- ベストアンサー
スパイウェアを駆除出来ません
困ってます~。 絶対スパイウェアなんですが、インターネットに 繋げてしばらくするといきなり別のページに飛ばされて、 何かをダウンロードしようとする警告が出ます。 それで「いいえ」とか×を押してウインドウを閉じようとしても 「CLICK YES TO CONTINUE」と出て拒否権を得られないというか…。 他の方の質問を参考にスパイウェア対策のサイトさんに飛んで フローチャート通りにインターネットオプションで キャッシュ(Cookie&ファイル)を削除、さらに 「Ad-Aware」「Spybot」でスキャン→かつセーフモードでもスキャンしなおした ところ、どちらのソフトでも何も検索されなくなったので 駆除に成功したものとばかり思っていましたが、 たくましく復活してしまいました。 ちなみに送り先は「CDT inc」の分と「Blaze Find com」 の二つ。 一度どうしても閉じれないのでついダウンロードに 「YES」をおしてしまったのもまずかったかな…。 でも駆除し始めたのはその後なんだけどなぁ(涙)。 ちなみに対ウィルスソフトはNorton AnijVirusu2003。 2003ですがアップデータはちゃんと行っております。 よきアドバイスをお願いいたします。
- みんなの回答 (6)
- 専門家の回答
質問者が選んだベストアンサー
http://x.???-???.???/ にアクセスすると 「CDT Inc.」のセキュリティ警告が出る 実行すると WinUpdt.exe WinKA.exe msbb.exe bargains.exe (これはエクスプローラを起動させるだけで起動する) exdl.exe exul.exe がダウンロードされ起動される ActiveXに v2cab (v2cab) DPF name: v2cab CLSID name: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) DPF name: CLSID name: Installer Class Path: C:\WINDOWS\Downloaded Program Files\ Long name: ISTactivex.dll Short name: ISTACT~1.DLL Date (created): 2004/07/22 15:12:28 Date (last access): 2004/08/21 9:19:20 Date (last write): 2004/07/22 15:12:28 Filesize: 17408 Attributes: archive MD5: 167871BD4E14A511C5018EB714ADADC7 CRC32: EBD13335 Version: 0.1.0.0 {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} () DPF name: CLSID name: Path: C:\WINDOWS\Downloaded Program Files\ Long name: BridgeX.dll Short name: Date (created): 2004/07/19 13:35:06 Date (last access): 2004/08/21 14:36:44 Date (last write): 2004/07/19 13:35:06 Filesize: 14336 Attributes: archive MD5: FBE73EBBF5403CB4EFC9BB7118F8FB69 CRC32: EB58C2E8 Version: 255.255.255.255 がインストールされる 「プログラムの追加と削除」に Active Alert (Internet Optimizer Active Alert) uninstall cmd: "D:\Program Files\Internet Optimizer\actalert.exe" /u BetterInternet (localNRD) uninstall cmd: RunDll32 advpack.dll,LaunchINFSection C:\WINDOWS\INF\addremln.inf, Uninstall BullsEye Network 8.0.2.7 (BargainBuddy) uninstall cmd: C:\Program Files\BullsEye Network\Uninstall.exe publisher: eXact Advertising EliteBar Internet Explorer Toolbar (EliteBar Internet Explorer Toolbar) uninstall cmd: regsvr32 /s /u "C:\WINDOWS\EliteBar\EliteBar version 40.dll" Internet Optimizer (Internet Optimizer) uninstall cmd: "D:\Program Files\Internet Optimizer\optimize.exe" /u ISTsvc (ISTsvc) uninstall cmd: C:\PROGRAM FILES\ISTSVC\ISTSVC.EXE /remove SideFind (SideFind) uninstall cmd: "C:\Program Files\Sidefind\update\sidefind.exe" /remove SlotchBar (ISTbarISTbar) uninstall cmd: regsvr32 /u /s "C:\Program Files\ISTbar\istbar.dll" Uninstall 180searchAssistant (msbb) uninstall cmd: c:\program files\180solutions\msbb.exe /uninst_simple_init=y Wind Updates (Wind Updates) uninstall cmd: C:\Program Files\WindUpdates\WinUpdt.exe /Remove Windows SR 2.0 (Windows SR 2.0) uninstall cmd: C:\WINDOWS\UnstSA2.exe がインストールされる 「システムスタートアップ」に Located: HK_LM:Run, BullsEye Network command: C:\Program Files\BullsEye Network\bin\bargains.exe file: C:\Program Files\BullsEye Network\bin\bargains.exe size: 212992 MD5: f43fbac746c0da51ebcf8413af550e58 Located: HK_LM:Run, msbb command: c:\temp\msbb.exe file: c:\temp\msbb.exe size: 278528 MD5: be39e672b41e361304b0935f1bb54e23 Located: HK_LM:Run, WindUpdates command: C:\Program Files\WindUpdates\WinUpdt.exe file: C:\Program Files\WindUpdates\WinUpdt.exe size: 25088 MD5: e410ac628d94ecb9d0a565d70329e139 Located: HK_LM:Run, bol command: C:\WINDOWS\bol.exe file: C:\WINDOWS\bol.exe size: 94208 MD5: bf8489ef5e9bdfc21ffd2b7de5bb546c ---------------------------------------------- Located: HK_LM:Run, conscorr command: C:\WINDOWS\conscorr.exe file: C:\WINDOWS\conscorr.exe size: 69632 MD5: f89eab3d483b0fecfd3f946198807e09 Located: HK_LM:Run, Internet Optimizer command: "D:\Program Files\Internet Optimizer\optimize.exe" file: D:\Program Files\Internet Optimizer\optimize.exe size: 45960 MD5: 8785054f5150a056044b0033c08154ad Located: HK_LM:Run, IST Service command: C:\Program Files\ISTsvc\istsvc.exe file: C:\Program Files\ISTsvc\istsvc.exe size: 10752 MD5: 4ed71cd2753c5946aa8c16558b513730 Located: HK_LM:Run, jezkp command: C:\WINDOWS\jezkp.exe file: C:\WINDOWS\jezkp.exe size: 94208 MD5: bf8489ef5e9bdfc21ffd2b7de5bb546c Located: HK_LM:Run, nkhiclobmuk command: C:\WINDOWS\System32\zktlzvo.exe file: C:\WINDOWS\System32\zktlzvo.exe size: - MD5: d41d8cd98f00b204e9800998ecf8427e Located: HK_LM:Run, rcr command: C:\WINDOWS\rcr.exe file: C:\WINDOWS\rcr.exe size: 94208 MD5: bf8489ef5e9bdfc21ffd2b7de5bb546c Located: HK_LM:Run, SysA command: C:\windows\system32\winxij32.exe file: C:\windows\system32\winxij32.exe size: 12057 MD5: a779d856b121f4472e5227323bd4e3e4 Located: HK_LM:Run, wssugv command: C:\WINDOWS\System32\zktlzvo.exe が登録される SysAはwinxij32.exeが自分で登録している タスクマネージャに、winxij32.exeが表示されないので、 (StartStopを使用して停止しても再起動してしまう) WindUpdatesの削除は 「プログラムの追加と削除」からアンインストールする ダイアログには 「Yes」→「Yes」→「No」をクリックする (WinUpdt.exe、WinKA.exeが停止している状態でなければ削除できないので セーフモードでWindowsを起動しなければならない) Windows SR 2.0 (Windows SR 2.0)のアンインストール時 「Yes」 「Yes」 「No」 の順番でクリックする Browser Helper Objectsには {83DE62E0-5805-11D8-9B25-00E04C60FAF2} () BHO name: CLSID name: Path: C:\WINDOWS\ Long name: 2_0_1browserhelper2.dll Short name: 2_0_1B~1.DLL Date (created): 2004/08/21 14:39:22 Date (last access): 2004/08/21 14:39:22 Date (last write): 2004/08/21 14:39:22 Filesize: 218182 Attributes: archive MD5: DF33681DD7ED71337C944700C5058DD2 CRC32: 91E1D6CA Version: 255.255.255.255 {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} (Url Catcher) BHO name: Url Catcher CLSID name: UrlCatcher Class description: Bargain Buddy classification: Confirmed as malware known filename: Apuc.dll info link: http://www.??????.com/parasite/BargainBuddy.html info source: TonyKlein Path: C:\WINDOWS\System32\ Long name: apuc.dll Short name: Date (created): 2004/08/06 5:05:36 Date (last access): 2004/08/21 14:40:22 Date (last write): 2004/08/06 5:05:36 Filesize: 110592 Attributes: archive MD5: 2C50C788EF2FB5F7948F0A6C99DEB2B8 CRC32: 25DFF499 Version: 0.2.0.0 (regsvr32 /u で登録解除) が登録される EliteBar Internet Explorer Toolbar (EliteBar Internet Explorer Toolbar) のアンインストール後、 レジストリの [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{825CF5BD-8862-4430-B771-0C15C5CA880F}"="EliteBar" を手動で削除する
その他の回答 (5)
- ittochan
- ベストアンサー率64% (2667/4137)
スタートアップに登録される プログラムは 必ずしもANo.2の通りの名前になるとは限らないかもしれない。 あくまで一例ね。
お礼
そうなんです。実はやってみたんですが、御指示の ファイル名が無いんです~…。 しかもこのスパイウェア、スタートアップのアイコン (具体的には「インターネット」「電子メール」から下、 「全てのプログラム」の上までの6項目)をデスクトップ 上のショートカットとすりかえるなんて事もやります。 ランダムに替わっていき、精神衛生上悪いったら…。 詳しいアドバイスありがとうございました。 生かせなくてすいません…。 これ以上このスパイウェアで時間を取ってる場合じゃ ないので、諦めて再インストールしました。 とりあえず使うソフトとメールが出来れば 一応仕事は出来るので…。 完全復旧には時間がかかりそう…明日日曜日でよかったです(涙)。
- ittochan
- ベストアンサー率64% (2667/4137)
bastard2 さんへ >http://x.???-???.???/はチョッと気になる だって本当のURL書くと管理者さんに削除されちゃうから
お礼
私も実は自分が何をしたのか分かりません。 ただ原因は分かってるんです。 2ちゃんねるでリンクで飛んじゃったんです…。 馬鹿でした。怖いなぁもう。
参考【Adware.BlazeFind】です。 http://www.symantec.com/region/jp/avcenter/venc/data/jp-adware.blazefind.html あっちこちのレジストリーを修正しないと 直らないようですけど・・・
お礼
結果としては、私では直せませんでした。 上のお礼でも書いてますが、いろんな要素が てんこ盛りで…。 再インストールしました。 いま復旧中…。 ありがとうございました。 これからは気をつけます。
参考【Adware.CDT】です。 http://www.symantec.com/region/jp/sarcj/data/a/adware.cdt.html ANo.#2さんの内容を見ると今回のは厄介そうですね http://x.???-???.???/はチョッと気になる
お礼
やっかいです。っていうか、スパイウェアソフトで スキャンでは消せません~。 しかも色んな心臓に悪いことが…。 プチブラクラですかってくらいウィンドウは開くし~。 結果として再インストールを選びました。 復旧中です…。 ああ、もう二度とくらいたくない!!! うかつにリンクで飛ぶのがどれほど危険かよく分かりました。 そういった意味では大変勉強になりました。 ありがとうございました。
まずは、Nortonで全ドライブを検索してみてください。 そして、ウィルスが検出されたら削除してください。 そして、以下のアドレスに書かれている方法で「HijackThis」ログを取ってください。 アダルトサイト被害対策の部屋 HijackThisによるレポート出力と手動でのスパイウェア除去 http://www.higaitaisaku.com/hijackthis.html そして、質問専用掲示板で、質問をしてください。 そのサイトで質問しなから解決・駆除するようにしてください。 おそらく、このスパイウェアは、しつこいものですのでスパイウェアばかりでは駆除できませんので。 アダルトサイト被害対策の部屋 質問専用掲示板 http://www.higaitaisaku.com/cgi-bin/cbbs.cgi
お礼
誘導いただきましたサイトさんのフローチャートを 全部やったのですがどうにもなりませんでした。 掲示板に書き込んだのですが、レスを待っている時間 が取れなく(今日午前中使ったので)、諦めて 再インストールの道を選びました。 今日の午後と明日かけて復旧します。 幸いデータは日ごろからメディアに保存するくせが ありまして、そちらのバックアップは変な話完璧だったので なんとかなりそうです。 アドバイスありがとうございました。
お礼
詳しくアドバイスいただいて、どうもありがとう ございました~。 しかし、上のレスのお礼にも書いておりますが、 やはりファイル名が替わってしまっていて復旧 できませんでした。 なんてやっかいなスパイウェアなんだ…。