• ベストアンサー

ホームページがAll-Findに書き換えられてしまいました

Internet Explorerのホームページが「All-Find」に書き換えられてしまいました。インターネットオプションを変更しても、IEを再起動すると、また元に戻ってしまいます。SpybotとAd-Awareで検索を行い検出したものをすべて削除しましたが、修復することができません。対処方法を教えてください。

質問者が選んだベストアンサー

  • ベストアンサー
  • ksuzuki
  • ベストアンサー率69% (25/36)
回答No.15

C:\RECYCLERフォルダの中にあるのは、ごみ箱の中のファイルです。C:\RECYCLERフォルダ以外の場所に「ウイルス」「懐疑」「不良」「不明」「未知」で検出されるものがありますか?なければ、問題ないです。あったら、ご連絡ください。 セーフモードではなく、通常のモードで、問題なく、パソコンは起動していますね?おかしな症状があるなら、ご連絡ください。 以上の2点について問題がなければ、このままの状態で(ごみ箱の中のファイルは消さずに)パソコンを一週間ほど使ってみてください。時間があるときに、WindowsUpdateを実行して下さい。 Ad-AwareSE、Spybot、WindowsAntiSpyware、NortonAntiVirusを更新して下さい。 SafeModeで上記4つのソフトでスキャンして、検出されたものを全て削除してください。また、アプリケーションで問題がないかを調べてみてください。(ダウンロードNinjaが正常に動かないような気がしますが、再度インストールしてみてください。)一週間ほど使ってみて問題がなければ、ごみ箱を空にしてください。 問題なければ、私として出来ることはし尽くしました。お疲れ様でした。大変な作業だったと思いますが、対応していただいたおかげで、私も、勉強になりました。有難うございました。 予防策として、以下のHPをご覧になり、SpywareBlasterとかを使ってみてください。 http://www.higaitaisaku.com/korobanu.html 問題がないことを祈っております。

Bitaka
質問者

お礼

書き込みが遅くなり申し訳ありません。 C:\RECYCLERはごみ箱だったんですね。確認したところ、全て:\C:RECYCLERでした。土日の2日間パソコンを使用しましたが、特に問題なく動いています。SafeModeでのスキャンも実行しました。 毎回、丁寧な説明をいただき感謝しています。ほんとうにありがとうございました。

その他の回答 (14)

  • ksuzuki
  • ベストアンサー率69% (25/36)
回答No.14

お久しぶりです。長い間お返事がありませんでしたので、パソコンが正常に起動しなくなったのではないかと心配しておりました。 > ANo12までの処置で「All-Find」の表示は治まりました。再度、Spybotの検知を行いましたが何も検知されませんでした。 良かったですね!私も嬉しいです。 > これで、大丈夫なのでしょうか?それと、 Antidoteで幾つかの検知がありましたが、これについてはどのようにすればよろしいですか? 残念ながら、ウイルスに感染している可能性があります。もしかしたら、バックドア系(トロイの木馬)のウイルスにやられて、他の人に遠隔操作されているかもしれません。この書き込みを印刷するか、選択してテキストファイルに保存するなどして、インターネットに接続できない状況でも、この書き込みを読めるようにしてください。 その後、以下の操作を行ってください。 1)電源を切る。LANケーブルを外すなどして、インターネットとの接続を切断してください。セーフモードで起動してください。 2)何かのフォルダを開き、「ツール」-「フォルダオプション」をクリック。開いたウィンドウで「表示」をクリック。「システムフォルダの内容を表示する」、「すべてのファイルとフォルダを表示する」の左にチェック。 「ネットワークのフォルダとプリンタを自動的に検索する」、「登録されている拡張子は表示しない」、「保護されたオペレーティングシステムファイルを表示しない(推奨)」の左のチェックを外す。 「適用」をクリック。 「すべてのフォルダに適用」をクリック。 【注意】以上の作業を行うと、デスクトップなどに今まで表示されていなかったものが(場合によっては半透明で)表示されます。このようなファイルは私からの指示がない限り削除しないで下さい。 3)以下のフォルダに以下のファイルがないか調べ、あったら、全て、ゴミ箱に移動してください。つまり、ファイルを右クリックして、「削除」をクリック。(【重要】ただし、ゴミ箱は空にしないでください。) C:\cmyvkgvy.exe C:\toydyuxu.exe C:\txpegwyv.exe C:\Documents and Settings\taka\デスクトップ\インスール\WGSetup-en.exe C:\Documents and Settings\taka\デスクトップ\インストール\WGSetup-en.exe (注意:上記で、「C:\」はCドライブです。「\」はフォルダの内部を表します。) もしも以上の操作で、何らかの警告メッセージが表示されてゴミ箱に移動できない場合には、その警告メッセージを記録して下さい。そして、以下の★までの作業を行ってゴミ箱への移動を試みてください。 「Ctrl」キーと「Alt」キーと「Esc」キーを同時に押す。「タスクマネージャ」というウィンドウが開くので、「プロセス」をクリック。その中で、削除しようとしているファイルと同じ名前のものがないか調べる。有ったら、それをクリックして「プロセスの終了」をクリック。警告メッセージが出ても、削除を選択してください。終了できたら、そのファイルをゴミ箱に移動してください。 ★以上でもゴミ箱に移動できない場合には、状況をこちらに報告してください。 4)「スタート」-「コントロールパネル」をクリック。「インターネットオプション」をクリック。「全般」をクリック。「Cookieの削除」をクリック。「Cookieの削除」というウィンドウで「OK」をクリック。「ファイルの削除」をクリック。「すべてのオフラインコンテンツを削除する」の左にチェック。「OK」をクリック。「履歴のクリア」をクリック。新たに現れた「インターネットオプション」のウィンドウで「OK」をクリック。「インターネットオプション」のウィンドウで「OK」をクリック。 5)SpybotSearch&Destroyを起動。「リカバリ」をクリック。白枠内に修正したものの一覧が表示されるので、それらの全てにチェックする。「チェックした項目を削除」をクリック。警告メッセージが表示されても、削除を試みてください。 6)通常モードで再起動してください。 正常に起動しなかった場合には、以下の★★までを試みてください。 セーフモードでの起動を試みてください。セーフモードで起動できたら、ゴミ箱を開いて、「すべての項目を元に戻す」をクリックして、ゴミ箱の中のファイルを全て元の場所に戻してください。そのようなボタンがなければ、ゴミ箱の中のファイルを一つずつ右クリックして「元に戻す」をクリックしてください。そして通常モードで再起動してください。★★ 7)インターネットに接続してください。HijackThisを起動し、ログを取って、こちらに報告してください。また、Antidoteでスキャンして、ログをテキストファイルに保存し、そのテキストファイルで「ウイルス」(←半角文字)「懐疑」「不良」「不明」「未知」で検索し、見つかった行を全てこちらに報告してください。 時間があるときに、WindowsUpdateを実行して下さい。 Ad-AwareSE、Spybot、WindowsAntiSpyware、NortonAntiVirusを更新して下さい。 SafeModeで上記4つのソフトでスキャンして、検出されたものを全て削除してください。

Bitaka
質問者

お礼

271 C:\RECYCLER\NPROTECT\00167268.htm = ウイルス感染 : Trojan-Downloader.JS.Small.d 272 C:\RECYCLER\NPROTECT\00167280.htm = ウイルス感染 : Exploit.HTML.Mht 273 C:\RECYCLER\NPROTECT\00167290.htm = ウイルス感染 : Exploit.HTML.Mht 274 C:\RECYCLER\NPROTECT\00167291.CLA = ウイルス感染 : Trojan.Java.ClassLoader.Dummy.d 275 C:\RECYCLER\NPROTECT\00167293.htm = ウイルス感染 : Exploit.HTML.Mht 276 C:\RECYCLER\NPROTECT\00167294.htm = 懐疑 : Exploit.HTML.Mht 277 C:\RECYCLER\NPROTECT\00167298.CLA = ウイルス感染 : Trojan.Java.ClassLoader.k 278 C:\RECYCLER\NPROTECT\00167300.CLA = ウイルス感染 : Exploit.Java.Bytverify 279 C:\RECYCLER\NPROTECT\00167304.htm = ウイルス感染 : Exploit.HTML.Mht 280 C:\RECYCLER\NPROTECT\00167308.CLA = ウイルス感染 : Exploit.Java.Bytverify 281 C:\RECYCLER\NPROTECT\00167312.CLA = ウイルス感染 : Troj 282 C:\RECYCLER\NPROTECT\00167314.htm = ウイルス感染 : Exploit.HTML.Mht 283 C:\RECYCLER\NPROTECT\00167315.htm = ウイルス感染 : Trojan-Downloader.JS.Small.d 284 C:\RECYCLER\NPROTECT\00167318.CLA = ウイルス感染 : Exploit.Java.Bytverify 285 C:\RECYCLER\NPROTECT\00167323.htm = 懐疑 : Exploit.HTML.Mht 286 C:\RECYCLER\NPROTECT\00167324.CLA = ウイルス感染 : Trojan.Java.ClassLoader.c 287 C:\RECYCLER\NPROTECT\00167325.CLA = ウイルス感染 : Exploit.Java.Bytverify 288 C:\RECYCLER\NPROTECT\00167326.htm = ウイルス感染 : Trojan-Downloader.JS.Small.d 289 C:\RECYCLER\NPROTECT\00167327.php = ウイルス感染 : Exploit.HTML.Mht 290 C:\RECYCLER\NPROTECT\00167328.CLA = ウイルス感染 : Trojan.Java.ClassLoader.h 291 C:\RECYCLER\NPROTECT\00167330.CLA = ウイルス感染 : Trojan.Java.ClassLoader.k 292 C:\RECYCLER\NPROTECT\00167332.CLA = ウイルス感染 : Trojan.Java.ClassLoader.d

Bitaka
質問者

補足

いつも丁寧なご説明ありがとうございます。 Ano14を実行しAntidoteを行ったところ、ウィルス感染と検知された数が前回より異常に増加しており、このスペースにすべて貼り付けるのは不可能でした。ご指示をお願いします。 Antidote 226 C:\RECYCLER\NPROTECT\00167134.htm = 懐疑 : Exploit.HTML.Mht 227 C:\RECYCLER\NPROTECT\00167135.CLA = ウイルス感染 : Trojan.Java.ClassLoader.c 228 C:\RECYCLER\NPROTECT\00167137.htm = ウイルス感染 : Trojan-Downloader.JS.Small.d 229 C:\RECYCLER\NPROTECT\00167141.CLA = ウイルス感染 : Trojan.Java.ClassLoader.i 230 C:\RECYCLER\NPROTECT\00167143.htm = 懐疑 : Exploit.HTML.Mht 231 C:\RECYCLER\NPROTECT\00167144.htm = 懐疑 : Exploit.HTML.Mht 232 C:\RECYCLER\NPROTECT\00167145.CLA = ウイルス感染 : Exploit.Java.Bytverify 233 C:\RECYCLER\NPROTECT\00167146.htm = 懐疑 : Exploit.HTML.Mht 234 C:\RECYCLER\NPROTECT\00167149.htm = 懐疑 : Exploit.HTML.Mht 235 C:\RECYCLER\NPROTECT\00167152.htm = ウイルス感染 : Trojan-Downloader.JS.Small.d 236 C:\RECYCLER\NPROTECT\00167154.htm = ウイルス感染 : Trojan-Downloader.JS.Small.d 237 C:\RECYCLER\NPROTECT\00167155.htm = ウイルス感染 : Trojan-Downloader.JS.Small.d 238 C:\RECYCLER\NPROTECT\00167156.CLA = ウイルス感染 : Exploit.Java.Bytverify 239 C:\RECYCLER\NPROTECT\00167158.htm = ウイルス感染 : Trojan-Downloader.JS.Small.d 240 C:\RECYCLER\NPROTECT\00167161.CLA = ウイルス感染 : Trojan.Java.ClassLoader.d 241 C:\RECYCLER\NPROTECT\00167167.js = ウイルス感染 : Trojan-Downloader.JS.Psyme.d 242 C:\RECYCLER\NPROTECT\00167170.htm = ウイルス感染 : Exploit.HTML.Mht 243 C:\RECYCLER\NPROTECT\00167176.CLA = ウイルス感染 : Trojan.Java.ClassLoader.c 244 C:\RECYCLER\NPROTECT\00167177.CLA = ウイルス感染 : Exploit.Java.Bytverify 245 C:\RECYCLER\NPROTECT\00167180.CLA = ウイルス感染 : Trojan.Java.ClassLoader.c 246 C:\RECYCLER\NPROTECT\00167181.CLA = ウイルス感染 : Trojan.Java.ClassLoader.Dummy.a 247 C:\RECYCLER\NPROTECT\00167183.CLA = ウイルス感染 : Trojan.Java.ClassLoader.Dummy.a 248 C:\RECYCLER\NPROTECT\00167184.CLA = ウイルス感染 : Trojan.Java.ClassLoader.c 249 C:\RECYCLER\NPROTECT\00167195.js = ウイルス感染 : Trojan-Downloader.JS.Psyme.d 250 C:\RECYCLER\NPROTECT\00167197.htm = 懐疑 : Exploit.HTML.Mht 251 C:\RECYCLER\NPROTECT\00167198.htm = ウイルス感染 : Trojan-Downloader.JS.Small.d 252 C:\RECYCLER\NPROTECT\00167201.CLA = ウイルス感染 : Trojan-Downloader.Java.OpenStream.h 253 C:\RECYCLER\NPROTECT\00167202.htm = ウイルス感染 : Trojan-Downloader.JS.Small.d 254 C:\RECYCLER\NPROTECT\00167205.CLA = ウイルス感染 : Trojan.Java.ClassLoader.k 255 C:\RECYCLER\NPROTECT\00167206.CLA = ウイルス感染 : Trojan.Java.ClassLoader.i 256 C:\RECYCLER\NPROTECT\00167210.php = ウイルス感染 : Trojan-Downloader.JS.Small.d 257 C:\RECYCLER\NPROTECT\00167211.CLA = ウイルス感染 : Trojan.Java.ClassLoader.h 258 C:\RECYCLER\NPROTECT\00167218.htm = ウイルス感染 : Exploit.HTML.Mht 259 C:\RECYCLER\NPROTECT\00167219.htm = ウイルス感染 : Trojan-Downloader.JS.Small.d 260 C:\RECYCLER\NPROTECT\00167222.CLA = ウイルス感染 : Trojan.Java.ClassLoader.k 261 C:\RECYCLER\NPROTECT\00167224.CLA = ウイルス感染 : Trojan.Java.ClassLoader.k 262 C:\RECYCLER\NPROTECT\00167226.htm = ウイルス感染 : Exploit.HTML.Mht 263 C:\RECYCLER\NPROTECT\00167228.CLA = ウイルス感染 : Trojan.Java.ClassLoader.i 264 C:\RECYCLER\NPROTECT\00167231.CLA = ウイルス感染 : Trojan.Java.ClassLoader.d 265 C:\RECYCLER\NPROTECT\00167232.htm = ウイルス感染 : Trojan-Downloader.JS.Small.d 266 C:\RECYCLER\NPROTECT\00167233.htm = ウイルス感染 : Trojan-Downloader.JS.Small.d 267 C:\RECYCLER\NPROTECT\00167238.CLA = ウイルス感染 : Exploit.Java.Bytverify 268 C:\RECYCLER\NPROTECT\00167240.CLA = ウイルス感染 : Trojan.Java.ClassLoader.i 269 C:\RECYCLER\NPROTECT\00167242.CLA = ウイルス感染 : Exploit.Java.Bytverify 270 C:\RECYCLER\NPROTECT\00167267.htm = ウイルス感染 : Exploit.HTML.Mht

  • ksuzuki
  • ベストアンサー率69% (25/36)
回答No.13

まず、ANo.12の方法を行ってください。ANo.12の方法でも症状が改善しない場合、HijackThisで「O10」で始まるもの全てにもチェックして、FixCheckedしてください。 それでも駄目な場合、C:\Windows\System32フォルダを開き、「ツール」-「フォルダオプション」をクリック。開いたウィンドウで「表示」をクリック。「システムフォルダの内容を表示する」、「すべてのファイルとフォルダを表示する」の左にチェック。 「ネットワークのフォルダとプリンタを自動的に検索する」、「登録されている拡張子は表示しない」、「保護されたオペレーティングシステムファイルを表示しない(推奨)」の左のチェックを外す。 「適用」をクリック。 c:\windows\system32フォルダに「web.exe」がないかを調べてください。(参考:ANo.1の方の回答) 成功を祈ります。

Bitaka
質問者

お礼

23 - Service: HITACHI HPEPGRD (HPEPGRD) - Unknown owner - C:\Program Files\HITACHI\Prius Navistation\HPEPGRD.exe O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~3\SPEEDD~1\nopdb.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\Sptisrv.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe ANo12までの処置で「All-Find」の表示は治まりました。再度、Spybotの検知を行いましたが何も検知されませんでした。これで、大丈夫なのでしょうか?それと、 Antidoteで幾つかの検知がありましたが、これについてはどのようにすればよろしいですか?

Bitaka
質問者

補足

HijackThisのログ(ANo12続き) O4 - HKLM\..\Run: [ABRECEIVER] "C:\Program Files\Melco Inc\BroadStation ユーティリティ\ABRECEIVER\ABReceiver.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [Multimedia Keyboard] FTMKEY.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\0 フリーソフト\セキュリティ\スパイウェアー\Giant Anti Spyware\gcasServ.exe" O4 - HKLM\..\RunOnce: [MicrosoftAntiSpywareCleaner] C:\Program Files\0 フリーソフト\セキュリティ\スパイウェアー\Giant Anti Spyw O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O8 - Extra context menu item: Bookshelfで検索(&L) - res://C:\Program Files\Microsoft Reference\Microsoft Bookshelf 3.0\bsdef.dll/#1001 O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: この画像をダウンロードNinjaでダウンロード(&I) - C:\Program Files\1 インストール\GetImg.htm O8 - Extra context menu item: 選択範囲をダウンロードNinjaでダウンロード(&S) - C:\Program Files\1 インストール\GetPart0.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O10 - Unknown file in Winsock LSP: c:\program files\adsl ninja\nwcq9nsp.dll O10 - Unknown file in Winsock LSP: c:\program files\adsl ninja\nwcq9nsp.dll O10 - Unknown file in Winsock LSP: c:\program files\adsl ninja\nwcq9lsp.dll O10 - Unknown file in Winsock LSP: c:\program files\adsl ninja\nwcq9lsp.dll O10 - Unknown file in Winsock LSP: c:\program files\adsl ninja\nwcq9lsp.dll O10 - Unknown file in Winsock LSP: c:\program files\adsl ninja\nwcq9lsp.dll O14 - IERESET.INF: START_PAGE_URL=http://prius.hitachi.co.jp/go/prius/index.htm O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe

  • ksuzuki
  • ベストアンサー率69% (25/36)
回答No.12

> 「Files will be Removed on Reboot, Do you want to reboot now?」と表示され、はいorいいえの回答を求められます。はいをクリックすると、パソが再起動してしまうので、すべて、いいえにしましたが、これで正しいのでしょうか? 私がWindowsMeのパソコンでKillBoxを使った場合、このようなメッセージは表示されませんでした。XPでは違うのかもしれません。「いいえ」でOKです。 > 11)においては、1つもファイルは存在しませんでした。 やりました!うまくいっています。 <ANo.10の補足への回答> > Spybotのことはよくわかりませんが・・・通常どうり動作しているようです。スキャンを実行でき、幾つかの検知がされ、削除もできるのですが? SpybotのSDHelperが上手く作動していないようです。Spybotを起動してください。Spybotは日本語になっていますよね?なっていなければ、「Language」で「Japanese」を選択してください。 「モード」で「高度なモード」をクリック。確認メッセージが出たら、「はい」または「OK」をクリック。 左側の「Spybot-S&D」をクリック。「Immunize」をクリック。確認メッセージには「はい」をクリック。「免疫化」をクリック。「検索&修正/削除」をクリックして、「スキャン開始」して、問題箇所を修正してください。 <ANo.9への補足への回答> > Ninja バー~ →ダウンロードNinjaはCDロム製品版で、Ninja バーはこれのインストール時に一緒にインストールしたのだと思います。他はすべてフリーソフトです。ダウンロードNinja以外は削除しようと思うのですが、プログラムの追加と削除に表示されておらず、アンインストーラーもないのですが、プログラム本体を削除して大丈夫でしょうか? プログラム本体の削除は行わないで下さい。以下でHijackThisでFixします。 以下の作業を行ってください。 まず、HijackThisでFixした場合に正常に起動できなくなる可能性もあるので、その場合の復旧方法を理解してください。このページを印刷(またはファイルとして保存)してください。 正常に起動しなくなった場合、以下の●●までを実行してください。 セーフモードで起動。HijackThisを起動。「View the list of backups」をクリック。白枠内にFixCheckedしたもののリストが表示されます。正常に起動しなくなった直前にHijackThisでFixCheckedしたものについて、左にチェックして、「Restore」をクリック。確認メッセージに「OK」または「はい」をクリック。HijackThisを閉じる。再起動。 ●● 以上を理解し、このページを印刷(または保存)したら、セーフモードで起動して下さい。全ての開いているウィンドウを閉じて(右上の「×」をクリックして)ください。 HijackThisで「Do a・・」をクリック。テキストファイルを保存してから、以下のものの左にチェックを入れます。 O1 - Hosts: auto.search.msn.com 127.0.0.1 O3 - Toolbar: Ninja バー(&J) - {8C39E9C0-D990-11d3-A2FE-0000C0776AF8} - C:\Program Files\1 インストール\njbar.dll (file missing) O8 - Extra context menu item: Arachmoでダウンロード(&H) - C:\Program Files\0 フリーソフト\Arachmo\SpiderMenu.html O8 - Extra context menu item: GASでダウンロード - C:\PROGRA~1\0フリ~1\GETASF~1\ie_MenuExt.htm O8 - Extra context menu item: ImageDownloaderに登録 - res://C:\PROGRA~1\IMAGED~1\ImgDown.exe/ie_menu1.htm O8 - Extra context menu item: ImagePageCreator - C:\Documents and Settings\taka\デスクトップ\ipc100\ipc100\IPC.html O8 - Extra context menu item: Net Transportでダウンロード - C:\Program Files\Xi\NetTransport 2\NTAddLink.html O8 - Extra context menu item: surfingFOLiO - C:\Program Files\B's Recorder GOLD7\Plugin\surfingFOLiO\bssurf.htm O8 - Extra context menu item: WeBoXでこのページを取り込む(&1) - H:\0 マイ ドキュメント\プログラム\webox0.95B\webox_dl.html O8 - Extra context menu item: 全てをImageDownloaderに登録 - res://C:\PROGRA~1\IMAGED~1\ImgDown.exe/ie_menu2.htm O8 - Extra context menu item: 全てをNet Transportでダウンロード - C:\Program Files\Xi\NetTransport 2\NTAddList.html O8 - Extra context menu item: 選択範囲のリンクをImageDownloaderに登録 - res://C:\PROGRA~1\IMAGED~1\ImgDown.exe/ie_menu2.htm O8 - Extra context menu item: 選択範囲をURLとしてImageDownloaderに登録 - res://C:\PROGRA~1\IMAGED~1\ImgDown.exe/ie_menu3.htm O9 - Extra button: Ninja バー - {EDF5C580-EA1B-11d3-A2FE-0000C0776AF8} - C:\Program Files\1 インストール\njbar.dll (file missing) 「O16」で始まるものの全て O23 - Service: HITACHI HPEPGRD (HPEPGRD) - Unknown owner - C:\Program Files\HITACHI\Prius Navistation\HPEPGRD.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) 「FixChecked」をクリック。再起動(通常モードで)。通常モードで正常に起動できなければ、上記●●のところに記した方法で、直前でFixCheckedしたものを全て復旧してください。 「スタート」-「プログラム」-「アクセサリ」-「コマンドプロンプト」をクリック。開いたウィンドウで sfc /scannow と入力して、(「sfc」と「/scannow」の間にスペースを入れてください。)リターンキーを押す。 自動的にスキャンが始まるので、何か警告メッセージが出たら、その内容を記録してください。 > Antidote  結果をテキストファイルに保存し、それを開き、「ウイルス」、「懐疑」、「未知」、「不良」、「不明」で検索して、見つかった行を全てこちらに貼り付けて連絡してください。 セーフモードで起動し、全てのウィンドウを閉じて、HijackThisのログを取ってください。そのログをこちらに貼り付けてください。 また、症状が改善されているかどうかも連絡してください。

Bitaka
質問者

お礼

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\0フリ~1\セキュ~1\スパイ~1\SPYBOT~1.3\SPYBOT~1\SDHelper.dll (file missing) O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [imjpmig] C:\Program Files\Common Files\Microsoft Shared\IME\IMJP\imjpmig.exe /RemAdvDef /AIMEREG /Migration /SetPreload O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

Bitaka
質問者

補足

書き込みが遅くなり申し訳ありません。 1)Spybot 再度、確認したところバージョンの古い(1.2)のを使用していたようです。1.3をインストールし実行しまた。下記の2つが検出され何度実行しても削除できませんでした。 CoolWWWSearch → Prefix change HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\!=http:// MySoft → E 拡張 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes\www!=http:// 2)HijackThisでFix 再起動後も正常に起動しています。 3)Antidote C:\cmyvkgvy.exe = ウイルス感染 : Trojan-Downloader.Win32.CWS.gen C:\toydyuxu.exe = ウイルス感染 : Trojan-Downloader.Win32.CWS.gen C:\txpegwyv.exe = ウイルス感染 : Trojan-Downloader.Win32.CWS.gen C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\BackWeblite17.zip/backWeb-8876480.exe = 懐疑 : Password-protected-EXE C:\Documents and Settings\taka\Local Settings\Temporary Internet Files\Content.IE5\41038B4R\dia010[1].htm = ウイルス感染 : Exploit.HTML.Mht C:\Documents and Settings\taka\Local Settings\Temporary Internet Files\Content.IE5\CL6B4LUN\dia010[1].htm = ウイルス感染 : Exploit.HTML.Mht C:\Documents and Settings\taka\Local Settings\Temporary Internet Files\Content.IE5\MXX6NAHW\RealPlayer10-5GOLD_ja[1].exe = 不良 C:\Documents and Settings\taka\デスクトップ\インスール\WGSetup-en.exe/data0011/#IDXHDR = 不良 C:\Documents and Settings\taka\デスクトップ\インスール\WGSetup-en.exe/data0011/#STRINGS = 不良 C:\Documents and Settings\taka\デスクトップ\インストール\WGSetup-en.exe/data0011/#TOPICS = 不良 C:\Documents and Settings\taka\デスクトップ\インスール\WGSetup-en.exe/data0011/#URLSTR = 不良 C:\Documents and Settings\taka\デスクトップ\インストール\WGSetup-en.exe/data0011/#URLTBL = 不良 C:\Documents and Settings\taka\デスクトップ\インストール\WGSetup-en.exe/data0011/218_files/option3.gif = 不良 C:\Documents and Settings\taka\デスクトップ\インストール\WGSetup-en.exe/data0011/219_files/05.gif = 不良 C:\Documents and Settings\taka\デスクトップ\インストール\WGSetup-en.exe/data0011/220_files/06.gif = 不良 C:\Documents and Settings\taka\デスクトップ\インストール\WGSetup-en.exe/data0011/220_files/mulu2.gif = 不良 C:\Documents and Settings\taka\デスクトップ\インストール\WGSetup-en.exe/data0011/221_files/new.gif = 不良 C:\Documents and Settings\taka\デスクトップ\インストール\WGSetup-en.exe/data0011/221_files/play.gif = 不良 C:\Documents and Settings\taka\デスクトップ\インストール\WGSetup-en.exe/data0011/230_files/04.gif = 不良 C:\Documents and Settings\taka\デスクトップ\インストール\WGSetup-en.exe/data0011/230_files/option7.gif = 不良 C:\Documents and Settings\taka\デスクトップ\インストール\WGSetup-en.exe/data0011/232_files/mulu.gif = 不良 C:\Documents and Settings\taka\デスクトップ\インストール\WGSetup-en.exe/data0011/233_files/07.gif = 不良 C:\Documents and Settings\taka\デスクトップ\インストール\WGSetup-en.exe/data0011/235_files/09.gif = 不良 その他にNorton AntiVirusの隔離ファイルだと思われるファイルがウイルス感染と表示されていましたが、省略しました。 HijackThisのログ Logfile of HijackThis v1.99.1 Scan saved at 5:23:43, on 2005/05/14 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\ctfmon.exe C:\Documents and Settings\taka\デスクトップ\HijackThis\HijackThis.exe

  • ksuzuki
  • ベストアンサー率69% (25/36)
回答No.11

まず、ANo.9とANo.10に書かれていることを全て行って下さい。もしも、ANo.10に書かれているファイルのうち、一つでも見つかったら、以下の作業を行ってください。 1)この文章をテキストファイルに貼り付けて、そのテキストファイルを分かりやすいところに保存しておいてください。 2)以下をクリックして、Killboxをデスクトップにダウンロードしてください。 http://www.downloads.subratam.org/KillBox.zip ダウンロードしたファイルをデスクトップに解凍して下さい。解凍できない場合は、以下を参考にしてください。 http://www.forest.impress.co.jp/article/2004/02/12/extracter.html 3)いったんコンピューターの電源を切り、30秒以上経ってから、電源を入れ、F8キーを連打し、上下の矢印キーを押して「セーフモード」を選択して、リターンキーを押して、起動して下さい。 4) 解凍されたKillboxをダブルクリックして、起動してください。 5) (Pocket)Killboxのウィンドウで"Delete on Reboot"の左にチェック。 6) この文章を保存したテキストファイルを開き、以下の★の次の行を選択してください。「Ctrl」キーと「C」キーを同時に押してください。(または、右クリックして「コピー」をクリック。) 7) (Pocket)Killboxのウィンドウをクリックし、「Full Path of File to Delete」の下の白枠内をクリック。「Ctrl」キーと「V」キーを同時に押してください。(または、右クリックして「貼り付け」をクリック。) 8) 赤地に白の「×」印の"Delete File"ボタンをクリック。 "Delete on Reboot"と書かれた警告画面が表示されたら 「OK」をクリック。"Reboot Needed"と書かれた警告画面が表示されたら、「OK」をクリック。"Pending Operations"と書かれた警告画面が表示されたら「NO」か「いいえ」をクリック。 9)以上の6)から8)までの作業を、★の次の行から★★の前の行まで、一行ずつ、選択する行を変えて、行ってください。 ★ C:\WINDOWS\System32\syst1.exe C:\WINDOWS\System32\syst2.exe C:\WINDOWS\System32\syst3.exe C:\WINDOWS\System32\cidft.dll C:\WINDOWS\System32\cidpoq32.dll C:\WINDOWS\System32\gupd.dll C:\WINDOWS\System32\hst32.dll C:\WINDOWS\System32\icnfe.dll C:\WINDOWS\System32\icqrt.dll C:\WINDOWS\System32\icvbr.dll C:\WINDOWS\System32\sdfup.dll C:\WINDOWS\System32\thun.dll C:\WINDOWS\System32\thun32.dll C:\WINDOWS\System32\wcnl32.dll C:\WINDOWS\System32\wecxg32.dll C:\WINDOWS\System32\wirl.dll C:\WINDOWS\System32\xcwer32.dll C:\WINDOWS\System32\zxmsn.dll ★★ 10)(セーフモードではなく、通常モードで)再起動してください。 11)HijackThisを起動して、HijackThisを起動。「Do a system scan and save a logfile」をクリック。開いたテキストファイルを適切な名前で保存。そのテキストファイルの内容をこちらに報告してください。 また、上記の★から★★までのファイルがないかをエクスプローラで探して、あったら、それもこちらに報告してください。

Bitaka
質問者

お礼

O8 - Extra context menu item: ImageDownloaderに登録 - res://C:\PROGRA~1\IMAGED~1\ImgDown.exe/ie_menu1.htm O8 - Extra context menu item: ImagePageCreator - C:\Documents and Settings\taka\デスクトップ\ipc100\ipc100\IPC.html O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Net Transportでダウンロード - C:\Program Files\Xi\NetTransport 2\NTAddLink.html O8 - Extra context menu item: surfingFOLiO - C:\Program Files\B's Recorder GOLD7\Plugin\surfingFOLiO\bssurf.htm O8 - Extra context menu item: WeBoXでこのページを取り込む(&1) - H:\0 マイ ドキュメント\プログラム\webox0.95B\webox_dl.html O8 - Extra context menu item: この画像をダウンロードNinjaでダウンロード(&I) - C:\Program Files\1 インストール\GetImg.htm O8 - Extra context menu item: 全てをImageDownloaderに登録 - res://C:\PROGRA~1\IMAGED~1\ImgDown.exe/ie_menu2.htm O8 - Extra context menu item: 全てをNet Transportでダウンロード - C:\Program Files\Xi\NetTransport 2\NTAddList.html O8 - Extra context menu item: 選択範囲のリンクをImageDownloaderに登録 - res://C:\PROGRA~1\IMAGED~1\ImgDown.exe/ie_menu2.htm O8 - Extra context menu item: 選択範囲をURLとしてImageDownloaderに登録 - res://C:\PROGRA~1\IMAGED~1\ImgDown.exe/ie_menu3.htm O8 - Extra context menu item: 選択範囲をダウンロードNinjaでダウンロード(&S) - C:\Program Files\1 インストール\GetPart0.htm O9 - Extra button: Ninja バー - {EDF5C580-EA1B-11d3-A2FE-0000C0776AF8} - C:\Program Files\1 インストール\njbar.dll (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

Bitaka
質問者

補足

ご回答ありがとうございました。 Killboxの使い方で確認ですが、Delete on Rebootの画面を「All listed Files will be Deleted on Next Reboot」で「はい」をクリックすると、一瞬で、Delete next Rebootの画面が「Files will be Removed on Reboot, Do you want to reboot now?」と表示され、はいorいいえの回答を求められます。はいをクリックすると、パソが再起動してしまうので、すべて、いいえにしましたが、これで正しいのでしょうか? 11)においては、1つもファイルは存在しませんでした。 C:\WINDOWS\System32\ezSP_Px.exe C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\Melco Inc\BroadStation ユーティリティ\ABRECEIVER\ABReceiver.exe C:\WINDOWS\FTMKEY.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\ADSL Ninja\AdslNinja.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\Logicool\SetPoint\KEM.exe C:\WINDOWS\system32\RAMASST.exe C:\Program Files\Logicool\SetPoint\KHALMNPR.EXE C:\Program Files\I-O DATA\M-Tray\M-Tray.exe C:\Program Files\Messenger\msmsgs.exe C:\WINDOWS\FTKDisp.exe C:\WINDOWS\FTMGET.exe C:\Documents and Settings\taka\デスクトップ\HijackThis\HijackThis.exe O1 - Hosts: auto.search.msn.com 127.0.0.1 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: Ninja バー(&J) - {8C39E9C0-D990-11d3-A2FE-0000C0776AF8} - C:\Program Files\1 インストール\njbar.dll (file missing) O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [imjpmig] C:\Program Files\Common Files\Microsoft Shared\IME\IMJP\imjpmig.exe /RemAdvDef /AIMEREG /Migration /SetPreload O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ABRECEIVER] "C:\Program Files\Melco Inc\BroadStation ユーティリティ\ABRECEIVER\ABReceiver.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [Multimedia Keyboard] FTMKEY.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\0 フリーソフト\セキュリティ\スパイウェアー\Giant Anti Spyware\gcasServ.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O8 - Extra context menu item: Arachmoでダウンロード(&H) - C:\Program Files\0 フリーソフト\Arachmo\SpiderMenu.html O8 - Extra context menu item: Bookshelfで検索(&L) - res://C:\Program Files\Microsoft Reference\Microsoft Bookshelf 3.0\bsdef.dll/#1001 O8 - Extra context menu item: GASでダウンロード - C:\PROGRA~1\0フリ~1\GETASF~1\ie_MenuExt.htm

  • ksuzuki
  • ベストアンサー率69% (25/36)
回答No.10

http://forums.spywareinfo.com/index.php?showtopic=45802 に、Bitakaさんと似た症状(All-Find.orgに飛ばされる)を4月17日に訴え、4月24日に解決した例が掲載されていました。新種のCoolWebSearch(性質が悪いことが有名)のようで、ウイルス対策ソフトも、CWShredderも未だ対応していない可能性があります。ただし、この解決策がWEB上に公開されたために、既にさらなる新種が開発されて、それがBitakaさんに感染している可能性もあります。このページに従って、対処方法をこれから作成しますので、しばらく(1日くらい?)、お待ちください。 とりあえず、上記の問題と同じ方法で解決できるかどうかを確かめるために、以下を実行してみて下さい。 エクスプローラーでc:\windows\system32フォルダを開き、「ツール」-「フォルダオプション」をクリック。開いた「フォルダオプション」というウィンドウで「表示」をクリック。「すべてのファイルとフォルダを表示する」の左にチェック。「登録されているファイルの拡張子は表示しない」の左のチェックを外す。「保護されたオペレーティングシステムファイルを表示しない(推奨)」の左のチェックを外す。「適用」をクリック。以上の操作で、警告メッセージが表示されると思いますが、「はい」とかを押して、続行してください。その後、確かに上記のようにチェックがはいって、あるいは外れていることを確認して、フォルダオプションのウインドウで「OK」をクリックしてください。そして、以下のファイルがないかを調べ、あったものをこちらの補足に記してください。 syst1.exe syst2.exe syst3.exe cidft.dll cidpoq32.dll gupd.dll hst32.dll icnfe.dll icqrt.dll icvbr.dll sdfup.dll thun.dll thun32.dll wcnl32.dll wecxg32.dll wirl.dll xcwer32.dll zxmsn.dll 見つからなければ、c:\windows\system32をエクスプローラーで開き、その枠内で右クリックして「新規作成」-「テキストファイル(文書)」をクリック。出来たテキストファイルをダブルクリックすれば、テキストファイルエディタ(おそらくメモ帳notepad)が開くので、以下の★まで c: cd \windows\system32 echo c:\windows\system32 >> c:\log1.txt dir *.dll /a:-d >> c:\log1.txt dir *.exe /a:-d >> c:\log1.txt echo ------------------------- >> c:\log1.txt cd \windows echo c:\windows >> c:\log1.txt dir *.dll /a:-d >> c:\log1.txt dir *.exe /a:-d >> c:\log1.txt ★ を選択してコピーし、それをテキストファイルに貼り付けて保存してください。そのテキストファイルの名前を「log.bat」に変更してください。警告メッセージが出ますが、「はい」とかをクリックして、とにかく名前を変更してください。SafeModeで起動し、作成したlog.batをエクスプローラーで見つけて、ダブルクリックしてください。cドライブにlog1.txtというファイルが出来ているはずですので、それを開き、その内容を全てこちらに貼り付けて下さい。 不思議なこと・・ Spybotを使われているとのことでしたが、Spybotを使っているとHijackThisのログには必ずあるものが現れるはずです。しかし、Bitakaさんの提出されたHijackThisのログにはそれがありません。もしかしたら、Spybotが無効にされてしまっている可能性があります。

Bitaka
質問者

お礼

O10 - Unknown file in Winsock LSP: c:\program files\adsl ninja\nwcq9nsp.dll O10 - Unknown file in Winsock LSP: c:\program files\adsl ninja\nwcq9nsp.dll O10 - Unknown file in Winsock LSP: c:\program files\adsl ninja\nwcq9lsp.dll O10 - Unknown file in Winsock LSP: c:\program files\adsl ninja\nwcq9lsp.dll O10 - Unknown file in Winsock LSP: c:\program files\adsl ninja\nwcq9lsp.dll O10 - Unknown file in Winsock LSP: c:\program files\adsl ninja\nwcq9lsp.dll O13 - DefaultPrefix: http://web.all-find.org/best.php?url= O13 - WWW Prefix: http://web.all-find.org/best.php?url= O13 - Home Prefix: http://web.all-find.org/best.php?url= O13 - Mosaic Prefix: http://web.all-find.org/best.php?url= O14 - IERESET.INF: START_PAGE_URL=http://prius.hitachi.co.jp/go/prius/index.htm O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409 O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab

Bitaka
質問者

補足

以下のファイルが存在しました。 syst1.exe syst2.exe cidft.dll cidpoq32.dll gupd.dll hst32.dll icnfe.dll icqrt.dll icvbr.dll sdfup.dll wcnl32.dll wecxg32.dll wirl.dll xcwer32.dll zxmsn.dll Spybotのことはよくわかりませんが・・・通常どうり動作しているようです。スキャンを実行でき、幾つかの検知がされ、削除もできるのですが? 申しわけありませんが、明日も仕事なのでAno.11の作業については月曜の夜になると思います。よろしくお願いします。

  • ksuzuki
  • ベストアンサー率69% (25/36)
回答No.9

かなり良くなってきていると思うのですが、肝心の「All-find」(「O13」のもの)が完全に復活してしまっていますね。処置方法間違ったかも・・済みません。 私はWindowsXP SP2を薦めますが、SP1を使いたいとのこと、了解しました。WindowsXP SP1はHomeEditionですか?それともProfessionalEditionですか?ご連絡ください。 「スタート」-「コントロールパネル」-「ユーザーアカウント」を開き、ご自分のアカウント以外に他のユーザー(Administrator以外)がいないかを確認して下さい。Guestアカウントが有効になっていたら、無効にしてください。 以下の方法でシステムの復元を無効にしてください。 「スタート」-「コントロールパネル」をクリック。開いたウィンドウ(システムのプロパティ)で「システム」をダブルクリック。開いたウィンドウで「システムの復元」をクリック。「システムの復元を無効にする」をクリック。 ドライブごとに設定できる場合は、全てのドライブについて、システムの復元を無効にしてください。 タスクマネージャのctfmonは問題ないと思いますが、ウイルスファイルに書き換えられている可能性もあるので、以下を試してみてください。 「スタート」-「プログラム」-「アクセサリ」-「コマンドプロンプト」をクリック。開いたウィンドウで sfc /scannow と入力して、リターンキーを押す。自動的にスキャンが始まるので、何か警告メッセージが出たら、その内容を記録してください。 以下のHP(危険かもしれないので、わざと最初の一文字(h)が抜いてあります) ttp://auto.search.msn.com/ って、使っていますか?心当たりがないのなら、自動的に組み込まれている可能性があります。 Ad-Awareでのスキャンで、Media Accessは削除されたようですね。GoodJobですよ。そういえば、ツールを使って削除することを忘れていました。 MicrosoftWindowsAntiSpywareを使って、スキャンし、問題箇所が発見されたら「Quarantine」か、「Remove」してみてください。 また、ウイルス感染を検出しましょう。NortonAntiVirusをお使いのようですね。(私はNortonを使ったことがないので、よく分かりませんが)最新のウイルス定義ファイルに更新(ライブアップデート)出来ていますか?Auto-Protectは有効になっていますか?そうなっていなければ、問題です。 Nortonよりも検出能力が高そうなものにAntidoteがあります。以下のHPに従って、Antidoteをダウンロードし、SafeModeでスキャンしてみてください。結果をテキストファイルに保存し、それを開き、「ウイルス」、「懐疑」、「未知」、「不良」、「不明」で検索して、見つかった行を全てこちらに貼り付けて連絡してください。 Ninja バー、ダウンロードNinja、WeBox、NetTransport、ImageDownloader、GAS、って要りますか?不要なら削除を推奨します。 MelcoのBroadStation ユーティリティって心当たりがありますか?

Bitaka
質問者

補足

丁寧なご回答ありがとうごさいます。 WindowsXP SP1 →HomeEdition ユーザーアカウント →Guestアカウントのみあり。有効を無効に変更しました。 システムの復元 →5/1頃(?)より無効に設定変更済み。ANo.7のHijackThisを実行する以前より無効にしていました。 リモートコントロール →リモートアシスタントチェック変更 コマンドプロンプト → Microsoft Windows XP [Version 5.1.2600] (C) Copyright 1985-2001 Microsoft Corp. C:\Documents and Settings\taka>sfc/scsnnow Microsoft(R) Windows XP Windows File Checker Version5.1 (C) 1999-2000 Microsoft Corp. All rights reserved 保護されたシステム ファイルをスキャンし、間違ったバージョンを正しい Microsoft のバージョンで置き換えます。 SFC [/SCANNOW] [/SCANONCE] [/SCANBOOT] [/REVERT] [/PURGECACHE] [/CACHESIZE=x] [/QUIET] /SCANNOW すべての保護されたシステム ファイルを今すぐ実行します。 /SCANONCE すべての保護されたシステム ファイルのスキャンを次回の起動時に一度に実行します。 /SCANBOOT 毎回のブート時にすべての保護されたシステム ファイルのスキャンを実行します。 /REVERT スキャンを既定の設定に戻します。 /PURGECACHE ファイル キャッシュを削除して、今すぐすべての保護されたシステムファイルを実行します。 /CACHESIZE=x ファイル キャッシュのサイズを設定します。 C:\Documents and Settings\taka> ttp://auto.search.msn.com/ →MSN Explorerをチャットに時々使用していますが、今、起動したところ、ログインを実行するとプログラムが終了してしまい、これのものなのかは不明です。 MicrosoftWindowsAntiSpyware →インストールして実行し、幾つか検出されたのですべてRemoveしました。 NortonAntiVirus →1月頃から自動アップデートの設定ができなくなって(設定画面でONで設定し終了しても、もう一度設定画面を開くとOFFになってしまう)いるので、5日に一度ぐらい手動でアップデートを行っています。Auto-Protectは有効になっています。 Antidote →URLがなかったので実行できていません。 Ninja バー~ →ダウンロードNinjaはCDロム製品版で、Ninja バーはこれのインストール時に一緒にインストールしたのだと思います。他はすべてフリーソフトです。ダウンロードNinja以外は削除しようと思うのですが、プログラムの追加と削除に表示されておらず、アンインストーラーもないのですが、プログラム本体を削除して大丈夫でしょうか? BroadStation ユーティリティ →BUFFALOのルーターを使用しており、それのものです。 忙しく、なかなか作業する時間が取れず、せっかくご回答をいただいているのに、こちらの書き込みが遅くて申し訳ありません。ANo.10の作業を行い、また、書き込みをいたしますのでよろしくお願いします。

回答No.8

>Norton AntiVirusのスキャン後の処置で隔離というのはどのようにするのですか?除外と削除しか処理がありませんが? ちょっと無責任で申し訳ありませんが、自分は、ノートンを使っていないため、操作方法がわかりません。 ノートンのマニュアル(電子マニュアル)などを参考にして、やってみてください。

Bitaka
質問者

補足

ANo.11の続き O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe O23 - Service: HITACHI HPEPGRD (HPEPGRD) - Unknown owner - C:\Program Files\HITACHI\Prius Navistation\HPEPGRD.exe O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~3\SPEEDD~1\nopdb.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\Sptisrv.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

  • ksuzuki
  • ベストアンサー率69% (25/36)
回答No.7

HijackThisのログとか、Nortonなどで検出された問題のあるファイル名を拝見しました。多数の問題点があるようです。 Windows XP SP1 (WinNT 5.01.2600)のようですが、SP2にアップデートする気はありませんか?またWindows Updateは実行していますか?していないのなら、実行してください。 WindowsUpdateを行った後で(もしくは行おうとしても行えなかった場合にも)、以下の3種の対策方法があります。 ★1)リカバリ(もしくはハードディスクのフォーマットを含むWindowsXPの再インストール)を行う。ただし、この場合、必要なデータがなくなってしまいますので、予め、必要なデータのバックアップ(コンピューターのハードディスク以外の場所へのコピー)が必要です。また、バックアップしたファイルがウイルスなどに感染していないかを確認しないと、そのファイルを読み込むだけでウイルスに感染する可能性もあります。 ★2)HijackThisのログ、そしてアンインストール情報のログを作成して、アダルトサイト被害対策の部屋で質問する。 参考:【アダルトサイト被害対策の部屋】;質問掲示板に質問する前に(必読) http://www.higaitaisaku.com/caution.html ★3)私の指示に従う: 私よりも遥かに優れた回答者の方々が上記★2の掲示板で回答されています。何らかの事情で★2の掲示板で質問できない場合には、以下を行ってみて下さい。 <私なりの処置方法(第一回目)> 第一回目と記したのは、第二回目があるからです。処置方法は以下だけでは完全ではありません。 まず、ここに書かれた内容を印刷するか、全て選択して、テキストファイルに貼り付けて保存しておくとかしてください。つまり、インターネットに接続しなくてもここの内容を読めるようにしておいてください。 1)「スタート」-「コントロールパネル」をクリック。「プログラムの追加と削除」をクリック。開いたウィンドウで(スクロールし)、「Media Access」、「Media Pass」、「Windupdates」、「WinTaskAd」、「EliteBar Internet Explorer Toolbar」、「Download Plus」に似たものがあれば、それをクリックして、削除。 2)「Ctrl」キーと「Shift」キーと「Esc」キーを同時に押す(または「CTRL」・「Alt」・「Del」キーを同時に押してから、開いたウィンドウで「タスクマネージャ」をクリックする)などして、タスクマネージャを起動。「プロセス」タブをクリックして、「ctfmon32(.exe)」がないかどうか調べる。 以下のHPを参考にして、 http://www.higaitaisaku.com/icsakujyo.html インターネットエクスプローラーのCookieと一時ファイル、および履歴を削除してください。 3)以下のサイトで、再度、CWShredder(version2.14)をダウンロード(「Download Now」をクリック)。 http://www.intermute.com/spysubtract/cwshredder_download.html 4)SafeMode(セーフモード)で起動し、InternetExplorerなどのブラウザを全て閉じる。以下のHP(ご存知ですよね?) http://www.higaitaisaku.com/removecws.html を参考にして、CWShredderを実行。具体的には、まず「Fix->」をクリックしてから、開いたウィンドウで「OK」をクリック。検出・修正されたものがあれば、その名前を紙などにメモ(記録)する。 5)SafeModeのままで、HijackThisを起動。「Do a system scan and save a logfile」をクリック。開いたテキストファイルを適切な名前で保存。以下のものの左にチェックを入れる。 O1 - Hosts: auto.search.msn.com 127.0.0.1 O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file) O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [csrss] C:\WINDOWS\csrss.exe O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe O4 - HKCU\..\Run: [HH] C:\Program Files\MA\hh.exe O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O13 - DefaultPrefix: http://web.all-find.org/best.php?url= O13 - WWW Prefix: http://web.all-find.org/best.php?url= O13 - Home Prefix: http://web.all-find.org/best.php?url= O13 - Mosaic Prefix: http://web.all-find.org/best.php?url= O16 - DPF: {26FD5192-A97C-4B48-A5D7-2420CFDCFDF2} - http://new.tnc4u.com/MCInst.cab O16 - DPF: {4CF5275B-CDBC-11D3-A8AF-0090279A5978} - http://www.sexxx-direct.com/BHO.CAB O16 - DPF: {527196A4-B1A3-4647-931D-37BA5AF23037} - http://www.all-find.org/mih2/web.exe O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://207.188.7.150/03dfac29cccae38a3f14/netzip/RdxIE601_ja.cab O16 - DPF: {855FB119-4791-423B-BC32-BA7E9F037BB1} - http://www.sweet-honey.net/bb/DialerX.cab O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) 必ずチェックを入れるものは以上です。 上記2)で調べて、タスクマネージャでのプロセス名がctfmon32(.exe)のものがあれば、 O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe の左にもチェックを入れる。 6)HijackThisで「FixChecked」をクリック。 7)全てのウィンドウを閉じて、エクスプローラーで「C:\Program Files」(Cドライブの「Program Files」)フォルダを開く。「Media Access」というフォルダを右クリックして「削除」をクリックして削除(ゴミ箱に移動)する。「C:\WINDOWS」フォルダまたは「C:\WINNT」フォルダに「EliteBar」という名前のフォルダがあれば、そのフォルダを右クリックして「削除」をクリックして削除(ゴミ箱に移動)する。 8)再起動する。デスクトップ上のInternetExplorerのアイコンを右クリックして「プロパティ」をクリック。開いたウィンドウで「全般」タブをクリック。「ホームページ」の「空白を使用」をクリック。そのウィンドウを閉じる。 9)InternetExplorerを起動する。空白のページになっていることを確認。知っているHPを見てみる。例えば、アドレスバーに「http://okweb.jp/」と入力してリターンキーを押してみる。正しく表示されるのを確認したら、再起動。 10)InternetExplorerを起動する。空白のページになっていることを確認。 11) SafeModeで起動。HijackThisでログをテキストファイルに保存。通常モードで起動して、そのテキストファイルの内容をこちらに貼り付けて下さい。 以上の作業の途中で、実施できなかった、あるいは、理解できなかった、または、結果が異なった場合には、具体的に何をどうしたら、何ができなかったのか(分からなかったのか、どのように異なったのか)を記録して、次に進んでください。次回の報告で、その内容と、HijackThisのログの内容、およびCWShredderで検出・修正された内容、を連絡してください。

Bitaka
質問者

お礼

O8 - Extra context menu item: Arachmoでダウンロード(&H) - C:\Program Files\0 フリーソフト\Arachmo\SpiderMenu.html O8 - Extra context menu item: Bookshelfで検索(&L) - res://C:\Program Files\Microsoft Reference\Microsoft Bookshelf 3.0\bsdef.dll/#1001 O8 - Extra context menu item: GASでダウンロード - C:\PROGRA~1\0フリ~1\GETASF~1\ie_MenuExt.htm O8 - Extra context menu item: ImageDownloaderに登録 - res://C:\PROGRA~1\IMAGED~1\ImgDown.exe/ie_menu1.htm O8 - Extra context menu item: ImagePageCreator - C:\Documents and Settings\taka\デスクトップ\ipc100\ipc100\IPC.html O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Net Transportでダウンロード - C:\Program Files\Xi\NetTransport 2\NTAddLink.html O8 - Extra context menu item: surfingFOLiO - C:\Program Files\B's Recorder GOLD7\Plugin\surfingFOLiO\bssurf.htm O8 - Extra context menu item: WeBoXでこのページを取り込む(&1) - H:\0 マイ ドキュメント\プログラム\webox0.95B\webox_dl.html O8 - Extra context menu item: この画像をダウンロードNinjaでダウンロード(&I) - C:\Program Files\1 インストール\GetImg.htm O8 - Extra context menu item: 全てをImageDownloaderに登録 - res://C:\PROGRA~1\IMAGED~1\ImgDown.exe/ie_menu2.htm O8 - Extra context menu item: 全てをNet Transportでダウンロード - C:\Program Files\Xi\NetTransport 2\NTAddList.html O8 - Extra context menu item: 選択範囲のリンクをImageDownloaderに登録 - res://C:\PROGRA~1\IMAGED~1\ImgDown.exe/ie_menu2.htm O8 - Extra context menu item: 選択範囲をURLとしてImageDownloaderに登録 - res://C:\PROGRA~1\IMAGED~1\ImgDown.exe/ie_menu3.htm O8 - Extra context menu item: 選択範囲をダウンロードNinjaでダウンロード(&S) - C:\Program Files\1 インストール\GetPart0.htm

Bitaka
質問者

補足

ご回答ありがとうございました。Windows XP SP2については、導入によりいろいろと不具合(それぞれ設定しなおせば対処はできるのでしょうが・・・)が起こると聞いており、実際、私の知人も一度導入後、SP2を削除した者もあり、Norton Internet SecurityとルータもあるのでSP2は導入しなくてもいいかと判断して導入はしていません。SP2への変更メッセージが頻回に出るため、 自動Updateはせず、2週間に1度手動でWindows Updateは行っています。 ご回答を検討して、ksuzukiさんの指示を実行しました。結果的には、10)で1,2回は空白で起動するのですが、何回目かには All-Findで起動してしまいました。 前回の書き込み以降、何度かAd-Awareを実行しました。 その時、Media Accessが使用中のため削除できませ。次回起動時に削除しますか?と表示されされ、再起動をしてAd-Awareでスキャンされたものをすべて削除しました。(削除内容は記録しておりません) 1)特にそれらしきプログラムはありませんでした。 2)タスクマネージャーにはctfmon32はありませんでした。ctfmon.exeというのはありましたが、これは関係ないですね? 4)CWShredderでは全てがNot Presentでした。 5)HijackThisで「O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe」は表示されませんでした。「O4 - HKCU\..\Run: [ctfmon.exe]」以外は全部チェックを入れました。 7)「C:\Program Files」には「Media Access」のホルダーはありませんでした。「EliteBar」もありませんでした。 HijackThisテキスト Logfile of HijackThis v1.99.1 Scan saved at 0:47:17, on 2005/05/06 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Documents and Settings\taka\デスクトップ\HijackThis\HijackThis.exe O1 - Hosts: auto.search.msn.com 127.0.0.1 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: Ninja バー(&J) - {8C39E9C0-D990-11d3-A2FE-0000C0776AF8} - C:\Program Files\1 インストール\njbar.dll (file missing) O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [imjpmig] C:\Program Files\Common Files\Microsoft Shared\IME\IMJP\imjpmig.exe /RemAdvDef /AIMEREG /Migration /SetPreload O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ABRECEIVER] "C:\Program Files\Melco Inc\BroadStation ユーティリティ\ABRECEIVER\ABReceiver.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [Multimedia Keyboard] FTMKEY.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

回答No.6

NO.3のお礼の欄に書いてあったファイルはすべて隔離しましたか? 隔離して、PCの動作に問題がなければ、そのファイルをすべて削除してしまってOKだと思います。 それで、何とかなるかもしれません。 (隔離されれば、削除と同じような状態になります。)

Bitaka
質問者

お礼

ご回答ありがとうございました。私はNorton Internet Security2004を使用していますが、Norton AntiVirusのスキャン後の処置で隔離というのはどのようにするのですか?除外と削除しか処理がありませんが?

Bitaka
質問者

補足

O9 - Extra button: Ninja バー - {EDF5C580-EA1B-11d3-A2FE-0000C0776AF8} - C:\Program Files\1 インストール\njbar.dll (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O10 - Unknown file in Winsock LSP: c:\program files\adsl ninja\nwcq9nsp.dll O10 - Unknown file in Winsock LSP: c:\program files\adsl ninja\nwcq9nsp.dll O10 - Unknown file in Winsock LSP: c:\program files\adsl ninja\nwcq9lsp.dll O10 - Unknown file in Winsock LSP: c:\program files\adsl ninja\nwcq9lsp.dll O10 - Unknown file in Winsock LSP: c:\program files\adsl ninja\nwcq9lsp.dll O10 - Unknown file in Winsock LSP: c:\program files\adsl ninja\nwcq9lsp.dll O13 - DefaultPrefix: http://web.all-find.org/best.php?url= O13 - WWW Prefix: http://web.all-find.org/best.php?url= O13 - Home Prefix: http://web.all-find.org/best.php?url= O13 - Mosaic Prefix: http://web.all-find.org/best.php?url= O14 - IERESET.INF: START_PAGE_URL=http://prius.hitachi.co.jp/go/prius/index.htm O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe O23 - Service: HITACHI HPEPGRD (HPEPGRD) - Unknown owner - C:\Program Files\HITACHI\Prius Navistation\HPEPGRD.exe O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~3\SPEEDD~1\nopdb.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\Sptisrv.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

noname#40123
noname#40123
回答No.5

レジストリの部分を削除しても、元の感染源をたたないとずっと広告を入れられます。 それで、今回検出されたアドウェアについての情報を貼り付けますので確認してください。 それから、何かメディア関係の「フリーツール」をダウンロードした記憶がありませんか? それか、海外のメディア関係のサイト(アダルトを含む)にアクセスしていたとか、そのような記憶がないですか? そのときにもらった可能性は高いです。 Adware.SAHAgent http://www.symantec.com/region/jp/avcenter/venc/data/adware.sahagent.html Adware.Gator http://www.symantec.com/region/jp/sarcj/data/a/adware.gator.html Adware.WinTaskAd(文字化けしています・シマンテックでも確認済み) http://www.symantec.com/region/jp/avcenter/venc/data/jp-adware.wintaskad.html Adware.MediaPass(英語) http://www.symantec.com/avcenter/venc/data/adware.mediapass.html Adware.Windupdates(情報なし) それでこれらを駆除する場合には、感染しているファイルについては、原則削除でレジストリの修正も必要なようです。

Bitaka
質問者

お礼

ご回答ありがとうございました。シマンテックのサイトでアドウェアの情報はすでに確認済みです。しかし、文字化けや英語で意味がわからず、断念しました。