2012年3月セキュリティ213: 【分析】HijackThis【研究】 (955)
TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▼
トレンドマイクロ代表取締役社長兼CEOエバ・チェン (624)
ウィルスバスター(笑) (415)
【無防備】何時間耐えれるかガンガルスレ【常時接続】 (273)
ウィルスバスターアップデート前にあげるスレ 2 (843)
KINGSOFT Internet Security Part25 (182)
【PFW】フリーファイアウォールスレPart21 (197)
【分析】HijackThis【研究】
1 :04/08/01 CWShredder、Ad-aware、SpybotS&Dを使ったけどスパイウェアが除去できない、 そんな時にスパイウェアを手動で除去できるHijackThisについて研究・分析するスレッドです。 Merijn.org(本家) ttp://www.spywareinfo.com/~merijn/ 【関連リンク】 Hijack Thisによるレポート出力と手動でのスパイウェア除去 ttp://higaitaisaku.web.infoseek.co.jp/hijackthis.html HijackThisログ解析入門 ttp://higaitaisaku.web.infoseek.co.jp/htkaiseki.html HijackThis Entry Database ttp://higaitaisaku.web.infoseek.co.jp/hjtdatabase.html HijackThisに現れるスパイウェアの例 ttp://higaitaisaku.web.infoseek.co.jp/iranai.html HijackThisに現れる問題ないエントリーの例 ttp://higaitaisaku.web.infoseek.co.jp/iru.html 【関連スレッド】 エロサイト見たら…助けてください!Part35 ttp://pc6.2ch.net/test/read.cgi/pcqa/1091090092/ 【総合】スパイウェア予防駆除 Part4 ttp://pc5.2ch.net/test/read.cgi/sec/1089126024/ スパイウェア゛削除゛ソフト「Ad-aware」Part13 ttp://pc5.2ch.net/test/read.cgi/sec/1090052120/ 【雑談禁止】スパイウェア削除ソフトSpybot 15 ttp://pc5.2ch.net/test/read.cgi/sec/1090594050/
2 :04/08/01 2
3 :04/08/01 (・3・) エェー 3ですYO
4 :04/08/01 ぼるじょあたんキタ━━━━━━(゚∀゚)━━━━━━ !!!!! ttp://pc6.2ch.net/test/read.cgi/pcqa/1091090092/572 ttp://pc6.2ch.net/test/read.cgi/pcqa/1091090092/582-586 やっぱこの話の内容、すげー気になるよね。 俺はかちゅユーザーなんだけどこういう設定できるのかなぁ。
5 :04/08/01 エロサイト見たら・・・スレから要約したものを転載です。 >ゾヌ2のアクションの置き換えを使用 >Aboneのブラクラリスト機能を使用 >Live2chでは、スクリプトで置き換え これらを使う事で、HijackThisを貼った結果がこんな風に表示できるようになる…らしい。 O4 - HKLM\..\Run: [msbb] c:\program files\180solutions\msbb.exe ↓ O4 - HKLM\..\Run: [msbb] c:\program files\180solutions\msbb.exe ← ▲nCase( ttp://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=58 ) 詳しい設定方法とかを教えてもらえるとありがたいです。 この表示されているものって、ひとつひとつ手入力ですか? それとも、被害対策部屋か何かから引っ張ってくるんですか?>向こうのスレの531=532=533=544さん
6 :04/08/01 自分は一つ一つ手入力です。(面倒です) ゾヌ2でアクションで指定文字を含むの場所に \WINDOWS\Alevir.exe と書いて、動作置き換えの場所に \WINDOWS\Alevir.exe ← ▲WORM_OPASERV.F( ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp? )VName=WORM_OPASERV.F といった感じで記入して、有効にする板を全てにします。 データはひたすらROMに回って集めたり、 被害対策部屋の部屋やSpywareInfoのフォーラムから引っ張ってきたりもします。 SpywareInfoのフォーラム ttp://forums.spywareinfo.com/
7 :04/08/01 >>6 なるほど、地道な作業の積み重ねなんですね。 このスレッドで、ぞぬ2用とかAbone用とかLive2ch用とか、 このスレ住人で協力して置き換えデータベースみたいなのを 作れるといいかも。
8 :04/08/01 >>7 自分の置き換えデータなら、 アップしてもいいですよ。(NGワード) ただし実行は自己責任でお願いします。 その場合アップロダを指定していたただければサンプルとして、 提出します。
9 :04/08/01 ∧_∧ ((´∀` /^)531=532=533=544さん /⌒ ノ γ (,_,丿ソ′ i,_,ノ ||| バンザイ バンザイ ヤッター アリガトー ∧_∧ ∧_∧ ∧_∧ ∧_∧ (^(,, ´∀`)) ・∀・)(ヽ )')((・∀・ /') ヽ /ヽ ノ ヽ ノ ノ ノ ノ r ヽ / | / O | ( -、 ヽ (_,ハ_,),_,/´i,_,ノ (,_,/´i,_,ノ し' ヽ,_,) さっそくアプロダ探してきます このスレッドで、どんどんデータを蓄積できるように協力しますよ
10 :04/08/01 >>8 2ちゃんねるアプロダはどうでしょ? ttp://up.isp.2ch.net/upload/c=03okari/index.cgi はいいろさんがもしこっちのスレに来てたら、まとめサイトに 置いといて欲しいですね。
11 :04/08/01 >>10 アップしました。 /up/cf627671dd5a.zip 上のファイルをゾヌ2内の\users\ユーザ名\ngres.txtと入れ替える。 注意点があります。このファイルを使って、 2ちゃんねるを見ると普通の表示状態と全く変わってしまいます。 かならずバックアップを取って、 鑑定スレやエロサイトスレで実験してから使ってください。 また一応プライパシーデータであるのでパスを掛けました。 HijackThis
12 :04/08/01 いっぺんに何人もダウンロードしているヨカソ 全然反応がないや(´・ω・`)ショボーン しばらく待ってみて後でダウンロードしてみます(・∀・ )
13 :04/08/01 いつまで待ってもダウンロードできる様子がありません。゚(゚´Д`゚)゚。 他の人で>>11 をダウンロードできた人っていますか?
14 :04/08/01 >>13 落とせたよ。 時間大分掛かったけど、サイズが小さいから 鯖自体が重くなってファイルにアクセスできない のではないかな、気長に再挑戦してください。
15 :04/08/01 >>13 ダウンロードできたので別のところにそのままうpした。 ttp://borujoa.s27.xrea.com/upload/source/upload0261.zip こっちのうpろだのほうが軽いよ。 ttp://borujoa.s27.xrea.com/upload/upload.cgi
16 :04/08/01 >>15 のがまずかったらすぐ消すわ。
17 :04/08/01 キタ━━━━━━(゚∀゚)━━━━━━ !!!!! ありがとう、あなたもネ申です。 今何人ぐらいの人が持ってるんですかね、このツール。 カバーしてない分とかを、みんなでどんどん情報出していきましょう。
18 :04/08/01 テストしてみました、結果良好です。 でもぞぬ2はやっぱり重いですね(;´Д`)
19 :04/08/01 特定のハンドルのトリップや、 ブラクラなんかも置き換えられている。 どうやらこの人、もと鑑定スレの鑑定士なんじゃないかな?
20 :04/08/01 かちゅで同じような事ができないかどうか模索中・・・ だってぞぬ2重い・・・
21 :04/08/01 せっかく提供してくれたんだ、興味本位な詮索は辞めて データを活用することを考えませんか。 基本的な活用方法とか、追加した方がいいデータとか
22 :04/08/01 >>21 個人的に追加したいなーというデータは 被害対策の部屋のHijackThisデータベースの網羅かな。 どのぐらいをカバーしているのかがまだ不明ですが。
23 :04/08/02 >>21 他の2chブラウザでも、同じような置換フィルタを作っていきませんか? たぶんみなさんそれぞれ2chブラウザを使ってる種類、違うんじゃないかな?
24 :04/08/02 エロサイト見たら…助けてください!Part35 http://pc6.2ch.net/test/read.cgi/pcqa/1091090092/666 向こうのお客さん依頼を貼り付けておきます。 だれか見てあげてください。 Logfile of HijackThis v1.98.0 Scan saved at 7:32:22, on 2004/08/02 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\Program Files\Apoint2K\Apoint.exe C:\Program Files\Onetouch V1.0\EzButton.exe C:\WINDOWS\System32\ezSP_Px.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\Apoint2K\Apntex.exe C:\WINDOWS\System32\yvedbcwi.exe C:\WINDOWS\System32\conime.exe
25 :04/08/02 C:\Program Files\Messenger\msmsgs.exe C:\WINDOWS\System32\corujesh.exe C:\Documents and Settings\kanji\デスクトップ\HijackThis\HijackThis.exe C:\Documents and Settings\kanji\My Documents\いろいろ\ぶらうざ\openjane-0.1.11.0\Jane2ch.exe C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Internet Explorer\IEXPLORE.EXE R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) F2 - REG:system.ini: UserInit=C:\Windows\System32\wsaupdater.exe, O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\WINDOWS\EliteBar\EliteBar version 37.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [onetouch] c:\Program Files\Onetouch V1.0\EzButton.exe O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
26 :04/08/02 O4 - HKLM\..\Run: [IMJPMIG9.0] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMJP9\IMJPMIG.EXE /Preload /Migration32 O4 - HKLM\..\Run: [ara-key] C:\Program Files\WindowsUpdate\wuaudnld.tmp\cabs\com_microsoft.Q831167_IE6_SP1\Q8311674967.exe -StartUp O4 - HKLM\..\Run: [pezmjumr] C:\WINDOWS\System32\yvedbcwi.exe O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe O4 - HKLM\..\Run: [arodkn] C:\WINDOWS\arodkn.exe O4 - HKLM\..\RunOnce: [Ad-aware] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-aware.exe" "+b1" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Hdvml] C:\WINDOWS\System32\corujesh.exe O4 - Startup: Internet Explorer.lnk = C:\Program Files\Internet Explorer\IEXPLORE.EXE O4 - Startup: Jane2ch へのショートカット.lnk = ? O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Super Mapple Digital - カスタム情報記入 - res://C:\PROGRA~1\SUPERM~1.4\MappleBand.dll/110 O8 - Extra context menu item: Super Mapple Digital - 地図検索 - res://C:\PROGRA~1\SUPERM~1.4\MappleBand.dll/109 O8 - Extra context menu item: 携帯に送る(&K)... - http://www.ikehouse.co.jp/iMode/iModeWS/ie/imghook.asp O9 - Extra button: マップル - {381F73A9-29D0-45B6-88D7-F82C4BCED5D3} - C:\Program Files\Super Mapple Digital Ver.4\MappleBand.dll O9 - Extra button: リサーチ - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O14 - IERESET.INF: START_PAGE_URL=http://prius.hitachi.co.jp/go/prius/index.htm O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.mt-download.com
27 :04/08/02 O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.skoobidoo.com O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.133/legal/x.chm::/load.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=49e422e7968751004a7c475f91f16bf5704ecd078aae7d3982a3508206fdc37f677f5429ee732a811e3c55f70527c293f863e8:8b5b4fff0cd3ceb2d022384e480b9c0d O16 - DPF: {32A46776-9D08-11D2-AB61-D757626CD108} (IEAutoTool.IEAutoInput) - file://C:\Documents and Settings\kanji\デスクトップ\DOSVDX\200308\FREE\ieat1314\IEATool.CAB O16 - DPF: {706F3805-27D7-478D-80E5-E25D2BB030B3} (VacPro.internazionale_ver3) - http://www.advnt01.com/dialer/internazionale_ver3.CAB O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - %SystemRoot%\System32\mshtml.dll O18 - Protocol: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\WINDOWS\system32\urlmon.dll O18 - Protocol: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\System32\msvidctl.dll O18 - Protocol hijack: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} O18 - Protocol hijack: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B} O18 - Protocol: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll O18 - Protocol hijack: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B} O18 - Protocol: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll O18 - Protocol hijack: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - %SystemRoot%\System32\mshtml.dll O18 - Protocol: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll O18 - Protocol: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - %SystemRoot%\System32\mshtml.dll
28 :04/08/02 O18 - Protocol: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - %SystemRoot%\System32\inetcomm.dll O18 - Protocol hijack: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B} O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\System32\itss.dll O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Program Files\Common Files\Microsoft Shared\Information Retrieval\msitss.dll O18 - Protocol: msdaipp - (no CLSID) - (no file) O18 - Protocol: msjwwdat - {BAAB02DC-913E-40AA-B9ED-8068DEE42CFA} - C:\Program Files\Microsoft Office\Home Style\JWW\JWWData.dll O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL O18 - Protocol hijack: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - %SystemRoot%\System32\mshtml.dll O18 - Protocol hijack: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - %SystemRoot%\System32\mshtml.dll O18 - Protocol: vnd.ms.radio - {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINDOWS\System32\msdxm.ocx O18 - Protocol hijack: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE}
29 :04/08/02 >>◆UkZAUUIUs. 以前にこの人キンタマに感染している。 O4 - HKLM\..\Run: [ara-key] C:\Program Files\WindowsUpdate\wuaudnld.tmp\cabs\com_microsoft.Q831167_IE6_SP1\Q8311674967.exe -StartUp ny使っているのなら、診断対象外。
30 :04/08/02 >>29 誤爆しました・・・_| ̄|○
31 :04/08/02 >>29 向こうの677でし。この人、ウィルスチェックやってねーって事か(;´Д`) 釣り人ではなさそうだけど、自己責任かなーという気もしますね。 向こうの674のHijackThis指示は大間違いですよってのは気づきましたが、 キンタマとぬるぽは気づきませんでした(変なエントリだな?とは思いましたが)。 まだ俺も修行足らないな(;´Д`)俺もヤブ医者にならないよう精進せねば。
32 :04/08/02 >>31 04のO4 - HKLM\..\Run: [ara-key] ..... ってやつは百発百中でキンタマウイルスです。 また、まだウイルス定義の対応していないヌルポース2 (私はnyの作者ですというやつ)はWindowsの標準環境に、 似たエントリーを叩きだします。 自分が特別に診断して下は笑った例。 O4 - HKLM\..\Run: [System] C:\WINDOWS\Exploder.exe よくみるとExpolerではなくExploderというのがポイント。
33 :04/08/02 >>32 向こうに出すべきだった指示 「おてぃんてぃんを高速でしごけば直せます(゚∀゚)」 キンタマウィルスはデータベースに入れました、情報提供ありがとうございます。
34 :04/08/02 EliteBar情報 O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\WINDOWS\EliteBar\EliteBar version 37.dll O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\WINDOWS\EliteBar\EliteBar version 36.dll データベースに登録するには、 \WINDOWS\EliteBar\EliteBar version 37.dll ← ▲EliteBar(Fix後EliteBarフォルダをゴミ箱へ) \WINDOWS\EliteBar\EliteBar version 36.dll ← ▲EliteBar(Fix後EliteBarフォルダをゴミ箱へ) EliteBar version 36.dllの場合もあった。 まだ、Ad-AwareやSpybot-S&Dが対応していない可能性のあるスパイウェアです。 指示はFixさせた後に再起動。起動後にEliteBarフォルダをゴミ箱に移させて、 もう一度Ad-Awareを実行させて念のためゴミ掃除させます。これで解決を得ています。
35 :04/08/02 宜しくお願いします。 Logfile of HijackThis v1.98.0 Scan saved at 22:25:06, on 2004/08/02 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\Symantec Shared\ccProxy.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Program Files\Common Files\Creoapp\MrnTS_Sync5.exe C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\Program Files\Fujitsu\sa\de\jsharp\bin\SBRSVC.EXE C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
36 :04/08/02 続きです C:\WINDOWS\System32\ezSP_Px.exe C:\Program Files\Fujitsu\PowerUtility\schedule\PUSCSRVC.exe C:\Program Files\Fujitsu\MyMedia\MyMedia Server\mediaserver.exe C:\Program Files\Fujitsu\PowerUtility\schedule\PUSCDaemon.exe C:\Program Files\Fujitsu\Fujitsu Quick Touch\QuickTouch.exe C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe C:\Program Files\Fujitsu\iNetConDsp\iNetConDsp.exe C:\Program Files\Fujitsu\IndicatorUtility\IndicatorUty.exe C:\WINDOWS\System32\hkcmd.exe C:\Program Files\Fujitsu\chitose\chitose.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\Apoint2K\Apoint.exe C:\WINDOWS\AGRSMMSG.exe C:\Program Files\Messenger\msmsgs.exe C:\WINDOWS\System32\hgchcwii.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\ChIntCal\CHINTCAL.EXE C:\WINDOWS\System32\igfxext.exe C:\WINDOWS\System32\conime.exe C:\Program Files\Apoint2K\HidFind.exe C:\Program Files\Apoint2K\Apntex.exe C:\Program Files\Fujitsu\sa\bin\mpbtn.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Owner\Local Settings\Temp\hijackthis.zip の一時ディレクトリ 3\HijackThis.exe
37 :04/08/02 続きです O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {4DAA6426-E46D-20CE-8000-64550CD32B4D} - C:\WINDOWS\System32\bilcmavq.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
38 :04/08/02 続き O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [LoadPUSCDaemon] C:\Program Files\Fujitsu\PowerUtility\schedule\PUSCDaemon.exe O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\Program Files\Fujitsu\Fujitsu Quick Touch\QuickTouch.exe O4 - HKLM\..\Run: [LoadBtnHnd] C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe O4 - HKLM\..\Run: [INETCONDSP] "C:\Program Files\Fujitsu\iNetConDsp\iNetConDsp.exe" O4 - HKLM\..\Run: [IndicatorUtility] C:\Program Files\Fujitsu\IndicatorUtility\IndicatorUty.exe O4 - HKLM\..\Run: [IMJPMIG9.0] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMJP9\IMJPMIG.EXE /Preload /Migration32 O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
39 :04/08/02 O4 - HKLM\..\Run: [FMVランチャー] C:\fjuty\wallbtn\FMVLauncherKicker.exe O4 - HKLM\..\Run: [FJUPDNV_Chitose] C:\Program Files\Fujitsu\chitose\chitose.exe O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKCU\..\Run: [Tars] C:\Documents and Settings\Owner\Application Data\utwb.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: ダイヤルアップ チェッカー.lnk = C:\Program Files\ChIntCal\CHINTCAL.EXE O4 - Global Startup: 富士通サービスアシスタント.lnk = C:\Program Files\Fujitsu\sa\bin\matcli.exe O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: このページのキャッシュ - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
40 :04/08/02 以上です。 O8 - Extra context menu item: リンク元 - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: 関連ページ - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: リサーチ - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {48B35AC2-CFCE-4DF7-8B39-C3EB6F5DD111} (DreamTechnologies MADO Image Viewer Control) - http://download.sfd.co.jp/mado-book/MADOCMP_24003.CAB O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O18 - Protocol: msjwwdat - {BAAB02DC-913E-40AA-B9ED-8068DEE42CFA} - C:\Program Files\Microsoft Office\Home Style\JWW\JWWData.dll
41 :04/08/02 俺は分析するつもりはないが、HijackThisがアップデートされてるから報告。 HijackThis 1.98.1 http://forums.net-integration.net/index.php?showtopic=20686
42 :04/08/02 続いてアンインストールプログラムのログその一です ---------- UNINSTALLPROGRAMLIST "DisplayName"="Ad-aware 6 Personal" "DisplayName"="Agere Systems AC'97 Modem" "DisplayName"="ダイヤルアップ チェッカー" "DisplayName"="DivX Codec" "DisplayName"="DivX Player" "DISPLAYNAME"="Microsoft DirectX Transform optional components" "DisplayName"="" "DisplayName"="" "DisplayName"="ギコナビ" "DisplayName"="Internet Explorer Q867801" "DisplayName"="@フォトレタッチ" "DisplayName"="@メニュー" "DisplayName"="壁紙かんたん模様替え" "DisplayName"="PC乗換ガイド" "DisplayName"="@映像館" "DisplayName"="PowerUtility" "DisplayName"="SanrioTinyPark" "DisplayName"="携帯万能 for FMV" "DisplayName"="FMVランチャー" "DisplayName"="筆まめ Ver.13 ベーシック" "DisplayName"="KARUGARUnet 4.0"
43 :04/08/02 その二です "DisplayName"="Windows XP ホットフィックス - KB810217" "DisplayName"="Windows XP Hotfix (SP2) [See KB810243 for more information]" "DisplayName"="Advanced Networking Pack for Windows XP" "DisplayName"="Windows XP ホットフィックス - KB818332" "DisplayName"="Windows XP ホットフィックス - KB820291" "DisplayName"="Windows XP ホットフィックス - KB821253" "DisplayName"="Windows XP ホットフィックス - KB822603" "DisplayName"="Windows XP ホットフィックス - KB823182" "DisplayName"="Windows XP ホットフィックス - KB824105" "DisplayName"="Windows XP ホットフィックス - KB824141" "DisplayName"="Windows XP ホットフィックス - KB824143" "DisplayName"="Windows XP ホットフィックス - KB825119" "DisplayName"="Windows XP ホットフィックス - KB826367" "DisplayName"="Windows XP ホットフィックス - KB826939" "DisplayName"="Windows XP ホットフィックス - KB826942" "DisplayName"="Windows XP ホットフィックス - KB828035" "DisplayName"="Windows XP ホットフィックス - KB828741" "DisplayName"="Windows XP ホットフィックス - KB833407" "DisplayName"="Windows XP ホットフィックス - KB835732" "DisplayName"="Windows XP ホットフィックス - KB837001" "DisplayName"="Windows Media Player Hotfix [詳細については、KB837272 を参照してください]" "DisplayName"="DirectX 9 修正プログラム - KB839643" "DisplayName"="Windows XP ホットフィックス - KB839645" "DisplayName"="Windows XP ホットフィックス - KB840315" "DisplayName"="Windows XP ホットフィックス - KB840374" "DisplayName"="Windows XP ホットフィックス - KB841873" "DisplayName"="Windows XP ホットフィックス - KB842773" "DisplayName"="Microsoft Data Access Components KB870669" "DisplayName"="LiveReg (Symantec Corporation)" "DisplayName"="LiveUpdate 1.90 (Symantec Corporation)"
44 :04/08/02 その三 "DisplayName"="窓の手 2004" "DisplayName"="Medi@Show" "DisplayName"="Microsoft .NET Framework (JPN) v1.0.3705" "DisplayName"="Microsoft Visual J# .NET Redistributable Package(JPN) v1.0.4205" "DisplayName"="MyMedia (remove only)" "DisplayName"="MyMedia Server (remove only)" "DisplayName"="OASYS Viewer V8" "DisplayName"="OCNスタートパック" "DisplayName"="Outlook Express Q823353" "DisplayName"="OpenMG Limited Patch 3.3-03-10-05-01" "DisplayName"="OpenMG Limited Patch 3.3-03-08-27-01" "DisplayName"="Windows XP Hotfix (SP2) Q322011" "DisplayName"="Windows XP Hotfix (SP2) Q327979" "DisplayName"="Windows XP Hotfix (SP2) Q810090" "DisplayName"="Windows XP Hotfix (SP2) Q811147" "DisplayName"="Windows XP Hotfix (SP2) Q814995" "DisplayName"="Windows XP Hotfix (SP2) Q815917" "DisplayName"="Windows XP Hotfix (SP2) Q818213" "DisplayName"="Windows XP Hotfix (SP2) Q818654" "DisplayName"="Windows Media Player Hotfix [詳細については、Q828026 を参照してください]" "DisplayName"="RealOne Player" "DisplayName"="Shockwave" "DisplayName"="Spybot - Search & Destroy 1.3"
45 :04/08/02 その四 "DisplayName"="Start! @homepage" "DisplayName"="Norton Internet Security (Symantec Corporation)" "DisplayName"="Viewpoint Media Player (Remove Only)" "DisplayName"="FMモバイルスイッチャー " "DisplayName"="IBM ホームページ・ビルダー 7 ライト" "DisplayName"="筆ぐるめ Ver.11" "DisplayName"="GW-NS54GM" "DisplayName"="IndicatorUtility" "DisplayName"="ODN Signup Software" "DisplayName"="Norton Internet Security" "DisplayName"="AOL" "DisplayName"="@拡大ツール" "DisplayName"="" "DisplayName"="@フォトレタッチ" "DisplayName"="Microsoft Visual J# .NET Redistributable Package 1.1" "DisplayName"="壁紙かんたん模様替え" "DisplayName"="Visual J# .NET Redistributable Package" "DisplayName"="FM かんたんバックアップ" "DisplayName"="Google Toolbar for Internet Explorer" "DisplayName"="PC乗換ガイド" "DisplayName"="WebFldrs XP" "DisplayName"="DION (KDDI)" "DisplayName"="OpenMG Secure Module 3.3" "DisplayName"="Norton AntiSpam" "DisplayName"="@niftyでインターネット" "DisplayName"="筆王" "DisplayName"="DVDfunSTUDIO" "DisplayName"="" "DisplayName"="Microsoft Windows Journal ビューア"
46 :04/08/02 その五 "DisplayName"="Norton Internet Security" "DisplayName"="アップデートナビV1.1L20" "DisplayName"="Norton Internet Security" "DisplayName"="ワンタッチボタン設定" "DisplayName"="Norton Internet Security" "DisplayName"="@nifty環境設定ユーティリティ" "DisplayName"="富士通サービスアシスタント(マニュアル&サポート)" "DisplayName"="Norton AntiSpam" "DisplayName"="Microsoft Office Home Style+" "DisplayName"="時事通信社「家庭の医学」デジタル版U" "DisplayName"="@映像館" "DisplayName"="Microsoft .NET Framework (JPN)" "DisplayName"="Symantec Network Driver Update" "DisplayName"="@料金表示" "DisplayName"="PowerUtility" "DisplayName"="SigmaTel AC97 オーディオ ドライバ" "DisplayName"="百年プリント@コニカ注文用ソフトウェア" "DisplayName"="Intel(R) Extreme Graphics 2 Driver" "DisplayName"="GAMEPACK2004F" "DisplayName"="Microsoft Office Personal Edition 2003" "DisplayName"="Powered Internet[POINT] サインアップツールV1.0" "DisplayName"="InterVideo WinDVD" "DisplayName"="Norton Internet Security" "DisplayName"="Realtek RTL8139/810x Fast Ethernet NIC Driver Setup" "DisplayName"="WEB便利ツール" "DisplayName"="SanrioTinyPark" "DisplayName"="DVD-RAMドライバー" "DisplayName"="ALPS Touch Pad Driver" "DisplayName"="Visual J# .NET Redistributable 1.1- Japanese Language Pack"
47 :04/08/02 その六 "DisplayName"="CC_ccProxyMSI" "DisplayName"="BIGLOBEでインターネット" "DisplayName"="Plugfree NETWORK " "DisplayName"="Norton Internet Security" "DisplayName"="Adobe Reader 6.0 - Japanese" "DisplayName"="Microsoft .NET Framework 1.1 Japanese Language Pack" "DisplayName"="FlashAid" "DisplayName"="@コントローラ" "DisplayName"="DVD-MovieAlbumSE 3" "DisplayName"="ATLAS 翻訳パーソナル 2004 LE (ホームページ翻訳専用)" "DisplayName"="FUJITSU 音声合成" "DisplayName"="Norton AntiVirus" "DisplayName"="Microsoft .NET Framework 1.1" "DisplayName"="Symantec Script Blocking Installer" "DisplayName"="So-net簡単スターターV2.3" "DisplayName"="CC_ccStart" "DisplayName"="ccCommon" "DisplayName"="携帯万能 for FMV" "DisplayName"="ツボ リラックス" "DisplayName"="BeatJam" "DisplayName"="@FTP"
48 :04/08/02 長くなりましたがこれで最後です。 "DisplayName"="@メール" "DisplayName"="Norton Internet Security" "DisplayName"="FMVオンラインユーザー登録" "DisplayName"="Norton Internet Security" "DisplayName"="FMVランチャー" "DisplayName"="筆まめ Ver.13 ベーシック" "DisplayName"="MotionDV STUDIO" "DisplayName"="うれしレシピ" "DisplayName"="Norton Internet Security" "DisplayName"="MSRedist" "DisplayName"="Microsoft Windows XP CD 書き込みウィザード HighMAT Extension" "DisplayName"="てきぱき家計簿マム4" "DisplayName"="プロアトラスW2" "DisplayName"="マップサーバースイッチャー" "DisplayName"="乗換案内 時刻表対応版" "DisplayName"="柿木将棋V Light" "DisplayName"=""
49 :04/08/02 大変長くなりましたが、識者の皆様、>>35->>40 、>>42->>47 を どうか宜しくお願いします。
50 :04/08/02 分析と研究はするが、助言をするかは判らない。 スレタイとか、ここまでの流れを見てれば判るよね?
51 :04/08/02 >>50 わかります。客観的なご意見をいただけるだけでも有り難いと思っております。
52 :04/08/02 >>48 家計簿やるなよ
53 :04/08/02 出来るだけ、鑑定してやらないと 協力してくれる人居なくなるぞ。
54 :04/08/02 >>50 ( ´_ゝ`) >>51 マジレスしない 今HijackThis見ている人って、俺以外で何人いらっしゃいますか? フィルターに引っかかっている問題ありエントリーはなしで、フィルターの 表示なし分を調べ中です。ちょっと(もしかしたらかなり)俺は時間かかるかも。。。
55 :04/08/02 俺以外で何人いらっしゃいますか? >いないみたい
56 :04/08/03 >>55 工エェ(´Д`)ェエ工 >>35-48 さん 一応の分析結果です。フィルタ以外のもののみ。(フィルタは全て問題なしです) googleでも一切ヒットしないもの O2 - BHO: (no name) - {4DAA6426-E46D-20CE-8000-64550CD32B4D}- C:\WINDOWS\System32\bilcmavq.dll googleでヒットはあるが、情報がないもの O4 - HKCU\..\Run: [Tars] C:\Documents and Settings\Owner\Application Data\utwb.exe 富士通関連のもの O4 - HKLM\..\Run: [FJUPDNV_Chitose] C:\Program Files\Fujitsu\chitose\chitose.exe O4 - Global Startup: ダイヤルアップ チェッカー.lnk = C:\Program Files\ChIntCal\CHINTCAL.EXE O4 - Global Startup: 富士通サービスアシスタント.lnk = C:\Program Files\Fujitsu\sa\bin\matcli.exe Microsoft Office関連のもの O9 - Extra button: リサーチ - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O18 - Protocol: msjwwdat - {BAAB02DC-913E-40AA-B9ED-8068DEE42CFA} - C:\Program Files\Microsoft Office\Home Style\JWW\JWWData.dll 不明情報のみあるもの O16 - DPF: {48B35AC2-CFCE-4DF7-8B39-C3EB6F5DD111} (DreamTechnologies MADO Image Viewer Control) - http://download.sfd.co.jp/mado-book/MADOCMP_24003.CAB ←▲HijackThis 016List Bエントリー(評価未定) お好みで取捨(被害対策の部屋) O4 - HKLM\..\Run: [IMJPMIG9.0] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMJP9\IMJPMIG.EXE /Preload /Migration32 ← ▲IME関係エントリー、好みで取捨(被害対策) 問題なしエントリ O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab ←●HijackThis 016List Aエントリー(問題なし)
57 :04/08/03 >>56 の続きです。 googleで検索しても出てこないBHOがやや?ですが、FIX指示を出す程の根拠はないので今のところは放置。 同じく情報のない04エントリー(Tars)も、一応今のところは放置。 未分類の016エントリー(DreamTechnologies MADO Image Viewer Control)も今のところは放置。 後のエントリはおそらく問題ないだろうと私は思います。あまり自信はないので他の人からの指摘大歓迎。 つまり、HijackThisでFixしなければならないようなエントリは、私の見た範囲では、特にはなさそうです。 もし不安を感じるようでしたら、以下のスレッドに目を通してみて、 フリーのアンチトロイソフトを導入してみてもいいかもしれません。 もしかしたらノートン先生が見逃していたトロイが引っかかるかも? ☆☆トロイの木馬☆☆2台目 http://pc5.2ch.net/test/read.cgi/sec/1087290865/ あとは、キャッシュの削除とかの掃除をこまめにやるのと、たくさんのプログラムが入っていますので 必要ないものの常駐を切るとか、その程度しか私には助言できそうにありません。申し訳無い。
58 :04/08/03 >>57 の続きです。 他の人に「これはFixして下さい」と指示するまでは言えませんが、自己責任でいじってみるのならこの辺かな?という感じです。 O2 - BHO: (no name) - {4DAA6426-E46D-20CE-8000-64550CD32B4D}- C:\WINDOWS\System32\bilcmavq.dll 該当ファイルのプロパティを確認してみて、メーカー名などを確認してみる。 覚えの無いメーカーならばこれだけFixして一回再起動してみる。問題が起こったらバックアップから戻す。 O4 - HKCU\..\Run: [Tars] C:\Documents and Settings\Owner\Application Data\utwb.exe 該当ファイルのプロパティを確認してみて、必要がなければFixしてみる。問題が起こったらバックアップから戻す。 (HijackThisのディレクトリと同じところにありますから、きっと>>35-48 さんは「C:\Documents and Settings」に 色々とダウンロードしたファイルを置いてらっしゃると思いますので)
59 :04/08/03 PC初心者板の「エロサイト見たら…助けてください」スレから誘導されてきました870です。 宜しくお願いします。以下が現在のものとなります。 Logfile of HijackThis v1.98.0 Scan saved at 16:00:23, on 2004/08/03 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v5.50 (5.50.4134.0100) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\PCCIOMON.EXE C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\PCCPFW.EXE C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\TMPROXY.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\IMEJPMGR.EXE C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
60 :04/08/03 C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\WINDOWS\SYSTEM\LVCOMS.EXE C:\WINDOWS\SYSTEM\HIDSERV.EXE C:\WINDOWS\LOADQM.EXE C:\PROGRAM FILES\ARVEL\クリエーションマウス コンビ\5.3\MOUSE32A.EXE C:\WINDOWS\SYSTEM\INTERNST32.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAM FILES\NECTVRC\TVRC.EXE C:\PROGRAM FILES\VIA TECHNOLOGIES, INC\VIA AUDIO DRIVER SETUP PROGRAM\AUDIODECK\AUDIODECK.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAM FILES\WINDOWS MEDIA COMPONENTS\ENCODER\WMENCAGT.EXE C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\PCCGUIDE.EXE C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\PCCLIENT.EXE C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\TMOAGENT.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAM FILES\TREND MICRO\VIRUS BUSTER 2004\PCCMAIN.EXE C:\WINDOWS\デスクトップ\新しいフォルダ\HIJACKTHIS.EXE
61 :04/08/03 O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll O3 - Toolbar: @msdxmLC.dll,-1@1041,ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [MSPCLOCK] rundll32.exe /N streamci,StreamingDeviceSetup {97ebaacc-95bd-11d0-a3ea-00a0c9223196},{53172480-4791-11D0-A5D6-28DB04C10000},{53172480-4791-11D0-A5D6-28DB04C10000} O4 - HKLM\..\Run: [MSPQM] rundll32.exe /N streamci,StreamingDeviceSetup {DDF4358E-BB2C-11D0-A42F-00A0C9223196},{97EBAACB-95BD-11D0-A3EA-00A0C9223196},{97EBAACB-95BD-11D0-A3EA-00A0C9223196} O4 - HKLM\..\Run: [MSKSSRV] rundll32.exe /N streamci,StreamingDeviceSetup {96E080C7-143C-11D1-B40F-00A0C9223196},{3C0D501A-140B-11D1-B40F-00A0C9223196},{3C0D501A-140B-11D1-B40F-00A0C9223196} O4 - HKLM\..\Run: [internat.exe] internat.exe O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe O4 - HKLM\..\Run: [Hidserv] Hidserv.exe run O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\Arvel\クリエーションマウス コンビ\5.3\MOUSE32A.EXE O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\internst32.exe internet.dll,LoadNetworkProfile O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
62 :04/08/03 O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\RunServices: [PCCIOMON.exe] "C:\Program Files\Trend Micro\Virus Buster 2004\PCCIOMON.exe" O4 - HKLM\..\RunServices: [PccPfw] C:\Program Files\Trend Micro\Virus Buster 2004\PccPfw.exe O4 - HKLM\..\RunServices: [tmproxy] C:\Program Files\Trend Micro\Virus Buster 2004\tmproxy.exe O4 - HKCU\..\Run: [NEPGRsvReScheduler] C:\Program Files\NEC\SmartVision\NEPGRsvReSche.exe O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE O4 - Startup: SmartVisionリモコン.lnk O4 - Startup: AudioDeck.lnk = C:\Program Files\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe O4 - Startup: Encoder Agent.lnk = C:\Program Files\Windows Media Components\Encoder\WMENCAGT.EXE O4 - Startup: Startup.lnk = C:\No regist Files\StartupEX\Startup.exe O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab O21 - SSODL: AUHook - {BCBCD383-3E06-11D3-91A9-00C04F68105C} - C:\WINDOWS\SYSTEM\AUHOOK.DLL 以上です。OSは先のとおりMeです。 症状はホームページがwww.selfsearch.comに指定されてしまい、 ステータスバーにはDoneと表示され、全てのサイトが信頼済みとなってしまいます。 また、数分おきに変なサイトが開き、サイト上のリンク先がmoreporn.biz/new/index.phpと一部がなってしまいます。 たとえば>>57 で書いてあるURLのリンクもmoreporn.bizとなってしまっています。 VB,Spybot,Ad-aware,CWShredderは既に実行済みで、問題は解決しません。 現在は、VBの設定で2ch以外のサイトへのアクセスを停止して対処していますが、緊急的なものに過ぎません。 自己責任でやりますので、何方か宜しくお願いいたします。
63 :04/08/03 誘導されてきましたのでお願いします。 ●CWShredderを使用しましたがCoolWWWSearchというのが一時的には消えますが再起動すると元に戻ります ●ノートンでBackdoor.Agent.Bの感染警告が常に表示されます。しかしスキャンすると異常は出ません。 以下ログです。 C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe C:\Program Files\Intel\Intel Application Accelerator\iaanotif.exe C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE C:\WINDOWS\System32\CTHELPER.EXE C:\WINDOWS\System32\DSentry.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Program Files\Dell\Media Experience\PCMService.exe
64 :04/08/03 C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\QuickTime\qttask.exe C:\WINDOWS\system32\hh64orPE.exe C:\WINDOWS\System32\pjjkvkt.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\system32\winmm64.exe C:\Documents and Settings\kim\Application Data\sacb.exe C:\WINDOWS\System32\soq.exe C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\WINDOWS\System32\CTsvcCDA.exe C:\Program Files\Intel\Intel Application Accelerator\iaantmon.exe C:\Program Files\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Program Files\Messenger\msmsgs.exe C:\Documents and Settings\kim\デスクトップ\Hijackthis\HijackThis.exe O2 - BHO: twaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: IDN Helper Object - {118CE65F-5D86-4AEA-A9BD-94F92B89119F} - C:\WINDOWS\DOWNLO~1\CNSMIN~1.DLL (file missing) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: (no name) - {6DF96C7E-CC6F-0AB8-D570-17550FD12918} - C:\WINDOWS\System32\qsbl.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: ICOO Loader BHO - {B9D90B27-AD4A-413a-88CB-3E6DDC10DC2D} - C:\WINDOWS\msopt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
65 :04/08/03 O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
66 :04/08/03 O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Application Accelerator\iaanotif.exe O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe O4 - HKLM\..\Run: [CTDVDDet] C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\Media Experience\PCMService.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [hh64orPE] C:\WINDOWS\system32\hh64orPE.exe O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\olecom32.exe O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [phkkidnvqipup] C:\WINDOWS\System32\pjjkvkt.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [SpywareGuard] C:\WINDOWS\system32\winmm64.exe O4 - HKCU\..\Run: [hh64orPE] C:\WINDOWS\system32\hh64orPE.exe O4 - HKCU\..\Run: [Eheu] C:\Documents and Settings\kim\Application Data\sacb.exe O4 - HKCU\..\Run: [Nlbof] C:\WINDOWS\System32\soq.exe
67 :04/08/03 O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O16 - DPF: {2C079F28-EE92-4700-A44B-AF5FA285FCCA} (HanGamePluginJP16 Class) - http://down.hangame.co.jp/jp/dist/hgstart/HanGamePluginJP16.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/29258cd32e922638e206/netzip/RdxIE601_ja.cab O16 - DPF: {924DDE3B-68F6-49E8-B469-33FB198EDD73} (SagaLauncher Class) - http://www.hangame.co.jp/publish/bd/HgBD.cab O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab O16 - DPF: {B74F5519-5893-4F7F-974D-96E105A3C3A8} (KingDomLauncher Class) - http://www.hangame.co.jp/publish/do/HgDO.cab O16 - DPF: {E549AC3F-9A90-4EBF-AF69-8B8CC0954DB2} (ToonsXYahooJapan Control) - http://comics.yahoo.co.jp/component/ToonsXYahooJapan.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{239347D8-CEC9-490C-B6C8-85B4944CCF4E}: NameServer = 203.139.160.73,203.139.161.39 O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll O20 - AppInit_DLLs: C:\WINDOWS\System32\hlpcdm.dll
68 :04/08/03 プログラムの追加と削除には特に怪しいものはありませんが。 気になるのが一つ、Search Assistant Uninstallというやつです。 鑑定お願いします
69 :04/08/03 まず最初に>>59-62 さん えーと、向こうで「ログおかしくない?」って言った者ですが 向こうのログと比較して、016がこっちでは新しく現れてますよね。 それから、「全てのサイトが信頼済みとなってしまいます」なのに、 HijackThisに全く出てきていないのも不思議ですよね。 (HijackThisには信頼済サイトになっているものはログに出てきます) 向こうで指示されたCWS関連のエントリは、削除したが復活したのでしょうか? それとも、削除していないのでしょうか? HijackThisにこの辺の矛盾があるので、向こうで「おかしくない?」と言っていたのですが。 最初に、まずWindowsUpdateをやって下さい。おそらくやっていないはずです。 >MSIE: Internet Explorer v5.50 (5.50.4134.0100) 次に、このページを参考にして、ウィルスバスター2004が、最新のパターンファイル、 検索エンジンの状態になっているかを確認して下さい。もしなってなければアップデートして下さい。 ttp://www.trendmicro.co.jp/support/index.asp 確信がある訳ではないですが、どうもウィルスのように思われる怪しいエントリーが見受けられます。 アップデートで最新の定義になったら、全てのファイルに対してもう一度ウィルススキャンをかけてみて下さい。 一応その段階で、HijackThisを取らずに、先に状況報告を下さい。(ウィルスが検知されたかどうか、など)
70 :04/08/03 失礼、訂正です >向こうで指示されたCWS関連のエントリは、削除したが復活したのでしょうか? >それとも、削除していないのでしょうか? 削除をFixに置き換えてください。Fixしたのに戻ったのでしょうか?それともFixしてないのでしょうか?
71 :04/08/03 あと、>>59-62 さんの場合は「****.biz」に飛ばされるという事なので http://higaitaisaku.web.infoseek.co.jp/removesearchbiz.html ここを参照してみてください。これの亜種の可能性があります。 (このスパイウェアの場合は、HijackThisのログに出てきません)
72 :04/08/03 続いて>>63-68 さん まず、CnsMinが入っている状態なので、 コントロールパネルのアプリケーションの削除から、 「Jword」などのプログラムがあった場合にはこれを削除して下さい。 CnsMinの除去方法 (ここを参考に) ttp://higaitaisaku.web.infoseek.co.jp/removecnsmin.html >>68 の「Search Assistant Uninstall」は、下を参照して、 症状が当てはまらない場合には同じくコントロールパネルから削除して下さい。 (症状が当てはまる場合には、アンインストールしないで下さい) ttp://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=217 次に、本来Spybotで検出されるはずのrelated.htmが残っている状態です。 なので、Spybotの「製品の除外」を見て、全てチェックが入っていない事を 確認して下さい(チェックが入っている場合は、チェックマークを外してください)。 また、スキャンする時に「全てのファイルをスキャン」で再度やってみて下さい。
73 :04/08/03 それから、>>59-62 さん、>>63-68 さんお二人ともですが ttp://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=226 このウィルスに感染していると思われます。 まずアンチウィルスソフトの定義・プログラムが最新かどうかを確認してみて、 最新でない場合にはアップデートして下さい。 その上で、全てのファイルを再度スキャンしてみてください。 駆除方法は、上記ページと、各アンチウィルスベンダーのデータベースを参照。
74 :04/08/03 >>59-62 さん 向こうで、他の方からあなたにこういうアドバイスが出ていますので、 併せて確認してみて下さい。 http://pc6.2ch.net/test/read.cgi/pcqa/1091090092/927
75 :04/08/03 >>69 さん 有難う御座います。ご報告いたします。 WindowsUpdate:全て完了いたしました ウイルスバスター:最新版のようです。 検査の結果:問題はありませんでした。 (但し数回リアルタイム検索状態でウイルスが発見、隔離されているようです) >向こうのログと比較して、016がこっちでは新しく現れてますよね。 ここに張りましたログは16時頃に検索した最新のものだったためと思われます。 >それから、「全てのサイトが信頼済みとなってしまいます」なのに、 >HijackThisに全く出てきていないのも不思議ですよね。 >(HijackThisには信頼済サイトになっているものはログに出てきます) それは私にはなんとも。。。不可解なことだというのは分かりましたが。。。 >向こうで指示されたCWS関連のエントリは、削除したが復活したのでしょうか? >それとも、削除していないのでしょうか? 削除しましたが復活しています。 また、ウイルスの亜種の件ですが、最初の確認の際systemという項目がなかったため これではないと思います。 >>74 さん ご報告有難う御座います。ただ今確認中です。
76 :04/08/03 >>75 リアルタイム検索で隔離されているウィルスを、駆除してみて下さい。 (隔離=メイン実行ファイルだけを別の場所に置いている状態なので、 当然レジストリその他は、全く修復されない状態のままです) ウィルスバスターは良く知らないのですが、もしリアルタイム駆除が 可能ならば、リアルタイム駆除に切り替えた方が良いかと思います。 あとトレンドマイクロのページには、「ウィルスデータベース」があるはずですから、 検出されたウィルス名で検索して、きちんと駆除できているかどうかを手動で 確認してみると良いと思います。 ウィルスの亜種の件ですが、↑で駆除した後もまだ症状が残っているなら、 上で紹介したページの手法を実際に一度試してみて下さい。 亜種の可能性があるとは、「必ずしもsystemの項目であるとは限らない」という事です。 別のファイル名にして、駆除されるのを防ごうとしている可能性は考慮に入れましょう。 大手術で切る場所はできるだけ少なくするために、まずは上のようにやってみましょう。 その後、まだ直らないようならば再度HijackThisを取ってみて、全部貼って下さい。
77 :04/08/03 遅れてすみません。システムがかなり不安定になってきてエラーがでてばっかりだったので。。。 駆除はできないようです。ファイルの削除は何度かしましたが、復活してしまいます。 亜種の件ですが感染したCLSIDがわからないのですが。。。もしかしてsystem以外の項目のCLSIDのことですか? 発見されたウイルスは以下のとおりです。 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_DLOADER.F http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_BLAZEFIND.A
78 :04/08/03 向こうのスレッドの ttp://pc6.2ch.net/test/read.cgi/pcqa/1091090092/944-947 これを考え合わせると、以下のエントリをHijackThisでFixしてみてください (Regeditで消すのも同じ事ですが、こっちならばやりなおせるので)。 O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE まずこれをFixしてみて、再起動で症状が改善しているかどうかをやってみて下さい。
79 :04/08/03 >>77 の2つはこれですね PurityScan http://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=206 WindowsSA http://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=137 まず、ここの内容を読んでおいて下さい。 トレンドマイクロのページで、「レジストリエディタ(Regedit)で削除して下さい」というのは、 HijackThisでは04のエントリーになります。 ウィルスとして検出されたファイル名をメモに取って、そのファイル名と同じエントリーが あるものを全てFixしてみて下さい。
80 :04/08/03 大変遅くなりました。 >>78 のFixは完了しましたが、問題は解決しませんでした。。。 あと>>79 のリンク先が先にいったとおりmoreporn.bizに変わってしまい分からないので、 お手数ですが、次回返信時にtp://〜といった形で書いてもらえますでしょうか? >>79 のFixはこれから試してみます。
81 :04/08/03 連書き申し訳ありません。 >>79 をHijackThisで探してみましたが、ウイルスとして検出されたファイル名に 該当するエントリーは発見できませんでした。。。
82 :04/08/03 >>81 ウィルスとして検出されたファイルは、既に削除済ですか?まだ残っていますか?
83 :04/08/03 既に削除しています。 なお、現在のところ、リアルタイム検索で発見には至っていません。
84 :04/08/03 IEを立ち上げたときに青い画面が表示されます。 Detected SPYware! System error #384とかいてあります。 お願いします。 Logfile of HijackThis v1.98.0 Scan saved at 21:58:43, on 2004/08/03 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\PROGRAM FILES\FUJITSU\FUJITSU QUICK TOUCH\QUICKTOUCH.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAM FILES\FUJITSU\BTNHND\BTNHND.EXE
85 :04/08/03 C:\WINDOWS\LOADQM.EXE C:\WINDOWS\SYSTEM\CTFMON.EXE C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE C:\PROGRAM FILES\DI\HATCHINSIDE\HATCHINSIDE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\WINDOWS\RUNDLL32.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\デスクトップ\HIJACKTHIS\HIJACKTHIS.EXE C:\WINDOWS\SYSTEM\IMEJPMGR.EXE C:\WINDOWS\デスクトップ\BEGINNERTOOL 121\BEGINNERTOOL 121.EXE O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\YAHOO!\COMPAN~1\YCOMP5~1.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll (file missing) O2 - BHO: (no name) - {3BFF365D-E942-2EE5-8753-60550DA7291F} - C:\WINDOWS\SYSTEM\YJDIENFW.DLL (file missing) O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll O3 - Toolbar: &Yahoo!ツールバー - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\ycomp5_3_15_0.dll O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [CountrySelection] pctptt.exe O4 - HKLM\..\Run: [PCTVOICE] pctvoice.exe O4 - HKLM\..\Run: [FMVSCAN] c:\fjuty\fmvscan\fmvscan.exe
86 :04/08/03 O4 - HKLM\..\Run: [Alogserv] C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\Program Files\Fujitsu\Fujitsu Quick Touch\QuickTouch.exe O4 - HKLM\..\Run: [LoadBtnHnd] C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - Startup: hatchinside.exe.lnk = C:\Program Files\DI\HatchInside\hatchinside.exe O4 - Startup: EPSONプリンタウインドウ!3 環境設定(2).lnk = C:\WINDOWS\SYSTEM\E_SRCV02.EXE O4 - Startup: JSクイックサーチファイル 自動更新.LNK = C:\JUST\JSLIB32\JSQSF32.EXE O4 - Startup: JSクイックランチ.LNK = C:\JUST\JSLIB32\JSQLNCH.EXE O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000 O8 - Extra context menu item: &Google Search - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR3.DLL/cmsearch.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR3.DLL/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR3.DLL/cmsimilar.html
87 :04/08/03 O8 - Extra context menu item: Backward &Links - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR3.DLL/cmbacklinks.html O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll O9 - Extra button: Yahoo! メッセンジャ− - {CEBF73C0-BA2E-11d4-A73A-00508B33FB82} - C:\PROGRAM FILES\YAHOO!J\MESSENGER\YPAGERJ.EXE O9 - Extra 'Tools' menuitem: Yahoo! メッセンジャ− - {CEBF73C0-BA2E-11d4-A73A-00508B33FB82} - C:\PROGRAM FILES\YAHOO!J\MESSENGER\YPAGERJ.EXE O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.skoobidoo.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.xxxtoolbar.com O15 - Trusted Zone: *.slotch.com O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net O16 - DPF: {8123E390-5EF7-11D5-A72E-006097BFA1AC} (EPSON Driver Auto-Install Control Class) - http://www.i-love-epson.co.jp/support/selfsetup/prg/estdinst.cab O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/jp/win/QuickTimeInstaller.exe O16 - DPF: {B67E0278-CD82-4CCA-AD9D-C1FBF538774A} (XPink.XPinkCtl) - http://cc.st82.arena.ne.jp/syojo/XPink.CAB
88 :04/08/03 O16 - DPF: {B15108AA-D8D0-480D-B535-07E18D6549A8} (XBurger.XBurgerCtl) - http://www.eromax.com/cab/XBurger.CAB O16 - DPF: {69A4F9FF-E915-11D5-A9F1-009099104002} (XDialer Class) - http://www.slashpink.net/new_03/158/XDialer2.CAB O16 - DPF: {4BF9BC08-8571-4E2B-AECF-EC8C9E287C04} (DialerX Control) - http://www.asia-telemedia.com/dialer/0058/DialerX.cab O16 - DPF: Yahoo! Chat JP 2 - http://cs.chat.yahoo.co.jp/c302/chat.cab O16 - DPF: {DAE3A970-40F5-11D4-9E73-0030430005BE} (AutoConnect Class) - http://home.att.ne.jp/alpha/wata/cra/b/eConnect.dll O16 - DPF: {00001007-B15C-11D4-97A4-0050BF0FBE67} (NetmarbleJapanStarter Class) - http://www.netmarble.ne.jp/game/NMStarter_JPN.cab O16 - DPF: {4085F8D0-D76A-4B1D-A82E-D580BDF14FD8} (HanGamePluginJP12 Class) - http://www.hangame.co.jp/gamenc/HanGamePluginJP12.cab O16 - DPF: {29F5DFC6-6A4B-47DB-BCF4-5A74F7CBFF43} (HanGamePluginJP13 Class) - http://www.hangame.co.jp/gamenc/HanGamePluginJP13.cab O16 - DPF: {9AB3A076-8870-4D98-BD2A-01BD1634C74C} (zxc) - http://www.2233.tv/module/zxc.cab O16 - DPF: {E8946F74-DAF3-4D7F-8988-A54E380D8D89} (sub2tv コントロール) - http://www.2233.tv/module/subocx.cab O16 - DPF: {A909CE70-E483-4BD2-848C-B1842508760E} (MuLauncher Class) - http://www.hangame.co.jp/gamenc/HanGamePluginJP13.cab O16 - DPF: {1C9D421B-ACBC-48BB-9CED-51368BC1CE31} (HgArcadePluginJP3 Class) - http://battlecart.hangame.co.jp/acgame/HgArcadePluginJP3.cab O16 - DPF: {79E0C1C0-316D-11D5-A72A-006097BFA1AC} (EPSON Web Printer-SelfTest Control Class) - http://www.i-love-epson.co.jp/support/selftest/inkjet/Prg/ESTPTest.cab O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://lw9fd.law9.hotmail.msn.com/activex/HMAtchmt.ocx
89 :04/08/03 O16 - DPF: {B469C508-9A75-4A62-BFA9-62802D653A4B} (HanGamePluginJP15 Class) - http://down.hangame.co.jp/jp/dist/hgstart/HanGamePluginJP15.cab O16 - DPF: {0A7C1A7A-5100-42C9-94A8-F803B2E24CE0} (BaBoo Class) - http://219.101.200.198/H_hangame/HgBaBoo/HgBaBoo.cab O16 - DPF: {57A3B6F7-E1C0-4A11-B2E5-F3D0DA12E754} (StoneAgeLauncher Class) - http://www.hangame.co.jp/publish/sa/HgSA.cab O16 - DPF: {2C079F28-EE92-4700-A44B-AF5FA285FCCA} (HanGamePluginJP16 Class) - http://down.hangame.co.jp/jp/dist/hgstart/HanGamePluginJP16.cab O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://C:\foo.mht!http://66.230.145.49/20647/online.chm::/on-line.exe O16 - DPF: {B74F5519-5893-4F7F-974D-96E105A3C3A8} (KingDomLauncher Class) - http://www.hangame.co.jp/publish/do/HgDO.cab O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (&Yahoo!ツールバー) - http://dl.companion.yahoo.co.jp/dl/toolbar/yiebio4.cab O16 - DPF: {924DDE3B-68F6-49E8-B469-33FB198EDD73} (SagaLauncher Class) - http://www.hangame.co.jp/publish/bd/HgBD.cab O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.133/dl/ms/x.chm::/load.exe O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab O16 - DPF: {10003000-1000-0000-1000-000000000000} - its:mhtml:file://c:MAIN5774.MHT!http://213.159.118.226/content.php::/x.exe O18 - Protocol: ndwiat - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\SYSTEM\WIASCR.DLL O18 - Protocol hijack: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B}
90 :04/08/03 O18 - Protocol hijack: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B} O18 - Protocol: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\SYSTEM\urlmon.dll O18 - Protocol: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\SYSTEM\urlmon.dll O18 - Protocol hijack: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B} O18 - Protocol hijack: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} O18 - Protocol: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\SYSTEM\urlmon.dll O18 - Protocol: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\WINDOWS\SYSTEM\urlmon.dll O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL O18 - Protocol hijack: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} O18 - Protocol: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\SYSTEM\MSHTML.DLL O18 - Protocol hijack: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\SYSTEM\ITSS.DLL O18 - Protocol: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - C:\WINDOWS\SYSTEM\INETCOMM.DLL O18 - Protocol: msdaipp - (no CLSID) - (no file) O18 - Protocol hijack: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL O18 - Protocol: vnd.ms.radio - {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINDOWS\SYSTEM\MSDXM.OCX O21 - SSODL: AUHook - {BCBCD383-3E06-11D3-91A9-00C04F68105C} - C:\WINDOWS\SYSTEM\AUHOOK.DLL O21 - SSODL: System - {F6542A5E-9820-454A-8A9C-BE4662BD4721} - C:\WINDOWS\system32\system32.dll
91 :04/08/03 >>88 も84です。 おねがいします。
92 :04/08/03 >>84 このファイルがもうないよ、ってのを最初にレジストリから削除してみたら? O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll (file missing) O2 - BHO: (no name) - {3BFF365D-E942-2EE5-8753-60550DA7291F} - C:\WINDOWS\SYSTEM\YJDIENFW.DLL (file missing)
93 :04/08/03 >>91 ウイルスチェックしたか。 それと、ここに貼る前に、エロ助の テンプレやってからにしろよ ザッと見ただけでも悲惨な状態だよ。
94 :04/08/03 >>84-91 今回出ている症状以外にも、多数のスパイウェア感染がありますので、まず HijackThisで直されるより先に、こちらのスレのテンプレを実行してみて下さい。 エロサイト見たら…助けてください!Part35 http://pc6.2ch.net/test/read.cgi/pcqa/1091090092/ あと、あなたの症状はこちらのページを参考にしてみて下さい。 ttp://higaitaisaku.web.infoseek.co.jp/removereg32.html >>83 さん 以下のエントリをFixしてみて、一度PCを再起動してみて下さい。 その後、再度向こうのスレのテンプレをやってみて下さい。 O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - ttp://www.mt-download.com/MediaTicketsInstaller.cab
95 :04/08/03 >>84 O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.skoobidoo.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.xxxtoolbar.com O15 - Trusted Zone: *.slotch.com O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net これ、自分で信頼済みに登録したの? これらのサイトに行ったら、全部勝手に何でもインストールされてしまうよ。 それとソフトを使ってスパイウェアをまず削除する事。
96 :04/08/03 >>94 さん 有難う御座います。 削除した結果右下の「信頼済みサイト」表示が「インターネット」に。 「Done」の表示が「ページが表示されました。」に。 ***.bizだったリンクが元に戻りました。 しかし、ホームページの設定だけはなぜか戻りません。 selfsearch.bizのままとなってしまいます。 また、現在でも全体的にシステムが重いような気がします。
97 :04/08/03 キタ━━━━━━(゚∀゚)━━━━━━ !!!!! どうやら、復活しているスパイウェアエントリの根源はこれだったようです。 O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe Gaobotというウィルスとの事です。 トレンドマイクロのデータベースには該当が多すぎてどれか特定できませんでしたが。 ホームページの設定が戻っていないというのは、どこのページに行っても まだ勝手にselfsearch.bizになってしまう状態という事でしょうか?
98 :04/08/03 >>97 具体的にいうと新しいウインドウを開いたときなどにabout:blankに設定しても またselfsearch.bizにアクセスし、設定も戻ってしまっている、ということです。 やたらと新しいウインドウが開くのが遅いので(システム全体が重い)、これと何か関係があるのでしょうか?
99 :04/08/03 テンプレが再度全て終わっているならば、HijackThisを起動してみて下さい。 まず最初に、>>94 でFixしたはずのエントリーが復活しているかいないかを確認して教えて下さい。 >O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\internst32.exe internet.dll,LoadNetworkProfile 次に、この該当ファイルのプロパティを確認してみて下さい。 Windowsと無関係の場合には、これをFixしてみて、再起動して下さい。
100 :04/08/03 >>88 は誰も見てあげないの?まぁこんなに有るんじゃね・・・ 日本語ダイアラーとかエロサイト動画とかあるみたい。 O16 - DPF: {B15108AA-D8D0-480D-B535-07E18D6549A8} (XBurger.XBurgerCtl) O16 - DPF: {69A4F9FF-E915-11D5-A9F1-009099104002} (XDialer Class) O16 - DPF: {4BF9BC08-8571-4E2B-AECF-EC8C9E287C04} (DialerX Control) O16 - DPF: {9AB3A076-8870-4D98-BD2A-01BD1634C74C} O16 - DPF: {E8946F74-DAF3-4D7F-8988-A54E380D8D89} >89は見てないが O16 - DPF: {11111111-1111-1111-1111-111111111157} 213.159.117.133はロシアだからこれもそうだろう。
101 :04/08/04 大変遅くなりました。 >>99 さん 有難う御座います。 エントリーの復活は見受けられませんでした。 >O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\internst32.exe internet.dll,LoadNetworkProfile このファイルをFixし、再起動した結果、ホームページの設定も正常にできるようになりました。 ただ、気になる点がひとつあるのですが、Ad-awareなどで何度検索し、何度削除してもcoolsearch関係のスパイウェアやその他数個のスパイウェアが検出されてしまうのですが、 これは問題ないと割り切ってしまって構わないのでしょうか? 何度もお時間とらせて申し訳ありませんが、宜しくお願いいたします。
102 :04/08/04 >>101 本当にお疲れ様でした( ・∀・)つ旦オチャドゾー 一応、ゴミ掃除としてこれもFixしておくと良いかもです。 >O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) IEの「ツール」メニューに項目を追加したり、ボタンなどを追加するものなのですが、 既にボタンリンク先プログラムがないようですから。(おそらくテンプレを実行して駆除された残りカスです) 今回大変な思いをしたスパイウェアの再発を予防するために、 ttp://higaitaisaku.web.infoseek.co.jp/menu5.html ここの「スパイウェア予防アプリケーション」を見て導入しておくと再発はかなりの割合で防げます。 100%スパイウェアを防ぐ事と言うのはスパイウェアは日々どんどん増えているため不可能ですが、 95%ぐらいは予防と定期的な駆除で防ぐ事は可能ですよ。 (今回の>>59 さんの場合は、残り5%の極めて例外的なものだったですけれど、これは仕方ないです) CWShredderや、Ad-aware、Spybotなどで何度も同じスパイウェアが検出される場合は、 セーフモードで試してみると駆除できる事があります。 あと、今回のように、トロイソフトが入り込んでいて、削除してもまた撒き散らす状態になっている 可能性も十分ありえますので、フリーのアンチトロイソフトを併用すると良いかもです。 ☆☆トロイの木馬☆☆2台目 http://pc5.2ch.net/test/read.cgi/sec/1087290865/ ←このスレあたりを参考に。 それでも再発する場合は、再度またご相談頂ければと思います。
103 :04/08/04 あ、ごめんなさい。最後にゴミ掃除が残ってますね。 現在問題が全く発生していないようならば、以下のFix済のファイルを 検索して、完全にファイルそのものを削除してしまって下さい。 C:\WINDOWS\SYSTEM\services\2.01.00.dll C:\WINDOWS\SYSTEM\LVComS.exe C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE C:\WINDOWS\SYSTEM\internst32.exe C:\Windows\downloaded Program Filesの中に、今回016エントリで 発見されたプログラムファイルがある可能性がありますので、これも削除。 HijackThisのFixは、あくまでもそのエントリの実行を止めるだけなので、 その原因ファイルそのものはFixしただけでは残ってしまいます。 これがテンプレを先に必ずやって下さいという一番の理由だったりします。
104 :04/08/04 **回答者向けまとめ**(>>59-62 ) C:\WINDOWS\SYSTEM\LVComS.exe ←▲Virus(Gaobot)、CWS.Yexe.2の感染源トロイの疑いあり C:\WINDOWS\SYSTEM\internst32.exe ←▲selfsearch.bizの原因ファイルの疑いあり O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe ←▲Virus(Gaobot)、CWS.Yexe.2の感染源トロイの疑いあり O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\internst32.exe internet.dll,LoadNetworkProfile ←▲selfsearch.bizの原因ファイルの疑いあり
105 :04/08/04 >>104 、乙 こんな感じでデータベース化して行くのか。
106 :04/08/04 >>102-103 さん 有難う御座います。Fixは完了しましたが、 C:\WINDOWS\SYSTEM\のservicesフォルダを開こうとすると、 「C:\WINDOWS\SYSTEM\servicesの参照先は現在利用できません。 参照先はこのコンピュータ、ネットワーク、又はホームネットワークの別のコンピュータに存在していた可能性があります。 ディスクが正しく挿入されているか、インターネット又はホームネットワークに接続しているかどうかを確認し、もう一度実行してください。 それでも参照できない場合は、別の場所に移動した可能性があります。」 と表示され、削除を実行することができないのですが、エクスプローラーから隠しフォルダ表示にしても SYSTEM内にservicesフォルダがないのでこれは無視して構わないんでしょうか?
107 :04/08/04 今回、>>59 さんが感染していたCWS系ハイジャッカーはこれです。 ttp://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=171 したがって、名前を変えて居座っている可能性がありえます。 確認方法は>>74 の、向こうのスレで指摘された場所(win.ini)を再度確認してみて下さい。 その後、感染しているようならば駆除方法はここを見てみて下さい。 ttp://higaitaisaku.web.infoseek.co.jp/removekurukuru.html#win9x
108 :04/08/04 >>104 のフィルタを新しく入力すると、>>84-91 も同じトロイに感染している事がわかる。 その後再度相談に来てない事から考えると、もしかしたらTrendMicro以外のオンラインスキャンを 試していたら、それがちゃんと事前に駆除できていたのかもしれない。 「必ず3種類(シマンテック・トレンドマイクロ・McAfee)のオンラインスキャンを全て試して下さい」 という指示が本家だと出るのだが、もしかしたらそういう理由なのかな? たんに>>84-91 が面倒くさがってテンプレやってないだけならば論外だが・・・
109 :04/08/04 >>107 さん win.iniを確認しました。 [windows] load= run= NullPort=None device=EPSON PM-900C,EPIJNL40,EPUSB1: と、あちらで指摘されて変更("run="に)した後と変わっていません。 となるとコンピュータ上からは完全に消えたと捉えて構わないのでしょうか?
110 :04/08/04 >>109 再度HijackThisを取ってみて、>>59-62 のログと比較してみて下さい。 特に、02エントリ、04エントリ、15エントリ、16エントリにFixしたもの以外に変化があるかどうかを確認してみて下さい。 (16エントリは、WindowsUpdateした事によって1つ増えていると思います) 特に上のWindowsUpdate以外に新しく増えているエントリがなく、特に現在不具合もないようであれば、 駆除に成功したと思ってよいと思います。
111 :04/08/04 >>56 様 お返事が遅くなり大変申し訳ありません。 ご指摘の二箇所についてですが、まず C:\WINDOWS\System32\hgchcwii.exe と O4 - HKCU\..\Run: [Tars] C:\Documents and Settings\Owner\Application Data\utwb.exe に関しては、以前ノートンでアドウェアと診断されたものでした。 この二点はセーフモードにて検索→削除しました。 もう一つの、O2 - BHO: (no name) - {4DAA6426-E46D-20CE-8000-64550CD32B4D}- C:\WINDOWS\System32\bilcmavq.dll については、プロパティでは「不明なアプリケーション」だったのですが、 一応HijackThisにてバックアップを取った上、Fixしました。 結果、当初の相談内容であった履歴上にNDr(任意の数字とアルファベット).tmp.html.が現れる現象は 止まりました。(ただし相変わらず重たいのは重たいのですが…特に電源を入れてから最初のIE起動が) まああまり神経質になるのもいけないかもで、しばらく様子を見守ります。 また不具合が出るようでしたらPC初心者板で質問させてもらいます。 今回は本当にありがとうございました。
112 :04/08/04 >>111 なるほど、とすれば富士通関連のものも、必要ないものは削除してみた方がいいかもしれませんね。 どんなソフトなのかを確かめてみて、必要なければアンインストールなりFixなりしてみて下さい。 >O4 - HKLM\..\Run: [FJUPDNV_Chitose] C:\Program Files\Fujitsu\chitose\chitose.exe >O4 - Global Startup: ダイヤルアップ チェッカー.lnk = C:\Program Files\ChIntCal\CHINTCAL.EXE >O4 - Global Startup: 富士通サービスアシスタント.lnk = C:\Program Files\Fujitsu\sa\bin\matcli.exe もしもコントロールパネルに該当ソフトの名前があるようなら、そちらからアンインストールを先に試した方がいいです。 (たぶん富士通のパソコンにプレインストールされていたソフト類と思われます) >O16 - DPF: {48B35AC2-CFCE-4DF7-8B39-C3EB6F5DD111} (DreamTechnologies MADO Image Viewer Control) - http://download.sfd.co.jp/mado-book/MADOCMP_24003.CAB これについても、もし心当たりが全くないのなら、Fixしてしまってよいと思います。 もしかしたら、リソースを食われているせいで体感速度が遅く感じられる可能性もありますので、 必要のないプレインストールソフトをどんどん削除してしまうというのも手です。 (続く)
113 :04/08/04 >>112 の続きです。 あと、アンチウィルスソフトとしてNortonを使ってらっしゃいますので、 それらのインターネットフィルターによって多少速度が下がって感じられる という部分もあるかも知れません。 ただ、私の意見としては、速度が上がってもフィルターなしの状態にするのは あまりにもデメリットが大きすぎますので、その分は我慢するのが良いかと思います。 >特に電源を入れてから最初のIE起動 多分、この辺はリソースを食ってしまっているのが直接の原因だと思います。 (全部問題ないソフトでも、色々なものを起動しているとリソース食われますから。) 必要のない常駐プログラムをできるだけ減らすと、かなり改善されるんじゃないかと思いますよ。
114 :04/08/05 >>110 さん 有難う御座います。 確認した結果、問題は見受けられませんでした。 何日も長々とお世話になってしまい、お時間とらせてしまい申し訳ありませんでした。 また、お付き合いいただき有難う御座いました。 また何かあった際にはどうぞ宜しくお願いします。 それでは失礼します。
115 :04/08/05 >>114 ( ・∀・)つ旦オチャドゾー 特に問題が発生してないようなら、>>106 で削除できなかった分については 今のところは大丈夫と考えていいと思います。 日々のメンテナンスと、>>102 の予防をしっかりやっていれば再発する事は ほとんどなくなると思います(100%防げる訳ではないですが)。 OSがMeですから、WindowsUpdateの重要な更新は自動的にダウンロードしておいて インストールするように設定する事が可能な筈なので、そうしておくのを強くお薦めします。 あとは、アンチウィルスソフトやアンチスパイウェアソフトのアップデートがある度に 再度スキャンしてみるとか、初期のうちに発見できると症状が悪化せずに済みます。 HijackThisは開腹手術のようなものなので、できるだけこれのお世話にならないで 治療できる事がベストです。止むを得ない場合にのみ使うという感じですかね。
116 :04/08/08 v1.98.2が出ますた
117 :04/08/08 >>116 乙です乙です http://forums.net-integration.net/index.php?showtopic=20977 下がりすぎてますので上げます
118 :04/08/09 良スレage
119 :04/08/09 PCを立ち上げたら、すぐにscrnsize.exeが見つかりません と表示が出るのです。 ログはこのように出ました。お願いします。 Logfile of HijackThis v1.98.0 Scan saved at 2:51:01, on 2004/08/09 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\carpserv.exe C:\Program Files\Apoint\Apoint.exe C:\WINDOWS\System32\ICO.EXE C:\Program Files\Sony\HotKey Utility\HKserv.exe C:\WINDOWS\System32\ezSP_Px.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\windows\system32\nscntrl.exe C:\windows\system32\sxgwholr.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Apoint\Apntex.exe C:\Program Files\Sony\HotKey Utility\HKWnd.exe C:\WINDOWS\System32\conime.exe C:\Documents and Settings\Guest\My Documents\katjusha\Katjusha.exe C:\Documents and Settings\Guest\My Documents\Hijack This\HijackThis.exe
120 :04/08/09 O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000001} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O2 - BHO: (no name) - {DE614603-6320-4046-A7A7-6A69CEC26F14} - C:\WINDOWS\navpmc\4b_1,0,0,5_navpmc.dll (file missing) O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: (no name) - {00000000-0000-0000-0000-000000000001} - (no file) O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
121 :04/08/09 O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE O4 - HKLM\..\Run: [HKSERV.EXE] C:\Program Files\Sony\HotKey Utility\HKserv.exe O4 - HKLM\..\Run: [i-FilterPE] C:\Program Files\Digital Arts\i-FilterPE\IfpeLaunch.exe O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE O4 - HKLM\..\Run: [imjpmig] C:\Program Files\Common Files\Microsoft Shared\IME\IMJP\imjpmig.exe /RemAdvDef /AIMEREG /Migration /SetPreload O4 - HKLM\..\Run: [nscntrl] c:\windows\system32\nscntrl.exe /noconnect O4 - HKLM\..\Run: [VAIO Update] C:\Program Files\Sony\VAIO Update\VAIOUpdt.exe -backgroundMode O4 - HKLM\..\Run: [SXGWHOLR] c:\windows\system32\sxgwholr.exe /install O4 - HKLM\..\Run: [Scrnsize] c:\windows\system32\scrnsize.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [cpntmgc] c:\windows\wincomp\WINCOMP.EXE
122 :04/08/09 O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Bookshelfで検索(&L) - res://C:\Program Files\Microsoft Reference\Microsoft Bookshelf 3.0\bsdef.dll/#1001 O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O14 - IERESET.INF: START_PAGE_URL=http://www.vaio.sony.co.jp/
123 :04/08/09 ヴァイラス
124 :04/08/09 鑑定師の人数が少ないから大変だな・・ でも、いい仕事してるよがんばってくれ。
125 :04/08/09 >>119-122 scrnsize.exeの検索内容 http://oshiete1.goo.ne.jp/kotaeru.php3?q=922705&rev=1 ノートン先生がそのトロイ本体は削除していますが、起動時にそのエントリーを 読み込む設定が残っているので、そのエラーメッセージが出るという訳です。 ただし、トロイにいくつか感染しているようですから、今回同時に直してしまいましょう。 TROJ_DLUCA.M http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_DLUCA.M&VSect=T 「これにより、Windowsの「プログラムの追加と削除」からアンインストールが可能になります。」 との事ですから、まず「プログラムの追加と削除」に不審なものがないかどうか確認してみて、 インストールした覚えの無いプログラムがあったら削除してみて下さい。 次に、以下のエントリをFixして下さい(nscntrlは↑によってエントリから消えていたらOK) TROJ_DLUCA.M http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_DLUCA.M&VSect=T >O4 - HKLM\..\Run: [nscntrl] c:\windows\system32\nscntrl.exe /noconnect TROJ_WINTRIM.E http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?Vname=TROJ_WINTRIM.E >O4 - HKCU\..\Run: [cpntmgc] c:\windows\wincomp\WINCOMP.EXE ノートン先生が自動的に取り除いてくれたと思われるもののゴミ掃除です。 感染していたものの内容はリンクを参照。この4つのエントリーをFix。 http://www.symantec.com/region/jp/avcenter/venc/data/adware.safesearch.html >O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000001} - (no file) >O3 - Toolbar: (no name) - {00000000-0000-0000-0000-000000000001} - (no file) http://www.pestpatrol.com/PestInfo/m/magiccontrol.asp >O2 - BHO: (no name) - {DE614603-6320-4046-A7A7-6A69CEC26F14} - C:\WINDOWS\navpmc\4b_1,0,0,5_navpmc.dll (file missing) 最初に書いたトロイのエントリ(今回の症状の原因はこれ) >O4 - HKLM\..\Run: [Scrnsize] c:\windows\system32\scrnsize.exe (続く)
126 :04/08/09 >>125 の続き それから、以下のファイルのプロパティを確認してみて下さい。 >O4 - HKLM\..\Run: [SXGWHOLR] c:\windows\system32\sxgwholr.exe /install 何かのインストールプログラムですが、情報がありません。しかし、極めて怪しいです。 プロパティを確認してみて、不審なようならばこのエントリもFix。 ここまでFixが終わったら、一度パソコンを再起動してみて、 再度HijackThisを見て該当Fix箇所が消えているかどうかを確認して下さい。
127 :04/08/10 エロ助けスレの解析たのんます。
128 :04/08/10 (´・д・`) ヤダ
129 :04/08/10 Merijnのサイト繋がらん…
130 :04/08/10 HijackThis Entry Databaseを使用する時に、 もう少し細かい条件で検索したい場合はこちらをどうぞを選択して 検索条件で登録日時「1ヶ月前まで」を選べばそのサイトで確信が取れた、 最新データを一括して表示させることができます。 解析している人でこの方法を使ってない人は試してみてください。 解析済み登録データを登録する時に便利です。 [ControlPanel] C:\WINDOWS\SYSTEM\internst32.exe internet.dll,LoadNetworkProfile selfsearch.bizの元凶の可能性があるようです。 情報が少ないために詳細は不明です。 HijackThis Entry Database(念の為にDBのURL) ttp://higaitaisaku.web.infoseek.co.jp/hjtdatabase.html
131 :04/08/11 >>129 Merijnサイトはよく攻撃食らうみたいなので(スパイウェア業者の仕業?) 落ちている事がよくあります。>>117 あたりからダウンロードすると吉。
132 :04/08/11 1.98.2(・∀・)イイ!!
133 :04/08/11 HijackThisのフィルターで使えるものはないかなと色々探していたら、 外国のページでこんなところを発見してしまいました。 HijackThis Log File(英語・オランダ語・ドイツ語なので英語ページで) http://www.hijackthis.de/index.php?langselect=english 参考として、今までログを貼ってくれた方々のを分析してみました。 (結果が表示されるページは、5日後に自動的に消えるようです) >>24-28 さんの結果 http://www.hijackthis.de/logfiles/8902c9d1542220133ac26df056a28ef2.html >>35-40 さんの結果 http://www.hijackthis.de/logfiles/27aed707b97b9450af67ef4c6484d188.html >>59-62 さんの結果 http://www.hijackthis.de/logfiles/0cef2053de250b1fdb48d1ef8621178f.html >>63-67 さんの結果 http://www.hijackthis.de/logfiles/b27f7cedde94bc362b00bb55d247e89c.html >>84-90 さんの結果 http://www.hijackthis.de/logfiles/b0b3a3a9c7a2d610807febb1adb197ac.html >>119-122 さんの結果 http://www.hijackthis.de/logfiles/ed6bf0cd74161e0b6736f1004c7ba938.html ここを使う時の問題点としては、「?」項目が比較的多い事ですかね。 特に、Fujitsuのパソコンにバンドルされているプレインストールソフトとかだと、 ほとんどが「?」になってしまいます。 また、015エントリ、016エントリも大半は「?」になっていて、「自分でインストール した覚えがなかったらFixしてね」という指示になっています。 ただ、その辺を差っぴいてもかなり使えるページなんじゃないかな?と個人的には思います。
134 :04/08/11 >>133 で紹介したページを使う問題点 ・いきなりFixをして余計症状を悪化させてしまう人が増えそうな事 ・エセ回答者が増えそうな事 (HijackThisは最後の手段ですよ、テンプレやってもダメな場合だけです!) >>133 で紹介したページを使う利点 ・質問者が事前にHijackThisログを貼ってみて、自分である程度診断できる事 016エントリについては、>>1 のHijackThisデータベースと同時に、 こちらのページで検索してみるとさらに良いかもです。 Hijack This O16 List について ttp://homepage3.nifty.com/sato_yasu/spy/o16list.html A=問題なし、B=不明、C=Fix必要なもの 一応>>133-134 は有益だと思われる情報なのでageます。
135 :04/08/12 >>133 訂正 (英語・オランダ語・ドイツ語なので英語ページで) ドイツ語、フランス語、英語ですね。 フォーラムは全てドイツ語。全然何が書いてあるやらさっぱり(;´Д`)
136 :04/08/12 乙
137 :04/08/13 良スレなのにお客さん少ないなぁ〜
138 :04/08/13 セキュ板はセキュリティ対策についての情報を得る場所だ。 対策を怠った者への治療方法になど何の興味もない。 このスレはそのまま初心者板につくれば良かったのだ。
139 :04/08/13 >>137 本来、HijackThisを駆使しなきゃ完治しない人=新しい病気の人か、よっぽどの重病人 で、HijackThisで執刀するお医者さんの腕がバラバラで、めちゃめちゃな指示を出す知ったかぶりさんがいる。 だから、未熟な人でもめちゃめちゃな指示を出さないように、HijackThisでフィルターをかけられるようなものを共有したい =スレが立ったきっかけのぞぬフィルターの話、となってこのスレが立った訳で。 ぶっちゃけた話、ぞぬフィルターや>>133 のを使えば、質問者がある程度自分で判断できるからそれで直してみる、 それでも直らない場合にはどうぞご相談下さいというスタンスなんですよ。 なので、フィルター類が充実してくれば充実してくるほど、ここのスレで相談してくる患者さんは減るのが本来です。
140 :04/08/13 >>139 初期の頃と比べてカバーできるエントリは どの位増えたの?
141 :04/08/13 >>140 >>133 があるから、単純比較はむずいです(>>133 が結構な数に対応してるので) >>133 の弱点は、日本のソフトや、015・016エントリが「?(Unknown)」になりやすいので これからの方向性はその辺のカバーですかねぇ・・・
142 :04/08/13 >>138 同意。
143 :04/08/13 まあここに限らずhijackthisでアドバイスしてるのを見ると思うんだが・・・ わけもわからずはいここfixと指図されるままにやってありがとうございました〜と 一見めでたしめでたしに見えるが、結局そういうやつはまた別なのにひっかかるんだろうなあと。 本人は何をどうしたのかろくにわかってないから、後から不具合があってもどうしようもないだろうしね
144 :04/08/13 エロサイトスレを見てこっちにきました。お願いします。 症状としてはエロスレの19さんと同じです。 Logfile of HijackThis v1.98.0 Scan saved at 23:35:00, on 2004/08/13 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\SYSTEM\MDM.EXE C:\PROGRAM FILES\COMMON FILES\EPSON\EBAPI\SAGENT2.EXE C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\AVSYNMGR.EXE C:\WINDOWS\SYSTEM\RPCSS.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\VSSTAT.EXE C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\VSHWIN32.EXE C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\AVCONSOL.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\IMEJPMGR.EXE C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAM FILES\ADAPTEC\DIRECTCD\DIRECTCD.EXE C:\WINDOWS\LOADQM.EXE
145 :04/08/13 C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAM FILES\MCAFEE\MCAFEE VIRUSSCAN\ALOGSERV.EXE C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE C:\PROGRAM FILES\SONY\VAIO ACTION SETUP\VASERV.EXE C:\PROGRAM FILES\I-O DATA\CUTE\CUTE.EXE C:\WINDOWS\デスクトップ\HIJACK\HIJACKTHIS.EXE C:\PROGRAM FILES\LIVE2CH\LIVE2CH.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: MSN ツールバー - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN TOOLBAR\01.01.1629.0\JA\MSNTB.DLL O4 - HKLM\..\Run: [internat.exe] internat.exe O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [OmgStartup] C:\Program Files\Common Files\Sony Shared\OpenMG\OmgStartup.exe O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\ADAPTEC\DIRECTCD\DIRECTCD.EXE O4 - HKLM\..\Run: [LoadQM] loadqm.exe
146 :04/08/13 O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\host32.exe internat.dll,LoadKeyboardProfile O4 - HKLM\..\Run: [Alogserv] C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe O4 - HKLM\..\RunServices: [McAfeeVirusScanService] C:\Program Files\McAfee\McAfee VirusScan\AVSYNMGR.EXE O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE O4 - Startup: VAIO Action Setup (サーバー).lnk O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Startup: EPSONプリンタウインドウ!3 環境設定(2).lnk = C:\WINDOWS\SYSTEM\E_SRCV02.EXE O4 - Startup: Cute.lnk = C:\Program Files\I-O DATA\Cute\Cute.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
147 :04/08/13 O15 - Trusted Zone: *.searchmeup.cc O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.skoobidoo.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.xxxtoolbar.com O15 - Trusted Zone: *.slotch.com O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net O16 - DPF: {9E7138EE-4E7B-11D5-94EF-006008A4ED7F} (DialZ Class) - http://www.slashpink.net/new_01/117/DialXX04.CAB O16 - DPF: {B1564E7A-26BD-4135-88E9-78F44DD4DE68} (XBeat.XBeatCnt) - http://www.narazuke.com/01/XBeat.CAB O16 - DPF: {748282BD-B965-44D8-896A-9506453F28B2} (XPaco.XPacoCnt) - http://www3.narazuke.com/04/XPaco.CAB O16 - DPF: {DAE3A970-40F5-11D4-9E73-0030430005BE} (AutoConnect Class) - http://home.att.ne.jp/sun/live/sample/ldc/eConnect.dll O16 - DPF: {8DCE908E-9E35-11D3-9431-009099104002} (AButton Class) - http://www.ura-no1.com/DialX7.CAB O16 - DPF: Yahoo! Japan Shogi - http://yog21.yahoo.co.jp/yog/yj/shgm4_x.cab O16 - DPF: {CE120884-CC9F-4478-A6A4-3A2768438DC8} (XMild.XMildCtl) - http://www.yakiudon.com/02/html/XMild.CAB O16 - DPF: {18000D07-72C4-11D4-B4BD-004026422A29} (Hot_net Control) - http://www.futomomo.com/netidol/idolhappy/cab/Hot_net.CAB O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab O16 - DPF: {43A31219-2ED9-4509-97DF-5C03F3286850} (RasActive Control) - http://61.195.173.226/~fuwafuwa/activehhh/rasactive.cab O16 - DPF: {69A4F9FF-E915-11D5-A9F1-009099104002} (XDialer Class) - http://ura-xxx.com/XDialer2.CAB O16 - DPF: {A3EE1783-506C-4C2E-84AA-725AC5B3CD79} (XKurumi.XKurumiCtl) - http://210.155.140.39/exe/XKurumi.CAB
148 :04/08/13 O16 - DPF: Yahoo! Chat JP 2 - http://cs.chat.yahoo.co.jp/c302/chat.cab O16 - DPF: Yahoo! Japan Bloxi - http://yog19.yahoo.co.jp/yog/yj/blm5_x.cab O16 - DPF: Yahoo! Japan Blackjack - http://yog12.yahoo.co.jp/yog/yj/jm1_x.cab O16 - DPF: {759F9382-089B-4170-8B71-EEDFD932E19E} (XDialK2 Class) - http://homepage1.nifty.com/deep/DialK2.CAB O16 - DPF: {B15108AA-D8D0-480D-B535-07E18D6549A8} (XBurger.XBurgerCtl) - http://www.eromax.com/cab/XBurger.CAB O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (ウイルスバスター On-Line Scan) - http://a840.g.akamai.net/7/840/537/2004052701/housecall.antivirus.com/housecall/xscan53.cab O16 - DPF: {D6BD21B2-32FD-4A56-AE46-FBA65EABB3A7} (XEng007.XEng007Ctl) - http://cutygirls.net/pink/007/XEng007.CAB O16 - DPF: {7BEAC808-D2BF-4B4B-9E14-A403477A669C} (XEng006.XEng006Ctl) - http://iii.tv/pink/006/XEng006.CAB O16 - DPF: {4A88CB42-BBFE-496A-884F-98E8AC316292} (YJInstStarter Control) - http://dl.msg.yahoo.co.jp/pgdownload/yjinst.cab O16 - DPF: {C7173F75-4426-4B86-B5F4-BA500BE66FE0} (ChainCast VMR Client Proxy) - http://sports.1242.com/chaincast/ccpm_0221.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/23dbb8dc8952c5a71d16/netzip/RdxIE601_ja.cab O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://cs.chat.yahoo.co.jp/v45/yacscom.cab O16 - DPF: Yahoo! Japan Poker - http://yog16.yahoo.co.jp/yog/yj/pm6_x.cab O16 - DPF: {2C079F28-EE92-4700-A44B-AF5FA285FCCA} (HanGamePluginJP16 Class) - http://down.hangame.co.jp/jp/dist/hgstart/HanGamePluginJP16.cab O16 - DPF: Yahoo! Chat JP - http://cs1.chat.yahoo.co.jp/c214/chat.cab O21 - SSODL: AUHook - {BCBCD383-3E06-11D3-91A9-00C04F68105C} - C:\WINDOWS\SYSTEM\AUHOOK.DLL
149 :04/08/13 よろしくお願いします。
150 :04/08/14 >>144-148 すんません、素朴な疑問なんですが コントロールパネルの「アプリケーションの追加と削除」にいつの間にか 加わっているものはないですか? トレンドマイクロのオンラインスキャンをやった形跡はあるのですが、 そこで検出されたものはちゃんと駆除しましたか? Spybotは入っているようなんですが、そこで検出されたものは駆除しましたか? Ad-awareSEや、CWShredderは試してみましたか? エロサイトテンプレをやったにしては、エントリが非常に悲惨な状態過ぎるのですが・・・ Fix指示を出す前に、その確認を先にさせて下さい。やってなければ、先にそれをやって下さい。
151 :04/08/14 悲惨ですか。そんな感じはしたのですが… どれを開いてもアイコンが出てこなく、作業が出来ません。 スキャンではウィルスは出てきませんでした。 spybotでcoolWebsearchはでたのですが、削除しようとすると、 停止してしまう状況です。 すいませんが、まずどこからはじめたらいいか教えてください。
152 :04/08/14 >>151 アイコンが出てこないとは、具体的にどの作業の事ですか? 向こうの19さんは、「コントロールパネルが出てこない」と書いていますが。 作業する順番としては、ここの「スパイウェア除去ウィザード」に沿って 順番にやっていってみて下さい。 ttp://higaitaisaku.web.infoseek.co.jp/removewz01.html
153 :04/08/14 >>152 ありがとうございます。 どのフォルダを開いても、中身のファイルがアイコンで出ますよね? 同様にコントロールパネルを開いても、ウィンドウは出てきても、 真っ白のウィンドウなんです。なので実行できない状況です。
154 :04/08/14 >>153 あとすみません、素朴な疑問追加。 McAfeeを入れてらっしゃるようですが、これは最新の定義にはできない 古いVirusScanソフトなんでしょうか?
155 :04/08/14 古いスキャンソフトです。 トレンドマイクロのオンラインスキャンやろうとしたのですが、 スキャン画面がでてこないので…
156 :04/08/14 (1)CWShredderを実行してみる。 (2)Spybotのアンインストール情報から確認(この段階ではまだスキャンしない) モード→高度な使い方をクリックして、「アンインストール情報」にチェックを入れる。 その後、「アンインストール情報」を見て、インストールした覚えのないもののファイルパスを 調べて、直接そのアンインストールプログラムを起動してアンインストールしてみる。 (3)IE→インターネットオプション→セキュリティ→信頼済サイトに登録されているものを 一旦全て消す。(多分また復活するとは思いますが一応。) (4)アンチウィルスソフトの入れ替え(オンラインスキャンもできないのでは話にならないので) 1.さっきのSpybotのアンインストール情報から、McAfeeのアンインストールプログラムの ファイルパスを確認してアンインストールする。 2.アンチウィルスソフトがない状態では話にならないので、とりあえずフリーのものを入れてみる。 http://www.avast.com/eng/download/programs/avast_4_home_downloa.html ここから、Japanese Versionをダウンロードして、インストール。 最新の定義にアップデートしたら、全てのファイルをスキャンしてみて下さい。 (5)http://higaitaisaku.web.infoseek.co.jp/removewz09.html ここからこのウィザードに沿って最後まで実行してみてください。 ※Ad-aware6.0ではなく、Ad-awareSEがリリースされていますので、そちらを使って下さい。 既に日本語パッチも公開されていますので、Ad-awareスレを確認の事。使い方は6.0とほぼ同じです。 ウィザードが全部終わった段階で、再度HijackThisを取ってみて、貼ってみて下さい。 作業途中で再起動しない方がいいので、ウィルススキャンを寝ている間にやってみるとかがよいかと。
157 :04/08/14 補足:Ad-awareSE関連ページ http://pc6.2ch.net/test/read.cgi/pcqa/1091521211/973
158 :04/08/14 >>156 ありがとうございます。 ファイル名を指定して実行でCWShredderを実行しました。 Spybotですが、uninstall cmdをファイル名を〜で実行すると、installが実行されてしまいます。
159 :04/08/14 すいません。McAfeeのインストールです。
160 :04/08/14 連レス申し訳ないです。 McAfeeについてはわかりました。avastを入れてみます。
161 :04/08/14 >>158-160 作業が全部終わってからまとめてレスして下さい。 ここはHijackThisスレですし、私はMcAfeeユーザーでもないので、 アンインストールの方法だとかはさっぱりわかりませんから。
162 :04/08/14 鑑定人さん、エロサイト助け・・スレに出張たのんます。
163 :04/08/14 >>143 (ちょっと亀レスですが) いきなり最初からHijackThis、Fixして終わり、ってのだとおっしゃる通りでしょうね。 (個人的には、だからいきなりHijackThis指示出す人ってのはヤブ医者だと思ってます) 「テンプレやってなければ先にそれやって」ってのは、そのテンプレをやる間に アンチウィルスソフト、CWShredder、Spybot、Ad-awareは確実にインストールするので、 万が一他のスパイウェアに感染しても簡単に駆除できるから、という目的もあります。
164 :04/08/15 たかがスパイウェアごときに何むきにになってんの?
165 :04/08/15 すいません、取り乱しました。
166 :04/08/15 >>144 さんを待ってる間に、今までの患者さんたちのCLSIDのある問題エントリについて 少しまとめてみました。 CLSIDでスパイウェアを予防するものに、SpywareBlasterというものがあります。 SpywareBlasterについては、詳しくはこのスレで(荒れてますが) http://pc5.2ch.net/test/read.cgi/sec/1087466411/ また、サイト被害対策の部屋で、このSpywareBlasterにCLSIDを追加する 「CustomBlockingUpdater」というものを提供しています。 で、SpywareBlaster+CustomBlockingUpdaterで予防できないCLSIDエントリを 以下にピックアップしてみました。 (>>25-28 ) R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\WINDOWS\EliteBar\EliteBar version 37.dll (>>35-40 ) O2 - BHO: (no name) - {4DAA6426-E46D-20CE-8000-64550CD32B4D}- C:\WINDOWS\System32\bilcmavq.dll (>>84-90 ) O2 - BHO: (no name) - {3BFF365D-E942-2EE5-8753-60550DA7291F} - C:\WINDOWS\SYSTEM\YJDIENFW.DLL (file missing) O16 - DPF: {E8946F74-DAF3-4D7F-8988-A54E380D8D89} (sub2tv コントロール) - http://www.2233.tv/module/subocx.cab O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://C:\foo.mht!http://66.230.145.49/20647/online.chm::/on-line.exe (>>144-148 ) O16 - DPF: {748282BD-B965-44D8-896A-9506453F28B2} (XPaco.XPacoCnt) - http://www3.narazuke.com/04/XPaco.CAB 逆に言えば、これ以外のエントリはSpywareBlasterと、CustomBlockingUpdaterを入れていれば しっかりと予防できていたエントリ、という事になります。 また、CustomBlockingUpdaterのアップデートが最近止まっていますが、それを補うために 上に書いたエントリを加えておけば、最新のものに対しても予防可能という事になります。 情報として多少役に立つんじゃないかな?と思いましたので長文カキコ。
167 :04/08/15 >>166 の内容をまとめたものを、SpywareBlaster隔離所スレに書きましたので ご興味ある方はご自由にどうぞ。 ttp://jbbs.livedoor.com/bbs/read.cgi/computer/15366/1092108107/4 本当は本スレに書きたいとこですが、荒れ過ぎててあっという間に流れそうなので。
168 :04/08/15 >>166 について、誤解があるといけないので補足カキコです。 まず、SpywareBlasterというのはこんなソフトです。 ttp://higaitaisaku.web.infoseek.co.jp/spywareblaster.html >感染してしまった状態の改善には何の役にも立たないが、これからスパイウェアに感染することを防止する >というアプリケーションです。 つまり、既に症状が発症してしまっていて、ここに相談している人が入れても何の解決にもなりません。 では、どういう風に役立つのか? SpywareBlasterを入れている人が、仮に>>59-62 さんと同じスパイウェアにかかったとします。 この場合、トロイファイルであるmsxmidiは入ってしまうのですが、 >O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll >O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - ttp://www.mt-download.com/MediaTicketsInstaller.cab この2つはSpywareBlasterで対応しており、インストール無効化されるため、トロイが走っていても症状は発生しないという事です。 SpywareBlasterは根本的な解決策にはならないのですが、とりあえず症状が出にくいようにしておいてくれるので、 その後アンチウィルスソフトや、アンチスパイウェアソフトが対応した時に駆除すれば、全く症状に苦しむ事なく駆除できる、というわけです。
169 :04/08/15 McAfeeや鉄壁は使わない。 これは常識です。
170 :04/08/15 >>169 「最新の定義にちゃんとアップデートできるアンチウィルスソフトを使う」 こんな常識すらきちんとできていない人が多いんですけど( ´,_ゝ`) 最新の定義にアップデートできるMcAfeeなら、何も入れないよりもずっとマシです。 (このスレでフリーソフトを紹介してるのも、検出力が良くないとは言え何もないよりずっとマシだからです) 「鉄壁」って何?と調べたら、既にサポート終了してるアンチウィルスソフト。それを使わないのは当たり前。
171 :04/08/15 スパイウェアに感染していたようで、SpybotでCns Minは削除したのですがまだ改善しません。 ウィルスにも感染しているようなのですが、よろしくお願いします。 ノートンでは検出されませんでした。 Logfile of HijackThis v1.98.0 Scan saved at 14:08:54, on 2004/08/15 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
172 :04/08/15 Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Program Files\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\Norton AntiVirus\SAVScan.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\pctspk.exe C:\Program Files\Apoint\Apoint.exe C:\Program Files\Dell\QuickSet\quickset.exe C:\WINDOWS\System32\DSentry.exe C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe C:\Program Files\Real\RealPlayer\RealPlay.exe C:\WINDOWS\System32\PRISMSTA.EXE C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\FinePixViewer\QuickDCF.exe C:\Program Files\AOL 7.0\aoltray.exe C:\Program Files\Apoint\Apntex.exe C:\WINDOWS\System32\conime.exe C:\WINDOWS\System32\wuauclt.exe E:\HijackThis.exe
173 :04/08/15 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
174 :04/08/15 O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE O4 - HKLM\..\Run: [IMJPMIG9.0] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMJP9\IMJPMIG.EXE /Preload /Migration32 O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Common Files\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - Global Startup: EPSONプリンタウインドウ!3 環境設定(2).lnk = C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\E_SRCV02.EXE O4 - Global Startup: Exif Launcher.lnk = ? O4 - Global Startup: AOL 7.0 トレイアイコン.lnk = C:\Program Files\AOL 7.0\aoltray.exe
175 :04/08/15 O9 - Extra button: リサーチ - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\MSOFFICE\OFFICE11\REFIEBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Yahoo! メッセンジャ− - {CEBF73C0-BA2E-11d4-A73A-00508B33FB82} - C:\PROGRA~1\Yahoo!J\MESSEN~1\YPagerJ.exe O9 - Extra 'Tools' menuitem: Yahoo! メッセンジャ− - {CEBF73C0-BA2E-11d4-A73A-00508B33FB82} - C:\PROGRA~1\Yahoo!J\MESSEN~1\YPagerJ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O16 - DPF: {4A88CB42-BBFE-496A-884F-98E8AC316292} (YJInstStarter Control) - http://dl.msg.yahoo.co.jp/pgdownload/yjinst.cab O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab O16 - DPF: {E6B8E23A-7174-42A8-9620-8F4C5415DF2F} (SmartLauncher Control) - http://webprint.i-love-epson.co.jp/mypage/app_pages/s_launch.cab
176 :04/08/15 以上です、よろしくお願いします。
177 :04/08/15 鑑定人さん、いつもご苦労様です。 CLSIDのブロックリストにはこんなのもあるようですね。 ttp://www.spywareguide.com/blockfile.php 情報源はこちらです。 ttp://higaitaisaku.web.infoseek.co.jp/cgi-bin/srch.cgi?no=3&word=3131&andor=and& logs=cbbsdayo3.cgi&PAGE=20&ALL=1 CustomBlockingListにはこんなのも。 ttp://forum.aumha.org/viewtopic.php?t=4945 次も同じ人のレスです。ちゃんとした所のフォーラムに掲載されているのだからリスト自 体も信用できるかと。 ttp://www.wilderssecurity.com/showthread.php?t=36879 僕は詳しいこと分からないので、すいませんけど情報だけ投げちゃいます。 ところで、僕自身は両方とも使ってません。結局のところ「インストールしますか?」に 「いいえ」で答えればCLSIDのブロックも不要だし、そもそもヤバイサイト見る前にJAVA やActiveXを切ればいいのかと。それでも、ケアレスミスを防ぐためにSpywareBlasterは 利用させてもらってますけれど。
178 :04/08/15 >>171-176 >ウィルスにも感染しているようなのですが、よろしくお願いします。 >ノートンでは検出されませんでした。 どんな症状なのかもわからないし、ウィルスに感染しているようだという情報は どこまで信用できるんですかね? 「エロサイト見たら・・・」スレのテンプレはきちんと読みましたか? テンプレは全て実行しましたか?「エロサイト見たら・・・」スレでは相談しましたか? >SpybotでCns Minは削除したのですがまだ改善しません。 ここは読みましたか?(テンプレにあるのに読まずに直しちゃったんでしょうけど) ttp://higaitaisaku.web.infoseek.co.jp/removecnsmin.html テンプレもきちんと読まず、どんな症状なのかも詳しく書かず、 本来相談すべき「エロサイト見たら・・・」スレに相談もせず、 いきなりこっちに持ってこられても、全然見る気は起きません。あしからず。
179 :04/08/15 >>177 CLSIDの話は、HijackThis分析で出てきたログからの副産物を、 何か再利用できないかなーというので出してみた話なので、 既存のリストとかはむしろSpywareBlasterスレでやった方がいいかもです。
180 :04/08/15 PC初心者から誘導されてきました スパイウェア検索削除ソフトのSpybot1.3に関する質問なんですが VBouncer というのが検索されたのですが、修正削除にしても いくつかの問題個所が修正/削除できません 理由がファイルメモリ上あるためです この問題は再起動後に修正/削除できます 次回システムスタートアップでSpybot-s&Dを起動しますか? と出るんですが、再起動しても削除できません どうすれば良いでしょうか?
181 :04/08/15 >>180 ここはSpybotの質問スレじゃありません。こちらのテンプレをよく読んで、 わからなければそちらのスレッドで聞いてください。 エロサイト見たら…助けてください!Part37 http://pc6.2ch.net/test/read.cgi/pcqa/1092133896/ 誘導されたら、書き込む前にスレタイとか先に見てくれませんかね( ´_ゝ`)
182 :04/08/15 >>180 パソコン初心者板総合質問スレッドvol.795 http://pc6.2ch.net/test/read.cgi/pcqa/1092492463/635 どのレスで誘導されたのか小一時間(r マルチポストかつスレ違い
183 :04/08/15 わりーわりーこのスレに誘導されちゃったのね 正直スマンテック
184 :04/08/15 なんでSpybotの専用スレもあるというのにこのスレに誘導されるんだ・・・(;´_ゝ`)
185 :04/08/15 初心者窓口スレ
186 :04/08/15 これからどんどん馬鹿を送り込んでやるからなwwwwwwwwwっw
187 :04/08/16 あれ?ここの鑑定人さんは優しい人だと思ってたのに エロ助けスレの糞回答者と同じなのかな?
188 :04/08/16 あれ?ここの鑑定人さんは優しい人だと思ってたのに エロ助けスレの糞回答者と同じなのかな?
189 :04/08/16 鑑定人がやさしいかどうかは知らないが、板立てたやつは馬鹿。 エロサイト見たら…助けてください!からの流れを見てたらわかる。 そろそろ飽きて、投げ出す頃。
190 :04/08/16 飽きちゃってるのか?
191 :04/08/16 いや、ここにはスレ建て主の>>1 しかいないですから!!!
192 :04/08/16 いきなりすいません!!エロサイトからきた59さんと同じ症状状況なんですが。現在どのような状態なのか解析されたく来ました。お手数ですが解析のほどお願いしますm Logfile of HijackThis v1.98.0 Scan saved at 19:24:16, on 2004/08/16 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v5.50 (5.50.4134.0100) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE C:\WINDOWS\EXPLORER.EXE C:\PROGRAM FILES\JUSTSYSTEM\ATOK13\ATOK13MN.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\SYSTEM\SERVICES\WMPLAYER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAM FILES\SONY\HOTKEY UTILITY\HKSERV.EXE C:\PROGRAM FILES\DRAG'N DROP CD\BINFILES\DRAGDROP.EXE C:\PROGRAM FILES\BROWSER MOUSE\BROWSER MOUSE\1.0\LWBWHEEL.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\PROGRAM FILES\ELECOM\WHEELUTILITY\ECIUHOOK.EXE C:\PROGRAM FILES\DAP\DAP.EXE
193 :04/08/16 C:\PROGRAM FILES\INTERNET OPTIMIZER\OPTIMIZE.EXE C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\LOADQM.EXE C:\PROGRAM FILES\MSN APPS\UPDATER\01.02.0002.1001\JA\MSNAPPAU.EXE C:\PROGRAM FILES\VENTURI2\CONFIGURATOR\VENTCFG.EXE C:\WINDOWS\SYSTEM32\WINTIME.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\HOST32.EXE C:\WINDOWS\SYSTEM\CTFMON.EXE C:\PROGRAM FILES\INTERNET OPTIMIZER\ACTALERT.EXE C:\PROGRAM FILES\POWERPANEL\PROGRAM\PCFMGR.EXE C:\PROGRAM FILES\SONY\VAIO ACTION SETUP\VASERV.EXE C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAM FILES\VENTURI2\CLIENT\VENTC.EXE C:\WINDOWS\デスクトップ\HIJACKTHIS.EXE C:\WINDOWS\SYSTEM\PRINTER.EXE C:\WINDOWS\SYSTEM\INTRON.EXE
194 :04/08/16 R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: DAPBHO Class - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\PROGRAM FILES\DAP\DAPIEBAR.DLL O2 - BHO: BHObj Class - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\NEM218.DLL O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\NEM219.DLL O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.2001.0001\JA\MSNTB.DLL O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll O3 - Toolbar: Simple Speech Web Reader - {77600552-7D4E-4E82-8FCF-92B908D99D7C} - C:\PROGRAM FILES\SONY\SIMPLE SPEECH\SSPEECHBAR.DLL O3 - Toolbar: @msdxmLC.dll,-1@1041,ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\PROGRAM FILES\DAP\DAPIEBAR.DLL O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.2001.0001\JA\MSNTB.DLL
195 :04/08/16 O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [OmgStartup] C:\Program Files\Common Files\Sony Shared\OpenMG\OmgStartup.exe O4 - HKLM\..\Run: [AlpsPoint] C:\Progra~1\Apoint\Apoint.exe O4 - HKLM\..\Run: [HKSERV.EXE] C:\Program Files\Sony\HotKey Utility\HKserv.exe O4 - HKLM\..\Run: [Drag'n Drop CD] C:\Program Files\Drag'n Drop CD\BinFiles\DragDrop.exe /StartUp O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe O4 - HKLM\..\Run: [Elecom wheel extention] C:\Program Files\Elecom\WheelUtility\eciuhook.exe O4 - HKLM\..\Run: [RegShave] C:\Progra~1\REGSHAVE\REGSHAVE.EXE /autorun
196 :04/08/16 O4 - HKLM\..\Run: [Venturi Configurator] C:\Program Files\Venturi2\Configurator\ventcfg.exe O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\WMPLAYER.EXE O4 - HKLM\..\Run: [WinTime] C:\WINDOWS\system32\wintime.exe O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\host32.exe internat.dll,LoadKeyboardProfile O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [MDM7] "C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE" O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\WMPLAYER.EXE O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Startup: PowerPanel.lnk = C:\Program Files\PowerPanel\Program\PcfMgr.exe O4 - Startup: VAIO Action Setup (サーバー).lnk = C:\Program Files\Sony\VAIO Action Setup\VAServ.exe O4 - Startup: 紙 2001.lnk = ?
197 :04/08/16 O4 - Startup: JSクイックランチ.LNK = C:\Program Files\Justsystem\JSLIB32\JSQLNCH.EXE O4 - Startup: JSクイックサーチファイル 自動更新.LNK = C:\Program Files\Justsystem\JSLIB32\JSQSF32.EXE O4 - Startup: Exif Launcher.lnk = C:\Program Files\FinePixViewer\QuickDCF.exe O4 - Global Startup: ATOK15環境移行支援ツール.LNK = C:\Program Files\Justsystem\ATOK15\ATOK15PC.EXE O4 - Global Startup: DXインストールウォッチャー.lnk = C:\Program Files\Aisoft\DxTools\INSTWTCH.EXE O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000 O8 - Extra context menu item: Bookshelfで検索(&L) - res://C:\PROGRAM FILES\MICROSOFT REFERENCE\MICROSOFT BOOKSHELF 3.0\BSDEF.DLL/#1001 O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O15 - Trusted Zone: *.searchmeup.cc O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.searchbarcash.com
198 :04/08/16 O15 - Trusted Zone: *.skoobidoo.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.xxxtoolbar.com O15 - Trusted Zone: *.slotch.com O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net O16 - DPF: {18000D07-72C4-11D4-B4BD-004026422A29} (Hot_net Control) - http://www.futomomo.com/photo/cab/Hot_net2.CAB O21 - SSODL: AUHook - {BCBCD383-3E06-11D3-91A9-00C04F68105C} - C:\WINDOWS\SYSTEM\AUHOOK.DLL O21 - SSODL: System - {4A32B3BC-69F6-432F-AA48-7DCEE26E5753} - C:\WINDOWS\system32\system32.dll このスレの59さんと同じ症状なんですがホームページがwww.selfsearch.comに 指定されるなどステータスバーがdoneと表示されるリンク先がmoreporn.biz/new /index.phpと表示されるなど。ほとんど59さんと同じ状態なんですが心配で一 度みなさまに解析されてからのが確実だと思いレスしました。
199 :04/08/16 鑑定お願いします。 Logfile of HijackThis v1.98.0 Scan saved at 20:13:21, on 2004/08/16 Platform: Windows XP SP2, v.2149 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2149) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\PROGRA~1\Grisoft\AVG6\avgserv.exe C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe C:\Program Files\Fujitsu\PCKARTE\PCKTESVC.EXE C:\Program Files\Fujitsu\sa\api\SBRSVC.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\LTSMMSG.exe C:\Program Files\Apoint2K\Apoint.exe C:\Program Files\Fujitsu\IndicatorUtility\IndicatorUty.exe C:\Program Files\Fujitsu\Fujitsu Quick Touch\QuickTouch.exe C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe C:\PROGRA~1\Grisoft\AVG6\avgemc.exe C:\WINDOWS\system32\ezSP_Px.exe C:\WINDOWS\system32\ctfmon.exe D:\バックアップ\常駐ソフト\regprot\regprot.exe
200 :04/08/16 C:\Program Files\Apoint2K\Apntex.exe C:\WINDOWS\system32\conime.exe D:\バックアップ\常駐ソフト\xx\xx.exe D:\バックアップ\常駐ソフト\twintail2\twintail2.exe C:\PROGRA~1\Grisoft\AVG6\AVGCC32.EXE D:\バックアップ\常駐ソフト\DonutP\DonutP.exe C:\Documents and Settings\Owner\デスクトップ\HijackThis.exe N3 - Netscape 7: user_pref("browser.startup.homepage", "http://home.netscape.com/ja/ "); (C:\Documents and Settings\Owner\Application Data\Mozilla\Profiles\default\y5tfe8wv.slt\prefs.js) N3 - Netscape 7: user_pref("browser.search.defaultengine", ""); (C:\Documents and Settings\Owner\Application Data\Mozilla\Profiles\default\y5tfe8wv.slt\prefs.js) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AtiPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [IndicatorUtility] C:\Program Files\Fujitsu\IndicatorUtility\IndicatorUty.exe O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\Program Files\Fujitsu\Fujitsu Quick Touch\QuickTouch.exe O4 - HKLM\..\Run: [LoadBtnHnd] C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe O4 - HKLM\..\Run: [pifsky] c:\fjuty\pifsky\delfile.vbs c:\fjuty\pifsky\exe run O4 - HKLM\..\Run: [AVG_CC] C:\Program Files\Grisoft\AVG6\avgcc32.exe /startup O4 - HKLM\..\Run: [AVG_EMC] C:\PROGRA~1\Grisoft\AVG6\avgemc.exe
201 :04/08/16 O4 - HKLM\..\Run: [Outpost Firewall] "C:\Program Files\Agnitum\Outpost Firewall 1.0\outpost.exe" /waitservice O4 - HKLM\..\Run: [imjpmig] C:\Program Files\Common Files\Microsoft Shared\IME\IMJP\imjpmig.exe /RemAdvDef /AIMEREG /Migration /SetPreload O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\system32\ezSP_Px.exe O4 - HKLM\..\Run: [mp3infp] C:\Program Files\mp3infp\mp3infp_regist.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: regprot.lnk = ? O4 - Global Startup: xx.lnk = ? O8 - Extra context menu item: Bookshelfで検索(&L) - res://C:\Program Files\Microsoft Reference\Microsoft Bookshelf 3.0\bsdef.dll/#1001 O8 - Extra context menu item: Irvineで選択範囲をダウンロード - C:\PROGRA~1\IRVINE~1\ie_menu\iemenu3.htm O8 - Extra context menu item: IrvineへすべてのURLを送る - C:\PROGRA~1\IRVINE~1\ie_menu\iemenu2.htm O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
202 :04/08/16 O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin5.dll O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll O12 - Plugin for .pic: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin8.dll O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1089893748026 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab 以上です。
203 :04/08/16 >>192-198 (1)WindowsUpdateをして下さい >Platform: Windows ME (Win9x 4.90.3000) >MSIE: Internet Explorer v5.50 (5.50.4134.0100) Meだったら、自動的に重要な更新をインストールする設定にできるはずです。 重要な更新を全てインストールして下さい。 (2)アンチウィルスソフトを入れるか、オンラインスキャンをやって下さい (3)エロサイト見たら・・・スレのテンプレを全て実行して下さい エロサイト見たら…助けてください!Part37 http://pc6.2ch.net/test/read.cgi/pcqa/1092133896/1-11 Fixすべき項目があまりにも多すぎるので、まずはソフトに余計なものを 駆除してもらってからにしましょう。それが終わったらもう一度どうぞ。
204 :04/08/16 鑑定師さんがんばれ!!!
205 :04/08/16 無駄な貼り付けでスレを喰い潰してるな。思っていたとおりだ。
206 :04/08/16 >>199-202 えーと、何をして欲しいのかが良くわからないんですけど。 特に何も困ってはいないが、不審な点があったら指摘して下さいって感じですか? ログを貼りつけた意図がわかりかねるので、返事が来るまで分析結果は保留。
207 :04/08/16 >>192 RESTOREフォルダで実行されてるプログラムが 限りなく怪しいんだが。
208 :04/08/16 >>207 回答するなら、怪しいなと思ったらちゃんと調べたら? http://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=135 どこが怪しいんだよ( ´_ゝ`) 普通のプロセスだよ。 それ以前に、いっぱいトロイとかウィルスとかスパイウェアとか飼いすぎだから>>203 。
209 :04/08/17 >>192 以下の値はCWS.Yexe表しています。 O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\WMPLAYER.EXE O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\WMPLAYER.EXE ttp://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=233 を参考にして治療してください。WMPは再インストールした方がいいでしょう。 スタートアップエントリーにCWS(search.biz)の特徴が現れています。 下を参考にして治療しましょう。 O21 - SSODL: System - {4A32B3BC-69F6-432F-AA48-7DCEE26E5753} - C:\WINDOWS\system32\system32.dll ttp://higaitaisaku.web.infoseek.co.jp/removesearchbiz.html 以下の値はカンですが、selfsearchの可能性が高いです。 Fixしたのち、host32.exeをごみ箱に移してください。 O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\host32.exe internat.dll,LoadKeyboardProfile 以下は個人的にFixしたほうがいい項目です。 R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: DAPBHO Class - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\PROGRAM FILES\DAP\DAPIEBAR.DLL O2 - BHO: BHObj Class - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\NEM218.DLL O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\NEM219.DLL O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\PROGRAM FILES\DAP\DAPIEBAR.DLL O4 - HKLM\..\Run: [WinTime] C:\WINDOWS\system32\wintime.exe DAPIEBAR.DLL、NEM218.DLL、NEM219.DLLは再起動の後ゴミ箱に移して、 もう一度Ad-Awareを実行してごみ掃除をしてください。
210 :04/08/17 >>192 O15 - Trusted Zone:の項目はコントロールパネル、 インターネットオプションの信頼済みサイトの項目です。 危険なものが多いです。Fixせず、インターネットオプションから一旦クリアしましょう。 参考までに、 O15 - Trusted Zone: *.xxxtoolbar.com = xxxtoolbar O15 - Trusted Zone: *.flingstone.com = Bridge O15 - Trusted Zone: *.mt-download.com = NAVSCANNER32 O15 - Trusted Zone: *.blazefind.com = BlazeFind/Search Assistant O15 - Trusted Zone: *.clickspring.net = PurityScan / ClickSpring BlazeFind/Search Assistant(参考に) ttp://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=137 PurityScan / ClickSpring(参考に) ttp://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=206
211 :04/08/17 >>209-210 >O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\host32.exe internat.dll,LoadKeyboardProfile このエントリですが、>>99 とファイル名だけが異なるものと思われます。 >>99 の時の相談者と症状が全く同じですので、おそらく原因ファイルと見ていいんじゃないかと。 >O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm >O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm これはRelatedだと思うのですが。(といっても確かSpybotで駆除できたと思いますが) >O16 - DPF: {18000D07-72C4-11D4-B4BD-004026422A29} (Hot_net Control) - http://www.futomomo.com/photo/cab/Hot_net2.CAB 日本語ダイアラ(http://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=111 )だと思います。 あと、>>209-210 さんはかなり熟練した回答者さんとお見受けしましたので、質問させて下さい。 >O2 - BHO: DAPBHO Class - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\PROGRAM FILES\DAP\DAPIEBAR.DLL >O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\PROGRAM FILES\DAP\DAPIEBAR.DLL >O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm >O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE この辺のDAP関連のものについて、調べても「怪しいけど黒とははっきり言えない灰色」みたいな感じだったのですが、 もし何かDAP関連情報などを何かお持ちでしたら、後学のために教えていただいてもよろしいでしょうか?
212 :04/08/17 >>211 DAPについてですが、DAPマネージャーかも知れません。 その場合ははっきりいって白ですが、 問題がおきたら再インストールで解決できるタイプのものなので、一応Fix指示をしておきました。 言い訳がましいのですが、新しいソフトなどのエントリーは分からないことが多いいです。 その場合は大抵患者の方がきずくはずなので(エラー等)、 自分がFixさせた項目を覚えておき 患者がその主旨をもう一度伝えきた場合に指示しなおせばいいので、 一応削っておきました。灰色のものは黒の場合にシャレにならないので、 こういった指示をしたのですが少し横暴に写ったかも知れません・・・。 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm これは、確かAlexaというやつで害はありません。 Ad-Awareなんかでも簡単に拾えます。 O16 - DPF: {18000D07-72C4-11D4-B4BD-004026422A29} (Hot_net Control) - http://www.futomomo.com/photo/cab/Hot_net2.CAB 見落としてました・・・。URL見るとモロですね・・・。
213 :04/08/17 >>212 の回答を見る感じだと、「熟練しているようだ」と思ったのはやっぱり勘違いだったのかな?という感じなんですけど。 (02・03エントリのFix指示は出すのに、何で08・09は残しておくのかな?と疑問に思ったので>>211 で質問したのですが) 以下、>>203 の指示を出すに至るまでの俺の経緯説明 >>192-196 の人を>>133 のフィルタで通した結果 http://www.hijackthis.de/logfiles/27aed707b97b9450af67ef4c6484d188.html ここを見ても02・03のDAPエントリは「Safe」になっています…が、 09エントリでよくわからないexeファイルへのボタンが貼られていて、 本当に安全なエントリなのか?と首をかしげます。で、さらに調べてみる事に。 まずDAPはこのダウンロードマネージャーのようです(下のcomputercopsの情報から判明)。 http://www.speedbit.com/DAP7/DefaultT.asp 各項目を調べた結果。 >>O2 - BHO: DAPBHO Class - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\PROGRAM FILES\DAP\DAPIEBAR.DLL http://computercops.biz/clsid-55.html → O BHO >>O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\PROGRAM FILES\DAP\DAPIEBAR.DLL http://computercops.biz/clsid-792.html → L TB >>>O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE http://computercops.biz/clsid-795.html → X TB http://www.pestpatrol.com/pestinfo/p/powerstrip.asp なんとなくですが、J-wordと共通点(スパイウェアを機能の一部に組み込んでいるソフト)という印象を受けます。 黒と言える確証はないけど、かなーりうさんくさい。でも確実に黒ではないのでFix指示を今の段階ではまだ出さない方がよさそうだな。 (続く)
214 :04/08/17 (>>213 の続き) エロサイトテンプレをやるなら、自分に覚えが無ければコントロールパネルからDAP関連のものを最初にアンインストールするはずだな。 アンチウィルスソフトも、アンチスパイウェアソフトもやった形跡が全くないな。 Axela-Relatedやら既出のアンチスパイウェアソフトで駆除できるエントリもあるな。 >>59 さんと同じ症状なら、多分テンプレを単純にやっただけでは解決しない可能性が高いけど、 余計なFix指示は出さなくてよくなるから、こちらにとっても、Fix作業をする質問者にとっても、その方が楽だな。 というわけで>>203 =「エロサイトのテンプレやれ」という指示を出す。 #回答者やる方は、きちんとわからない項目は全部調べてからFix指示を出しましょうよ。 #エラーが出るかもしれないとわかっていて、また相談に来たらその時直せばいいやってのは論外ですよ。
215 :04/08/17 堅いんだね。
216 :04/08/18 >>214 テンプレやっても、もう殆ど効果のない項目ばかりに見えるが・・・。 それよりも、WMPの再インストールを急がせた方が、 悪化させないためにもいいような気がするよ。
217 :04/08/18 >>216 このエントリは、WMP書き換えるウィルスじゃなくて、ただのダミーファイルだよ。 >O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\WMPLAYER.EXE >O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\WMPLAYER.EXE 本当のWMPファイルのパスは、これのはず(人によって多少違うかもしれないが) C:\Program Files\Windows Media Player\wmplayer.exe >>99 の時は、ファイル名が「internst32.exe」といういかにもシステムファイルっぽいダミーになっているだけ。 おそらく今回のWMPLAYER.EXEと中身は同じはず。エントリの内容も全く同じだし。 (ぶっちゃけた話、このFix指示と一緒になんでWMPの再インストール薦めてるの?ってのも謎だったんだけど) テンプレやって効果のない項目ばっかり?嘘言っちゃいけないよ。 >O2 - BHO: BHObj Class - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\NEM218.DLL >O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\NEM219.DLL >O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll >O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm >O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm 少なくともこの辺は、SpybotとかAd-awareで検出・駆除できる項目のはずだよ。まだあるかもしれない。 CW.Yexeは、上の[xpsystem]があると駆除しても復活するエントリだから、アンチウィルスソフト次第では除去できるかもしれないなという感じ。 (あるいは、Spybotが確か8/10のアップデートで対応していたから、もうテンプレ作業で駆除できるのかもしれない)
218 :04/08/18 HijackThis見るやつは結局アホばっか ttp://higaitaisaku.web.infoseek.co.jp/cgi-bin/cbbs.cgi?mode=all&namber=38640&type=0&space=0&no=0
219 :04/08/18 >>218 個人情報がだだ漏れですね。 まあ、アホが表面化し易いだけで、出来る人は沢山居ますよ。
220 :04/08/18 エロサイトスレから、情報部分のみ転載 http://pc6.2ch.net/test/read.cgi/pcqa/1092133896/471-473 症状:オレクシスという広告が出てくる。 CWShredder、Ad-aware、Spybotでも除去できない。 原因と思われるエントリ: >O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNrd.dll (参考:http://computercops.biz/clsid-1257.html ) >O4 - HKLM\..\Run: [SysFu32 Windows Updater] sysfu.exe >O4 - HKLM\..\RunServices: [SysFu32 Windows Updater] sysfu.exe
221 :04/08/18 エロサイト見たらスレでJAVAスプリクトが使えなくてフォルダの中身が表示されないと言っていた者です。 スキャンして見たので解析お願いします。 Logfile of HijackThis v1.98.0 Scan saved at 21:04:41, on 2004/08/18 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\SYSTEM\ATI2EVXX.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\HKEYMAN.EXE C:\WINDOWS\PCTVOICE.EXE C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
222 :04/08/18 C:\WINDOWS\SYSTEM\ATI2CWXX.EXE C:\PROGRAM FILES\MOUSEWARE\SYSTEM\EM_EXEC.EXE C:\WINDOWS\LOADQM.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\PROGRAM FILES\CANON\MULTIPASS4\MPTBOX.EXE C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE C:\PROGRAM FILES\PANASONIC\BTNUTIL\ABTNMON.EXE C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE C:\WINDOWS\SYSTEM\MPS.EXE C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\RNATHCHK.EXE C:\PROGRAM FILES\FT6000MS\CONFIG.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\IMEJPMGR.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\PROGRAM FILES\LIVE2CH\LIVE2CH.EXE C:\WINDOWS\デスクトップ\HIJACKTHIS.EXE O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL O2 - BHO: IDN Helper Object - {118CE65F-5D86-4AEA-A9BD-94F92B89119F} - C:\WINDOWS\DOWNLO~1\CNSMIN~2.DLL (file missing) O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [internat.exe] internat.exe O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [Hotkey] C:\WINDOWS\SYSTEM\hkeyman.exe O4 - HKLM\..\Run: [CountrySelection] pctptt.exe O4 - HKLM\..\Run: [PCTVOICE] pctvoice.exe O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe
223 :04/08/18 O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [mps] C:\WINDOWS\SYSTEM\mps.exe /s O4 - HKLM\..\Run: [MPTBOX] C:\PROGRA~1\CANON\MULTIP~1\MPTBOX.EXE O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe O4 - HKCU\..\Run: [ApplBtn] C:\Program Files\Panasonic\BtnUtil\ABtnMon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - Startup: Configuration Utility.lnk O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: ブラクラでヤバいでチェック - C:\Program Files\BCP\check.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
224 :04/08/18 O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.skoobidoo.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.clickspring.net O16 - DPF: {B469C508-9A75-4A62-BFA9-62802D653A4B} (HanGamePluginJP15 Class) - http://down.hangame.co.jp/jp/dist/hgstart/HanGamePluginJP15.cab O16 - DPF: {2C079F28-EE92-4700-A44B-AF5FA285FCCA} (HanGamePluginJP16 Class) - http://down.hangame.co.jp/jp/dist/hgstart/HanGamePluginJP16.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28177.cab O16 - DPF: Yahoo! JAPAN MahJong Solitaire - http://tmp05.ops.mci.yahoo.co.jp/yog/yj/mjst3_x.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28578.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28578.cab O16 - DPF: {B74F5519-5893-4F7F-974D-96E105A3C3A8} (KingDomLauncher Class) - http://www.hangame.co.jp/publish/do/HgDO.cab O16 - DPF: {924DDE3B-68F6-49E8-B469-33FB198EDD73} (SagaLauncher Class) - http://www.hangame.co.jp/publish/bd/HgBD.cab O21 - SSODL: AUHook - {BCBCD383-3E06-11D3-91A9-00C04F68105C} - C:\WINDOWS\SYSTEM\AUHOOK.DLL 以上です。
225 :04/08/18 >>221 エロ助の何番のレスがこのスレへの誘導になってるんだか教えてくれよ その前後のやりとりを見ないといきなりログ貼られてもだわ・・・ それと 150 名前:145 投稿日:04/08/15 01:05 ID:db4A+bCg アンチウィルスソフトは入ってないので入れてみます。 この件はどうなってるんだ?入れてみたけど出してみたのか?
226 :04/08/18 >>221-224 さん http://pc6.2ch.net/test/read.cgi/pcqa/1092133896/145 の人ですよね。 あっちでアンチウィルスソフト入れればってアドバイスしてるのは実は私なんですけど。 でも、アンチウィルスソフトを入れた形跡はないですよね。 あと、向こうのテンプレでいくつかソフトが紹介されてますよね。それもやってないですよね。 >>225 さんじゃないけど、「え?」って感じですよ。アドバイスされた事はまずやりましょうよ。 予想通りと言うか、ウィルスに感染してますよ。まずはアドバイスされた事をやって下さい。
227 :04/08/19 >>220 推測で書くのはよくない。ここを見なさい。 下はエロ助スレ411さんの発言からのソース。 オレクシスの広告 ttp://higaitaisaku.web.infoseek.co.jp/cgi-bin/cbbs.cgi?mode=all&namber=39029&type=0&space=0&no=0 この掲示板発言の■39407のかずさんの発言を参考にしてみてください。 下はかずさんの発言のみのURL ttp://higaitaisaku.web.infoseek.co.jp/cgi-bin/cbbs.cgi?mode=one&namber=39407&type=39029&space=75&no=0
228 :04/08/19 >>227 のデータを参照にして照らし合わせてみると、 O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNrd.dll おれはオレクシスに間違いなさそうです。 これはちょっと違うものの可能性が高そうです。 O4 - HKLM\..\RunOnce: [sysfu32.exe] G:\WINDOWS\system32\sysfu32.exe O4 - HKLM\..\Run: [SysFu32 Windows Updater] sysfu.exe O4 - HKLM\..\RunServices: [SysFu32 Windows Updater] sysfu.exe ソースになるかは分かりませんが・・・・。 ttp://www.google.co.jp/search?q=cache:UTQ1dH5LwrsJ:board.protecus.de/showtopic.php%3Fthreadid%3D10981+SysFu32&hl=ja&inlang=ja ttp://www.google.co.jp/search?q=cache:OXO9dJtrpSMJ:www.frankn.com/Forum/thread1969.html+SysFu32+Windows+Updater&hl=ja&inlang=ja
229 :04/08/19 >>227 当然そこを確認した上で書いてますよ。そこを見た上での結論です。 (そこを見て、02エントリをFixしただけでは復活してしまうというのがわかる) エロサイトスレで相談されていた方は、テンプレをきちんとやってらっしゃったので 深刻な問題エントリと思われるところはその02・04エントリのみでした。 これは推測ですが、おそらく04エントリのものはランダムネームで作成される ものと思われるので、人によって04エントリのファイル名が異なる可能性があります。 あと、オレクシス関連はまだデータがないから、推測で書くなと言われると 誰も何も書きようがないんですけど。 >>228 検索した時にそこのドイツ語フォーラムに辿り着いたんですけど、 逆に言うと「ドイツ語フォーラムでしか発見できないファイルが、なんで 日本人のパソコンにあるんだ?」って思いますよね。 そういう理由でsysfu32.exeってのが臭いな、という結論に達したわけです。
230 :04/08/19 >>229 >>277 の上のURLの患者さんのデータには O4 - HKLM\..\RunOnce: [sysfu32.exe] G:\WINDOWS\system32\sysfu32.exe O4 - HKLM\..\Run: [SysFu32 Windows Updater] sysfu.exe O4 - HKLM\..\RunServices: [SysFu32 Windows Updater] sysfu.exe に該当するものが全くないし、 O4 - HKLM\..\RunOnce: [sysfu32.exe] G:\WINDOWS\system32\sysfu32.exe 前からこれは日本でもHome Search Assistentの患者に割かし、 多く見られるエントリー。結論急いで間違ったらなんにもならんて。 自己満足ならそれでいいかも知れんけど ちゃんとしたデータなら第3者がみても完全に納得するくらいのデータじゃないと。 とりあえず>>228 さんのような人が出てくるようなデータでは完全には、程遠いとおもうんだけど。 それと最近気が付いたのですが、 O21 - SSODL: System - {4A32B3BC-69F6-432F-AA48-7DCEE26E5753} - C:\WINDOWS\system32\system32.dll これは、search.bizのエントリーではなくsecure.htmlかも知れないです。 ttp://higaitaisaku.web.infoseek.co.jp/removereg32.html
231 :04/08/19 >>230 >O4 - HKLM\..\RunOnce: [sysfu32.exe] G:\WINDOWS\system32\sysfu32.exe >前からこれは日本でもHome Search Assistentの患者に割かし、 >多く見られるエントリー。 じゃあ、どっちにしろ問題のあるエントリじゃん( ´_ゝ`) Fix指示を出す事に変わりはない。 それから、ここはサイト被害対策の部屋のHJTデータベースじゃないんだから、 誰が見ても納得するスパイウェア1つ1つのデータを作る必要性なんて、これっぽっちも感じない。 「HijackThisで、どれが問題あるエントリで、どれが問題のないエントリなのか」を見分けられる 情報があればそれで十分。
232 :04/08/19 >>230 「***search.biz (HJT DATABASE)」 ttp://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=3
233 :04/08/19 >>231 別のものだった場合対処法が大きく異なる可能性があるためです。 Fixする前にコントロールパネルから安全に削除できるなら、 それに越したことはないでしょ? >>232 確かにそうなんです。だから確信はないのですが。 例えばこの患者の例を見てみてください、 http://pc6.2ch.net/test/read.cgi/pcqa/1092133896/490 この患者はsecure.htmを患っていたようなのですが、 オンラインスキャンでWINDOWS\SYSTEM32\system32.dll の感染が分かりsystem32.dllを削除したら治ったそうです。 また最近【サイト被害対策の部屋】の掲示板を、 ROMっているとsecure.htmの症状の患者に今までのエントリーではなく O21 - SSODL: System - {4A32B3BC-69F6-432F-AA48-7DCEE26E5753} - C:\WINDOWS\system32\system32.dll これが多く見られるようになったことなんです。 確かに推測ですから今のところは患者と対話して 調べてみるのが一番いいと思います。
234 :04/08/19 あー、理解した。227氏=向こうのスレの「399 ◆qrpWVXxb/A」氏ですね。 私は向こうのスレの435ですよ。 >>233 の指摘通り、オレクシスの人は確かにコンパネからの削除やったとは書いてないですね。 ttp://pc6.2ch.net/test/read.cgi/pcqa/1092133896/463 Fixする前にコンパネからの削除ができるならそれに越した事はないのはおっしゃる通り。 というわけで>>220 をちょっと訂正 オレクシスの広告の原因エントリ(ただしこのエントリのみFixしても復活する) >O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNrd.dll (参考:http://computercops.biz/clsid-1257.html ) 詳細不明の有害エントリ >O4 - HKLM\..\Run: [SysFu32 Windows Updater] sysfu.exe >O4 - HKLM\..\RunServices: [SysFu32 Windows Updater] sysfu.exe
235 :04/08/19 あと、「患者との対話」に関して個人的な意見 エロサイトスレで相談してきた人の場合、結局アンチウィルスソフトさえ入れていれば あっさり解決できた可能性が高いですし、入れていなくてもオンラインスキャンさえやってれば 相談するまでもなく解決していた可能性が高いじゃないですか。 そういう人と対話して情報を得ても、情報価値は低いと思うんですよ。 何故なら、「普通の人は、相談してきた段階で、アンチウィルスソフトを入れるなり、 少なくともオンラインスキャンは終えて相談にきているから」です。 2ちゃんねるでは、既出の話題って情報価値がないと思うんですよね。 対話方式で解決とかは、どちらかというと被害対策の質問掲示板みたいに、 「1つのスレッドで1つの質問」の形式のところでやって欲しいと思う訳ですよ。 「テンプレ全部やってから相談しる!」と私が野次を飛ばすのは、「既出の情報」を できるだけ減らすためなんです。 (だから、テンプレをやり終わらないうちにFix指示は絶対に出さず、テンプレ作業が 終わったら初めて取りこぼしてないかどうかを確認する意味でFix指示を出す、って感じですかね) 対話方式の解決ってのは、間違いとは言いませんが場所違いなんじゃないか?と思います。
236 :04/08/19 ◆qrpWVXxb/Aこのコテって確かあの時の 相当昔の人だな 曜日の人や天麩羅屋もいなくなってしまったのにまだ診断していたとは 相当のお人よしから推測するに下でオケー 初めてコテ付けた時も相当なお人よしだったしw ◆qrpWVXxb/A = 531=532=533=544氏
237 :04/08/20 現段階でもSpHjfixでしかHome Search Assistent完全にははなおせないぽいな >>236 そういえば曜日の中の人いなくなるあたりから 急にスレの方向性が変わったような気がするよ アホ回答や罵声ばかりでほとんどネタスレ
238 :04/08/20 >>235-236 署名なのに正体ばれてる・・・○| ̄|_ HijackThisの分析もいいけど本来の基本的な使い方を一つ。 システムが整え終わって健康の状態で導入して、 スパイウェアに感染する前に08と018以外(復活するため)の全ての項目に、 チェックを入れて右下のAdd checked to igonorelistを押して、 安全な項目をすべて無視リストに登録しておく。 その状態でScanすると、追加されたエントリーと残したエントリー以外は表示されなくなる。 そうすることで新たに追加された悪玉エントリーが分かりやすくなるだけでなく、 Fixする項目を間違う可能性もかなりの確立で減らせる。 これから導入しようと思っている健康な人にお勧め。
239 :04/08/20 >>238 ( ・∀・)つ〃∩ ヘェーヘェーヘェー あれですよ、たまにコテと見ると見境なく噛み付く人がセキュ板にもPC初心者板にもいるんで、 そんな人が出てきたら臨機応変に名無しさんでよろしくです。 実はSpywareBlasterのCustomBlockingList作ってるの私なんですけど、 今日ハッケソした外部CustomBlockingListに、>>213 のこのCLSIDが入ってました。 >O2 - BHO: DAPBHO Class - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\PROGRAM FILES\DAP\DAPIEBAR.DLL どうも、やっぱりDAP関連のエントリは灰色っぽいですね。 他にもGo'zillaとかその辺のもそのリストには入ってるんで、もしかしたらスパイウェア入りの ダウンローダーなのかもしれないなーと思いました(と言っても確定情報はないですが)。
240 :04/08/20 >>239 ttp://higaitaisaku.web.infoseek.co.jp/blockdownloader.html これの製作者のadultさんかいな?
241 :04/08/20 >>240 ちゃいますー 今SpywareBlasterスレで、外国のCustomBlockingList2つと、サイト 被害対策の部屋のCustomBlockingListの3つの免疫項目を合計した、 CustomBlockingListを作ってるんです。(免疫数は8/20現在、626個) キッカケはこのスレの>>177 さんの情報だったりしますが。
242 :04/08/21 >>236 曜日の人懐かしいねぇ〜、エロ助けスレの黄金時代ですな。 >>238 さんも懐かしいねぇ〜確か珍○○コテだったけかな?
243 :04/08/21 http://pc6.2ch.net/test/read.cgi/pcqa/1092133896/l50 の715です。 鑑定よろ。 Logfile of HijackThis v1.98.0 Scan saved at 6:27:00, on 2004/08/21 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\SYSTEM\ATI2EVXX.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAM FILES\RSNET\RSEDNCLIENT.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\RESTORE\RSTRUI.EXE C:\MY DOCUMENTS\HIJACKTHIS\HIJACKTHIS.EXE C:\WINDOWS\SYSTEM\IMEJPMGR.EXE
244 :04/08/21 再起動するたびにカジノのショートカットがデスクに自動追加&IE自動立ち上げされます。 O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAM FILES\FLASHGET\JCCATCH.DLL O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_JA_1.1.62-DELEON.DLL O4 - HKLM\..\Run: [internat.exe] internat.exe O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
245 :04/08/21 再起動するたびにカジノのショートカットがデスクに自動追加&IE自動立ち上げされます。 O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAM FILES\FLASHGET\JCCATCH.DLL O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\SYSTEM\services\2.01.00.dll O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_JA_1.1.62-DELEON.DLL O4 - HKLM\..\Run: [internat.exe] internat.exe O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
246 :04/08/21 上の誤爆でした。 O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe O4 - HKCU\..\Run: [Red Swoosh EDN Client] C:\Program Files\RSNet\RSEDNClient.exe O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE O8 - Extra context menu item: FlashGetでダウンロード - C:\PROGRAM FILES\FLASHGET\jc_link.htm O8 - Extra context menu item: FlashGetで全てダウンロード - C:\PROGRAM FILES\FLASHGET\jc_all.htm O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_JA_1.1.62-DELEON.DLL/cmsearch.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_JA_1.1.62-DELEON.DLL/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_JA_1.1.62-DELEON.DLL/cmsimilar.html O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_JA_1.1.62-DELEON.DLL/cmbacklinks.html O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAM FILES\FLASHGET\JETCAR.EXE O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAM FILES\FLASHGET\JETCAR.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.skoobidoo.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.clickspring.net O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/ja/deleon/1.1.49-deleon/GoogleNav.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/jp/win/QuickTimeInstaller.exe
247 :04/08/21 O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_01) - O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) - O16 - DPF: Yahoo! JAPAN Shogi - http://yog37.games.mci.yahoo.co.jp/yog/yj/shgt4_x.cab O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.187.110/winsearchie32.chm::/winsearchie32.exe O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://c:\nosuch.mht!http://www.awmdabest.com/bltd/124.chm::/file.exe O18 - Protocol: ndwiat - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\SYSTEM\WIASCR.DLL O18 - Protocol hijack: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B} O18 - Protocol hijack: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B} O18 - Protocol: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\SYSTEM\urlmon.dll O18 - Protocol: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\SYSTEM\urlmon.dll O18 - Protocol hijack: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B} O18 - Protocol hijack: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} O18 - Protocol: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\SYSTEM\urlmon.dll O18 - Protocol: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\WINDOWS\SYSTEM\urlmon.dll
248 :04/08/21 最後かな。 O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL O18 - Protocol hijack: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} O18 - Protocol: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\SYSTEM\MSHTML.DLL O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\SYSTEM\MSHTML.DLL O18 - Protocol hijack: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\SYSTEM\ITSS.DLL O18 - Protocol: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - C:\WINDOWS\SYSTEM\INETCOMM.DLL O18 - Protocol: msdaipp - (no CLSID) - (no file) O18 - Protocol: vnd.ms.radio - {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINDOWS\SYSTEM\MSDXM.OCX O21 - SSODL: AUHook - {BCBCD383-3E06-11D3-91A9-00C04F68105C} - C:\WINDOWS\SYSTEM\AUHOOK.DLL O21 - SSODL: OLE Automation Module - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - (no file)
249 :04/08/21 何が何やらサッパリ分かりませんがよろしくお願いします。
250 :04/08/21 >>243-249 向こうのスレで野次が飛んでいると思いますが、多分あなたはその意味が 理解できていないと思うので、わかりやすく解説。 (1)アンチウィルスソフトが入っていません。 せめてオンラインスキャンぐらいやってみて、ウィルスとして検出されるものが ないかどうかを確認してみてください (2)>SPYBOTは元のページから落とせません。 Spybotは色々なページにミラーサイトがあります。検索して別のページから 落としてみて駆除してみてください。 (3)Ad-awareは、Ad-awareSEを使ったのか、Ad-aware6を使ったのかわかりませんが、 もしAd-awareSEを使っていないのなら、Ad-awareSEを使ってみてください。 Fix指示を出すのは、上の3つが終わってからで。
251 :04/08/21 蛇足 >O4 - HKCU\..\Run: [Red Swoosh EDN Client] C:\Program Files\RSNet\RSEDNClient.exe http://www.pestpatrol.com/pestinfo/r/red_swoosh.asp http://computercops.biz/startuplist-2991.html あなたはP2Pソフトを使えるようなセキュリティじゃありません。 「Flashget」「スパイウェア」で検索した結果 http://www.google.co.jp/search?hl=ja&ie=UTF-8&q=FlashGet+%E3%82%B9%E3%83%91%E3%82%A4%E3%82%A6%E3%82%A7%E3%82%A2&btnG=Google+%E6%A4%9C%E7%B4%A2&lr= >「アプリケーションの追加と削除」に怪しい名前は見当たらないようです。 あなたは自分で入れた覚えがあるからそう言っているんでしょうけど。 上の2つは、アプリケーションの追加と削除から必ずアンインストールする事。
252 :04/08/21 順番としては、先に>>251 「アプリケーションの追加と削除」 その後、>>250 のエロサイトスレのテンプレ作業の残り 念のため確認。
253 :04/08/21 >>ALL 関係ない話かもしれませんが、 正直自分も最近、私事が忙しく引退を考えています。 そこで手見上げもって来ましたw http://pc6.2ch.net/test/read.cgi/pcqa/1092133896/831 >>242 そうですw ノシ もしかしてコテ譲ってくれた方ですか?あの時はどうもですw エロ助けスレの黄金時代は本当に懐かしいですね。 曜日の人は要ないと要るでは確かにスレの空気が全然違いますね。
254 :04/08/22 >>250 さん レスサンクスです。 spybotを落として使って駆除しました。その前にもAd-awareSE使いました。あとは で、トレンドマイクロのオンラインスキャン使ったら感染ファイル数983。 駆除可能でないのがTROJ_ECURE.Aとそれに似た名前の物がほとんど。あとの駆除可能なものがVBS_REDLOF。 REDLOFは駆除ソフト持ってて駆除していたんですが”失敗”するのが一つありました。 あとflashgetはスパイウェアだったんですね。ダウンロード履歴を送信してるんですかね? 早いんで重宝してるから消したくないんだが、消さなければ駄目ですかね? Ad-awareSEで、何回やってもcoolsearchwebが出ます。さらに放って置くとソフトを落とすポップアップが出て困る。 カジノのIEも勝手に立上がるんですが・・・。 感染ファイル多すぎですね。
255 :04/08/22 >>254 ええと、あなたはいろんなとこに書き込むのやめてくれませんかね?
256 :04/08/22 ∧ ∧ / ヽ ./ .∧ / `、 / ∧ /  ̄ ̄ ̄ ヽ まぁ、いいじゃないですか /::::::::: .\ 大目に見てあげましょう。 /:::::::::: ヽ-=・=-′ ヽ-=・=- ∧/ ∧ ヽ::::::::::: \___/ / ヽ / ヽ ヽ:::::::::::::: \/ / ヽ_____/ ヽ / / \ | / ヽ | '''''"´) ● \─/ ● |'´) \ -‐´ ヽ/ /´ | | \ /
257 :04/08/22 >>254 エロサイトスレに書きこんでたからそっちでレスしたぞ ここはお前の日記帳じゃ(AA略
258 :04/08/22 >>242 と >>◆qrpWVXxb/A 黄金時代というより、 佐世保の地雷による地獄な日々じゃないのかw たしかに懐かしいことは確かだが
259 :04/08/22 >>257 残念ながらウイルススレにも・・・
260 :04/08/22 例の佐世保の地雷ふんじゃったみたいなんですけど助けてください。 って書かれただけの質問が相次いだ時期か・・・。 あの頃は回答者も質問者も本当に地獄だった。 そんな状態のほとんど荒らしの回答者に回答していた 珍○○コテは実は荒らしコテハンw サッカー始まったんでそっちみますなんてやつの ログを診て治療していたしwww >>253 上に書いたのは半分冗談として 引退するならしょうがないけどもし継続して診断するのなら そのコテは頃合をみて捨てなよ やっぱそのコテはまずいってwww
261 :04/08/23 ここの人は親切過ぎるな。 お人好し過ぎて自分が疲れてしまうタイプ。 今は自分の勉強を兼ねているからいいんだろうけど、 大半が無駄な書き込みばかり。 このままじゃ続かないよ。
262 :04/08/23 ここは>>1 の日記帳みたいなもの。独りよがりな行動で 人が寄ってくると思っている。だから叩かれる。
263 :04/08/23 ここの分析師は精神分裂症みたいな発言が多くて危ういな この辺りはやり取りは特にそう感じざるえない >>220 >>227-234 正直読んでみると安全に治したいのかFixしまりたいのか分からない といってもレジストリを弄るよりFixはそんなに神経質になる必要ないわけだが 再起動後に問題があればRestoreで簡単に戻せるわけだし しかし正常のエントリーを見わける方が大変とはよくいったものだ ブランクがあると02のBHO関連は殆ど黒に見えてくる
264 :04/08/23 >>263 >O4 - HKLM\..\RunOnce: [sysfu32.exe] G:\WINDOWS\system32\sysfu32.exe >O4 - HKLM\..\Run: [SysFu32 Windows Updater] sysfu.exe >O4 - HKLM\..\RunServices: [SysFu32 Windows Updater] sysfu.exe テンプレも全部やっている(と確認できる)にもかかわらず、 HijackThisにこの項目がある場合には、Fix指示でOKでしょ。 あくまでも「オレクシス」のものかどうかはまだ不明ってだけで。だから>>234 で訂正。 というか、後で読み返してみたら>>230 が言ってる事はおかしいな? この04エントリが仮に「Home Search Assistant」関連エントリの可能性が あるんだとしたら、コンパネから削除なんてやっちゃダメじゃん(;´Д`)
265 :04/08/24 レベル低いぞここ。外国のフォーラム2、3年ROMってろ
266 :04/08/24 >>265 ま、言うだけなら誰でもできるからな
267 :04/08/25 >>264 236の発言はちょっと失礼だったね >>230 は断言してないところをみると 多く見られるとはグループで出てくるという意味だろう・・・たぶん 全然関係ないものでも複合感染した時によくグループ見かけるエントリーがある Home Search Assistantっとよく一緒に見かける Home Search Assistantのエントリーだ 意味では上の方で下の方ではないと思う 誰かの作成したデータを丸々使うなら別だが 灰色のデータや未知のデータを探るのはかなり困難なものだよ(現実に生贄が必要) それが嫌で引退したのだけど 現役でやっている人は尊敬するよ 頑張りな
268 :04/08/25 >>267 そういえばHome Search Assistantも生贄がいて、 実際本家でも海外でもコンパネから削除してログ取り直して あれ?ってことで有名になったんだったな。(しぶと過ぎる凶悪さもあるが) Home Search Assistantのエントリーで ハッキリしているのは日本語環境では意味がないが、 R1とR2のエントリー(かなりうろ覚え、参考にしちゃ駄目)で 後は確かほとんどランダムネーム しかしなんで日本のログにはR1、R2、020あたりが出ないんだ! 最近の凶悪なやつはここらなのに・・・。 本当アッタマクル
269 :04/08/25 Home Search Assistantは日本では治せないの?
270 :04/08/25 >>269 治せると思うよ一応 治った人いるみたいだし あそこの住人だから思うのだけど ところでこのスレを今一番必要としているのは ダウソ板の住人かも知れないw 本家ではny使いの治療は御法度だけど、 今ny関係のウイルスに一番興味があるんだよな実はwww
271 :04/08/25 >>270 生贄さがしですかwwwwww たしかにny関連のウイルスの治療って、 もともとny自体が日本に密着したものだから、 日本語環境独自のエントリーの収集にはもってこいかも知れませんね。 やっぱり一応はセキュ板と本家の法律で御法度なんだろうけどw
272 :04/08/25 >>270 ny関連を直すと、野次馬がうるさそーだなぁってのが心配なんだよね。 実際には、nyのウィルスだのトロイだのってのは、おそらく日本で最先端(?)の ウィルスなりトロイだろうから、HijackThisエントリで出てくるのか出てこないのかとか、 SpywareBlasterとかで防げるのかとか、そういうのは見てみたいってのはある。 (被害対策の部屋のデータベースや掲示板には、建前上絶対出てこないわけだしね) でも、nyやってるのにアンチウィルスソフトも入ってなければ、 CWShredderもSpybotもAd-awareもやった形跡がないってのは勘弁だな。 そんなもん感染して当たり前だし、そんな知識でnyやるのは100年はえーって事で。
273 :04/08/25 >>271 生贄さがしではなく 実験体ですよwwwwww すみませんジョークです >>272 【警報】Winnyを狙ったワーム・ウイルス情報 Part25 http://tmp4.2ch.net/test/read.cgi/download/1093270545/ この板の過去スレや今のスレ除いてみw セキュリティ対策は別にしても ひっかっかるのも個人の問題としても アンチウィルスソフトがいかに無力か分かる時があるwww あとHijackThisには必ず出ると思うよ あやしいプロセス走ってることがほとんどだしwww アンチウイルスやCWShredderもSpybotもAd-awareやっちゃったらもったないジャン 分かる機会を1つ失っちゃうしwww(一つの考え方としてねw)
274 :04/08/25 いっそあれだ。「エロサイト見たら・・・助けて下さい」スレの姉妹スレとして 「nyやってたら・・・助けて下さい」スレ@Download板 を立ててみて、nyユーザーのサンプル取ってみるか? で、サンプルが集まったらこのスレへ持ってくる、みたいな感じで。 >>273 うーん、でもテンプレで直る範囲のものは、見ると「またこれかよ(;´Д`)」になるぞ。 nyやってる連中は、テンプレやってもすり抜けそうな強力なのを持ってそうだ。
275 :04/08/25 268 = 263 ?
276 :04/08/25 >>275 違うすまん>>268 にレスしようとして 名前欄に2人のレスアンカーをメモっといたら そのまま確かめずに記入してしまったようだ >>273 の268は = 自分263 本物の268すまぬ m(_ _)m そういえばかなり前にもこんなミスしたっけ しかもHijackThisの回答で患者の名前の数字書いて回答しちゃってwww あの時はさすがに血が引いたwwwwww >>274 あんまりスレ増やすと荒らしと間違われるから それはやめといたほうがいいかもね それにもうとっくの昔に俺引退しているしw
277 :04/08/27 ちょっと下がりすぎなんでネタ提供。 HijackThisを提供しているMerijn.orgが、ミラーサイトに一時避難中です。 ミラーサイト http://www.richardthelionhearted.com/?url=merijn.richardthelionhearted.com 前から提供されているツールですが、HijackThisで解析する人にとって、 ここでダウンロードできる「BHOList」はかなり有益なツールです。 Tony Kleinの提供するBHOList、ToolbarListをダウンロードして一覧表示 できますので、ゾヌフィルター使っている人はこのデータを入れるとさらに良くなるかと。
278 :04/08/29 http://pc6.2ch.net/test/read.cgi/pcqa/1093140773/845-852 気になるエントリが1つ。 >O4 - HKCU\..\Run: [Tars] C:\Documents and Settings\Owner\Application Data\utwb.exe このエントリ、どうも怪しいのだがググっても情報が出てこない。 http://www.google.co.jp/search?hl=ja&ie=UTF-8&q=Tars+utwb.exe&btnG=Google+%E6%A4%9C%E7%B4%A2&lr= 気になっているのは、このエントリの出ている人が全員富士通のパソコンであること、 何らかのプレインストールソフトが入っていることだ。 できれば、Tarsエントリのある人の情報をもらいたい。
279 :04/08/29 [Tars]についてわかっている事を整理 1.富士通のプレインストールパソコンに入っているエントリらしい 2.ノートンではアドウェアとして検出されるらしい(>>111 )、ただし検出名不明。 3.プロパティで調べても会社名は不明だが、何らかのプラグインらしい http://www.google.co.jp/search?q=cache:NB4tFRnl5wwJ:higaitaisaku.web.infoseek.co.jp/cgi-bin/cbbs.cgi%3Fmode%3Dal2%26namber%3D16570%26rev%3D%26no%3D0%26KLOG%3D21+Tars+utwb.exe&hl=ja こちらで情報を得たいものは (1)何のプラグインソフトなのか? (2)Fujitsuのパソコンにプレインストールされているものなのか? (3)心当たりはあるか?(nyやってた、エロサイト見たなど) (4)症状として具体的に飛ばされるページはどこか? (5)その他気になる点などなど よろしくお願いします。
280 :04/08/29 ∧_∧ / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ∧( ・3・) < (・3・) エェー よいこの質問待ってるYO! ∧( ⊂ ⊃ \_______ ∧( ( つ ノ ノ ∧( ( つ (__)_) ∧( ( つ (__)_) ∧( ( つ (__)_) ∧( ( つ (__)_) ( ( つ (__)_) ( つ (__)_) | (__)_) (__)_)
281 :04/08/30 ∧∧∧∧∧∧ ∧ ( (・( ・(・ ( ・3( ・3) (つ(つ/つ// 二つ ハァ─) .| /( ヽノ ノヽっ ─・・・ ∪∪とノ(/ ̄ ∪ ∧ (( (\_ ∧ ∧ ∧ ∧ 3)っ ⊂`ヽ ( ・3・) _)3・) ) ノノ よい子の質問 ヽ ⊂\ ⊂ ) _つ スゥ──(/( /∪∪ヽ)ヽ) ノ ── ∪ ̄(/ ̄\) (\ ∧ ∧ カッ < `( ・3・) 待ってるYO \ y⊂ ) / \ ∪ ̄ ̄ ̄\)
282 :04/08/30 回答者向け整理情報 http://pc6.2ch.net/test/read.cgi/pcqa/1093816017/191-199 向こうのスレの>>198 のぼるじょあ氏、>>199 の回答者さんへ >O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll ↑オレクシス関連。FixOK >O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\questmod.dll ↑TROJ_MOJIAL.A(http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_MOJIAL.A ) >O2 - BHO: (no name) - {A3DFDA85-1D92-4E28-8C0C-522574ACDC8A} - C:\WINDOWS\System32\msacrohlp.dll ↑Adware.IESP.mht/CasinoPalazzo foistware(http://www.bluestack.org/Iesp.Mht?show_comments=1 ) >O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll ↑eXact Advertising(http://www.doxdesk.com/parasite/BargainBuddy.html ) あと、向こうの>>203 のこの指摘はあってます。TonyKlein's BHO Listにしっかり載ってました。 >203 名前:189 投稿日:04/08/30 21:44 ID:??? >O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll >O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll >O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll > >自信がないのですがeXact Advertisingっと言うものかも知れないです。 >上のリストに合わせて追加しておきます。 > >eXact Advertising >ttp://www.doxdesk.com/parasite/BargainBuddy.html このエントリは情報なしのため不明。 >O2 - BHO: (no name) - {39DF652E-CC4F-26E2-D505-11557CA07441} - C:\WINDOWS\System32\lsktmcol.dll ランダムで作られたエントリなのかな?
283 :04/08/30 参考情報:SpywareBlasterの対応状況 2ch版CustomBlockingListで対応済のもの >O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll >O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\questmod.dll これらは、通常のSpywareBlasterを入れていても、CustomBlockingListを入れていないと防げない。 >>282 のその他のエントリは全て未対応のため、作業場へPickup。 http://jbbs.livedoor.com/bbs/read.cgi/computer/15366/1092108107/25
284 :04/08/31 向こうを見てきたら2つほど見落としてました。未熟です。 自分も未熟者ですが参加していいでしょうか? >O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll >O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll >O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll これなんですがBargainBuddyだと思うんですが >O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll BargainBuddyとこれ(Vx2.BetterInternet)ってセットに出てくることが、 昔から多かったようなきがするんです。 オレクシスとの関係を調べてきたのですが確信が得られませんでした。 どちらにしてもAd-awareで対応していると思いますので新種の可能性もあるかも知れません。 Vx2.BetterInternetには専用の駆除ツールが確かあったと思うので、 試してみればよっかったかも知れません。(回答者失格です・・・) Vx2.BetterInternet駆除ツール ttp://download.broadbandmedic.com/
285 :04/08/31 >>284 02エントリ(BHO)、03エントリ(Toolbar)を検索する場合には、 >>277 のMerijnのミラーサイトからBHOListをダウンロードして使うといいと思いますよ。 TonyKlein's から最新版のリストを自動的にダウンロードしてくれますから。 もう1回検索してみたら、例のオレクシスエントリもちゃんとBHOListに載ってますね(;´Д`) >O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll CLSID: {00320615-B6C2-40A6-8F99-F1C52D674FAD} Status: X - Spyware/Malware Filename(s): localNRD.dll Description: Transponder parasite variant Link: http://www.doxdesk.com/parasite/Transponder.html Merijn偉いなぁ・・・と再認識。
286 :04/08/31 >>282 さん 分析お疲れ様です。これからもよろしくお願いします。m(_ _)m >>284 さん O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll ってVx2.BetterInternet(被害者の部屋データ)関係ですか? たしかに駆除ツールが効くかどうかとか少し気になりますね。 現時点ではFixで患者が治ったようですので>>282 さんの意見で、 取り合えず▲Transponder parasite variantで登録しておきますね。
287 :04/08/31 自分のフィルターですが今思うと02のBHO関係がめちゃくちゃ弱いですね。 ttp://computercops.biz/CLSID.html 上を参考に取り合えずBHO関係をこれから登録してみようと思います。 誤字などの訂正も含めて水曜日にアップしようと思います。(報告までに)
288 :04/08/31 >> ◆qrpWVXxb/A 氏 >>285 で紹介しているMerijnのBHOListは、まさに>>287 の最新BHOList、 ToolbarListを自動で落としてくれる優れものなんですよ。 テキストファイルに一覧保存する事もできます。Merijn偉い! おそらく、これを使って作業されると非常にはかどりやすいかと思います。 参考までに、8/30時点で BHOList937(有害546、正当314、情報があるが未評価70、未知のもの7) ToolbarList422(有害186、正当198、情報があるが未評価35、未知のもの3) これだけの結構な量があるので、あまり無理しない方がいいです(;´Д`)
289 :04/09/01 >>288 BHOListの登録やっぱ無謀だったようです・・・_| ̄|○ 数の方もそうなのですが、dllファイルの名前だけを書いて マル○×判定すれば済むものでないのが沢山あるのが敗因です。 それでも少しは登録しなければ思い登録を始めてます。 それと個人事ですが今日用事が出来てしまい申し訳ないのですが 思ったより完成度の低い形でゾヌフィルターをアップします。 誤字を修正し一応最近のデータを加え、 少しばかり02、03をパワーアップさせたものです。 回答する方や回答者を目指す方や患者で困っている方などに、 自己責任で自由に活用なさってくださると幸いです。 下のロダをお借りしました。 http://www.uploda.org/ 5781.zip
290 :04/09/01 >>289 乙華麗 マイナーなツールに加え重いぞぬ 実際にこのフィルター使ってるのって少なそうだけどなw 向こうのスレにも知らせておいたぞw
291 :04/09/01 >>290 自分で作っておいて何なんですけど、使っている人たぶん少ないでしょう。(w もといいこのツールがゾヌ2を使用した状態でなおかつ 2ch内でしか効果を発揮しないのが一番の原因でしょう。(他にもありますが) もっといい形でHijackThisと連携できたりテキストを張っただけで、 悪い状態が分かるようなエディッター型式のものなら、 使いやすいかも知れません。(作るスキルないし時間もない・・・_| ̄|○) あつかましいですけど誰かが引き継いでくれて、 なおかつ今の型式ではないけど一瞬で結果の詳細が分かるものが理想ですね。
292 :04/09/01 なぜ>>1 はこのスレを立てたんだ? はじめは本家の方のDB登録や初心者向けに 何か協力するものかと思ったが何もしてないし ただHijackThisが見たかっただけなのか? 回答者向けに他所から集めた解析済みの情報を載せるだけなら要らないんじゃん? それと>>1 見つけたwww http://higaitaisaku.web.infoseek.co.jp/cgi-bin/cbbs.cgi?mode=all&namber=3699&type=0&space=0&no=3 >>291 1の見つけ先を見るとだしに使われたのかもなw
293 :04/09/01 >>292 過去のエロスレの流れ見たら、ゾヌフィルターが欲しいだけでこのスレをたてた みたいだな。いささか独りよがりな気があるが、継続していけばいいスレになるんじゃないか? Hijackのログを見ることが趣味のような奴しか集まらないと思うが。
294 :04/09/01 >>292 スレ立てた理由 HijackThisのログ解析で、ミス診断する人をできるだけ減らすため。(自分含む) 質問者もある程度自分でHijackThisログを判断できるようにするため。 当初は提供してもらったゾヌフィルターだけだったが、その後にHijackThisLogFileを発見、 さらにその被害対策のスレではその日本語版を作ってくれる人まで出てきてくれた。 (こういうHijackThis解析ツールが色々出てくる事が、スレ立てた当初からの願いであり狙い) 日本語版解析ページの充実は非常に待ち遠しいし、俺の方で手伝える事があったら手伝いたいね。 解析済情報をここに載せるのは、回答者用。ゾヌフィルター入力項目のピックアップのため。 エロサイトスレでは流れが速すぎてすぐdat落ちするからこっちでピックアップしてる。 HijackThisのログそのものはどうでもいいが、まだ見知らぬスパイウェアエントリは是非見たいね。 被害対策の部屋よりも、ComputerCopsよりも早く情報が2chで手に入ったらカコ(・∀・)イイじゃん。
295 :04/09/01 あとね、本家の方のDatabase登録はね、なんとなく登録しづらいんですよ(;´Д`) 俺は向こうの回答者って訳でもねーし。向こうの回答者の方が登録した方がいいでしょ、って事で。 興味はあくまでも「どのエントリはFixしなきゃいけないものか、どれはFixしてはいけないものか」だけだから どのスパイウェアがどういうエントリなのか、ってのにあまり興味が無いってのもある。 2chと違って向こうは不確実情報は載せられないし、かといって確実と思えるまで2chでは確かめられないし。 HJT databaseは誰でも登録可能みたいだから、俺が登録しなくても住人の誰かが登録すればいいんじゃねーの? 「>>1 は登録しないけど」って言ってる>>292 自身が、HJTdatabaseへの登録が必要と思うなら登録すりゃいいと思うよ。
296 :04/09/01 >>1 お前さんの言葉にはウソが余りに多い しかもかなり独りよがりな意見だ しかもそれが現状のスパイウェアの駆除方法から逸脱している フィルターを使ってみて分かったお前さんは解析に向かない このフィルターは初心者でもいかに安全に駆除させるかに重点が置かれている 例えば下のエントリーが見つかった患者さんにお前さんはなんて答える? Fixしろか?テンプレやれか?結果が見えてるから分かると思うが O2 - BHO: BHObj Class - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\NEM218.DLL O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\NEM219.DLL
297 :04/09/01 >>296 http://higaitaisaku.web.infoseek.co.jp/cgi-bin/ht/database.cgi?cmd=dp&num=2 ってことは、こうやって考えられるよね。 ・コンパネからの追加と削除をやってない人(=テンプレをやってない人)なのかな? ・駆除してもBridgeなどでまた再インストールされてしまっている人なのかな? で、まずテンプレをやっていれば当然出てくるべきエントリを探してみる。 O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL ←Spybotはやったかどうか? 04エントリに出てくるアンチウィルスソフトのエントリはあるかどうか? アンチウィルスソフトは古いものではないかどうか?最新の定義にできるものか? オンラインスキャンだけなら、16エントリにオンラインスキャンのエントリはあるかどうか? CWShredderで駆除できるはずの、CWS系エントリはないかどうか? ↑この辺のチェックで引っかかる場合には、「テンプレ本当にやった?」と確認し、回答を一旦ストップ。 (>>192-198 → >>203 がいい例ですかね。) テンプレをやっても再度復活してしまう、コンパネから何度削除しても復活してしまう、 こういう場合はやむなくFixして対処するしかないでしょ。 と言ってもこの種のは他のスパイウェアエントリが04とか16にあるはずなので、 他にも怪しいエントリがないか調べてからの話ですけどね。 回答者によって色々な思想があるだろうけど、俺の場合はこういう感じで見てますよ。
298 :04/09/01 蛇足ですが >>296 のように、一部のエントリだけピックアップされて、「Fixしろか?テンプレやれか?」と問われても 実際にテンプレをやったかどうかのデータがない状態じゃ、回答しようがないですぜ。 「テンプレやれ」という指示を出すのは、「テンプレをやってない」のがHijackThisからわかるからですぜ、旦那。 「木を見て森を見ず」って言葉があるけど、そうならないようにご注意を。
299 :04/09/02 >>294->>298 治療する意思が全く見えね〜〜〜www しかも言ってること矛盾だらけだw やっぱり何のためにHijackThisがあるかもう一度 はじめから考えた方がいいぞw ログそのものがどうでもいい奴がこんなスレ立てるわけがないしw ウソと本当を見抜くツールでないことは確かだwww
300 :04/09/02 Fixするだけの話で持っていくけど 解析なんかしなくてもログのFix場所なんて 経験つめば確か見ただけで分かるんだよな もちろんその場合なんのスパイウェアか 分からない事が多いのは断っておく それとこのフィルターを作った奴は何のために作ったんだ 事細かくスパイウェアの名前まで表示されるし 亀レスでも良いから本人に真相キボンヌ
301 :04/09/02 >>291 連投になって悪いが お前に本気で言いたいことがある 正体もはじめのフィルター自体の 中身の記載を解析してみて大体分かった 上では真相キボンヌとふざけて書いたが 何かこれ自体に目的があったんじゃないのか? 待ってるから本気で返信たのむわ
302 :04/09/02 >>299-301 あなたが「治療する意思が全く見えね〜〜〜www」って思うのは、 多分単純にあなたと俺の考え方が全く違うからだと思うよ。 >Fixするだけの話で持っていくけど そもそも、Fixするだけで治療しようなんてこれっぽっちも思ってないし。 HijackThisはできるだけ使わずに済むように「テンプレの各ソフトやろーね」って言ってる訳で、 それでも解決しないもんは、しゃーないからHijackThisでFixするって感じかな。 (で、質問者がHijackThisのログを貼る前に、ゾヌフィルターなりHijackThisLogFileで判断できて、 それで自分で治せればさらにいいことだよね、って事でこのスレの存在意義があるわけで。) 「HijackThis1本で俺の技術があれば何でも治せるよ」って人は、このスレ見ても時間の無駄だと思うよ。 それだけの技術があるなら、2chごときで吠えてないで被害対策の部屋で回答者でもやったらどうですか、ってね。
303 :04/09/02 コマンド名 BHO検索 実行コマンド http://www.sysinfo.org/bholist.php?filter=$TEXT&count=&type= コマンド名 StartupList検索 実行コマンド http://www.sysinfo.org/startuplist.php?filter=$TEXT&count=&type= 参考ツール HJTHotkey - 選択文字列(CLSID,BHOファイル名)をホットキーで検索。オフライン検索が便利。 http://hometown.aol.co.uk/jrmc137/HJTHotkey/
304 :04/09/02 コピット ttp://www.umechando.com/software/#Copit ウィンドウ上のコピーできない文字列をコピーするツール。 >>303 のツールのオフライン検索結果をコピるため。
305 :04/09/02 やっぱり1はどちらでも新参のアフォと見た お前はその本家のやつに踊らされているだけかもなwww >>291 がその答えを知っているはずだ だから答えるのを俺は待っている 単純に気に食わないんだよ>>291 のした事が お前見たたいな基本を知らない奴に簡単に回答法を提供して >>291 にはスレの空気を乱したことをちゃんと答えてもらうつもりだ
306 :04/09/02 >>1 くんもえらくなったねぇ。 本スレから回答者やら質問者やらを誘導し始めたときとは、口調も変わったしw 自分だけお腹いっぱいになったら、やっぱ、気持ちいいよね。
307 :04/09/02 それと>>300 はお前に言ってんじゃね〜よ >>291 にそのまま返しているんだよ 俺は正直に言うとログなんかめんどくさくて見ようとも思わね〜w >>291 に逃げたと思われるのやだから もう一度名前欄に番号だしにきたw どうしても>>291 に聞いて確かめたいことがある>>301 のことな
308 :04/09/02 >>307 >俺は正直に言うとログなんかめんどくさくて見ようとも思わね〜w こんな事を言ってる奴が、>>298 で「治療する意思が全く見えね〜〜〜www」って 俺に言ってるのは、もろに詭弁だな。 ログ見るのは面倒くさいのに、ここのスレ見るのは面倒くさくないんだ( ´,_ゝ`)プッ >>291 さんはコテ使ってるんだから、叩きたいだけなら最悪板(http://tmp4.2ch.net/tubo/ )でスレ立てな。 ここはコテ叩きスレじゃないんでね。
309 :04/09/02 ああ、ごめん。モロにレスミス。 >>299 で「治療する意思が全く見えね〜〜〜www」って に訂正ね。
310 :04/09/02 >>309 前から言っていいもんかどうかわからなかったから 言わなかったけど◆qrpWVXxb/Aは半公開コテハンだよ 1は本当にHijackThisに答える人は半年ROMってルール守ってないの? 何か自分もそんなきがしてきたよ
311 :04/09/02 サンプルを集めて、HijackThisについて研究・分析するスレッドなんですね、ここ。 医者と学者の違いみたいなものか?
312 :04/09/02 >>310 >>308 は、「誰かを叩きたいだけならこのスレを使うな」って言ってるだけなんだけど( ´,_ゝ`) 誰かを叩くだけのスレなら、最悪板でスレ立てろっての。ここでやられてもウザイ。
313 :04/09/02 >>311 「研究・分析」だけしてればいいんだが、出張までしてうわなにをいwhfんgkhk
314 :04/09/02 一人始末しますた、ハァハァ…
315 :04/09/03 研究も分析もしてないスレ 俺様の日記帳
316 :04/09/03 >>299 2ちゃんねるとは不思議な場所ですね。 お互い名無しでもニアミスを繰り消すと言葉の節々から、 なんとなくあの人だと分かる時があります。 ウソと本当が・・・とはよく言ったものです。 自分も>>300 や>>307 からあなたが誰だか分かった気がします。 と言うよりワザとヒントを残しましたね。(w あなたもそのめんどくさいログを大量に見られているようですから、 知っているでしょうが確かに見慣れればFixする箇所に限っては、 ほとんどは何も調べることなく分かるようになります。(経験で)
317 :04/09/03 >>299 つまりは自分にはゾヌフィルターそのものが不要です。 ではなぜ作ったのかその目的は実は>>290 でもありませんし、 間違いを減らすのが目的でもありません。(ウソ付いてました) 本当の理由はログを見れる人がスレに少ない(たぶん5人もいればいい方)ようでしたので、 スレ上にログを見れる人を増やすことが目的でした。 色々な理由でテンプレを一時白紙に近い状態に戻した時、 ログに興味をもっているような変な患者でもあり回答者が迷い込んだのをきっかけに、 急いで鑑定スレ用のものをそのスレ用に作り変えたものです。 出来た時は被害対策の部屋のデータは殆ど入ってましたが完成度の、 低いものでした。
318 :04/09/03 >>299 つまりこのデータははじめから何かきっかけがあったら、 人に渡すことを前提に作ってあるものです。 このデータをはじめて公開した日、たまたま大したミスでもありませんが 上の方でログを間違えている方がいましたから、 それを利用させてもらい(利用してしまった方すみません)、 興味を持った人間にワザとテストするように仕向け、 Fix箇所を言わずに見たままを貼る方法を取りました。(その方が効果が高いと思った) これによってスレの方向が変わってしまうとは当時は考えもしなかったことです。 申し訳ないです。 それと蛇足ですがNGワードのどこで自分の正体を見つけたのか教えてもらえますか?
319 :04/09/03 長々と何を言ってるんだ?あとづけの理由ほどカッコ悪いものはない。 そう思ってるならHPつくって意味のあるものにするだろうよふつうは。 これだからセキュ板はキモイと言われるんだな。
320 :04/09/03 >>316 やっぱりそういうことか甘いよw >これによってスレの方向が変わってしまうとは当時は考えもしなかったことです。 わざわざテンプレまで削って必要最小限の状態にして やり直しを図ったときにお前もどうせいたよな? 経験がなくてもテンプレやれとだけ言うのなら誰でもできるし そんな状態が長くなったせいでネタすれになったの忘れたのか? 今のスレ見てみろよ 理屈ばっか達者で治療する気のない 経験もほとんどない回答者がログを見ているネタすれじゃんかよ もうそのツールを人選なしで提供するのやめろ アフォな回答者を大量生産するだけだ
321 :04/09/03 >>299 >それと蛇足ですがNGワードのどこで自分の正体を見つけたのか教えてもらえますか? [ブラクラ(Appz=Realplayer・WMP・Telnet)・IP抜かれる・No.03"厨房ホイホイ"] これのNo.3と""でくくる癖で分かった それとexe上等なwww exe上等のラウンジの鑑定士は流石に少ないだろw 本物の天麩羅屋やお前も悪いやつじゃなかったけど スレの方向を変えた責任はあると思う これからは悪いけどこれだな ・ 天麩羅屋 & 薮パソユーザー & ◆qrpWVXxb/Aは立ち入り禁止。HNを変えてもダメです。
322 :04/09/03 >>321 のアンカーミスったw >>316 あてダナ
323 :04/09/03 >>299 大体の推測どうりだと思います・・・。 今思うと回答者が育つまで黙って見ていれば良かったのかも知れませんね。 自分もスレがこの方向へ転ぶとは予測出来ませんでしたし、 確かに転ばした責任はあるのかも知れません。 申し訳ありませんでした。 m(_ _)m ツール提供もやめて黙って身を引いて、 今後はスレを見守るだけにしようと思います。
324 :04/09/03 >>320 >理屈ばっか達者で治療する気のない経験もほとんどない回答者がログを見ているネタすれじゃんかよ そう思うなら自分がログ見て回答してやればいいじゃん(´-`) >>299 がめんどくさがらずに回答してれば、本来のスレの流れに戻せるんじゃねーの? 「自分は悪くない、周りの奴が悪いんだ」っていうのはただの現実逃避だぜ。 スレの方向性が変わったんだとしたら、原因は住人全員にあるんだよ。 誰か1人(◆qrpWVXxb/A氏)の行動は、そのきっかけではあっても根本的な原因じゃない。 文句やきれい事を言うだけなら誰でもできるぜ。( ´_ゝ`)
325 :04/09/03 >>316-318 この理由ってマジ ってことはゾヌのNGワードを使っていること自体が ◆qrpWVXxb/Aに釣られてってこと?
326 :04/09/03 加えて言うと、俺はどっちかつーと「テンプレやれ」と言う方だけどその理由は、 「ログに興味をもっているような変な患者でもあり回答者が迷い込んだのをきっかけに」、 「ログを間違えている」ヘボ回答者が急に出てきたから言い始めただけ。 ゾヌフィルターにしろ、色々な解析ツールにしろ、あれらはあくまでも既出のエントリの判定が出るだけであって、 新しく出てきたものは色々と調べる回答者じゃないと回答しようがないからな。 (そのヘボ回答者は調べたりソース出したりしない奴だってのはわかってたし、正体も見当つくからな) で、テンプレをきっちりやっちゃうと既出のものはほとんど治っちゃうから、そいつでは口出しようがなくなる。 早く言えば、そいつを徹底的に排除するために俺は「テンプレやれ」と言ってるんだよ。 つまり、きっかけは ◆qrpWVXxb/A氏と同じだけど、方向性が正反対って事だね。 スレの方向性を変えたいなら、他の人に文句を言うよりも先に、自分で行動しようぜ。
327 :04/09/03 それはないなかな。 テンプレ白紙時代やその前の時代のログを見ていたのは 変な回答者(ネタ回答者)を含めなければ たぶん3人くらいでほとんどはみんな優秀だからな・・・。 フォローし合っていたし。 変な回答者が出始めたのは白紙時代後期やゾヌフィルター提供後の辺りから。
328 :04/09/03 少し興味深いスレタイだと思ってたら、 ちみらはセキュリティ板で初心者板の話しかしないようだの。 一体誰が研究してるのかのう?
329 :04/09/03 >>327 「ログに興味をもっているような変な患者でもあり回答者」が迷い込んできたのが まさにその「前のテンプレを白紙に戻した時代の後期」でしょ、と。 その変な患者が治った直後ぐらいから、「あれあれ?」っていう回答者が出る状態になったんだよ。 (俺は、たぶんはいいろテンプレの作者=その変な患者なんじゃねーかな?と疑ってるけどね。 その後全然更新されなくなったでしょ、あのまとめページ。) はいいろテンプレの情報は古すぎて正直全く使い物にならねーし、 今のテンプレだって不足している部分はいっぱいあると思うよ。 その辺はガンガン指摘して進化させる必要はあるわけでさ。 別にテンプレマンセー主義って訳じゃないから、一応補足しとくよ。
330 :あぼーん :あぼーん あぼーん
331 :あぼーん :あぼーん あぼーん
332 :あぼーん :あぼーん あぼーん
333 :04/09/13 http://pc6.2ch.net/test/read.cgi/pcqa/1094644028/252-257 以下の謎のエントリについて >O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE CMS-V11 http://209.213.221.238/postt68092.html http://www.newbie.org/help/messages/27686.html 何かのウェブカメラの可能性あり? 問題ありエントリかどうかは不明。情報提供を求む。
334 :04/09/13 使ってる本人に聞けよあほか
335 :04/09/13 自己レス。 http://pc6.2ch.net/test/read.cgi/pcqa/1094644028/267 >O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE CMS-V11 CMS-V11PCカメラ関連ソフトと推測される。無害と推定。 (http://www.sanwa.co.jp/product/syohin.asp?code=CMS-V11&cate=9 )
336 :04/09/20 ぬるぽ
337 :04/09/22 腹減った〜
338 :推測メモ程度):04/09/22 O4 - HKLM\..\Run: [DKTime] C:\WINDOWS\SYSTEM\dktime.exe O4 - HKCU\..\Run: [DKTime] C:\WINDOWS\SYSTEM\dktime.exe Troj/Dloader-CC http://www.sophos.com/virusinfo/yses/trojdloadercc.html 04の2種エントリーからクルクルの新種かと思って調べてみた 上記のリンクのものだとするとプロセスとファイルが化けるとかは一応それっぽい? dk32.exe、dk.exe、dktime.exe、xx.exeをシステムフォルダに呼び込み ホストファイルを改変して特定のサイトに飛ばす模様 今回は、まんまdktime.exeで表示されているのは実際はかなり謎だ (http://pc6.2ch.net/test/read.cgi/pcqa/1095834281/24-30) 推測だが実際の表示は下の例のように化ける可能性が非常に高いようだ O4 - HKLM\..\Run: [printer] C:\WINDOWS\SYSTEM\printer.exe O4 - HKCU\..\Run: [printer] C:\WINDOWS\SYSTEM\printer.exe それか他のスパイウェアに似たエントリーになる? O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\host32.exe O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\host32.exe 駆除方法はFixで治ったようだが下半分に化けた場合は不明 特殊なRapidBlasterやクルクルの用に特殊な駆除方法になるかも知れない
339 :推測メモ程度):04/09/22 >>338 訂正 ×特殊なRapidBlasterやクルクルの用に特殊な駆除方法になるかも知れない ○RapidBlasterやクルクルの用に特殊な駆除方法になるかも知れない しかも一番上に謎の空白orz
340 :04/09/22 絶対に最初のレスで間違えて2連投する回答者がいるスレはここですか?
341 :推測メモ程度):04/09/22 >>340 調べながら文章まとめているからなwww ところでこのスレ分析してるやつ誰もいないやんwww 実はもう一つ忘れているんだ >>338 >dk32.exe、dk.exe、dktime.exe、xx.exeをシステムフォルダに呼び込み >ホストファイルを改変して特定のサイトに飛ばす模様 この間に実は下の分が入って一番下の分になるwww toolbar.exe、mstasks1.exeもWindowsフォルダに呼び込む dk32.exe、dk.exe、dktime.exe、xx.exeをシステムフォルダに呼び込み toolbar.exe、mstasks1.exeもWindowsフォルダに呼び込む ホストファイルを改変して特定のサイトに飛ばす模様
342 :04/09/22 ラウンジの偉大な鑑定師様に感謝 http://etc3.2ch.net/test/read.cgi/entrance/1093784324/529 http://etc3.2ch.net/test/read.cgi/entrance/1095705642/738 通称:苺 形態:(写真集) (ロリータ)〜みたいなフォルダ(実際にはフォルダのアイコンのexe) 症状:exeを実行するとデスクトップの画像をキャップし 2ちゃんのスレに自動的に書き込む その他の症状は不明 修復方法:HKEY_CURRENT_USER Software\Microsoft\Windows\CurrentVersion\Run のshellsystem.exeを削除 HijackThisの04にも現れると思われるが現時点では不明 O4 - HKLM\..\Run: [???] C:\WINDOWS\SYSTEM\shellsystem.exe O4 - HKLM\..\Run: [???] C:\WINDOWS\shellsystem.exe 注意:WindowsフォルダはOSなどでは改変する ???は現時点では不明
343 :04/09/22 よ〜し盛り上がっていくぞ〜
344 :04/09/23 苺に感染してみたぞーーーw 俺が実行したのは「(写真集) (ロリータ) 水原友里.exe」だwww ノートン先生とBitDefenderおよびFWは全てスルーされたw もちろんスパイウェア駆除製品も・・・おっとスルーだw ちなみネット切断した状態で実験したから俺の画像は多分ないぞwww 感染するとプロセスが2つ走りどちらか一つを消しても 片方を復活させる仕組みでプロセスから終了は不可 感染するとPCのデスクトップのスクリーンが取られ晒され 【うpろだ】アップローダー案内所【アプロダ】板に以下の書き込みがされる 名前:私は苺で違法ダウンロードばかりしている犯罪者です[ここに晒るされた時の初回のID:1回目] 私は苺で違法ダウンロードばかりしている犯罪者です 【コンピュータ名】コンピュータ名が入る 【ユーザー名】ユザー名が入る(例:Owner) 【今こんな事やってます】2ちゃんロダのアドレスが晒され先が貼られる 取った処置 1:まずPCの電源を切りセーフモードで起動してファイルのC:\WINDOWS\shellsystem.exeを削除 2:元になった「(写真集) (ロリータ) 水原友里.exe」も一応削除 3:普通に再起動してHijackThisでScan以下のエントリーをFixで削除 O4 - HKLM\..\Run: [shellsystem.exe] C:\WINDOWS\shellsystem.exe 3:のHijackThisの処理で以下が消えてるのも確認できた HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run name:shellsystem.exe data:shellsystem.exe 若干の祭り状態だからこれからの患者が予想されるw とりあえずこれで解決めでたしめでたしwww
345 :04/09/23 ロリータ最高〜
346 :04/09/23 >>344 それと補足・・・貼られる先の法則が判明した >半角二次元板の >そのスレは、「アップローダー」をスレタイに含むスレのうち、一番上に >上がっているスレ。 とのこと、あと細かい訂正w ×【今こんな事やってます】2ちゃんロダのアドレスが晒され先が貼られる ○【今こんな事やってます】2ちゃんロダに画像が晒されて、そのアドレスがここに貼られる
347 :04/09/23 お客さん来店の予感。
348 :04/09/23 >>346 セキュ住人には無用の話だからダウソ板に行って得意顔するといい
349 :04/09/23 >>344 あんた漢の中の漢だ(w 感染レポート&修復方...Z これって例の苺ロダに貼られているやつだな・・・ 分散しているようだから確かにまだ増えるかもね。 >>348 ダウソ板は全く関係ないよ。 ny関係じゃないし。
350 :04/09/23 スレに活気がでてきたな。
351 :04/09/23 >>344 SARCとかに連絡済み?
352 :04/09/23 >>344 乙! 俺も本体ファイル落としてみたんだが、飲んでるんでそこまでやる余裕無かった。 某スレにコピペして回答に使う事になるかもしれない。
353 :04/09/23 回答者さん、ごきげんですな
354 :04/09/23 >>344 に質問 これって、ファイヤーウォール入れておけば防げるものかな? もしそうなら、エロサイトスレのテンプレにZoneAlarmでも紹介しておけば かなり有効なんじゃないかな?(一番操作が簡単だしね、他のはむずいし)
355 :04/09/23 おっとゴメソ、ファイヤーウォールはスルーすんのか まぁ、訳のわからないもんダウンロードする馬鹿は放置だなって事で ブラクラ踏んだ人と大して変わらないな
356 :04/09/23 >>354 >>344 祭り状態の中で分析していたから今見ると文章がアホだなorz 今は反省している FWはちゃんと機能するみたいだ ネットに切断した状態で実験したから その時はFWそのものが使われなくてshellsystem.exe製造にトロイ自体が励んでいた それと上記の駆除方法はWinXPのもので 他のOSではシングルプロセスらしく プロセスを終了させて本体を削除してレジストリの修正で簡単に治るらしい またWinXP Proではダウソ板の>>635 氏のやり方でもOK http://tmp4.2ch.net/test/read.cgi/download/1094872215/635
357 :04/09/23 【分析】HijackThis【研究】 http://pc5.2ch.net/test/read.cgi/sec/1091346741/341-356
358 :04/09/23 >>356 ん?とするとファイヤーウォールで防ぐ事は可能なのかな と言っても、どうせ何だかわからずにアクセス許可しちゃう人はいるんだろうけどね 最近のエロサイトスレのテンプレ見ると、Downloader系のトロイを仕込まれてる人がわんさかいるよな アンチウィルスソフトについては書いてあるけど、ファイヤーウォールについてはあんま書いて無かったりするから その辺を充実させた方がいいのかもしんないね と言っても初心者向きだと、やっぱりZoneAlarmになるんだろうなぁ・・・ (他のルール設定だとかなんだとかは初心者には難しそうだしね)
359 :04/09/23 ↑テンプレじゃないや、質問してる人って事ね 実際にテンプレを全部やってる人だと、大体は04エントリだけ残ってる事が多い気がする 02、03、16あたりは割とテンプレ作業で駆除できているのかもしれないね
360 :04/09/23 ∧_∧ ( ・3・ / ̄ ̄ ̄ ̄/ ∧ __( つ / (・3・) /・3・)ノ |\ ̄\/____/ ̄\. ∧∧ | | ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄| ( ・3・) アルェー | | ぼるじょあ | ( ぼ ) \|_________|. し'`J (・3・) エェー 質問待ってるYO
361 :04/09/23 (・3・) エェー
362 :04/09/24 + * * ∧_∧∧∧ (*・3・(・ε・*) < 質問待ってるYO + ( つ と 0 + ) ⊂_ノ〜 (_)__)
363 :04/09/24 >>358 ZoneAlarm突破 http://v.isp.2ch.net/up/b0501b0dcf53.jpg アクセス許可したのかもしれないけど。
364 :04/09/24 >>363 それ、昨日ZoneAlarmスレとかに貼られてたけど ぶっちゃけAd-aware6を今更使ってる奴じゃあんま信頼性が・・・
365 :04/09/24 デスクトップを見れば程度がわかる
366 :04/09/24 NIS突破してるのもあった どうせexeの通信を許可してるか何かだと思うけど exeの監視機能がないものだとポート80を使って通信するから もしかしたらあっさりスルーするかも 昔からFWは使いこなせてなければ何の役目もしない
367 :04/09/25 淋しい・・・・
368 :04/09/25 ヲタクってるんぢゃねえぞ、おまいら!
369 :04/09/25 (=^u^=) なりなり
370 :04/09/26 (・3・) エェー
371 :04/09/27 _/ ̄ ̄ ̄ ̄\ 煤Q ∪ ゚Д゚)  ̄ ̄ ̄ ̄ ̄ ̄
372 :04/09/28 誰もいないの???
373 :04/09/28 ---------- 研究の成果が出るまでには、約三年とちょっとかかります。それまでお待ちください。 -----------
374 :04/09/28 三年も待てないよぅ〜
375 :04/09/29 ∧_∧ ( ・3・ / ̄ ̄ ̄ ̄/ ∧ __( つ / (・3・) /・3・)ノ |\ ̄\/____/ ̄\. ∧∧ | | ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄| ( ・3・) アルェー | | ぼるじょあ | ( ぼ ) \|_________|. し'`J (・3・) エェー 質問待ってるYO
376 :04/09/29 >>360 >>362 >>375 ここ、質問スレじゃないよ 質問スレから上がってきた情報を蓄積するところだ
377 :04/09/29 人々の為、質問受け付け中で〜す。
378 :04/09/29 >>376 >>1 は質問スレと混同してるよ。 わざわざ向こうから誘導してたし。
379 :04/09/29 >>1 が質問スレのつもりなら質問スレだろw
380 :04/09/30 ただの目立ちたがり屋とか優柔不断な奴なだけだろ。>>1
381 :04/09/30 質問待ってるよ。
382 :04/09/30 Ewidoの使用期限をリセットして常駐保護を使えるようにする方法を教えてください。 犯罪ではないとおもうので詳しい人きぼん。
383 :04/09/30 >>382 ドゾー ttp://www.ewido.net/en/?section=buy
384 :04/09/30 ∧∧ ( ・3・) 質問待ってるYO ( ⊃┳⊃ ε(_)ヘ⌒ヽフ ( ( ・ω・) ≡≡≡ ◎―◎⊃⊃
385 :04/09/30 どうしてぼるじょあはム板に帰らないのですか?
386 :04/09/30 >>1 がぼるじょあを演じているっぽい
387 :04/10/01 質問待ってる。
388 :04/10/01 単発質問させて下さい。 O4 - HKLM\..\Run: [Expatch] C:\WINNT\system32\sprite.exe こいつがすっごいメモリリーク引き起こしてるんですが、どういったものなのでしょうか? 消去しても問題なんでしょうか?
389 :04/10/01 >>388 メモリリークってなんですか?
390 :04/10/01 >>388 断言はできないけど、もしかしたらこれじゃねーのかな? ttp://www.pestpatrol.com/PestInfo/B/BargainBuddy.asp メモリリークしてる不自然なプログラムがあったら、ウィルスのスキャンと SpybotやAd-awareSEはやってみた方がいいよ。それで改善する事も多い。
391 :04/10/01 >>388 >>389
392 :04/10/01 >>388 はゲーヲタ
393 :04/10/01 ∧_∧ ∧_∧ ( ・3・ ) ( ・3・ ) ⊂ ⊃ ⊂ ⊃ |⌒I、| | |⌒I (_). | ∧_∧ ∧_∧ | ´(_) (_) ( ・3・ ) ( ・3・ ) (_) ⊂ ⊃ ⊂ ⊃ |⌒I、| | |⌒I (_). | | ´(_) (_) ∧_∧__ (_) (3・ ) ( > > / /\ \ (__) (__) よいこの質問待ってるYO!
394 :04/10/03 ∧∧ ( ・3・) 質問待ってるYO ( ⊃┳⊃ ε(_)ヘ⌒ヽフ ( ( ・ω・) ≡≡≡ ◎―◎⊃⊃
395 :04/10/03 このスレ人気ないっすね ^∀^
396 :04/10/04 ( ・ 3 ・ ) エェー 良い子の質問待ってまつYO ♪
397 :04/10/04 >>395 サクラになって質問してよ。
398 :04/10/04 ここのぼるじょあは荒らしか
399 :04/10/04 >>398 (・3・) エェー 質問を心待ちにしてる善良ぼるじょあですYO
400 :04/10/05 いい加減ウゼェからきえろや>>1
401 :04/10/05 それでは質問させてもらいます 以下のように2つ出ることってあります? いままではひとつしか出なかったんだけど O17 - HKLM\System\CCS\Services\Tcpip\..\{3DF16248-517C-417B-BF16-F434CA339FAF}: NameServer = xxx.13.30.12, xxx.13.29.12 O17 - HKLM\System\CCS\Services\Tcpip\..\{F11629E3-0AE7-4D3F-98C6-DEE5F94DB606}: NameServer = xxx.13.30.12, xxx.13.29.12 どっちか偽物? よろしくお願いします
402 :04/10/05 >>401 はゲーヲタ
403 :04/10/05 >>402 ん? なんで? ちゃいまんがな 書き忘れてたけどこのアドレスは間違いなく俺のメインとセカンダリDNSです NameServer = xxx.13.30.12, xxx.13.29.12(xは伏せ字) \..\の部分は俺が省略したわけじゃないです
404 :04/10/05 >>403 (・3・) エェー どうして増えたのか理由までは分かりませんが2つ位なら全然普通ですNE, 5〜6ある人もいますので問題ないと思いますYO
405 :04/10/05 >>401 >>403 http://higaitaisaku.web.infoseek.co.jp/htkaiseki.html 早く言うと、ネットワーク接続に必要なエントリかな IPアドレスを調べてみれば、ちゃんとしたエントリかそうじゃないか判別できるかと たまーに何故かロシアに接続先がなってるのとかあるけどそういう場合はダメ そうじゃなくて普通の日本のプロバイダとかになってるなら別に問題なしという感じ
406 :04/10/05 (・3・) エェー よいこの質問待ってるYO♪
407 :04/10/06 >>404 >>405 ありがと とりあえず安心しました 2つになった可能性としてネットワークの詳細設定のとこで NetBIOS over TCP/IPを無効にするに最近チェックいれたのが関係したのかな
408 :04/10/06 (・3・) エェー よいこの質問待ってるYO♪
409 :04/10/07 (・3・) エェー よいこの相談待ってるYO
410 :04/10/07 (・3・) エェー これが本場のぼるじょあだNE
411 :04/10/07 >>408-410 ここで遊んでるならぼるじょあスレ盛り上げてこいよ ぼるじょあ(・3・)質問箱 セキュ板出張所11 http://pc5.2ch.net/test/read.cgi/sec/1094826769/ 糞スレになってるぞ、ぼるじょあスレ
412 :04/10/07 >>411 (・3・) アルェー ちょっとしか糞スレじゃないC〜
413 :04/10/07 ぼるじょあになりきってるヤシきもい
414 :04/10/07 ぼるじょあさん、がんばれ!!
415 :04/10/07 (=^u^=) たぬたんも応援するなりよ。
416 :04/10/08 タイトルだけ立派なスレだ。
417 :04/10/08 質問です。HiJackThisを使ってPCを元に戻したいんですが、モデム繋ぐとすぐにサイトに飛びます。この状態って国際電話に繋がってるのでしょうか?繋がったときの事を考えると恐くてすぐに切ってしまいます。詳しい方いたら教えてください。
418 :04/10/08 >>417 基本は、エロサイトスレのテンプレソフトを全部順番に試してから 何故なら、HijackThisはあくまでレジストリをいじるだけのソフトだし いいエントリも悪いエントリも出てくるから という訳でエロサイトスレに誘導するんでテンプレやってみてね エロサイト見たら…助けて下さい!Part42 http://pc6.2ch.net/test/read.cgi/pcqa/1096953352/
419 :04/10/08 >>418 そちらに行ってみます。ありがとうございます。
420 :04/10/08 お客さんが横取りされてる、かわいそう・・・・・・・・・・・・・・
421 :04/10/08 HijackThisを今見ている香具師が テンプレやれとしか言えない元天麩羅屋信者だから 本当に分析する気があるのなら自ら感染実験する
422 :04/10/08 >自ら感染実験する 修羅の道ですねw
423 :04/10/08 >>421 既出のエントリに興味はない、だから先にテンプレ 既出のものしか治せない奴ぐらいじゃないの?いきなりHijackThisなんて指示出す奴
424 :04/10/08 ROMっていたが最近の、特に前スレのは かなり既出でないものもあった SDBOTの新種らしきものも多数あった 新種も見抜く力もないアホにはどれがそれとかは分からないだろうが ※SDBOTに感染している場合、アンチウイルスソフトの治療だけでは直せない ※Fixした場合かならず一箇所漏れる あと最近指示出しているやつは特徴があるから分かるが 例のexeやdllの名前だけで検出に掛けてるような香具師とボル兄しかいない
425 :04/10/08 >>422 昔のことだけど そういえば群青さんは時々感染実験をやっていたよw
426 :04/10/08 >>424 きっとひきこもりだね。ヒマすぎだもの。
427 :04/10/08 (・3・) エェー よいこの相談待ってるYO
428 :04/10/08 >>424 新種に感染してたらテンプレやらなくていーんだ。アホか。 そんなもんはHijackThisやってログ見てから、後から付けた理由だろうに。 テンプレで漏れた箇所だけHijackThisで治した方が楽に決まってんだろ、 全部エントリを手動で消す方がよっぽどかったるいわ 前スレで既出じゃないもんは、こっちのスレに転載ぐらいしたらどうだい?見てるならさ
429 :04/10/08 ┌─┐ |も.| |う | │来│ │ね│ │え .| │よ .| バカ ゴルァ │ !!.│ └─┤ プンプン ヽ(`Д´)ノ ヽ(`Д´)ノ (`Д´)ノ ( `Д) | ̄ ̄ ̄|─| ̄ ̄ ̄|─| ̄ ̄ ̄|─□( ヽ┐U 〜 〜  ̄◎ ̄ . ̄◎ ̄  ̄◎ ̄ ◎−>┘◎
430 :04/10/09 (・3・) エェー よいこの相談待ってるYO
431 :04/10/09 (゚Д゚ ) ノヽノヽ=3 プゥ くく
432 :04/10/09 新種の判断もできない 既出のエントリーも治せない このスレいらないねw
433 :04/10/09 >>428 あの空気でこっちに書けるわけないだろw 上で苺を分析したやつも追い出さんという空気だしwww 向こうに書けば書いたで全員糞回答者扱い
434 :04/10/09 向こうから完全独立したいwww
435 :04/10/09 >>428 後からつけた理由ではなく、たぶんと思うのはあったぞ 新種が見つかったらテンプレやらなくていいということが 言いたいんじゃなくて、それに対してプロパティを確認して覚えがなければ Fixという指示を出しているやつがいた なんでHijackThisに治療の道具としてそんなに信頼寄せているかのは分からないが SDBOTはHijackThisのFixやアンチウイルスで消しても完全には治らないから書いた それに後でまとめてログを見たから気が付いたときには一日が経過していた それと正直SDBOTが見つかったならテンプレやる必要もないかも知れんな HKEY_LOCAL_MACHINE\Software\Microsoft\Ole ここを確認させてそこに値があればリカバリの指示を出して リカバリした後はパスの変更と電話でネットバンクやクレジットカードを利用を 停止するように指示すると思う あと指摘しても何だかんだ後で言われるだけ損だわ(>>433 の言うとうり)
436 :04/10/09 がんばってくれ
437 :04/10/09 訂正 (ひまな趣味)がんばってくれ
438 :04/10/09 >>1 に協力する人間は結局は誰もいないのかwww 前スレじゃなく今のスレじゃんw 本気で探しちゃたよwww SDBOTの新種の可能性って言うのはこれのことか>>435 氏 C:\WINDOWS\System32\winU32L.exe C:\Program Files\Common Files\System\Ole DB\support\ComServ.exe C:\Program Files\Common Files\System\Ole DB\support\WinMgmt.exe C:\Program Files\Common Files\System\Ole DB\support\IEXPLORER.EXE O4 - HKLM\..\Run: [Win Update 32] winU32L.exe O4 - HKLM\..\RunServices: [Win Update 32] winU32L.exe HKEY_LOCAL_MACHINE\Software\Microsoft\Ole これってHijackThisに現れないのか? 治ったと思って帰ったなこの患者 もしそうならパスワードとかすでに盗まれている可能性が高いわけか・・・ http://pc6.2ch.net/test/read.cgi/pcqa/1096953352/64-69
439 :04/10/09 >>438 >HKEY_LOCAL_MACHINE\Software\Microsoft\Ole ここの値は今のHijackThisには出てこないね http://pc6.2ch.net/test/read.cgi/pcqa/1096953352/81-86 >msconfigを使いサービスタブにあるSystemIdleのチェックをはずすと症状がなくなりました。 これがどういう事なのやらがよくわからないが、何か情報とか出てるのかな
440 :04/10/09 >>439 氏 分析するやつの頭はウイルス定義みたいのパターンファイルが そいつ自体に入っているのかも知れないなwww 本家の方でも推測で答えを導きだすやつがいる時に時々驚かされる WORM_WOOTBOT.AO(SystemIdle.exe) http://es.trendmicro-europe.com/consumer/security_info/ve_detail.php?id=65623&VName=WORM_WOOTBOT.AO&VSect=O これだと一応HijackThisのログからも下のように現れる模様 O4 - HKLM\..\Run: [Systemidle] stemIdle.exe O4 - HKLM\..\RunServices: [Systemidle] stemIdle.exe O4 - HKCU\..\RunOnce: [Systemidle] stemIdle.exe O4 - HKLM\..\Run: [Systemidle] stemIdle.exe O4 - HKCU\..\RunOnce: [Systemidle] stemIdle.exe とこれHKEY_LOCAL_MACHINE>System>CurrentControlSet>Services>SystemIdle.exe 俺には残念だけど専門の分析屋じゃないからこれ以上は分からんw 正直HijackThis自体も専門家じゃないからミスすると悪いから答えないようにしてるしwww どちらにしても対処方法は読んでみると駆除するよりも リカバリした後にryってやつが一番安全なようだ(感染者本人には悪いが) 結果論になっちゃて悪いけど感染者本人にレジストリ内を検索で winU32L.exe見つけてもらうことをやってもらった方がよかったのかも
441 :04/10/09 訂正 ごめんよく見たらWORM_WOOTBOT.AOの値を間違えたw O4 - HKLM\..\Run: [Systemidle] stemIdle.exe O4 - HKLM\..\RunServices: [Systemidle] stemIdle.exe O4 - HKLM\..\RunOnce: [Systemidle] stemIdle.exe O4 - HKCU\..\Run: [Systemidle] stemIdle.exe O4 - HKCU\..\RunOnce: [Systemidle] stemIdle.exe とこれHKEY_LOCAL_MACHINE>System>CurrentControlSet>Services>SystemIdle.exe HKEY_LOCAL_MACHINE>System>CurrentControlSet>Services> これは知識不足でログにどう出るか分からんwww
442 :04/10/09 >>440-441 >>424 氏が言ってた「SDBotの亜種」ってのは、結局それの事なのかな? 具体例出してないから何とも言いがたいね(´・ω・`) どっちにしろ、>>435 で言ってる内容はHijackThisを見なきゃわからないでしょ だってプロセスに何が走ってるのか、他の人には全くわからない訳だし あとはプロセス何走ってるかわかってる奴が自作自演してたぐらいしかありえないな そもそもHijackThisの前にテンプレを一通りやる「はず」なんだから、何でテンプレの話になるのが意味不明 >>441 >HKEY_LOCAL_MACHINE>System>CurrentControlSet>Services> たぶん、これもHijackThisには出てこないところなんじゃないかな 今の1.98.2になる前にHijackThisに出てこないこれが流行したのと似てるのかも http://higaitaisaku.web.infoseek.co.jp/removesearchbiz.html ※今の1.98.2ではHijackThisできちんとエントリとして出てくる
443 :04/10/09 分析屋でもないのに調べてる俺も相当に暇人だなw 新種って聞いて休日を分析と単車いじりで潰してしまったwww >>442 氏 客観的に見て>>421-435 この流れからテンプレの話になったんじゃないのかと それと流れから向こうのHijackThisを見ての意見かと 本当は本人にどれか指摘してもらえれば一番ありがたいんだけどね あの調子じゃ協力してくれるとは思えんしw プロセスは見る人が見ればなんとなく分かるかと あとはウイルスの特徴をつかんでいるとかw 例:C:\service.exe ← C直下のexeだからキーロガー系のトロイの可能性等 もう少し気になって調べら下のツールでWOOTBOTとSDBOTは 対応していれば無料で駆除できるらしい 対応ウイルス表を見る限り俺だったら正直リカバリするかなっていう 瀬戸際ばかりのリストだがw それにしてもSDBOT系って亜種が多いな・・・正直驚いた トレンドマイクロ ダメージクリーンナップサービス http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700 対応ウイルス表 http://www.trendmicro.co.jp/support/VIRUS/fix_tool/tsc/tsc_viruslist.txt
444 :04/10/09 当事者でもないのに外から眺めて 楽しそうにしている書き込みって相当にキモイね
445 :04/10/09 ∧∧∧∧∧∧ ∧ ( (・( ・(・ ( ・3( ・3) よい子の (つ(つ/つ// 二つ ハァ─) .| /( ヽノ ノヽっ ─・・・ ∪∪とノ(/ ̄ ∪ ∧ (( (\_ ∧ ∧ ∧ ∧ 3)っ ⊂`ヽ ( ・3・) _)3・) ) ノノ 質問 ヽ ⊂\ ⊂ ) _つ スゥ──(/( /∪∪ヽ)ヽ) ノ ── ∪ ̄(/ ̄\) (\ ∧ ∧ カッ < `( ・3・) 待ってるYO \ y⊂ ) / \ ∪ ̄ ̄ ̄\)
446 :04/10/10 ぼるちゃん教えて 環境は Windows version: Windows 98 4.10.2222 MSIE version: 6.0.2800.1106 HijackThis version: 1.98.2 HighjackThisでスキャン開始するとこんなメッセージがでます どうすりゃいーの????よろちくNE An unexpected error has occurred at procedure: modBackup_ListBackups() Error #55 - ファイルは既に開かれています。 An unexpected error has occurred at procedure: modRegistry_IniGetString(sFile=win.ini, sSection=windows, sValue=load) Error #55 - ファイルは既に開かれています。 An unexpected error has occurred at procedure: modRegistry_IniGetString(sFile=win.ini, sSection=windows, sValue=run) Error #55 - ファイルは既に開かれています。 An unexpected error has occurred at procedure: modRegistry_IniGetString(sFile=C:\WINDOWS\control.ini, sSection=don't load, sValue=inetcpl.cpl) Error #62 - ファイルにこれ以上データがありません。 An unexpected error has occurred at procedure: modMain_CheckOther14Item() Error #55 - ファイルは既に開かれています。 An unexpected error has occurred at procedure: modMain_CheckOther14Item() Error #55 - ファイルは既に開かれています。
447 :04/10/10 >>446 全部OKしてOK 補足 スキャンしたら http://www.hijackthis.de/index.php?langselect=english だっけ、ここに作れるやつをはって診てもらえ なんかそれらしい感じで書いてみたが、>>1 のリンク全部見てないのでよく分からん
448 :04/10/10 >>446 (・3・) エェー この辺も参考にしてNE http://higaitaisaku.web.infoseek.co.jp/hijackthis.html
449 :04/10/10 ワロタ http://higaitaisaku.web.infoseek.co.jp/cgi-bin/cbbs.cgi?mode=all&namber=46130&type=0&space=0&no=0
450 :04/10/10 【被害者サイト】HijackThis【ヲチスレ】 http://pc5.2ch.net/test/read.cgi/sec/1091346741/
451 :04/10/11 >>447 >>448 お レスついてる ありがとーー さっそく調べてみるね
452 :04/10/11 >>421 |∧ | .∧ | ∧ | ヽ | .\ ・・・・・・・・・・・・・・・・・・・・・・・・ |=・=- ∧/ ∧ | / ヽ / ヽ | / ヽ_____/ ヽ |/ \ | ヽ |"´) ● \─/ ● |'´) |‐´ ヽ/ /´ |\ /
453 :04/10/11 >>449 これ本当か?(笑
454 :04/10/11 >>449 こんな奴にHijackThisのFix指示を出すのがそもそもの間違いだ・・・ これってテンポラリファイルの削除した後にアンチウィルスソフト+Ad-awareSE+ Spybotかけるんじゃダメなのかなぁ?
455 :04/10/11 >>454 レジストリの実行用エントリが残るから いきなりテンポラリ削除はまずいのでは?
456 :04/10/11 >>449 何をしたらこんなんなるんだろう、そっちが知りたい 詰め合わせぶちこんだのか?
457 :04/10/11 >>449 ので興味あるのは NortonAntiVirus2003と、Spybotが入ってるって事なんだよなー・・・ たぶん全然アップデートなんてしてないんだろうけど こういうのを見ると、ちゃんとアップデートして最新の定義にするのが重要であって ソフトを入れるだけじゃ無意味だよってつくづく思うよな
458 :04/10/12 >>456 ほんと、どうやったのか。 バンドルソフトとかしっかり入ってるとことか見ると???
459 :04/10/12 ?
460 :あぼーん :あぼーん あぼーん
461 :04/10/12 >>449 最強だろw
462 :04/10/12 なるほど。
463 :04/10/13 え?
464 :04/10/13 >>460 はなんだったの?アボーンされてるけど
465 :04/10/13 >>464 アドレス晒しと思う
466 :04/10/13 質問すみません。 spybotとadaware,AV使用しました。 次にCWShredder使いました。(これは意味なかった) 最後にHijackを使ってhttp://www.higaitaisaku.com/hjtdatabase.html にのってるあやスィ(・д・)やつ全部削除したつもりです。 おかげで調子は少し良くなったのです(勝手にシャットダウンとかしてたのがなくなった)が、ホームページの設定だけは直りません… 213.159.117.134です…流布した奴してやりたい… どうすればよいのか教えてください。怖くてネットにはつないでません…
467 :04/10/13 >>466 ページはウィルスに感染しています!だそうだ アンチウィルスソフトを入れて、全部のファイルをスキャンしてみろ たぶん、CWS系のスパイウェアを入れるダウンローダーがあるはず
468 :04/10/13 213.159.117.134を、そのままアドレスとして入力したらって話ね 開いたとたんにCoolWebSearchのページが開いて、変なファイルを自動的にダウンロードしようとしてた テンポラリファイルに入ったから、テンポラリファイルも一旦綺麗にした方がよさげ
469 :04/10/13 >>467 アンチウイルスソフトはもう使ったのですが…どうにも('A`)出てきません。 >>468 具体的になにをすればいいのでしょうか…教えてください。すみませぬ('A`)
470 :04/10/14 >>469 ここのテンプレに従って、全部の工程を作業 エロサイト見たら…助けて下さい!Part42 http://pc6.2ch.net/test/read.cgi/pcqa/1096953352/ いくらアンチスパイウェアソフトをいれていても、 アンチウィルスソフトが入っていなければあまり意味がないという事かと。 少なくとも、213.159.117.134にはウィルスが仕込まれてるので。
471 :04/10/14 スパイウエアにしっかりデジタルサインされているわけだが スパイウエアを作る連中にデジタル証明書を発行するベリサイン社って どうよ?
472 :04/10/14 ベリーグーだな。
473 :04/10/14 >>471 こっちに話題提供したれという事で 【ベリサイン】VeriSign 【証明書】 http://pc5.2ch.net/test/read.cgi/sec/1073635455/
474 :04/10/14 ?
475 :04/10/15 ∧∧∧∧∧∧ ∧ ( (・( ・(・ ( ・3( ・3) よい子の (つ(つ/つ// 二つ ハァ─) .| /( ヽノ ノヽっ ─・・・ ∪∪とノ(/ ̄ ∪ ∧ (( (\_ ∧ ∧ ∧ ∧ 3)っ ⊂`ヽ ( ・3・) _)3・) ) ノノ 質問 ヽ ⊂\ ⊂ ) _つ スゥ──(/( /∪∪ヽ)ヽ) ノ ── ∪ ̄(/ ̄\) (\ ∧ ∧ カッ < `( ・3・) 待ってるYO \ y⊂ ) / \ ∪ ̄ ̄ ̄\)
476 :04/10/16 (・3・) エェー よいこの質問待ってるYO♪
477 :04/10/16 sage
478 :04/10/16 \\ ビ \\ \ \\\ \\ \ \ \\ \\ ュ ウ \\ \ \\ \\ \\ \\ \ ウ \\\ \\ \\\ \\ \∧_∧ ウ \\ \ \\ \\ ( ・3・ ∧∧ ゥ\ \\ \ \ ( (・3・ ) \\ \\ゥ\\ \ \\ \| | | ヽ \\ ゥ \\ \ \\ (_(_UU( )〜′ \\ \\ \ \\ \ | ̄ ̄|  ̄ ̄\ \\ \\ \ \ \ / Y \ ∨ |  ̄ ̄ ̄ ̄ヽヽ \\ \\ | | | \ ヽ たとえ人が来なくても、今はただ耐えるのだ!
479 :04/10/17 なんでここウイルスに感染してるの?
480 :04/10/17 スレがウィルスに感染する事はないよ 貼られているウィルスコードに反応しているだけ。
481 :04/10/17 スパイウェアは、システム復元、バックアップで、 パソコンをその前の状態にまで戻す、それで戻らない?
482 :04/10/17 >>481 システムの復元で元に戻すのも一つの解決方法です。
483 :04/10/17 (・3・) エェー よいこの質問待ってるYO♪
484 :04/10/17 某スレで、こちらでHijackThisのLOGを貼って、診断してもらえば? と助言を頂いたので、ご助力願いたいのですが、 HijackThisの全LOG(70行程度)が必要なのでしょうか?
485 :04/10/17 >>484 >>144 辺りを参考にして貼ってみたら。
486 :04/10/17 >>485 ありがとーです。 レスはちゃんと読まなきゃダメですな(;´д`) ウィルス情報のスレでも書いたのですが、ご助言の参考になれば。 ▼発現する症状 @1時間ごと(18時00分とか19時00分)のタイミングでproxybiketrust.exeが起動する Aproxybiketrust.exeが起動するとCPUを占有され、使用率が100%キープされる。 Bproxybiketrust.exeはプロセス終了させればCPUが開放され、動作が軽くなる。 Cファイル検索を行ってもproxybiketrust.exe自身が見つからない。 Dノートン先生、Ad-awareでの走査ではウィルスとして検知されない。 ▼HijackThisによるLOG Logfile of HijackThis v1.98.2 Scan saved at 18:00:32, on 2004/10/17 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) ▽続く
487 :04/10/17 ▽続き Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\Program Files\Norton Internet Security\NISUM.EXE C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Internet Explorer\iexplore.exe c:\progra~1\intern~1\iexplore.exe C:\Program Files\Norton Internet Security\ccPxySvc.exe C:\Program Files\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\ups.exe C:\Program Files\Messenger\msmsgs.exe C:\WINDOWS\System32\taskmgr.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\MSN Messenger\msnmsgr.exe c:\docume~1\sino-m\applic~1\stoppo~1\proxybiketrust.exe C:\Documents and Settings\sino-m\デスクトップ\新しいフォルダ\HijackThis.exe 486も私です。 かなり長レスで申し訳ないです。ご助言よろしくお願いします
488 :04/10/17 >>486-487 いや、待て待て。貼ってあるログだけじゃ全然わからんつーの。 Proxybiketrust.exeってのはググっても出てこないんだけど、 コントロールパネルのアプリケーションの追加と削除に何か見覚えのないものがない? ノートン先生はちゃんと最新の定義にアップデートしているかい? SpybotやAd-awareSEは最新の定義にして試してみたかい? それでも治らなければ、HijackThisの04エントリに、proxybiketrust.exeの含まれている エントリがないかい?
489 :04/10/17 >c:\docume~1\sino-m\applic~1\stoppo~1\proxybiketrust.exe 問題のproxybiketrust.exeはApplication Data\Stoppo何とか\いかにあるんじゃね?
490 :04/10/17 >>487 >>144 さんの貼り方を良く見て下さい まだ、肝心な部分が貼られていませんよ。
491 :04/10/17 馬鹿共また釣られてんのか?
492 :04/10/17 O4 - HKLM\..\Run: [internat.exe] internat.exe Nasty The entered application internat.exe was identified: ControlPanel. Hit rate: 22 % (result) Must be fixed! O4-HKLM¥- ¥実行:汚い[国際競技会exe]国際競技会exe、入力された適用国際競技会exeが識別されました:ControlPanel。ヒット率:22%(結果)固定するに違いありません! ほんと、嫌になるわ…
493 :04/10/17 絶対に最初のレスで間違えて2連投する回答者さん 消えちゃったね。
494 :04/10/18 回答した後、自論を語り始める回答者もいたなw
495 :04/10/18 >>492 (・3・) エェー 酷いですNE
496 :04/10/18 (・3・) エェー よいこの質問待ってるYO♪
497 :04/10/18 お願いします。
498 :04/10/18 >497 >>488 とか>>490 とかの書いたことの意味が読み取れてる? なんだかとっても心配なのでまとめてみると 「>>486-487 だけじゃ情報が足りないからわからない。お願いされてもどうしようもない。 >>144-148 のように、複数に分けてログ全部貼れ」 とまあ、こんな感じ。 ただ、この程度のニュアンスが通じないとなると、いくら有効なアドバイスがあっても 484は理解しきれなしんじゃないかと心配ではあるが。
499 :04/10/18 助言ありがとうございました。とうやら解決できたようです。
500 :04/10/18 >>499 (・3・) エェー 肝心な部分を貼り忘れたみたいですNE ∧∧∧∧∧∧ ∧ ( (・( ・(・ ( ・3( ・3) よい子の (つ(つ/つ// 二つ ハァ─) .| /( ヽノ ノヽっ ─・・・ ∪∪とノ(/ ̄ ∪ ∧ (( (\_ ∧ ∧ ∧ ∧ 3)っ ⊂`ヽ ( ・3・) _)3・) ) ノノ 質問 ヽ ⊂\ ⊂ ) _つ スゥ──(/( /∪∪ヽ)ヽ) ノ ── ∪ ̄(/ ̄\) (\ ∧ ∧ カッ < `( ・3・) 待ってるYO \ y⊂ ) / \ ∪ ̄ ̄ ̄\)
501 :04/10/18 マカフィーの「パーソナルファイアーウォールプラス」(以下mpf)が ネットに繋いだ後で、強制終了メニューを出すと「mpftray(応答なし)」に。 タスクトレイのMアイコンから一度無効にして有効にすると、ふつうに「mpftray」に なるんですが、この問題は何が原因でしょうか。 これよりhijackthisのログを貼りますので、ご教授お願いします。 Logfile of HijackThis v1.98.2 Scan saved at 17:18:56, on 04/10/18 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\IMEJPMGR.EXE C:\WINDOWS\デスクトップ\HIJACKTHIS\HIJACKTHIS.EXE C:\WINDOWS\SYSTEM\MSCONFIG.EXE
502 :04/10/18 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - C:\PROGRAM FILES\MCAFEE.COM\VSO\MCVSSHL.DLL O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [NMFTASK] NMFTASK.EXE /RESET O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\MCAFEE.COM\VSO\MCMNHDLR.EXE" /checktask O4 - HKLM\..\Run: [VirusScan Online] "C:\PROGRA~1\MCAFEE.COM\VSO\mcvsshld.exe" O4 - HKLM\..\Run: [MCAgentExe] C:\PROGRA~1\MCAFEE.COM\AGENT\mcagent.exe O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\MCAFEE.COM\AGENT\MCUPDATE.EXE O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE O4 - HKLM\..\RunServices: [SAService] C:\CyberTrio\SaService.exe O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [McVsRte] C:\PROGRA~1\MCAFEE.COM\VSO\mcvsrte.exe /embedding O4 - Startup: いま、いくら?.lnk O4 - Startup: タイマチェック.LNK = C:\Timer\Nectmchk.exe
503 :04/10/18 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O12 - Plugin for .mpg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll O12 - Plugin for .png: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin6.dll O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://bin.mcafee.com/molbin/shared/mcinsctl/jp/4,0,0,84/mcinsctl.cab O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://bin.mcafee.com/molbin/shared/mcgdmgr/jp/1,0,0,21/mcgdmgr.cab
504 :04/10/18 >>501-503 HijackThisで出てくる範囲だと、変なエントリはRelatedだけだね (これはAd-awareSEなりSpybotで除去できるスパイウェア) Ad-awareSEとSpybot使ってスキャンすれば、HijackThisで出てくる問題点は特にないと思う マカフィーのパーソナルファイヤーウォールの設定の問題の可能性があるので http://www.mcafeesecurity.com/japan/mcafee/faq/default.asp?submit1=TRUE ここで検索してみて、それでもわからないならば がんばれマカフィーPART11 http://pc5.2ch.net/test/read.cgi/sec/1096245329/ こっちで質問するのがよいかと思うよ
505 :04/10/18 >504 そうですか、ありがとうございました。 失礼します。
506 :04/10/19 マカの話題がでたついでに、少々お聞きしたい事が。 現在マカをアンインストールをしてバスター入れているのですが O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file) のエントリはマカフィーツールバーの残骸なんでしょうか? (>>502 の03エントリを見てて気がついたのです) 残骸ならフィックした方がよいですかね・・・
507 :04/10/19 >>506 http://computercops.biz/clsid-895.html 間違いなくその残骸かと。 基本的に、no fileとなっているものは実行ファイルが既にないという事なので 無害であり、特に気にならないならFixしなくても平気だったりします。 が、俺の場合はいらないレジストリエントリがあるのが何となく嫌なのでFixします。 お好みでよいかと
508 :04/10/19 >>507 やはりそうでしたか・・。フィックする事します。 ありがとうございました。
509 :04/10/19 >501ですが、今日はそのような症状が見られませんでした。 hijackthisの問題のエントリーもfixしていませんし、mpfの設定も いじっていません。やっぱりバグなのか、俺のパソコン自体に問題があるのか、 それとも今日だけなのか、また明日になればわかるよね。 って板違いですね。
510 :04/10/19 >>509 軽く喰らってる事は確か。
511 :04/10/19 >510 悪質な奴で無かったらスルーしてもいいですか? つーか、自動起動プログラムを見ても怪しい項目が見当たらないんですが。 一応ヒマなときにググって調べてみます。
512 :04/10/19 >>511 というか、SpybotとAd-awareSEをダウンロードしてスキャンすれば 綺麗になるよ、レジストリ上は。HijackThisでFixするまでもないかと。
513 :04/10/19 >512 それやってみようかな… それより再起動したら変なエラーが出たぞ! テキスト開いたらこんなメッセージが表示されていた。 ********* McAfee Personal Firewall Plus によって、MPFTRAY.EXE にエラーが生成されました。 Time:10/19/2004 21:06:57 Build:6014 Exception:ACCESS_VIOLATION (C0000005) Location:BFF7A388 => C:\WINDOWS\SYSTEM\KERNEL32.DLL [02:00001388] Registers: EAX: 00F0FD18 EBX: 00001414 ECX: 93E5CB3D EDX: CD5B2620 ESI: 00F1EC10 EDI: 0174EDC0 CS:EIP: 0167:BFF7A388 SS:ESP: 016F:006DDE14 EBP: 006DDE38 DS: 016F ES: 016F FS: 390F GS: 0000 Flags: 00010206
514 :04/10/19 Call Stack: Address Frame Logical Addr Module BFF7A388 006DDE38 0002:00001388 C:\WINDOWS\SYSTEM\KERNEL32.DLL BFF7A550 006DDE60 0002:00001550 C:\WINDOWS\SYSTEM\KERNEL32.DLL BFF88F4A 006DDE74 0002:0000FF4A C:\WINDOWS\SYSTEM\KERNEL32.DLL 0046D24D 006DDEB0 0001:0006C24D C:\PROGRAM FILES\MCAFEE.COM\PERSONAL FIREWALL\MPFTRAY.EXE 0046D26F 006DDF18 0001:0006C26F C:\PROGRAM FILES\MCAFEE.COM\PERSONAL FIREWALL\MPFTRAY.EXE 0048C50E 006DDF8C 0001:0008B50E C:\PROGRAM FILES\MCAFEE.COM\PERSONAL FIREWALL\MPFTRAY.EXE BFF7363B 006DDFAC 0001:0000263B C:\WINDOWS\SYSTEM\KERNEL32.DLL BFF945AF 006DDFC0 0002:0001B5AF C:\WINDOWS\SYSTEM\KERNEL32.DLL KERNEL32.DLL って>501のRun-プロセスにあるじゃねーか! こいつが問題起こしてるのかな?
515 :04/10/19 レジストリ内を「cnsmin」で検索かけたら見つかった! この場合、迷わず削除するべきですか?
516 :04/10/19 >>513-514 >>501-503 さんのHijackThisログに対しては、>>512 という話ね。他の人は知らない マカフィースレで聞いてみた方がいいと思うよ、Kernel32.dllはシステムファイルだし >>515 レジストリいじるだけでは、数があまりに多すぎてまずCnsMinを駆除するのは不可能 コンパネから削除するなり、被害対策の部屋のコンテンツを見て駆除した方がいいよ
517 :04/10/20 良スレage
518 :04/10/21 (・3・) エェー よいこの相談待ってるYO♪
519 :04/10/21 (・3・) エェー よいこの相談待ってるYO♪
520 :04/10/21 sage
521 :04/10/23 おや?
522 :04/10/23 >ぼるじょあ ◆yBEncckFOUさんへ >c:windows\explorer を削除しようと試しましたが、使用中です。と 言われたので、セーフモードで立ち上げて消そうとしたのですが、 使用中です。と言われたので半場諦めモード突入です。 どうやって消したらいいんですか教えて下さい!
523 :04/10/23 エロサイトのウィルスに感染して困った時期がありました。 osはwindowsでブラウザはieでした。 アップデートも前は定期的に行なっていました。 セキュリティソフトもパソコンにインストールされていた時もありました。 パソコンをスキャンしてみたら、c:windows\explorer.exeが存在しないと 言われたので、これは緊急事態! ということなのでc:windows\explorer.exeを削除を試しましたが、 windowsが使用中です。と言われて削除ができないので、 レジストリエディタを開いてexplorer.exeを検索してhitした項目を 片っ端から削除。そして再起動。 起動できなくなり、すっきりしました。 無事解決しました。ありがとうございます。
524 :04/10/25 ?
525 :04/10/25 (・3・) エェー
526 :04/10/27 (・3・) アルェー よいこの質問待ってるYO♪
527 :04/10/27 ねえよ。残念。
528 :04/10/30 ぼるじょあさん、暇そうね・・・
529 :04/10/30 >>528 (・3・) エェー ありがとうだYO
530 :04/11/04 >>529 お忙しいところ恐れ入ります 質問です 一応、ハイジャックのツールを使って EliteToolBarを消したんですけど アプリケーションに行くと、エキスプローラーマークに EliteBar Internet Explorer Toolbarと表示されている UNINSTALLPROGRAMLISTでログとりますと "DisplayName"="EliteBar Internet Explorer Toolbar"が残ってるんですけど これは削除されてないと言うことなのでしょうか?
531 :04/11/04 >>530 (・3・) エェー >>34 の作業を実行してみてNE (・3・) エェー それでも、コンパネに残る様でしたら ↓を使ってみて下さいYO http://www.vector.co.jp/soft/win95/util/se259857.html
532 :04/11/04 >>531 ありがとうございました >>34 の作業済み後にかきこみました このツール凄いです。
533 :04/11/09 さぁ!盛り上がってまいりました! tp://www.higaitaisaku.com/cgi-bin/cbbs.cgi?mode=all&namber=48592&type=0&space=0&no=0
534 :04/11/09 1.年齢、月収・・・・・・・・・・・・・・・
535 :04/11/12 素直というか無知というか・・・・
536 :04/11/12 あそこも回答者の質が落ちたな
537 :04/11/13 キャットタソも居なくなったし・・・
538 :04/11/14 まだまだ盛り上がってます tp://www.higaitaisaku.com/cgi-bin/cbbs.cgi?mode=all&namber=4862&type=0&space=0&no=3
539 :04/11/14 これアンインストールってどうやってすんの?
540 :04/11/14 >>539 実行ファイルをDLして使用してるだけならフォルダごと削除 インストーラーを使用したならコントロールパネルからアンインスコ 几帳面ならこれも削除しとけ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe HKEY_LOCAL_MACHINE\SOFTWARE\Soeperman Enterprises Ltd.\HijackThis
541 :04/11/14 ConfigのMisc ToolsにあるUninstall hijackThis & Exitじゃだめなの?
542 :04/11/19 >>538 もう見れない・・・・・
543 :04/11/20 あんのん擁護の群青があんのん避難の書き込みを全て削除 最終的には親書き込みを含めて全ログ削除
544 :04/11/20 >>543 どんな内容だったんですか?
545 :04/12/19 about blankの一種のsearch…がでてくるやつにかかったんだけど…Hijack Thisでしらべたらこうなりました。
546 :04/12/19 Logfile of HijackThis v1.98.2 Scan saved at 23:08:40, on 04/12/18 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WEBSCANX.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\HIDSERV.EXE C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSSTAT.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAM FILES\COMMON FILES\FUJITSU SHARED\BTNHND.EXE C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\AVCONSOL.EXE C:\PROGRAM FILES\FUJITSU\AUV\AUVCORE.EXE C:\WINDOWS\SYSTEM\IMEJP98M.EXE C:\PROGRAM FILES\DI\HATCHINSIDE\HATCHINSIDE.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAM FILES\GIKONAVI\GIKONAVI.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\デスクトップ\HIJACKTHIS\HIJACKTHIS.EXE
547 :04/12/19 O2 - BHO: IAtlIE Class - {4449EEE1-2955-11D3-8B43-0000E20DA208} - C:\PROGRA~1\INETLITE\ATLIE.DLL O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL O2 - BHO: (no name) - {E42E7DE1-4FB4-11D9-99ED-000763299CB1} - C:\WINDOWS\SYSTEM\BIGPPL.DLL O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [internat.exe] internat.exe O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [LoadBtnHnd] C:\Program Files\Common Files\Fujitsu Shared\BtnHnd.exe O4 - HKLM\..\Run: [AvconsoleEXE] C:\Program Files\Network Associates\McAfee VirusScan\avconsol.exe /minimize O4 - HKLM\..\Run: [Vshwin32EXE] C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE O4 - HKLM\..\Run: [VsStatEXE] C:\Program Files\Network Associates\McAfee VirusScan\VSSTAT.EXE /SHOWWARNING O4 - HKLM\..\Run: [McAfeeWebScanX] C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe O4 - HKLM\..\RunServices: [Hidserv] Hidserv.exe run O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [Vshwin32EXE] C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE O4 - HKLM\..\RunServices: [McAfeeWebScanX] C:\PROGRAM FILES\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe /RUNSERVICES
548 :04/12/19 O4 - Startup: FM便利ツール.lnk O4 - Startup: hatchinside.exe.lnk = C:\Program Files\DI\HatchInside\hatchinside.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O18 - Filter: text/html - {E42E7DE0-4FB4-11D9-99ED-00070C65392A} - C:\WINDOWS\SYSTEM\BIGPPL.DLL O18 - Filter: text/plain - {E42E7DE0-4FB4-11D9-99ED-00070C65392A} - C:\WINDOWS\SYSTEM\BIGPPL.DLL 「your system infected」という表示がよく出てきます。 どこをFIXしましょう?? adwareで消そうとすると除去途中の画面でとまってしまいます。
549 :04/12/19 >>548 >adwareで消そうとすると除去途中の画面でとまってしまいます。 たぶんね、それはまだ除去途中なだけだと思うんだな。 最新の定義にして、寝る前にスキャンかけておくといいと思うよ あと、セーフモードでもう1回スキャンした方がよさそう。
550 :04/12/19 >>549 ありがとうございます。
551 :04/12/19 試してみたらDELETING SELECTIONのゲージが最後までたまった状態で10分くらいそのままになってるんですが…
552 :04/12/20 adawareでは消せませんでした。どうしましょう??
553 :04/12/20 >>552 (=^u^=)つ 98のトラブルは大体この方法で解決するなりよ ●一番古い日付は不可なり。 MS-DOSモードで起動 「 scanreg /restore 」 と入力 (すべて半角、scanregの後に半角スペース) レジストリのバックアップが表示されるので、問題なく動作していた日付を選択 「復元完了」と表示されたら「R」キーを押して再起動するなり スタート>検索>ファイルやフォルダ トラブルのあった日に 作成されたファイルで見覚えのないものを削除するなり。
554 :04/12/22 >>552 ここは見てみた? http://www.higaitaisaku.com/removeaboutblank.html
555 :04/12/23 >>553 >>554 ありがとうございます。
556 :05/01/16 直った?
557 :05/01/21 Hijack Thisのサイトのどこかに以下 Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe ............... のような結果を貼り付けて送信すると なにとなにを削除したほうがよいと自動的に分析してくれるところがありましたよね。 以前それで除去に成功できたんですけどURLを教えてください。 今>>1 にある関連サイトhigaitaisaku・・・は全部 INTERNET OPTIMIZER になっちゃってます。
558 :05/01/21 >>557 ( ・∀・)つhttp://www.hijackthis.de/index.php?langselect=english でもいきなりHijackthisじゃなくて、アンチウィルスソフト、Ad-aware、Spybotで 掃除してからの方がいいよ INTERNET OPTIMIZERは割と既出なスパイウェアだから、対策ソフトで掃除可能な 場合も結構多いので
559 :05/01/21 >>558 感謝です。
560 :05/02/03 この間掲示板を見ていたら、ブラクラっぽいのを踏んで、スパイウェアをダウンロ ードさせられてしまいました。 spybotをもともと持っていたので、Coolwwwsearchというのを削除しました。 しかし、スタートページが勝手に変えられてしまったり、デスクトップの表示が変だった りするのがなおりません。 そこで、調べていくとon-line.exeというのもダウンロードさせられていたみたいでした。 それに関連すると思われるのを1つ手動で削除したのですが、それでも直りません。 どうしたらよいでしょうか。よろしくおねがいします。 IEを開いたときに表示させられてしまう物のSSです。 http://atticroom.fc2web.com/files/Img/ss.jpg
561 :05/02/04 連続レススマソ。 Ad-awareとspybotを併用したのに消えませんですた。 どうしたらいいかおしえてください。
562 :05/02/04 >>560 on-line.exeは確かウィルスだった気がするんだけど、 アンチウィルスソフトは入ってる?あるいはオンラインスキャンしてみた? CWShredderは使ってみた?
563 :05/02/04 サイトの管理人?
564 :05/02/04 再インスコw
565 :05/02/05 >>562 アンチウイルスソフトは、ウイルスセキュリティっていうのが入っています。 CWShredderはまだです。やってみますた。
566 :05/02/15 ttp://www.higaitaisaku.com/hijackthis.html ↑で赤字で「これらは絶対にFixしてはいけません。」て書かれていたの忘れて、 hijack thisでo18のところを全部FIXしてしまいました メールが開けなくなりました・・・ リカバーしたいのですが、誰かやり方を教えていただけないでしょうか?
567 :05/02/15 >>566 (=^u^=)つ 「Config」→「Backups」を選ぶと、これまで処理したファイルの一覧が出ます。 これらは削除したエントリーごとに作られるので、個別のエントリーを復帰/削除できます 復活したいファイルを指定して「Restore」をクリックすると確認メッセージが出ます 「はい」をクリックすればリストアされます
568 :05/02/15 >>567 おお!直りました!! たぬたん、ありがとう〜 こんな親切な人初めてです(^-^*)
569 :05/02/22 オットのパソコンをなおそうとがんがったけどだめですorz >>558 でチェックしてます。 nastyとなってるのを削除何度もするのに何度でも01が復活します。 O1 - Hosts: 69.20.16.183 auto.search.msn.com Nasty This entry should be fixed immediately! Must be fixed! O1 - Hosts: 69.20.16.183 search.netscape.com Nasty This entry should be fixed immediately! Must be fixed! O1 - Hosts: 69.20.16.183 ieautosearch spybotもhijackthisも試しました。 hijackthisで?になっているのは以下のとおり。 C:\WINDOWS\system32\CNAC1RPK.EXE C:\Program Files\GW-NS11C Utility\WlanUtility.exe Unknown running process. (WlanUtility.exe) O4 - HKLM\..\Run: [yikejpf] C:\WINDOWS\System32\xinlee.exe Unknown Hit rate: 8 % (result) Unknown application. O4 - HKLM\..\Run: [vkp] C:\WINDOWS\vkp.exe Unknown Hit rate: -1 % (result) Unknown application. O4 - HKLM\..\Run: [SysView] C:\WINDOWS\System32\Sysview.exe Unknown Hit rate: 8 % (result) Unknown application. O20 - Winlogon Notify: Internet Settings - C:\WINDOWS\system32\lv0q09d5e.dll Unknown O21 - SSODL: ProxiHook - {54F89558-2511-4200-A8A1-FA2C78D2986E} - Msshtask.dll (file missing) あとはsafeでした。どなたか教えてエロイ人<(_ _)>
570 :05/02/22 まあエロいご主人ですことw
571 :05/02/22 >570 もちろんはったおしましたがなにか? どこで感染したんじゃマジできれる
572 :05/02/23 >>569 (=^u^=) たぬたんが見たところ全消しなりね。 以下の作業を実行するなり。 hostsファイルの削除 http://www.higaitaisaku.com/hosts.html 次にHijackThis以外のウィンドウをすべて閉じ、 エントリにチェックを入れてFix後、PCを再起動するなり。 そして関連ファイルを削除するなり。 念の為にゴミ箱に10日位は残しておくなり。 セーフモードでAd-Aware SE、Spybot1.3、CoolWebSearch http://www.higaitaisaku.com/removecws.html 最後に IE 関連レジストリの完全なリセット http://www.higaitaisaku.com/cleanfixreg.html (=^u^=) 他の回答者さんの意見も参考に作業して下さいなりね。
573 :05/02/24 エロサイト巡りの後始末を奥さんにやらせるってのもねえw
574 :05/02/24 >>573 まあね。結局解決方法をメール発射してもぜんぜん理解できないって 言ってたし。どこのサイト行ってそんなことになったのかが分からないってのもどうかと。 で、奥さんはスキルアップしていくわけだが。 どっかでネタにしてやろうと思ってますよ。 >>572 たぬたんサンクスコ!まずはやってみます。
575 :05/02/25 NTFSでフォーマットして 制限ユーザーアカウント作って旦那にはそれだけ使わせとけ
576 :05/02/25 >>573 そりゃ奥さんがやらせてあげないからだ
577 :05/02/26 >>572 いや、驚いた。 hostsファイルを上書きしてもすぐ自動で書き込みします。 その内容は以下のとおり。 127.0.0.1 www.igetnet.com 127.0.0.1 code.ignphrases.com 127.0.0.1 clear-search.com 127.0.0.1 r1.clrsch.com 127.0.0.1 sds.clrsch.com 127.0.0.1 status.clrsch.com 127.0.0.1 www.clrsch.com 127.0.0.1 clr-sch.com 127.0.0.1 sds-qckads.com 127.0.0.1 status.qckads.com 69.20.16.183 auto.search.msn.com 69.20.16.183 search.netscape.com 69.20.16.183 ieautosearch 69.20.16.183 ieautosearch 検索すると外国語ばかり。日本のこういう事例はないのか。 どうやったら上書きされないですむのかな。
578 :05/02/26 あははははっはっはっは
579 :05/02/26 >>577 (=^u^=) そうなりか、一度最新のログを全部貼り付けて下さいなり。
580 :05/02/26 hostsファイルを読み取り専用にすれば?
581 :05/02/27 >>580 読み取り専用をはずしてニョキニョキと上書きしてくるYO! hostsファイルの名前をhost2と言う名前にしたら 新たにhostsファイルがニョキニョキと生えてくるよ(T0T) >>579 Logfile of HijackThis v1.99.1 Scan saved at 0:16:05, on 2005/02/27 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\TRENDM~1\VIRUSB~1\PcCtlCom.exe C:\PROGRA~1\TRENDM~1\VIRUSB~1\Tmntsrv.exe C:\PROGRA~1\TRENDM~1\VIRUSB~1\tmproxy.exe C:\WINDOWS\system32\fxssvc.exe C:\WINDOWS\system32\CNAC1RPK.EXE C:\WINDOWS\Explorer.EXE C:\PROGRA~1\TRENDM~1\VIRUSB~1\TmPfw.exe C:\PROGRA~1\TRENDM~1\VIRUSB~1\PccGuide.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Program Files\Synaptics\SynTP\SynTPLpr.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\system32\carpserv.exe C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe C:\Program Files\iPod\bin\iPodService.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\GW-NS11C Utility\WlanUtility.exe C:\WINDOWS\System32\svchost.exe C:\backup\hijackthis_199\HijackThis.exe 続く
582 :05/02/27 F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe N3 - Netscape 7: user_pref("browser.startup.homepage", "http://www.yahoo.co.jp/ "); (C:\Documents and Settings\剛司\Application Data\Mozilla\Profiles\default\eycvidmo.slt\prefs.js) N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CAOL_Japan.src"); (C:\Documents and Settings\剛司\Application Data\Mozilla\Profiles\default\eycvidmo.slt\prefs.js) O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch O1 - Hosts: 69.20.16.183 ieautosearch O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [CARPService] carpserv.exe
583 :05/02/27 O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [imjpmig] C:\Program Files\Common Files\Microsoft Shared\IME\IMJP\imjpmig.exe /RemAdvDef /AIMEREG /Migration /SetPreload O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [yikejpf] C:\WINDOWS\System32\xinlee.exe O4 - HKLM\..\Run: [vkp] C:\WINDOWS\vkp.exe O4 - HKLM\..\Run: [SysView] C:\WINDOWS\System32\Sysview.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" O4 - HKLM\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Virus Buster 2005\pccguide.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
584 :05/02/27 O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: このページのキャッシュ - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: リンク元 - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: 関連ページ - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {3BA66EC1-3F6A-49DD-A359-CBAA1290469F} (ToonsXYJ Control) - http://comics.yahoo.co.jp/component/ToonsXYJ.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/22e6f7627ca99c50bf14/netzip/RdxIE601_ja.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/jp/win/QuickTimeInstaller.exe O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab O16 - DPF: {E549AC3F-9A90-4EBF-AF69-8B8CC0954DB2} (ToonsXYahooJapan Control) - http://comics.yahoo.co.jp/component/ToonsXYahooJapan.cab
585 :05/02/27 O20 - Winlogon Notify: ModuleUsage - C:\WINDOWS\system32\r4r60e9seh.dll O21 - SSODL: ProxiHook - {54F89558-2511-4200-A8A1-FA2C78D2986E} - Msshtask.dll (file missing) O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\VIRUSB~1\PcCtlCom.exe O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\VIRUSB~1\Tmntsrv.exe O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\VIRUSB~1\TmPfw.exe O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\VIRUSB~1\tmproxy.exe これで最後でつ。お手数おかけしてすみません<(_ _)>
586 :05/02/27 奥さん、おいらのニョキニョキも助けてください!
587 :05/02/27 毒男氏ね
588 :05/02/27 585です。結局主人は再インスコしますた。 それによりhostsファイルはニョキニョキしなくなりました。 もうちょっと人柱になってもよかったと思うのですがスレ汚しになって すみませんでした。 どこに行ったのかわかりませんでしたが、今思えばsearch the webという googleツールバーみたいなものがかつて下のほうにありました。 alexaツールバーみたいともいいますが、それが今思うと胡散臭かったような気がします たぬたんタソありがとうございました。本当に感謝感激です。
589 :05/02/27 >>588 (=^u^=) ゲッ!!!ごめんなり、たぬたん今帰ってきたなり。 もう遅いなりが参考までに貼っておくなり m(_ _)m Kill2MeとeScanを使ったLook2Meの対処法 http://tinyurl.com/52x42
590 :05/03/11 どれが危険なのかわかりません Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe C:\WINNT\System32\svchost.exe C:\Program Files\AMD\Cool'n'Quiet\GemServ.exe
591 :05/03/11 c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\MSTask.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\MsPMSPSv.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\svchost.exe c:\PROGRA~1\mcafee.com\vso\mcshield.exe C:\WINNT\Explorer.EXE C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe C:\WINNT\system32\imejpmgr.exe C:\Program Files\MSN Apps\Updater\01.02.3000.1001\ja\msnappau.exe C:\Program Files\Motherboard Monitor 5\MBM5.EXE C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe C:\PROGRA~1\mcafee.com\agent\mcagent.exe c:\progra~1\mcafee.com\vso\mcvsescn.exe C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe C:\WINNT\system32\ezSP_Px.exe C:\WINNT\system32\internat.exe C:\Program Files\メモリの掃除屋さん\MemCleaner.exe C:\WINNT\system32\conime.exe C:\Documents and Settings\Administrator\デスクトップ\hijackthis\HijackThis.exe
592 :05/03/11 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\ja\msntb.dll O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1041,ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\ja\msntb.dll O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\ja\msnappau.exe"
593 :05/03/11 O4 - HKLM\..\Run: [MBM 5] "C:\Program Files\Motherboard Monitor 5\MBM5.EXE" O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe" O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINNT\system32\ezSP_Px.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" O8 - Extra context menu item: Net Transportでダウンロード - C:\Program Files\Xi\NetTransport 2\NTAddLink.html O8 - Extra context menu item: 全てをNet Transportでダウンロード - C:\Program Files\Xi\NetTransport 2\NTAddList.html
594 :05/03/11 O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/17de158676701f45d505/netzip/RdxIE601_ja.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/jp/win/QuickTimeInstaller.exe O16 - DPF: {8123E390-5EF7-11D5-A72E-006097BFA1AC} (EPSON Driver Auto-Install Control Class) - http://www.i-love-epson.co.jp/support/selfsetup/prg/estdinst.cab O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by101fd.bay101.hotmail.msn.com/activex/HMAtchmt.ocx O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe O23 - Service: AMD PowerNow! (tm) Technology Service (GemServ) - Advanced Micro Devices - C:\Program Files\AMD\Cool'n'Quiet\GemServ.exe O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
595 :05/03/12 分析と研究はするが、助言をするかは判らない。
596 :05/03/16 はじめまして今www.advnt01のサイトがie立ち上げるたびに出てきて 悩んでいますt_t)自分なりにHijackで調べてみたものの 全くわからなくて行き詰ってしまいました。 諸先輩方どうかお力を貸してやってださいm(__)m Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\Program Files\Norton Internet Security\NISUM.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Norton Internet Security\ccPxySvc.exe C:\Program Files\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\WINDOWS\rkhipy.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\ISTsvc\istsvc.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\AutoCAD LT 2002\aclt.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Cg\新しいフォルダ\hijackthis\HijackThis.exe
597 :05/03/16 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [JobHisInit] C:\Program Files\RMClient\JobHisInit.exe O4 - HKLM\..\Run: [MplSetUp] C:\Program Files\RMClient\MplSetUp.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [d7aw] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [sais] c:\program files\180solutions\sais.exe O4 - HKLM\..\Run: [lyr] C:\WINDOWS\lyr.exe O4 - HKLM\..\Run: [C>糎INDOWS\roロiaYァC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [C:\WINDOW1<rkhipy.eC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [d7aiC:\WINDOWS\khiC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [- ] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [Fュ] C:\WINDOWS\rkhipy.exe
598 :05/03/16 O4 - HKLM\..\Run: [>曾WINDOWS\rkhipy.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [>曾WINDOWS\,hipy.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [C:\WINDOWS\rkhipy.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [>曾WINDOWS\rka$py.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [>曾WINDOWS\,a\y.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [>曾WINDOWS\,a\y\xC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [>曾WINDOWS\,aコaaYC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [>曾WINDOWS\{oaコoロ・C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [>繕・NDOWS\{oロ・oロ・C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [>繕・NDOWS\{oロ・oロ譏C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [>詮ュワ(DOWS\{oロ譏oロ譏C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [^ヤ}ネ ン9ソフ*]M・タa_:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [>曾WINDOWS\a$oロpy\xC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [C>糎INDOW1<roロiaYァC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [C>糎INDOW1<a$ロ,YァC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [ccApp] C:\Program Files\Common Files\Symantec Shared\ccApp.exe O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe O4 - HKLM\..\Run: [^ヤ] C:\WINDOWS\rkhipy.exe
599 :05/03/16 O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [C:\WINDOWS\a$oロpy\xC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [C:\WINDOWS\a$oロ,\xC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [C>糎INDOWS\aコaaYァC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe O4 - HKLM\..\Run: [U・WINDOWS\,hipy.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [U・WINDOWS\,a$py.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [U6・NDOWS\,a$py.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun の Java コンソール - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra button: (no name) - {6224f700-cba3-4071-b251-47cb894244cd} - (no file) O9 - Extra button: (no name) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.applied-net.co.jp
600 :05/03/16 O16 - DPF: Yahoo! JAPAN Othello - http://yog34.games.mci.yahoo.co.jp/yog/yj/rt1_x.cab O16 - DPF: {1F831FAA-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Program Files\AutoCAD LT 2002\InstFred.ocx O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/09d9a5fffd4318558623/netzip/RdxIE601_ja.cab O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://218.44.249.130:8081/activex/AxisCamControl.cab O16 - DPF: {A890AED3-A23B-4F76-BD69-D6AFB6A2296E} (WebViewer Class) - http://211.122.206.190/JViewer.cab O16 - DPF: {AE56372A-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Program Files\AutoCAD LT 2002\InstBanr.ocx O16 - DPF: {B942A249-D1E7-4C11-98AE-FCB76B08747F} (RealArcadeRdxIE Class) - http://games-dl.real.com/gameconsole/Bundler/CAB/RealArcadeRdxIE.cab O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview コントロール) - file://C:\Program Files\AutoCAD LT 2002\AcPreview.ocx O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
601 :05/03/16 O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\ccPxySvc.exe O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\Norton Internet Security\NISUM.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe 長々と失礼しましたよろしくお願いします
602 :05/03/17 >>601 (=^u^=) ネットに繋いだ状態でコンパネからIST svcを削除するなり。 HijackThis以外のウィンドウをすべて閉じ、 エントリにチェックを入れてFix後、PCを再起動するなり。 RealPlayer関連の不要エントリも含むなり。 O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [d7aw] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [sais] c:\program files\180solutions\sais.exe O4 - HKLM\..\Run: [lyr] C:\WINDOWS\lyr.exe O4 - HKLM\..\Run: [C>糎INDOWS\roロiaYァC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [C:\WINDOW1<rkhipy.eC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [d7aiC:\WINDOWS\khiC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [-] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [Fュ] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [>曾WINDOWS\rkhipy.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [>曾WINDOWS\,hipy.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [C:\WINDOWS\rkhipy.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [>曾WINDOWS\rka$py.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [>曾WINDOWS\,a\y.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [>曾WINDOWS\,a\y\xC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [>曾WINDOWS\,aコaaYC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [>曾WINDOWS\{oaコoロ・C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [>繕・NDOWS\{oロ・oロ・C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [>繕・NDOWS\{oロ・oロ譏C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe
603 :05/03/17 (=^u^=) 続きなり O4 - HKLM\..\Run: [>詮ュワ(DOWS\{oロ譏oロ譏C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [^ヤ}ネ ン9ソフ*]M・タa_:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [>曾WINDOWS\a$oロpy\xC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [C>糎INDOW1<roロiaYァC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [C>糎INDOW1<a$ロ,YァC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [^ヤ] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [C:\WINDOWS\a$oロpy\xC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [C:\WINDOWS\a$oロ,\xC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [C>糎INDOWS\aコaaYァC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe O4 - HKLM\..\Run: [U・WINDOWS\,hipy.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [U・WINDOWS\,a$py.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe O4 - HKLM\..\Run: [U6・NDOWS\,a$py.exC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rkhipy.exe O9 - Extra button: (no name) - {6224f700-cba3-4071-b251-47cb894244cd} - (no file) O9 - Extra button: (no name) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - (no file) (=^u^=) 覚えがなければ削除するなり O16 - DPF: {A890AED3-A23B-4F76-BD69-D6AFB6A2296E} (WebViewer Class) - http://211.122.206.190/JViewer.cab 以下のファイルを削除するなり,念の為ゴミ箱に10日位残しておくなり。 WINDOWS\rkhipy.exe c:\program files\180solutions\sais.exe C:\WINDOWS\rkhipy.exe
604 :05/03/17 (=^u^=) 以下も実行してゴミ掃除しておくなり http://pc5.2ch.net/test/read.cgi/pcqa/1109928233/2 ブラウザジャッカーCoolWebSearch駆除ツール ttp://www.higaitaisaku.com/removecws.html 定番スパイウェア除去ソフト、Ad-awareSEとSpybotS&Dを使って除去。 Ad-Aware SEによるスパイウェアの除去方法 ttp://www.higaitaisaku.com/adaware.html http://lavasoft.element5.com/default.shtml.ja (公式サイト) ttp://bdc.s15.xrea.com/(日本語化パッチ) Spybot1.3によるスパイウェアの除去方法 ttp://www.higaitaisaku.com/spybot2.html http://www.safer-networking.org/ (公式サイト)
605 :05/03/17 >>594 (=^u^=) ログに大きな問題はなさそうなり 何か不具合があるなりか?
606 :05/03/17 (=^u^=) 間違えたなり 以下のファイルを削除するなり,念の為ゴミ箱に10日位残しておくなり。 C:\WINDOWS\lyr.exe c:\program files\180solutions\sais.exe C:\WINDOWS\rkhipy.exe
607 :05/03/25 O13 - DefaultPrefix: O13 - WWW Prefix: O13 - Home Prefix: O13 - Mosaic Prefix: O13 - FTP Prefix: O13 - Gopher Prefix: hijackでfixしてもすぐに復活する。 どうにかして削除できる方法はないですか?
608 :05/03/25 >>607 Internet Explorer関連レジストリの完全なリセット ttp://www.higaitaisaku.com/cleanfixreg.html
609 :05/03/25 >>608 ありがとう やっと削除できた・・・
610 :05/03/27 【動機は】雑音犬畜生Part28【何?】 http://tmp4.2ch.net/test/read.cgi/tubo/1107679450/
611 :05/04/03 >>35 しんどけよ 存在価値なしのゴミクズ
612 :05/04/03 誤爆?
613 :05/04/03 他のスレでも見掛けたけど、どこだったっけ えらく昔のカキコにわざわざ食いついてるバカ
614 :05/04/03 (・3・) エェー よいこのセクルチーの相談待ってるYO♪
615 :05/05/22 このスレ、何で反応するんだ?
616 :05/05/23 ms-its じゃないか?
617 :05/05/23 >>616 ビンゴ!! O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.133/legal/x.chm::/load.exe これをtxt保存で反応するね。ガンガレ!マカヒー
618 :05/06/14 できました。
619 :05/06/22 これやばいかな? O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
620 :05/06/22 印照のドライバ関係か ttp://www.greatis.com/appdata/a/i/igfxsrvc.dll.htm
621 :05/06/22 なるほど これ見るかぎりは大丈夫そうだね サンクス
622 :05/06/27 あい。
623 :05/07/09 >>619 Intel Graphic Driver関連。 入れてる人は殆ど出ると思う。
624 :05/07/10 なるほど。
625 :05/07/26 保守('A`)マンドクセ
626 :05/08/05 ,.._,/ /〉___o ○(…朝風呂ぬるぽ) ./// //──∧_゚∧ ─::ァ /| /// //~~'~~(‐∀‐ ,)~~/ / .| .///_// "'''"'''"'" / / | //_《_》′─────‐ ' / ./ | ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄| / | .| ./ |__________|/
627 :05/08/19 保守('A`)マンドクセ
628 :05/08/24 あい。
629 :05/08/29 客いないね。
630 :05/08/29 夏休みが静かに終わるでつよ 保守おつかれ
631 :05/08/29 どなたか・・・ 確か海外のサイトでこのログをそのままコピペして有る程度診断してくれるサイトがあったはずなんだけど 知っている方いませんか? 1回だけ利用してお気に入りにしておくのを忘れてしまったんです
632 :05/08/29 >>631 HijackThis log file ysis http://hijackthis.de/
633 :05/08/29 ★★★★★★★★★★★★★★★★★★★★★★★★★ ウイルス対策ソフトの検出力結果 http://www.geocities.co.jp/SiliconValley-Cupertino/2010/ ★★★★★★★★★★★★★★★★★★★★★★★★★
634 :05/08/29 >>633 どうせコピペするなら上のリンクくらい追加しとけ
635 :05/08/29 >>631 あとここも ttp://hjt.iamnotageek.com/
636 :05/08/30 スパイウェアとかウイルスに感染してないか心配です。 どなたか鑑定おねがいします。 Logfile of HijackThis v1.99.1 Scan saved at 0:50:10, on 2005/08/30 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Symantec Shared\ccProxy.exe C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\Program Files\Norton Internet Security\ISSVC.exe C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Program Files\NTTE\Flets\app\TangoService.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\hkcmd.exe C:\Program Files\Analog Devices\Core\smax4pnp.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\WINDOWS\system32\ctfmon.exe
637 :05/08/30 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: ShowTangoBar Class - {603EC267-504E-4BD4-97F3-5DD71A271EAF} - C:\Program Files\NTTE\Flets\app\tangoiebar.dll O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: フレッツ接続ツール - {831AA893-5930-4A2B-8D38-B881AD1764E2} - C:\Program Files\NTTE\Flets\app\tangoiebar.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
638 :05/08/30 O8 - Extra context menu item: Net Transportでダウンロード - C:\Program Files\Xi\NetTransport 2\NTAddLink.html O8 - Extra context menu item: 全てをNet Transportでダウンロード - C:\Program Files\Xi\NetTransport 2\NTAddList.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun の Java コンソール - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: フレッツ接続ツール - {A26ABCF0-1C8F-46e7-A67C-0489DC21B9CC} - C:\Program Files\NTTE\Flets\app\tangoiebar.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {2931566C-B8A6-46C5-BF4D-E6AB9251E953} (Nexon Package Manager Control) - http://www.nexon.co.jp/JP/f/ActiveX/Public/nxpm.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1118928641921 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1122459103687 O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/SymAData.cab O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O20 - Winlogon Notify: WB - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll
639 :05/08/30 O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: Tango Service (TangoService) - Unknown owner - C:\Program Files\NTTE\Flets\app\TangoService.exe
640 :05/08/30 >>636 >>632
641 :05/08/30 >>636 まあ良いんでないの? ルーターは買った方が良いと思うけど
642 :05/08/30 631です。 >>632 >>635 ありがとう。早速お気に入りに追加しました。
643 :05/08/31 hijackthis.deで調べて、消した方がいい程度のものまで消して別のデスクトップPCがインターネットにつながらなくなってしまいました。 消したエントリもよく覚えていません。こんな状態では治せませんよね。バックアップもリストアしましたが、いくつかレジストリに戻せませんでした。
644 :05/08/31 そうですか
645 :05/08/31 >>643 間違えて、O10とかを弄ったんじゃないか? そのへんを無闇にfixすると、ネット接続できなくなることがあるらしい。 OSが何かわからんが、XPならシステムの復元で直らないかな?
646 :05/08/31 >>645 OSが2kで復元ポイントもないんです。どこを弄ったか20個くらい一気にfixしてしまったのでわかりません・・・。
647 :05/09/01 >>646 スタート画面から、「Config」→「Backups」を選ぶと、 これまで処理したファイルの一覧が出ます。 これらは削除したエントリーごとに作られるので、 個別のエントリーを復帰/削除できます 復活したいファイルを指定して「Restore」をクリックすると 確認メッセージが出ますので「はい」をクリックすればリストアされます ↑これは実行したのか?
648 :05/09/01 おや?
649 :05/09/06 Hijack Thisで2回連続スキャンしてしまいました。 確か1回スキャンしたら画面を閉じてからでないとスキャンしてはいけないみたいですが、どうなるのでしょうか?
650 :05/09/07 >>649 正しいスキャン結果が表示されないだけで PCには何ら影響はありません。
651 :05/09/08 >>650 ありがとうございました
652 :05/09/08 あい。またどうぞ。
653 :05/09/13 O10 - Unknown file in Winsock LSP: d:\program files\bonjour\mdnsnsp.dll O23 - Service: Bonjour サービス (Bonjour Service) - Apple Computer, Inc. - D:\Program Files\Bonjour\mDNSResponder.exe 上記のO10とO23が気になるのですが詳細教えてください
654 :05/09/14 >>653 (=^u^=) 両方ともiTunes5関係のアプリケーションなりよ
655 :05/09/15 ノートンを使ってるのですが、 このコンピュータに対する侵入 「ICC Profile TagData Overflow」 の試みを検出して遮断しました。 という警告が何度も出ます。これはなんですか? spybotとnortonですべてスキャンを実行しても何も出ませんでした
656 :05/09/16 しらんがな&スレ違い 他をあたってくれ
657 :05/09/16 たまーに右下に変な表示が出てきます。 黄色いアイコンで、クリックすると・・・ 後で画像をアップします。 後、 hijackthis.deを使ったら、 O4 - HKLM\..\Run: [Kernel32] C:\WINDOWS\SYSTEM\Kernel.dll の項目が危険と表示されたので削除しました。 で、しばらくするとまた復活します。 なんなんでしょうか?これは お願いします
658 :05/09/16 >>657 ( ・∀・)つVBS_REDLOF OS再インスコ推奨
659 :05/09/16 インスコってなんですか?
660 :05/09/16 >659 PC初期化と言った方が分かり易い? あと04のとこに「StartUp:folder.htt」というのも無いか。
661 :05/09/16 O4 - Startup: FOLDER.HTT O4 - Global Startup: FOLDER.HTT これですか?
662 :05/09/16 失礼しました、移動します
663 :05/09/16 >661 ふぅ〜やはりな… REDLOFによる症状が出ちゃってるね。 今後、マイコンピュータやマイドキュメントなどを開くことは一切禁止 感染が広がります(もう手遅れだと思いますが) このウイルスは以下の拡張子を持つファイルに感染します。 VBS ASP JSP PHP HTM HTML HTT バックアップを取る際は、上記の拡張子のバックアップは取らないように。 ちなみにこのウイルスは「感染すると致命傷」とのことなので、リカバリーをお奨めします。
664 :05/09/16 >>661 >>660 は確実にREDLOF感染か確認したんだよ REDLOFに感染している様では、複合感染している可能性があるからおれはOS再インスコ奨めたんだ。 これからはアンチウイルス、ファイアーウォール導入とWindows updateを実行しなされ。
665 :05/09/16 遅かったか・・・でもOS入れ直しで意見は一致
666 :05/09/16 ありがとうございました 俺の心にも致命傷が
667 :05/09/16 ワラタ
668 :05/09/17 >>666 初期化して再インスコだなww
669 :05/09/19 _、_ ( ,_ノ` )y━・~~~
670 :05/09/25 O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe これは大丈夫でしょうか?(´・ω・`)
671 :05/09/26 >>670 (=^u^=) 心配ないなりよ♪
672 :05/10/05 おや?
673 :05/10/23 _、_ ( ,_ノ` )y━・~~~
674 :05/10/27 (^3^) エェー
675 :05/10/31 O4 - HKLM\..\Run: [System service79] C:\WINDOWS\etb\pokapoka79.exe これは何なんでしょうか?
676 :05/10/31 >>675 トロイです
677 :05/10/31 >>675 (=^u^=) 今年の夏にpokapoka62.exeが大流行したなりが その亜種なりね・・・・ 警告音が鳴ってないなりか?リカバリをお薦めするなり・・
678 :05/11/02 セーフモードで立ち上げてアドミニストレーターで入ると pokapoka79.exeだの変なツールバーがまとめて入ったフォルダーあったね。 スタートアップ項目にも入ってたね。 削除してましになった気がするけど。
679 :05/11/02 (((((((( ;゚Д゚)))))))ガクガクブルブルガタガタブルガタガクガクガクガクガク
680 :05/11/05 ∧_∧ ( ´∀`) / ̄ ̄ ̄ ̄ ̄ ( ) < >>679 だね。 | | | \_____ (__)___)
681 :05/11/08 O20 - Winlogon Notify: RunOnceEx - C:\WINDOWS\system32\k2lqlc351f.dll 起動するたびランダム?で英数字の名前が新しく付くよ IEが勝手に起動してポップアップ広告でまくりだよ どの削除ソフト使おうがセーフモードにしようが削除できないよ だれか助けて('A`)
682 :05/11/08 >>681 ログ全部貼って寝れば回答者が寄って来るよ。
683 :05/11/09 今もちょくちょくIEが発動してます。 Ad-Aware、Spybot、Malware Destroyerでは検出しきれませんでした。 DllCompareを使うとO20のk2lqlc351f.dllを含む三つのファイルが検出されますが、どうやっても削除できません。 おねがいします。 Logfile of HijackThis v1.99.1 Scan saved at 8:41:16, on 2005/11/09 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\spoolsv.exe C:\Software\Desktop\Orchis\orchis.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\crypserv.exe C:\PROGRA~1\TRENDM~1\VIRUSB~1\PcCtlCom.exe C:\PROGRA~1\TRENDM~1\VIRUSB~1\Tmntsrv.exe C:\PROGRA~1\TRENDM~1\VIRUSB~1\tmproxy.exe C:\PROGRA~1\TRENDM~1\VIRUSB~1\TmPfw.exe C:\PROGRA~1\TRENDM~1\VIRUSB~1\PccGuide.exe C:\Software\Network\Jane Style\Jane2ch.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\explorer.exe C:\Documents and Settings\///////\デスクトップ\hijackthis\HijackThis.exe
684 :05/11/09 O3 - Toolbar: cococ拡張ツールバー(&C) - {320A7F8A-F425-43DB-8B6A-51CB799CFE7E} - C:\Program Files\cococ\cocobar.dll O4 - HKCU\..\Run: [Orchis] C:\Software\Desktop\Orchis\orchis.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" O8 - Extra context menu item: cococ: RSSを探して追加する - res://C:\Program Files\cococ\cocobar.dll/addrss.html O8 - Extra context menu item: cococ: 選択中のRSSを追加する - res://C:\Program Files\cococ\cocobar.dll/addrss2.html O8 - Extra context menu item: FlashPlayerExで再生 - C:\SOFTWARE\FLASHP~1\LINK.HTM O8 - Extra context menu item: Irvineでダウンロード - C:\Software\Network\Irvine\ie_menu\iemenu1.htm O8 - Extra context menu item: IrvineへすべてのURLを送る - C:\Software\Network\Irvine\ie_menu\iemenu2.htm O8 - Extra context menu item: IrvineへすべてのURLを送る(IMGを含む) - C:\Software\Network\Irvine\ie_menu\iemenu5.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun の Java コンソール - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
685 :05/11/09 O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3B63095D-8630-4F0A-9D33-B6226621C0D1}: NameServer = 192.168.1.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{3B63095D-8630-4F0A-9D33-B6226621C0D1}: NameServer = 192.168.1.1 O18 - Filter: text/x-mrml - {C51721BE-858B-4A66-A8BF-D2882FF49820} - C:\Program Files\YAMAHA\MidRadio Player\midradio.ocx O20 - Winlogon Notify: RunOnceEx - C:\WINDOWS\system32\k2lqlc351f.dll O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\VIRUSB~1\PcCtlCom.exe O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\VIRUSB~1\Tmntsrv.exe O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\VIRUSB~1\TmPfw.exe O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\VIRUSB~1\tmproxy.exe 帰ってくるのは夕方になるので、それまでレスできないと思います。
686 :05/11/09 長々と書き込んどいてすみません。 Super Ad Blockerを使ってみたら駆除できたみたいです。 IEの自動起動もなくなりずっと残っていたSystem32フォルダの分身も消え、 O20 - Winlogon Notify: RunOnceEx - C:\WINDOWS\system32\k2lqlc351f.dll も O20 - Winlogon Notify: SABWinLogon - C:\Program Files\SuperAdBlocker.com\Super Ad Blocker\SABWINLO.DLL これだけになりました。 同じ症状の人がいたらSuper Ad Blocker使ってみてください。
687 :05/11/18 HijackThisって日本語の説明サイトか日本語化ってできるの?
688 :05/11/19 >>687 http://www.higaitaisaku.com/hijackthis.html 体感操作できる、JP化いらない
689 :05/12/18 ,.._,/ /〉___o ○(…朝風呂ぬるぽ) ./// //──∧_゚∧ ─::ァ /| /// //~~'~~(‐∀‐ ,)~~/ / .| .///_// "'''"'''"'" / / | //_《_》′─────‐ ' / ./ | ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄| / | .| ./ |__________|/
690 :06/01/17 保守。
691 :06/01/18 保守。
692 :06/01/18 (^3^) エェー
693 :06/02/07 はじめてこのスレにきましたが、どうやら今の俺にこのスレはぴったりだと思いました。 とあるサイトをつい踏んでしまってから、「送信メールを検索しました」とか、 CWS.Yexeだとかが出てきて、エクスプローラのトップページも勝手に変えられてしまいました。 一応、ウイルスバスターやAd-aware、スパイボット、cwsシュレッダーなどを施してみたのですが、 どうも完治してないようなので(送信メールを送ったというメッセージは出てこなくなりましたが)、 みなさんに助けてもらえたら、と思いやってきました。
694 :06/02/07 よろしくお願いします。 Logfile of HijackThis v1.99.1 Scan saved at 19:25:05, on 2006/02/07 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\system32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\WINDOWS\system32\LEXBCES.EXE E:\WINDOWS\system32\spoolsv.exe E:\WINDOWS\system32\LEXPPS.EXE E:\WINDOWS\System32\nvsvc32.exe E:\WINDOWS\System32\Tablet.exe E:\WINDOWS\Explorer.EXE E:\WINDOWS\inet20004\winlogon.exe E:\WINDOWS\system32\sstray.exe E:\Program Files\Common Files\Real\Update_OB\realsched.exe E:\Program Files\iTunes\iTunesHelper.exe E:\Program Files\QuickTime\qttask.exe E:\WINDOWS\system32\ctfmon.exe E:\WINDOWS\system32\RUNDLL32.EXE
695 :06/02/07 E:\Program Files\Messenger\msmsgs.exe E:\Program Files\MSN Messenger\MsnMsgr.Exe E:\Program Files\SmartDisk\FlashPath\sdstat.exe E:\Program Files\Gigabyte\Gigabyte Windows Utility Manager\gwum.exe E:\Program Files\PenPlusパーソナル\PenHusen.exe E:\Program Files\Silicon Image\SiISATARaid\SATARaid.exe E:\Program Files\OpenOffice.org1.1.4\program\soffice.exe E:\Program Files\OpenOffice.org 2.0\program\soffice.exe E:\Program Files\OpenOffice.org 2.0\program\soffice.BIN E:\Program Files\iPod\bin\iPodService.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\system32\conime.exe F:\vb\PCCGUIDE.EXE F:\vb\PcCtlCom.exe F:\vb\Tmntsrv.exe F:\vb\TmPfw.exe F:\vb\tmproxy.exe E:\WINDOWS\System32\svchost.exe E:\WINDOWS\inet20004\mm4.exe E:\Program Files\Internet Explorer\iexplore.exe E:\Program Files\Internet Explorer\iexplore.exe
696 :06/02/07 F:\セキュリティ\新しいフォルダ\HijackThis.exe F3 - REG:win.ini: run=E:\WINDOWS\inet20004\winlogon.exe O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - E:\PROGRA~1\Yahoo!\COMPAN~1\Installs\YCOMP5~1.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - e:\program files\google\googletoolbar1.dll O2 - BHO: IExplorerHelper Class - {BA12780E-B91E-41A7-A51A-528CBD64284E} - E:\WINDOWS\system32\IeHelperEx.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\program files\google\googletoolbar1.dll O3 - Toolbar: &Yahoo!ツールバー - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\PROGRA~1\Yahoo!\COMPAN~1\Installs\YCOMP5~1.DLL O4 - HKLM\..\Run: [IMJPMIG8.1] "E:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] E:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] E:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
697 :06/02/07 O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [PrinTray] E:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe O4 - HKLM\..\Run: [TkBellExe] "E:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [iTunesHelper] "E:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [xp_system] E:\WINDOWS\inet20004\winlogon.exe O4 - HKLM\..\Run: [pccguide.exe] "F:\vb\pccguide.exe" O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [MSMSGS] "E:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [MsnMsgr] "E:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe O4 - HKCU\..\Run: [WinMedia] E:\WINDOWS\system32\pe.R5.loader.1.sys191.exe O4 - HKCU\..\Run: [WindowsUpdate] E:\WINDOWS\System\svchost.exe /s O4 - HKCU\..\Run: [xp_system] E:\WINDOWS\inet20004\winlogon.exe
698 :06/02/07 O8 - Extra context menu item: &Google Search - res://e:\program files\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://E:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: このページのキャッシュ - res://e:\program files\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: リンク元 - res://e:\program files\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: 関連ページ - res://e:\program files\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - E:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe O12 - Plugin for .spop: E:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {5082D9B5-5538-4C50-BDB1-C5F44BFB98CC} (HgRunPub Class) - http://www.hangame.co.jp/publish/HgRunPub.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (ウイルスバスター On-Line Scan) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16 - DPF: {B905F63D-7489-4B3D-9B62-49A1B8647E2A} (HgPluginJP21 Class) - http://down.hangame.co.jp/jp/dist/hgstart/HGPluginJP21.cab
699 :06/02/07 O20 - Winlogon Notify: msupdate - E:\WINDOWS\SYSTEM32\msupdate32.dll O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - E:\Program Files\iPod\bin\iPodService.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - E:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\System32\nvsvc32.exe O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - F:\vb\PcCtlCom.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - E:\Program Files\Common Files\Sony Shared\AVLib\Sptisrv.exe O23 - Service: TabletService - Wacom Technology, Corp. - E:\WINDOWS\System32\Tablet.exe O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - F:\vb\Tmntsrv.exe O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - F:\vb\TmPfw.exe O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - F:\vb\tmproxy.exe
700 :06/02/07 どうか、よろしくお願いいたします。
701 :06/02/07 >>693 ここは見た? http://www.hijackthis.de/index.php?langselect=english
702 :06/02/08 >>701 まだ見てなかったです。そんなとこあったんですね。チェックしてみます
703 :06/02/08 NASTYとでたものを、どうにかすれいいのですかね?
704 :06/02/08 >>703 Hijack Thisによるレポート出力と手動でのスパイウェア除去 http://www.higaitaisaku.com/hijackthis.html
705 :06/02/09 ああそっか、よく見てませんでした どうもすみません
706 :06/03/17 2キタ? http://www.altech-ads.com/product/10001103.htm
707 :06/03/17 おや?
708 :06/03/17 思いっきり1.99.1ですが。
709 :06/03/17 工エエェ(゚〇゚;) ェエエ工 ゚し J゚
710 :06/04/08 あんまり役に立たんな
711 :06/04/09 工エエェ(゚〇゚;) ェエエ工 ゚し J゚
712 :06/04/09 このスレってあんまり語ることないね
713 :06/04/09 。 ∧_∧。゚ ゚ (゚ ´Д`゚ )っ゚ (つ / | (⌒) し⌒ ...ウワァァァァン
714 :06/06/13 ここでは初めて書き込みます。 今私のPCがシャットダウンダウアログが出たままフリーズしてしまい、 電源を切ってくれなくなっている状態にありまして、少しでも情報をと思い このスレにたどり着きました。 鑑定などできたらお願いします。
715 :06/06/13 Logfile of HijackThis v1.99.1 Scan saved at 9:18:24, on 2006/06/13 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\Program Files\Common Files\Symantec Shared\ccProxy.exe C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\Common Files\New Boundary\PrismXL\PRISMXL.SYS C:\Program Files\Digital Media Reader\shwiconem.exe C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
716 :06/06/13
717 :06/06/13 C:\WINDOWS\zHotkey.exe C:\WINDOWS\RTHDCPL.EXE C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\Program Files\Microsoft Hardware\Mouse\point32.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\Messenger\msmsgs.exe C:\Program Files\iPod\bin\iPodService.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Mallets\MalLnch\MalLnch.exe C:\Program Files\TClock_2ch\tclock.exe K:\Tool\PC\HijackThis\HijackThis.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
718 :06/06/13 O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunKistEM] C:\Program Files\Digital Media Reader\shwiconem.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [CHotkey] zHotkey.exe O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [Recguard] %WINDIR%\SMINST\RECGUARD.EXE O4 - HKLM\..\Run: [Reminder] %WINDIR%\Creator\Remind_XP.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!J\Messenger\ypager.exe" -quiet
719 :06/06/13 cracked
720 :06/06/13 O8 - Extra context menu item: Google 検索(&G) - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: このページのキャッシュ - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: リンク元 - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: 翻訳(&T) - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: 関連ページ - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun の Java コンソール - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Yahoo!メッセンジャー - {CEBF73C0-BA2E-11d4-A73A-00508B33FB82} - C:\PROGRA~1\Yahoo!J\MESSEN~1\YPagerj.exe O9 - Extra 'Tools' menuitem: Yahoo!メッセンジャー - {CEBF73C0-BA2E-11d4-A73A-00508B33FB82} - C:\PROGRA~1\Yahoo!J\MESSEN~1\YPagerj.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
721 :06/06/13 O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1149914496451 O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (ウイルスバスター On-Line Scan) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16 - DPF: {E4F500BF-C1A3-11D6-9697-0090961B771E} (VCR.Scan) - http://www.viruschaser.jp/vc_vc4w/Vcrscan.CAB O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\ccPwdSvc.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Norton Internet Security\comHost.exe
722 :06/06/13 O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Norton AntiVirus Auto-Protect サービス (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PrismXL - New Boundary Technologies, Inc. - C:\Program Files\Common Files\New Boundary\PrismXL\PRISMXL.SYS O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
723 :06/06/13 すみません、正確にはシャットダウンダイアログが出終わった後、青い画面のまま マウスの操作が受け付けなくなって、そのまま止まってしまうのです。 誤情報申し訳ありません。
724 :06/06/13 Symantec関係を全部きれいに消してみな
725 :06/06/14 >>723 そんなに変な物は入ってないですね。 これくらいかな。 O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE http://hjdb.higaitaisaku.com/database.cgi?cmd=dp&num=375 念の為にこれでウィルススキャンして下さい。 アンチドートを語ろう♪ MAP02 http://pc8.2ch.net/test/read.cgi/sec/1098644237/
726 :06/06/16 >>724 消しても状況は変わらずで、シャットダウンダイアログが出終わった後、 青い画面でとまってしまう感じでした。 >>725 アンチドートでスキャンさせてみましたが、特別引っかかりませんでした。 一体何が原因なんだろう… レスが遅れてすみませんでした。
727 :06/06/18 大事なスレだし、sageとくか
728 :06/06/23 すんません、判らないエントリがあるので教えてください。 C:\WINDOWS\system32\finype.dll O20 - Winlogon Notify: finype - C:\WINDOWS\SYSTEM32\finype.dl これの正体が全くわからなくて気持ち悪いです。 たびたびsystemdoctor 2006をダウンロードしろというメッセージがでるので、それ関係でしょうか
729 :06/06/24 >>728 スパイウェアがランダムに選んだ名前臭いですね。 バックアップされるので削除推奨です。
730 :06/06/25 >>728 一度評判の良いスパイウエア削除ソフト入れてみれば? 月毎のマイクロソフトの悪意のあるソフトウェアの削除ツールも使って。
731 :06/07/07 2006/07/03に22KのPFファイルでZHOTKEY.EXEてのが出来てるけど これはスパイウェアなの?
732 :06/07/08 違うよ〜
733 :06/08/20 質問受け付けていますか?
734 :06/08/21 >>1 の被害者対策のサイトが403なんだけど何故だぜ
735 :06/08/21 引っ越したのかな?
736 :06/08/21 サイト被害対策の部屋 http://www.higaitaisaku.com
737 :06/08/21 情報ありがとうございます。 行ってみます。
738 :06/08/21 セキュリティソフト入れてないと無視されるから気をつけろよ〜
739 :06/08/21 ほんと憶測では無いんです。 公式HPにウィルス反応が出た事もあった(これは韓国のプレイヤーも知ってる)。 とりあえず今日はもう寝ますね。
740 :06/08/21 >>739 詳しく話してみなさい。
741 :06/08/24 昨日からパソコンの調子が悪いような気がするんですが、 何が原因なんでしょう? ログを貼りたいのですが、かってに貼っても怒ったりしませんか?
742 :06/08/24 怒られねえよw ただある程度関係ありそうなエントリに絞った方が見やすいんじゃないかな
743 :06/08/24 >>742 お返事ありがとうございます ある程度関係ありそうなエントリとはO2とかO4とかのエントリ全てで Running processesのエントリは除外しても良いのでしょうか? 今さら言うと反感買いそうな気がするのですがOSはwin98seです。
744 :06/08/24 聞くより貼った方がよくない? わかんないなら全部貼っても問題は無いと思うし・・・ この過疎スレに人が来るかは知らないけど・・・
745 :06/08/24 >>744 お忙しいところ申し訳ございません では早速ですが貼らせていただきます Logfile of HijackThis v1.99.1 Scan saved at 20:55:59, on 06/08/24 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE c:\windows\SYSTEM\KB891711\KB891711.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\PROGRAM FILES\MCAFEE.COM\VSO\MCVSSHLD.EXE C:\PROGRAM FILES\MCAFEE.COM\VSO\MCVSESCN.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\WINDOWS\SYSTEM\IMEJP98M.EXE C:\WINDOWS\TASKMON.EXE
746 :06/08/24 C:\PROGRAM FILES\MCAFEE.COM\AGENT\MCAGENT.EXE C:\PROGRAM FILES\MCAFEE.COM\AGENT\MCTSKSHD.EXE C:\PROGRAM FILES\MCAFEE.COM\PERSONAL FIREWALL\MPFTRAY.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAM FILES\MCAFEE.COM\PERSONAL FIREWALL\MPFAGENT.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\PROGRAM FILES\MCAFEE.COM\VSO\MCSHLD9X.EXE C:\PROGRAM FILES\MCAFEE.COM\VSO\OASCLNT.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAM FILES\KATJUSHA\KATJUSHA.EXE C:\WINDOWS\デスクトップ\HIJACKTHIS\HIJACKTHIS.EXE O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - C:\PROGRAM FILES\MCAFEE.COM\VSO\MCVSSHL.DLL O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [internat.exe] internat.exe O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
747 :06/08/24 O4 - HKLM\..\Run: [Kernel32] C:\WINDOWS\SYSTEM\Kernel.dll O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\MCAFEE.COM\VSO\MCMNHDLR.EXE" /checktask O4 - HKLM\..\Run: [MCAgentExe] C:\PROGRA~1\MCAFEE.COM\AGENT\mcagent.exe O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\MCAFEE.COM\AGENT\MCUPDATE.EXE O4 - HKLM\..\Run: [MCTskShd] C:\PROGRA~1\MCAFEE.COM\AGENT\mctskshd.exe O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\MCAFEE.COM\PERSON~1\MpfTray.exe O4 - HKLM\..\RunServices: [KB918547] C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE O4 - HKLM\..\RunServices: [KB891711] c:\windows\SYSTEM\KB891711\KB891711.EXE O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [McShld9x] C:\Program Files\McAfee.com\VSO\mcshld9x.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - Startup: folder.htt O4 - Global Startup: folder.htt O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab これで全部です お手数ですが鑑定願えないでしょうか?
748 :06/08/24 >>741 横から割り込むが調子悪いって具体的には?
749 :06/08/24 >>748 いろいろとです IEでネットサーフィンしてると青色の画面がでてきてフリーズします さきほども青色の画面が出てきてしまい再起動しました
750 :06/08/24 >>745 >Logfile of HijackThis v1.99.1 はい釣り確定! 最新バージョンはv1.99.2であるから。 釣りでは無いと言うなら最新のv1.99.2を落としてきて、もう一回スキャンして ログをもう一回貼れ! >Platform: Windows 98 SE (Win9x 4.10.2222A) MicroSoftのサポートが既に終了した製品なので、以下のエントリーは 既に意味の無いものになっています。 したがって↓の2つはFIX対象となります。 O4 - HKLM\..\RunServices: [KB918547] C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE O4 - HKLM\..\RunServices: [KB891711] c:\windows\SYSTEM\KB891711\KB891711.EXE ここまで終わったら、HijackThis最新のv1.99.2で最新のログを貼ってください。
751 :06/08/24 >>750 釣りではないのですが、現在の最新のは1.99.2なんですか? 1.99.1が最新だと思いますけど? とにかくなんやかんや言って答えてくれている750さんに感謝しています 今やってみます
752 :06/08/24 >>747 つVBS_REDLOF.A リカバリ推奨ですよ。
753 :06/08/24 >>751 ここをよく読んでください。 http://www13.plala.or.jp/sukiero/redlof.html
754 :06/08/25 >>753 OS再インストールとそこのサイトに書いてあるのですが、 どうしてもリカバリしなくてはなりませんか? いや、リカバリに必要なものは揃っているのですが、 やっぱリカバリしなくてはいけないのですか? 何とかなりませんかねー
755 :06/08/25 >>754 駆除できなくもないがシステム自体が治るという保証はしないぞ。 それでもいいの? 良ければ最新のhijackthisのログを貼ってくれ。
756 :06/08/25 >>755 よろしくお願いします Logfile of HijackThis v1.99.1 Scan saved at 19:18:56, on 06/08/25 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\PROGRAM FILES\MCAFEE.COM\VSO\MCVSSHLD.EXE C:\PROGRAM FILES\MCAFEE.COM\VSO\MCVSESCN.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\WINDOWS\SYSTEM\IMEJP98M.EXE C:\WINDOWS\TASKMON.EXE C:\PROGRAM FILES\MCAFEE.COM\AGENT\MCAGENT.EXE C:\PROGRAM FILES\MCAFEE.COM\AGENT\MCTSKSHD.EXE C:\PROGRAM FILES\MCAFEE.COM\PERSONAL FIREWALL\MPFTRAY.EXE
757 :06/08/25 C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAM FILES\MCAFEE.COM\PERSONAL FIREWALL\MPFAGENT.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\PROGRAM FILES\MCAFEE.COM\VSO\MCSHLD9X.EXE C:\PROGRAM FILES\MCAFEE.COM\VSO\OASCLNT.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAM FILES\KATJUSHA\KATJUSHA.EXE C:\WINDOWS\デスクトップ\HIJACKTHIS\HIJACKTHIS.EXE O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - C:\PROGRAM FILES\MCAFEE.COM\VSO\MCVSSHL.DLL O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [internat.exe] internat.exe O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe O4 - HKLM\..\Run: [Kernel32] C:\WINDOWS\SYSTEM\Kernel.dll O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\MCAFEE.COM\VSO\MCMNHDLR.EXE" /checktask O4 - HKLM\..\Run: [MCAgentExe] C:\PROGRA~1\MCAFEE.COM\AGENT\mcagent.exe O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\MCAFEE.COM\AGENT\MCUPDATE.EXE O4 - HKLM\..\Run: [MCTskShd] C:\PROGRA~1\MCAFEE.COM\AGENT\mctskshd.exe O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\MCAFEE.COM\PERSON~1\MpfTray.exe
758 :06/08/25 今さらREDLOFに感染するって事はセキュリティーに手を抜いてたってことじゃん 自業自得では?
759 :06/08/25 O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [McShld9x] C:\Program Files\McAfee.com\VSO\mcshld9x.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - Startup: folder.htt O4 - Global Startup: folder.htt O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab >>750 そういえばHijackThisの最新バージョンは、v1.99.1でしたよ v1.99.2はどこにも無いのですが?
760 :06/08/25 >>759 hijackthisの最新Verは1.99.1で良いんですよ。 それと、以下の2つはセキュリティの修正パッチなので戻しましょう。 O4 - HKLM\..\RunServices: [KB918547] C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE O4 - HKLM\..\RunServices: [KB891711] c:\windows\SYSTEM\KB891711\KB891711.EXE セーフモードで起動して以下をFIXします。 O4 - HKLM\..\Run: [Kernel32] C:\WINDOWS\SYSTEM\Kernel.dll O4 - Startup: folder.htt O4 - Global Startup: folder.htt セーフモードで再起動してマカフィーでスキャンをします。 MS-DOSモードで再起動します。 やりかた↓ 終了オプションを選んで、MS-DOSモードで再起動をチェックしてOK MS-DOSモードで起動したら以下のコマンドを入力します。 scanreg /fix Enterを押します。 しばらくかかりますが、気長に待ちましょう。 終わりましたら次のコマンドを入力します。 scanreg /opt Enterを押します。 終わりましたら次のコマンドを入力します。 exit Enterを押します。 注意点:コマンド入力のさい、gと/(スラッシュ)の間に半角スペースを入れて下さい。 もう一度HijackThisのログを貼ってください。
761 :06/08/25 お待たせいたしました Logfile of HijackThis v1.99.1 Scan saved at 21:07:25, on 06/08/25 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE c:\windows\SYSTEM\KB891711\KB891711.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\PROGRAM FILES\MCAFEE.COM\VSO\MCVSSHLD.EXE C:\PROGRAM FILES\MCAFEE.COM\VSO\MCVSESCN.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\WINDOWS\SYSTEM\IMEJP98M.EXE C:\WINDOWS\TASKMON.EXE C:\PROGRAM FILES\MCAFEE.COM\AGENT\MCAGENT.EXE C:\PROGRAM FILES\MCAFEE.COM\AGENT\MCTSKSHD.EXE C:\PROGRAM FILES\MCAFEE.COM\PERSONAL FIREWALL\MPFTRAY.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE
762 :06/08/25 C:\PROGRAM FILES\MCAFEE.COM\PERSONAL FIREWALL\MPFAGENT.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\PROGRAM FILES\MCAFEE.COM\VSO\MCSHLD9X.EXE C:\PROGRAM FILES\MCAFEE.COM\VSO\OASCLNT.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\デスクトップ\HIJACKTHIS\HIJACKTHIS.EXE O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - C:\PROGRAM FILES\MCAFEE.COM\VSO\MCVSSHL.DLL O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [internat.exe] internat.exe O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe O4 - HKLM\..\Run: [Kernel32] C:\WINDOWS\SYSTEM\Kernel.dll O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\MCAFEE.COM\VSO\MCMNHDLR.EXE" /checktask O4 - HKLM\..\Run: [MCAgentExe] C:\PROGRA~1\MCAFEE.COM\AGENT\mcagent.exe O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\MCAFEE.COM\AGENT\MCUPDATE.EXE O4 - HKLM\..\Run: [MCTskShd] C:\PROGRA~1\MCAFEE.COM\AGENT\mctskshd.exe O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\MCAFEE.COM\PERSON~1\MpfTray.exe O4 - HKLM\..\RunServices: [KB918547] C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE O4 - HKLM\..\RunServices: [KB891711] c:\windows\SYSTEM\KB891711\KB891711.EXE
763 :06/08/25 O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [McShld9x] C:\Program Files\McAfee.com\VSO\mcshld9x.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - Startup: folder.htt O4 - Global Startup: folder.htt O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab 如何ですか?
764 :06/08/25 >>763 この3つのエントリ・・・しつこいですね。 O4 - HKLM\..\Run: [Kernel32] C:\WINDOWS\SYSTEM\Kernel.dll O4 - Startup: folder.htt O4 - Global Startup: folder.htt どうします? 潔くリカバリーでもしてスッキリしますか? どちらかと言うとリカバリしたほうが、システムも安定するし キビキビ動作するようになりますよ。 その辺の回答はよろしくお願いします。
765 :06/08/25 >>764 ここまで頑張ってきたのに今さらリカバリだなんて そんなの絶対に嫌です
766 :06/08/25 リカバリしてしまえよ!
767 :06/08/25 >>766 リカバリは嫌です 何べんも言わせるなドアホ!!
768 :06/08/25 >>767 もう勝手にしろ!
769 :06/08/25 態度がだんだん大きくなってるwwww
770 :06/08/25 ごめんなさい リカバリという言葉に腹が立って暴言を吐いてしまいました 心からお詫び申し上げます ですが、このREDLOFとかいうウイルスはどうしても駆除したいのです それから必ずリカバリをやります
771 :06/08/25 >>763 一応ここで調べた結果ね http://hijackthis.de/ 問題になりそうなのがいくつかあるみたい C:\WINDOWS\SYSTEM\IMEJP98M.EXE unknown process C:\PROGRAM FILES\MCAFEE.COM\AGENT\MCTSKSHD.EXE unknown process C:\PROGRAM FILES\MCAFEE.COM\VSO\MCSHLD9X.EXE unknown process O4 - HKLM\..\Run: [Kernel32] C:\WINDOWS\SYSTEM\Kernel.dll Added as a result of the REDLOF.M VIRUS! Must be fixed! C:\PROGRAM FILES\MCAFEE.COM\AGENT\MCTSKSHD.EXE Unknown application. O4 - HKLM\..\RunServices: [KB918547] C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE Unknown application. O4 - HKLM\..\RunServices: [McShld9x] C:\Program Files\McAfee.com\VSO\mcshld9x.exe Unknown application. O4 - Startup: folder.htt Unknown application. O4 - Global Startup: folder.htt Unknown application. その他Safeってある中にもPossibly nasty!ってコメントついてるのがある 理由は通常のフォルダと違うところにあるかららしい C:\WINDOWS\SYSTEM\MSTASK.EXE C:\PROGRAM FILES\MCAFEE.COM\VSO\MCVSSHLD.EXE C:\PROGRAM FILES\MCAFEE.COM\VSO\MCVSESCN.EXE 他は全部Safeだったよ C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\PROGRAM FILES\MCAFEE.COM\AGENT\MCAGENT.EXE C:\PROGRAM FILES\MCAFEE.COM\PERSONAL FIREWALL\MPFTRAY.EXE C:\PROGRAM FILES\MCAFEE.COM\PERSONAL FIREWALL\MPFAGENT.EXE unknown processとかUnknown applicationって言うところだけ確認したら? McAfeeアンインストしてからHiJackThisとっても残ってるようなら その段階でレジストリ消して再インストするとか
772 :06/08/25 変なとこにコメント入れたんで訂正 ------------ その他Safeってある中にもPossibly nasty!ってコメントついてるのがある 理由は通常のフォルダと違うところにあるかららしい C:\WINDOWS\SYSTEM\MSTASK.EXE C:\PROGRAM FILES\MCAFEE.COM\VSO\MCVSSHLD.EXE C:\PROGRAM FILES\MCAFEE.COM\VSO\MCVSESCN.EXE C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\PROGRAM FILES\MCAFEE.COM\AGENT\MCAGENT.EXE C:\PROGRAM FILES\MCAFEE.COM\PERSONAL FIREWALL\MPFTRAY.EXE C:\PROGRAM FILES\MCAFEE.COM\PERSONAL FIREWALL\MPFAGENT.EXE 他は全部Safeだったよ ------------ です orz
773 :06/08/25 >>771 問題のあるのはkernel.dllとfolder.httのみ 他はまったく問題無いと思われます。 hijackthis.deはあくまで参考程度ですから。
774 :06/08/25 駆除しただけでは1年使えれば御の字ですね。
775 :06/08/25 >>772 とりあえず全部消して見ます
776 :06/08/25 でもこんなにボロボロになってもよく動いてるよなぁ〜
777 :06/08/25 やったー777取ったお
778 :06/08/25 とりあえず全部消しました Logfile of HijackThis v1.99.1 Scan saved at 22:17:38, on 06/08/25 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\WINDOWS\SYSTEM\IMEJP98M.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\デスクトップ\HIJACKTHIS\HIJACKTHIS.EXE O4 - HKLM\..\Run: [internat.exe] internat.exe O4 - HKLM\..\Run: [Kernel32] C:\WINDOWS\SYSTEM\Kernel.dll O4 - Startup: folder.htt O4 - Global Startup: folder.htt さきほどと比べて起動も早くなった気がします
779 :06/08/25 よかったな、気が済んだらリカバリしなさい。
780 :06/08/26 起動が早くなったのは唯一貴方を守っていてくれた マカフィーを完全に削除して常駐を減らしたからですよ・・・ これで貴方は完全に丸裸でウィルス貰い放題になりました。
781 :06/08/28 最近になってからPCがドえらいこととなりましたので もう決意しました ありがとう
782 :06/08/28 >>781 WindowsUpdateはちゃんとやってましたか?
783 :06/08/29 767 名前:741 [sage] 投稿日:2006/08/25(金) 21:35:33 >>766 リカバリは嫌です 何べんも言わせるなドアホ!!
784 :06/09/15 age
785 :06/09/17 This page has moved... どこ行ったんだ
786 :06/09/17 クリックすることもできませんでした_∩○
787 :06/09/17 ソース見れ。
788 :06/10/23 HijackThisを実行後の以下の結果において、Googleで検索してもヒットしません。 O4 - HKLM\..\Run: [tbhloxh.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\tbhloxh.dll,hnoiewf O4 - HKLM\..\Run: [szqrtmn.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\szqrtmn.dll,pjeovzf それぞれ"tbhloxh.dll","szqrtmn.dll"のエントリーが謎であり、また会社名等の情報もないようです。 また最後尾の"hnoiewf","pjeovzf"においても情報がありません。 どなたか情報御座いませんか?
789 :06/10/24 >>788 Fixをして再度O4エントリとdllファイルが作られてしまうようならばスタートアップを監視して 怪しいファイルとエントリを生成するプログラムの正体を突き止めて削除。 何も起こらなければdllファイルを削除して終わり。 念のためにレジストリをdll名で検索して出てきた関連記述を片っ端から削除する。
790 :06/10/24 (´・∀・`)へぇ〜
791 :06/10/24 >>789 thx!
792 :06/10/25 いちどスパイウェアに感染したことがあるので心配です、分析お願いします Logfile of HijackThis v1.98.2 Scan saved at 6:47:10, on 2006/10/25 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe
793 :06/10/25 続き C:\Program Files\Analog Devices\SoundMAX\SMTray.exe C:\Program Files\Windows Defender\MSASCui.exe C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe C:\Program Files\DAEMON Tools\daemon.exe C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\taskmgr.exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\conime.exe C:\PROGRA~1\MOZILL~2\THUNDE~1.EXE C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
794 :06/10/25 続き O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
795 :06/10/25 O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun の Java コンソール - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing) 以上です; お願いします orz
796 :06/10/25 >>795 つhttp://hjdb.higaitaisaku.com/ つhttp://www.hijackthis.de/index.php?langselect=english つhttp://hjt.networktechs.com/
797 :06/10/25 ありがとうございました。 感染はしていなかったようです
798 :06/10/25 ☆ / ̄| ☆ | |彡 ビシィ | | / ̄ ̄ ̄ ̄ ̄ ̄ ,― \ | | ___) | ∩∩ ∠ リュンパッチ♪ | ___) | | |_| | \______ | ___) |\___(・∀・ )_____ ヽ__)_/ \___ _____, )__ 〃 . / / / / 〃⌒i | / ./ / / .i::::::::::i ____| /⌒\./ / / | ____|;;;;;;;;;;;i [__]___| / /-、 .\_. / Uし'[_] .| | || | / /i i / | || | | ||____|____/ / .| .|\_ノ______..| || | |(_____ノ /_| |_________..| || | | LLLLLL./ __)L_| |LLLLLLLLLLLLLLLLL. | ||_____」 | || (_/ / i .| || | || |_|| / .ノ |_|| |_|| (_/
799 :06/10/26 あげ
800 :06/10/27 800げっと
801 :06/11/02 リコーのプリンターソフト Ridoc IO Navi をインストしたところ、jobhisinit.exe なる実行ファイルがスタートアップで 起動しますが、これってスパイウェアじゃないでしょうか?
802 :06/11/02 >>801 (=^u^=) 違うなりよ>>597 のかずどんさんにも入ってるなり♪
803 :06/11/02 何だよ、、、
804 :06/11/03 >>802 system doctor2006 のインチキソフトと関係してないか?
805 :06/11/09 (=^u^=) そんなに心配するエントリじゃないなり〜 (;=^u^=) 最近頻繁にアク禁に巻き込まれてるなり・・・
806 :06/11/26 すみません 教えてください O11 - Options group: [INTERNATIONAL] International* ↑はウィルスですか?
807 :06/11/26 >>806 (=^u^=) IE7のエントリだと思うなり〜
808 :06/11/26 >>807 ``thnx!!
809 :06/11/29 これアンインストールってどうやってすんの?
810 :06/11/29 コンパネから
811 :06/11/29 ちょっと質問よろしいでしょうか? 今日このソフトの存在を知り使ってみたところ01の項目に以下のように出ました。 O1 - Hosts: 2001:d70:100::80 nc27web00.v2.fletsnet.com # CommunicationTool O1 - Hosts: 2001:d70:100:0002::80 nc27web20.w2.v2.fletsnet.com # CommunicationTool O1 - Hosts: 2001:d70:100:0003::80 nc27web40.w3.v2.fletsnet.com # CommunicationTool O1 - Hosts: 2001:d70:100:0004::80 nc27web50.w4.v2.fletsnet.com # CommunicationTool O1 - Hosts: 2001:d70:100:0005::80 nc27web60.w5.v2.fletsnet.com # CommunicationTool O1 - Hosts: 2001:d70:100:0006::80 nc27web70.w6.v2.fletsnet.com # CommunicationTool O1 - Hosts: 2001:d70:100:0007::80 nc27web80.w7.v2.fletsnet.com # CommunicationTool O1 - Hosts: 2001:d70:100:0008::80 nc27web90.w8.v2.fletsnet.com # CommunicationTool O1 - Hosts: 2001:d70:100:0009::80 nc27weba0.w9.v2.fletsnet.com # CommunicationTool O1 - Hosts: 2001:d70:100:000a::80 nc27webb0.w10.v2.fletsnet.com # CommunicationTool O1 - Hosts: 2001:d70:100:000b::80 nc27webc0.w11.v2.fletsnet.com # CommunicationTool O1 - Hosts: 2001:d70:100:000c::80 nc27webd0.w12.v2.fletsnet.com # CommunicationTool O1 - Hosts: 2001:d70:100::5060 nc27scc00.v2.fletsnet.com # CommunicationTool ・・・・・・ ・・・・・・ 以下ずらっと同様の表示。 これは一体なんでしょうか? ググっても、ログ読んでもわかりませんでした。
812 :06/11/29 >>811 (=^u^=) フレッツ光プレミアムかV6アプリのエントリだと思うなり〜
813 :06/11/29 >>812 ご返答ありがとうございます。! まさしくフレッツ光プレミアムです。 特に気にする必要はないのでしょうか?
814 :06/11/29 >>813 (=^u^=) 全く心配ないなりよ♪
815 :06/11/29 アダ被すげえな Microsoft mvpアワードもらってるな 一方 セキュ板は…orz
816 :06/11/29 >>814 かなりほっとしました。 これを機会に色々と勉強したいと思います。 本当に有難うございました。
817 :06/11/29 (=^u^=) あい♪ またどうぞなり
818 :06/11/29 >>815 O(=^u^=)O がんばっていればいいことあるなり〜
819 :06/12/02 かわいいよたぬかわいいよ
820 :06/12/08
821 :07/02/27 (・3・) ホェー
822 :07/03/11 O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe この中で何か問題あるものってありますか?
823 :07/03/11 >>832 問題ねーよ とりあえず(file missing) となってる所だけ消しとけばいい
824 :07/03/11 久々の未来レスだな・・
825 :07/03/15 Trend Micro、スパイウェア対策のHijackThisを買収 http://www.itmedia.co.jp/news/articles/0703/15/news017.html 米Trend Microは3月14日、無料スパイウェア除去ツールを提供するHijackThisを買収したと発表した。 同社はまた、HijackThis 2.0のβ版と、Webサイト監視およびURLフィルタリング機能を無料提供する新サービス「TrendProtect」のβ版を発表した。 どちらもTrendSecureサイトで提供される予定。 新たにリリースされるHijackThis 2.0のβ版は、Microsoft VistaとInternet Explorer(IE) 7に対応する。 HijackThis 2.0のβ版、TrendProtectのβ版は、3月19日から英語版で提供される予定
826 :07/03/15 Trend Micro Hijack This http://www.trendsecure.com/portal/en-US/threat_ytics/hijackthis.php
827 :07/03/15 3月19日からってすでにサイトにあんじゃねーか
828 :07/03/15 > HijackThis 2.0のβ版、TrendProtectのβ版は、3月19日から英語版で提供される予定
829 :07/03/15 アイコンが変わってるな。
830 :07/03/15 >>827 あれ ほんとだ
831 :07/03/16 (=^u^=) スキャン能力も高くなってるなりね
832 :07/03/16 これってベータが取れたら有料になりますとかいうオチじゃないよな?
833 :07/03/16 (((((((( ;=・u・=)))))))ガクガクブルブルガタガタブルガタガクガクガクガクガク
834 :07/03/16 >>832 バスターの標準機能になって、HijackThis使いたかったらバスター買えという悪寒
835 :07/03/16 HijackThisは世界中のフォーラムでウイルス駆除のために必要だから使われてる。これが有料化したらかなり痛いぞ。 流石にそんな非道なことはしないよな?
836 :07/03/16 こんなところで聞かれても困る トレンドにメールでも送ってくれ
837 :07/03/18 気軽にダウンロードできないサイトの作りにむかつく
838 :07/04/01 http://www.higaitaisaku.com/ とhttp://sukiero.org/ が合体した? んなわけない、今日は4月1日だからなw
839 :07/05/23 (´・∀・`)へぇ〜
840 :07/07/07 HijackThis 2.0.2
841 :07/07/07 ∧_∧ ( ・∀・) ドキドキ ( ∪ ∪ と__)__)
842 :07/07/07 誰も使ってないのかな
843 :07/07/07 使ってるけどFixするようなことはない
844 :07/07/08 トレンドマイクロに情報送るが増えただけの気がするが 機能的には1.99.0.1と何が違うんだ?
845 :07/07/18 Changes in 2.02: * Stability improvements Changes in 2.00: * AnalyzeThis added for log file statistics * Recognizes Windows Vista and IE7 * Fixed a few bugs in the O23 method * Fixed a bug in the O22 method (SharedTaskScheduler) * Did a few tweaks on the log format * Fixed and improved ADS Spy * Improved Itty Bitty Procman (processes are frozen before they are killed) * Added listing of O4 autoruns from other users * Added listing of the Policies Run items in O4 method, used by SmitFraud trojan * Added /silentautolog parameter for system admins * Added /deleteonreboot [file] parameter for system admins * Added O24 - ActiveX Desktop Components enumeration * Added Enhanced Security Confirguration (ESC) Zones to O15 Trusted Sites check
846 :07/08/13 おが小さいのはだあれ?
847 :07/09/23 NPBからの投球スタイルでは通用しないことが分かったのだと思う 球が来ていないと感じるのは球速を押さえてコントロールに注意しているからだろう 今球速にして145kmくらいかな ただそれでも逆玉が多いけどね でも今の球速が松坂がコントロール出来得る本来の球速と思われる MLBの主力ピッチャーは速球派でもほぼ例外なくコントロールが抜群に良い 松坂レベルのコントロールで良いのなら160km以上を出せるピッチャーはいくらでもいるだろうがただ彼らはそうしないだけ 松坂は良くやっていると思うがやはりレベルの違いだろう
848 :07/09/24 最近HijackThisだけじゃマルウェアとか全部現れないからな HijackThisも終わる
849 :07/10/24 a-squared HiJackFree 3.0 これどう?
850 :07/10/24 (´・∀・`)へぇ〜
851 :08/01/08 保守
852 :08/01/10 hostsが改変されてんだけどHijackThisで本当に大丈夫なのか不安です
853 :08/01/10 大丈夫ですよ
854 :08/01/12 大丈夫だったようです ありがとう
855 :08/01/12 あい またどうぞ
856 :08/02/23 O9ってIEのツールバーに項目やボタンを追加するものとあるのですが、 ツールバーを見てもないのに以下のメッセンジャーの類が現れるのですがどうしてでしょうか?orz O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
857 :08/02/24 深く考えずに1回消して現れなきゃいいんじゃないの WindowsMessengerなんて使ってないならそれ自体を削除もできる
858 :08/02/24 気になったもので(´・ω・`) MSN Explorer起動させるとMessenger起動するよね?
859 :08/02/24 使ってないからわからないけど 設定で起動できなくできるんじやね できないならググればMessengerの削除方法でてるよ
860 :08/02/25 サンクス RunDll32 advpack.dll,LaunchINFSection %windir%\INF\msmsgs.inf,BLC.Remove で削除しますた
861 :08/02/27 http://tmp7.2ch.net/test/read.cgi/mog2/1199595984
862 :08/02/28 (;・3・) エェー
863 :08/04/24 test
864 :08/05/04 どれを消せば良いのか教えて下さい。ネットに繋ぐと英語のグーグルがトップページに なったりリロードが重かったり警告が出たりします。 Logfile of HijackThis v1.99.1 Scan saved at 13:20:31, on 2008/05/04 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Windows-Anti.exe C:\Program Files\QuickTime\QTTask.exe C:\WINDOWS\Win32.exe C:\WINDOWS\System32\Win32lsass.exe C:\WINDOWS\System32\Winlp32.exe C:\Program Files\iTunes\iTunesHelper.exe C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\mdm.exe C:\WINDOWS\System32\Rundll32.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\WINDOWS\System32\msdtcsp2.exe
865 :08/05/04 C:\Documents and Settings\Administrator\デスクトップ\新しいフォルダ (2)\HijackThis.exe C:\WINDOWS\System32\atievxx.exe C:\WINDOWS\System32\irdvxc.exe C:\WINDOWS\System32\sdpasvc.exe R3 - URLSearchHook: MyUrlSrcHook Class - {D2A5245A-B682-4C26-A507-173A774B2E70} - C:\WINDOWS\DOWNLO~1\CNSMIN~1.DLL O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [Windows Anti Verifier] Windows-Anti.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [Microsoft Windows Lsass Schedule] Win32.exe O4 - HKLM\..\Run: [Windows32 Lsass Verifier] Win32lsass.exe O4 - HKLM\..\Run: [Windows Sound Verifier] Winlp32.exe O4 - HKLM\..\Run: [Microsoft MSDTC Microsoft HotFix KB5456] msdtcsp2.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Windows Networking Monitoring] C:\WINDOWS\System32\mdm.exe O4 - HKLM\..\Run: [f0a12f2b] rundll32.exe "C:\WINDOWS\System32\stjbirnk.dll",b O4 - HKLM\..\Run: [BMf3921cb7] Rundll32.exe "C:\WINDOWS\System32\ktvxshwn.dll",s O4 - HKLM\..\RunServices: [Windows Anti Verifier] Windows-Anti.exe O4 - HKLM\..\RunServices: [Microsoft Windows Lsass Schedule] Win32.exe O4 - HKLM\..\RunServices: [Windows32 Lsass Verifier] Win32lsass.exe O4 - HKLM\..\RunServices: [Windows Sound Verifier] Winlp32.exe O4 - HKLM\..\RunServices: [Microsoft MSDTC Microsoft HotFix KB5456] msdtcsp2.exe
866 :08/05/04 4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Windows Networking Monitoring] C:\WINDOWS\System32\mdm.exe O4 - HKLM\..\Run: [f0a12f2b] rundll32.exe "C:\WINDOWS\System32\stjbirnk.dll",b O4 - HKLM\..\Run: [BMf3921cb7] Rundll32.exe "C:\WINDOWS\System32\ktvxshwn.dll",s O4 - HKLM\..\RunServices: [Windows Anti Verifier] Windows-Anti.exe O4 - HKLM\..\RunServices: [Microsoft Windows Lsass Schedule] Win32.exe O4 - HKLM\..\RunServices: [Windows32 Lsass Verifier] Win32lsass.exe O4 - HKLM\..\RunServices: [Windows Sound Verifier] Winlp32.exe O4 - HKLM\..\RunServices: [Microsoft MSDTC Microsoft HotFix KB5456] msdtcsp2.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Microsoft Windows Lsass Schedule] Win32.exe O4 - HKCU\..\Run: [Windows Networking Monitoring] C:\WINDOWS\System32\mdm.exe O4 - HKCU\..\Run: [Microsoft MSDTC Microsoft HotFix KB5456] msdtcsp2.exe O4 - HKCU\..\RunServices: [Microsoft Windows Lsass Schedule] Win32.exe O8 - Extra context menu item: Easy-WebPrint プレビュー - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint 印刷 - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint 印刷リストに追加 - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Easy-WebPrint 高速印刷 - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: JWordでウェブ検索(&J) - res://C:\WINDOWS\DOWNLO~1\CnsMin.dll/203
867 :08/05/04 O16 - DPF: Yahoo! JAPAN Othello Kids - http://yog34.games.tnz.yahoo.co.jp/yog/yj/krt5_x.cab O16 - DPF: {0FDF9D23-AB1C-41DE-B371-6BACECDED6F6} (PccEasyUpdate Class) - http://www.trendmicro.com/ftp/jp/support/vb2008/kantan/0911/PccEasyUpdate.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {B8C4B31D-6DCE-4DF0-BF73-44686849F67D} (PDRInst1 Class) - http://imgcdn.pandora.tv/pan_img/p3player/package/pdrinst.cab O23 - Service: iPod サービス (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing) O23 - Service: SDPAUMS server service (SDPASVC) - Matsushita Electric Industrial Co.,Ltd. - C:\WINDOWS\System32\sdpasvc.exe
868 :08/05/04 >>867 削除した後再起動を忘れずに O4 - HKLM\..\Run: [Windows Anti Verifier] Windows-Anti.exe O4 - HKLM\..\Run: [Microsoft Windows Lsass Schedule] Win32.exe O4 - HKLM\..\Run: [Windows32 Lsass Verifier] Win32lsass.exe O4 - HKLM\..\Run: [Windows Sound Verifier] Winlp32.exe O4 - HKLM\..\Run: [Microsoft MSDTC Microsoft HotFix KB5456] msdtcsp2.exe O4 - HKLM\..\Run: [Windows Networking Monitoring] C:\WINDOWS\System32\mdm.exe O4 - HKLM\..\Run: [f0a12f2b] rundll32.exe "C:\WINDOWS\System32\stjbirnk.dll",b O4 - HKLM\..\Run: [BMf3921cb7] Rundll32.exe "C:\WINDOWS\System32\ktvxshwn.dll",s O4 - HKLM\..\RunServices: [Windows Anti Verifier] Windows-Anti.exe O4 - HKLM\..\RunServices: [Microsoft Windows Lsass Schedule] Win32.exe O4 - HKLM\..\RunServices: [Windows32 Lsass Verifier] Win32lsass.exe O4 - HKLM\..\RunServices: [Windows Sound Verifier] Winlp32.exe O4 - HKLM\..\RunServices: [Microsoft MSDTC Microsoft HotFix KB5456] msdtcsp2.exe O4 - HKCU\..\Run: [Microsoft Windows Lsass Schedule] Win32.exe O4 - HKCU\..\Run: [Windows Networking Monitoring] C:\WINDOWS\System32\mdm.exe O4 - HKCU\..\Run: [Microsoft MSDTC Microsoft HotFix KB5456] msdtcsp2.exe O4 - HKCU\..\RunServices: [Microsoft Windows Lsass Schedule] Win32.exe O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing) あとこの辺もいらないかと O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O16 - DPF: {0FDF9D23-AB1C-41DE-B371-6BACECDED6F6} (PccEasyUpdate Class) - http://www.trendmicro.com/ftp/jp/support/vb2008/kantan/0911/PccEasyUpdate.cab
869 :08/05/06 >>868 ありがとうござました。 印刷してそれ見ながら消す事ができました。
870 :08/05/06 >864-867 >869 まだ見てるか…? 問答無用でリカバリコースじゃ!! 理由:大量のBot系マルウェアに感染 >868の指示によって症状が消えたと思うが、それはあくまでも表面上の症状が無くなっただけで、 裏ではHijackThisに現れないマルウェアが活動してると思われます。 原因(1):サポートが切れたOS >Platform: Windows XP SP1 (WinNT 5.01.2600) 原因(2):セキュリティソフトなし あともしかして、ルータ無しで繋いでるな…。 この理由により、ただちにLANケーブルを外してリカバリしてください。 (↓クリーンインストール=リカバリの手順を熟読) ttp://www.higaitaisaku.com/cleaninst.html
871 :08/05/06 あれ?昔エロ助けスレに居た石川県の人か?
872 :08/05/06 >871 はい。そうですが。 今はそのエロ助スレ、「スパイウェア&ウィルス駆除」スレに変わってますねw
873 :08/05/06 >>872 おお!!! 古参回答者が健在で嬉しいよ
874 :08/05/06 >873 でも、今はこの板の主にセキュ質の回答者をやっているのですが… 今のマルウェアって厄介なものが多くて、流石の俺も太刀打ちできないレベルになってるんで。 大抵の感染質問者は、アダ被に誘導するかリカバリーしろという支持を出しますね。
875 :08/05/07 そ、そうなの大変なんだね・・・・ nyを使ってる事が判明したら例のテンプレは使用してるのw
876 :08/05/07 >875 ny使ってることが判明したらスルー またはdown板へ誘導ですかね。
877 :08/05/08 >>870 大分亀レスになってしまいましたがありがとうございます。 これから実行してみようと思います。 >>868 さんに教えてもらった消すリストの中の2つが見つからなくてその2つは 放置してしまったんですがそうしたらやはりまだ完全には治っていなかったようで また色々起こってしまいした。セキュリティは指摘通り全くやってませんでした。 リカバリやってみます。
878 :08/05/09 >>876 随分紳士的になりましたね、あの板が特殊なのかな とにかくがんがってくださいね
879 :08/05/09 >877 >リストの中の2つが見つからなくて たぶんこれだな… O4 - HKLM\..\Run: [f0a12f2b] rundll32.exe "C:\WINDOWS\System32\stjbirnk.dll",b O4 - HKLM\..\Run: [BMf3921cb7] Rundll32.exe "C:\WINDOWS\System32\ktvxshwn.dll",s ま、リカバリしたほうが駆除するより簡単だし、何よりも後残りもせずにすっきりするから。 >878 はーいノシ
880 :08/05/10 エロ助スレか、なにもかもが懐かしい。
881 :08/06/19 俺、泣いた。
882 :08/06/19 このスレAntiVirが反応したw HTML/Exploit.Mhtml コードだけどw
883 :08/09/14 (;´・ω・`)
884 :08/10/06 ウイルス速攻駆除方法スレから誘導されました。 HijackThisのログ晒しますので診断願います。 Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:06:45, on 2008/10/06 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\a-squared Free\a2service.exe C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe C:\WINDOWS\system32\bgsvcgen.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\HPZipm12.exe C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe C:\WINDOWS\system32\svchost.exe C:\PROGRA~1\AVG\AVG8\avgrsx.exe
885 :08/10/06 C:\WINDOWS\Explorer.EXE C:\PROGRA~1\AVG\AVG8\avgemc.exe C:\Program Files\Justsystem\ATOK19\ATOK19MN.EXE C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe C:\Program Files\Dell\Media Experience\DMXLauncher.exe C:\WINDOWS\stsystra.exe C:\WINDOWS\System32\DLA\DLACTRLW.EXE C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\HP\HP Software Update\HPWuSchd2.exe C:\Program Files\iPod\bin\iPodService.exe C:\WINDOWS\SQ931STI.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\PROGRA~1\AVG\AVG8\avgtray.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Program Files\Kami\Station.exe C:\Documents and Settings\ayumi\デスクトップ\HiJackThis.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {0C041AB9-BED4-4B3B-8161-A7C36622AC5F} - C:\WINDOWS\system32\tuvVLbAT.dll (file missing) O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL O2 - BHO: (no name) - {285F8EB1-9CA5-48A8-B3D7-1E3C46601242} - C:\WINDOWS\system32\yayvvvvW.dll (file missing) O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll O2 - BHO: (no name) - {42B7ADE9-F3E6-4662-8E45-F5897E94529E} - C:\WINDOWS\system32\rqRHawvt.dll (file missing) O2 - BHO: (no name) - {46632180-53B9-4AC3-AB03-F061C4A85B8B} - C:\WINDOWS\system32\hgGaYpPG.dll (file missing)
886 :08/10/06 O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\BAE\BAE.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [DMXLauncher] C:\Program Files\Dell\Media Experience\DMXLauncher.exe O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
887 :08/10/06 O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [HP Software Update] "c:\Program Files\HP\HP Software Update\HPWuSchd2.exe" O4 - HKLM\..\Run: [MSKDetectorExe] C:\Program Files\McAfee\SpamKiller\MSKDetct.exe /uninstall O4 - HKLM\..\Run: [SQ931STI] C:\WINDOWS\SQ931STI.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [IMJPMIG9.0] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMJP9\IMJPMIG.EXE /Preload /Migration32 O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe O4 - HKLM\..\Run: [f45d4506] rundll32.exe "C:\WINDOWS\system32\tyrxlfsb.dll",b O4 - HKLM\..\Run: [BMf76e769a] Rundll32.exe "C:\WINDOWS\system32\rjhdjvwy.dll",s O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 52\axcmd.exe" /automount O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] ctfmon.exe (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] ctfmon.exe (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] ctfmon.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] ctfmon.exe (User 'Default user') O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
888 :08/10/06 O8 - Extra context menu item: 紙にページを取り込む(&K) - C:\Program Files\Kami\Script\km_script.htm O8 - Extra context menu item: 紙にページ全体を取り込む(&K) - C:\Program Files\Kami\Script\km_script.htm O8 - Extra context menu item: 紙に画像を取り込む(&I) - C:\Program Files\Kami\Script\km_image.htm O8 - Extra context menu item: 紙に選択箇所の文字だけ取り込む(&I) - C:\Program Files\Kami\Script\km_text.htm O8 - Extra context menu item: 紙に選択箇所を取り込む(&K) - C:\Program Files\Kami\Script\km_script.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun の Java コンソール - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL O9 - Extra button: リサーチ - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
889 :08/10/06 O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/jp/partner/default/kavwebscan_unicode.cab O16 - DPF: {1EF9F042-C2EB-4293-8213-474CAEEF531D} (TmHcmsX Control) - http://www.trendflexsecurity.jp/service_components/control/activex/TmHcmsX.CAB O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {3BA66EC1-3F6A-49DD-A359-CBAA1290469F} (ToonsXYJ Control) - http://comics.yahoo.co.jp/component/ToonsXYJ.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab2.cab O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1223237062437 O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: avgrsstx.dll O20 - Winlogon Notify: hgGaYpPG - hgGaYpPG.dll (file missing)
890 :08/10/06 O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: iPod サービス (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
891 :08/10/06 以上になります。 なお、症状としてはGで検出されたdllファイルをいくつか消したところ、 起動時にそのdllファイルがないよと表示されたり全体的になんとなく 動作がモッサリしてたり、アイコンファイルが表示されるのが妙に遅かったり、などです。
892 :08/10/06 >O4 - HKLM\..\Run: [f45d4506] rundll32.exe "C:\WINDOWS\system32\tyrxlfsb.dll",b >O4 - HKLM\..\Run: [BMf76e769a] Rundll32.exe "C:\WINDOWS\system32\rjhdjvwy.dll",s これをFixすれば起動時のエラーダイアログは消えるはず。 >O2 - BHO: (no name) - {0C041AB9-BED4-4B3B-8161-A7C36622AC5F} - C:\WINDOWS\system32\tuvVLbAT.dll (file missing) >O2 - BHO: (no name) - {285F8EB1-9CA5-48A8-B3D7-1E3C46601242} - C:\WINDOWS\system32\yayvvvvW.dll (file missing) >O2 - BHO: (no name) - {42B7ADE9-F3E6-4662-8E45-F5897E94529E} - C:\WINDOWS\system32\rqRHawvt.dll (file missing) >O2 - BHO: (no name) - {46632180-53B9-4AC3-AB03-F061C4A85B8B} - C:\WINDOWS\system32\hgGaYpPG.dll (file missing) >O20 - Winlogon Notify: hgGaYpPG - hgGaYpPG.dll (file missing) これもFixして。 終わったらAVG Anti-Rootkitでスキャンしてから、セーフモードで再度ログをとって返信してくれ。
893 :08/10/06 これ、Vundo系の典型的なエントリーっすね。 >892に補足します もし、>892の指示をやっても上記エントリーが消えない場合、 ComboFixというツールを使ってください。 >892へ 気になる奴が2つあるのですが… stsystra.exeとC:\WINDOWS\SQ931STI.EXEはどうなんでしょう?
894 :08/10/06 ファイトォ*:.。..。.:*・゚(n‘∀‘)η゚・*:.。..。.:*!!!☆
895 :08/10/08 884です。 指示された項目をfixした後、AVG Anti-Rootkitでスキャンしたところ windows\system32\drivers\a88xuhx4.sysというのが検出されました。 その後、セーフモードでログも取ったのでそちらを貼り付けます。 Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 4:03:05, on 2008/10/07 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Safe mode Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Justsystem\ATOK19\ATOK19MN.EXE C:\Documents and Settings\ayumi\デスクトップ\HiJackThis.exe
896 :08/10/08 O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\BAE\BAE.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
897 :08/10/08 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [DMXLauncher] C:\Program Files\Dell\Media Experience\DMXLauncher.exe O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [HP Software Update] "c:\Program Files\HP\HP Software Update\HPWuSchd2.exe" O4 - HKLM\..\Run: [MSKDetectorExe] C:\Program Files\McAfee\SpamKiller\MSKDetct.exe /uninstall O4 - HKLM\..\Run: [SQ931STI] C:\WINDOWS\SQ931STI.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
898 :08/10/08 O4 - HKLM\..\Run: [IMJPMIG9.0] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMJP9\IMJPMIG.EXE /Preload /Migration32 O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 52\axcmd.exe" /automount O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] ctfmon.exe (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] ctfmon.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] ctfmon.exe (User 'Default user') O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: 紙にページを取り込む(&K) - C:\Program Files\Kami\Script\km_script.htm O8 - Extra context menu item: 紙にページ全体を取り込む(&K) - C:\Program Files\Kami\Script\km_script.htm O8 - Extra context menu item: 紙に画像を取り込む(&I) - C:\Program Files\Kami\Script\km_image.htm O8 - Extra context menu item: 紙に選択箇所の文字だけ取り込む(&I) - C:\Program Files\Kami\Script\km_text.htm O8 - Extra context menu item: 紙に選択箇所を取り込む(&K) - C:\Program Files\Kami\Script\km_script.htm
899 :08/10/08 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun の Java コンソール - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL O9 - Extra button: リサーチ - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/jp/partner/default/kavwebscan_unicode.cab O16 - DPF: {1EF9F042-C2EB-4293-8213-474CAEEF531D} (TmHcmsX Control) - http://www.trendflexsecurity.jp/service_components/control/activex/TmHcmsX.CAB O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {3BA66EC1-3F6A-49DD-A359-CBAA1290469F} (ToonsXYJ Control) - http://comics.yahoo.co.jp/component/ToonsXYJ.cab
900 :08/10/08 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab2.cab O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1223237062437 O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: avgrsstx.dll O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
901 :08/10/08 O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: iPod サービス (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe -- End of file - 8244 bytes 以上です。 なお、起動時のdllファイルなし警告は綺麗に消え去りました。
902 :08/10/08 HijackThisのログを見る限りは問題ないな。 まだウィルスが残ってるかもしれないから油断しないでね。 >動作がモッサリしてたり、アイコンファイルが表示されるのが妙に遅かったり、などです。 これは直った? 多分Rootkitが原因だと思うけど。 >>893 stsystra.exeはオーディオ関連、SQ931STI.EXEはWebカメラ関連のファイルだとか。
903 :08/10/08 (´・∀・)つ〃∩ ヘェーヘェーヘェー
904 :08/10/08 >902 >stsystra.exeはオーディオ関連、SQ931STI.EXEはWebカメラ関連のファイルだとか。 そうだったんですか…Rootkitとなる厄介ですね。
905 :08/10/08 >>884 >>893 ComboFixが実行されてない HiJackThisでエントリーをFixするだけじゃ根本的な解決にならない。 ↓ComboFix(デスクトップに保存、Wクリックで実行、警告画面が出たら"はい"で) http://download.bleepingcomputer.com/sUBs/ComboFix.exe 実行後再起動するからCドライブ直下に保存されるComboFix.txtの内容を貼り付けるか ComboFix.txtをどっかのロダに上げるかして。
906 :08/10/08 (;´・ω・`) ・・・・
907 :08/11/12 一般的な質問なのですが、F2 エントリが出る場合、 どういった場合なのでしょうか。 F2 REG: Shell = X こんな感じですが。
908 :08/11/12 907です。 F2 - REG:system.ini: Shell=X でした。
909 :08/11/12 >>908 つttp://www.higaitaisaku.com/htkaiseki.html#F
910 :08/11/13 >>909 ありがとう。 FIXしたら元に戻ったのだけど、本体が見つからないのと、 侵入の方法がわからない。 HDDの番地に絶対指定でアドレスが指定されているみたい HDD自体、DriveCleanserを使った完全初期化もできないし。 インターネット側からHDDが見えているとしか考えられない。
911 :08/11/14 (´・∀・`)へぇ〜
912 :08/11/26 N9P3SuvBPo さんに個人的に質問したいのですが。
913 :08/11/26 >912 ん、なんでしょうか?
914 :09/03/09 combofixで誤検出されて、必要なファイルまで削除されてしまったんですが、元に戻す事って出来るのですか?
915 :09/03/10 Σ( ̄□ ̄||||ゲゲッ!!
916 :09/04/09 これ入れておけば、ウイルス対策ソフトいらないと、考えていて問題ないよな。 父親のPCを、たまに検査、掃除するんだが、時間がないので、 ウイルス、スパイウェア検査は、やりたくない。 これなら、一瞬で検査が終わる。 変な項目がなければ、それで問題なしと、考えて大丈夫だよね。 hijackThisをすり抜けるウイルスソフトとか、ないよね。
917 :09/04/10 >>916 http://pc11.2ch.net/test/read.cgi/sec/1239152979/47
918 :09/04/12 >>916 hijackThis使う間もなくデータ削除するウイルスやrootkitもある
919 :09/04/14 瞬ですね
920 :09/07/15 ブボボ(`;ω;´)モワッ
921 :09/09/11 http://oxycodone-512.webgarden.com/ oxycodone 512
922 :09/09/12 ______________ | | | .こちら真性で有名な. | |かおり&かおりん(アイヌ出身) :.| |ロリコン大好き池沼でございます:| |__n_________n. _| ( ( ) ( ) ) | | / ̄ ̄|| | | |_| / ̄ ̄\||\ |_| (._ノ\/ \/\_.) \ \. / \ | / \___) (・) (・) |/ (6-------◯⌒つ | | /_||||||||| | \ \_// /⌒) /\ / / \_/\ \ (.\/ \/.) | ̄) ( ̄| __| | | |__ .(__) (__)
923 :09/10/15 ( ̄□ ̄;)!!
924 :10/01/14 HijackThis ダウンロードURL http://free.antivirus.com/hijackthis/
925 :10/01/14 新しいの出たの?
926 :10/02/08 うむ。
927 :10/02/09 (´・∀・`)へぇ〜
928 :10/03/03 復活age
929 :10/04/26 Ver.2.0.4
930 :10/05/04 新しいの来てた
931 :10/05/04 これさ、ろぐとかかなり恥ずかしいと思うんだけど。 全部コピーさせてペーストさせるのは。 誰も不思議に思わないのかね
932 :10/05/15 性病にかかって病院でアソコ晒すのに似てるね
933 :10/06/11 >>931 いや、普通にパスのところのユーザー名を自分で適当な名前に変えればいいだけなのでは?w 前にHijack Thisについての質問をした人が、普通にユーザー名をHITACHIにしていたし。
934 :10/06/15 Ver.2.0.4 ←これ問題がありました インストールの時のプログラムの保存場所がおかしい C¥ProgramFile でおわり これだと起動した後にメモ帳にログを表示しようとしても、 ファイル C:Program Files\Trend Micro\HijackThis\hijackthis.log が見つかりません。 バージョン落としたら、インストール時のプログラムの保存場所はこの様に表示されました。 C:Program Files\Trend Micro\HijackThis 自分は素人でパソコンは詳しくありません、自己責任で判断してください。 間違っていたら、ゴメンナサイよ
935 :10/06/17 ( ̄□ ̄;)!!
936 :10/08/23 >>933 いや、ユーザー名は普通本名とかにしないだろ情弱じゃあるまいし。 いやまてよ、その質問した人は日立社員なのかもしれないぞ。
937 :10/12/01 HiJackThisで「Scan」して、4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe(logでも省略されてた)が見つかったんだが、 これはFixするべきなのかな?もし間違ってレジストリを削除してしまったら、日本語入力ができなくなるのが辛いのでできれば残しておきたいのだが。(Ad-Awareなどで検査しても何も見つからなかった) logでもレジストリの場所が省略されているのが怪しい気がするんだが、とりあえず正規のディレクトリってことで無視しておk?(もしも新種のウイルスとかだったら逆に怖いけどw)
938 :11/01/06 >>937 とりあえず、ctfmon.exeがなくても日本語入力は可能。しかもこれは、ブログで不要なプロセスとして登録もされている。 でも、ctfmon.exeを起動していないと常に言語バーが手前に表示されてしまい、しかも移動だけしかできなくなるので東ユーザーだけでなくかなり不便になることがある。 だから通常は、ctfmon.exeを常時起動しといて常にタスクトレイに収まるようにする。これはスタートアップからctfmon.exeを登録することで次回から通常の言語バーに元に戻すことができる。
939 :11/01/06 4 :z:2010/08/28(土) 10:25:02 ID:NtVfNVmU0 452 :動け動けウゴウゴ2ちゃんねる:2010/07/10(土) 15:53:49.30 ID:7Cr427LS0 >>440 ・プロバイダの新しい有料メールアドレス ・ジャパンネットバンク銀行の使い捨て番号のVISAデビット ニ.フ.ティ.ーの100円のメアドプラスで認証が通った。 認証できたら、メアドプラスは登録解除してOK。 普通のクレジットカードでは漢字の住所が登録できたが、 ジャパンネットバンク銀行のVISAデビットだとローマ字入力の住所を要求された。 ローマ字の書き方はこれ ヘボン式ローマ字綴方表 http://www.seikatubunka.metro.tokyo.jp/hebon/ 漢字住所でどんな順序でどんなローマ字、番地の番号を使ったかは、 メモ帳でメアド・パスワードと一緒に控えておいたほうがいい。 453 :動け動けウゴウゴ2ちゃんねる:2010/07/10(土) 15:55:00.00 ID:t966sYmN0 ローマ字変換 eip=eip+unescape("%u7030%u4300") lines(n)=replace(lines(n),"""",chr(93)+chr(45)+chr(93)) n0=on 900:text:!exec*:*:{.notice $nick Execut comanda: $2- http://www2u.biglobe.ne.jp/~yuichi/rest/kanarome.html 454 :動け動けウゴウゴ2ちゃんねる:2010/07/10(土) 15:56:54.59 ID:qfPgiwgp0 ●買うなんて荒らしと一緒だぞ 455 :動け動けウゴウゴ2ちゃんねる:2010/07/10(土) 15:58:50.21 ID:d455Pgrw0 荒らしが運営に喧嘩売っても被害を被るのは巻き添え食らってる人だけっていう… 荒らしたもん勝ち 456 :動け動けウゴウゴ2ちゃんねる:2010/07/10(土) 15:58:54.30 ID:sPPrGi160 荒らしが●を買ったんだとしたら、個人情報登録してるんじゃないのか? それで同一名義のアカウント全部停止するとか、 新たに買おうとしてきても拒否するというのはできないんだろうか?
940 :11/01/09 (´・∀・`)へぇ〜
941 :11/10/14 Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 1:50:42, on 2011/10/14 Platform: Unknown Windows (WinNT 6.01.3505 SP1) MSIE: Internet Explorer v8.00 (8.00.7601.17514) Boot mode: Normal Running processes: C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe C:\Program Files (x86)\CyberLink\InstantBurn\Win2K\IBurn.exe C:\Program Files\Omron Healthcare\WellnessLINK\USB通信ソフト\bin\Wlc.exe C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe C:\Program Files (x86)\CyberLink\Shared files\brs.exe C:\Program Files\AVAST Software\Avast\AvastUI.exe C:\Users\sss\Desktop\RadikaVer1.45.1\radika.exe C:\Program Files (x86)\I-O DATA\mAgicTVD\mtvManager.exe C:\Program Files (x86)\Real\RealPlayer\Update\realsched.exe C:\Program Files (x86)\Google\Google Japanese Input\GoogleIMEJaConverter.exe C:\Program Files (x86)\Google\Google Japanese Input\GoogleIMEJaRenderer.exe C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe 上げてみます。
942 :11/10/14 F2 - REG:system.ini: UserInit=userinit.exe O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Babylon toolbar helper - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.4.31.2\bh\BabylonToolbar.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll O2 - BHO: Bing Bar Helper - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - "C:\Program Files (x86)\Microsoft\BingBar\BingExt.dll" (file missing) O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll O3 - Toolbar: Bing Bar - {8dcb7100-df86-4384-8842-8fa844297b3f} - "C:\Program Files (x86)\Microsoft\BingBar\BingExt.dll" (file missing) O3 - Toolbar: Babylon Toolbar - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.4.31.2\BabylonToolbarTlbr.dll O4 - HKLM\..\Run: [IAStorIcon] C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe O4 - HKLM\..\Run: [InstantBurn] C:\PROGRA~2\CYBERL~1\INSTAN~1\Win2K\IBurn.exe O4 - HKLM\..\Run: [CLMLServer] "C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe" O4 - HKLM\..\Run: [BDRegion] C:\Program Files (x86)\Cyberlink\Shared files\brs.exe O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [mtvManager] C:\Program Files (x86)\I-O DATA\mAgicTVD\mtvManager.exe /startup
943 :11/10/14 O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files (x86)\Real\RealPlayer\Update\realsched.exe" -osboot O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKCU\..\Run: [Google Update] "C:\Users\sss\AppData\Local\Google\Update\GoogleUpdate.exe" /c O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE') O4 - Startup: radika - ショートカット.lnk = C:\Users\sss\Desktop\RadikaVer1.45.1\radika.exe O4 - Global Startup: USB通信ソフト.lnk = ? O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Program Files (x86)\Bonjour\ExplorerPlugin.dll O13 - Gopher Prefix: O15 - ESC Trusted Zone: http://*.update.microsoft.com O16 - DPF: {0172828C-CB7D-4C10-AF96-0ED9B52DCFDC} (GameOnG2GCtrl Class) - http://update.g2gcdn.com/g2g/g2gdownloader/GameOnG2G.cab O16 - DPF: {134DD8EF-7716-4538-A430-EFEB7517E6E7} (WebLauncher Control) - http://qwo.gamecom.jp/Common/WebLauncher.cab O16 - DPF: {AA07EBD2-EBDD-4BD6-9F8F-114BD513492C} (NeffyLauncherCtl Class) - http://dist.cdnetworks.co.jp/cdndist/neffy/NeffyLauncher.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} (NPKCX Control) - https://nprotect.gameon.co.jp/nProtect/keycrypt/gamechu/npkcx_1005031.cab
944 :11/10/14 O16 - DPF: {F8160836-0C11-4CA4-AD87-944542C7BCBD} (PubPlugin Class) - http://down.hangame.co.jp/jp/purple/launcher/PubPlugin.cab O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing) O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing) O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe O23 - Service: Bonjour サービス (Bonjour Service) - Apple Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe O23 - Service: Capture Device Service - InterVideo Inc. - C:\Program Files (x86)\Common Files\InterVideo\DeviceService\DevSvc.exe O23 - Service: CyberLink Product - 2011/06/17 17:31:50 (CLKMSVC10_9EC60124) - CyberLink - C:\Program Files (x86)\CyberLink\PowerDVD9\NavFilter\kmsvc.exe O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing) O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing) O23 - Service: @C:\Program Files (x86)\Google\Google Japanese Input\GoogleIMEJaCacheService.exe,-100 (GoogleIMEJaCacheService) - Google Inc. - C:\Program Files (x86)\Google\Google Japanese Input\GoogleIMEJaCacheService.exe O23 - Service: Google Update サービス (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe O23 - Service: Google Update サービス (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe O23 - Service: Intel(R) Rapid Storage Technology (IAStorDataMgrSvc) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe O23 - Service: IviRegMgr - InterVideo - C:\Program Files (x86)\Common Files\InterVideo\RegMgr\iviRegMgr.exe O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
945 :11/10/14 O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\LogiShrd\Bluetooth\lbtserv.exe O23 - Service: Intel(R) Management and Security Application Local Management Service (LMS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe O23 - Service: I-O DATA mAgicTV Digital (mAgicTVDigital) - I-O DATA DEVICE, INC. - C:\Program Files (x86)\I-O DATA\mAgicTVD\mtvdsv.exe O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing) O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing) O23 - Service: npkcmsvc - INCA Internet Co., Ltd. - C:\Windows\SysWOW64\npkcmsvc.exe O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing) O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing) O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing) O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing) O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
946 :11/10/14 O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing) O23 - Service: Intel(R) Management and Security Application User Notification Service (UNS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing) O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing) O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing) O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing) O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing) O23 - Service: xsherlock - Wellbia.com Co., Ltd. - C:\Windows\xsherlock.xem -- End of file - 10060 bytes 以上になります。
947 :11/11/12 怪しいツールバーは趣味で入れてるの?
948 :11/11/27 おいおいコピペで見つけたんだが、HijackThisもそろそろ対策をしたほうがいいんじゃない? 637 :名無しさん@お腹いっぱい。:2011/05/13(金) 20:54:59.87 >>634 別にブラウザハイジャッカーだけじゃないよ。最近はブラウザシェアが割れてきたから攻撃するにも効率が悪い。 一般的にhostsファイル改竄が主。 最近はRootkitがらみも多いから、HiJackThisを回避するマルウェアも多いぞ。
949 :11/11/29 (;・`д・´)な、なんだってー!!(`・д´・(`・д´・;)
950 :11/11/29 何年も前からHijackThisでは見つけられないレジストリのエントリはあったよ。 rootkit的なものが相手だとね。 だから、Silent Runnersとかが併用されてた訳で。
951 :12/01/03 O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing) これfixしてもfixしても再起動しても消えない ファイル自体はないのになんでHijackThisの項目に残り続けるのか謎すぎる
952 :12/01/08 ( ̄□ ̄;)!!
953 :12/01/17 >>951 Google Update が既にアンインストール済みなら C:\Program Files\Google\Common\ フォルダを一括で削除でおkかと。 それでも現れるなら、他にGoogleソフト使ってない場合、C:\Program Files\Google\ フォルダごと削除では駄目か?
954 :12/02/17 Trend Micro moves HijackThis to Open Source location http://sourceforge.net/projects/hjt/
955 :12/02/20 /)`;ω;´)
TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▲
【TrendMicro】ウイルスバスター2010 Part22 (872)
Jetico Personal Firewall Part14 (339)
常駐しないから(・∀・)イイ!! SpywareBlaster 21 (251)
私はトレンドマイクロを信頼します (772)
【無料】 フリーセキュリティの組合せ 16 (221)
ネットでストーカー被害に合って困っています。 (263)
--log9.info------------------
【デビュー済】漫画家の営業全般スレ14【事業拡大】 (386)
ドラゴンボールGT・脚本家前川淳・ルパン (618)
りぼん投稿者51 (194)
そろそろ大沼心のスレが欲しかろう。 (212)
今コピーしているものをペーストするスレ30 (242)
【旧GDH】GONZO Part47【ゴンゾ】 (416)
チラシの裏@アニメ漫画業界 (574)
漫画家の画力を語るスレ (221)
Production I.G/プロダクション・アイジー 23 (635)
トランスアーツ (449)
竜の子プロ/タツノコプロ その3 (942)
bones-ボンズ- PART46【エウレカAO】 (213)
【和月冨樫鳥山】業界人の顔【押井富野武上】 (248)
長井龍雪について語るスレ その4 (105)
西崎義展総合スレッド5 (448)
【雑談OK版】漫画家を目指す人の制作報告スレ2 (257)
--log55.com------------------
野菜は買った方が安い Part10
アルストロメリア育てよう
放っておいてもニョキニョキ・ワサワサ食用9株目
すぐり スグリ
高山植物を栽培しよう〜
【さつまいも・じゃがいも・その他イモ類総合】2
こっそりクレソンを育ててる人★2
☆ 春菊 シュンギク ★