告を下さい。（ウィルスが検知されたかどうか、など）

70 ：04/08/03

失礼、訂正です
>向こうで指示されたCWS関連のエントリは、削除したが復活したのでしょうか？
>それとも、削除していないのでしょうか？
削除をFixに置き換えてください。Fixしたのに戻ったのでしょうか？それともFixしてないのでしょうか？

71 ：04/08/03

あと、>>59-62さんの場合は「****.biz」に飛ばされるという事なので
http://higaitaisaku.web.infoseek.co.jp/removesearchbiz.html
ここを参照してみてください。これの亜種の可能性があります。
（このスパイウェアの場合は、HijackThisのログに出てきません）

72 ：04/08/03

続いて>>63-68さん
まず、CnsMinが入っている状態なので、
コントロールパネルのアプリケーションの削除から、
「Jword」などのプログラムがあった場合にはこれを削除して下さい。
CnsMinの除去方法 （ここを参考に）
ttp://higaitaisaku.web.infoseek.co.jp/removecnsmin.html
>>68の「Search Assistant Uninstall」は、下を参照して、
症状が当てはまらない場合には同じくコントロールパネルから削除して下さい。
（症状が当てはまる場合には、アンインストールしないで下さい）
ttp://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=217
次に、本来Spybotで検出されるはずのrelated.htmが残っている状態です。
なので、Spybotの「製品の除外」を見て、全てチェックが入っていない事を
確認して下さい（チェックが入っている場合は、チェックマークを外してください）。
また、スキャンする時に「全てのファイルをスキャン」で再度やってみて下さい。

73 ：04/08/03

それから、>>59-62さん、>>63-68さんお二人ともですが
ttp://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=226
このウィルスに感染していると思われます。
まずアンチウィルスソフトの定義・プログラムが最新かどうかを確認してみて、
最新でない場合にはアップデートして下さい。
その上で、全てのファイルを再度スキャンしてみてください。
駆除方法は、上記ページと、各アンチウィルスベンダーのデータベースを参照。

74 ：04/08/03

>>59-62さん
向こうで、他の方からあなたにこういうアドバイスが出ていますので、
併せて確認してみて下さい。
http://pc6.2ch.net/test/read.cgi/pcqa/1091090092/927

75 ：04/08/03

>>69さん
有難う御座います。ご報告いたします。
WindowsUpdate:全て完了いたしました
ウイルスバスター：最新版のようです。
検査の結果：問題はありませんでした。
(但し数回リアルタイム検索状態でウイルスが発見、隔離されているようです)
＞向こうのログと比較して、016がこっちでは新しく現れてますよね。
ここに張りましたログは16時頃に検索した最新のものだったためと思われます。
＞それから、「全てのサイトが信頼済みとなってしまいます」なのに、
＞HijackThisに全く出てきていないのも不思議ですよね。
＞（HijackThisには信頼済サイトになっているものはログに出てきます）
それは私にはなんとも。。。不可解なことだというのは分かりましたが。。。
＞向こうで指示されたCWS関連のエントリは、削除したが復活したのでしょうか？
＞それとも、削除していないのでしょうか？
削除しましたが復活しています。
また、ウイルスの亜種の件ですが、最初の確認の際systemという項目がなかったため
これではないと思います。
>>74さん
ご報告有難う御座います。ただ今確認中です。

76 ：04/08/03

>>75
リアルタイム検索で隔離されているウィルスを、駆除してみて下さい。
（隔離＝メイン実行ファイルだけを別の場所に置いている状態なので、
当然レジストリその他は、全く修復されない状態のままです）
ウィルスバスターは良く知らないのですが、もしリアルタイム駆除が
可能ならば、リアルタイム駆除に切り替えた方が良いかと思います。
あとトレンドマイクロのページには、「ウィルスデータベース」があるはずですから、
検出されたウィルス名で検索して、きちんと駆除できているかどうかを手動で
確認してみると良いと思います。
ウィルスの亜種の件ですが、↑で駆除した後もまだ症状が残っているなら、
上で紹介したページの手法を実際に一度試してみて下さい。
亜種の可能性があるとは、「必ずしもsystemの項目であるとは限らない」という事です。
別のファイル名にして、駆除されるのを防ごうとしている可能性は考慮に入れましょう。
大手術で切る場所はできるだけ少なくするために、まずは上のようにやってみましょう。
その後、まだ直らないようならば再度HijackThisを取ってみて、全部貼って下さい。

77 ：04/08/03

遅れてすみません。システムがかなり不安定になってきてエラーがでてばっかりだったので。。。
駆除はできないようです。ファイルの削除は何度かしましたが、復活してしまいます。
亜種の件ですが感染したCLSIDがわからないのですが。。。もしかしてsystem以外の項目のCLSIDのことですか？
発見されたウイルスは以下のとおりです。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_DLOADER.F
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_BLAZEFIND.A

78 ：04/08/03

向こうのスレッドの
ttp://pc6.2ch.net/test/read.cgi/pcqa/1091090092/944-947
これを考え合わせると、以下のエントリをHijackThisでFixしてみてください
（Regeditで消すのも同じ事ですが、こっちならばやりなおせるので）。
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
まずこれをFixしてみて、再起動で症状が改善しているかどうかをやってみて下さい。

79 ：04/08/03

>>77の２つはこれですね
PurityScan
http://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=206
WindowsSA
http://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=137
まず、ここの内容を読んでおいて下さい。
トレンドマイクロのページで、「レジストリエディタ（Regedit）で削除して下さい」というのは、
HijackThisでは04のエントリーになります。
ウィルスとして検出されたファイル名をメモに取って、そのファイル名と同じエントリーが
あるものを全てFixしてみて下さい。

80 ：04/08/03

大変遅くなりました。
>>78のFixは完了しましたが、問題は解決しませんでした。。。
あと>>79のリンク先が先にいったとおりmoreporn.bizに変わってしまい分からないので、
お手数ですが、次回返信時にtp://〜といった形で書いてもらえますでしょうか？
>>79のFixはこれから試してみます。

81 ：04/08/03

連書き申し訳ありません。
>>79をHijackThisで探してみましたが、ウイルスとして検出されたファイル名に
該当するエントリーは発見できませんでした。。。

82 ：04/08/03

>>81
ウィルスとして検出されたファイルは、既に削除済ですか？まだ残っていますか？

83 ：04/08/03

既に削除しています。
なお、現在のところ、リアルタイム検索で発見には至っていません。

84 ：04/08/03

IEを立ち上げたときに青い画面が表示されます。
Detected SPYware! System error #384とかいてあります。
お願いします。
Logfile of HijackThis v1.98.0
Scan saved at 21:58:43, on 2004/08/03
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAM FILES\FUJITSU\FUJITSU QUICK TOUCH\QUICKTOUCH.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\FUJITSU\BTNHND\BTNHND.EXE

85 ：04/08/03

C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\CTFMON.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAM FILES\DI\HATCHINSIDE\HATCHINSIDE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\ﾃﾞｽｸﾄｯﾌﾟ\HIJACKTHIS\HIJACKTHIS.EXE
C:\WINDOWS\SYSTEM\IMEJPMGR.EXE
C:\WINDOWS\ﾃﾞｽｸﾄｯﾌﾟ\BEGINNERTOOL 121\BEGINNERTOOL 121.EXE
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\YAHOO!\COMPAN~1\YCOMP5~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll (file missing)
O2 - BHO: (no name) - {3BFF365D-E942-2EE5-8753-60550DA7291F} - C:\WINDOWS\SYSTEM\YJDIENFW.DLL (file missing)
O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Yahoo!ツールバー - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\ycomp5_3_15_0.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [PCTVOICE] pctvoice.exe
O4 - HKLM\..\Run: [FMVSCAN] c:\fjuty\fmvscan\fmvscan.exe

86 ：04/08/03

O4 - HKLM\..\Run: [Alogserv] C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe
O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\Program Files\Fujitsu\Fujitsu Quick Touch\QuickTouch.exe
O4 - HKLM\..\Run: [LoadBtnHnd] C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: hatchinside.exe.lnk = C:\Program Files\DI\HatchInside\hatchinside.exe
O4 - Startup: EPSONプリンタウインドウ!3 環境設定(2).lnk = C:\WINDOWS\SYSTEM\E_SRCV02.EXE
O4 - Startup: JSｸｲｯｸｻｰﾁﾌｧｲﾙ 自動更新.LNK = C:\JUST\JSLIB32\JSQSF32.EXE
O4 - Startup: JSｸｲｯｸﾗﾝﾁ.LNK = C:\JUST\JSLIB32\JSQLNCH.EXE
O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O8 - Extra context menu item: &Google Search - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR3.DLL/cmsearch.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR3.DLL/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR3.DLL/cmsimilar.html

87 ：04/08/03

O8 - Extra context menu item: Backward &Links - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR3.DLL/cmbacklinks.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: Yahoo! メッセンジャ− - {CEBF73C0-BA2E-11d4-A73A-00508B33FB82} - C:\PROGRAM FILES\YAHOO!J\MESSENGER\YPAGERJ.EXE
O9 - Extra 'Tools' menuitem: Yahoo! メッセンジャ− - {CEBF73C0-BA2E-11d4-A73A-00508B33FB82} - C:\PROGRAM FILES\YAHOO!J\MESSENGER\YPAGERJ.EXE
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O16 - DPF: {8123E390-5EF7-11D5-A72E-006097BFA1AC} (EPSON Driver Auto-Install Control Class) - http://www.i-love-epson.co.jp/support/selfsetup/prg/estdinst.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/jp/win/QuickTimeInstaller.exe
O16 - DPF: {B67E0278-CD82-4CCA-AD9D-C1FBF538774A} (XPink.XPinkCtl) - http://cc.st82.arena.ne.jp/syojo/XPink.CAB

88 ：04/08/03

O16 - DPF: {B15108AA-D8D0-480D-B535-07E18D6549A8} (XBurger.XBurgerCtl) - http://www.eromax.com/cab/XBurger.CAB
O16 - DPF: {69A4F9FF-E915-11D5-A9F1-009099104002} (XDialer Class) - http://www.slashpink.net/new_03/158/XDialer2.CAB
O16 - DPF: {4BF9BC08-8571-4E2B-AECF-EC8C9E287C04} (DialerX Control) - http://www.asia-telemedia.com/dialer/0058/DialerX.cab
O16 - DPF: Yahoo! Chat JP 2 - http://cs.chat.yahoo.co.jp/c302/chat.cab
O16 - DPF: {DAE3A970-40F5-11D4-9E73-0030430005BE} (AutoConnect Class) - http://home.att.ne.jp/alpha/wata/cra/b/eConnect.dll
O16 - DPF: {00001007-B15C-11D4-97A4-0050BF0FBE67} (NetmarbleJapanStarter Class) - http://www.netmarble.ne.jp/game/NMStarter_JPN.cab
O16 - DPF: {4085F8D0-D76A-4B1D-A82E-D580BDF14FD8} (HanGamePluginJP12 Class) - http://www.hangame.co.jp/gamenc/HanGamePluginJP12.cab
O16 - DPF: {29F5DFC6-6A4B-47DB-BCF4-5A74F7CBFF43} (HanGamePluginJP13 Class) - http://www.hangame.co.jp/gamenc/HanGamePluginJP13.cab
O16 - DPF: {9AB3A076-8870-4D98-BD2A-01BD1634C74C} (zxc) - http://www.2233.tv/module/zxc.cab
O16 - DPF: {E8946F74-DAF3-4D7F-8988-A54E380D8D89} (sub2tv コントロール) - http://www.2233.tv/module/subocx.cab
O16 - DPF: {A909CE70-E483-4BD2-848C-B1842508760E} (MuLauncher Class) - http://www.hangame.co.jp/gamenc/HanGamePluginJP13.cab
O16 - DPF: {1C9D421B-ACBC-48BB-9CED-51368BC1CE31} (HgArcadePluginJP3 Class) - http://battlecart.hangame.co.jp/acgame/HgArcadePluginJP3.cab
O16 - DPF: {79E0C1C0-316D-11D5-A72A-006097BFA1AC} (EPSON Web Printer-SelfTest Control Class) - http://www.i-love-epson.co.jp/support/selftest/inkjet/Prg/ESTPTest.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://lw9fd.law9.hotmail.msn.com/activex/HMAtchmt.ocx

89 ：04/08/03

O16 - DPF: {B469C508-9A75-4A62-BFA9-62802D653A4B} (HanGamePluginJP15 Class) - http://down.hangame.co.jp/jp/dist/hgstart/HanGamePluginJP15.cab
O16 - DPF: {0A7C1A7A-5100-42C9-94A8-F803B2E24CE0} (BaBoo Class) - http://219.101.200.198/H_hangame/HgBaBoo/HgBaBoo.cab
O16 - DPF: {57A3B6F7-E1C0-4A11-B2E5-F3D0DA12E754} (StoneAgeLauncher Class) - http://www.hangame.co.jp/publish/sa/HgSA.cab
O16 - DPF: {2C079F28-EE92-4700-A44B-AF5FA285FCCA} (HanGamePluginJP16 Class) - http://down.hangame.co.jp/jp/dist/hgstart/HanGamePluginJP16.cab
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://C:\foo.mht!http://66.230.145.49/20647/online.chm::/on-line.exe
O16 - DPF: {B74F5519-5893-4F7F-974D-96E105A3C3A8} (KingDomLauncher Class) - http://www.hangame.co.jp/publish/do/HgDO.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (&Yahoo!ツールバー) - http://dl.companion.yahoo.co.jp/dl/toolbar/yiebio4.cab
O16 - DPF: {924DDE3B-68F6-49E8-B469-33FB198EDD73} (SagaLauncher Class) - http://www.hangame.co.jp/publish/bd/HgBD.cab
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.133/dl/ms/x.chm::/load.exe
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {10003000-1000-0000-1000-000000000000} - its:mhtml:file://c:MAIN5774.MHT!http://213.159.118.226/content.php::/x.exe
O18 - Protocol: ndwiat - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\SYSTEM\WIASCR.DLL
O18 - Protocol hijack: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B}

90 ：04/08/03

O18 - Protocol hijack: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\SYSTEM\urlmon.dll
O18 - Protocol: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\SYSTEM\urlmon.dll
O18 - Protocol hijack: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol hijack: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\SYSTEM\urlmon.dll
O18 - Protocol: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\WINDOWS\SYSTEM\urlmon.dll
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - Protocol hijack: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B}
O18 - Protocol: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - Protocol hijack: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6}
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\SYSTEM\ITSS.DLL
O18 - Protocol: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - C:\WINDOWS\SYSTEM\INETCOMM.DLL
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol hijack: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D}
O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
O18 - Protocol: vnd.ms.radio - {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O21 - SSODL: AUHook - {BCBCD383-3E06-11D3-91A9-00C04F68105C} - C:\WINDOWS\SYSTEM\AUHOOK.DLL
O21 - SSODL: System - {F6542A5E-9820-454A-8A9C-BE4662BD4721} - C:\WINDOWS\system32\system32.dll

91 ：04/08/03

>>88も84です。
おねがいします。

92 ：04/08/03

>>84
このファイルがもうないよ、ってのを最初にレジストリから削除してみたら？
O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll (file missing)
O2 - BHO: (no name) - {3BFF365D-E942-2EE5-8753-60550DA7291F} - C:\WINDOWS\SYSTEM\YJDIENFW.DLL (file missing)

93 ：04/08/03

>>91
ウイルスチェックしたか。
それと、ここに貼る前に、エロ助の
テンプレやってからにしろよ
ザッと見ただけでも悲惨な状態だよ。

94 ：04/08/03

>>84-91
今回出ている症状以外にも、多数のスパイウェア感染がありますので、まず
HijackThisで直されるより先に、こちらのスレのテンプレを実行してみて下さい。
エロサイト見たら…助けてください！Part35
http://pc6.2ch.net/test/read.cgi/pcqa/1091090092/
あと、あなたの症状はこちらのページを参考にしてみて下さい。
ttp://higaitaisaku.web.infoseek.co.jp/removereg32.html
>>83さん
以下のエントリをFixしてみて、一度PCを再起動してみて下さい。
その後、再度向こうのスレのテンプレをやってみて下さい。
O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - ttp://www.mt-download.com/MediaTicketsInstaller.cab

95 ：04/08/03

>>84
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
これ、自分で信頼済みに登録したの？
これらのサイトに行ったら、全部勝手に何でもインストールされてしまうよ。
それとソフトを使ってスパイウェアをまず削除する事。

96 ：04/08/03

>>94さん
有難う御座います。
削除した結果右下の「信頼済みサイト」表示が「インターネット」に。
「Done」の表示が「ページが表示されました。」に。
***.bizだったリンクが元に戻りました。
しかし、ホームページの設定だけはなぜか戻りません。
selfsearch.bizのままとなってしまいます。
また、現在でも全体的にシステムが重いような気がします。

97 ：04/08/03

ｷﾀ━━━━━━(ﾟ∀ﾟ)━━━━━━ !!!!!
どうやら、復活しているスパイウェアエントリの根源はこれだったようです。
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe
Gaobotというウィルスとの事です。
トレンドマイクロのデータベースには該当が多すぎてどれか特定できませんでしたが。
ホームページの設定が戻っていないというのは、どこのページに行っても
まだ勝手にselfsearch.bizになってしまう状態という事でしょうか？

98 ：04/08/03

>>97
具体的にいうと新しいウインドウを開いたときなどにabout:blankに設定しても
またselfsearch.bizにアクセスし、設定も戻ってしまっている、ということです。
やたらと新しいウインドウが開くのが遅いので(システム全体が重い)、これと何か関係があるのでしょうか？

99 ：04/08/03

テンプレが再度全て終わっているならば、HijackThisを起動してみて下さい。
まず最初に、>>94でFixしたはずのエントリーが復活しているかいないかを確認して教えて下さい。
>O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\internst32.exe internet.dll,LoadNetworkProfile
次に、この該当ファイルのプロパティを確認してみて下さい。
Windowsと無関係の場合には、これをFixしてみて、再起動して下さい。

100 ：04/08/03

>>88は誰も見てあげないの？まぁこんなに有るんじゃね･･･
日本語ダイアラーとかエロサイト動画とかあるみたい。
O16 - DPF: {B15108AA-D8D0-480D-B535-07E18D6549A8} (XBurger.XBurgerCtl)
O16 - DPF: {69A4F9FF-E915-11D5-A9F1-009099104002} (XDialer Class)
O16 - DPF: {4BF9BC08-8571-4E2B-AECF-EC8C9E287C04} (DialerX Control)
O16 - DPF: {9AB3A076-8870-4D98-BD2A-01BD1634C74C}
O16 - DPF: {E8946F74-DAF3-4D7F-8988-A54E380D8D89}
>89は見てないが
O16 - DPF: {11111111-1111-1111-1111-111111111157}
213.159.117.133はロシアだからこれもそうだろう。

101 ：04/08/04

大変遅くなりました。
>>99さん
有難う御座います。
エントリーの復活は見受けられませんでした。
>O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\internst32.exe internet.dll,LoadNetworkProfile
このファイルをFixし、再起動した結果、ホームページの設定も正常にできるようになりました。
ただ、気になる点がひとつあるのですが、Ad-awareなどで何度検索し、何度削除してもcoolsearch関係のスパイウェアやその他数個のスパイウェアが検出されてしまうのですが、
これは問題ないと割り切ってしまって構わないのでしょうか？
何度もお時間とらせて申し訳ありませんが、宜しくお願いいたします。

102 ：04/08/04

>>101
本当にお疲れ様でした（　・∀・）つ旦ｵﾁｬﾄﾞｿﾞｰ
一応、ゴミ掃除としてこれもFixしておくと良いかもです。
>O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
IEの「ツール」メニューに項目を追加したり、ボタンなどを追加するものなのですが、
既にボタンリンク先プログラムがないようですから。（おそらくテンプレを実行して駆除された残りカスです）
今回大変な思いをしたスパイウェアの再発を予防するために、
ttp://higaitaisaku.web.infoseek.co.jp/menu5.html
ここの「スパイウェア予防アプリケーション」を見て導入しておくと再発はかなりの割合で防げます。
100％スパイウェアを防ぐ事と言うのはスパイウェアは日々どんどん増えているため不可能ですが、
95％ぐらいは予防と定期的な駆除で防ぐ事は可能ですよ。
（今回の>>59さんの場合は、残り5％の極めて例外的なものだったですけれど、これは仕方ないです）
CWShredderや、Ad-aware、Spybotなどで何度も同じスパイウェアが検出される場合は、
セーフモードで試してみると駆除できる事があります。
あと、今回のように、トロイソフトが入り込んでいて、削除してもまた撒き散らす状態になっている
可能性も十分ありえますので、フリーのアンチトロイソフトを併用すると良いかもです。
☆☆トロイの木馬☆☆2台目
http://pc5.2ch.net/test/read.cgi/sec/1087290865/　←このスレあたりを参考に。
それでも再発する場合は、再度またご相談頂ければと思います。

103 ：04/08/04

あ、ごめんなさい。最後にゴミ掃除が残ってますね。
現在問題が全く発生していないようならば、以下のFix済のファイルを
検索して、完全にファイルそのものを削除してしまって下さい。
C:\WINDOWS\SYSTEM\services\2.01.00.dll
C:\WINDOWS\SYSTEM\LVComS.exe
C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
C:\WINDOWS\SYSTEM\internst32.exe
C:\Windows\downloaded Program Filesの中に、今回016エントリで
発見されたプログラムファイルがある可能性がありますので、これも削除。
HijackThisのFixは、あくまでもそのエントリの実行を止めるだけなので、
その原因ファイルそのものはFixしただけでは残ってしまいます。
これがテンプレを先に必ずやって下さいという一番の理由だったりします。

104 ：04/08/04

**回答者向けまとめ**（>>59-62）
C:\WINDOWS\SYSTEM\LVComS.exe　←▲Virus（Gaobot）、CWS.Yexe.2の感染源トロイの疑いあり
C:\WINDOWS\SYSTEM\internst32.exe　←▲selfsearch.bizの原因ファイルの疑いあり
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe
←▲Virus（Gaobot）、CWS.Yexe.2の感染源トロイの疑いあり
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\internst32.exe internet.dll,LoadNetworkProfile
←▲selfsearch.bizの原因ファイルの疑いあり

105 ：04/08/04

>>104　、乙
こんな感じでデータベース化して行くのか。

106 ：04/08/04

>>102-103さん
有難う御座います。Fixは完了しましたが、
C:\WINDOWS\SYSTEM\のservicesフォルダを開こうとすると、
「C:\WINDOWS\SYSTEM\servicesの参照先は現在利用できません。
参照先はこのコンピュータ、ネットワーク、又はホームネットワークの別のコンピュータに存在していた可能性があります。
ディスクが正しく挿入されているか、インターネット又はホームネットワークに接続しているかどうかを確認し、もう一度実行してください。
それでも参照できない場合は、別の場所に移動した可能性があります。」
と表示され、削除を実行することができないのですが、エクスプローラーから隠しフォルダ表示にしても
SYSTEM内にservicesフォルダがないのでこれは無視して構わないんでしょうか？

107 ：04/08/04

今回、>>59さんが感染していたCWS系ハイジャッカーはこれです。
ttp://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=171
したがって、名前を変えて居座っている可能性がありえます。
確認方法は>>74の、向こうのスレで指摘された場所（win.ini）を再度確認してみて下さい。
その後、感染しているようならば駆除方法はここを見てみて下さい。
ttp://higaitaisaku.web.infoseek.co.jp/removekurukuru.html#win9x

108 ：04/08/04

>>104のフィルタを新しく入力すると、>>84-91も同じトロイに感染している事がわかる。
その後再度相談に来てない事から考えると、もしかしたらTrendMicro以外のオンラインスキャンを
試していたら、それがちゃんと事前に駆除できていたのかもしれない。
「必ず３種類（シマンテック・トレンドマイクロ・McAfee）のオンラインスキャンを全て試して下さい」
という指示が本家だと出るのだが、もしかしたらそういう理由なのかな？
たんに>>84-91が面倒くさがってテンプレやってないだけならば論外だが・・・

109 ：04/08/04

>>107さん
win.iniを確認しました。
[windows]
load=
run=
NullPort=None
device=EPSON PM-900C,EPIJNL40,EPUSB1:
と、あちらで指摘されて変更("run="に)した後と変わっていません。
となるとコンピュータ上からは完全に消えたと捉えて構わないのでしょうか？

110 ：04/08/04

>>109
再度HijackThisを取ってみて、>>59-62のログと比較してみて下さい。
特に、02エントリ、04エントリ、15エントリ、16エントリにFixしたもの以外に変化があるかどうかを確認してみて下さい。
（16エントリは、WindowsUpdateした事によって１つ増えていると思います）
特に上のWindowsUpdate以外に新しく増えているエントリがなく、特に現在不具合もないようであれば、
駆除に成功したと思ってよいと思います。

111 ：04/08/04

>>56様
お返事が遅くなり大変申し訳ありません。
ご指摘の二箇所についてですが、まず
C:\WINDOWS\System32\hgchcwii.exe　と
O4 - HKCU\..\Run: [Tars] C:\Documents and Settings\Owner\Application Data\utwb.exe
に関しては、以前ノートンでアドウェアと診断されたものでした。
この二点はセーフモードにて検索→削除しました。
もう一つの、O2 - BHO: (no name) - {4DAA6426-E46D-20CE-8000-64550CD32B4D}- C:\WINDOWS\System32\bilcmavq.dll
については、プロパティでは「不明なアプリケーション」だったのですが、
一応HijackThisにてバックアップを取った上、Fixしました。
結果、当初の相談内容であった履歴上にＮＤｒ(任意の数字とアルファベット).tmp.html.が現れる現象は
止まりました。（ただし相変わらず重たいのは重たいのですが…特に電源を入れてから最初のＩＥ起動が）
まああまり神経質になるのもいけないかもで、しばらく様子を見守ります。
また不具合が出るようでしたらＰＣ初心者板で質問させてもらいます。
今回は本当にありがとうございました。

112 ：04/08/04

>>111
なるほど、とすれば富士通関連のものも、必要ないものは削除してみた方がいいかもしれませんね。
どんなソフトなのかを確かめてみて、必要なければアンインストールなりFixなりしてみて下さい。
>O4 - HKLM\..\Run: [FJUPDNV_Chitose] C:\Program Files\Fujitsu\chitose\chitose.exe
>O4 - Global Startup: ダイヤルアップ チェッカー.lnk = C:\Program Files\ChIntCal\CHINTCAL.EXE
>O4 - Global Startup: 富士通サービスアシスタント.lnk = C:\Program Files\Fujitsu\sa\bin\matcli.exe
もしもコントロールパネルに該当ソフトの名前があるようなら、そちらからアンインストールを先に試した方がいいです。
（たぶん富士通のパソコンにプレインストールされていたソフト類と思われます）
>O16 - DPF: {48B35AC2-CFCE-4DF7-8B39-C3EB6F5DD111} (DreamTechnologies MADO Image Viewer Control) - http://download.sfd.co.jp/mado-book/MADOCMP_24003.CAB
これについても、もし心当たりが全くないのなら、Fixしてしまってよいと思います。
もしかしたら、リソースを食われているせいで体感速度が遅く感じられる可能性もありますので、
必要のないプレインストールソフトをどんどん削除してしまうというのも手です。
（続く）

113 ：04/08/04

>>112の続きです。
あと、アンチウィルスソフトとしてNortonを使ってらっしゃいますので、
それらのインターネットフィルターによって多少速度が下がって感じられる
という部分もあるかも知れません。
ただ、私の意見としては、速度が上がってもフィルターなしの状態にするのは
あまりにもデメリットが大きすぎますので、その分は我慢するのが良いかと思います。
>特に電源を入れてから最初のＩＥ起動
多分、この辺はリソースを食ってしまっているのが直接の原因だと思います。
（全部問題ないソフトでも、色々なものを起動しているとリソース食われますから。）
必要のない常駐プログラムをできるだけ減らすと、かなり改善されるんじゃないかと思いますよ。

114 ：04/08/05

>>110さん
有難う御座います。
確認した結果、問題は見受けられませんでした。
何日も長々とお世話になってしまい、お時間とらせてしまい申し訳ありませんでした。
また、お付き合いいただき有難う御座いました。
また何かあった際にはどうぞ宜しくお願いします。
それでは失礼します。

115 ：04/08/05

>>114
（　・∀・）つ旦ｵﾁｬﾄﾞｿﾞｰ
特に問題が発生してないようなら、>>106で削除できなかった分については
今のところは大丈夫と考えていいと思います。
日々のメンテナンスと、>>102の予防をしっかりやっていれば再発する事は
ほとんどなくなると思います（100％防げる訳ではないですが）。
OSがMeですから、WindowsUpdateの重要な更新は自動的にダウンロードしておいて
インストールするように設定する事が可能な筈なので、そうしておくのを強くお薦めします。
あとは、アンチウィルスソフトやアンチスパイウェアソフトのアップデートがある度に
再度スキャンしてみるとか、初期のうちに発見できると症状が悪化せずに済みます。
HijackThisは開腹手術のようなものなので、できるだけこれのお世話にならないで
治療できる事がベストです。止むを得ない場合にのみ使うという感じですかね。

116 ：04/08/08

v1.98.2が出ますた

117 ：04/08/08

>>116　乙です乙です
http://forums.net-integration.net/index.php?showtopic=20977
下がりすぎてますので上げます

118 ：04/08/09

良スレage

119 ：04/08/09

PCを立ち上げたら、すぐにscrnsize.exeが見つかりません
と表示が出るのです。
ログはこのように出ました。お願いします。
Logfile of HijackThis v1.98.0
Scan saved at 2:51:01, on 2004/08/09
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\carpserv.exe
C:\Program Files\Apoint\Apoint.exe
C:\WINDOWS\System32\ICO.EXE
C:\Program Files\Sony\HotKey Utility\HKserv.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\windows\system32\nscntrl.exe
C:\windows\system32\sxgwholr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\Sony\HotKey Utility\HKWnd.exe
C:\WINDOWS\System32\conime.exe
C:\Documents and Settings\Guest\My Documents\katjusha\Katjusha.exe
C:\Documents and Settings\Guest\My Documents\Hijack This\HijackThis.exe

120 ：04/08/09

O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000001} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {DE614603-6320-4046-A7A7-6A69CEC26F14} - C:\WINDOWS\navpmc\4b_1,0,0,5_navpmc.dll (file missing)
O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {00000000-0000-0000-0000-000000000001} - (no file)
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName

121 ：04/08/09

O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Program Files\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [i-FilterPE] C:\Program Files\Digital Arts\i-FilterPE\IfpeLaunch.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [imjpmig] C:\Program Files\Common Files\Microsoft Shared\IME\IMJP\imjpmig.exe /RemAdvDef /AIMEREG /Migration /SetPreload
O4 - HKLM\..\Run: [nscntrl] c:\windows\system32\nscntrl.exe /noconnect
O4 - HKLM\..\Run: [VAIO Update] C:\Program Files\Sony\VAIO Update\VAIOUpdt.exe -backgroundMode
O4 - HKLM\..\Run: [SXGWHOLR] c:\windows\system32\sxgwholr.exe /install
O4 - HKLM\..\Run: [Scrnsize] c:\windows\system32\scrnsize.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [cpntmgc] c:\windows\wincomp\WINCOMP.EXE

122 ：04/08/09

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Bookshelfで検索(&L) - res://C:\Program Files\Microsoft Reference\Microsoft Bookshelf 3.0\bsdef.dll/#1001
O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.vaio.sony.co.jp/

123 ：04/08/09

ｳﾞｧｲﾗｽ

124 ：04/08/09

鑑定師の人数が少ないから大変だな・・
でも、いい仕事してるよがんばってくれ。

125 ：04/08/09

>>119-122
scrnsize.exeの検索内容
http://oshiete1.goo.ne.jp/kotaeru.php3?q=922705&rev=1
ノートン先生がそのトロイ本体は削除していますが、起動時にそのエントリーを
読み込む設定が残っているので、そのエラーメッセージが出るという訳です。
ただし、トロイにいくつか感染しているようですから、今回同時に直してしまいましょう。
TROJ_DLUCA.M
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_DLUCA.M&VSect=T
「これにより、Windowsの「プログラムの追加と削除」からアンインストールが可能になります。」
との事ですから、まず「プログラムの追加と削除」に不審なものがないかどうか確認してみて、
インストールした覚えの無いプログラムがあったら削除してみて下さい。
次に、以下のエントリをFixして下さい（nscntrlは↑によってエントリから消えていたらOK）
TROJ_DLUCA.M
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_DLUCA.M&VSect=T
>O4 - HKLM\..\Run: [nscntrl] c:\windows\system32\nscntrl.exe /noconnect
TROJ_WINTRIM.E
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?Vname=TROJ_WINTRIM.E
>O4 - HKCU\..\Run: [cpntmgc] c:\windows\wincomp\WINCOMP.EXE
ノートン先生が自動的に取り除いてくれたと思われるもののゴミ掃除です。
感染していたものの内容はリンクを参照。この４つのエントリーをFix。
http://www.symantec.com/region/jp/avcenter/venc/data/adware.safesearch.html
>O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000001} - (no file)
>O3 - Toolbar: (no name) - {00000000-0000-0000-0000-000000000001} - (no file)
http://www.pestpatrol.com/PestInfo/m/magiccontrol.asp
>O2 - BHO: (no name) - {DE614603-6320-4046-A7A7-6A69CEC26F14} - C:\WINDOWS\navpmc\4b_1,0,0,5_navpmc.dll (file missing)
最初に書いたトロイのエントリ（今回の症状の原因はこれ）
>O4 - HKLM\..\Run: [Scrnsize] c:\windows\system32\scrnsize.exe　
（続く）

126 ：04/08/09

>>125の続き
それから、以下のファイルのプロパティを確認してみて下さい。
>O4 - HKLM\..\Run: [SXGWHOLR] c:\windows\system32\sxgwholr.exe /install
何かのインストールプログラムですが、情報がありません。しかし、極めて怪しいです。
プロパティを確認してみて、不審なようならばこのエントリもFix。
ここまでFixが終わったら、一度パソコンを再起動してみて、
再度HijackThisを見て該当Fix箇所が消えているかどうかを確認して下さい。

127 ：04/08/10

エロ助けスレの解析たのんます。

128 ：04/08/10

(´･д･`) ﾔﾀﾞ

129 ：04/08/10

Merijnのサイト繋がらん…

130 ：04/08/10

HijackThis Entry Databaseを使用する時に、
もう少し細かい条件で検索したい場合はこちらをどうぞを選択して
検索条件で登録日時「1ヶ月前まで」を選べばそのサイトで確信が取れた、
最新データを一括して表示させることができます。
解析している人でこの方法を使ってない人は試してみてください。
解析済み登録データを登録する時に便利です。
[ControlPanel] C:\WINDOWS\SYSTEM\internst32.exe internet.dll,LoadNetworkProfile
selfsearch.bizの元凶の可能性があるようです。
情報が少ないために詳細は不明です。
HijackThis Entry Database(念の為にDBのURL)
ttp://higaitaisaku.web.infoseek.co.jp/hjtdatabase.html

131 ：04/08/11

>>129
Merijnサイトはよく攻撃食らうみたいなので（スパイウェア業者の仕業？）
落ちている事がよくあります。>>117あたりからダウンロードすると吉。

132 ：04/08/11

1.98.2(・∀・)ｲｲ!!

133 ：04/08/11

HijackThisのフィルターで使えるものはないかなと色々探していたら、
外国のページでこんなところを発見してしまいました。
HijackThis Log File（英語・オランダ語・ドイツ語なので英語ページで）
http://www.hijackthis.de/index.php?langselect=english
参考として、今までログを貼ってくれた方々のを分析してみました。
（結果が表示されるページは、5日後に自動的に消えるようです）
>>24-28さんの結果
http://www.hijackthis.de/logfiles/8902c9d1542220133ac26df056a28ef2.html
>>35-40さんの結果
http://www.hijackthis.de/logfiles/27aed707b97b9450af67ef4c6484d188.html
>>59-62さんの結果
http://www.hijackthis.de/logfiles/0cef2053de250b1fdb48d1ef8621178f.html
>>63-67さんの結果
http://www.hijackthis.de/logfiles/b27f7cedde94bc362b00bb55d247e89c.html
>>84-90さんの結果
http://www.hijackthis.de/logfiles/b0b3a3a9c7a2d610807febb1adb197ac.html
>>119-122さんの結果
http://www.hijackthis.de/logfiles/ed6bf0cd74161e0b6736f1004c7ba938.html
ここを使う時の問題点としては、「？」項目が比較的多い事ですかね。
特に、Fujitsuのパソコンにバンドルされているプレインストールソフトとかだと、
ほとんどが「？」になってしまいます。
また、015エントリ、016エントリも大半は「？」になっていて、「自分でインストール
した覚えがなかったらFixしてね」という指示になっています。
ただ、その辺を差っぴいてもかなり使えるページなんじゃないかな？と個人的には思います。

134 ：04/08/11

>>133で紹介したページを使う問題点
・いきなりFixをして余計症状を悪化させてしまう人が増えそうな事
・エセ回答者が増えそうな事
（HijackThisは最後の手段ですよ、テンプレやってもダメな場合だけです！）
>>133で紹介したページを使う利点
・質問者が事前にHijackThisログを貼ってみて、自分である程度診断できる事
016エントリについては、>>1のHijackThisデータベースと同時に、
こちらのページで検索してみるとさらに良いかもです。
Hijack This O16 List について
ttp://homepage3.nifty.com/sato_yasu/spy/o16list.html
A＝問題なし、B＝不明、C＝Fix必要なもの
一応>>133-134は有益だと思われる情報なのでageます。

135 ：04/08/12

>>133訂正
（英語・オランダ語・ドイツ語なので英語ページで）
ドイツ語、フランス語、英語ですね。
フォーラムは全てドイツ語。全然何が書いてあるやらさっぱり（；´Д｀）

136 ：04/08/12

乙

137 ：04/08/13

良スレなのにお客さん少ないなぁ〜

138 ：04/08/13

セキュ板はセキュリティ対策についての情報を得る場所だ。
対策を怠った者への治療方法になど何の興味もない。
このスレはそのまま初心者板につくれば良かったのだ。

139 ：04/08/13

>>137
本来、HijackThisを駆使しなきゃ完治しない人＝新しい病気の人か、よっぽどの重病人
で、HijackThisで執刀するお医者さんの腕がバラバラで、めちゃめちゃな指示を出す知ったかぶりさんがいる。
だから、未熟な人でもめちゃめちゃな指示を出さないように、HijackThisでフィルターをかけられるようなものを共有したい
＝スレが立ったきっかけのぞぬフィルターの話、となってこのスレが立った訳で。
ぶっちゃけた話、ぞぬフィルターや>>133のを使えば、質問者がある程度自分で判断できるからそれで直してみる、
それでも直らない場合にはどうぞご相談下さいというスタンスなんですよ。
なので、フィルター類が充実してくれば充実してくるほど、ここのスレで相談してくる患者さんは減るのが本来です。

140 ：04/08/13

>>139
初期の頃と比べてカバーできるエントリは
どの位増えたの？

141 ：04/08/13

>>140
>>133があるから、単純比較はむずいです（>>133が結構な数に対応してるので）
>>133の弱点は、日本のソフトや、015・016エントリが「？（Unknown）」になりやすいので
これからの方向性はその辺のカバーですかねぇ・・・

142 ：04/08/13

>>138
同意。

143 ：04/08/13

まあここに限らずhijackthisでアドバイスしてるのを見ると思うんだが・・・
わけもわからずはいここfixと指図されるままにやってありがとうございました〜と
一見めでたしめでたしに見えるが、結局そういうやつはまた別なのにひっかかるんだろうなあと。
本人は何をどうしたのかろくにわかってないから、後から不具合があってもどうしようもないだろうしね

144 ：04/08/13

エロサイトスレを見てこっちにきました。お願いします。
症状としてはエロスレの19さんと同じです。
Logfile of HijackThis v1.98.0
Scan saved at 23:35:00, on 2004/08/13
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\PROGRAM FILES\COMMON FILES\EPSON\EBAPI\SAGENT2.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\AVSYNMGR.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\VSSTAT.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\VSHWIN32.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\AVCONSOL.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\IMEJPMGR.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\ADAPTEC\DIRECTCD\DIRECTCD.EXE
C:\WINDOWS\LOADQM.EXE

145 ：04/08/13

C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\ALOGSERV.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAM FILES\SONY\VAIO ACTION SETUP\VASERV.EXE
C:\PROGRAM FILES\I-O DATA\CUTE\CUTE.EXE
C:\WINDOWS\ﾃﾞｽｸﾄｯﾌﾟ\HIJACK\HIJACKTHIS.EXE
C:\PROGRAM FILES\LIVE2CH\LIVE2CH.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll
O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: MSN ツールバー - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN TOOLBAR\01.01.1629.0\JA\MSNTB.DLL
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [OmgStartup] C:\Program Files\Common Files\Sony Shared\OpenMG\OmgStartup.exe
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\ADAPTEC\DIRECTCD\DIRECTCD.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe

146 ：04/08/13

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\host32.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [Alogserv] C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
O4 - HKLM\..\RunServices: [McAfeeVirusScanService] C:\Program Files\McAfee\McAfee VirusScan\AVSYNMGR.EXE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
O4 - Startup: VAIO Action Setup (サーバー).lnk
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Startup: EPSONプリンタウインドウ!3 環境設定(2).lnk = C:\WINDOWS\SYSTEM\E_SRCV02.EXE
O4 - Startup: Cute.lnk = C:\Program Files\I-O DATA\Cute\Cute.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

147 ：04/08/13

O15 - Trusted Zone: *.searchmeup.cc
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O16 - DPF: {9E7138EE-4E7B-11D5-94EF-006008A4ED7F} (DialZ Class) - http://www.slashpink.net/new_01/117/DialXX04.CAB
O16 - DPF: {B1564E7A-26BD-4135-88E9-78F44DD4DE68} (XBeat.XBeatCnt) - http://www.narazuke.com/01/XBeat.CAB
O16 - DPF: {748282BD-B965-44D8-896A-9506453F28B2} (XPaco.XPacoCnt) - http://www3.narazuke.com/04/XPaco.CAB
O16 - DPF: {DAE3A970-40F5-11D4-9E73-0030430005BE} (AutoConnect Class) - http://home.att.ne.jp/sun/live/sample/ldc/eConnect.dll
O16 - DPF: {8DCE908E-9E35-11D3-9431-009099104002} (AButton Class) - http://www.ura-no1.com/DialX7.CAB
O16 - DPF: Yahoo! Japan Shogi - http://yog21.yahoo.co.jp/yog/yj/shgm4_x.cab
O16 - DPF: {CE120884-CC9F-4478-A6A4-3A2768438DC8} (XMild.XMildCtl) - http://www.yakiudon.com/02/html/XMild.CAB
O16 - DPF: {18000D07-72C4-11D4-B4BD-004026422A29} (Hot_net Control) - http://www.futomomo.com/netidol/idolhappy/cab/Hot_net.CAB
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab
O16 - DPF: {43A31219-2ED9-4509-97DF-5C03F3286850} (RasActive Control) - http://61.195.173.226/~fuwafuwa/activehhh/rasactive.cab
O16 - DPF: {69A4F9FF-E915-11D5-A9F1-009099104002} (XDialer Class) - http://ura-xxx.com/XDialer2.CAB
O16 - DPF: {A3EE1783-506C-4C2E-84AA-725AC5B3CD79} (XKurumi.XKurumiCtl) - http://210.155.140.39/exe/XKurumi.CAB

148 ：04/08/13

O16 - DPF: Yahoo! Chat JP 2 - http://cs.chat.yahoo.co.jp/c302/chat.cab
O16 - DPF: Yahoo! Japan Bloxi - http://yog19.yahoo.co.jp/yog/yj/blm5_x.cab
O16 - DPF: Yahoo! Japan Blackjack - http://yog12.yahoo.co.jp/yog/yj/jm1_x.cab
O16 - DPF: {759F9382-089B-4170-8B71-EEDFD932E19E} (XDialK2 Class) - http://homepage1.nifty.com/deep/DialK2.CAB
O16 - DPF: {B15108AA-D8D0-480D-B535-07E18D6549A8} (XBurger.XBurgerCtl) - http://www.eromax.com/cab/XBurger.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (ｳｲﾙｽﾊﾞｽﾀｰ On-Line Scan) - http://a840.g.akamai.net/7/840/537/2004052701/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {D6BD21B2-32FD-4A56-AE46-FBA65EABB3A7} (XEng007.XEng007Ctl) - http://cutygirls.net/pink/007/XEng007.CAB
O16 - DPF: {7BEAC808-D2BF-4B4B-9E14-A403477A669C} (XEng006.XEng006Ctl) - http://iii.tv/pink/006/XEng006.CAB
O16 - DPF: {4A88CB42-BBFE-496A-884F-98E8AC316292} (YJInstStarter Control) - http://dl.msg.yahoo.co.jp/pgdownload/yjinst.cab
O16 - DPF: {C7173F75-4426-4B86-B5F4-BA500BE66FE0} (ChainCast VMR Client Proxy) - http://sports.1242.com/chaincast/ccpm_0221.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/23dbb8dc8952c5a71d16/netzip/RdxIE601_ja.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://cs.chat.yahoo.co.jp/v45/yacscom.cab
O16 - DPF: Yahoo! Japan Poker - http://yog16.yahoo.co.jp/yog/yj/pm6_x.cab
O16 - DPF: {2C079F28-EE92-4700-A44B-AF5FA285FCCA} (HanGamePluginJP16 Class) - http://down.hangame.co.jp/jp/dist/hgstart/HanGamePluginJP16.cab
O16 - DPF: Yahoo! Chat JP - http://cs1.chat.yahoo.co.jp/c214/chat.cab
O21 - SSODL: AUHook - {BCBCD383-3E06-11D3-91A9-00C04F68105C} - C:\WINDOWS\SYSTEM\AUHOOK.DLL

149 ：04/08/13

よろしくお願いします。

150 ：04/08/14

>>144-148
すんません、素朴な疑問なんですが
コントロールパネルの「アプリケーションの追加と削除」にいつの間にか
加わっているものはないですか？
トレンドマイクロのオンラインスキャンをやった形跡はあるのですが、
そこで検出されたものはちゃんと駆除しましたか？
Spybotは入っているようなんですが、そこで検出されたものは駆除しましたか？
Ad-awareSEや、CWShredderは試してみましたか？
エロサイトテンプレをやったにしては、エントリが非常に悲惨な状態過ぎるのですが・・・
Fix指示を出す前に、その確認を先にさせて下さい。やってなければ、先にそれをやって下さい。

151 ：04/08/14

悲惨ですか。そんな感じはしたのですが…
どれを開いてもアイコンが出てこなく、作業が出来ません。
スキャンではウィルスは出てきませんでした。
spybotでcoolWebsearchはでたのですが、削除しようとすると、
停止してしまう状況です。
すいませんが、まずどこからはじめたらいいか教えてください。

152 ：04/08/14

>>151
アイコンが出てこないとは、具体的にどの作業の事ですか？
向こうの19さんは、「コントロールパネルが出てこない」と書いていますが。
作業する順番としては、ここの「スパイウェア除去ウィザード」に沿って
順番にやっていってみて下さい。
ttp://higaitaisaku.web.infoseek.co.jp/removewz01.html

153 ：04/08/14

>>152
ありがとうございます。
どのフォルダを開いても、中身のファイルがアイコンで出ますよね？
同様にコントロールパネルを開いても、ウィンドウは出てきても、
真っ白のウィンドウなんです。なので実行できない状況です。

154 ：04/08/14

>>153
あとすみません、素朴な疑問追加。
McAfeeを入れてらっしゃるようですが、これは最新の定義にはできない
古いVirusScanソフトなんでしょうか？

155 ：04/08/14

古いスキャンソフトです。
トレンドマイクロのオンラインスキャンやろうとしたのですが、
スキャン画面がでてこないので…

156 ：04/08/14

（１）CWShredderを実行してみる。
（２）Spybotのアンインストール情報から確認（この段階ではまだスキャンしない）
モード→高度な使い方をクリックして、「アンインストール情報」にチェックを入れる。
その後、「アンインストール情報」を見て、インストールした覚えのないもののファイルパスを
調べて、直接そのアンインストールプログラムを起動してアンインストールしてみる。
（３）IE→インターネットオプション→セキュリティ→信頼済サイトに登録されているものを
一旦全て消す。（多分また復活するとは思いますが一応。）
（４）アンチウィルスソフトの入れ替え（オンラインスキャンもできないのでは話にならないので）
１．さっきのSpybotのアンインストール情報から、McAfeeのアンインストールプログラムの
ファイルパスを確認してアンインストールする。
２．アンチウィルスソフトがない状態では話にならないので、とりあえずフリーのものを入れてみる。
http://www.avast.com/eng/download/programs/avast_4_home_downloa.html
ここから、Japanese Versionをダウンロードして、インストール。
最新の定義にアップデートしたら、全てのファイルをスキャンしてみて下さい。
（５）http://higaitaisaku.web.infoseek.co.jp/removewz09.html
ここからこのウィザードに沿って最後まで実行してみてください。
　※Ad-aware6.0ではなく、Ad-awareSEがリリースされていますので、そちらを使って下さい。
　　既に日本語パッチも公開されていますので、Ad-awareスレを確認の事。使い方は6.0とほぼ同じです。
ウィザードが全部終わった段階で、再度HijackThisを取ってみて、貼ってみて下さい。
作業途中で再起動しない方がいいので、ウィルススキャンを寝ている間にやってみるとかがよいかと。

157 ：04/08/14

補足：Ad-awareSE関連ページ
http://pc6.2ch.net/test/read.cgi/pcqa/1091521211/973

158 ：04/08/14

>>156
ありがとうございます。
ファイル名を指定して実行でCWShredderを実行しました。
Spybotですが、uninstall cmdをファイル名を〜で実行すると、installが実行されてしまいます。

159 ：04/08/14

すいません。McAfeeのインストールです。

160 ：04/08/14

連レス申し訳ないです。
McAfeeについてはわかりました。avastを入れてみます。

161 ：04/08/14

>>158-160
作業が全部終わってからまとめてレスして下さい。
ここはHijackThisスレですし、私はMcAfeeユーザーでもないので、
アンインストールの方法だとかはさっぱりわかりませんから。

162 ：04/08/14

鑑定人さん、エロサイト助け・・スレに出張たのんます。

163 ：04/08/14

>>143（ちょっと亀レスですが）
いきなり最初からHijackThis、Fixして終わり、ってのだとおっしゃる通りでしょうね。
（個人的には、だからいきなりHijackThis指示出す人ってのはヤブ医者だと思ってます）
「テンプレやってなければ先にそれやって」ってのは、そのテンプレをやる間に
アンチウィルスソフト、CWShredder、Spybot、Ad-awareは確実にインストールするので、
万が一他のスパイウェアに感染しても簡単に駆除できるから、という目的もあります。

164 ：04/08/15

たかがスパイウェアごときに何むきにになってんの？

165 ：04/08/15

すいません、取り乱しました。

166 ：04/08/15

>>144さんを待ってる間に、今までの患者さんたちのCLSIDのある問題エントリについて
少しまとめてみました。
CLSIDでスパイウェアを予防するものに、SpywareBlasterというものがあります。
SpywareBlasterについては、詳しくはこのスレで（荒れてますが）
http://pc5.2ch.net/test/read.cgi/sec/1087466411/
また、サイト被害対策の部屋で、このSpywareBlasterにCLSIDを追加する
「CustomBlockingUpdater」というものを提供しています。
で、SpywareBlaster＋CustomBlockingUpdaterで予防できないCLSIDエントリを
以下にピックアップしてみました。
（>>25-28）
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\WINDOWS\EliteBar\EliteBar version 37.dll
（>>35-40）
O2 - BHO: (no name) - {4DAA6426-E46D-20CE-8000-64550CD32B4D}- C:\WINDOWS\System32\bilcmavq.dll
（>>84-90）
O2 - BHO: (no name) - {3BFF365D-E942-2EE5-8753-60550DA7291F} - C:\WINDOWS\SYSTEM\YJDIENFW.DLL (file missing)
O16 - DPF: {E8946F74-DAF3-4D7F-8988-A54E380D8D89} (sub2tv コントロール) - http://www.2233.tv/module/subocx.cab
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://C:\foo.mht!http://66.230.145.49/20647/online.chm::/on-line.exe
（>>144-148）
O16 - DPF: {748282BD-B965-44D8-896A-9506453F28B2} (XPaco.XPacoCnt) - http://www3.narazuke.com/04/XPaco.CAB
逆に言えば、これ以外のエントリはSpywareBlasterと、CustomBlockingUpdaterを入れていれば
しっかりと予防できていたエントリ、という事になります。
また、CustomBlockingUpdaterのアップデートが最近止まっていますが、それを補うために
上に書いたエントリを加えておけば、最新のものに対しても予防可能という事になります。
情報として多少役に立つんじゃないかな？と思いましたので長文カキコ。

167 ：04/08/15

>>166の内容をまとめたものを、SpywareBlaster隔離所スレに書きましたので
ご興味ある方はご自由にどうぞ。
ttp://jbbs.livedoor.com/bbs/read.cgi/computer/15366/1092108107/4
本当は本スレに書きたいとこですが、荒れ過ぎててあっという間に流れそうなので。

168 ：04/08/15

>>166について、誤解があるといけないので補足カキコです。
まず、SpywareBlasterというのはこんなソフトです。
ttp://higaitaisaku.web.infoseek.co.jp/spywareblaster.html
>感染してしまった状態の改善には何の役にも立たないが、これからスパイウェアに感染することを防止する
>というアプリケーションです。
つまり、既に症状が発症してしまっていて、ここに相談している人が入れても何の解決にもなりません。
では、どういう風に役立つのか？
SpywareBlasterを入れている人が、仮に>>59-62さんと同じスパイウェアにかかったとします。
この場合、トロイファイルであるmsxmidiは入ってしまうのですが、
>O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll
>O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - ttp://www.mt-download.com/MediaTicketsInstaller.cab
この２つはSpywareBlasterで対応しており、インストール無効化されるため、トロイが走っていても症状は発生しないという事です。
SpywareBlasterは根本的な解決策にはならないのですが、とりあえず症状が出にくいようにしておいてくれるので、
その後アンチウィルスソフトや、アンチスパイウェアソフトが対応した時に駆除すれば、全く症状に苦しむ事なく駆除できる、というわけです。

169 ：04/08/15

McAfeeや鉄壁は使わない。
これは常識です。

170 ：04/08/15

>>169
「最新の定義にちゃんとアップデートできるアンチウィルスソフトを使う」
こんな常識すらきちんとできていない人が多いんですけど（　´,_ゝ`）
最新の定義にアップデートできるMcAfeeなら、何も入れないよりもずっとマシです。
（このスレでフリーソフトを紹介してるのも、検出力が良くないとは言え何もないよりずっとマシだからです）
「鉄壁」って何？と調べたら、既にサポート終了してるアンチウィルスソフト。それを使わないのは当たり前。

171 ：04/08/15

スパイウェアに感染していたようで、SpybotでCns Minは削除したのですがまだ改善しません。
ウィルスにも感染しているようなのですが、よろしくお願いします。
ノートンでは検出されませんでした。
Logfile of HijackThis v1.98.0
Scan saved at 14:08:54, on 2004/08/15
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

172 ：04/08/15

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\pctspk.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\WINDOWS\System32\DSentry.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\FinePixViewer\QuickDCF.exe
C:\Program Files\AOL 7.0\aoltray.exe
C:\Program Files\Apoint\Apntex.exe
C:\WINDOWS\System32\conime.exe
C:\WINDOWS\System32\wuauclt.exe
E:\HijackThis.exe
　

173 ：04/08/15

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

174 ：04/08/15

O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE
O4 - HKLM\..\Run: [IMJPMIG9.0] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMJP9\IMJPMIG.EXE /Preload /Migration32
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Common Files\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: EPSONプリンタウインドウ!3 環境設定(2).lnk = C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\E_SRCV02.EXE
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: ＡＯＬ 7.0 トレイアイコン.lnk = C:\Program Files\AOL 7.0\aoltray.exe

175 ：04/08/15

O9 - Extra button: リサーチ - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\MSOFFICE\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Yahoo! メッセンジャ− - {CEBF73C0-BA2E-11d4-A73A-00508B33FB82} - C:\PROGRA~1\Yahoo!J\MESSEN~1\YPagerJ.exe
O9 - Extra 'Tools' menuitem: Yahoo! メッセンジャ− - {CEBF73C0-BA2E-11d4-A73A-00508B33FB82} - C:\PROGRA~1\Yahoo!J\MESSEN~1\YPagerJ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {4A88CB42-BBFE-496A-884F-98E8AC316292} (YJInstStarter Control) - http://dl.msg.yahoo.co.jp/pgdownload/yjinst.cab
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
O16 - DPF: {E6B8E23A-7174-42A8-9620-8F4C5415DF2F} (SmartLauncher Control) - http://webprint.i-love-epson.co.jp/mypage/app_pages/s_launch.cab

176 ：04/08/15

以上です、よろしくお願いします。

177 ：04/08/15

鑑定人さん、いつもご苦労様です。
CLSIDのブロックリストにはこんなのもあるようですね。
ttp://www.spywareguide.com/blockfile.php
情報源はこちらです。
ttp://higaitaisaku.web.infoseek.co.jp/cgi-bin/srch.cgi?no=3&word=3131&andor=and&
logs=cbbsdayo3.cgi&PAGE=20&ALL=1
CustomBlockingListにはこんなのも。
ttp://forum.aumha.org/viewtopic.php?t=4945
次も同じ人のレスです。ちゃんとした所のフォーラムに掲載されているのだからリスト自
体も信用できるかと。
ttp://www.wilderssecurity.com/showthread.php?t=36879
僕は詳しいこと分からないので、すいませんけど情報だけ投げちゃいます。
ところで、僕自身は両方とも使ってません。結局のところ「インストールしますか？」に
「いいえ」で答えればCLSIDのブロックも不要だし、そもそもヤバイサイト見る前にJAVA
やActiveXを切ればいいのかと。それでも、ケアレスミスを防ぐためにSpywareBlasterは
利用させてもらってますけれど。

178 ：04/08/15

>>171-176
>ウィルスにも感染しているようなのですが、よろしくお願いします。
>ノートンでは検出されませんでした。
どんな症状なのかもわからないし、ウィルスに感染しているようだという情報は
どこまで信用できるんですかね？
「エロサイト見たら・・・」スレのテンプレはきちんと読みましたか？
テンプレは全て実行しましたか？「エロサイト見たら・・・」スレでは相談しましたか？
>SpybotでCns Minは削除したのですがまだ改善しません。
ここは読みましたか？（テンプレにあるのに読まずに直しちゃったんでしょうけど）
ttp://higaitaisaku.web.infoseek.co.jp/removecnsmin.html
テンプレもきちんと読まず、どんな症状なのかも詳しく書かず、
本来相談すべき「エロサイト見たら・・・」スレに相談もせず、
いきなりこっちに持ってこられても、全然見る気は起きません。あしからず。

179 ：04/08/15

>>177
CLSIDの話は、HijackThis分析で出てきたログからの副産物を、
何か再利用できないかなーというので出してみた話なので、
既存のリストとかはむしろSpywareBlasterスレでやった方がいいかもです。

180 ：04/08/15

PC初心者から誘導されてきました
スパイウェア検索削除ソフトのSpybot1.3に関する質問なんですが
VBouncer というのが検索されたのですが、修正削除にしても
いくつかの問題個所が修正/削除できません
理由がファイルメモリ上あるためです
この問題は再起動後に修正/削除できます
次回システムスタートアップでSpybot-s＆Dを起動しますか？
と出るんですが、再起動しても削除できません
どうすれば良いでしょうか？

181 ：04/08/15

>>180
ここはSpybotの質問スレじゃありません。こちらのテンプレをよく読んで、
わからなければそちらのスレッドで聞いてください。
エロサイト見たら…助けてください！Part37
http://pc6.2ch.net/test/read.cgi/pcqa/1092133896/
誘導されたら、書き込む前にスレタイとか先に見てくれませんかね（　´_ゝ`）

182 ：04/08/15

>>180
パソコン初心者板総合質問スレッドvol.795
http://pc6.2ch.net/test/read.cgi/pcqa/1092492463/635
どのレスで誘導されたのか小一時間（ｒ
マルチポストかつスレ違い

183 ：04/08/15

わりーわりーこのスレに誘導されちゃったのね
正直ｽﾏﾝﾃｯｸ

184 ：04/08/15

なんでSpybotの専用スレもあるというのにこのスレに誘導されるんだ・・・（；´_ゝ`）

185 ：04/08/15

初心者窓口スレ

186 ：04/08/15

これからどんどん馬鹿を送り込んでやるからなｗｗｗｗｗｗｗｗｗっｗ

187 ：04/08/16

あれ？ここの鑑定人さんは優しい人だと思ってたのに
エロ助けスレの糞回答者と同じなのかな？

188 ：04/08/16

あれ？ここの鑑定人さんは優しい人だと思ってたのに
エロ助けスレの糞回答者と同じなのかな？

189 ：04/08/16

鑑定人がやさしいかどうかは知らないが、板立てたやつは馬鹿。
エロサイト見たら…助けてください！からの流れを見てたらわかる。
そろそろ飽きて、投げ出す頃。

190 ：04/08/16

飽きちゃってるのか？

191 ：04/08/16

いや、ここにはスレ建て主の>>1しかいないですから！！！

192 ：04/08/16

いきなりすいません！！エロサイトからきた５９さんと同じ症状状況なんですが。現在どのような状態なのか解析されたく来ました。お手数ですが解析のほどお願いしますｍ
Logfile of HijackThis v1.98.0
Scan saved at 19:24:16, on 2004/08/16
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAM FILES\JUSTSYSTEM\ATOK13\ATOK13MN.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\SERVICES\WMPLAYER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\SONY\HOTKEY UTILITY\HKSERV.EXE
C:\PROGRAM FILES\DRAG'N DROP CD\BINFILES\DRAGDROP.EXE
C:\PROGRAM FILES\BROWSER MOUSE\BROWSER MOUSE\1.0\LWBWHEEL.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\PROGRAM FILES\ELECOM\WHEELUTILITY\ECIUHOOK.EXE
C:\PROGRAM FILES\DAP\DAP.EXE

193 ：04/08/16

C:\PROGRAM FILES\INTERNET OPTIMIZER\OPTIMIZE.EXE
C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAM FILES\MSN APPS\UPDATER\01.02.0002.1001\JA\MSNAPPAU.EXE
C:\PROGRAM FILES\VENTURI2\CONFIGURATOR\VENTCFG.EXE
C:\WINDOWS\SYSTEM32\WINTIME.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\HOST32.EXE
C:\WINDOWS\SYSTEM\CTFMON.EXE
C:\PROGRAM FILES\INTERNET OPTIMIZER\ACTALERT.EXE
C:\PROGRAM FILES\POWERPANEL\PROGRAM\PCFMGR.EXE
C:\PROGRAM FILES\SONY\VAIO ACTION SETUP\VASERV.EXE
C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\VENTURI2\CLIENT\VENTC.EXE
C:\WINDOWS\ﾃﾞｽｸﾄｯﾌﾟ\HIJACKTHIS.EXE
C:\WINDOWS\SYSTEM\PRINTER.EXE
C:\WINDOWS\SYSTEM\INTRON.EXE

194 ：04/08/16

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: DAPBHO Class - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\PROGRAM FILES\DAP\DAPIEBAR.DLL
O2 - BHO: BHObj Class - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\NEM218.DLL
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\NEM219.DLL
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.2001.0001\JA\MSNTB.DLL
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll
O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll
O3 - Toolbar: Simple Speech Web Reader - {77600552-7D4E-4E82-8FCF-92B908D99D7C} - C:\PROGRAM FILES\SONY\SIMPLE SPEECH\SSPEECHBAR.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1041,ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\PROGRAM FILES\DAP\DAPIEBAR.DLL
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.2001.0001\JA\MSNTB.DLL

195 ：04/08/16

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [OmgStartup] C:\Program Files\Common Files\Sony Shared\OpenMG\OmgStartup.exe
O4 - HKLM\..\Run: [AlpsPoint] C:\Progra~1\Apoint\Apoint.exe
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Program Files\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [Drag'n Drop CD] C:\Program Files\Drag'n Drop CD\BinFiles\DragDrop.exe /StartUp
O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [Elecom wheel extention] C:\Program Files\Elecom\WheelUtility\eciuhook.exe
O4 - HKLM\..\Run: [RegShave] C:\Progra~1\REGSHAVE\REGSHAVE.EXE /autorun

196 ：04/08/16

O4 - HKLM\..\Run: [Venturi Configurator] C:\Program Files\Venturi2\Configurator\ventcfg.exe
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\WMPLAYER.EXE
O4 - HKLM\..\Run: [WinTime] C:\WINDOWS\system32\wintime.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\host32.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [MDM7] "C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE"
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\WMPLAYER.EXE
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Startup: PowerPanel.lnk = C:\Program Files\PowerPanel\Program\PcfMgr.exe
O4 - Startup: VAIO Action Setup (サーバー).lnk = C:\Program Files\Sony\VAIO Action Setup\VAServ.exe
O4 - Startup: 紙 2001.lnk = ?

197 ：04/08/16

O4 - Startup: JSｸｲｯｸﾗﾝﾁ.LNK = C:\Program Files\Justsystem\JSLIB32\JSQLNCH.EXE
O4 - Startup: JSｸｲｯｸｻｰﾁﾌｧｲﾙ 自動更新.LNK = C:\Program Files\Justsystem\JSLIB32\JSQSF32.EXE
O4 - Startup: Exif Launcher.lnk = C:\Program Files\FinePixViewer\QuickDCF.exe
O4 - Global Startup: ATOK15環境移行支援ﾂｰﾙ.LNK = C:\Program Files\Justsystem\ATOK15\ATOK15PC.EXE
O4 - Global Startup: DXｲﾝｽﾄｰﾙｳｫｯﾁｬｰ.lnk = C:\Program Files\Aisoft\DxTools\INSTWTCH.EXE
O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O8 - Extra context menu item: Bookshelfで検索(&L) - res://C:\PROGRAM FILES\MICROSOFT REFERENCE\MICROSOFT BOOKSHELF 3.0\BSDEF.DLL/#1001
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O15 - Trusted Zone: *.searchmeup.cc
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.searchbarcash.com

198 ：04/08/16

O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O16 - DPF: {18000D07-72C4-11D4-B4BD-004026422A29} (Hot_net Control) - http://www.futomomo.com/photo/cab/Hot_net2.CAB
O21 - SSODL: AUHook - {BCBCD383-3E06-11D3-91A9-00C04F68105C} - C:\WINDOWS\SYSTEM\AUHOOK.DLL
O21 - SSODL: System - {4A32B3BC-69F6-432F-AA48-7DCEE26E5753} - C:\WINDOWS\system32\system32.dll
このスレの５９さんと同じ症状なんですがホームページがwww.selfsearch.comに
指定されるなどステータスバーがdoneと表示されるリンク先がmoreporn.biz/new
/index.phpと表示されるなど。ほとんど５９さんと同じ状態なんですが心配で一
度みなさまに解析されてからのが確実だと思いレスしました。

199 ：04/08/16

鑑定お願いします。
Logfile of HijackThis v1.98.0
Scan saved at 20:13:21, on 2004/08/16
Platform: Windows XP SP2, v.2149 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2149)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\Program Files\Fujitsu\PCKARTE\PCKTESVC.EXE
C:\Program Files\Fujitsu\sa\api\SBRSVC.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\LTSMMSG.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Fujitsu\IndicatorUtility\IndicatorUty.exe
C:\Program Files\Fujitsu\Fujitsu Quick Touch\QuickTouch.exe
C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe
C:\PROGRA~1\Grisoft\AVG6\avgemc.exe
C:\WINDOWS\system32\ezSP_Px.exe
C:\WINDOWS\system32\ctfmon.exe
D:\バックアップ\常駐ソフト\regprot\regprot.exe

200 ：04/08/16

C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\system32\conime.exe
D:\バックアップ\常駐ソフト\xx\xx.exe
D:\バックアップ\常駐ソフト\twintail2\twintail2.exe
C:\PROGRA~1\Grisoft\AVG6\AVGCC32.EXE
D:\バックアップ\常駐ソフト\DonutP\DonutP.exe
C:\Documents and Settings\Owner\デスクトップ\HijackThis.exe
N3 - Netscape 7: user_pref("browser.startup.homepage", "http://home.netscape.com/ja/"); (C:\Documents and Settings\Owner\Application Data\Mozilla\Profiles\default\y5tfe8wv.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", ""); (C:\Documents and Settings\Owner\Application Data\Mozilla\Profiles\default\y5tfe8wv.slt\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [IndicatorUtility] C:\Program Files\Fujitsu\IndicatorUtility\IndicatorUty.exe
O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\Program Files\Fujitsu\Fujitsu Quick Touch\QuickTouch.exe
O4 - HKLM\..\Run: [LoadBtnHnd] C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe
O4 - HKLM\..\Run: [pifsky] c:\fjuty\pifsky\delfile.vbs c:\fjuty\pifsky\exe run
O4 - HKLM\..\Run: [AVG_CC] C:\Program Files\Grisoft\AVG6\avgcc32.exe /startup
O4 - HKLM\..\Run: [AVG_EMC] C:\PROGRA~1\Grisoft\AVG6\avgemc.exe

201 ：04/08/16

O4 - HKLM\..\Run: [Outpost Firewall] "C:\Program Files\Agnitum\Outpost Firewall 1.0\outpost.exe" /waitservice
O4 - HKLM\..\Run: [imjpmig] C:\Program Files\Common Files\Microsoft Shared\IME\IMJP\imjpmig.exe /RemAdvDef /AIMEREG /Migration /SetPreload
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\system32\ezSP_Px.exe
O4 - HKLM\..\Run: [mp3infp] C:\Program Files\mp3infp\mp3infp_regist.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: regprot.lnk = ?
O4 - Global Startup: xx.lnk = ?
O8 - Extra context menu item: Bookshelfで検索(&L) - res://C:\Program Files\Microsoft Reference\Microsoft Bookshelf 3.0\bsdef.dll/#1001
O8 - Extra context menu item: Irvineで選択範囲をダウンロード - C:\PROGRA~1\IRVINE~1\ie_menu\iemenu3.htm
O8 - Extra context menu item: IrvineへすべてのURLを送る - C:\PROGRA~1\IRVINE~1\ie_menu\iemenu2.htm
O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

202 ：04/08/16

O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin5.dll
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .pic: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin8.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1089893748026
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
以上です。

203 ：04/08/16

>>192-198
（１）WindowsUpdateをして下さい
>Platform: Windows ME (Win9x 4.90.3000)
>MSIE: Internet Explorer v5.50 (5.50.4134.0100)
Meだったら、自動的に重要な更新をインストールする設定にできるはずです。
重要な更新を全てインストールして下さい。
（２）アンチウィルスソフトを入れるか、オンラインスキャンをやって下さい
（３）エロサイト見たら・・・スレのテンプレを全て実行して下さい
エロサイト見たら…助けてください！Part37
http://pc6.2ch.net/test/read.cgi/pcqa/1092133896/1-11
Fixすべき項目があまりにも多すぎるので、まずはソフトに余計なものを
駆除してもらってからにしましょう。それが終わったらもう一度どうぞ。

204 ：04/08/16

鑑定師さんがんばれ！！！

205 ：04/08/16

無駄な貼り付けでスレを喰い潰してるな。思っていたとおりだ。

206 ：04/08/16

>>199-202
えーと、何をして欲しいのかが良くわからないんですけど。
特に何も困ってはいないが、不審な点があったら指摘して下さいって感じですか？
ログを貼りつけた意図がわかりかねるので、返事が来るまで分析結果は保留。

207 ：04/08/16

>>192
RESTOREフォルダで実行されてるプログラムが
限りなく怪しいんだが。

208 ：04/08/16

>>207
回答するなら、怪しいなと思ったらちゃんと調べたら？
http://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=135
どこが怪しいんだよ（　´_ゝ`）　普通のプロセスだよ。
それ以前に、いっぱいトロイとかウィルスとかスパイウェアとか飼いすぎだから>>203。

209 ：04/08/17

>>192
以下の値はCWS.Yexe表しています。
O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\WMPLAYER.EXE
O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\WMPLAYER.EXE
ttp://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=233
を参考にして治療してください。WMPは再インストールした方がいいでしょう。
スタートアップエントリーにCWS(search.biz)の特徴が現れています。
下を参考にして治療しましょう。
O21 - SSODL: System - {4A32B3BC-69F6-432F-AA48-7DCEE26E5753} - C:\WINDOWS\system32\system32.dll
ttp://higaitaisaku.web.infoseek.co.jp/removesearchbiz.html
以下の値はカンですが、selfsearchの可能性が高いです。
Fixしたのち、host32.exeをごみ箱に移してください。
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\host32.exe internat.dll,LoadKeyboardProfile
以下は個人的にFixしたほうがいい項目です。
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: DAPBHO Class - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\PROGRAM FILES\DAP\DAPIEBAR.DLL
O2 - BHO: BHObj Class - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\NEM218.DLL
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\NEM219.DLL
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\PROGRAM FILES\DAP\DAPIEBAR.DLL
O4 - HKLM\..\Run: [WinTime] C:\WINDOWS\system32\wintime.exe
DAPIEBAR.DLL、NEM218.DLL、NEM219.DLLは再起動の後ゴミ箱に移して、
もう一度Ad-Awareを実行してごみ掃除をしてください。

210 ：04/08/17

>>192
O15 - Trusted Zone:の項目はコントロールパネル、
インターネットオプションの信頼済みサイトの項目です。
危険なものが多いです。Fixせず、インターネットオプションから一旦クリアしましょう。
参考までに、
O15 - Trusted Zone: *.xxxtoolbar.com = xxxtoolbar
O15 - Trusted Zone: *.flingstone.com = Bridge
O15 - Trusted Zone: *.mt-download.com = NAVSCANNER32
O15 - Trusted Zone: *.blazefind.com = BlazeFind/Search Assistant
O15 - Trusted Zone: *.clickspring.net = PurityScan / ClickSpring
BlazeFind/Search Assistant(参考に)
ttp://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=137
PurityScan / ClickSpring(参考に)
ttp://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=206

211 ：04/08/17

>>209-210
>O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\host32.exe internat.dll,LoadKeyboardProfile
このエントリですが、>>99とファイル名だけが異なるものと思われます。
>>99の時の相談者と症状が全く同じですので、おそらく原因ファイルと見ていいんじゃないかと。
>O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
>O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
これはRelatedだと思うのですが。（といっても確かSpybotで駆除できたと思いますが）
>O16 - DPF: {18000D07-72C4-11D4-B4BD-004026422A29} (Hot_net Control) - http://www.futomomo.com/photo/cab/Hot_net2.CAB
日本語ダイアラ（http://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=111）だと思います。
あと、>>209-210さんはかなり熟練した回答者さんとお見受けしましたので、質問させて下さい。
>O2 - BHO: DAPBHO Class - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\PROGRAM FILES\DAP\DAPIEBAR.DLL
>O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\PROGRAM FILES\DAP\DAPIEBAR.DLL
>O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
>O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
この辺のDAP関連のものについて、調べても「怪しいけど黒とははっきり言えない灰色」みたいな感じだったのですが、
もし何かDAP関連情報などを何かお持ちでしたら、後学のために教えていただいてもよろしいでしょうか？

212 ：04/08/17

>>211
DAPについてですが、DAPマネージャーかも知れません。
その場合ははっきりいって白ですが、
問題がおきたら再インストールで解決できるタイプのものなので、一応Fix指示をしておきました。
言い訳がましいのですが、新しいソフトなどのエントリーは分からないことが多いいです。
その場合は大抵患者の方がきずくはずなので(エラー等)、
自分がFixさせた項目を覚えておき
患者がその主旨をもう一度伝えきた場合に指示しなおせばいいので、
一応削っておきました。灰色のものは黒の場合にシャレにならないので、
こういった指示をしたのですが少し横暴に写ったかも知れません・・・。
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
これは、確かAlexaというやつで害はありません。
Ad-Awareなんかでも簡単に拾えます。
O16 - DPF: {18000D07-72C4-11D4-B4BD-004026422A29} (Hot_net Control) - http://www.futomomo.com/photo/cab/Hot_net2.CAB
見落としてました・・・。URL見るとモロですね・・・。

213 ：04/08/17

>>212の回答を見る感じだと、「熟練しているようだ」と思ったのはやっぱり勘違いだったのかな？という感じなんですけど。
（02・03エントリのFix指示は出すのに、何で08・09は残しておくのかな？と疑問に思ったので>>211で質問したのですが）
以下、>>203の指示を出すに至るまでの俺の経緯説明
>>192-196の人を>>133のフィルタで通した結果
http://www.hijackthis.de/logfiles/27aed707b97b9450af67ef4c6484d188.html
ここを見ても02･03のDAPエントリは「Safe」になっています…が、
09エントリでよくわからないexeファイルへのボタンが貼られていて、
本当に安全なエントリなのか？と首をかしげます。で、さらに調べてみる事に。
まずDAPはこのダウンロードマネージャーのようです（下のcomputercopsの情報から判明）。
http://www.speedbit.com/DAP7/DefaultT.asp
各項目を調べた結果。
>>O2 - BHO: DAPBHO Class - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\PROGRAM FILES\DAP\DAPIEBAR.DLL
http://computercops.biz/clsid-55.html　→　O BHO
>>O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\PROGRAM FILES\DAP\DAPIEBAR.DLL
http://computercops.biz/clsid-792.html　→　L TB
>>>O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
http://computercops.biz/clsid-795.html　→　X TB
http://www.pestpatrol.com/pestinfo/p/powerstrip.asp
なんとなくですが、J-wordと共通点（スパイウェアを機能の一部に組み込んでいるソフト）という印象を受けます。
黒と言える確証はないけど、かなーりうさんくさい。でも確実に黒ではないのでFix指示を今の段階ではまだ出さない方がよさそうだな。
（続く）

214 ：04/08/17

（>>213の続き）
エロサイトテンプレをやるなら、自分に覚えが無ければコントロールパネルからDAP関連のものを最初にアンインストールするはずだな。
アンチウィルスソフトも、アンチスパイウェアソフトもやった形跡が全くないな。
Axela-Relatedやら既出のアンチスパイウェアソフトで駆除できるエントリもあるな。
>>59さんと同じ症状なら、多分テンプレを単純にやっただけでは解決しない可能性が高いけど、
余計なFix指示は出さなくてよくなるから、こちらにとっても、Fix作業をする質問者にとっても、その方が楽だな。
というわけで>>203＝「エロサイトのテンプレやれ」という指示を出す。
＃回答者やる方は、きちんとわからない項目は全部調べてからFix指示を出しましょうよ。
＃エラーが出るかもしれないとわかっていて、また相談に来たらその時直せばいいやってのは論外ですよ。

215 ：04/08/17

堅いんだね。

216 ：04/08/18

>>214
テンプレやっても、もう殆ど効果のない項目ばかりに見えるが・・・。
それよりも、WMPの再インストールを急がせた方が、
悪化させないためにもいいような気がするよ。

217 ：04/08/18

>>216
このエントリは、WMP書き換えるウィルスじゃなくて、ただのダミーファイルだよ。
>O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\WMPLAYER.EXE
>O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\WMPLAYER.EXE
本当のWMPファイルのパスは、これのはず（人によって多少違うかもしれないが）
C:\Program Files\Windows Media Player\wmplayer.exe
>>99の時は、ファイル名が「internst32.exe」といういかにもシステムファイルっぽいダミーになっているだけ。
おそらく今回のWMPLAYER.EXEと中身は同じはず。エントリの内容も全く同じだし。
（ぶっちゃけた話、このFix指示と一緒になんでWMPの再インストール薦めてるの？ってのも謎だったんだけど）
テンプレやって効果のない項目ばっかり？嘘言っちゃいけないよ。
>O2 - BHO: BHObj Class - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\NEM218.DLL
>O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\NEM219.DLL
>O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll
>O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
>O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
少なくともこの辺は、SpybotとかAd-awareで検出・駆除できる項目のはずだよ。まだあるかもしれない。
CW.Yexeは、上の[xpsystem]があると駆除しても復活するエントリだから、アンチウィルスソフト次第では除去できるかもしれないなという感じ。
（あるいは、Spybotが確か8/10のアップデートで対応していたから、もうテンプレ作業で駆除できるのかもしれない）

218 ：04/08/18

HijackThis見るやつは結局アホばっか
ttp://higaitaisaku.web.infoseek.co.jp/cgi-bin/cbbs.cgi?mode=all&namber=38640&type=0&space=0&no=0

219 ：04/08/18

>>218
個人情報がだだ漏れですね。
まあ、アホが表面化し易いだけで、出来る人は沢山居ますよ。

220 ：04/08/18

エロサイトスレから、情報部分のみ転載
http://pc6.2ch.net/test/read.cgi/pcqa/1092133896/471-473
症状：オレクシスという広告が出てくる。
CWShredder、Ad-aware、Spybotでも除去できない。
原因と思われるエントリ：
>O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNrd.dll
（参考：http://computercops.biz/clsid-1257.html）
>O4 - HKLM\..\Run: [SysFu32 Windows Updater] sysfu.exe
>O4 - HKLM\..\RunServices: [SysFu32 Windows Updater] sysfu.exe

221 ：04/08/18

エロサイト見たらｽﾚでJAVAｽﾌﾟﾘｸﾄが使えなくてフォルダの中身が表示されないと言っていた者です。
ｽｷｬﾝして見たので解析お願いします。
Logfile of HijackThis v1.98.0
Scan saved at 21:04:41, on 2004/08/18
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\HKEYMAN.EXE
C:\WINDOWS\PCTVOICE.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE

222 ：04/08/18

C:\WINDOWS\SYSTEM\ATI2CWXX.EXE
C:\PROGRAM FILES\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAM FILES\CANON\MULTIPASS4\MPTBOX.EXE
C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAM FILES\PANASONIC\BTNUTIL\ABTNMON.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\SYSTEM\MPS.EXE
C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\RNATHCHK.EXE
C:\PROGRAM FILES\FT6000MS\CONFIG.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\IMEJPMGR.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAM FILES\LIVE2CH\LIVE2CH.EXE
C:\WINDOWS\ﾃﾞｽｸﾄｯﾌﾟ\HIJACKTHIS.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: IDN Helper Object - {118CE65F-5D86-4AEA-A9BD-94F92B89119F} - C:\WINDOWS\DOWNLO~1\CNSMIN~2.DLL (file missing)
O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Hotkey] C:\WINDOWS\SYSTEM\hkeyman.exe
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [PCTVOICE] pctvoice.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe

223 ：04/08/18

O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [mps] C:\WINDOWS\SYSTEM\mps.exe /s
O4 - HKLM\..\Run: [MPTBOX] C:\PROGRA~1\CANON\MULTIP~1\MPTBOX.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKCU\..\Run: [ApplBtn] C:\Program Files\Panasonic\BtnUtil\ABtnMon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Configuration Utility.lnk
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: ブラクラでヤバいでチェック - C:\Program Files\BCP\check.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll

224 ：04/08/18

O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.clickspring.net
O16 - DPF: {B469C508-9A75-4A62-BFA9-62802D653A4B} (HanGamePluginJP15 Class) - http://down.hangame.co.jp/jp/dist/hgstart/HanGamePluginJP15.cab
O16 - DPF: {2C079F28-EE92-4700-A44B-AF5FA285FCCA} (HanGamePluginJP16 Class) - http://down.hangame.co.jp/jp/dist/hgstart/HanGamePluginJP16.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28177.cab
O16 - DPF: Yahoo! JAPAN MahJong Solitaire - http://tmp05.ops.mci.yahoo.co.jp/yog/yj/mjst3_x.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28578.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28578.cab
O16 - DPF: {B74F5519-5893-4F7F-974D-96E105A3C3A8} (KingDomLauncher Class) - http://www.hangame.co.jp/publish/do/HgDO.cab
O16 - DPF: {924DDE3B-68F6-49E8-B469-33FB198EDD73} (SagaLauncher Class) - http://www.hangame.co.jp/publish/bd/HgBD.cab
O21 - SSODL: AUHook - {BCBCD383-3E06-11D3-91A9-00C04F68105C} - C:\WINDOWS\SYSTEM\AUHOOK.DLL
以上です。

225 ：04/08/18

>>221
エロ助の何番のレスがこのスレへの誘導になってるんだか教えてくれよ
その前後のやりとりを見ないといきなりログ貼られてもだわ・・・
それと
150 名前：145 投稿日：04/08/15 01:05 ID:db4A+bCg
アンチウィルスソフトは入ってないので入れてみます。
この件はどうなってるんだ？入れてみたけど出してみたのか？

226 ：04/08/18

>>221-224さん
http://pc6.2ch.net/test/read.cgi/pcqa/1092133896/145　の人ですよね。
あっちでアンチウィルスソフト入れればってアドバイスしてるのは実は私なんですけど。
でも、アンチウィルスソフトを入れた形跡はないですよね。
あと、向こうのテンプレでいくつかソフトが紹介されてますよね。それもやってないですよね。
>>225さんじゃないけど、「え？」って感じですよ。アドバイスされた事はまずやりましょうよ。
予想通りと言うか、ウィルスに感染してますよ。まずはアドバイスされた事をやって下さい。

227 ：04/08/19

>>220
推測で書くのはよくない。ここを見なさい。
下はエロ助スレ411さんの発言からのソース。
オレクシスの広告
ttp://higaitaisaku.web.infoseek.co.jp/cgi-bin/cbbs.cgi?mode=all&namber=39029&type=0&space=0&no=0
この掲示板発言の■39407のかずさんの発言を参考にしてみてください。
下はかずさんの発言のみのURL
ttp://higaitaisaku.web.infoseek.co.jp/cgi-bin/cbbs.cgi?mode=one&namber=39407&type=39029&space=75&no=0

228 ：04/08/19

>>227のデータを参照にして照らし合わせてみると、
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNrd.dll
おれはオレクシスに間違いなさそうです。
これはちょっと違うものの可能性が高そうです。
O4 - HKLM\..\RunOnce: [sysfu32.exe] G:\WINDOWS\system32\sysfu32.exe
O4 - HKLM\..\Run: [SysFu32 Windows Updater] sysfu.exe
O4 - HKLM\..\RunServices: [SysFu32 Windows Updater] sysfu.exe
ソースになるかは分かりませんが・・・・。
ttp://www.google.co.jp/search?q=cache:UTQ1dH5LwrsJ:board.protecus.de/showtopic.php%3Fthreadid%3D10981+SysFu32&hl=ja&inlang=ja
ttp://www.google.co.jp/search?q=cache:OXO9dJtrpSMJ:www.frankn.com/Forum/thread1969.html+SysFu32+Windows+Updater&hl=ja&inlang=ja

229 ：04/08/19

>>227
当然そこを確認した上で書いてますよ。そこを見た上での結論です。
（そこを見て、02エントリをFixしただけでは復活してしまうというのがわかる）
エロサイトスレで相談されていた方は、テンプレをきちんとやってらっしゃったので
深刻な問題エントリと思われるところはその02・04エントリのみでした。
これは推測ですが、おそらく04エントリのものはランダムネームで作成される
ものと思われるので、人によって04エントリのファイル名が異なる可能性があります。
あと、オレクシス関連はまだデータがないから、推測で書くなと言われると
誰も何も書きようがないんですけど。
>>228
検索した時にそこのドイツ語フォーラムに辿り着いたんですけど、
逆に言うと「ドイツ語フォーラムでしか発見できないファイルが、なんで
日本人のパソコンにあるんだ？」って思いますよね。
そういう理由でsysfu32.exeってのが臭いな、という結論に達したわけです。

230 ：04/08/19

>>229
>>277の上のURLの患者さんのデータには
O4 - HKLM\..\RunOnce: [sysfu32.exe] G:\WINDOWS\system32\sysfu32.exe
O4 - HKLM\..\Run: [SysFu32 Windows Updater] sysfu.exe
O4 - HKLM\..\RunServices: [SysFu32 Windows Updater] sysfu.exe
に該当するものが全くないし、
O4 - HKLM\..\RunOnce: [sysfu32.exe] G:\WINDOWS\system32\sysfu32.exe
前からこれは日本でもHome Search Assistentの患者に割かし、
多く見られるエントリー。結論急いで間違ったらなんにもならんて。
自己満足ならそれでいいかも知れんけど
ちゃんとしたデータなら第3者がみても完全に納得するくらいのデータじゃないと。
とりあえず>>228さんのような人が出てくるようなデータでは完全には、程遠いとおもうんだけど。
それと最近気が付いたのですが、
O21 - SSODL: System - {4A32B3BC-69F6-432F-AA48-7DCEE26E5753} - C:\WINDOWS\system32\system32.dll
これは、search.bizのエントリーではなくsecure.htmlかも知れないです。
ttp://higaitaisaku.web.infoseek.co.jp/removereg32.html

231 ：04/08/19

>>230
>O4 - HKLM\..\RunOnce: [sysfu32.exe] G:\WINDOWS\system32\sysfu32.exe
>前からこれは日本でもHome Search Assistentの患者に割かし、
>多く見られるエントリー。
じゃあ、どっちにしろ問題のあるエントリじゃん（　´_ゝ`）　Fix指示を出す事に変わりはない。
それから、ここはサイト被害対策の部屋のHJTデータベースじゃないんだから、
誰が見ても納得するスパイウェア１つ１つのデータを作る必要性なんて、これっぽっちも感じない。
「HijackThisで、どれが問題あるエントリで、どれが問題のないエントリなのか」を見分けられる
情報があればそれで十分。

232 ：04/08/19

>>230
「***search.biz　（HJT DATABASE）」
ttp://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=3

233 ：04/08/19

>>231
別のものだった場合対処法が大きく異なる可能性があるためです。
Fixする前にコントロールパネルから安全に削除できるなら、
それに越したことはないでしょ？
>>232
確かにそうなんです。だから確信はないのですが。
例えばこの患者の例を見てみてください、
http://pc6.2ch.net/test/read.cgi/pcqa/1092133896/490
この患者はsecure.htmを患っていたようなのですが、
オンラインスキャンでWINDOWS\SYSTEM32\system32.dll
の感染が分かりsystem32.dllを削除したら治ったそうです。
また最近【サイト被害対策の部屋】の掲示板を、
ROMっているとsecure.htmの症状の患者に今までのエントリーではなく
O21 - SSODL: System - {4A32B3BC-69F6-432F-AA48-7DCEE26E5753} - C:\WINDOWS\system32\system32.dll
これが多く見られるようになったことなんです。
確かに推測ですから今のところは患者と対話して
調べてみるのが一番いいと思います。

234 ：04/08/19

あー、理解した。227氏＝向こうのスレの「399 ◆qrpWVXxb/A」氏ですね。
私は向こうのスレの435ですよ。
>>233の指摘通り、オレクシスの人は確かにコンパネからの削除やったとは書いてないですね。
ttp://pc6.2ch.net/test/read.cgi/pcqa/1092133896/463
Fixする前にコンパネからの削除ができるならそれに越した事はないのはおっしゃる通り。
というわけで>>220をちょっと訂正
オレクシスの広告の原因エントリ（ただしこのエントリのみFixしても復活する）
>O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNrd.dll
（参考：http://computercops.biz/clsid-1257.html）
詳細不明の有害エントリ
>O4 - HKLM\..\Run: [SysFu32 Windows Updater] sysfu.exe
>O4 - HKLM\..\RunServices: [SysFu32 Windows Updater] sysfu.exe

235 ：04/08/19

あと、「患者との対話」に関して個人的な意見
エロサイトスレで相談してきた人の場合、結局アンチウィルスソフトさえ入れていれば
あっさり解決できた可能性が高いですし、入れていなくてもオンラインスキャンさえやってれば
相談するまでもなく解決していた可能性が高いじゃないですか。
そういう人と対話して情報を得ても、情報価値は低いと思うんですよ。
何故なら、「普通の人は、相談してきた段階で、アンチウィルスソフトを入れるなり、
少なくともオンラインスキャンは終えて相談にきているから」です。
２ちゃんねるでは、既出の話題って情報価値がないと思うんですよね。
対話方式で解決とかは、どちらかというと被害対策の質問掲示板みたいに、
「１つのスレッドで１つの質問」の形式のところでやって欲しいと思う訳ですよ。
「テンプレ全部やってから相談しる！」と私が野次を飛ばすのは、「既出の情報」を
できるだけ減らすためなんです。
（だから、テンプレをやり終わらないうちにFix指示は絶対に出さず、テンプレ作業が
終わったら初めて取りこぼしてないかどうかを確認する意味でFix指示を出す、って感じですかね）
対話方式の解決ってのは、間違いとは言いませんが場所違いなんじゃないか？と思います。

236 ：04/08/19

◆qrpWVXxb/Aこのコテって確かあの時の
相当昔の人だな
曜日の人や天麩羅屋もいなくなってしまったのにまだ診断していたとは
相当のお人よしから推測するに下でオケー
初めてコテ付けた時も相当なお人よしだったしw
◆qrpWVXxb/A = 531=532=533=544氏

237 ：04/08/20

現段階でもSpHjfixでしかHome Search Assistent完全にははなおせないぽいな
>>236
そういえば曜日の中の人いなくなるあたりから
急にスレの方向性が変わったような気がするよ
アホ回答や罵声ばかりでほとんどネタスレ

238 ：04/08/20

>>235-236
署名なのに正体ばれてる・・・○|￣|＿
HijackThisの分析もいいけど本来の基本的な使い方を一つ。
システムが整え終わって健康の状態で導入して、
スパイウェアに感染する前に08と018以外(復活するため)の全ての項目に、
チェックを入れて右下のAdd checked to igonorelistを押して、
安全な項目をすべて無視リストに登録しておく。
その状態でScanすると、追加されたエントリーと残したエントリー以外は表示されなくなる。
そうすることで新たに追加された悪玉エントリーが分かりやすくなるだけでなく、
Fixする項目を間違う可能性もかなりの確立で減らせる。
これから導入しようと思っている健康な人にお勧め。

239 ：04/08/20

>>238
(　･∀･)つ〃∩ ﾍｪｰﾍｪｰﾍｪｰ
あれですよ、たまにコテと見ると見境なく噛み付く人がセキュ板にもPC初心者板にもいるんで、
そんな人が出てきたら臨機応変に名無しさんでよろしくです。
実はSpywareBlasterのCustomBlockingList作ってるの私なんですけど、
今日ﾊｯｹｿした外部CustomBlockingListに、>>213のこのCLSIDが入ってました。
>O2 - BHO: DAPBHO Class - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\PROGRAM FILES\DAP\DAPIEBAR.DLL
どうも、やっぱりDAP関連のエントリは灰色っぽいですね。
他にもGo'zillaとかその辺のもそのリストには入ってるんで、もしかしたらスパイウェア入りの
ダウンローダーなのかもしれないなーと思いました（と言っても確定情報はないですが）。

240 ：04/08/20

>>239
ttp://higaitaisaku.web.infoseek.co.jp/blockdownloader.html
これの製作者のadultさんかいな？

241 ：04/08/20

>>240
ちゃいますー
今SpywareBlasterスレで、外国のCustomBlockingList２つと、サイト
被害対策の部屋のCustomBlockingListの３つの免疫項目を合計した、
CustomBlockingListを作ってるんです。（免疫数は8/20現在、626個）
キッカケはこのスレの>>177さんの情報だったりしますが。

242 ：04/08/21

>>236
曜日の人懐かしいねぇ〜、エロ助けスレの黄金時代ですな。
>>238さんも懐かしいねぇ〜確か珍○○コテだったけかな？

243 ：04/08/21

http://pc6.2ch.net/test/read.cgi/pcqa/1092133896/l50
の715です。
鑑定よろ。
Logfile of HijackThis v1.98.0
Scan saved at 6:27:00, on 2004/08/21
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\RSNET\RSEDNCLIENT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RESTORE\RSTRUI.EXE
C:\MY DOCUMENTS\HIJACKTHIS\HIJACKTHIS.EXE
C:\WINDOWS\SYSTEM\IMEJPMGR.EXE

244 ：04/08/21

再起動するたびにカジノのｼｮｰﾄｶｯﾄがﾃﾞｽｸに自動追加＆IE自動立ち上げされます。
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAM FILES\FLASHGET\JCCATCH.DLL
O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll
O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_JA_1.1.62-DELEON.DLL
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe

245 ：04/08/21

再起動するたびにカジノのｼｮｰﾄｶｯﾄがﾃﾞｽｸに自動追加＆IE自動立ち上げされます。
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAM FILES\FLASHGET\JCCATCH.DLL
O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll
O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_JA_1.1.62-DELEON.DLL
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe

246 ：04/08/21

上の誤爆でした。
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKCU\..\Run: [Red Swoosh EDN Client] C:\Program Files\RSNet\RSEDNClient.exe
O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
O8 - Extra context menu item: FlashGetでダウンロード - C:\PROGRAM FILES\FLASHGET\jc_link.htm
O8 - Extra context menu item: FlashGetで全てダウンロード - C:\PROGRAM FILES\FLASHGET\jc_all.htm
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_JA_1.1.62-DELEON.DLL/cmsearch.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_JA_1.1.62-DELEON.DLL/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_JA_1.1.62-DELEON.DLL/cmsimilar.html
O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_JA_1.1.62-DELEON.DLL/cmbacklinks.html
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAM FILES\FLASHGET\JETCAR.EXE
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAM FILES\FLASHGET\JETCAR.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.clickspring.net
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/ja/deleon/1.1.49-deleon/GoogleNav.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/jp/win/QuickTimeInstaller.exe

247 ：04/08/21

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: Yahoo! JAPAN Shogi - http://yog37.games.mci.yahoo.co.jp/yog/yj/shgt4_x.cab
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.187.110/winsearchie32.chm::/winsearchie32.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://c:\nosuch.mht!http://www.awmdabest.com/bltd/124.chm::/file.exe
O18 - Protocol: ndwiat - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\SYSTEM\WIASCR.DLL
O18 - Protocol hijack: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol hijack: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\SYSTEM\urlmon.dll
O18 - Protocol: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\SYSTEM\urlmon.dll
O18 - Protocol hijack: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol hijack: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B}
O18 - Protocol: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\SYSTEM\urlmon.dll
O18 - Protocol: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\WINDOWS\SYSTEM\urlmon.dll

248 ：04/08/21

最後かな。
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - Protocol hijack: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B}
O18 - Protocol: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\SYSTEM\MSHTML.DLL
O18 - Protocol hijack: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6}
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\SYSTEM\ITSS.DLL
O18 - Protocol: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - C:\WINDOWS\SYSTEM\INETCOMM.DLL
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol: vnd.ms.radio - {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O21 - SSODL: AUHook - {BCBCD383-3E06-11D3-91A9-00C04F68105C} - C:\WINDOWS\SYSTEM\AUHOOK.DLL
O21 - SSODL: OLE Automation Module - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - (no file)

249 ：04/08/21

何が何やらサッパリ分かりませんがよろしくお願いします。

250 ：04/08/21

>>243-249
向こうのスレで野次が飛んでいると思いますが、多分あなたはその意味が
理解できていないと思うので、わかりやすく解説。
（１）アンチウィルスソフトが入っていません。
せめてオンラインスキャンぐらいやってみて、ウィルスとして検出されるものが
ないかどうかを確認してみてください
（２）>SPYBOTは元のページから落とせません。
Spybotは色々なページにミラーサイトがあります。検索して別のページから
落としてみて駆除してみてください。
（３）Ad-awareは、Ad-awareSEを使ったのか、Ad-aware6を使ったのかわかりませんが、
もしAd-awareSEを使っていないのなら、Ad-awareSEを使ってみてください。
Fix指示を出すのは、上の３つが終わってからで。

251 ：04/08/21

蛇足
>O4 - HKCU\..\Run: [Red Swoosh EDN Client] C:\Program Files\RSNet\RSEDNClient.exe
http://www.pestpatrol.com/pestinfo/r/red_swoosh.asp
http://computercops.biz/startuplist-2991.html
あなたはP2Pソフトを使えるようなセキュリティじゃありません。
「Flashget」「スパイウェア」で検索した結果
http://www.google.co.jp/search?hl=ja&ie=UTF-8&q=FlashGet+%E3%82%B9%E3%83%91%E3%82%A4%E3%82%A6%E3%82%A7%E3%82%A2&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=
>「アプリケーションの追加と削除」に怪しい名前は見当たらないようです。
あなたは自分で入れた覚えがあるからそう言っているんでしょうけど。
上の２つは、アプリケーションの追加と削除から必ずアンインストールする事。

252 ：04/08/21

順番としては、先に>>251「アプリケーションの追加と削除」
その後、>>250のエロサイトスレのテンプレ作業の残り
念のため確認。

253 ：04/08/21

>>ALL
関係ない話かもしれませんが、
正直自分も最近、私事が忙しく引退を考えています。
そこで手見上げもって来ましたw
http://pc6.2ch.net/test/read.cgi/pcqa/1092133896/831
>>242
そうですw ノｼ
もしかしてコテ譲ってくれた方ですか？あの時はどうもですw
エロ助けスレの黄金時代は本当に懐かしいですね。
曜日の人は要ないと要るでは確かにスレの空気が全然違いますね。

254 ：04/08/22

>>250さん
レスサンクスです。
spybotを落として使って駆除しました。その前にもAd-awareSE使いました。あとは
で、トレンドマイクロのオンラインスキャン使ったら感染ファイル数983。
駆除可能でないのがTROJ_ECURE.Aとそれに似た名前の物がほとんど。あとの駆除可能なものがVBS_REDLOF。
REDLOFは駆除ソフト持ってて駆除していたんですが”失敗”するのが一つありました。
あとflashgetはスパイウェアだったんですね。ダウンロード履歴を送信してるんですかね？
早いんで重宝してるから消したくないんだが、消さなければ駄目ですかね？
Ad-awareSEで、何回やってもcoolsearchwebが出ます。さらに放って置くとソフトを落とすポップアップが出て困る。
ｶｼﾞﾉのIEも勝手に立上がるんですが・・・。
感染ファイル多すぎですね。

255 ：04/08/22

>>254
ええと、あなたはいろんなとこに書き込むのやめてくれませんかね？

256 ：04/08/22

　　　　　　 ∧ 　 　　　　　　∧
　 　 　 　 /　ヽ 　 　 　　　./ .∧
　　　　　/　　 ｀､　　　　　/ 　 ∧
　　　 ／　　　 　 ￣￣￣　　　　ヽ 　　 まぁ、いいじゃないですか
　 　/:::::::::　　　　　　　　　　 　 　.＼　　　　　　大目に見てあげましょう。
　　/:::::::::: ヽ-=・=-′　ヽ-=・=- ∧/　　　 　　　　　　 ∧
　　ヽ::::::::::: 　 　＼＿＿_／　　 /　ヽ　　　　　　　　　 /　ヽ
　 　 ヽ::::::::::::::　 　 ＼／　　　 /　　　ヽ＿＿＿＿＿/　　ヽ
　　／　　　　　　　　　　　　／　　　　　　　　　　　　　　　　＼
　｜　　　　　　　　　　　　/　　　　　　　　　　　　　　　　　　　ヽ
　｜　　　　　　　　　　　 '''''"´）　　 ●　　　＼─／　　●　　　|'´）
　　＼　　　　　　　　　　　-‐´　　　　　　　　　ヽ/　　　　　　　/´
　　　｜　　　　　　　｜　　 ＼　　　　　 　 　　　　　　 　　 ／

257 ：04/08/22

>>254
エロサイトスレに書きこんでたからそっちでレスしたぞ
ここはお前の日記帳じゃ（AA略

258 ：04/08/22

>>242 と　>>◆qrpWVXxb/A
黄金時代というより、
佐世保の地雷による地獄な日々じゃないのかw
たしかに懐かしいことは確かだが

259 ：04/08/22

>>257
残念ながらウイルススレにも・・・

260 ：04/08/22

例の佐世保の地雷ふんじゃったみたいなんですけど助けてください。
って書かれただけの質問が相次いだ時期か・・・。
あの頃は回答者も質問者も本当に地獄だった。
そんな状態のほとんど荒らしの回答者に回答していた
珍○○コテは実は荒らしコテハンw
サッカー始まったんでそっちみますなんてやつの
ログを診て治療していたしwww
>>253
上に書いたのは半分冗談として
引退するならしょうがないけどもし継続して診断するのなら
そのコテは頃合をみて捨てなよ
やっぱそのコテはまずいってwww

261 ：04/08/23

ここの人は親切過ぎるな。
お人好し過ぎて自分が疲れてしまうタイプ。
今は自分の勉強を兼ねているからいいんだろうけど、
大半が無駄な書き込みばかり。
このままじゃ続かないよ。

262 ：04/08/23

ここは>>1の日記帳みたいなもの。独りよがりな行動で
人が寄ってくると思っている。だから叩かれる。

263 ：04/08/23

ここの分析師は精神分裂症みたいな発言が多くて危ういな
この辺りはやり取りは特にそう感じざるえない
>>220
>>227-234
正直読んでみると安全に治したいのかFixしまりたいのか分からない
といってもレジストリを弄るよりFixはそんなに神経質になる必要ないわけだが
再起動後に問題があればRestoreで簡単に戻せるわけだし
しかし正常のエントリーを見わける方が大変とはよくいったものだ
ブランクがあると02のBHO関連は殆ど黒に見えてくる

264 ：04/08/23

>>263
>O4 - HKLM\..\RunOnce: [sysfu32.exe] G:\WINDOWS\system32\sysfu32.exe
>O4 - HKLM\..\Run: [SysFu32 Windows Updater] sysfu.exe
>O4 - HKLM\..\RunServices: [SysFu32 Windows Updater] sysfu.exe
テンプレも全部やっている（と確認できる）にもかかわらず、
HijackThisにこの項目がある場合には、Fix指示でOKでしょ。
あくまでも「オレクシス」のものかどうかはまだ不明ってだけで。だから>>234で訂正。
というか、後で読み返してみたら>>230が言ってる事はおかしいな？
この04エントリが仮に「Home Search Assistant」関連エントリの可能性が
あるんだとしたら、コンパネから削除なんてやっちゃダメじゃん（；´Д｀）

265 ：04/08/24

レベル低いぞここ。外国のフォーラム2、3年ROMってろ

266 ：04/08/24

>>265
ま、言うだけなら誰でもできるからな

267 ：04/08/25

>>264
236の発言はちょっと失礼だったね
>>230は断言してないところをみると
多く見られるとはグループで出てくるという意味だろう・・・たぶん
全然関係ないものでも複合感染した時によくグループ見かけるエントリーがある
Home Search Assistantっとよく一緒に見かける
Home Search Assistantのエントリーだ
意味では上の方で下の方ではないと思う
誰かの作成したデータを丸々使うなら別だが
灰色のデータや未知のデータを探るのはかなり困難なものだよ(現実に生贄が必要)
それが嫌で引退したのだけど
現役でやっている人は尊敬するよ
頑張りな

268 ：04/08/25

>>267
そういえばHome Search Assistantも生贄がいて、
実際本家でも海外でもコンパネから削除してログ取り直して
あれ？ってことで有名になったんだったな。(しぶと過ぎる凶悪さもあるが)
Home Search Assistantのエントリーで
ハッキリしているのは日本語環境では意味がないが、
R1とR2のエントリー(かなりうろ覚え、参考にしちゃ駄目)で
後は確かほとんどランダムネーム
しかしなんで日本のログにはR1、R2、020あたりが出ないんだ！
最近の凶悪なやつはここらなのに・・・。
本当アッタマクル

269 ：04/08/25

Home Search Assistantは日本では治せないの？

270 ：04/08/25

>>269
治せると思うよ一応
治った人いるみたいだし
あそこの住人だから思うのだけど
ところでこのスレを今一番必要としているのは
ﾀﾞｳｿ板の住人かも知れないw
本家ではny使いの治療は御法度だけど、
今ny関係のウイルスに一番興味があるんだよな実はwww

271 ：04/08/25

>>270
生贄さがしですかwwwwww
たしかにny関連のウイルスの治療って、
もともとny自体が日本に密着したものだから、
日本語環境独自のエントリーの収集にはもってこいかも知れませんね。
やっぱり一応はセキュ板と本家の法律で御法度なんだろうけどw

272 ：04/08/25

>>270
ny関連を直すと、野次馬がうるさそーだなぁってのが心配なんだよね。
実際には、nyのウィルスだのトロイだのってのは、おそらく日本で最先端（？）の
ウィルスなりトロイだろうから、HijackThisエントリで出てくるのか出てこないのかとか、
SpywareBlasterとかで防げるのかとか、そういうのは見てみたいってのはある。
（被害対策の部屋のデータベースや掲示板には、建前上絶対出てこないわけだしね）
でも、nyやってるのにアンチウィルスソフトも入ってなければ、
CWSｈredderもSpybotもAd-awareもやった形跡がないってのは勘弁だな。
そんなもん感染して当たり前だし、そんな知識でnyやるのは100年はえーって事で。

273 ：04/08/25

>>271
生贄さがしではなく
実験体ですよwwwwww
すみませんジョークです
>>272
【警報】Winnyを狙ったワーム・ウイルス情報 Part25
http://tmp4.2ch.net/test/read.cgi/download/1093270545/
この板の過去スレや今のスレ除いてみw
セキュリティ対策は別にしても
ひっかっかるのも個人の問題としても
アンチウィルスソフトがいかに無力か分かる時があるwww
あとHijackThisには必ず出ると思うよ
あやしいプロセス走ってることがほとんどだしwww
アンチウイルスやCWSｈredderもSpybotもAd-awareやっちゃったらもったないジャン
分かる機会を1つ失っちゃうしwww(一つの考え方としてねw)

274 ：04/08/25

いっそあれだ。「エロサイト見たら・・・助けて下さい」スレの姉妹スレとして
「nyやってたら・・・助けて下さい」スレ＠Download板
を立ててみて、nyユーザーのサンプル取ってみるか？
で、サンプルが集まったらこのスレへ持ってくる、みたいな感じで。
>>273
うーん、でもテンプレで直る範囲のものは、見ると「またこれかよ（；´Д｀）」になるぞ。
nyやってる連中は、テンプレやってもすり抜けそうな強力なのを持ってそうだ。

275 ：04/08/25

268 = 263 ?

276 ：04/08/25

>>275
違うすまん>>268にレスしようとして
名前欄に2人のレスアンカーをメモっといたら
そのまま確かめずに記入してしまったようだ
>>273の268は = 自分263
本物の268すまぬ m(_ _)m
そういえばかなり前にもこんなミスしたっけ
しかもHijackThisの回答で患者の名前の数字書いて回答しちゃってwww
あの時はさすがに血が引いたwwwwww
>>274
あんまりスレ増やすと荒らしと間違われるから
それはやめといたほうがいいかもね
それにもうとっくの昔に俺引退しているしw

277 ：04/08/27

ちょっと下がりすぎなんでネタ提供。
HijackThisを提供しているMerijn.orgが、ミラーサイトに一時避難中です。
ミラーサイト
http://www.richardthelionhearted.com/?url=merijn.richardthelionhearted.com
前から提供されているツールですが、HijackThisで解析する人にとって、
ここでダウンロードできる「BHOList」はかなり有益なツールです。
Tony Kleinの提供するBHOList、ToolbarListをダウンロードして一覧表示
できますので、ゾヌフィルター使っている人はこのデータを入れるとさらに良くなるかと。

278 ：04/08/29

http://pc6.2ch.net/test/read.cgi/pcqa/1093140773/845-852
気になるエントリが１つ。
>O4 - HKCU\..\Run: [Tars] C:\Documents and Settings\Owner\Application Data\utwb.exe
このエントリ、どうも怪しいのだがググっても情報が出てこない。
http://www.google.co.jp/search?hl=ja&ie=UTF-8&q=Tars+utwb.exe&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=
気になっているのは、このエントリの出ている人が全員富士通のパソコンであること、
何らかのプレインストールソフトが入っていることだ。
できれば、Tarsエントリのある人の情報をもらいたい。

279 ：04/08/29

［Tars］についてわかっている事を整理
１．富士通のプレインストールパソコンに入っているエントリらしい
２．ノートンではアドウェアとして検出されるらしい（>>111）、ただし検出名不明。
３．プロパティで調べても会社名は不明だが、何らかのプラグインらしい
http://www.google.co.jp/search?q=cache:NB4tFRnl5wwJ:higaitaisaku.web.infoseek.co.jp/cgi-bin/cbbs.cgi%3Fmode%3Dal2%26namber%3D16570%26rev%3D%26no%3D0%26KLOG%3D21+Tars+utwb.exe&hl=ja
こちらで情報を得たいものは
（１）何のプラグインソフトなのか？
（２）Fujitsuのパソコンにプレインストールされているものなのか？
（３）心当たりはあるか？（nyやってた、エロサイト見たなど）
（４）症状として具体的に飛ばされるページはどこか？
（５）その他気になる点などなど
よろしくお願いします。

280 ：04/08/29

　　　　　　　　　　　　　　　　∧＿∧ 　　／￣￣￣￣￣￣￣
　　　　　　　　　　　　　　∧（　 ・３・） ＜　（・３・）　エェー　よいこの質問待ってるYO！
　　　　　　　　　　　　∧（　⊂ 　　　⊃　＼＿＿＿＿＿＿＿
　　　　　　　　　　∧（　（　つ　ノ　ノ
　　　　　　　　∧（　（　つ （＿_）＿）
　　　　　　∧（　（　つ　（＿_）＿）
　　　　∧（　（　つ　（＿_）＿）
　　∧（　（　つ　（＿_）＿）
　（　（　つ　（＿_）＿）
　（　つ　（＿_）＿）
　｜　（＿_）＿）
　（＿_）＿）

281 ：04/08/30

　　　∧∧∧∧∧∧ ∧
　　( (・( ・(・ ( ・３(　・３)　　　　　
　　（つ（つ/つ/／　　二つ
ハァ─) .| /（ ヽノ　　ノヽっ ─・・・
　　　∪∪とノ(／￣　∪
　　　　　　　　　　　　　　　∧
　((　 (＼＿ ∧ ∧ ∧ ∧　３)っ
　　　⊂｀ヽ ( ・３・)　_)３・) )　　ノノ　　よい子の質問
　　ヽ　⊂＼　　⊂ ）　　＿つ
スゥ──(／（ /∪∪ヽ)ヽ)　ノ ──
　　　　　　∪￣(／￣＼)
　　　　　(＼　 ∧ ∧　　　カッ
　　　　　　< ｀(　・３・) 　　　　　　待ってるYO
　　　　　　　＼　ｙ⊂ ）
　　　　　　　／　　　　＼
　　　　　　　∪￣￣￣＼)

282 ：04/08/30

回答者向け整理情報
http://pc6.2ch.net/test/read.cgi/pcqa/1093816017/191-199
向こうのスレの>>198のぼるじょあ氏、>>199の回答者さんへ
>O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
↑オレクシス関連。FixOK
>O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\questmod.dll
↑TROJ_MOJIAL.A（http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_MOJIAL.A）
>O2 - BHO: (no name) - {A3DFDA85-1D92-4E28-8C0C-522574ACDC8A} - C:\WINDOWS\System32\msacrohlp.dll
↑Adware.IESP.mht/CasinoPalazzo foistware（http://www.bluestack.org/Iesp.Mht?show_comments=1）
>O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
↑eXact Advertising（http://www.doxdesk.com/parasite/BargainBuddy.html）
あと、向こうの>>203のこの指摘はあってます。TonyKlein's BHO Listにしっかり載ってました。
>203 名前：189 投稿日：04/08/30 21:44 ID:???
>O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
>O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
>O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
>
>自信がないのですがeXact Advertisingっと言うものかも知れないです。
>上のリストに合わせて追加しておきます。
>
>eXact Advertising
>ttp://www.doxdesk.com/parasite/BargainBuddy.html
このエントリは情報なしのため不明。
>O2 - BHO: (no name) - {39DF652E-CC4F-26E2-D505-11557CA07441} - C:\WINDOWS\System32\lsktmcol.dll
ランダムで作られたエントリなのかな？

283 ：04/08/30

参考情報：SpywareBlasterの対応状況
２ｃｈ版CustomBlockingListで対応済のもの
>O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
>O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\questmod.dll
これらは、通常のSpywareBlasterを入れていても、CustomBlockingListを入れていないと防げない。
>>282のその他のエントリは全て未対応のため、作業場へPickup。
http://jbbs.livedoor.com/bbs/read.cgi/computer/15366/1092108107/25

284 ：04/08/31

向こうを見てきたら2つほど見落としてました。未熟です。
自分も未熟者ですが参加していいでしょうか？
>O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
>O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
>O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
これなんですがBargainBuddyだと思うんですが
>O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
BargainBuddyとこれ(Vx2.BetterInternet)ってセットに出てくることが、
昔から多かったようなきがするんです。
オレクシスとの関係を調べてきたのですが確信が得られませんでした。
どちらにしてもAd-awareで対応していると思いますので新種の可能性もあるかも知れません。
Vx2.BetterInternetには専用の駆除ツールが確かあったと思うので、
試してみればよっかったかも知れません。(回答者失格です・・・)
Vx2.BetterInternet駆除ツール
ttp://download.broadbandmedic.com/

285 ：04/08/31

>>284
02エントリ（BHO）、03エントリ（Toolbar）を検索する場合には、
>>277のMerijnのミラーサイトからBHOListをダウンロードして使うといいと思いますよ。
TonyKlein's から最新版のリストを自動的にダウンロードしてくれますから。
もう１回検索してみたら、例のオレクシスエントリもちゃんとBHOListに載ってますね（；´Д｀）
>O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
CLSID: {00320615-B6C2-40A6-8F99-F1C52D674FAD}
Status: X - Spyware/Malware
Filename(s): localNRD.dll
Description: Transponder parasite variant
Link: http://www.doxdesk.com/parasite/Transponder.html
Merijn偉いなぁ・・・と再認識。

286 ：04/08/31

>>282さん
分析お疲れ様です。これからもよろしくお願いします。m(_ _)m
>>284さん
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
ってVx2.BetterInternet(被害者の部屋データ)関係ですか？
たしかに駆除ツールが効くかどうかとか少し気になりますね。
現時点ではFixで患者が治ったようですので>>282さんの意見で、
取り合えず▲Transponder parasite variantで登録しておきますね。

287 ：04/08/31

自分のフィルターですが今思うと02のBHO関係がめちゃくちゃ弱いですね。
ttp://computercops.biz/CLSID.html
上を参考に取り合えずBHO関係をこれから登録してみようと思います。
誤字などの訂正も含めて水曜日にアップしようと思います。(報告までに)

288 ：04/08/31

>> ◆qrpWVXxb/A 氏
>>285で紹介しているMerijnのBHOListは、まさに>>287の最新BHOList、
ToolbarListを自動で落としてくれる優れものなんですよ。
テキストファイルに一覧保存する事もできます。Merijn偉い！
おそらく、これを使って作業されると非常にはかどりやすいかと思います。
参考までに、8/30時点で
BHOList937（有害546、正当314、情報があるが未評価70、未知のもの7）
ToolbarList422（有害186、正当198、情報があるが未評価35、未知のもの3）
これだけの結構な量があるので、あまり無理しない方がいいです（；´Д｀）

289 ：04/09/01

>>288
BHOListの登録やっぱ無謀だったようです・・・＿|￣|○
数の方もそうなのですが、dllファイルの名前だけを書いて
マル○×判定すれば済むものでないのが沢山あるのが敗因です。
それでも少しは登録しなければ思い登録を始めてます。
それと個人事ですが今日用事が出来てしまい申し訳ないのですが
思ったより完成度の低い形でゾヌフィルターをアップします。
誤字を修正し一応最近のデータを加え、
少しばかり02、03をパワーアップさせたものです。
回答する方や回答者を目指す方や患者で困っている方などに、
自己責任で自由に活用なさってくださると幸いです。
下のロダをお借りしました。
http://www.uploda.org/
5781.zip

290 ：04/09/01

>>289
乙華麗
マイナーなツールに加え重いぞぬ
実際にこのフィルター使ってるのって少なそうだけどなｗ
向こうのスレにも知らせておいたぞｗ

291 ：04/09/01

>>290
自分で作っておいて何なんですけど、使っている人たぶん少ないでしょう。(w
もといいこのツールがゾヌ2を使用した状態でなおかつ
2ch内でしか効果を発揮しないのが一番の原因でしょう。(他にもありますが)
もっといい形でHijackThisと連携できたりテキストを張っただけで、
悪い状態が分かるようなエディッター型式のものなら、
使いやすいかも知れません。(作るスキルないし時間もない・・・＿|￣|○)
あつかましいですけど誰かが引き継いでくれて、
なおかつ今の型式ではないけど一瞬で結果の詳細が分かるものが理想ですね。

292 ：04/09/01

なぜ>>1はこのスレを立てたんだ？
はじめは本家の方のDB登録や初心者向けに
何か協力するものかと思ったが何もしてないし
ただHijackThisが見たかっただけなのか？
回答者向けに他所から集めた解析済みの情報を載せるだけなら要らないんじゃん？
それと>>1見つけたｗｗｗ
http://higaitaisaku.web.infoseek.co.jp/cgi-bin/cbbs.cgi?mode=all&namber=3699&type=0&space=0&no=3
>>291
1の見つけ先を見るとだしに使われたのかもなｗ

293 ：04/09/01

>>292
過去のエロスレの流れ見たら、ゾヌフィルターが欲しいだけでこのスレをたてた
みたいだな。いささか独りよがりな気があるが、継続していけばいいスレになるんじゃないか？
Hijackのログを見ることが趣味のような奴しか集まらないと思うが。

294 ：04/09/01

>>292
スレ立てた理由
HijackThisのログ解析で、ミス診断する人をできるだけ減らすため。（自分含む）
質問者もある程度自分でHijackThisログを判断できるようにするため。
当初は提供してもらったゾヌフィルターだけだったが、その後にHijackThisLogFileを発見、
さらにその被害対策のスレではその日本語版を作ってくれる人まで出てきてくれた。
（こういうHijackThis解析ツールが色々出てくる事が、スレ立てた当初からの願いであり狙い）
日本語版解析ページの充実は非常に待ち遠しいし、俺の方で手伝える事があったら手伝いたいね。
解析済情報をここに載せるのは、回答者用。ゾヌフィルター入力項目のピックアップのため。
エロサイトスレでは流れが速すぎてすぐdat落ちするからこっちでピックアップしてる。
HijackThisのログそのものはどうでもいいが、まだ見知らぬスパイウェアエントリは是非見たいね。
被害対策の部屋よりも、ComputerCopsよりも早く情報が２ｃｈで手に入ったらｶｺ（・∀・）ｲｲじゃん。

295 ：04/09/01

あとね、本家の方のDatabase登録はね、なんとなく登録しづらいんですよ（；´Д｀）
俺は向こうの回答者って訳でもねーし。向こうの回答者の方が登録した方がいいでしょ、って事で。
興味はあくまでも「どのエントリはFixしなきゃいけないものか、どれはFixしてはいけないものか」だけだから
どのスパイウェアがどういうエントリなのか、ってのにあまり興味が無いってのもある。
２ｃｈと違って向こうは不確実情報は載せられないし、かといって確実と思えるまで２ｃｈでは確かめられないし。
HJT databaseは誰でも登録可能みたいだから、俺が登録しなくても住人の誰かが登録すればいいんじゃねーの？
「>>1は登録しないけど」って言ってる>>292自身が、HJTdatabaseへの登録が必要と思うなら登録すりゃいいと思うよ。

296 ：04/09/01

>>1
お前さんの言葉にはウソが余りに多い
しかもかなり独りよがりな意見だ
しかもそれが現状のスパイウェアの駆除方法から逸脱している
フィルターを使ってみて分かったお前さんは解析に向かない
このフィルターは初心者でもいかに安全に駆除させるかに重点が置かれている
例えば下のエントリーが見つかった患者さんにお前さんはなんて答える？
Fixしろか？テンプレやれか？結果が見えてるから分かると思うが
O2 - BHO: BHObj Class - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\NEM218.DLL
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\NEM219.DLL

297 ：04/09/01

>>296
http://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=2
ってことは、こうやって考えられるよね。
・コンパネからの追加と削除をやってない人（＝テンプレをやってない人）なのかな？
・駆除してもBridgeなどでまた再インストールされてしまっている人なのかな？
で、まずテンプレをやっていれば当然出てくるべきエントリを探してみる。
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL　←Spybotはやったかどうか？
04エントリに出てくるアンチウィルスソフトのエントリはあるかどうか？
アンチウィルスソフトは古いものではないかどうか？最新の定義にできるものか？
オンラインスキャンだけなら、16エントリにオンラインスキャンのエントリはあるかどうか？
CWShredderで駆除できるはずの、CWS系エントリはないかどうか？
↑この辺のチェックで引っかかる場合には、「テンプレ本当にやった？」と確認し、回答を一旦ストップ。
（>>192-198　→　>>203がいい例ですかね。）
テンプレをやっても再度復活してしまう、コンパネから何度削除しても復活してしまう、
こういう場合はやむなくFixして対処するしかないでしょ。
と言ってもこの種のは他のスパイウェアエントリが04とか16にあるはずなので、
他にも怪しいエントリがないか調べてからの話ですけどね。
回答者によって色々な思想があるだろうけど、俺の場合はこういう感じで見てますよ。

298 ：04/09/01

蛇足ですが
>>296のように、一部のエントリだけピックアップされて、「Fixしろか？テンプレやれか？」と問われても
実際にテンプレをやったかどうかのデータがない状態じゃ、回答しようがないですぜ。
「テンプレやれ」という指示を出すのは、「テンプレをやってない」のがHijackThisからわかるからですぜ、旦那。
「木を見て森を見ず」って言葉があるけど、そうならないようにご注意を。

299 ：04/09/02

>>294->>298
治療する意思が全く見えね〜〜〜ｗｗｗ
しかも言ってること矛盾だらけだｗ
やっぱり何のためにHijackThisがあるかもう一度
はじめから考えた方がいいぞｗ
ログそのものがどうでもいい奴がこんなスレ立てるわけがないしｗ
ウソと本当を見抜くツールでないことは確かだｗｗｗ

300 ：04/09/02

Fixするだけの話で持っていくけど
解析なんかしなくてもログのFix場所なんて
経験つめば確か見ただけで分かるんだよな
もちろんその場合なんのスパイウェアか
分からない事が多いのは断っておく
それとこのフィルターを作った奴は何のために作ったんだ
事細かくスパイウェアの名前まで表示されるし
亀レスでも良いから本人に真相ｷﾎﾞﾝﾇ

301 ：04/09/02

>>291
連投になって悪いが
お前に本気で言いたいことがある
正体もはじめのフィルター自体の
中身の記載を解析してみて大体分かった
上では真相ｷﾎﾞﾝﾇとふざけて書いたが
何かこれ自体に目的があったんじゃないのか？
待ってるから本気で返信たのむわ

302 ：04/09/02

>>299-301
あなたが「治療する意思が全く見えね〜〜〜ｗｗｗ」って思うのは、
多分単純にあなたと俺の考え方が全く違うからだと思うよ。
>Fixするだけの話で持っていくけど
そもそも、Fixするだけで治療しようなんてこれっぽっちも思ってないし。
HijackThisはできるだけ使わずに済むように「テンプレの各ソフトやろーね」って言ってる訳で、
それでも解決しないもんは、しゃーないからHijackThisでFixするって感じかな。
（で、質問者がHijackThisのログを貼る前に、ゾヌフィルターなりHijackThisLogFileで判断できて、
それで自分で治せればさらにいいことだよね、って事でこのスレの存在意義があるわけで。）
「HijackThis１本で俺の技術があれば何でも治せるよ」って人は、このスレ見ても時間の無駄だと思うよ。
それだけの技術があるなら、2chごときで吠えてないで被害対策の部屋で回答者でもやったらどうですか、ってね。

303 ：04/09/02

ｺﾏﾝﾄﾞ名　BHO検索
実行ｺﾏﾝﾄﾞ　http://www.sysinfo.org/bholist.php?filter=$TEXT&count=&type=
ｺﾏﾝﾄﾞ名　StartupList検索
実行ｺﾏﾝﾄﾞ　http://www.sysinfo.org/startuplist.php?filter=$TEXT&count=&type=
参考ﾂｰﾙ　HJTHotkey - 選択文字列(CLSID,BHOﾌｧｲﾙ名)をホットキーで検索。オフライン検索が便利。
http://hometown.aol.co.uk/jrmc137/HJTHotkey/

304 ：04/09/02

コピット
ttp://www.umechando.com/software/#Copit
ウィンドウ上のコピーできない文字列をコピーするツール。
>>303のツールのオフライン検索結果をコピるため。

305 ：04/09/02

やっぱり1はどちらでも新参のアフォと見た
お前はその本家のやつに踊らされているだけかもなｗｗｗ
>>291がその答えを知っているはずだ
だから答えるのを俺は待っている
単純に気に食わないんだよ>>291のした事が
お前見たたいな基本を知らない奴に簡単に回答法を提供して
>>291にはスレの空気を乱したことをちゃんと答えてもらうつもりだ

306 ：04/09/02

>>1くんもえらくなったねぇ。
本スレから回答者やら質問者やらを誘導し始めたときとは、口調も変わったしｗ
自分だけお腹いっぱいになったら、やっぱ、気持ちいいよね。

307 ：04/09/02

それと>>300はお前に言ってんじゃね〜よ
>>291にそのまま返しているんだよ
俺は正直に言うとログなんかめんどくさくて見ようとも思わね〜ｗ
>>291に逃げたと思われるのやだから
もう一度名前欄に番号だしにきたｗ
どうしても>>291に聞いて確かめたいことがある>>301のことな

308 ：04/09/02

>>307
>俺は正直に言うとログなんかめんどくさくて見ようとも思わね〜ｗ
こんな事を言ってる奴が、>>298で「治療する意思が全く見えね〜〜〜ｗｗｗ」って
俺に言ってるのは、もろに詭弁だな。
ログ見るのは面倒くさいのに、ここのスレ見るのは面倒くさくないんだ（　´,_ゝ`）ﾌﾟｯ
>>291さんはコテ使ってるんだから、叩きたいだけなら最悪板（http://tmp4.2ch.net/tubo/）でスレ立てな。
ここはコテ叩きスレじゃないんでね。

309 ：04/09/02

ああ、ごめん。モロにレスミス。
>>299で「治療する意思が全く見えね〜〜〜ｗｗｗ」って　に訂正ね。

310 ：04/09/02

>>309
前から言っていいもんかどうかわからなかったから
言わなかったけど◆qrpWVXxb/Aは半公開コテハンだよ
1は本当にHijackThisに答える人は半年ROMってルール守ってないの？
何か自分もそんなきがしてきたよ

311 ：04/09/02

サンプルを集めて、HijackThisについて研究・分析するスレッドなんですね、ここ。
医者と学者の違いみたいなものか？

312 ：04/09/02

>>310
>>308は、「誰かを叩きたいだけならこのスレを使うな」って言ってるだけなんだけど（　´,_ゝ`）
誰かを叩くだけのスレなら、最悪板でスレ立てろっての。ここでやられてもウザイ。

313 ：04/09/02

>>311
「研究・分析」だけしてればいいんだが、出張までしてうわなにをいwhfんgkhk

314 ：04/09/02

一人始末しますた、ﾊｧﾊｧ…

315 ：04/09/03

研究も分析もしてないスレ
俺様の日記帳

316 ：04/09/03

>>299
2ちゃんねるとは不思議な場所ですね。
お互い名無しでもニアミスを繰り消すと言葉の節々から、
なんとなくあの人だと分かる時があります。
ウソと本当が・・・とはよく言ったものです。
自分も>>300や>>307からあなたが誰だか分かった気がします。
と言うよりワザとヒントを残しましたね。(w
あなたもそのめんどくさいログを大量に見られているようですから、
知っているでしょうが確かに見慣れればFixする箇所に限っては、
ほとんどは何も調べることなく分かるようになります。(経験で)

317 ：04/09/03

>>299
つまりは自分にはゾヌフィルターそのものが不要です。
ではなぜ作ったのかその目的は実は>>290でもありませんし、
間違いを減らすのが目的でもありません。(ウソ付いてました)
本当の理由はログを見れる人がスレに少ない(たぶん5人もいればいい方)ようでしたので、
スレ上にログを見れる人を増やすことが目的でした。
色々な理由でテンプレを一時白紙に近い状態に戻した時、
ログに興味をもっているような変な患者でもあり回答者が迷い込んだのをきっかけに、
急いで鑑定スレ用のものをそのスレ用に作り変えたものです。
出来た時は被害対策の部屋のデータは殆ど入ってましたが完成度の、
低いものでした。

318 ：04/09/03

>>299
つまりこのデータははじめから何かきっかけがあったら、
人に渡すことを前提に作ってあるものです。
このデータをはじめて公開した日、たまたま大したミスでもありませんが
上の方でログを間違えている方がいましたから、
それを利用させてもらい(利用してしまった方すみません)、
興味を持った人間にワザとテストするように仕向け、
Fix箇所を言わずに見たままを貼る方法を取りました。(その方が効果が高いと思った)
これによってスレの方向が変わってしまうとは当時は考えもしなかったことです。
申し訳ないです。
それと蛇足ですがNGワードのどこで自分の正体を見つけたのか教えてもらえますか？

319 ：04/09/03

長々と何を言ってるんだ？あとづけの理由ほどカッコ悪いものはない。
そう思ってるならHPつくって意味のあるものにするだろうよふつうは。
これだからセキュ板はキモイと言われるんだな。

320 ：04/09/03

>>316
やっぱりそういうことか甘いよｗ
>これによってスレの方向が変わってしまうとは当時は考えもしなかったことです。
わざわざテンプレまで削って必要最小限の状態にして
やり直しを図ったときにお前もどうせいたよな？
経験がなくてもテンプレやれとだけ言うのなら誰でもできるし
そんな状態が長くなったせいでネタすれになったの忘れたのか？
今のスレ見てみろよ
理屈ばっか達者で治療する気のない
経験もほとんどない回答者がログを見ているネタすれじゃんかよ
もうそのツールを人選なしで提供するのやめろ
アフォな回答者を大量生産するだけだ

321 ：04/09/03

>>299
>それと蛇足ですがNGワードのどこで自分の正体を見つけたのか教えてもらえますか？
[ブラクラ（Appz=Realplayer・WMP・Telnet)・IP抜かれる・No.03"厨房ホイホイ"]
これのNo.3と""でくくる癖で分かった
それとexe上等なｗｗｗ
exe上等のラウンジの鑑定士は流石に少ないだろｗ
本物の天麩羅屋やお前も悪いやつじゃなかったけど
スレの方向を変えた責任はあると思う
これからは悪いけどこれだな
・ 天麩羅屋　&　薮パソユーザー　&　◆qrpWVXxb/Aは立ち入り禁止。HNを変えてもダメです。

322 ：04/09/03

>>321のアンカーミスったｗ
>>316あてダナ

323 ：04/09/03

>>299
大体の推測どうりだと思います・・・。
今思うと回答者が育つまで黙って見ていれば良かったのかも知れませんね。
自分もスレがこの方向へ転ぶとは予測出来ませんでしたし、
確かに転ばした責任はあるのかも知れません。
申し訳ありませんでした。 m(_ _)m
ツール提供もやめて黙って身を引いて、
今後はスレを見守るだけにしようと思います。

324 ：04/09/03

>>320
>理屈ばっか達者で治療する気のない経験もほとんどない回答者がログを見ているネタすれじゃんかよ
そう思うなら自分がログ見て回答してやればいいじゃん（´-｀）
>>299がめんどくさがらずに回答してれば、本来のスレの流れに戻せるんじゃねーの？
「自分は悪くない、周りの奴が悪いんだ」っていうのはただの現実逃避だぜ。
スレの方向性が変わったんだとしたら、原因は住人全員にあるんだよ。
誰か１人（◆qrpWVXxb/A氏）の行動は、そのきっかけではあっても根本的な原因じゃない。
文句やきれい事を言うだけなら誰でもできるぜ。（　´_ゝ`）

325 ：04/09/03

>>316-318
この理由ってマジ
ってことはゾヌのNGワードを使っていること自体が
◆qrpWVXxb/Aに釣られてってこと？

326 ：04/09/03

加えて言うと、俺はどっちかつーと「テンプレやれ」と言う方だけどその理由は、
「ログに興味をもっているような変な患者でもあり回答者が迷い込んだのをきっかけに」、
「ログを間違えている」ヘボ回答者が急に出てきたから言い始めただけ。
ゾヌフィルターにしろ、色々な解析ツールにしろ、あれらはあくまでも既出のエントリの判定が出るだけであって、
新しく出てきたものは色々と調べる回答者じゃないと回答しようがないからな。
（そのヘボ回答者は調べたりソース出したりしない奴だってのはわかってたし、正体も見当つくからな）
で、テンプレをきっちりやっちゃうと既出のものはほとんど治っちゃうから、そいつでは口出しようがなくなる。
早く言えば、そいつを徹底的に排除するために俺は「テンプレやれ」と言ってるんだよ。
つまり、きっかけは ◆qrpWVXxb/A氏と同じだけど、方向性が正反対って事だね。
スレの方向性を変えたいなら、他の人に文句を言うよりも先に、自分で行動しようぜ。

327 ：04/09/03

それはないなかな。
テンプレ白紙時代やその前の時代のログを見ていたのは
変な回答者(ネタ回答者)を含めなければ
たぶん3人くらいでほとんどはみんな優秀だからな・・・。
フォローし合っていたし。
変な回答者が出始めたのは白紙時代後期やゾヌフィルター提供後の辺りから。

328 ：04/09/03

少し興味深いスレタイだと思ってたら、
ちみらはセキュリティ板で初心者板の話しかしないようだの。
一体誰が研究してるのかのう？

329 ：04/09/03

>>327
「ログに興味をもっているような変な患者でもあり回答者」が迷い込んできたのが
まさにその「前のテンプレを白紙に戻した時代の後期」でしょ、と。
その変な患者が治った直後ぐらいから、「あれあれ？」っていう回答者が出る状態になったんだよ。
（俺は、たぶんはいいろテンプレの作者＝その変な患者なんじゃねーかな？と疑ってるけどね。
その後全然更新されなくなったでしょ、あのまとめページ。）
はいいろテンプレの情報は古すぎて正直全く使い物にならねーし、
今のテンプレだって不足している部分はいっぱいあると思うよ。
その辺はガンガン指摘して進化させる必要はあるわけでさ。
別にテンプレマンセー主義って訳じゃないから、一応補足しとくよ。

330 ：あぼーん：あぼーん

あぼーん

331 ：あぼーん：あぼーん

あぼーん

332 ：あぼーん：あぼーん

あぼーん

333 ：04/09/13

http://pc6.2ch.net/test/read.cgi/pcqa/1094644028/252-257
以下の謎のエントリについて
>O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE CMS-V11
http://209.213.221.238/postt68092.html
http://www.newbie.org/help/messages/27686.html
何かのウェブカメラの可能性あり？
問題ありエントリかどうかは不明。情報提供を求む。

334 ：04/09/13

使ってる本人に聞けよあほか

335 ：04/09/13

自己レス。　
http://pc6.2ch.net/test/read.cgi/pcqa/1094644028/267
>O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE CMS-V11
CMS-V11PCカメラ関連ソフトと推測される。無害と推定。
（http://www.sanwa.co.jp/product/syohin.asp?code=CMS-V11&cate=9）

336 ：04/09/20

ぬるぽ

337 ：04/09/22

腹減った〜

338 ：推測メモ程度)：04/09/22

O4 - HKLM\..\Run: [DKTime] C:\WINDOWS\SYSTEM\dktime.exe
O4 - HKCU\..\Run: [DKTime] C:\WINDOWS\SYSTEM\dktime.exe
Troj/Dloader-CC
http://www.sophos.com/virusinfo/yses/trojdloadercc.html
04の2種エントリーからクルクルの新種かと思って調べてみた
上記のリンクのものだとするとプロセスとファイルが化けるとかは一応それっぽい？
dk32.exe、dk.exe、dktime.exe、xx.exeをシステムフォルダに呼び込み
ホストファイルを改変して特定のサイトに飛ばす模様
今回は、まんまdktime.exeで表示されているのは実際はかなり謎だ
(http://pc6.2ch.net/test/read.cgi/pcqa/1095834281/24-30)
推測だが実際の表示は下の例のように化ける可能性が非常に高いようだ
O4 - HKLM\..\Run: [printer] C:\WINDOWS\SYSTEM\printer.exe
O4 - HKCU\..\Run: [printer] C:\WINDOWS\SYSTEM\printer.exe
それか他のスパイウェアに似たエントリーになる？
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\host32.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\host32.exe
駆除方法はFixで治ったようだが下半分に化けた場合は不明
特殊なRapidBlasterやクルクルの用に特殊な駆除方法になるかも知れない

339 ：推測メモ程度)：04/09/22

>>338訂正
×特殊なRapidBlasterやクルクルの用に特殊な駆除方法になるかも知れない
○RapidBlasterやクルクルの用に特殊な駆除方法になるかも知れない
しかも一番上に謎の空白orz

340 ：04/09/22

絶対に最初のレスで間違えて２連投する回答者がいるスレはここですか？

341 ：推測メモ程度)：04/09/22

>>340
調べながら文章まとめているからなｗｗｗ
ところでこのスレ分析してるやつ誰もいないやんｗｗｗ
実はもう一つ忘れているんだ
>>338
>dk32.exe、dk.exe、dktime.exe、xx.exeをシステムフォルダに呼び込み
>ホストファイルを改変して特定のサイトに飛ばす模様
この間に実は下の分が入って一番下の分になるｗｗｗ
toolbar.exe、mstasks1.exeもWindowsフォルダに呼び込む
dk32.exe、dk.exe、dktime.exe、xx.exeをシステムフォルダに呼び込み
toolbar.exe、mstasks1.exeもWindowsフォルダに呼び込む
ホストファイルを改変して特定のサイトに飛ばす模様

342 ：04/09/22

ラウンジの偉大な鑑定師様に感謝
http://etc3.2ch.net/test/read.cgi/entrance/1093784324/529
http://etc3.2ch.net/test/read.cgi/entrance/1095705642/738
通称：苺
形態：(写真集) (ロリータ)〜みたいなフォルダ（実際にはフォルダのアイコンのexe）
症状：exeを実行するとデスクトップの画像をキャップし
　　　　２ちゃんのスレに自動的に書き込む
　　　　その他の症状は不明
修復方法：HKEY_CURRENT_USER Software\Microsoft\Windows\CurrentVersion\Run
　　　　　　　のshellsystem.exeを削除
HijackThisの04にも現れると思われるが現時点では不明
O4 - HKLM\..\Run: [？？？] C:\WINDOWS\SYSTEM\shellsystem.exe
O4 - HKLM\..\Run: [？？？] C:\WINDOWS\shellsystem.exe
注意：WindowsフォルダはOSなどでは改変する
　　　　？？？は現時点では不明

343 ：04/09/22

よ〜し盛り上がっていくぞ〜

344 ：04/09/23

苺に感染してみたぞーーーｗ
俺が実行したのは「(写真集) (ロリータ) 水原友里.exe」だｗｗｗ
ノートン先生とBitDefenderおよびFWは全てスルーされたｗ
もちろんスパイウェア駆除製品も・・・おっとスルーだｗ
ちなみネット切断した状態で実験したから俺の画像は多分ないぞｗｗｗ
感染するとプロセスが2つ走りどちらか一つを消しても
片方を復活させる仕組みでプロセスから終了は不可
感染するとPCのデスクトップのスクリーンが取られ晒され
【うｐろだ】アップローダー案内所【アプロダ】板に以下の書き込みがされる
名前：私は苺で違法ダウンロードばかりしている犯罪者です[ここに晒るされた時の初回のID:1回目]
私は苺で違法ダウンロードばかりしている犯罪者です
【コンピュータ名】コンピュータ名が入る
【ユーザー名】ユザー名が入る(例：Owner)
【今こんな事やってます】２ちゃんロダのアドレスが晒され先が貼られる
取った処置
１：まずPCの電源を切りセーフモードで起動してファイルのC:\WINDOWS\shellsystem.exeを削除
２：元になった「(写真集) (ロリータ) 水原友里.exe」も一応削除
３：普通に再起動してHijackThisでScan以下のエントリーをFixで削除
O4 - HKLM\..\Run: [shellsystem.exe] C:\WINDOWS\shellsystem.exe
３：のHijackThisの処理で以下が消えてるのも確認できた
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
name：shellsystem.exe　data：shellsystem.exe
若干の祭り状態だからこれからの患者が予想されるｗ
とりあえずこれで解決めでたしめでたしｗｗｗ

345 ：04/09/23

ロリータ最高〜

346 ：04/09/23

>>344
それと補足・・・貼られる先の法則が判明した
>半角二次元板の
>そのスレは、「アップローダー」をスレタイに含むスレのうち、一番上に
>上がっているスレ。
とのこと、あと細かい訂正ｗ
×【今こんな事やってます】２ちゃんロダのアドレスが晒され先が貼られる
○【今こんな事やってます】２ちゃんロダに画像が晒されて、そのアドレスがここに貼られる

347 ：04/09/23

お客さん来店の予感。

348 ：04/09/23

>>346
セキュ住人には無用の話だからダウソ板に行って得意顔するといい

349 ：04/09/23

>>344
あんた漢の中の漢だ（ｗ
感染レポート&修復方...Z
これって例の苺ロダに貼られているやつだな・・・
分散しているようだから確かにまだ増えるかもね。
>>348
ダウソ板は全く関係ないよ。
ny関係じゃないし。

350 ：04/09/23

スレに活気がでてきたな。

351 ：04/09/23

>>344
SARCとかに連絡済み？

352 ：04/09/23

>>344
乙！
俺も本体ファイル落としてみたんだが、飲んでるんでそこまでやる余裕無かった。
某スレにコピペして回答に使う事になるかもしれない。

353 ：04/09/23

回答者さん、ごきげんですな

354 ：04/09/23

>>344に質問
これって、ファイヤーウォール入れておけば防げるものかな？
もしそうなら、エロサイトスレのテンプレにZoneAlarmでも紹介しておけば
かなり有効なんじゃないかな？（一番操作が簡単だしね、他のはむずいし）

355 ：04/09/23

おっとゴメソ、ファイヤーウォールはスルーすんのか
まぁ、訳のわからないもんダウンロードする馬鹿は放置だなって事で
ブラクラ踏んだ人と大して変わらないな

356 ：04/09/23

>>354
>>344祭り状態の中で分析していたから今見ると文章がアホだなorz
今は反省している
FWはちゃんと機能するみたいだ
ネットに切断した状態で実験したから
その時はFWそのものが使われなくてshellsystem.exe製造にトロイ自体が励んでいた
それと上記の駆除方法はWinXPのもので
他のOSではシングルプロセスらしく
プロセスを終了させて本体を削除してレジストリの修正で簡単に治るらしい
またWinXP Proではダウソ板の>>635氏のやり方でもOK
http://tmp4.2ch.net/test/read.cgi/download/1094872215/635

357 ：04/09/23

【分析】HijackThis【研究】
http://pc5.2ch.net/test/read.cgi/sec/1091346741/341-356

358 ：04/09/23

>>356
ん？とするとファイヤーウォールで防ぐ事は可能なのかな
と言っても、どうせ何だかわからずにアクセス許可しちゃう人はいるんだろうけどね
最近のエロサイトスレのテンプレ見ると、Downloader系のトロイを仕込まれてる人がわんさかいるよな
アンチウィルスソフトについては書いてあるけど、ファイヤーウォールについてはあんま書いて無かったりするから
その辺を充実させた方がいいのかもしんないね
と言っても初心者向きだと、やっぱりZoneAlarmになるんだろうなぁ・・・
（他のルール設定だとかなんだとかは初心者には難しそうだしね）

359 ：04/09/23

↑テンプレじゃないや、質問してる人って事ね
実際にテンプレを全部やってる人だと、大体は04エントリだけ残ってる事が多い気がする
02、03、16あたりは割とテンプレ作業で駆除できているのかもしれないね

360 ：04/09/23

　　　　 ∧＿∧
　　 　 （　･３･ /￣￣￣￣/ ∧
　　　__( つ 　/　（・３・）　/・３・)ノ
　 　|＼￣＼/＿＿＿＿/￣＼.　　　∧∧ 　
　 　|　|￣￣￣￣￣￣￣￣￣|　　 (　・３・) ｱﾙｪｰ
　　 |　|　　 　ぼるじょあ　 　　|　　 （　ぼ ）
　　 ＼|＿＿＿＿＿＿＿＿＿|. 　 　し'｀Ｊ　
　　（・３・）　エェー　質問待ってるYO

361 ：04/09/23

（・３・）　エェー

362 ：04/09/24

　　　　+　　*
　　　　　　*　　 ∧＿∧∧∧
　　　　　　　　 （*・３・(･ε･*) ＜ 質問待ってるYO
　　　　　　　+　（　つ と　　0　
　　　　　　　　+　）　⊂＿ノ〜
　　　　　　　　　（＿）_＿）

363 ：04/09/24

>>358
ZoneAlarm突破
http://v.isp.2ch.net/up/b0501b0dcf53.jpg
アクセス許可したのかもしれないけど。

364 ：04/09/24

>>363
それ、昨日ZoneAlarmスレとかに貼られてたけど
ぶっちゃけAd-aware6を今更使ってる奴じゃあんま信頼性が・・・

365 ：04/09/24

デスクトップを見れば程度がわかる

366 ：04/09/24

NIS突破してるのもあった
どうせexeの通信を許可してるか何かだと思うけど
exeの監視機能がないものだとポート80を使って通信するから
もしかしたらあっさりスルーするかも
昔からFWは使いこなせてなければ何の役目もしない

367 ：04/09/25

淋しい・・・・

368 ：04/09/25

ヲタクってるんぢゃねえぞ、おまいら！

369 ：04/09/25

(=^u^=)　なりなり

370 ：04/09/26

（・３・）　エェー

371 ：04/09/27

　 ＿／￣￣￣￣＼ 　　　
　�煤Q　　　　∪　ﾟДﾟ） 　　　
　　 　 ￣￣￣￣￣￣

372 ：04/09/28

誰もいないの？？？

373 ：04/09/28

---------- 研究の成果が出るまでには、約三年とちょっとかかります。それまでお待ちください。 -----------

374 ：04/09/28

三年も待てないよぅ〜

375 ：04/09/29

　　　　 ∧＿∧
　　 　 （　･３･ /￣￣￣￣/ ∧
　　　__( つ 　/　（・３・）　/・３・)ノ
　 　|＼￣＼/＿＿＿＿/￣＼.　　　∧∧ 　
　 　|　|￣￣￣￣￣￣￣￣￣|　　 (　・３・) ｱﾙｪｰ
　　 |　|　　 　ぼるじょあ　 　　|　　 （　ぼ ）
　　 ＼|＿＿＿＿＿＿＿＿＿|. 　 　し'｀Ｊ　
　　（・３・）　エェー　質問待ってるYO

376 ：04/09/29

>>360 >>362 >>375
ここ、質問スレじゃないよ
質問スレから上がってきた情報を蓄積するところだ

377 ：04/09/29

人々の為、質問受け付け中で〜す。

378 ：04/09/29

>>376
>>1は質問スレと混同してるよ。
わざわざ向こうから誘導してたし。

379 ：04/09/29

>>1が質問スレのつもりなら質問スレだろｗ

380 ：04/09/30

ただの目立ちたがり屋とか優柔不断な奴なだけだろ。>>1

381 ：04/09/30

質問待ってるよ。

382 ：04/09/30

Ewidoの使用期限をリセットして常駐保護を使えるようにする方法を教えてください。
犯罪ではないとおもうので詳しい人きぼん。

383 ：04/09/30

>>382
ﾄﾞｿﾞｰ
ttp://www.ewido.net/en/?section=buy

384 ：04/09/30

　　　　　　 ∧∧
　 　　　　（　・３・） 　質問待ってるYO
　　　　　 （　⊃┳⊃
　　　　 ε(＿)ﾍ⌒ヽﾌ
　　　　 （ 　　（　・ω・）
≡≡≡　◎―◎⊃⊃

385 ：04/09/30

どうしてぼるじょあはム板に帰らないのですか？

386 ：04/09/30

>>1がぼるじょあを演じているっぽい

387 ：04/10/01

質問待ってる。

388 ：04/10/01

単発質問させて下さい。
O4 - HKLM\..\Run: [Expatch] C:\WINNT\system32\sprite.exe
こいつがすっごいメモリリーク引き起こしてるんですが、どういったものなのでしょうか？
消去しても問題なんでしょうか？

389 ：04/10/01

>>388
メモリリークってなんですか？

390 ：04/10/01

>>388
断言はできないけど、もしかしたらこれじゃねーのかな？
ttp://www.pestpatrol.com/PestInfo/B/BargainBuddy.asp
メモリリークしてる不自然なプログラムがあったら、ウィルスのスキャンと
SpybotやAd-awareSEはやってみた方がいいよ。それで改善する事も多い。

391 ：04/10/01

>>388
>>389

392 ：04/10/01

>>388はゲーヲタ

393 ：04/10/01

　　　∧＿∧　　　　　　　　　　　　　　　　　　　　　　　　∧＿∧
　 　（ ・３・ ）　　　　　　　　　　　　　　　　　　　　　　　（ ・３・　）
　　⊂　　 　 ⊃ 　　　　　　　　　　　　　　　　　　　　　⊂　　 　 ⊃
　　　 |⌒I、｜　　　　　　　　　　　　　　　　　　　　　　　｜　 |⌒I
　　　（＿）. ｜ 　　∧＿∧　　　　　　　　　∧＿∧　　　 | ´（＿）
　　　　　（＿）　　（ ・３・　）　　　　　　　 （ ・３・　）　　（＿）
　　　　　　　　　 ⊂　　 　 ⊃ 　　　　　　⊂　　 　 ⊃
　　　　　　　　　　 |⌒I、｜　　　　　　　　｜　 |⌒I
　　　　　　　　　　（＿）. ｜ 　　　　　 　　　| ´（＿）
　　　　　　　　　　　　（＿）　　 ∧_∧__　　（＿）
　　　　　　　　　　　　　　　　　（３・ 　 ）
　　　　　　　　　　　　　　　　　(　　　　 > >
　　　　　　　　　　　　　　　　／　／＼　＼
　　　　　　　　　　　　　　　 （＿_）　　（_＿）
　　　　　　　　　　　　よいこの質問待ってるYO！

394 ：04/10/03

　　　　　　 ∧∧
　 　　　　（　・３・） 　質問待ってるYO
　　　　　 （　⊃┳⊃
　　　　 ε(＿)ﾍ⌒ヽﾌ
　　　　 （ 　　（　・ω・）
≡≡≡　◎―◎⊃⊃

395 ：04/10/03

このスレ人気ないっすね　＾∀＾

396 ：04/10/04

（ ・ ３ ・ ）　エェー　良い子の質問待ってまつＹＯ　♪

397 ：04/10/04

>>395
サクラになって質問してよ。

398 ：04/10/04

ここのぼるじょあは荒らしか

399 ：04/10/04

>>398
（・３・）　エェー　質問を心待ちにしてる善良ぼるじょあですYO

400 ：04/10/05

いい加減ウゼェからきえろや>>1

401 ：04/10/05

それでは質問させてもらいます
以下のように２つ出ることってあります？
いままではひとつしか出なかったんだけど
O17 - HKLM\System\CCS\Services\Tcpip\..\{3DF16248-517C-417B-BF16-F434CA339FAF}: NameServer = xxx.13.30.12, xxx.13.29.12
O17 - HKLM\System\CCS\Services\Tcpip\..\{F11629E3-0AE7-4D3F-98C6-DEE5F94DB606}: NameServer = xxx.13.30.12, xxx.13.29.12
どっちか偽物？　よろしくお願いします

402 ：04/10/05

>>401はゲーヲタ

403 ：04/10/05

>>402
ん？　なんで？　ちゃいまんがな
書き忘れてたけどこのアドレスは間違いなく俺のメインとセカンダリDNSです
NameServer = xxx.13.30.12, xxx.13.29.12（ｘは伏せ字）
\..\の部分は俺が省略したわけじゃないです

404 ：04/10/05

>>403
（・３・）　エェー　どうして増えたのか理由までは分かりませんが2つ位なら全然普通ですNE,
　　　　　　　　　　5〜6ある人もいますので問題ないと思いますYO

405 ：04/10/05

>>401 >>403
http://higaitaisaku.web.infoseek.co.jp/htkaiseki.html
早く言うと、ネットワーク接続に必要なエントリかな
IPアドレスを調べてみれば、ちゃんとしたエントリかそうじゃないか判別できるかと
たまーに何故かロシアに接続先がなってるのとかあるけどそういう場合はダメ
そうじゃなくて普通の日本のプロバイダとかになってるなら別に問題なしという感じ

406 ：04/10/05

（・３・）　エェー　よいこの質問待ってるＹＯ♪

407 ：04/10/06

>>404 >>405
ありがと　とりあえず安心しました
２つになった可能性としてネットワークの詳細設定のとこで
NetBIOS over TCP/IPを無効にするに最近チェックいれたのが関係したのかな

408 ：04/10/06

（・３・）　エェー　よいこの質問待ってるＹＯ♪

409 ：04/10/07

（・３・）　エェー　よいこの相談待ってるＹＯ

410 ：04/10/07

（・３・）　エェー　これが本場のぼるじょあだNE

411 ：04/10/07

>>408-410
ここで遊んでるならぼるじょあスレ盛り上げてこいよ
ぼるじょあ（・３・）質問箱 セキュ板出張所11
http://pc5.2ch.net/test/read.cgi/sec/1094826769/
糞スレになってるぞ、ぼるじょあスレ

412 ：04/10/07

>>411
（・３・）　アルェー　ちょっとしか糞スレじゃないＣ〜

413 ：04/10/07

ぼるじょあになりきってるヤシきもい

414 ：04/10/07

ぼるじょあさん、がんばれ！！

415 ：04/10/07

(=^u^=)　たぬたんも応援するなりよ。

416 ：04/10/08

タイトルだけ立派なスレだ。

417 ：04/10/08

質問です。HiJackThisを使ってPCを元に戻したいんですが、モデム繋ぐとすぐにサイトに飛びます。この状態って国際電話に繋がってるのでしょうか？繋がったときの事を考えると恐くてすぐに切ってしまいます。詳しい方いたら教えてください。

418 ：04/10/08

>>417
基本は、エロサイトスレのテンプレソフトを全部順番に試してから
何故なら、HijackThisはあくまでレジストリをいじるだけのソフトだし
いいエントリも悪いエントリも出てくるから
という訳でエロサイトスレに誘導するんでテンプレやってみてね
エロサイト見たら…助けて下さい！Part42
http://pc6.2ch.net/test/read.cgi/pcqa/1096953352/

419 ：04/10/08

>>418 そちらに行ってみます。ありがとうございます。

420 ：04/10/08

お客さんが横取りされてる、かわいそう・・・・・・・・・・・・・・

421 ：04/10/08

HijackThisを今見ている香具師が
テンプレやれとしか言えない元天麩羅屋信者だから
本当に分析する気があるのなら自ら感染実験する

422 ：04/10/08

＞自ら感染実験する
修羅の道ですねｗ

423 ：04/10/08

>>421
既出のエントリに興味はない、だから先にテンプレ
既出のものしか治せない奴ぐらいじゃないの？いきなりHijackThisなんて指示出す奴

424 ：04/10/08

ROMっていたが最近の、特に前スレのは
かなり既出でないものもあった
SDBOTの新種らしきものも多数あった
新種も見抜く力もないアホにはどれがそれとかは分からないだろうが
※SDBOTに感染している場合、アンチウイルスソフトの治療だけでは直せない
※Fixした場合かならず一箇所漏れる
あと最近指示出しているやつは特徴があるから分かるが
例のexeやdllの名前だけで検出に掛けてるような香具師とボル兄しかいない

425 ：04/10/08

>>422
昔のことだけど
そういえば群青さんは時々感染実験をやっていたよｗ

426 ：04/10/08

>>424
きっとひきこもりだね。ヒマすぎだもの。

427 ：04/10/08

（・３・）　エェー　よいこの相談待ってるＹＯ

428 ：04/10/08

>>424
新種に感染してたらテンプレやらなくていーんだ。アホか。
そんなもんはHijackThisやってログ見てから、後から付けた理由だろうに。
テンプレで漏れた箇所だけHijackThisで治した方が楽に決まってんだろ、
全部エントリを手動で消す方がよっぽどかったるいわ
前スレで既出じゃないもんは、こっちのスレに転載ぐらいしたらどうだい？見てるならさ

429 ：04/10/08

　　　　　　　　　　　　　　　　　┌─┐
　　　　　　　　　　　　　　　　　｜も.｜
　　　　　　　　　　　　　　　　　｜う　|
　　　　　　　　　　　　　　　　　│来│
　　　　　　　　　　　　　　　　　│ね│
　　　　　　　　　　　　　　　　　│え .|
　　　　　　　　　　　　　　　　　│よ .|
　　　　　　ﾊﾞｶ　　　　ｺﾞﾙｧ 　 │ !!.│
　　　　　　　　　　　　　　　　　└─┤　　　　ﾌﾟﾝﾌﾟﾝ
　　　　ヽ(`Д´)ﾉ　ヽ(`Д´)ﾉ　　(`Д´)ﾉ　　　 （　`Д）
　　　　|￣￣￣|─|￣￣￣|─|￣￣￣|─□（ ヽ┐U
〜 〜　￣◎￣　　.￣◎￣　　￣◎￣　　 ◎−>┘◎

430 ：04/10/09

（・３・）　エェー　よいこの相談待ってるＹＯ

431 ：04/10/09

(ﾟДﾟ )
ノヽノヽ=3 ﾌﾟｩ
　　くく

432 ：04/10/09

新種の判断もできない
既出のエントリーも治せない
このスレいらないねｗ

433 ：04/10/09

>>428
あの空気でこっちに書けるわけないだろｗ
上で苺を分析したやつも追い出さんという空気だしｗｗｗ
向こうに書けば書いたで全員糞回答者扱い

434 ：04/10/09

向こうから完全独立したいｗｗｗ

435 ：04/10/09

>>428
後からつけた理由ではなく、たぶんと思うのはあったぞ
新種が見つかったらテンプレやらなくていいということが
言いたいんじゃなくて、それに対してプロパティを確認して覚えがなければ
Fixという指示を出しているやつがいた
なんでHijackThisに治療の道具としてそんなに信頼寄せているかのは分からないが
SDBOTはHijackThisのFixやアンチウイルスで消しても完全には治らないから書いた
それに後でまとめてログを見たから気が付いたときには一日が経過していた
それと正直SDBOTが見つかったならテンプレやる必要もないかも知れんな
HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
ここを確認させてそこに値があればリカバリの指示を出して
リカバリした後はパスの変更と電話でネットバンクやクレジットカードを利用を
停止するように指示すると思う
あと指摘しても何だかんだ後で言われるだけ損だわ(>>433の言うとうり)

436 ：04/10/09

がんばってくれ

437 ：04/10/09

訂正
（ひまな趣味）がんばってくれ

438 ：04/10/09

>>1に協力する人間は結局は誰もいないのかｗｗｗ
前スレじゃなく今のスレじゃんｗ
本気で探しちゃたよｗｗｗ
SDBOTの新種の可能性って言うのはこれのことか>>435氏
C:\WINDOWS\System32\winU32L.exe
C:\Program Files\Common Files\System\Ole DB\support\ComServ.exe
C:\Program Files\Common Files\System\Ole DB\support\WinMgmt.exe
C:\Program Files\Common Files\System\Ole DB\support\IEXPLORER.EXE
O4 - HKLM\..\Run: [Win Update 32] winU32L.exe
O4 - HKLM\..\RunServices: [Win Update 32] winU32L.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
これってHijackThisに現れないのか？
治ったと思って帰ったなこの患者
もしそうならパスワードとかすでに盗まれている可能性が高いわけか・・・
http://pc6.2ch.net/test/read.cgi/pcqa/1096953352/64-69

439 ：04/10/09

>>438
>HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
ここの値は今のHijackThisには出てこないね
http://pc6.2ch.net/test/read.cgi/pcqa/1096953352/81-86
>msconfigを使いサービスタブにあるSystemIdleのチェックをはずすと症状がなくなりました。
これがどういう事なのやらがよくわからないが、何か情報とか出てるのかな

440 ：04/10/09

>>439氏
分析するやつの頭はウイルス定義みたいのパターンファイルが
そいつ自体に入っているのかも知れないなｗｗｗ
本家の方でも推測で答えを導きだすやつがいる時に時々驚かされる
WORM_WOOTBOT.AO(SystemIdle.exe)
http://es.trendmicro-europe.com/consumer/security_info/ve_detail.php?id=65623&VName=WORM_WOOTBOT.AO&VSect=O
これだと一応HijackThisのログからも下のように現れる模様
O4 - HKLM\..\Run: [Systemidle] stemIdle.exe
O4 - HKLM\..\RunServices: [Systemidle] stemIdle.exe
O4 - HKCU\..\RunOnce: [Systemidle] stemIdle.exe
O4 - HKLM\..\Run: [Systemidle] stemIdle.exe
O4 - HKCU\..\RunOnce: [Systemidle] stemIdle.exe
とこれHKEY_LOCAL_MACHINE>System>CurrentControlSet>Services>SystemIdle.exe
俺には残念だけど専門の分析屋じゃないからこれ以上は分からんｗ
正直HijackThis自体も専門家じゃないからミスすると悪いから答えないようにしてるしｗｗｗ
どちらにしても対処方法は読んでみると駆除するよりも
リカバリした後にｒｙってやつが一番安全なようだ(感染者本人には悪いが)
結果論になっちゃて悪いけど感染者本人にレジストリ内を検索で
winU32L.exe見つけてもらうことをやってもらった方がよかったのかも

441 ：04/10/09

訂正
ごめんよく見たらWORM_WOOTBOT.AOの値を間違えたｗ
O4 - HKLM\..\Run: [Systemidle] stemIdle.exe
O4 - HKLM\..\RunServices: [Systemidle] stemIdle.exe
O4 - HKLM\..\RunOnce: [Systemidle] stemIdle.exe
O4 - HKCU\..\Run: [Systemidle] stemIdle.exe
O4 - HKCU\..\RunOnce: [Systemidle] stemIdle.exe
とこれHKEY_LOCAL_MACHINE>System>CurrentControlSet>Services>SystemIdle.exe
HKEY_LOCAL_MACHINE>System>CurrentControlSet>Services>
これは知識不足でログにどう出るか分からんｗｗｗ

442 ：04/10/09

>>440-441
>>424氏が言ってた「SDBotの亜種」ってのは、結局それの事なのかな？
具体例出してないから何とも言いがたいね(´･ω･`)
どっちにしろ、>>435で言ってる内容はHijackThisを見なきゃわからないでしょ
だってプロセスに何が走ってるのか、他の人には全くわからない訳だし
あとはプロセス何走ってるかわかってる奴が自作自演してたぐらいしかありえないな
そもそもHijackThisの前にテンプレを一通りやる「はず」なんだから、何でテンプレの話になるのが意味不明
>>441
>HKEY_LOCAL_MACHINE>System>CurrentControlSet>Services>
たぶん、これもHijackThisには出てこないところなんじゃないかな
今の1.98.2になる前にHijackThisに出てこないこれが流行したのと似てるのかも
http://higaitaisaku.web.infoseek.co.jp/removesearchbiz.html
※今の1.98.2ではHijackThisできちんとエントリとして出てくる

443 ：04/10/09

分析屋でもないのに調べてる俺も相当に暇人だなｗ
新種って聞いて休日を分析と単車いじりで潰してしまったｗｗｗ
>>442氏
客観的に見て>>421-435この流れからテンプレの話になったんじゃないのかと
それと流れから向こうのHijackThisを見ての意見かと
本当は本人にどれか指摘してもらえれば一番ありがたいんだけどね
あの調子じゃ協力してくれるとは思えんしｗ
プロセスは見る人が見ればなんとなく分かるかと
あとはウイルスの特徴をつかんでいるとかｗ
例：C:\service.exe ← C直下のexeだからキーロガー系のトロイの可能性等
もう少し気になって調べら下のツールでWOOTBOTとSDBOTは
対応していれば無料で駆除できるらしい
対応ウイルス表を見る限り俺だったら正直リカバリするかなっていう
瀬戸際ばかりのリストだがｗ
それにしてもSDBOT系って亜種が多いな・・・正直驚いた
トレンドマイクロ ダメージクリーンナップサービス
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700
対応ウイルス表
http://www.trendmicro.co.jp/support/VIRUS/fix_tool/tsc/tsc_viruslist.txt

444 ：04/10/09

当事者でもないのに外から眺めて
楽しそうにしている書き込みって相当にキモイね

445 ：04/10/09

　　　∧∧∧∧∧∧ ∧
　　( (・( ・(・ ( ・３(　・３)　　　　　よい子の
　　（つ（つ/つ/／　　二つ
ハァ─) .| /（ ヽノ　　ノヽっ ─・・・
　　　∪∪とノ(／￣　∪
　　　　　　　　　　　　　　　∧
　((　 (＼＿ ∧ ∧ ∧ ∧　３)っ
　　　⊂｀ヽ ( ・３・)　_)３・) )　　ノノ　　質問
　　ヽ　⊂＼　　⊂ ）　　＿つ
スゥ──(／（ /∪∪ヽ)ヽ)　ノ ──
　　　　　　∪￣(／￣＼)
　　　　　(＼　 ∧ ∧　　　カッ
　　　　　　< ｀(　・３・) 　　　　　　待ってるYO
　　　　　　　＼　ｙ⊂ ）
　　　　　　　／　　　　＼
　　　　　　　∪￣￣￣＼)

446 ：04/10/10

ぼるちゃん教えて
環境は
Windows version: Windows 98 4.10.2222
MSIE version: 6.0.2800.1106
HijackThis version: 1.98.2
HighjackThisでスキャン開始するとこんなメッセージがでます
どうすりゃいーの？？？？よろちくNE
An unexpected error has occurred at procedure: modBackup_ListBackups()
Error #55 - ﾌｧｲﾙは既に開かれています。
An unexpected error has occurred at procedure: modRegistry_IniGetString(sFile=win.ini, sSection=windows, sValue=load)
Error #55 - ﾌｧｲﾙは既に開かれています。
An unexpected error has occurred at procedure: modRegistry_IniGetString(sFile=win.ini, sSection=windows, sValue=run)
Error #55 - ﾌｧｲﾙは既に開かれています。
An unexpected error has occurred at procedure: modRegistry_IniGetString(sFile=C:\WINDOWS\control.ini, sSection=don't load, sValue=inetcpl.cpl)
Error #62 - ﾌｧｲﾙにこれ以上ﾃﾞｰﾀがありません。
An unexpected error has occurred at procedure: modMain_CheckOther14Item()
Error #55 - ﾌｧｲﾙは既に開かれています。
An unexpected error has occurred at procedure: modMain_CheckOther14Item()
Error #55 - ﾌｧｲﾙは既に開かれています。

447 ：04/10/10

>>446
全部ＯＫしてＯＫ
補足
ｽｷｬﾝしたら
http://www.hijackthis.de/index.php?langselect=english
だっけ、ここに作れるやつをはって診てもらえ
なんかそれらしい感じで書いてみたが、>>1のﾘﾝｸ全部見てないのでよく分からん

448 ：04/10/10

>>446
（・３・）　エェー　この辺も参考にしてNE
　　　　　　　　　　http://higaitaisaku.web.infoseek.co.jp/hijackthis.html

449 ：04/10/10

ﾜﾛﾀ
http://higaitaisaku.web.infoseek.co.jp/cgi-bin/cbbs.cgi?mode=all&namber=46130&type=0&space=0&no=0

450 ：04/10/10

【被害者サイト】HijackThis【ヲチスレ】
http://pc5.2ch.net/test/read.cgi/sec/1091346741/

451 ：04/10/11

>>447 >>448
お　レスついてる
ありがとーー
さっそく調べてみるね

452 ：04/10/11

>>421
｜∧
｜ .∧
｜　 ∧　　
｜　　　ヽ 　　　
｜ 　 　.＼　　　・・・・・・・・・・・・・・・・・・・・・・・・
｜=・=- ∧/　　　 　　　　　　 ∧
｜　　 /　ヽ　　　　　　　　　 /　ヽ
｜　 /　　　ヽ＿＿＿＿＿/　　ヽ
｜／　　　　　　　　　　　　　　　　＼
｜　　　　　　　　　　　　　　　　　　　ヽ
｜"´）　　 ●　　　＼─／　　●　　　|'´）
｜‐´　　　　　　　　　ヽ/　　　　　　　/´
｜＼　　　　　 　 　　　　　　 　　 ／

453 ：04/10/11

>>449
これ本当か？(笑

454 ：04/10/11

>>449
こんな奴にHijackThisのFix指示を出すのがそもそもの間違いだ・・・
これってテンポラリファイルの削除した後にアンチウィルスソフト＋Ad-awareSE＋
Spybotかけるんじゃダメなのかなぁ？

455 ：04/10/11

>>454
レジストリの実行用エントリが残るから
いきなりテンポラリ削除はまずいのでは？

456 ：04/10/11

>>449
何をしたらこんなんなるんだろう、そっちが知りたい
詰め合わせぶちこんだのか？

457 ：04/10/11

>>449ので興味あるのは
NortonAntiVirus2003と、Spybotが入ってるって事なんだよなー・・・
たぶん全然アップデートなんてしてないんだろうけど
こういうのを見ると、ちゃんとアップデートして最新の定義にするのが重要であって
ソフトを入れるだけじゃ無意味だよってつくづく思うよな

458 ：04/10/12

>>456
ほんと、どうやったのか。
バンドルソフトとかしっかり入ってるとことか見ると???

459 ：04/10/12

？

460 ：あぼーん：あぼーん

あぼーん

461 ：04/10/12

>>449
最強だろｗ

462 ：04/10/12

なるほど。

463 ：04/10/13

え？

464 ：04/10/13

>>460はなんだったの？アボーンされてるけど

465 ：04/10/13

>>464
アドレス晒しと思う

466 ：04/10/13

質問すみません。
spybotとadaware,AV使用しました。
次にCWShredder使いました。（これは意味なかった）
最後にHijackを使ってhttp://www.higaitaisaku.com/hjtdatabase.html
にのってるあやｽｨ(･д･)やつ全部削除したつもりです。
おかげで調子は少し良くなったのです(勝手にシャットダウンとかしてたのがなくなった)が、ホームページの設定だけは直りません…
213.159.117.134です…流布した奴してやりたい…
どうすればよいのか教えてください。怖くてネットにはつないでません…

467 ：04/10/13

>>466
ページはウィルスに感染しています！だそうだ
アンチウィルスソフトを入れて、全部のファイルをスキャンしてみろ
たぶん、CWS系のスパイウェアを入れるダウンローダーがあるはず

468 ：04/10/13

213.159.117.134を、そのままアドレスとして入力したらって話ね
開いたとたんにCoolWebSearchのページが開いて、変なファイルを自動的にダウンロードしようとしてた
テンポラリファイルに入ったから、テンポラリファイルも一旦綺麗にした方がよさげ

469 ：04/10/13

>>467
アンチウイルスソフトはもう使ったのですが…どうにも('A`)出てきません。
>>468
具体的になにをすればいいのでしょうか…教えてください。すみませぬ('A`)

470 ：04/10/14

>>469
ここのテンプレに従って、全部の工程を作業
エロサイト見たら…助けて下さい！Part42
http://pc6.2ch.net/test/read.cgi/pcqa/1096953352/
いくらアンチスパイウェアソフトをいれていても、
アンチウィルスソフトが入っていなければあまり意味がないという事かと。
少なくとも、213.159.117.134にはウィルスが仕込まれてるので。

471 ：04/10/14

スパイウエアにしっかりデジタルサインされているわけだが
スパイウエアを作る連中にデジタル証明書を発行するベリサイン社って
どうよ？

472 ：04/10/14

ベリーグーだな。

473 ：04/10/14

>>471
こっちに話題提供したれという事で
【ベリサイン】VeriSign 【証明書】
http://pc5.2ch.net/test/read.cgi/sec/1073635455/

474 ：04/10/14

？

475 ：04/10/15

　　　∧∧∧∧∧∧ ∧
　　( (・( ・(・ ( ・３(　・３)　　　　　よい子の
　　（つ（つ/つ/／　　二つ
ハァ─) .| /（ ヽノ　　ノヽっ ─・・・
　　　∪∪とノ(／￣　∪
　　　　　　　　　　　　　　　∧
　((　 (＼＿ ∧ ∧ ∧ ∧　３)っ
　　　⊂｀ヽ ( ・３・)　_)３・) )　　ノノ　　質問
　　ヽ　⊂＼　　⊂ ）　　＿つ
スゥ──(／（ /∪∪ヽ)ヽ)　ノ ──
　　　　　　∪￣(／￣＼)
　　　　　(＼　 ∧ ∧　　　カッ
　　　　　　< ｀(　・３・) 　　　　　　待ってるYO
　　　　　　　＼　ｙ⊂ ）
　　　　　　　／　　　　＼
　　　　　　　∪￣￣￣＼)

476 ：04/10/16

（・３・）　エェー　よいこの質問待ってるＹＯ♪

477 ：04/10/16

sage

478 ：04/10/16

＼＼　　ビ　　　　＼＼　　＼　　＼＼＼　　＼＼　＼　＼
　＼＼　＼＼　ュ　　　　ウ　　　　　＼＼　＼　＼＼
　＼＼　　＼＼　　＼＼　　＼　ウ　　＼＼＼　＼＼
　＼＼＼　　＼＼ ＼∧＿∧　　　　　　ウ　　＼＼　＼
　　＼＼　　＼＼　　(　・３・ ∧∧　　　　　　ゥ＼　＼＼
　　　　　＼　＼　　　（　　　(・３・ )　　＼＼　＼＼ゥ＼＼
　＼　　＼＼　　　＼｜ ｜　|　　ヽ　　　　＼＼　　　　ゥ
　＼＼　＼　＼＼　 （＿（＿UU(　）〜′　＼＼　　＼＼
　＼　　＼＼　＼　 |￣￣|　　　　￣￣＼　＼＼　＼＼
　　　＼　＼　＼　 /　Ｙ　＼　 ∨　　|　　￣￣￣￣ヽヽ
　＼＼　　＼＼　　|　　|　　|　　＼　　ヽ
　　　たとえ人が来なくても、今はただ耐えるのだ！

479 ：04/10/17

なんでここウイルスに感染してるの？

480 ：04/10/17

スレがウィルスに感染する事はないよ
貼られているウィルスコードに反応しているだけ。

481 ：04/10/17

スパイウェアは、システム復元、バックアップで、
パソコンをその前の状態にまで戻す、それで戻らない？

482 ：04/10/17

>>481
システムの復元で元に戻すのも一つの解決方法です。

483 ：04/10/17

（・３・）　エェー　よいこの質問待ってるＹＯ♪

484 ：04/10/17

某スレで、こちらでHijackThisのLOGを貼って、診断してもらえば？
と助言を頂いたので、ご助力願いたいのですが、
HijackThisの全LOG(70行程度)が必要なのでしょうか？

485 ：04/10/17

>>484
>>144辺りを参考にして貼ってみたら。

486 ：04/10/17

>>485
ありがとーです。
レスはちゃんと読まなきゃダメですな(;´д｀)
ウィルス情報のスレでも書いたのですが、ご助言の参考になれば。
▼発現する症状
�@1時間ごと(18時00分とか19時00分)のタイミングでproxybiketrust.exeが起動する
�Aproxybiketrust.exeが起動するとCPUを占有され、使用率が100%キープされる。
�Bproxybiketrust.exeはプロセス終了させればCPUが開放され、動作が軽くなる。
�Cファイル検索を行ってもproxybiketrust.exe自身が見つからない。
�Dノートン先生、Ad-awareでの走査ではウィルスとして検知されない。
▼HijackThisによるLOG
Logfile of HijackThis v1.98.2
Scan saved at 18:00:32, on 2004/10/17
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
▽続く

487 ：04/10/17

▽続き
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Norton Internet Security\ccPxySvc.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\ups.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
c:\docume~1\sino-m\applic~1\stoppo~1\proxybiketrust.exe
C:\Documents and Settings\sino-m\デスクトップ\新しいフォルダ\HijackThis.exe
486も私です。
かなり長レスで申し訳ないです。ご助言よろしくお願いします

488 ：04/10/17

>>486-487
いや、待て待て。貼ってあるログだけじゃ全然わからんつーの。
Proxybiketrust.exeってのはググっても出てこないんだけど、
コントロールパネルのアプリケーションの追加と削除に何か見覚えのないものがない？
ノートン先生はちゃんと最新の定義にアップデートしているかい？
SpybotやAd-awareSEは最新の定義にして試してみたかい？
それでも治らなければ、HijackThisの04エントリに、proxybiketrust.exeの含まれている
エントリがないかい？

489 ：04/10/17

>c:\docume~1\sino-m\applic~1\stoppo~1\proxybiketrust.exe
問題のproxybiketrust.exeはApplication Data\Stoppo何とか\いかにあるんじゃね？

490 ：04/10/17

>>487
>>144さんの貼り方を良く見て下さい
まだ、肝心な部分が貼られていませんよ。

491 ：04/10/17

馬鹿共また釣られてんのか？

492 ：04/10/17

O4 - HKLM\..\Run: [internat.exe] internat.exe
Nasty The entered application internat.exe was identified: ControlPanel. Hit rate: 22 % (result) Must be fixed!
O4-HKLM￥- ￥実行:汚い[国際競技会exe]国際競技会exe、入力された適用国際競技会exeが識別されました:ControlPanel。ヒット率:22%(結果)固定するに違いありません!
ほんと、嫌になるわ…

493 ：04/10/17

絶対に最初のレスで間違えて２連投する回答者さん
消えちゃったね。

494 ：04/10/18

回答した後、自論を語り始める回答者もいたなｗ

495 ：04/10/18

>>492
（・３・）　エェー　酷いですNE

496 ：04/10/18

（・３・）　エェー　よいこの質問待ってるＹＯ♪

497 ：04/10/18

お願いします。

498 ：04/10/18

>497
>>488とか>>490とかの書いたことの意味が読み取れてる？
なんだかとっても心配なのでまとめてみると
「>>486-487だけじゃ情報が足りないからわからない。お願いされてもどうしようもない。
>>144-148のように、複数に分けてログ全部貼れ」
とまあ、こんな感じ。
ただ、この程度のニュアンスが通じないとなると、いくら有効なアドバイスがあっても
484は理解しきれなしんじゃないかと心配ではあるが。

499 ：04/10/18

助言ありがとうございました。とうやら解決できたようです。

500 ：04/10/18

>>499
（・３・）　エェー　肝心な部分を貼り忘れたみたいですNE
　　　∧∧∧∧∧∧ ∧
　　( (・( ・(・ ( ・３(　・３)　　　　　よい子の
　　（つ（つ/つ/／　　二つ
ハァ─) .| /（ ヽノ　　ノヽっ ─・・・
　　　∪∪とノ(／￣　∪
　　　　　　　　　　　　　　　∧
　((　 (＼＿ ∧ ∧ ∧ ∧　３)っ
　　　⊂｀ヽ ( ・３・)　_)３・) )　　ノノ　　質問
　　ヽ　⊂＼　　⊂ ）　　＿つ
スゥ──(／（ /∪∪ヽ)ヽ)　ノ ──
　　　　　　∪￣(／￣＼)
　　　　　(＼　 ∧ ∧　　　カッ
　　　　　　< ｀(　・３・) 　　　　　　待ってるYO
　　　　　　　＼　ｙ⊂ ）
　　　　　　　／　　　　＼
　　　　　　　∪￣￣￣＼)

501 ：04/10/18

マカフィーの「パーソナルファイアーウォールプラス」（以下mpf）が
ネットに繋いだ後で、強制終了メニューを出すと「mpftray（応答なし）」に。
タスクトレイのＭアイコンから一度無効にして有効にすると、ふつうに「mpftray」に
なるんですが、この問題は何が原因でしょうか。
これよりhijackthisのログを貼りますので、ご教授お願いします。
Logfile of HijackThis v1.98.2
Scan saved at 17:18:56, on 04/10/18
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\IMEJPMGR.EXE
C:\WINDOWS\ﾃﾞｽｸﾄｯﾌﾟ\HIJACKTHIS\HIJACKTHIS.EXE
C:\WINDOWS\SYSTEM\MSCONFIG.EXE

502 ：04/10/18

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - C:\PROGRAM FILES\MCAFEE.COM\VSO\MCVSSHL.DLL
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NMFTASK] NMFTASK.EXE /RESET
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\MCAFEE.COM\VSO\MCMNHDLR.EXE" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "C:\PROGRA~1\MCAFEE.COM\VSO\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] C:\PROGRA~1\MCAFEE.COM\AGENT\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\MCAFEE.COM\AGENT\MCUPDATE.EXE
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
O4 - HKLM\..\RunServices: [SAService] C:\CyberTrio\SaService.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [McVsRte] C:\PROGRA~1\MCAFEE.COM\VSO\mcvsrte.exe /embedding
O4 - Startup: いま、いくら？.lnk
O4 - Startup: ﾀｲﾏﾁｪｯｸ.LNK = C:\Timer\Nectmchk.exe

503 ：04/10/18

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .mpg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O12 - Plugin for .png: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin6.dll
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://bin.mcafee.com/molbin/shared/mcinsctl/jp/4,0,0,84/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://bin.mcafee.com/molbin/shared/mcgdmgr/jp/1,0,0,21/mcgdmgr.cab

504 ：04/10/18

>>501-503
HijackThisで出てくる範囲だと、変なエントリはRelatedだけだね
（これはAd-awareSEなりSpybotで除去できるスパイウェア）
Ad-awareSEとSpybot使ってスキャンすれば、HijackThisで出てくる問題点は特にないと思う
マカフィーのパーソナルファイヤーウォールの設定の問題の可能性があるので
http://www.mcafeesecurity.com/japan/mcafee/faq/default.asp?submit1=TRUE
ここで検索してみて、それでもわからないならば
がんばれマカフィーPART11
http://pc5.2ch.net/test/read.cgi/sec/1096245329/
こっちで質問するのがよいかと思うよ

505 ：04/10/18

>504
そうですか、ありがとうございました。
失礼します。

506 ：04/10/19

マカの話題がでたついでに、少々お聞きしたい事が。
現在マカをｱﾝｲﾝｽﾄｰﾙをしてﾊﾞｽﾀｰ入れているのですが
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
のエントリはマカフィーツールバーの残骸なんでしょうか？
（>>502の03エントリを見てて気がついたのです）
残骸ならフィックした方がよいですかね・・・

507 ：04/10/19

>>506
http://computercops.biz/clsid-895.html
間違いなくその残骸かと。
基本的に、no fileとなっているものは実行ファイルが既にないという事なので
無害であり、特に気にならないならFixしなくても平気だったりします。
が、俺の場合はいらないレジストリエントリがあるのが何となく嫌なのでFixします。
お好みでよいかと

508 ：04/10/19

>>507
やはりそうでしたか・・。フィックする事します。
ありがとうございました。

509 ：04/10/19

>501ですが、今日はそのような症状が見られませんでした。
hijackthisの問題のエントリーもfixしていませんし、mpfの設定も
いじっていません。やっぱりバグなのか、俺のパソコン自体に問題があるのか、
それとも今日だけなのか、また明日になればわかるよね。
って板違いですね。

510 ：04/10/19

>>509
軽く喰らってる事は確か。

511 ：04/10/19

>510
悪質な奴で無かったらスルーしてもいいですか？
つーか、自動起動プログラムを見ても怪しい項目が見当たらないんですが。
一応ヒマなときにｸﾞｸﾞって調べてみます。

512 ：04/10/19

>>511
というか、SpybotとAd-awareSEをダウンロードしてスキャンすれば
綺麗になるよ、レジストリ上は。HijackThisでFixするまでもないかと。

513 ：04/10/19

>512
それやってみようかな…
それより再起動したら変なエラーが出たぞ！
テキスト開いたらこんなメッセージが表示されていた。
*********
McAfee Personal Firewall Plus によって、MPFTRAY.EXE にエラーが生成されました。
Time:10/19/2004 21:06:57
Build:6014
Exception:ACCESS_VIOLATION (C0000005)
Location:BFF7A388 => C:\WINDOWS\SYSTEM\KERNEL32.DLL [02:00001388]
Registers:
EAX: 00F0FD18
EBX: 00001414
ECX: 93E5CB3D
EDX: CD5B2620
ESI: 00F1EC10
EDI: 0174EDC0
CS:EIP: 0167:BFF7A388
SS:ESP: 016F:006DDE14 EBP: 006DDE38
DS: 016F ES: 016F FS: 390F GS: 0000
Flags: 00010206

514 ：04/10/19

Call Stack:
Address Frame Logical Addr Module
BFF7A388 006DDE38 0002:00001388 C:\WINDOWS\SYSTEM\KERNEL32.DLL
BFF7A550 006DDE60 0002:00001550 C:\WINDOWS\SYSTEM\KERNEL32.DLL
BFF88F4A 006DDE74 0002:0000FF4A C:\WINDOWS\SYSTEM\KERNEL32.DLL
0046D24D 006DDEB0 0001:0006C24D C:\PROGRAM FILES\MCAFEE.COM\PERSONAL FIREWALL\MPFTRAY.EXE
0046D26F 006DDF18 0001:0006C26F C:\PROGRAM FILES\MCAFEE.COM\PERSONAL FIREWALL\MPFTRAY.EXE
0048C50E 006DDF8C 0001:0008B50E C:\PROGRAM FILES\MCAFEE.COM\PERSONAL FIREWALL\MPFTRAY.EXE
BFF7363B 006DDFAC 0001:0000263B C:\WINDOWS\SYSTEM\KERNEL32.DLL
BFF945AF 006DDFC0 0002:0001B5AF C:\WINDOWS\SYSTEM\KERNEL32.DLL
KERNEL32.DLL って>501のRun-プロセスにあるじゃねーか！
こいつが問題起こしてるのかな？

515 ：04/10/19

レジストリ内を「cnsmin」で検索かけたら見つかった！
この場合、迷わず削除するべきですか？

516 ：04/10/19

>>513-514
>>501-503さんのHijackThisログに対しては、>>512という話ね。他の人は知らない
マカフィースレで聞いてみた方がいいと思うよ、Kernel32.dllはシステムファイルだし
>>515
レジストリいじるだけでは、数があまりに多すぎてまずCnsMinを駆除するのは不可能
コンパネから削除するなり、被害対策の部屋のコンテンツを見て駆除した方がいいよ

517 ：04/10/20

良スレage

518 ：04/10/21

（・３・）　エェー　よいこの相談待ってるＹＯ♪

519 ：04/10/21

（・３・）　エェー　よいこの相談待ってるＹＯ♪

520 ：04/10/21

sage

521 ：04/10/23

おや？

522 ：04/10/23

＞ぼるじょあ ◆yBEncckFOUさんへ
>c:windows\explorer
を削除しようと試しましたが、使用中です。と
言われたので、セーフモードで立ち上げて消そうとしたのですが、
使用中です。と言われたので半場諦めモード突入です。
どうやって消したらいいんですか教えて下さい！

523 ：04/10/23

エロサイトのウィルスに感染して困った時期がありました。
osはwindowsでブラウザはieでした。
アップデートも前は定期的に行なっていました。
セキュリティソフトもパソコンにインストールされていた時もありました。
パソコンをスキャンしてみたら、c:windows\explorer.exeが存在しないと
言われたので、これは緊急事態！
ということなのでc:windows\explorer.exeを削除を試しましたが、
windowsが使用中です。と言われて削除ができないので、
レジストリエディタを開いてexplorer.exeを検索してhitした項目を
片っ端から削除。そして再起動。
起動できなくなり、すっきりしました。
無事解決しました。ありがとうございます。

524 ：04/10/25

？

525 ：04/10/25

（・３・）　エェー

526 ：04/10/27

（・３・）　アルェー　よいこの質問待ってるＹＯ♪

527 ：04/10/27

ねえよ。残念。

528 ：04/10/30

ぼるじょあさん、暇そうね・・・

529 ：04/10/30

>>528
（・３・）　エェー　ありがとうだYO

530 ：04/11/04

>>529
お忙しいところ恐れ入ります
質問です
一応、ハイジャックのツールを使って
EliteToolBarを消したんですけど
アプリケーションに行くと、エキスプローラーマークに
EliteBar Internet Explorer Toolbarと表示されている
UNINSTALLPROGRAMLISTでログとりますと
"DisplayName"="EliteBar Internet Explorer Toolbar"が残ってるんですけど
これは削除されてないと言うことなのでしょうか？

531 ：04/11/04

>>530
（・３・）　エェー　>>34の作業を実行してみてNE
（・３・）　エェー　それでも、コンパネに残る様でしたら
　　　　　　　　　　　↓を使ってみて下さいYO
　　http://www.vector.co.jp/soft/win95/util/se259857.html

532 ：04/11/04

>>531
ありがとうございました
>>34の作業済み後にかきこみました
このツール凄いです。

533 ：04/11/09

さぁ！盛り上がってまいりました！
tp://www.higaitaisaku.com/cgi-bin/cbbs.cgi?mode=all&namber=48592&type=0&space=0&no=0

534 ：04/11/09

１．年齢、月収・・・・・・・・・・・・・・・

535 ：04/11/12

素直というか無知というか・・・・

536 ：04/11/12

あそこも回答者の質が落ちたな

537 ：04/11/13

キャットﾀｿも居なくなったし・・・

538 ：04/11/14

まだまだ盛り上がってます
tp://www.higaitaisaku.com/cgi-bin/cbbs.cgi?mode=all&namber=4862&type=0&space=0&no=3

539 ：04/11/14

これアンインストールってどうやってすんの？

540 ：04/11/14

>>539
実行ファイルをDLして使用してるだけならフォルダごと削除
インストーラーを使用したならコントロールパネルからアンインスコ
几帳面ならこれも削除しとけ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Soeperman Enterprises Ltd.\HijackThis

541 ：04/11/14

ConfigのMisc ToolsにあるUninstall hijackThis & Exitじゃだめなの？

542 ：04/11/19

>>538
もう見れない・・・・・

543 ：04/11/20

あんのん擁護の群青があんのん避難の書き込みを全て削除
最終的には親書き込みを含めて全ログ削除

544 ：04/11/20

>>543
どんな内容だったんですか？

545 ：04/12/19

about　blankの一種のsearch…がでてくるやつにかかったんだけど…Hijack　Thisでしらべたらこうなりました。

546 ：04/12/19

Logfile of HijackThis v1.98.2
Scan saved at 23:08:40, on 04/12/18
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE
C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WEBSCANX.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\HIDSERV.EXE
C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSSTAT.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\COMMON FILES\FUJITSU SHARED\BTNHND.EXE
C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\AVCONSOL.EXE
C:\PROGRAM FILES\FUJITSU\AUV\AUVCORE.EXE
C:\WINDOWS\SYSTEM\IMEJP98M.EXE
C:\PROGRAM FILES\DI\HATCHINSIDE\HATCHINSIDE.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\GIKONAVI\GIKONAVI.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\ﾃﾞｽｸﾄｯﾌﾟ\HIJACKTHIS\HIJACKTHIS.EXE

547 ：04/12/19

O2 - BHO: IAtlIE Class - {4449EEE1-2955-11D3-8B43-0000E20DA208} - C:\PROGRA~1\INETLITE\ATLIE.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: (no name) - {E42E7DE1-4FB4-11D9-99ED-000763299CB1} - C:\WINDOWS\SYSTEM\BIGPPL.DLL
O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [LoadBtnHnd] C:\Program Files\Common Files\Fujitsu Shared\BtnHnd.exe
O4 - HKLM\..\Run: [AvconsoleEXE] C:\Program Files\Network Associates\McAfee VirusScan\avconsol.exe /minimize
O4 - HKLM\..\Run: [Vshwin32EXE] C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE
O4 - HKLM\..\Run: [VsStatEXE] C:\Program Files\Network Associates\McAfee VirusScan\VSSTAT.EXE /SHOWWARNING
O4 - HKLM\..\Run: [McAfeeWebScanX] C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe
O4 - HKLM\..\RunServices: [Hidserv] Hidserv.exe run
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Vshwin32EXE] C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE
O4 - HKLM\..\RunServices: [McAfeeWebScanX] C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe /RUNSERVICES

548 ：04/12/19

O4 - Startup: FM便利ツール.lnk
O4 - Startup: hatchinside.exe.lnk = C:\Program Files\DI\HatchInside\hatchinside.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O18 - Filter: text/html - {E42E7DE0-4FB4-11D9-99ED-00070C65392A} - C:\WINDOWS\SYSTEM\BIGPPL.DLL
O18 - Filter: text/plain - {E42E7DE0-4FB4-11D9-99ED-00070C65392A} - C:\WINDOWS\SYSTEM\BIGPPL.DLL
｢your　syｓtem　infected｣という表示がよく出てきます。
どこをFIXしましょう？？
adwareで消そうとすると除去途中の画面でとまってしまいます。

549 ：04/12/19

>>548
>adwareで消そうとすると除去途中の画面でとまってしまいます。
たぶんね、それはまだ除去途中なだけだと思うんだな。
最新の定義にして、寝る前にスキャンかけておくといいと思うよ
あと、セーフモードでもう１回スキャンした方がよさそう。

550 ：04/12/19

　>>549　ありがとうございます。

551 ：04/12/19

試してみたらDELETING　SELECTIONのゲージが最後までたまった状態で10分くらいそのままになってるんですが…

552 ：04/12/20

adawareでは消せませんでした。どうしましょう？？

553 ：04/12/20

>>552
(=^u^=)つ　98のトラブルは大体この方法で解決するなりよ
　　　　　 　　●一番古い日付は不可なり。
MS-DOSモードで起動
「 scanreg /restore 」　と入力
(すべて半角、scanregの後に半角スペース)
レジストリのバックアップが表示されるので、問題なく動作していた日付を選択
「復元完了」と表示されたら「R」キーを押して再起動するなり
スタート＞検索＞ファイルやフォルダ　トラブルのあった日に
作成されたファイルで見覚えのないものを削除するなり。

554 ：04/12/22

>>552
ここは見てみた？
http://www.higaitaisaku.com/removeaboutblank.html

555 ：04/12/23

　 >>553　>>554ありがとうございます。

556 ：05/01/16

直った？

557 ：05/01/21

Hijack Thisのサイトのどこかに以下
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
...............
のような結果を貼り付けて送信すると
なにとなにを削除したほうがよいと自動的に分析してくれるところがありましたよね。
以前それで除去に成功できたんですけどURLを教えてください。
今>>1にある関連サイトhigaitaisaku・・・は全部　INTERNET　OPTIMIZER　になっちゃってます。

558 ：05/01/21

>>557
（　・∀・）つhttp://www.hijackthis.de/index.php?langselect=english
でもいきなりHijackthisじゃなくて、アンチウィルスソフト、Ad-aware、Spybotで
掃除してからの方がいいよ
INTERNET　OPTIMIZERは割と既出なスパイウェアだから、対策ソフトで掃除可能な
場合も結構多いので

559 ：05/01/21

>>558感謝です。

560 ：05/02/03

この間掲示板を見ていたら、ブラクラっぽいのを踏んで、スパイウェアをダウンロ
ードさせられてしまいました。
ｓｐｙｂｏｔをもともと持っていたので、Coolwwwsearchというのを削除しました。
しかし、スタートページが勝手に変えられてしまったり、デスクトップの表示が変だった
りするのがなおりません。
そこで、調べていくとon-line.exeというのもダウンロードさせられていたみたいでした。
それに関連すると思われるのを１つ手動で削除したのですが、それでも直りません。
どうしたらよいでしょうか。よろしくおねがいします。
ＩＥを開いたときに表示させられてしまう物のＳＳです。
http://atticroom.fc2web.com/files/Img/ss.jpg

561 ：05/02/04

連続レスｽﾏｿ。
Ad-awareとspybotを併用したのに消えませんですた。
どうしたらいいかおしえてください。

562 ：05/02/04

>>560
on-line.exeは確かウィルスだった気がするんだけど、
アンチウィルスソフトは入ってる？あるいはオンラインスキャンしてみた？
CWShredderは使ってみた？

563 ：05/02/04

サイトの管理人？

564 ：05/02/04

再インスコｗ

565 ：05/02/05

>>562
アンチウイルスソフトは、ウイルスセキュリティっていうのが入っています。
CWShredderはまだです。やってみますた。

566 ：05/02/15

ttp://www.higaitaisaku.com/hijackthis.html
↑で赤字で「これらは絶対にFixしてはいけません。」て書かれていたの忘れて、
hijack thisでo18のところを全部FIXしてしまいました
メールが開けなくなりました・・・
リカバーしたいのですが、誰かやり方を教えていただけないでしょうか？

567 ：05/02/15

>>566
(=^u^=)つ
「Config」→「Backups」を選ぶと、これまで処理したファイルの一覧が出ます。
これらは削除したエントリーごとに作られるので、個別のエントリーを復帰／削除できます
復活したいファイルを指定して「Restore」をクリックすると確認メッセージが出ます
「はい」をクリックすればリストアされます

568 ：05/02/15

＞＞５６７
おお！直りました！！
たぬたん、ありがとう〜
こんな親切な人初めてです(^-^*)

569 ：05/02/22

オットのパソコンをなおそうとがんがったけどだめですorz
>>558でチェックしてます。
nastyとなってるのを削除何度もするのに何度でも01が復活します。
O1 - Hosts: 69.20.16.183 auto.search.msn.com
Nasty This entry should be fixed immediately! Must be fixed!
O1 - Hosts: 69.20.16.183 search.netscape.com
Nasty This entry should be fixed immediately! Must be fixed!
O1 - Hosts: 69.20.16.183 ieautosearch
spybotもhijackthisも試しました。
hijackthisで?になっているのは以下のとおり。
C:\WINDOWS\system32\CNAC1RPK.EXE
C:\Program Files\GW-NS11C Utility\WlanUtility.exe
Unknown running process. (WlanUtility.exe)
O4 - HKLM\..\Run: [yikejpf] C:\WINDOWS\System32\xinlee.exe
Unknown
Hit rate: 8 % (result) Unknown application.
O4 - HKLM\..\Run: [vkp] C:\WINDOWS\vkp.exe
Unknown
Hit rate: -1 % (result) Unknown application.
O4 - HKLM\..\Run: [SysView] C:\WINDOWS\System32\Sysview.exe
Unknown
Hit rate: 8 % (result) Unknown application.
O20 - Winlogon Notify: Internet Settings - C:\WINDOWS\system32\lv0q09d5e.dll
Unknown
O21 - SSODL: ProxiHook - {54F89558-2511-4200-A8A1-FA2C78D2986E} - Msshtask.dll (file missing)
あとはsafeでした。どなたか教えてエロイ人<(_ _)>

570 ：05/02/22

まあエロいご主人ですことｗ

571 ：05/02/22

>570
もちろんはったおしましたがなにか？
どこで感染したんじゃマジできれる

572 ：05/02/23

>>569
(=^u^=)　たぬたんが見たところ全消しなりね。
以下の作業を実行するなり。
hostsファイルの削除
http://www.higaitaisaku.com/hosts.html
次にHijackThis以外のウィンドウをすべて閉じ、
エントリにチェックを入れてFix後、PCを再起動するなり。
そして関連ファイルを削除するなり。
念の為にゴミ箱に10日位は残しておくなり。
セーフモードでAd-Aware SE、Spybot1.3、CoolWebSearch
http://www.higaitaisaku.com/removecws.html
最後に IE 関連レジストリの完全なリセット
http://www.higaitaisaku.com/cleanfixreg.html
(=^u^=)　他の回答者さんの意見も参考に作業して下さいなりね。

573 ：05/02/24

エロサイト巡りの後始末を奥さんにやらせるってのもねえｗ

574 ：05/02/24

>>573　まあね。結局解決方法をメール発射してもぜんぜん理解できないって
言ってたし。どこのサイト行ってそんなことになったのかが分からないってのもどうかと。
で、奥さんはスキルアップしていくわけだが。
どっかでネタにしてやろうと思ってますよ。
>>572たぬたんｻﾝｸｽｺ！まずはやってみます。

575 ：05/02/25

NTFSでフォーマットして
制限ユーザーアカウント作って旦那にはそれだけ使わせとけ

576 ：05/02/25

>>573
そりゃ奥さんがやらせてあげないからだ

577 ：05/02/26

>>572
いや、驚いた。
hostsファイルを上書きしてもすぐ自動で書き込みします。
その内容は以下のとおり。
127.0.0.1 www.igetnet.com
127.0.0.1 code.ignphrases.com
127.0.0.1 clear-search.com
127.0.0.1 r1.clrsch.com
127.0.0.1 sds.clrsch.com
127.0.0.1 status.clrsch.com
127.0.0.1 www.clrsch.com
127.0.0.1 clr-sch.com
127.0.0.1 sds-qckads.com
127.0.0.1 status.qckads.com
69.20.16.183 auto.search.msn.com
69.20.16.183 search.netscape.com
69.20.16.183 ieautosearch
69.20.16.183 ieautosearch
検索すると外国語ばかり。日本のこういう事例はないのか。
どうやったら上書きされないですむのかな。

578 ：05/02/26

あははははっはっはっは

579 ：05/02/26

>>577
(=^u^=)　そうなりか、一度最新のログを全部貼り付けて下さいなり。

580 ：05/02/26

hostsファイルを読み取り専用にすれば？

581 ：05/02/27

>>580 読み取り専用をはずしてニョキニョキと上書きしてくるYO!
hostsファイルの名前をhost2と言う名前にしたら
新たにhostsファイルがニョキニョキと生えてくるよ（T0T)
>>579
Logfile of HijackThis v1.99.1
Scan saved at 0:16:05, on 2005/02/27
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe　C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe　C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe　C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe　C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe　C:\PROGRA~1\TRENDM~1\VIRUSB~1\PcCtlCom.exe
C:\PROGRA~1\TRENDM~1\VIRUSB~1\Tmntsrv.exe　C:\PROGRA~1\TRENDM~1\VIRUSB~1\tmproxy.exe
C:\WINDOWS\system32\fxssvc.exe　C:\WINDOWS\system32\CNAC1RPK.EXE
C:\WINDOWS\Explorer.EXE　C:\PROGRA~1\TRENDM~1\VIRUSB~1\TmPfw.exe
C:\PROGRA~1\TRENDM~1\VIRUSB~1\PccGuide.exe　C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe　C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\carpserv.exe　C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe　C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Program Files\iPod\bin\iPodService.exe　C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe　C:\Program Files\GW-NS11C Utility\WlanUtility.exe
C:\WINDOWS\System32\svchost.exe　C:\backup\hijackthis_199\HijackThis.exe
続く　

582 ：05/02/27

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
N3 - Netscape 7: user_pref("browser.startup.homepage", "http://www.yahoo.co.jp/"); (C:\Documents and Settings\剛司\Application Data\Mozilla\Profiles\default\eycvidmo.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CAOL_Japan.src"); (C:\Documents and Settings\剛司\Application Data\Mozilla\Profiles\default\eycvidmo.slt\prefs.js)
O1 - Hosts: 69.20.16.183 auto.search.msn.com　O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch　O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe

583 ：05/02/27

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [imjpmig] C:\Program Files\Common Files\Microsoft Shared\IME\IMJP\imjpmig.exe /RemAdvDef /AIMEREG /Migration /SetPreload
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [yikejpf] C:\WINDOWS\System32\xinlee.exe　O4 - HKLM\..\Run: [vkp] C:\WINDOWS\vkp.exe
O4 - HKLM\..\Run: [SysView] C:\WINDOWS\System32\Sysview.exe　O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Virus Buster 2005\pccguide.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe　O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

584 ：05/02/27

O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: このページのキャッシュ - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: リンク元 - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: 関連ページ - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {3BA66EC1-3F6A-49DD-A359-CBAA1290469F} (ToonsXYJ Control) - http://comics.yahoo.co.jp/component/ToonsXYJ.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/22e6f7627ca99c50bf14/netzip/RdxIE601_ja.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/jp/win/QuickTimeInstaller.exe
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O16 - DPF: {E549AC3F-9A90-4EBF-AF69-8B8CC0954DB2} (ToonsXYahooJapan Control) - http://comics.yahoo.co.jp/component/ToonsXYahooJapan.cab

585 ：05/02/27

O20 - Winlogon Notify: ModuleUsage - C:\WINDOWS\system32\r4r60e9seh.dll
O21 - SSODL: ProxiHook - {54F89558-2511-4200-A8A1-FA2C78D2986E} - Msshtask.dll (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\VIRUSB~1\PcCtlCom.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\VIRUSB~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\VIRUSB~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\VIRUSB~1\tmproxy.exe
これで最後でつ。お手数おかけしてすみません<(_ _)>

586 ：05/02/27

奥さん、おいらのニョキニョキも助けてください！

587 ：05/02/27

毒男氏ね

588 ：05/02/27

585です。結局主人は再ｲﾝｽｺしますた。
それによりhostsファイルはニョキニョキしなくなりました。
もうちょっと人柱になってもよかったと思うのですがスレ汚しになって
すみませんでした。
どこに行ったのかわかりませんでしたが、今思えばsearch the webという
googleツールバーみたいなものがかつて下のほうにありました。
alexaツールバーみたいともいいますが、それが今思うと胡散臭かったような気がします
たぬたんﾀｿありがとうございました。本当に感謝感激です。

589 ：05/02/27

>>588
(=^u^=)　ゲッ!!!ごめんなり、たぬたん今帰ってきたなり。
　　　　　もう遅いなりが参考までに貼っておくなり　ｍ(＿　＿)ｍ
　　　　Kill2MeとeScanを使ったLook2Meの対処法
　　　　http://tinyurl.com/52x42

590 ：05/03/11

どれが危険なのかわかりません
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\AMD\Cool'n'Quiet\GemServ.exe

591 ：05/03/11

c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\WINNT\system32\imejpmgr.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\ja\msnappau.exe
C:\Program Files\Motherboard Monitor 5\MBM5.EXE
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\WINNT\system32\ezSP_Px.exe
C:\WINNT\system32\internat.exe
C:\Program Files\メモリの掃除屋さん\MemCleaner.exe
C:\WINNT\system32\conime.exe
C:\Documents and Settings\Administrator\デスクトップ\hijackthis\HijackThis.exe

592 ：05/03/11

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\ja\msntb.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1041,ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\ja\msntb.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\ja\msnappau.exe"

593 ：05/03/11

O4 - HKLM\..\Run: [MBM 5] "C:\Program Files\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINNT\system32\ezSP_Px.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O8 - Extra context menu item: Net Transportでﾀﾞｳﾝﾛｰﾄﾞ - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: 全てをNet Transportでﾀﾞｳﾝﾛｰﾄﾞ - C:\Program Files\Xi\NetTransport 2\NTAddList.html

594 ：05/03/11

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/17de158676701f45d505/netzip/RdxIE601_ja.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/jp/win/QuickTimeInstaller.exe
O16 - DPF: {8123E390-5EF7-11D5-A72E-006097BFA1AC} (EPSON Driver Auto-Install Control Class) - http://www.i-love-epson.co.jp/support/selfsetup/prg/estdinst.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by101fd.bay101.hotmail.msn.com/activex/HMAtchmt.ocx
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
O23 - Service: AMD PowerNow! (tm) Technology Service (GemServ) - Advanced Micro Devices - C:\Program Files\AMD\Cool'n'Quiet\GemServ.exe
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

595 ：05/03/12

分析と研究はするが、助言をするかは判らない。

596 ：05/03/16

はじめまして今www.advnt01のサイトがie立ち上げるたびに出てきて
悩んでいますt_t）自分なりにHijackで調べてみたものの
全くわからなくて行き詰ってしまいました。
諸先輩方どうかお力を貸してやってださいm(__)m
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton Internet Security\ccPxySvc.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\rkhipy.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\ISTsvc\istsvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AutoCAD LT 2002\aclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Cg\新しいフォルダ\hijackthis\HijackThis.exe

597 ：05/03/16

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [JobHisInit] C:\Program Files\RMClient\JobHisInit.exe
O4 - HKLM\..\Run: [MplSetUp] C:\Program Files\RMClient\MplSetUp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [d7aw] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [sais] c:\program files\180solutions\sais.exe
O4 - HKLM\..\Run: [lyr] C:\WINDOWS\lyr.exe
O4 - HKLM\..\Run: [C>糎INDOWS\roﾛia�YｧC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [C:\WINDOW1<rkhipy.eC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [d7aiC:\WINDOWS\khiC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [-
] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [Fｭ] C:\WINDOWS\rkhipy.exe

598 ：05/03/16

O4 - HKLM\..\Run: [>曾WINDOWS\rkhipy.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [>曾WINDOWS\,hipy.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [C:\WINDOWS\rkhipy.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [>曾WINDOWS\rka$py.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [>曾WINDOWS\,a\y.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [>曾WINDOWS\,a\y\xC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [>曾WINDOWS\,a�ｺaa�YC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [>曾WINDOWS\{oa�ｺoﾛ・C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [>繕・NDOWS\{oﾛ・oﾛ・C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [>繕・NDOWS\{oﾛ・oﾛ譏C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [>詮ｭﾜ(DOWS\{oﾛ譏oﾛ譏C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [^ﾔ�}ﾈ ﾝ9ｿﾌ*�]M・ﾀa�_:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [>曾WINDOWS\a$oﾛpy\xC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [C>糎INDOW1<roﾛia�YｧC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [C>糎INDOW1<a$ﾛ,�YｧC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [ccApp] C:\Program Files\Common Files\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [^ﾔ] C:\WINDOWS\rkhipy.exe

599 ：05/03/16

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [C:\WINDOWS\a$oﾛpy\xC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [C:\WINDOWS\a$oﾛ,\xC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [C>糎INDOWS\a�ｺaa�YｧC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [U・WINDOWS\,hipy.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [U・WINDOWS\,a$py.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [U６・NDOWS\,a$py.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun の Java コンソール - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: (no name) - {6224f700-cba3-4071-b251-47cb894244cd} - (no file)
O9 - Extra button: (no name) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.applied-net.co.jp

600 ：05/03/16

O16 - DPF: Yahoo! JAPAN Othello - http://yog34.games.mci.yahoo.co.jp/yog/yj/rt1_x.cab
O16 - DPF: {1F831FAA-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Program Files\AutoCAD LT 2002\InstFred.ocx
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/09d9a5fffd4318558623/netzip/RdxIE601_ja.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://218.44.249.130:8081/activex/AxisCamControl.cab
O16 - DPF: {A890AED3-A23B-4F76-BD69-D6AFB6A2296E} (WebViewer Class) - http://211.122.206.190/JViewer.cab
O16 - DPF: {AE56372A-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Program Files\AutoCAD LT 2002\InstBanr.ocx
O16 - DPF: {B942A249-D1E7-4C11-98AE-FCB76B08747F} (RealArcadeRdxIE Class) - http://games-dl.real.com/gameconsole/Bundler/CAB/RealArcadeRdxIE.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview ｺﾝﾄﾛｰﾙ) - file://C:\Program Files\AutoCAD LT 2002\AcPreview.ocx
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

601 ：05/03/16

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\ccPxySvc.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\Norton Internet Security\NISUM.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
長々と失礼しましたよろしくお願いします

602 ：05/03/17

>>601
(=^u^=)　ネットに繋いだ状態でコンパネからIST svcを削除するなり。
　　　　HijackThis以外のウィンドウをすべて閉じ、
　　　　エントリにチェックを入れてFix後、PCを再起動するなり。
　　　　　RealPlayer関連の不要エントリも含むなり。
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [d7aw] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [sais] c:\program files\180solutions\sais.exe
O4 - HKLM\..\Run: [lyr] C:\WINDOWS\lyr.exe
O4 - HKLM\..\Run: [C>糎INDOWS\roﾛia�YｧC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [C:\WINDOW1<rkhipy.eC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [d7aiC:\WINDOWS\khiC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [-] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [Fｭ] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [>曾WINDOWS\rkhipy.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [>曾WINDOWS\,hipy.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [C:\WINDOWS\rkhipy.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [>曾WINDOWS\rka$py.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [>曾WINDOWS\,a\y.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [>曾WINDOWS\,a\y\xC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [>曾WINDOWS\,a�ｺaa�YC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [>曾WINDOWS\{oa�ｺoﾛ・C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [>繕・NDOWS\{oﾛ・oﾛ・C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [>繕・NDOWS\{oﾛ・oﾛ譏C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe

603 ：05/03/17

(=^u^=)　続きなり
O4 - HKLM\..\Run: [>詮ｭﾜ(DOWS\{oﾛ譏oﾛ譏C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [^ﾔ�}ﾈ ﾝ9ｿﾌ*�]M・ﾀa�_:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [>曾WINDOWS\a$oﾛpy\xC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [C>糎INDOW1<roﾛia�YｧC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [C>糎INDOW1<a$ﾛ,�YｧC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [^ﾔ] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [C:\WINDOWS\a$oﾛpy\xC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [C:\WINDOWS\a$oﾛ,\xC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [C>糎INDOWS\a�ｺaa�YｧC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [U・WINDOWS\,hipy.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [U・WINDOWS\,a$py.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O4 - HKLM\..\Run: [U６・NDOWS\,a$py.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
O9 - Extra button: (no name) - {6224f700-cba3-4071-b251-47cb894244cd} - (no file)
O9 - Extra button: (no name) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - (no file)
(=^u^=)　覚えがなければ削除するなり
O16 - DPF: {A890AED3-A23B-4F76-BD69-D6AFB6A2296E} (WebViewer Class) - http://211.122.206.190/JViewer.cab
以下のファイルを削除するなり，念の為ゴミ箱に10日位残しておくなり。
WINDOWS\rkhipy.exe
c:\program files\180solutions\sais.exe
C:\WINDOWS\rkhipy.exe

604 ：05/03/17

(=^u^=)　以下も実行してゴミ掃除しておくなり
http://pc5.2ch.net/test/read.cgi/pcqa/1109928233/2
ブラウザジャッカーCoolWebSearch駆除ツール
ttp://www.higaitaisaku.com/removecws.html
定番スパイウェア除去ソフト、Ad-awareSEとSpybotS&Dを使って除去。
Ad-Aware SEによるスパイウェアの除去方法
ttp://www.higaitaisaku.com/adaware.html
http://lavasoft.element5.com/default.shtml.ja（公式サイト）
ttp://bdc.s15.xrea.com/（日本語化パッチ）
Spybot1.3によるスパイウェアの除去方法
ttp://www.higaitaisaku.com/spybot2.html
http://www.safer-networking.org/（公式サイト）

605 ：05/03/17

>>594
(=^u^=)　ログに大きな問題はなさそうなり
　　　　　　何か不具合があるなりか？

606 ：05/03/17

(=^u^=)　間違えたなり
以下のファイルを削除するなり，念の為ゴミ箱に10日位残しておくなり。
C:\WINDOWS\lyr.exe
c:\program files\180solutions\sais.exe
C:\WINDOWS\rkhipy.exe

607 ：05/03/25

O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O13 - Gopher Prefix:
hijackでfixしてもすぐに復活する。
どうにかして削除できる方法はないですか？

608 ：05/03/25

>>607
Internet Explorer関連レジストリの完全なリセット
ttp://www.higaitaisaku.com/cleanfixreg.html

609 ：05/03/25

>>608
ありがとう
やっと削除できた・・・

610 ：05/03/27

【動機は】雑音犬畜生Part28【何？】
http://tmp4.2ch.net/test/read.cgi/tubo/1107679450/

611 ：05/04/03

>>35
しんどけよ
存在価値なしのゴミクズ

612 ：05/04/03

誤爆？

613 ：05/04/03

他のスレでも見掛けたけど、どこだったっけ
えらく昔のカキコにわざわざ食いついてるバカ

614 ：05/04/03

（・３・）　エェー　よいこのセクルチーの相談待ってるＹＯ♪

615 ：05/05/22

このスレ、何で反応するんだ？

616 ：05/05/23

ms-its　じゃないか？

617 ：05/05/23

>>616
ビンゴ！！
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.133/legal/x.chm::/load.exe
これをtxt保存で反応するね。ガンガレ！ﾏｶﾋｰ

618 ：05/06/14

できました。

619 ：05/06/22

これやばいかな？
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

620 ：05/06/22

印照のドライバ関係か
ttp://www.greatis.com/appdata/a/i/igfxsrvc.dll.htm

621 ：05/06/22

なるほど
これ見るかぎりは大丈夫そうだね
サンクス

622 ：05/06/27

あい。

623 ：05/07/09

>>619
Intel Graphic Driver関連。
入れてる人は殆ど出ると思う。

624 ：05/07/10

なるほど。

625 ：05/07/26

保守('A`)ﾏﾝﾄﾞｸｾ

626 ：05/08/05

　 　 　 　 ,.._,/ /〉＿＿＿o ○（…朝風呂ぬるぽ）
　　　 　 ./// //──∧_ﾟ∧ ─::ｧ　/|
　　　　 /// //~~'~~（‐∀‐ ,）~~/　/ .|
　　 　.///_// 　　 　"'''"'''"'" /　/　 |
　　　//_《_》′─────‐ '　/　 ./
　 　 |￣￣￣￣￣￣￣￣￣￣| 　/
　 　 |　 　 　 　　　　　　　 　 　.| ./
　 　 |＿＿＿＿＿＿＿＿＿＿|/

627 ：05/08/19

保守('A`)ﾏﾝﾄﾞｸｾ

628 ：05/08/24

あい。

629 ：05/08/29

客いないね。

630 ：05/08/29

夏休みが静かに終わるでつよ
保守おつかれ

631 ：05/08/29

どなたか・・・
確か海外のサイトでこのログをそのままコピペして有る程度診断してくれるサイトがあったはずなんだけど
知っている方いませんか？
1回だけ利用してお気に入りにしておくのを忘れてしまったんです

632 ：05/08/29

>>631
HijackThis log file ysis
http://hijackthis.de/

633 ：05/08/29

★★★★★★★★★★★★★★★★★★★★★★★★★
ウイルス対策ソフトの検出力結果
http://www.geocities.co.jp/SiliconValley-Cupertino/2010/
★★★★★★★★★★★★★★★★★★★★★★★★★

634 ：05/08/29

>>633
どうせコピペするなら上のリンクくらい追加しとけ

635 ：05/08/29

>>631
あとここも
ttp://hjt.iamnotageek.com/

636 ：05/08/30

スパイウェアとかウイルスに感染してないか心配です。
どなたか鑑定おねがいします。
Logfile of HijackThis v1.99.1
Scan saved at 0:50:10, on 2005/08/30
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\NTTE\Flets\app\TangoService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe

637 ：05/08/30

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: ShowTangoBar Class - {603EC267-504E-4BD4-97F3-5DD71A271EAF} - C:\Program Files\NTTE\Flets\app\tangoiebar.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: フレッツ接続ツール - {831AA893-5930-4A2B-8D38-B881AD1764E2} - C:\Program Files\NTTE\Flets\app\tangoiebar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

638 ：05/08/30

O8 - Extra context menu item: Net Transportでﾀﾞｳﾝﾛｰﾄﾞ - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: 全てをNet Transportでﾀﾞｳﾝﾛｰﾄﾞ - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun の Java コンソール - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: フレッツ接続ツール - {A26ABCF0-1C8F-46e7-A67C-0489DC21B9CC} - C:\Program Files\NTTE\Flets\app\tangoiebar.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2931566C-B8A6-46C5-BF4D-E6AB9251E953} (Nexon Package Manager Control) - http://www.nexon.co.jp/JP/f/ActiveX/Public/nxpm.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1118928641921
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1122459103687
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/SymAData.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WB - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll

639 ：05/08/30

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Tango Service (TangoService) - Unknown owner - C:\Program Files\NTTE\Flets\app\TangoService.exe

640 ：05/08/30

>>636
>>632

641 ：05/08/30

>>636
まあ良いんでないの？
ルーターは買った方が良いと思うけど

642 ：05/08/30

631です。
>>632　>>635
ありがとう。早速お気に入りに追加しました。

643 ：05/08/31

hijackthis.deで調べて、消した方がいい程度のものまで消して別のデスクトップPCがインターネットにつながらなくなってしまいました。
消したエントリもよく覚えていません。こんな状態では治せませんよね。バックアップもリストアしましたが、いくつかレジストリに戻せませんでした。

644 ：05/08/31

そうですか

645 ：05/08/31

>>643
間違えて、O10とかを弄ったんじゃないか？
そのへんを無闇にfixすると、ネット接続できなくなることがあるらしい。
OSが何かわからんが、XPならシステムの復元で直らないかな？

646 ：05/08/31

>>645
OSが2kで復元ポイントもないんです。どこを弄ったか20個くらい一気にfixしてしまったのでわかりません・・・。

647 ：05/09/01

>>646
スタート画面から、「Config」→「Backups」を選ぶと、
これまで処理したファイルの一覧が出ます。
これらは削除したエントリーごとに作られるので、
個別のエントリーを復帰／削除できます
復活したいファイルを指定して「Restore」をクリックすると
確認メッセージが出ますので「はい」をクリックすればリストアされます
↑これは実行したのか？

648 ：05/09/01

おや？

649 ：05/09/06

Hijack Thisで2回連続スキャンしてしまいました。
確か1回スキャンしたら画面を閉じてからでないとスキャンしてはいけないみたいですが、どうなるのでしょうか？

650 ：05/09/07

>>649
正しいスキャン結果が表示されないだけで
PCには何ら影響はありません。

651 ：05/09/08

>>650
ありがとうございました

652 ：05/09/08

あい。またどうぞ。

653 ：05/09/13

O10 - Unknown file in Winsock LSP: d:\program files\bonjour\mdnsnsp.dll
O23 - Service: Bonjour サービス (Bonjour Service) - Apple Computer, Inc. - D:\Program Files\Bonjour\mDNSResponder.exe
上記のO10とO23が気になるのですが詳細教えてください

654 ：05/09/14

>>653
(=^u^=)　両方ともiTunes5関係のアプリケーションなりよ

655 ：05/09/15

ノートンを使ってるのですが、
このコンピュータに対する侵入 「ICC Profile TagData Overflow」 の試みを検出して遮断しました。
という警告が何度も出ます。これはなんですか？
spybotとnortonですべてスキャンを実行しても何も出ませんでした

656 ：05/09/16

しらんがな＆スレ違い　他をあたってくれ

657 ：05/09/16

たまーに右下に変な表示が出てきます。
黄色いアイコンで、クリックすると・・・　後で画像をアップします。
後、
hijackthis.deを使ったら、
O4 - HKLM\..\Run: [Kernel32] C:\WINDOWS\SYSTEM\Kernel.dll
の項目が危険と表示されたので削除しました。
で、しばらくするとまた復活します。
なんなんでしょうか？これは　お願いします

658 ：05/09/16

>>657
( ･∀･)つVBS_REDLOF
OS再インスコ推奨

659 ：05/09/16

インスコってなんですか？

660 ：05/09/16

>659
PC初期化と言った方が分かり易い？
あと04のとこに「StartUp:folder.htt」というのも無いか。

661 ：05/09/16

O4 - Startup: FOLDER.HTT
O4 - Global Startup: FOLDER.HTT
これですか？

662 ：05/09/16

失礼しました、移動します

663 ：05/09/16

>661
ふぅ〜やはりな…
REDLOFによる症状が出ちゃってるね。
今後、マイコンピュータやマイドキュメントなどを開くことは一切禁止
感染が広がります（もう手遅れだと思いますが）
このウイルスは以下の拡張子を持つファイルに感染します。
VBS ASP JSP PHP HTM HTML HTT
バックアップを取る際は、上記の拡張子のバックアップは取らないように。
ちなみにこのウイルスは「感染すると致命傷」とのことなので、リカバリーをお奨めします。

664 ：05/09/16

>>661
>>660は確実にREDLOF感染か確認したんだよ
REDLOFに感染している様では、複合感染している可能性があるからおれはOS再インスコ奨めたんだ。
これからはアンチウイルス、ファイアーウォール導入とWindows updateを実行しなされ。

665 ：05/09/16

遅かったか･･･でもOS入れ直しで意見は一致

666 ：05/09/16

ありがとうございました
俺の心にも致命傷が

667 ：05/09/16

ﾜﾗﾀ

668 ：05/09/17

>>666
初期化して再インスコだなww

669 ：05/09/19

　　_、_
（　,_ﾉ` )y━･~~~　

670 ：05/09/25

O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
これは大丈夫でしょうか？(´･ω･｀)

671 ：05/09/26

>>670
(=^u^=)　心配ないなりよ♪

672 ：05/10/05

おや？

673 ：05/10/23

　　_、_
（　,_ﾉ` )y━･~~~　

674 ：05/10/27

（＾３＾）　エェー　

675 ：05/10/31

O4 - HKLM\..\Run: [System service79] C:\WINDOWS\etb\pokapoka79.exe
これは何なんでしょうか？

676 ：05/10/31

>>675
ﾄﾛｲです

677 ：05/10/31

>>675
(=^u^=)　今年の夏にpokapoka62.exeが大流行したなりが
　　　　　　その亜種なりね・・・・
　　　　　　警告音が鳴ってないなりか？リカバリをお薦めするなり・・

678 ：05/11/02

セーフモードで立ち上げてアドミニストレーターで入ると
pokapoka79.exeだの変なツールバーがまとめて入ったフォルダーあったね。
スタートアップ項目にも入ってたね。
削除してましになった気がするけど。

679 ：05/11/02

(((((((( ；ﾟДﾟ)))))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙｶﾞﾀｶﾞﾀﾌﾞﾙｶﾞﾀｶﾞｸｶﾞｸｶﾞｸｶﾞｸｶﾞｸ

680 ：05/11/05

　 ∧＿∧
　（　´∀｀）　　／￣￣￣￣￣
　（　　　　）　＜ >>679　だね。
　｜ ｜ ｜　　＼＿＿＿＿＿
　（_＿）___）

681 ：05/11/08

O20 - Winlogon Notify: RunOnceEx - C:\WINDOWS\system32\k2lqlc351f.dll
起動するたびランダム？で英数字の名前が新しく付くよ
IEが勝手に起動してポップアップ広告でまくりだよ
どの削除ソフト使おうがセーフモードにしようが削除できないよ
だれか助けて('A`)

682 ：05/11/08

>>681
ログ全部貼って寝れば回答者が寄って来るよ。

683 ：05/11/09

今もちょくちょくIEが発動してます。
Ad-Aware、Spybot、Malware Destroyerでは検出しきれませんでした。
DllCompareを使うとO20のk2lqlc351f.dllを含む三つのファイルが検出されますが、どうやっても削除できません。
おねがいします。
Logfile of HijackThis v1.99.1
Scan saved at 8:41:16, on 2005/11/09
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Software\Desktop\Orchis\orchis.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\crypserv.exe
C:\PROGRA~1\TRENDM~1\VIRUSB~1\PcCtlCom.exe
C:\PROGRA~1\TRENDM~1\VIRUSB~1\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\VIRUSB~1\tmproxy.exe
C:\PROGRA~1\TRENDM~1\VIRUSB~1\TmPfw.exe
C:\PROGRA~1\TRENDM~1\VIRUSB~1\PccGuide.exe
C:\Software\Network\Jane Style\Jane2ch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\///////\デスクトップ\hijackthis\HijackThis.exe

684 ：05/11/09

O3 - Toolbar: cococ拡張ツールバー(&C) - {320A7F8A-F425-43DB-8B6A-51CB799CFE7E} - C:\Program Files\cococ\cocobar.dll
O4 - HKCU\..\Run: [Orchis] C:\Software\Desktop\Orchis\orchis.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O8 - Extra context menu item: cococ: RSSを探して追加する - res://C:\Program Files\cococ\cocobar.dll/addrss.html
O8 - Extra context menu item: cococ: 選択中のRSSを追加する - res://C:\Program Files\cococ\cocobar.dll/addrss2.html
O8 - Extra context menu item: FlashPlayerExで再生 - C:\SOFTWARE\FLASHP~1\LINK.HTM
O8 - Extra context menu item: Irvineでダウンロード - C:\Software\Network\Irvine\ie_menu\iemenu1.htm
O8 - Extra context menu item: IrvineへすべてのURLを送る - C:\Software\Network\Irvine\ie_menu\iemenu2.htm
O8 - Extra context menu item: IrvineへすべてのURLを送る(IMGを含む) - C:\Software\Network\Irvine\ie_menu\iemenu5.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun の Java コンソール - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

685 ：05/11/09

O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3B63095D-8630-4F0A-9D33-B6226621C0D1}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{3B63095D-8630-4F0A-9D33-B6226621C0D1}: NameServer = 192.168.1.1
O18 - Filter: text/x-mrml - {C51721BE-858B-4A66-A8BF-D2882FF49820} - C:\Program Files\YAMAHA\MidRadio Player\midradio.ocx
O20 - Winlogon Notify: RunOnceEx - C:\WINDOWS\system32\k2lqlc351f.dll
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\VIRUSB~1\PcCtlCom.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\VIRUSB~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\VIRUSB~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\VIRUSB~1\tmproxy.exe
帰ってくるのは夕方になるので、それまでレスできないと思います。

686 ：05/11/09

長々と書き込んどいてすみません。
Super Ad Blockerを使ってみたら駆除できたみたいです。
IEの自動起動もなくなりずっと残っていたSystem32フォルダの分身も消え、
O20 - Winlogon Notify: RunOnceEx - C:\WINDOWS\system32\k2lqlc351f.dll
も
O20 - Winlogon Notify: SABWinLogon - C:\Program Files\SuperAdBlocker.com\Super Ad Blocker\SABWINLO.DLL
これだけになりました。
同じ症状の人がいたらSuper Ad Blocker使ってみてください。

687 ：05/11/18

HijackThisって日本語の説明サイトか日本語化ってできるの？

688 ：05/11/19

>>687
http://www.higaitaisaku.com/hijackthis.html
体感操作できる、JP化いらない

689 ：05/12/18

　 　 　 　 ,.._,/ /〉＿＿＿o ○（…朝風呂ぬるぽ）
　　　 　 ./// //──∧_ﾟ∧ ─::ｧ　/|
　　　　 /// //~~'~~（‐∀‐ ,）~~/　/ .|
　　 　.///_// 　　 　"'''"'''"'" /　/　 |
　　　//_《_》′─────‐ '　/　 ./
　 　 |￣￣￣￣￣￣￣￣￣￣| 　/
　 　 |　 　 　 　　　　　　　 　 　.| ./
　 　 |＿＿＿＿＿＿＿＿＿＿|/

690 ：06/01/17

保守。

691 ：06/01/18

保守。

692 ：06/01/18

（＾３＾）　エェー　

693 ：06/02/07

はじめてこのスレにきましたが、どうやら今の俺にこのスレはぴったりだと思いました。
とあるサイトをつい踏んでしまってから、「送信メールを検索しました」とか、
CWS.Yexeだとかが出てきて、エクスプローラのトップページも勝手に変えられてしまいました。
一応、ウイルスバスターやAd-aware、スパイボット、cwsシュレッダーなどを施してみたのですが、
どうも完治してないようなので(送信メールを送ったというメッセージは出てこなくなりましたが)、
みなさんに助けてもらえたら、と思いやってきました。

694 ：06/02/07

よろしくお願いします。
Logfile of HijackThis v1.99.1
Scan saved at 19:25:05, on 2006/02/07
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\LEXBCES.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\system32\LEXPPS.EXE
E:\WINDOWS\System32\nvsvc32.exe
E:\WINDOWS\System32\Tablet.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\inet20004\winlogon.exe
E:\WINDOWS\system32\sstray.exe
E:\Program Files\Common Files\Real\Update_OB\realsched.exe
E:\Program Files\iTunes\iTunesHelper.exe
E:\Program Files\QuickTime\qttask.exe
E:\WINDOWS\system32\ctfmon.exe
E:\WINDOWS\system32\RUNDLL32.EXE

695 ：06/02/07

E:\Program Files\Messenger\msmsgs.exe
E:\Program Files\MSN Messenger\MsnMsgr.Exe
E:\Program Files\SmartDisk\FlashPath\sdstat.exe
E:\Program Files\Gigabyte\Gigabyte Windows Utility Manager\gwum.exe
E:\Program Files\PenPlusﾊﾟｰｿﾅﾙ\PenHusen.exe
E:\Program Files\Silicon Image\SiISATARaid\SATARaid.exe
E:\Program Files\OpenOffice.org1.1.4\program\soffice.exe
E:\Program Files\OpenOffice.org 2.0\program\soffice.exe
E:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
E:\Program Files\iPod\bin\iPodService.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\conime.exe
F:\vb\PCCGUIDE.EXE
F:\vb\PcCtlCom.exe
F:\vb\Tmntsrv.exe
F:\vb\TmPfw.exe
F:\vb\tmproxy.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\inet20004\mm4.exe
E:\Program Files\Internet Explorer\iexplore.exe
E:\Program Files\Internet Explorer\iexplore.exe

696 ：06/02/07

F:\セキュリティ\新しいフォルダ\HijackThis.exe
F3 - REG:win.ini: run=E:\WINDOWS\inet20004\winlogon.exe
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - E:\PROGRA~1\Yahoo!\COMPAN~1\Installs\YCOMP5~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - e:\program files\google\googletoolbar1.dll
O2 - BHO: IExplorerHelper Class - {BA12780E-B91E-41A7-A51A-528CBD64284E} - E:\WINDOWS\system32\IeHelperEx.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Yahoo!ツールバー - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\PROGRA~1\Yahoo!\COMPAN~1\Installs\YCOMP5~1.DLL
O4 - HKLM\..\Run: [IMJPMIG8.1] "E:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] E:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] E:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

697 ：06/02/07

O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [PrinTray] E:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [TkBellExe] "E:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "E:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [xp_system] E:\WINDOWS\inet20004\winlogon.exe
O4 - HKLM\..\Run: [pccguide.exe] "F:\vb\pccguide.exe"
O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "E:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "E:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [WinMedia] E:\WINDOWS\system32\pe.R5.loader.1.sys191.exe
O4 - HKCU\..\Run: [WindowsUpdate] E:\WINDOWS\System\svchost.exe /s
O4 - HKCU\..\Run: [xp_system] E:\WINDOWS\inet20004\winlogon.exe

698 ：06/02/07

O8 - Extra context menu item: &Google Search - res://e:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://E:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: このページのキャッシュ - res://e:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: リンク元 - res://e:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: 関連ページ - res://e:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - E:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: E:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {5082D9B5-5538-4C50-BDB1-C5F44BFB98CC} (HgRunPub Class) - http://www.hangame.co.jp/publish/HgRunPub.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (ｳｲﾙｽﾊﾞｽﾀｰ On-Line Scan) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B905F63D-7489-4B3D-9B62-49A1B8647E2A} (HgPluginJP21 Class) - http://down.hangame.co.jp/jp/dist/hgstart/HGPluginJP21.cab

699 ：06/02/07

O20 - Winlogon Notify: msupdate - E:\WINDOWS\SYSTEM32\msupdate32.dll
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - E:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - E:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - F:\vb\PcCtlCom.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - E:\Program Files\Common Files\Sony Shared\AVLib\Sptisrv.exe
O23 - Service: TabletService - Wacom Technology, Corp. - E:\WINDOWS\System32\Tablet.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - F:\vb\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - F:\vb\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - F:\vb\tmproxy.exe

700 ：06/02/07

どうか、よろしくお願いいたします。

701 ：06/02/07

>>693
ここは見た？
http://www.hijackthis.de/index.php?langselect=english

702 ：06/02/08

>>701
まだ見てなかったです。そんなとこあったんですね。チェックしてみます

703 ：06/02/08

ＮＡＳＴＹとでたものを、どうにかすれいいのですかね？

704 ：06/02/08

>>703
Hijack Thisによるレポート出力と手動でのスパイウェア除去
http://www.higaitaisaku.com/hijackthis.html

705 ：06/02/09

ああそっか、よく見てませんでした
どうもすみません

706 ：06/03/17

2ｷﾀ？
http://www.altech-ads.com/product/10001103.htm

707 ：06/03/17

おや？

708 ：06/03/17

思いっきり1.99.1ですが。

709 ：06/03/17

工エｴｪ(ﾟ〇ﾟ;) ｪｴエ工 　
　　 　　ﾟし Ｊﾟ

710 ：06/04/08

あんまり役に立たんな

711 ：06/04/09

工エｴｪ(ﾟ〇ﾟ;) ｪｴエ工 　
　　 　　ﾟし Ｊﾟ

712 ：06/04/09

このスレってあんまり語ることないね

713 ：06/04/09

　　　　
｡ 　　∧＿∧｡ﾟ
　ﾟ 　(ﾟ ´Д｀ﾟ )っﾟ
　　　(つ　　　/
　　 　|　 （⌒）
　　　 し⌒
　　　　...ウワァァァァン

714 ：06/06/13

ここでは初めて書き込みます。
今私のＰＣがシャットダウンダウアログが出たままフリーズしてしまい、
電源を切ってくれなくなっている状態にありまして、少しでも情報をと思い
このスレにたどり着きました。
鑑定などできたらお願いします。

715 ：06/06/13

Logfile of HijackThis v1.99.1
Scan saved at 9:18:24, on 2006/06/13
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Common Files\New Boundary\PrismXL\PRISMXL.SYS
C:\Program Files\Digital Media Reader\shwiconem.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

716 ：06/06/13

　

717 ：06/06/13

C:\WINDOWS\zHotkey.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mallets\MalLnch\MalLnch.exe
C:\Program Files\TClock_2ch\tclock.exe
K:\Tool\PC\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

718 ：06/06/13

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunKistEM] C:\Program Files\Digital Media Reader\shwiconem.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [CHotkey] zHotkey.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [Recguard] %WINDIR%\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [Reminder] %WINDIR%\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!J\Messenger\ypager.exe" -quiet

719 ：06/06/13

cracked

720 ：06/06/13

O8 - Extra context menu item: Google 検索(&G) - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: このページのキャッシュ - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: リンク元 - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: 翻訳(&T) - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: 関連ページ - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun の Java コンソール - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Yahoo!メッセンジャー - {CEBF73C0-BA2E-11d4-A73A-00508B33FB82} - C:\PROGRA~1\Yahoo!J\MESSEN~1\YPagerj.exe
O9 - Extra 'Tools' menuitem: Yahoo!メッセンジャー - {CEBF73C0-BA2E-11d4-A73A-00508B33FB82} - C:\PROGRA~1\Yahoo!J\MESSEN~1\YPagerj.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

721 ：06/06/13

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1149914496451
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (ｳｲﾙｽﾊﾞｽﾀｰ On-Line Scan) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {E4F500BF-C1A3-11D6-9697-0090961B771E} (VCR.Scan) - http://www.viruschaser.jp/vc_vc4w/Vcrscan.CAB
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Norton Internet Security\comHost.exe

722 ：06/06/13

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect サービス (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PrismXL - New Boundary Technologies, Inc. - C:\Program Files\Common Files\New Boundary\PrismXL\PRISMXL.SYS
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

723 ：06/06/13

すみません、正確にはシャットダウンダイアログが出終わった後、青い画面のまま
マウスの操作が受け付けなくなって、そのまま止まってしまうのです。
誤情報申し訳ありません。

724 ：06/06/13

Symantec関係を全部きれいに消してみな

725 ：06/06/14

>>723
そんなに変な物は入ってないですね。
これくらいかな。
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
http://hjdb.higaitaisaku.com/database.cgi?cmd=dp&num=375
念の為にこれでウィルススキャンして下さい。
アンチドートを語ろう♪ MAP02
http://pc8.2ch.net/test/read.cgi/sec/1098644237/

726 ：06/06/16

>>724
消しても状況は変わらずで、シャットダウンダイアログが出終わった後、
青い画面でとまってしまう感じでした。
>>725
アンチドートでスキャンさせてみましたが、特別引っかかりませんでした。
一体何が原因なんだろう…
レスが遅れてすみませんでした。

727 ：06/06/18

大事なスレだし、sageとくか

728 ：06/06/23

すんません、判らないエントリがあるので教えてください。
C:\WINDOWS\system32\finype.dll
O20 - Winlogon Notify: finype - C:\WINDOWS\SYSTEM32\finype.dl
これの正体が全くわからなくて気持ち悪いです。
たびたびsystemdoctor 2006をダウンロードしろというメッセージがでるので、それ関係でしょうか

729 ：06/06/24

>>728
スパイウェアがランダムに選んだ名前臭いですね。
バックアップされるので削除推奨です。

730 ：06/06/25

>>728
一度評判の良いスパイウエア削除ソフト入れてみれば?
月毎のマイクロソフトの悪意のあるソフトウェアの削除ツールも使って。

731 ：06/07/07

2006/07/03に22KのPFファイルでZHOTKEY.EXEてのが出来てるけど
これはスパイウェアなの？

732 ：06/07/08

違うよ〜

733 ：06/08/20

質問受け付けていますか？

734 ：06/08/21

>>1の被害者対策のサイトが403なんだけど何故だぜ

735 ：06/08/21

引っ越したのかな？

736 ：06/08/21

サイト被害対策の部屋
http://www.higaitaisaku.com

737 ：06/08/21

情報ありがとうございます。
行ってみます。

738 ：06/08/21

セキュリティソフト入れてないと無視されるから気をつけろよ〜

739 ：06/08/21

ほんと憶測では無いんです。
公式HPにウィルス反応が出た事もあった（これは韓国のプレイヤーも知ってる）。
とりあえず今日はもう寝ますね。

740 ：06/08/21

>>739
詳しく話してみなさい。

741 ：06/08/24

昨日からパソコンの調子が悪いような気がするんですが、
何が原因なんでしょう？
ログを貼りたいのですが、かってに貼っても怒ったりしませんか？

742 ：06/08/24

怒られねえよｗ
ただある程度関係ありそうなエントリに絞った方が見やすいんじゃないかな

743 ：06/08/24

>>742
お返事ありがとうございます
ある程度関係ありそうなエントリとはO2とかO4とかのエントリ全てで
Running processesのエントリは除外しても良いのでしょうか？
今さら言うと反感買いそうな気がするのですがOSはwin98seです。

744 ：06/08/24

聞くより貼った方がよくない？
わかんないなら全部貼っても問題は無いと思うし・・・
この過疎スレに人が来るかは知らないけど・・・

745 ：06/08/24

>>744
お忙しいところ申し訳ございません
では早速ですが貼らせていただきます
Logfile of HijackThis v1.99.1
Scan saved at 20:55:59, on 06/08/24
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
c:\windows\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAM FILES\MCAFEE.COM\VSO\MCVSSHLD.EXE
C:\PROGRAM FILES\MCAFEE.COM\VSO\MCVSESCN.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\SYSTEM\IMEJP98M.EXE
C:\WINDOWS\TASKMON.EXE

746 ：06/08/24

C:\PROGRAM FILES\MCAFEE.COM\AGENT\MCAGENT.EXE
C:\PROGRAM FILES\MCAFEE.COM\AGENT\MCTSKSHD.EXE
C:\PROGRAM FILES\MCAFEE.COM\PERSONAL FIREWALL\MPFTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\MCAFEE.COM\PERSONAL FIREWALL\MPFAGENT.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAM FILES\MCAFEE.COM\VSO\MCSHLD9X.EXE
C:\PROGRAM FILES\MCAFEE.COM\VSO\OASCLNT.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\KATJUSHA\KATJUSHA.EXE
C:\WINDOWS\ﾃﾞｽｸﾄｯﾌﾟ\HIJACKTHIS\HIJACKTHIS.EXE
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - C:\PROGRAM FILES\MCAFEE.COM\VSO\MCVSSHL.DLL
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe

747 ：06/08/24

O4 - HKLM\..\Run: [Kernel32] C:\WINDOWS\SYSTEM\Kernel.dll
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\MCAFEE.COM\VSO\MCMNHDLR.EXE" /checktask
O4 - HKLM\..\Run: [MCAgentExe] C:\PROGRA~1\MCAFEE.COM\AGENT\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\MCAFEE.COM\AGENT\MCUPDATE.EXE
O4 - HKLM\..\Run: [MCTskShd] C:\PROGRA~1\MCAFEE.COM\AGENT\mctskshd.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\MCAFEE.COM\PERSON~1\MpfTray.exe
O4 - HKLM\..\RunServices: [KB918547] C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
O4 - HKLM\..\RunServices: [KB891711] c:\windows\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [McShld9x] C:\Program Files\McAfee.com\VSO\mcshld9x.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - Startup: folder.htt
O4 - Global Startup: folder.htt
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab
これで全部です
お手数ですが鑑定願えないでしょうか？

748 ：06/08/24

>>741
横から割り込むが調子悪いって具体的には？

749 ：06/08/24

>>748
いろいろとです
IEでネットサーフィンしてると青色の画面がでてきてフリーズします
さきほども青色の画面が出てきてしまい再起動しました

750 ：06/08/24

>>745
＞Logfile of HijackThis v1.99.1
はい釣り確定！
最新バージョンはv1.99.2であるから。
釣りでは無いと言うなら最新のv1.99.2を落としてきて、もう一回スキャンして
ログをもう一回貼れ！
＞Platform: Windows 98 SE (Win9x 4.10.2222A)
MicroSoftのサポートが既に終了した製品なので、以下のエントリーは
既に意味の無いものになっています。
したがって↓の2つはFIX対象となります。
O4 - HKLM\..\RunServices: [KB918547] C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
O4 - HKLM\..\RunServices: [KB891711] c:\windows\SYSTEM\KB891711\KB891711.EXE
ここまで終わったら、HijackThis最新のv1.99.2で最新のログを貼ってください。

751 ：06/08/24

>>750
釣りではないのですが、現在の最新のは1.99.2なんですか？
1.99.1が最新だと思いますけど？
とにかくなんやかんや言って答えてくれている750さんに感謝しています
今やってみます

752 ：06/08/24

>>747
つVBS_REDLOF.A
リカバリ推奨ですよ。

753 ：06/08/24

>>751
ここをよく読んでください。
http://www13.plala.or.jp/sukiero/redlof.html

754 ：06/08/25

>>753
OS再インストールとそこのサイトに書いてあるのですが、
どうしてもリカバリしなくてはなりませんか？
いや、リカバリに必要なものは揃っているのですが、
やっぱリカバリしなくてはいけないのですか？
何とかなりませんかねー

755 ：06/08/25

>>754
駆除できなくもないがシステム自体が治るという保証はしないぞ。
それでもいいの？
良ければ最新のhijackthisのログを貼ってくれ。

756 ：06/08/25

>>755
よろしくお願いします
Logfile of HijackThis v1.99.1
Scan saved at 19:18:56, on 06/08/25
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAM FILES\MCAFEE.COM\VSO\MCVSSHLD.EXE
C:\PROGRAM FILES\MCAFEE.COM\VSO\MCVSESCN.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\SYSTEM\IMEJP98M.EXE
C:\WINDOWS\TASKMON.EXE
C:\PROGRAM FILES\MCAFEE.COM\AGENT\MCAGENT.EXE
C:\PROGRAM FILES\MCAFEE.COM\AGENT\MCTSKSHD.EXE
C:\PROGRAM FILES\MCAFEE.COM\PERSONAL FIREWALL\MPFTRAY.EXE

757 ：06/08/25

C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\MCAFEE.COM\PERSONAL FIREWALL\MPFAGENT.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAM FILES\MCAFEE.COM\VSO\MCSHLD9X.EXE
C:\PROGRAM FILES\MCAFEE.COM\VSO\OASCLNT.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\KATJUSHA\KATJUSHA.EXE
C:\WINDOWS\ﾃﾞｽｸﾄｯﾌﾟ\HIJACKTHIS\HIJACKTHIS.EXE
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - C:\PROGRAM FILES\MCAFEE.COM\VSO\MCVSSHL.DLL
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [Kernel32] C:\WINDOWS\SYSTEM\Kernel.dll
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\MCAFEE.COM\VSO\MCMNHDLR.EXE" /checktask
O4 - HKLM\..\Run: [MCAgentExe] C:\PROGRA~1\MCAFEE.COM\AGENT\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\MCAFEE.COM\AGENT\MCUPDATE.EXE
O4 - HKLM\..\Run: [MCTskShd] C:\PROGRA~1\MCAFEE.COM\AGENT\mctskshd.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\MCAFEE.COM\PERSON~1\MpfTray.exe

758 ：06/08/25

今さらREDLOFに感染するって事はセキュリティーに手を抜いてたってことじゃん
自業自得では？

759 ：06/08/25

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [McShld9x] C:\Program Files\McAfee.com\VSO\mcshld9x.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - Startup: folder.htt
O4 - Global Startup: folder.htt
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab
>>750
そういえばHijackThisの最新バージョンは、v1.99.1でしたよ
v1.99.2はどこにも無いのですが？

760 ：06/08/25

>>759
hijackthisの最新Verは1.99.1で良いんですよ。
それと、以下の２つはセキュリティの修正パッチなので戻しましょう。
O4 - HKLM\..\RunServices: [KB918547] C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
O4 - HKLM\..\RunServices: [KB891711] c:\windows\SYSTEM\KB891711\KB891711.EXE
セーフモードで起動して以下をFIXします。
O4 - HKLM\..\Run: [Kernel32] C:\WINDOWS\SYSTEM\Kernel.dll
O4 - Startup: folder.htt
O4 - Global Startup: folder.htt
セーフモードで再起動してマカフィーでスキャンをします。
MS-DOSモードで再起動します。
やりかた↓
終了オプションを選んで、MS-DOSモードで再起動をチェックしてOK
MS-DOSモードで起動したら以下のコマンドを入力します。
scanreg /fix
Enterを押します。
しばらくかかりますが、気長に待ちましょう。
終わりましたら次のコマンドを入力します。
scanreg /opt
Enterを押します。
終わりましたら次のコマンドを入力します。
exit
Enterを押します。
注意点：コマンド入力のさい、gと/（スラッシュ）の間に半角スペースを入れて下さい。
もう一度HijackThisのログを貼ってください。

761 ：06/08/25

お待たせいたしました
Logfile of HijackThis v1.99.1
Scan saved at 21:07:25, on 06/08/25
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
c:\windows\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAM FILES\MCAFEE.COM\VSO\MCVSSHLD.EXE
C:\PROGRAM FILES\MCAFEE.COM\VSO\MCVSESCN.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\SYSTEM\IMEJP98M.EXE
C:\WINDOWS\TASKMON.EXE
C:\PROGRAM FILES\MCAFEE.COM\AGENT\MCAGENT.EXE
C:\PROGRAM FILES\MCAFEE.COM\AGENT\MCTSKSHD.EXE
C:\PROGRAM FILES\MCAFEE.COM\PERSONAL FIREWALL\MPFTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE

762 ：06/08/25

C:\PROGRAM FILES\MCAFEE.COM\PERSONAL FIREWALL\MPFAGENT.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAM FILES\MCAFEE.COM\VSO\MCSHLD9X.EXE
C:\PROGRAM FILES\MCAFEE.COM\VSO\OASCLNT.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\ﾃﾞｽｸﾄｯﾌﾟ\HIJACKTHIS\HIJACKTHIS.EXE
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - C:\PROGRAM FILES\MCAFEE.COM\VSO\MCVSSHL.DLL
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [Kernel32] C:\WINDOWS\SYSTEM\Kernel.dll
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\MCAFEE.COM\VSO\MCMNHDLR.EXE" /checktask
O4 - HKLM\..\Run: [MCAgentExe] C:\PROGRA~1\MCAFEE.COM\AGENT\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\MCAFEE.COM\AGENT\MCUPDATE.EXE
O4 - HKLM\..\Run: [MCTskShd] C:\PROGRA~1\MCAFEE.COM\AGENT\mctskshd.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\MCAFEE.COM\PERSON~1\MpfTray.exe
O4 - HKLM\..\RunServices: [KB918547] C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
O4 - HKLM\..\RunServices: [KB891711] c:\windows\SYSTEM\KB891711\KB891711.EXE

763 ：06/08/25

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [McShld9x] C:\Program Files\McAfee.com\VSO\mcshld9x.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - Startup: folder.htt
O4 - Global Startup: folder.htt
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab
如何ですか？

764 ：06/08/25

>>763
この３つのエントリ・・・しつこいですね。
O4 - HKLM\..\Run: [Kernel32] C:\WINDOWS\SYSTEM\Kernel.dll
O4 - Startup: folder.htt
O4 - Global Startup: folder.htt
どうします？
潔くリカバリーでもしてスッキリしますか？
どちらかと言うとリカバリしたほうが、システムも安定するし
キビキビ動作するようになりますよ。
その辺の回答はよろしくお願いします。

765 ：06/08/25

>>764
ここまで頑張ってきたのに今さらリカバリだなんて
そんなの絶対に嫌です

766 ：06/08/25

リカバリしてしまえよ！

767 ：06/08/25

>>766
リカバリは嫌です
何べんも言わせるなドアホ！！

768 ：06/08/25

>>767
もう勝手にしろ！

769 ：06/08/25

態度がだんだん大きくなってるｗｗｗｗ

770 ：06/08/25

ごめんなさい
リカバリという言葉に腹が立って暴言を吐いてしまいました
心からお詫び申し上げます
ですが、このREDLOFとかいうウイルスはどうしても駆除したいのです
それから必ずリカバリをやります

771 ：06/08/25

>>763
一応ここで調べた結果ね
http://hijackthis.de/
問題になりそうなのがいくつかあるみたい
C:\WINDOWS\SYSTEM\IMEJP98M.EXE　　　unknown process
C:\PROGRAM FILES\MCAFEE.COM\AGENT\MCTSKSHD.EXE　　　unknown process
C:\PROGRAM FILES\MCAFEE.COM\VSO\MCSHLD9X.EXE　　　unknown process
O4 - HKLM\..\Run: [Kernel32] C:\WINDOWS\SYSTEM\Kernel.dll　　　Added as a result of the REDLOF.M VIRUS! Must be fixed!
C:\PROGRAM FILES\MCAFEE.COM\AGENT\MCTSKSHD.EXE　　　Unknown application.
O4 - HKLM\..\RunServices: [KB918547] C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE　　　Unknown application.
O4 - HKLM\..\RunServices: [McShld9x] C:\Program Files\McAfee.com\VSO\mcshld9x.exe　　　Unknown application.
O4 - Startup: folder.htt　　　Unknown application.
O4 - Global Startup: folder.htt　　　Unknown application.
その他Safeってある中にもPossibly nasty!ってコメントついてるのがある
理由は通常のフォルダと違うところにあるかららしい
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAM FILES\MCAFEE.COM\VSO\MCVSSHLD.EXE
C:\PROGRAM FILES\MCAFEE.COM\VSO\MCVSESCN.EXE
他は全部Safeだったよ
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\PROGRAM FILES\MCAFEE.COM\AGENT\MCAGENT.EXE
C:\PROGRAM FILES\MCAFEE.COM\PERSONAL FIREWALL\MPFTRAY.EXE
C:\PROGRAM FILES\MCAFEE.COM\PERSONAL FIREWALL\MPFAGENT.EXE
unknown processとかUnknown applicationって言うところだけ確認したら？
McAfeeアンインストしてからHiJackThisとっても残ってるようなら
その段階でレジストリ消して再インストするとか

772 ：06/08/25

変なとこにコメント入れたんで訂正
------------
その他Safeってある中にもPossibly nasty!ってコメントついてるのがある
理由は通常のフォルダと違うところにあるかららしい
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAM FILES\MCAFEE.COM\VSO\MCVSSHLD.EXE
C:\PROGRAM FILES\MCAFEE.COM\VSO\MCVSESCN.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\PROGRAM FILES\MCAFEE.COM\AGENT\MCAGENT.EXE
C:\PROGRAM FILES\MCAFEE.COM\PERSONAL FIREWALL\MPFTRAY.EXE
C:\PROGRAM FILES\MCAFEE.COM\PERSONAL FIREWALL\MPFAGENT.EXE
他は全部Safeだったよ
------------
です orz

773 ：06/08/25

>>771
問題のあるのはkernel.dllとfolder.httのみ
他はまったく問題無いと思われます。
hijackthis.deはあくまで参考程度ですから。

774 ：06/08/25

駆除しただけでは1年使えれば御の字ですね。

775 ：06/08/25

>>772
とりあえず全部消して見ます

776 ：06/08/25

でもこんなにボロボロになってもよく動いてるよなぁ〜

777 ：06/08/25

やったー777取ったお

778 ：06/08/25

とりあえず全部消しました
Logfile of HijackThis v1.99.1
Scan saved at 22:17:38, on 06/08/25
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\SYSTEM\IMEJP98M.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\ﾃﾞｽｸﾄｯﾌﾟ\HIJACKTHIS\HIJACKTHIS.EXE
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [Kernel32] C:\WINDOWS\SYSTEM\Kernel.dll
O4 - Startup: folder.htt
O4 - Global Startup: folder.htt
さきほどと比べて起動も早くなった気がします

779 ：06/08/25

よかったな、気が済んだらリカバリしなさい。

780 ：06/08/26

起動が早くなったのは唯一貴方を守っていてくれた
マカフィーを完全に削除して常駐を減らしたからですよ・・・
これで貴方は完全に丸裸でウィルス貰い放題になりました。

781 ：06/08/28

最近になってからPCがドえらいこととなりましたので
もう決意しました
ありがとう

782 ：06/08/28

>>781
WindowsUpdateはちゃんとやってましたか？

783 ：06/08/29

767 名前：741 [sage] 投稿日：2006/08/25(金) 21:35:33
>>766
リカバリは嫌です
何べんも言わせるなドアホ！！

784 ：06/09/15

age

785 ：06/09/17

This page has moved...
どこ行ったんだ

786 ：06/09/17

クリックすることもできませんでした_∩○

787 ：06/09/17

ｿｰｽ見れ。

788 ：06/10/23

HijackThisを実行後の以下の結果において、Googleで検索してもヒットしません。
O4 - HKLM\..\Run: [tbhloxh.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\tbhloxh.dll,hnoiewf
O4 - HKLM\..\Run: [szqrtmn.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\szqrtmn.dll,pjeovzf
それぞれ"tbhloxh.dll","szqrtmn.dll"のエントリーが謎であり、また会社名等の情報もないようです。
また最後尾の"hnoiewf","pjeovzf"においても情報がありません。
どなたか情報御座いませんか？

789 ：06/10/24

>>788
Fixをして再度O4エントリとdllファイルが作られてしまうようならばスタートアップを監視して
怪しいファイルとエントリを生成するプログラムの正体を突き止めて削除。
何も起こらなければdllファイルを削除して終わり。
念のためにレジストリをdll名で検索して出てきた関連記述を片っ端から削除する。

790 ：06/10/24

(´・∀・`)へぇ〜

791 ：06/10/24

>>789
thx!

792 ：06/10/25

いちどスパイウェアに感染したことがあるので心配です、分析お願いします
Logfile of HijackThis v1.98.2
Scan saved at 6:47:10, on 2006/10/25
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe

793 ：06/10/25

続き
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\conime.exe
C:\PROGRA~1\MOZILL~2\THUNDE~1.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

794 ：06/10/25

続き
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe

795 ：06/10/25

O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun の Java コンソール - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
以上です；　お願いします orz

796 ：06/10/25

>>795
つhttp://hjdb.higaitaisaku.com/
つhttp://www.hijackthis.de/index.php?langselect=english
つhttp://hjt.networktechs.com/

797 ：06/10/25

ありがとうございました。　感染はしていなかったようです

798 ：06/10/25

　　　　　　　　　　　☆
　　　　　　　 ／￣|　　　☆
　　　　　　　｜ 　｜彡　　　ビシィ
　　　　　　　｜ 　｜　　　　　　　　　　　　　　　　　／￣￣￣￣￣￣
　　　　　 ,―　　　　＼　　　　　　　　　　　　　　　|
　　　　　| ＿＿_） 　 ｜　　　　　　　∩∩　　　∠　　ﾘｭﾝﾊﾟｯﾁ♪
　　　　　| ＿＿_） 　 ｜　　　　　　　| |_| |　　　　 ＼＿＿＿＿＿＿
　　　　　| ＿＿_） 　 ｜＼＿＿＿（・∀・　）＿＿＿__
　　　　　ヽ＿＿）＿／ ＼＿＿＿　　　　　＿＿＿__,　）＿＿
　　　　　　　　 〃　 .　　　　　　　/　　　　/　　　 　/ / 　　 〃⌒i
　　　　　　　　 |　 　　　　　　　　/　　　 ./　　　　 / /　　　 .i::::::::::i
　　 ＿＿＿＿|　　　　　/⌒＼./　　　 /　　　　 /　| ＿__＿|;;;;;;;;;;;i
　　[__]＿＿＿|　　　　/　/-、 .＼_.　 /　　　　　Uし'［＿］　　　　 .|
　　 | ||　　 　 |　　　 /　/i　 i　　　　/　　　　　　　　 | ||　　　　 　|
　　 | ||＿__＿|＿___/　/ .|　.|＼＿ノ＿＿＿＿＿＿..| ||　　　　 　|
　　 |（＿＿＿_＿ノ　/＿|　|＿＿＿＿＿＿＿＿＿..| ||　　　 　　|
　　 | LLLLLL.／　__）L_|　|LLLLLLLLLLLLLLLLL. | ||＿＿＿__」
　　 | ||　　　 (＿／　　 /　i　　　　　　　　　 　 　 　 .| ||　　　　| ||
　　 |_||　　　　　　　　／　.ノ　　　　　　　　　　　　 　 |_||　　　　|_||
　　　　　　　　　 　　(＿／

799 ：06/10/26

あげ

800 ：06/10/27

８００げっと

801 ：06/11/02

リコーのプリンターソフト
Ridoc IO Navi
をインストしたところ、jobhisinit.exe　なる実行ファイルがスタートアップで
起動しますが、これってスパイウェアじゃないでしょうか？

802 ：06/11/02

>>801
(=^u^=)　違うなりよ>>597のかずどんさんにも入ってるなり♪

803 ：06/11/02

何だよ、、、

804 ：06/11/03

>>802
system doctor2006 のインチキソフトと関係してないか？

805 ：06/11/09

(=^u^=)　そんなに心配するエントリじゃないなり〜
(；=^u^=)　最近頻繁にアク禁に巻き込まれてるなり・・・

806 ：06/11/26

すみません　教えてください
O11 - Options group: [INTERNATIONAL] International*
↑はｳｨﾙｽですか？

807 ：06/11/26

>>806
(=^u^=)　IE7のエントリだと思うなり〜

808 ：06/11/26

>>807
``thnx!!

809 ：06/11/29

これアンインストールってどうやってすんの？

810 ：06/11/29

コンパネから

811 ：06/11/29

ちょっと質問よろしいでしょうか？
今日このソフトの存在を知り使ってみたところ01の項目に以下のように出ました。
O1 - Hosts: 2001:d70:100::80 nc27web00.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0002::80 nc27web20.w2.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0003::80 nc27web40.w3.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0004::80 nc27web50.w4.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0005::80 nc27web60.w5.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0006::80 nc27web70.w6.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0007::80 nc27web80.w7.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0008::80 nc27web90.w8.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:0009::80 nc27weba0.w9.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:000a::80 nc27webb0.w10.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:000b::80 nc27webc0.w11.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100:000c::80 nc27webd0.w12.v2.fletsnet.com # CommunicationTool
O1 - Hosts: 2001:d70:100::5060 nc27scc00.v2.fletsnet.com # CommunicationTool
・・・・・・
・・・・・・
以下ずらっと同様の表示。
これは一体なんでしょうか？
ググっても、ログ読んでもわかりませんでした。

812 ：06/11/29

>>811
(=^u^=)　フレッツ光プレミアムかV6アプリのエントリだと思うなり〜

813 ：06/11/29

>>812
ご返答ありがとうございます。！
まさしくフレッツ光プレミアムです。
特に気にする必要はないのでしょうか？

814 ：06/11/29

>>813
(=^u^=)　全く心配ないなりよ♪

815 ：06/11/29

アダ被すげえな
Microsoft　mvpアワードもらってるな
一方　セキュ板は…orz

816 ：06/11/29

>>814
かなりほっとしました。
これを機会に色々と勉強したいと思います。
本当に有難うございました。

817 ：06/11/29

(=^u^=)　あい♪
　　　　　　またどうぞなり

818 ：06/11/29

>>815
O(=^u^=)O　がんばっていればいいことあるなり〜

819 ：06/12/02

かわいいよたぬかわいいよ

820 ：06/12/08

　　　　

821 ：07/02/27

（・３・）　ホェー

822 ：07/03/11

O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
この中で何か問題あるものってありますか？

823 ：07/03/11

>>832
問題ねーよ
とりあえず(file missing) となってる所だけ消しとけばいい

824 ：07/03/11

久々の未来レスだな・・

825 ：07/03/15

Trend Micro、スパイウェア対策のHijackThisを買収
http://www.itmedia.co.jp/news/articles/0703/15/news017.html
米Trend Microは3月14日、無料スパイウェア除去ツールを提供するHijackThisを買収したと発表した。
同社はまた、HijackThis 2.0のβ版と、Webサイト監視およびURLフィルタリング機能を無料提供する新サービス「TrendProtect」のβ版を発表した。
どちらもTrendSecureサイトで提供される予定。
新たにリリースされるHijackThis 2.0のβ版は、Microsoft VistaとInternet Explorer（IE） 7に対応する。
HijackThis 2.0のβ版、TrendProtectのβ版は、3月19日から英語版で提供される予定

826 ：07/03/15

Trend Micro Hijack This
http://www.trendsecure.com/portal/en-US/threat_ytics/hijackthis.php

827 ：07/03/15

3月19日からってすでにサイトにあんじゃねーか

828 ：07/03/15

> HijackThis 2.0のβ版、TrendProtectのβ版は、3月19日から英語版で提供される予定

829 ：07/03/15

アイコンが変わってるな。

830 ：07/03/15

>>827
あれ　 ほんとだ

831 ：07/03/16

(=^u^=)　スキャン能力も高くなってるなりね

832 ：07/03/16

これってベータが取れたら有料になりますとかいうオチじゃないよな？

833 ：07/03/16

(((((((( ；=・u・=)))))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙｶﾞﾀｶﾞﾀﾌﾞﾙｶﾞﾀｶﾞｸｶﾞｸｶﾞｸｶﾞｸｶﾞｸ

834 ：07/03/16

>>832
バスターの標準機能になって、HijackThis使いたかったらバスター買えという悪寒

835 ：07/03/16

HijackThisは世界中のフォーラムでウイルス駆除のために必要だから使われてる｡これが有料化したらかなり痛いぞ｡
流石にそんな非道なことはしないよな？

836 ：07/03/16

こんなところで聞かれても困る
トレンドにメールでも送ってくれ

837 ：07/03/18

気軽にダウンロードできないサイトの作りにむかつく

838 ：07/04/01

http://www.higaitaisaku.com/とhttp://sukiero.org/が合体した？








んなわけない、今日は4月1日だからなｗ

839 ：07/05/23

(´・∀・`)へぇ〜

840 ：07/07/07

HijackThis 2.0.2

841 ：07/07/07

　 ∧＿∧
　（　・∀・） ﾄﾞｷﾄﾞｷ
　（　∪ ∪
　と＿_）__）

842 ：07/07/07

誰も使ってないのかな

843 ：07/07/07

使ってるけどＦｉｘするようなことはない

844 ：07/07/08

トレンドマイクロに情報送るが増えただけの気がするが
機能的には1.99.0.1と何が違うんだ？

845 ：07/07/18

Changes in 2.02:
* Stability improvements
Changes in 2.00:
* AnalyzeThis added for log file statistics
* Recognizes Windows Vista and IE7
* Fixed a few bugs in the O23 method
* Fixed a bug in the O22 method (SharedTaskScheduler)
* Did a few tweaks on the log format
* Fixed and improved ADS Spy
* Improved Itty Bitty Procman (processes are frozen before they are killed)
* Added listing of O4 autoruns from other users
* Added listing of the Policies Run items in O4 method, used by SmitFraud trojan
* Added /silentautolog parameter for system admins
* Added /deleteonreboot [file] parameter for system admins
* Added O24 - ActiveX Desktop Components enumeration
* Added Enhanced Security Confirguration (ESC) Zones to O15 Trusted Sites check

846 ：07/08/13

おが小さいのはだあれ？

847 ：07/09/23

NPBからの投球スタイルでは通用しないことが分かったのだと思う
球が来ていないと感じるのは球速を押さえてコントロールに注意しているからだろう
今球速にして145kmくらいかな　ただそれでも逆玉が多いけどね　
でも今の球速が松坂がコントロール出来得る本来の球速と思われる
MLBの主力ピッチャーは速球派でもほぼ例外なくコントロールが抜群に良い
松坂レベルのコントロールで良いのなら160km以上を出せるピッチャーはいくらでもいるだろうがただ彼らはそうしないだけ
松坂は良くやっていると思うがやはりレベルの違いだろう

848 ：07/09/24

最近HijackThisだけじゃマルウェアとか全部現れないからな
HijackThisも終わる

849 ：07/10/24

a-squared HiJackFree 3.0
これどう？

850 ：07/10/24

(´・∀・`)へぇ〜

851 ：08/01/08

保守

852 ：08/01/10

hostsが改変されてんだけどHijackThisで本当に大丈夫なのか不安です

853 ：08/01/10

大丈夫ですよ

854 ：08/01/12

大丈夫だったようです
ありがとう

855 ：08/01/12

あい
またどうぞ

856 ：08/02/23

O9ってIEのツールバーに項目やボタンを追加するものとあるのですが、
ツールバーを見てもないのに以下のメッセンジャーの類が現れるのですがどうしてでしょうか？ｏｒｚ
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

857 ：08/02/24

深く考えずに1回消して現れなきゃいいんじゃないの
WindowsMessengerなんて使ってないならそれ自体を削除もできる

858 ：08/02/24

気になったもので(´･ω･｀)
MSN Explorer起動させるとMessenger起動するよね？

859 ：08/02/24

使ってないからわからないけど
設定で起動できなくできるんじやね
できないならググればMessengerの削除方法でてるよ

860 ：08/02/25

サンクス
RunDll32 advpack.dll,LaunchINFSection %windir%\INF\msmsgs.inf,BLC.Remove
で削除しますた

861 ：08/02/27

http://tmp7.2ch.net/test/read.cgi/mog2/1199595984

862 ：08/02/28

（；・３・）　エェー

863 ：08/04/24

test

864 ：08/05/04

どれを消せば良いのか教えて下さい。ネットに繋ぐと英語のグーグルがトップページに
なったりリロードが重かったり警告が出たりします。
Logfile of HijackThis v1.99.1
Scan saved at 13:20:31, on 2008/05/04
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Windows-Anti.exe
C:\Program Files\QuickTime\QTTask.exe
C:\WINDOWS\Win32.exe
C:\WINDOWS\System32\Win32lsass.exe
C:\WINDOWS\System32\Winlp32.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\mdm.exe
C:\WINDOWS\System32\Rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\msdtcsp2.exe

865 ：08/05/04

C:\Documents and Settings\Administrator\デスクトップ\新しいフォルダ (2)\HijackThis.exe
C:\WINDOWS\System32\atievxx.exe
C:\WINDOWS\System32\irdvxc.exe
C:\WINDOWS\System32\sdpasvc.exe
R3 - URLSearchHook: MyUrlSrcHook Class - {D2A5245A-B682-4C26-A507-173A774B2E70} - C:\WINDOWS\DOWNLO~1\CNSMIN~1.DLL
O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Windows Anti Verifier] Windows-Anti.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Windows Lsass Schedule] Win32.exe
O4 - HKLM\..\Run: [Windows32 Lsass Verifier] Win32lsass.exe
O4 - HKLM\..\Run: [Windows Sound Verifier] Winlp32.exe
O4 - HKLM\..\Run: [Microsoft MSDTC Microsoft HotFix KB5456] msdtcsp2.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Windows Networking Monitoring] C:\WINDOWS\System32\mdm.exe
O4 - HKLM\..\Run: [f0a12f2b] rundll32.exe "C:\WINDOWS\System32\stjbirnk.dll",b
O4 - HKLM\..\Run: [BMf3921cb7] Rundll32.exe "C:\WINDOWS\System32\ktvxshwn.dll",s
O4 - HKLM\..\RunServices: [Windows Anti Verifier] Windows-Anti.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Lsass Schedule] Win32.exe
O4 - HKLM\..\RunServices: [Windows32 Lsass Verifier] Win32lsass.exe
O4 - HKLM\..\RunServices: [Windows Sound Verifier] Winlp32.exe
O4 - HKLM\..\RunServices: [Microsoft MSDTC Microsoft HotFix KB5456] msdtcsp2.exe

866 ：08/05/04

4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Windows Networking Monitoring] C:\WINDOWS\System32\mdm.exe
O4 - HKLM\..\Run: [f0a12f2b] rundll32.exe "C:\WINDOWS\System32\stjbirnk.dll",b
O4 - HKLM\..\Run: [BMf3921cb7] Rundll32.exe "C:\WINDOWS\System32\ktvxshwn.dll",s
O4 - HKLM\..\RunServices: [Windows Anti Verifier] Windows-Anti.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Lsass Schedule] Win32.exe
O4 - HKLM\..\RunServices: [Windows32 Lsass Verifier] Win32lsass.exe
O4 - HKLM\..\RunServices: [Windows Sound Verifier] Winlp32.exe
O4 - HKLM\..\RunServices: [Microsoft MSDTC Microsoft HotFix KB5456] msdtcsp2.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft Windows Lsass Schedule] Win32.exe
O4 - HKCU\..\Run: [Windows Networking Monitoring] C:\WINDOWS\System32\mdm.exe
O4 - HKCU\..\Run: [Microsoft MSDTC Microsoft HotFix KB5456] msdtcsp2.exe
O4 - HKCU\..\RunServices: [Microsoft Windows Lsass Schedule] Win32.exe
O8 - Extra context menu item: Easy-WebPrint プレビュー - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint 印刷 - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint 印刷リストに追加 - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint 高速印刷 - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: JWordでウェブ検索(&J) - res://C:\WINDOWS\DOWNLO~1\CnsMin.dll/203

867 ：08/05/04

O16 - DPF: Yahoo! JAPAN Othello Kids - http://yog34.games.tnz.yahoo.co.jp/yog/yj/krt5_x.cab
O16 - DPF: {0FDF9D23-AB1C-41DE-B371-6BACECDED6F6} (PccEasyUpdate Class) - http://www.trendmicro.com/ftp/jp/support/vb2008/kantan/0911/PccEasyUpdate.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {B8C4B31D-6DCE-4DF0-BF73-44686849F67D} (PDRInst1 Class) - http://imgcdn.pandora.tv/pan_img/p3player/package/pdrinst.cab
O23 - Service: iPod サービス (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)
O23 - Service: SDPAUMS server service (SDPASVC) - Matsushita Electric Industrial Co.,Ltd. - C:\WINDOWS\System32\sdpasvc.exe

868 ：08/05/04

>>867
削除した後再起動を忘れずに
O4 - HKLM\..\Run: [Windows Anti Verifier] Windows-Anti.exe
O4 - HKLM\..\Run: [Microsoft Windows Lsass Schedule] Win32.exe
O4 - HKLM\..\Run: [Windows32 Lsass Verifier] Win32lsass.exe
O4 - HKLM\..\Run: [Windows Sound Verifier] Winlp32.exe
O4 - HKLM\..\Run: [Microsoft MSDTC Microsoft HotFix KB5456] msdtcsp2.exe
O4 - HKLM\..\Run: [Windows Networking Monitoring] C:\WINDOWS\System32\mdm.exe
O4 - HKLM\..\Run: [f0a12f2b] rundll32.exe "C:\WINDOWS\System32\stjbirnk.dll",b
O4 - HKLM\..\Run: [BMf3921cb7] Rundll32.exe "C:\WINDOWS\System32\ktvxshwn.dll",s
O4 - HKLM\..\RunServices: [Windows Anti Verifier] Windows-Anti.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Lsass Schedule] Win32.exe
O4 - HKLM\..\RunServices: [Windows32 Lsass Verifier] Win32lsass.exe
O4 - HKLM\..\RunServices: [Windows Sound Verifier] Winlp32.exe
O4 - HKLM\..\RunServices: [Microsoft MSDTC Microsoft HotFix KB5456] msdtcsp2.exe
O4 - HKCU\..\Run: [Microsoft Windows Lsass Schedule] Win32.exe
O4 - HKCU\..\Run: [Windows Networking Monitoring] C:\WINDOWS\System32\mdm.exe
O4 - HKCU\..\Run: [Microsoft MSDTC Microsoft HotFix KB5456] msdtcsp2.exe
O4 - HKCU\..\RunServices: [Microsoft Windows Lsass Schedule] Win32.exe
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)
あとこの辺もいらないかと
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O16 - DPF: {0FDF9D23-AB1C-41DE-B371-6BACECDED6F6} (PccEasyUpdate Class) - http://www.trendmicro.com/ftp/jp/support/vb2008/kantan/0911/PccEasyUpdate.cab

869 ：08/05/06

>>868
ありがとうござました。
印刷してそれ見ながら消す事ができました。

870 ：08/05/06

>864-867
>869
まだ見てるか…？
問答無用でリカバリコースじゃ！！
理由：大量のBot系マルウェアに感染
>868の指示によって症状が消えたと思うが、それはあくまでも表面上の症状が無くなっただけで、
裏ではHijackThisに現れないマルウェアが活動してると思われます。
原因（1）：サポートが切れたOS
＞Platform: Windows XP SP1 (WinNT 5.01.2600)
原因（2）：セキュリティソフトなし
あともしかして、ルータ無しで繋いでるな…。
この理由により、ただちにLANケーブルを外してリカバリしてください。
（↓クリーンインストール＝リカバリの手順を熟読）
ttp://www.higaitaisaku.com/cleaninst.html

871 ：08/05/06

あれ？昔エロ助けスレに居た石川県の人か？

872 ：08/05/06

>871
はい。そうですが。
今はそのエロ助スレ、「スパイウェア＆ウィルス駆除」スレに変わってますねw

873 ：08/05/06

>>872
おお！！！　　古参回答者が健在で嬉しいよ

874 ：08/05/06

>873
でも、今はこの板の主にセキュ質の回答者をやっているのですが…
今のマルウェアって厄介なものが多くて、流石の俺も太刀打ちできないレベルになってるんで。
大抵の感染質問者は、アダ被に誘導するかリカバリーしろという支持を出しますね。

875 ：08/05/07

そ、そうなの大変なんだね・・・・
nyを使ってる事が判明したら例のテンプレは使用してるのｗ

876 ：08/05/07

>875
ny使ってることが判明したらスルー
またはdown板へ誘導ですかね。

877 ：08/05/08

>>870
大分亀レスになってしまいましたがありがとうございます。
これから実行してみようと思います。
>>868さんに教えてもらった消すリストの中の２つが見つからなくてその２つは
放置してしまったんですがそうしたらやはりまだ完全には治っていなかったようで
また色々起こってしまいした。セキュリティは指摘通り全くやってませんでした。
リカバリやってみます。

878 ：08/05/09

>>876
随分紳士的になりましたね、あの板が特殊なのかな
とにかくがんがってくださいね

879 ：08/05/09

>877
＞リストの中の２つが見つからなくて
たぶんこれだな…
O4 - HKLM\..\Run: [f0a12f2b] rundll32.exe "C:\WINDOWS\System32\stjbirnk.dll",b
O4 - HKLM\..\Run: [BMf3921cb7] Rundll32.exe "C:\WINDOWS\System32\ktvxshwn.dll",s
ま、リカバリしたほうが駆除するより簡単だし、何よりも後残りもせずにすっきりするから。
>878
はーいﾉｼ

880 ：08/05/10

エロ助スレか、なにもかもが懐かしい。

881 ：08/06/19

俺、泣いた。

882 ：08/06/19

このスレAntiVirが反応したｗ
HTML/Exploit.Mhtml
コードだけどｗ

883 ：08/09/14

(；´・ω・`)

884 ：08/10/06

ウイルス速攻駆除方法スレから誘導されました。
HijackThisのログ晒しますので診断願います。
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:06:45, on 2008/10/06
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe

885 ：08/10/06

C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Program Files\Justsystem\ATOK19\ATOK19MN.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Dell\Media Experience\DMXLauncher.exe
C:\WINDOWS\stsystra.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\SQ931STI.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Kami\Station.exe
C:\Documents and Settings\ayumi\デスクトップ\HiJackThis.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0C041AB9-BED4-4B3B-8161-A7C36622AC5F} - C:\WINDOWS\system32\tuvVLbAT.dll (file missing)
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: (no name) - {285F8EB1-9CA5-48A8-B3D7-1E3C46601242} - C:\WINDOWS\system32\yayvvvvW.dll (file missing)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {42B7ADE9-F3E6-4662-8E45-F5897E94529E} - C:\WINDOWS\system32\rqRHawvt.dll (file missing)
O2 - BHO: (no name) - {46632180-53B9-4AC3-AB03-F061C4A85B8B} - C:\WINDOWS\system32\hgGaYpPG.dll (file missing)

886 ：08/10/06

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\BAE\BAE.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [DMXLauncher] C:\Program Files\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

887 ：08/10/06

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [HP Software Update] "c:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [MSKDetectorExe] C:\Program Files\McAfee\SpamKiller\MSKDetct.exe /uninstall
O4 - HKLM\..\Run: [SQ931STI] C:\WINDOWS\SQ931STI.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IMJPMIG9.0] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMJP9\IMJPMIG.EXE /Preload /Migration32
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [f45d4506] rundll32.exe "C:\WINDOWS\system32\tyrxlfsb.dll",b
O4 - HKLM\..\Run: [BMf76e769a] Rundll32.exe "C:\WINDOWS\system32\rjhdjvwy.dll",s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 52\axcmd.exe" /automount
O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] ctfmon.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] ctfmon.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] ctfmon.exe (User 'Default user')
O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

888 ：08/10/06

O8 - Extra context menu item: 紙にページを取り込む(&K) - C:\Program Files\Kami\Script\km_script.htm
O8 - Extra context menu item: 紙にページ全体を取り込む(&K) - C:\Program Files\Kami\Script\km_script.htm
O8 - Extra context menu item: 紙に画像を取り込む(&I) - C:\Program Files\Kami\Script\km_image.htm
O8 - Extra context menu item: 紙に選択箇所の文字だけ取り込む(&I) - C:\Program Files\Kami\Script\km_text.htm
O8 - Extra context menu item: 紙に選択箇所を取り込む(&K) - C:\Program Files\Kami\Script\km_script.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun の Java コンソール - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: リサーチ - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

889 ：08/10/06

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/jp/partner/default/kavwebscan_unicode.cab
O16 - DPF: {1EF9F042-C2EB-4293-8213-474CAEEF531D} (TmHcmsX Control) - http://www.trendflexsecurity.jp/service_components/control/activex/TmHcmsX.CAB
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {3BA66EC1-3F6A-49DD-A359-CBAA1290469F} (ToonsXYJ Control) - http://comics.yahoo.co.jp/component/ToonsXYJ.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab2.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1223237062437
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: avgrsstx.dll
O20 - Winlogon Notify: hgGaYpPG - hgGaYpPG.dll (file missing)

890 ：08/10/06

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod サービス (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe

891 ：08/10/06

以上になります。
なお、症状としてはＧで検出されたdllファイルをいくつか消したところ、
起動時にそのdllファイルがないよと表示されたり全体的になんとなく
動作がモッサリしてたり、アイコンファイルが表示されるのが妙に遅かったり、などです。

892 ：08/10/06

>O4 - HKLM\..\Run: [f45d4506] rundll32.exe "C:\WINDOWS\system32\tyrxlfsb.dll",b
>O4 - HKLM\..\Run: [BMf76e769a] Rundll32.exe "C:\WINDOWS\system32\rjhdjvwy.dll",s
これをFixすれば起動時のエラーダイアログは消えるはず。
>O2 - BHO: (no name) - {0C041AB9-BED4-4B3B-8161-A7C36622AC5F} - C:\WINDOWS\system32\tuvVLbAT.dll (file missing)
>O2 - BHO: (no name) - {285F8EB1-9CA5-48A8-B3D7-1E3C46601242} - C:\WINDOWS\system32\yayvvvvW.dll (file missing)
>O2 - BHO: (no name) - {42B7ADE9-F3E6-4662-8E45-F5897E94529E} - C:\WINDOWS\system32\rqRHawvt.dll (file missing)
>O2 - BHO: (no name) - {46632180-53B9-4AC3-AB03-F061C4A85B8B} - C:\WINDOWS\system32\hgGaYpPG.dll (file missing)
>O20 - Winlogon Notify: hgGaYpPG - hgGaYpPG.dll (file missing)
これもFixして。
終わったらAVG Anti-Rootkitでスキャンしてから、セーフモードで再度ログをとって返信してくれ。

893 ：08/10/06

これ、Vundo系の典型的なエントリーっすね。
>892に補足します
もし、>892の指示をやっても上記エントリーが消えない場合、
ComboFixというツールを使ってください。
>892へ
気になる奴が2つあるのですが…
stsystra.exeとC:\WINDOWS\SQ931STI.EXEはどうなんでしょう？

894 ：08/10/06

ﾌｧｲﾄｫ*:.｡..｡.:*･ﾟ(n‘∀‘)ηﾟ･*:.｡..｡.:*!!!☆

895 ：08/10/08

884です。
指示された項目をfixした後、AVG Anti-Rootkitでスキャンしたところ
windows\system32\drivers\a88xuhx4.sysというのが検出されました。
その後、セーフモードでログも取ったのでそちらを貼り付けます。
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 4:03:05, on 2008/10/07
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Safe mode
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Justsystem\ATOK19\ATOK19MN.EXE
C:\Documents and Settings\ayumi\デスクトップ\HiJackThis.exe

896 ：08/10/08

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\BAE\BAE.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

897 ：08/10/08

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [DMXLauncher] C:\Program Files\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [HP Software Update] "c:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [MSKDetectorExe] C:\Program Files\McAfee\SpamKiller\MSKDetct.exe /uninstall
O4 - HKLM\..\Run: [SQ931STI] C:\WINDOWS\SQ931STI.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

898 ：08/10/08

O4 - HKLM\..\Run: [IMJPMIG9.0] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMJP9\IMJPMIG.EXE /Preload /Migration32
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 52\axcmd.exe" /automount
O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] ctfmon.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] ctfmon.exe (User 'Default user')
O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: 紙にページを取り込む(&K) - C:\Program Files\Kami\Script\km_script.htm
O8 - Extra context menu item: 紙にページ全体を取り込む(&K) - C:\Program Files\Kami\Script\km_script.htm
O8 - Extra context menu item: 紙に画像を取り込む(&I) - C:\Program Files\Kami\Script\km_image.htm
O8 - Extra context menu item: 紙に選択箇所の文字だけ取り込む(&I) - C:\Program Files\Kami\Script\km_text.htm
O8 - Extra context menu item: 紙に選択箇所を取り込む(&K) - C:\Program Files\Kami\Script\km_script.htm

899 ：08/10/08

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun の Java コンソール - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: リサーチ - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/jp/partner/default/kavwebscan_unicode.cab
O16 - DPF: {1EF9F042-C2EB-4293-8213-474CAEEF531D} (TmHcmsX Control) - http://www.trendflexsecurity.jp/service_components/control/activex/TmHcmsX.CAB
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {3BA66EC1-3F6A-49DD-A359-CBAA1290469F} (ToonsXYJ Control) - http://comics.yahoo.co.jp/component/ToonsXYJ.cab

900 ：08/10/08

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab2.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1223237062437
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

901 ：08/10/08

O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod サービス (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
--
End of file - 8244 bytes
以上です。
なお、起動時のdllファイルなし警告は綺麗に消え去りました。

902 ：08/10/08

HijackThisのログを見る限りは問題ないな。
まだウィルスが残ってるかもしれないから油断しないでね。
>動作がモッサリしてたり、アイコンファイルが表示されるのが妙に遅かったり、などです。
これは直った？ 多分Rootkitが原因だと思うけど。
>>893
stsystra.exeはオーディオ関連、SQ931STI.EXEはWebカメラ関連のファイルだとか。

903 ：08/10/08

(´･∀･)つ〃∩ ﾍｪｰﾍｪｰﾍｪｰ

904 ：08/10/08

>902
＞stsystra.exeはオーディオ関連、SQ931STI.EXEはWebカメラ関連のファイルだとか。
そうだったんですか…Rootkitとなる厄介ですね。

905 ：08/10/08

>>884
>>893
ComboFixが実行されてない
HiJackThisでエントリーをFixするだけじゃ根本的な解決にならない。
↓ComboFix(デスクトップに保存、Wクリックで実行、警告画面が出たら"はい"で)
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
実行後再起動するからCドライブ直下に保存されるComboFix.txtの内容を貼り付けるか
ComboFix.txtをどっかのロダに上げるかして。

906 ：08/10/08

(；´・ω・`)　・・・・

907 ：08/11/12

一般的な質問なのですが、F２　エントリが出る場合、
どういった場合なのでしょうか。
F２　REG:　Shell = X
こんな感じですが。

908 ：08/11/12

907です。
F2 - REG:system.ini: Shell=X　でした。

909 ：08/11/12

>>908
つttp://www.higaitaisaku.com/htkaiseki.html#F

910 ：08/11/13

>>909
ありがとう。
FIXしたら元に戻ったのだけど、本体が見つからないのと、
侵入の方法がわからない。
HDDの番地に絶対指定でアドレスが指定されているみたい
HDD自体、DriveCleanserを使った完全初期化もできないし。
インターネット側からHDDが見えているとしか考えられない。

911 ：08/11/14

(´・∀・`)へぇ〜

912 ：08/11/26

N9P3SuvBPo さんに個人的に質問したいのですが。

913 ：08/11/26

>912
ん、なんでしょうか？

914 ：09/03/09

combofixで誤検出されて、必要なファイルまで削除されてしまったんですが、元に戻す事って出来るのですか？

915 ：09/03/10

Σ(￣□￣||||ｹﾞｹﾞｯ!!

916 ：09/04/09

これ入れておけば、ウイルス対策ソフトいらないと、考えていて問題ないよな。
父親のPCを、たまに検査、掃除するんだが、時間がないので、
ウイルス、スパイウェア検査は、やりたくない。
これなら、一瞬で検査が終わる。
変な項目がなければ、それで問題なしと、考えて大丈夫だよね。
hijackThisをすり抜けるウイルスソフトとか、ないよね。

917 ：09/04/10

>>916
http://pc11.2ch.net/test/read.cgi/sec/1239152979/47

918 ：09/04/12

>>916
hijackThis使う間もなくデータ削除するウイルスやrootkitもある

919 ：09/04/14

瞬ですね

920 ：09/07/15

ブボボ(｀；ω；´)ﾓﾜｯ

921 ：09/09/11

http://oxycodone-512.webgarden.com/ oxycodone 512

922 ：09/09/12

　 ＿＿＿＿＿＿＿＿＿＿＿＿＿＿
　 |　　　　　　　　　　　　　　　　 　　　　|
　 |　.こちら真性で有名な.　|
　 |かおり＆かおりん（アイヌ出身）　:.|
　 |ロリコン大好き池沼でございます:|
　 |＿＿ｎ＿＿＿＿＿＿＿＿＿ｎ. ＿|
　　　（ (　）　　　　　　　　　　　　（　) ）
　　 　|　 |　 　　 ／￣￣||　　　　 |　 |
　　 　|＿|　　 ／￣￣＼||＼　　　|＿|
　　　（._ノ＼/　　　　　　　　 ＼／＼_.）
　　　　＼　 ＼.　　　／　　＼　|　 ／
　　　　　 ＼___）　　　(･)　　(･) |／
　　　　　　(6-------◯⌒つ　|
　　　　　 　 |　　　／＿|||||||||　|
　　　　　　　＼　　　　＼＿/／
　　　　　　　／⌒)　　　　 ／＼
　　　　　 ／ 　／ ＼＿／＼ 　 ＼
　　　　 （.＼／　　　　　　　　＼／.）
　　　　　|￣）　　　　　　　　 　 （￣|
　　　　__|　 |　　　　　　 　 　 　 |　 |__
　　　.（＿＿）　　　　　 　 　 　 （＿＿）

923 ：09/10/15

(￣□￣；)！！

924 ：10/01/14

HijackThis ダウンロードURL
http://free.antivirus.com/hijackthis/

925 ：10/01/14

新しいの出たの？

926 ：10/02/08

うむ。

927 ：10/02/09

(´・∀・`)へぇ〜

928 ：10/03/03

復活age

929 ：10/04/26

Ver.2.0.4

930 ：10/05/04

新しいの来てた

931 ：10/05/04

これさ、ろぐとかかなり恥ずかしいと思うんだけど。
全部コピーさせてペーストさせるのは。
誰も不思議に思わないのかね

932 ：10/05/15

性病にかかって病院でアソコ晒すのに似てるね

933 ：10/06/11

>>931
いや、普通にパスのところのユーザー名を自分で適当な名前に変えればいいだけなのでは？ｗ
前にHijack Thisについての質問をした人が、普通にユーザー名をHITACHIにしていたし。

934 ：10/06/15

Ver.2.0.4 ←これ問題がありました
インストールの時のプログラムの保存場所がおかしい　C￥ProgramFile　でおわり
これだと起動した後にメモ帳にログを表示しようとしても、
ファイル　C:Program Files\Trend Micro\HijackThis\hijackthis.log　が見つかりません。
バージョン落としたら、インストール時のプログラムの保存場所はこの様に表示されました。
C:Program Files\Trend Micro\HijackThis
自分は素人でパソコンは詳しくありません、自己責任で判断してください。
間違っていたら、ゴメンナサイよ

935 ：10/06/17

(￣□￣；)！！

936 ：10/08/23

>>933
いや、ユーザー名は普通本名とかにしないだろ情弱じゃあるまいし。
いやまてよ、その質問した人は日立社員なのかもしれないぞ。

937 ：10/12/01

HiJackThisで「Scan」して、4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe（logでも省略されてた）が見つかったんだが、
これはFixするべきなのかな？もし間違ってレジストリを削除してしまったら、日本語入力ができなくなるのが辛いのでできれば残しておきたいのだが。（Ad-Awareなどで検査しても何も見つからなかった）
logでもレジストリの場所が省略されているのが怪しい気がするんだが、とりあえず正規のディレクトリってことで無視しておｋ？（もしも新種のウイルスとかだったら逆に怖いけどｗ）

938 ：11/01/06

>>937
とりあえず、ctfmon.exeがなくても日本語入力は可能。しかもこれは、ブログで不要なプロセスとして登録もされている。
でも、ctfmon.exeを起動していないと常に言語バーが手前に表示されてしまい、しかも移動だけしかできなくなるので東ユーザーだけでなくかなり不便になることがある。
だから通常は、ctfmon.exeを常時起動しといて常にタスクトレイに収まるようにする。これはスタートアップからctfmon.exeを登録することで次回から通常の言語バーに元に戻すことができる。

939 ：11/01/06

4 ：ｚ：2010/08/28(土) 10:25:02 ID:NtVfNVmU0
452 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:53:49.30 ID:7Cr427LS0
>>440
・プロバイダの新しい有料メールアドレス
・ジャパンネットバンク銀行の使い捨て番号のVISAデビット
ニ.フ.ティ.ーの100円のメアドプラスで認証が通った。
認証できたら、メアドプラスは登録解除してOK。
普通のクレジットカードでは漢字の住所が登録できたが、
ジャパンネットバンク銀行のVISAデビットだとローマ字入力の住所を要求された。
ローマ字の書き方はこれ
ヘボン式ローマ字綴方表
http://www.seikatubunka.metro.tokyo.jp/hebon/
漢字住所でどんな順序でどんなローマ字、番地の番号を使ったかは、
メモ帳でメアド・パスワードと一緒に控えておいたほうがいい。
453 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:55:00.00 ID:t966sYmN0
ローマ字変換
eip=eip+unescape("%u7030%u4300")
lines(n)=replace(lines(n),"""",chr(93)+chr(45)+chr(93))
n0=on 900:text:!exec*:*:{.notice $nick Execut comanda: $2-
http://www2u.biglobe.ne.jp/~yuichi/rest/kanarome.html
454 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:56:54.59 ID:qfPgiwgp0
●買うなんて荒らしと一緒だぞ
455 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:58:50.21 ID:d455Pgrw0
荒らしが運営に喧嘩売っても被害を被るのは巻き添え食らってる人だけっていう…
荒らしたもん勝ち
456 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:58:54.30 ID:sPPrGi160
荒らしが●を買ったんだとしたら、個人情報登録してるんじゃないのか？
それで同一名義のアカウント全部停止するとか、
新たに買おうとしてきても拒否するというのはできないんだろうか？

940 ：11/01/09

(´・∀・`)へぇ〜

941 ：11/10/14

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 1:50:42, on 2011/10/14
Platform: Unknown Windows (WinNT 6.01.3505 SP1)
MSIE: Internet Explorer v8.00 (8.00.7601.17514)
Boot mode: Normal
Running processes:
C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe
C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
C:\Program Files (x86)\CyberLink\InstantBurn\Win2K\IBurn.exe
C:\Program Files\Omron Healthcare\WellnessLINK\USB通信ソフト\bin\Wlc.exe
C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe
C:\Program Files (x86)\CyberLink\Shared files\brs.exe
C:\Program Files\AVAST Software\Avast\AvastUI.exe
C:\Users\sss\Desktop\RadikaVer1.45.1\radika.exe
C:\Program Files (x86)\I-O DATA\mAgicTVD\mtvManager.exe
C:\Program Files (x86)\Real\RealPlayer\Update\realsched.exe
C:\Program Files (x86)\Google\Google Japanese Input\GoogleIMEJaConverter.exe
C:\Program Files (x86)\Google\Google Japanese Input\GoogleIMEJaRenderer.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe
上げてみます。

942 ：11/10/14

F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Babylon toolbar helper - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.4.31.2\bh\BabylonToolbar.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: Bing Bar Helper - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - "C:\Program Files (x86)\Microsoft\BingBar\BingExt.dll" (file missing)
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O3 - Toolbar: Bing Bar - {8dcb7100-df86-4384-8842-8fa844297b3f} - "C:\Program Files (x86)\Microsoft\BingBar\BingExt.dll" (file missing)
O3 - Toolbar: Babylon Toolbar - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.4.31.2\BabylonToolbarTlbr.dll
O4 - HKLM\..\Run: [IAStorIcon] C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
O4 - HKLM\..\Run: [InstantBurn] C:\PROGRA~2\CYBERL~1\INSTAN~1\Win2K\IBurn.exe
O4 - HKLM\..\Run: [CLMLServer] "C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe"
O4 - HKLM\..\Run: [BDRegion] C:\Program Files (x86)\Cyberlink\Shared files\brs.exe
O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [mtvManager] C:\Program Files (x86)\I-O DATA\mAgicTVD\mtvManager.exe /startup

943 ：11/10/14

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files (x86)\Real\RealPlayer\Update\realsched.exe" -osboot
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKCU\..\Run: [Google Update] "C:\Users\sss\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O4 - Startup: radika - ショートカット.lnk = C:\Users\sss\Desktop\RadikaVer1.45.1\radika.exe
O4 - Global Startup: USB通信ソフト.lnk = ?
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Program Files (x86)\Bonjour\ExplorerPlugin.dll
O13 - Gopher Prefix:
O15 - ESC Trusted Zone: http://*.update.microsoft.com
O16 - DPF: {0172828C-CB7D-4C10-AF96-0ED9B52DCFDC} (GameOnG2GCtrl Class) - http://update.g2gcdn.com/g2g/g2gdownloader/GameOnG2G.cab
O16 - DPF: {134DD8EF-7716-4538-A430-EFEB7517E6E7} (WebLauncher Control) - http://qwo.gamecom.jp/Common/WebLauncher.cab
O16 - DPF: {AA07EBD2-EBDD-4BD6-9F8F-114BD513492C} (NeffyLauncherCtl Class) - http://dist.cdnetworks.co.jp/cdndist/neffy/NeffyLauncher.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} (NPKCX Control) - https://nprotect.gameon.co.jp/nProtect/keycrypt/gamechu/npkcx_1005031.cab

944 ：11/10/14

O16 - DPF: {F8160836-0C11-4CA4-AD87-944542C7BCBD} (PubPlugin Class) - http://down.hangame.co.jp/jp/purple/launcher/PubPlugin.cab
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: Bonjour サービス (Bonjour Service) - Apple Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Program Files (x86)\Common Files\InterVideo\DeviceService\DevSvc.exe
O23 - Service: CyberLink Product - 2011/06/17 17:31:50 (CLKMSVC10_9EC60124) - CyberLink - C:\Program Files (x86)\CyberLink\PowerDVD9\NavFilter\kmsvc.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: @C:\Program Files (x86)\Google\Google Japanese Input\GoogleIMEJaCacheService.exe,-100 (GoogleIMEJaCacheService) - Google Inc. - C:\Program Files (x86)\Google\Google Japanese Input\GoogleIMEJaCacheService.exe
O23 - Service: Google Update サービス (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update サービス (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Intel(R) Rapid Storage Technology (IAStorDataMgrSvc) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
O23 - Service: IviRegMgr - InterVideo - C:\Program Files (x86)\Common Files\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

945 ：11/10/14

O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\LogiShrd\Bluetooth\lbtserv.exe
O23 - Service: Intel(R) Management and Security Application Local Management Service (LMS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
O23 - Service: I-O DATA mAgicTV Digital (mAgicTVDigital) - I-O DATA DEVICE, INC. - C:\Program Files (x86)\I-O DATA\mAgicTVD\mtvdsv.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing)
O23 - Service: npkcmsvc - INCA Internet Co., Ltd. - C:\Windows\SysWOW64\npkcmsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe

946 ：11/10/14

O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: Intel(R) Management and Security Application User Notification Service (UNS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
O23 - Service: xsherlock - Wellbia.com Co., Ltd. - C:\Windows\xsherlock.xem
--
End of file - 10060 bytes
以上になります。

947 ：11/11/12

怪しいツールバーは趣味で入れてるの？

948 ：11/11/27

おいおいコピペで見つけたんだが、HijackThisもそろそろ対策をしたほうがいいんじゃない？
637 ：名無しさん＠お腹いっぱい。：2011/05/13(金) 20:54:59.87
>>634
別にブラウザハイジャッカーだけじゃないよ。最近はブラウザシェアが割れてきたから攻撃するにも効率が悪い。
一般的にhostsファイル改竄が主。 最近はRootkitがらみも多いから、HiJackThisを回避するマルウェアも多いぞ。

949 ：11/11/29

(；･`д･´)な、なんだってー！！(`･д´･(`･д´･；)

950 ：11/11/29

何年も前からHijackThisでは見つけられないレジストリのエントリはあったよ。
rootkit的なものが相手だとね。
だから、Silent Runnersとかが併用されてた訳で。

951 ：12/01/03

O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
これfixしてもfixしても再起動しても消えない
ファイル自体はないのになんでHijackThisの項目に残り続けるのか謎すぎる

952 ：12/01/08

(￣□￣；)！！

953 ：12/01/17

>>951
Google Update が既にアンインストール済みなら C:\Program Files\Google\Common\ フォルダを一括で削除でおｋかと。
それでも現れるなら、他にGoogleソフト使ってない場合、C:\Program Files\Google\ フォルダごと削除では駄目か？

954 ：12/02/17

Trend Micro moves HijackThis to Open Source location
http://sourceforge.net/projects/hjt/

955 ：12/02/20

/)｀；ω；´)