- ベストアンサー
ホームページがAll-Findに書き換えられてしまいました
Internet Explorerのホームページが「All-Find」に書き換えられてしまいました。インターネットオプションを変更しても、IEを再起動すると、また元に戻ってしまいます。SpybotとAd-Awareで検索を行い検出したものをすべて削除しましたが、修復することができません。対処方法を教えてください。
- みんなの回答 (15)
- 専門家の回答
質問者が選んだベストアンサー
C:\RECYCLERフォルダの中にあるのは、ごみ箱の中のファイルです。C:\RECYCLERフォルダ以外の場所に「ウイルス」「懐疑」「不良」「不明」「未知」で検出されるものがありますか?なければ、問題ないです。あったら、ご連絡ください。 セーフモードではなく、通常のモードで、問題なく、パソコンは起動していますね?おかしな症状があるなら、ご連絡ください。 以上の2点について問題がなければ、このままの状態で(ごみ箱の中のファイルは消さずに)パソコンを一週間ほど使ってみてください。時間があるときに、WindowsUpdateを実行して下さい。 Ad-AwareSE、Spybot、WindowsAntiSpyware、NortonAntiVirusを更新して下さい。 SafeModeで上記4つのソフトでスキャンして、検出されたものを全て削除してください。また、アプリケーションで問題がないかを調べてみてください。(ダウンロードNinjaが正常に動かないような気がしますが、再度インストールしてみてください。)一週間ほど使ってみて問題がなければ、ごみ箱を空にしてください。 問題なければ、私として出来ることはし尽くしました。お疲れ様でした。大変な作業だったと思いますが、対応していただいたおかげで、私も、勉強になりました。有難うございました。 予防策として、以下のHPをご覧になり、SpywareBlasterとかを使ってみてください。 http://www.higaitaisaku.com/korobanu.html 問題がないことを祈っております。
その他の回答 (14)
- ksuzuki
- ベストアンサー率69% (25/36)
Yoshi-Kouさん、yoshi-tohokさん、横入り済みません。 Bitakaさん、スパイウェア(ウイルス?)と戦う気があるなら、以下を実行してみてください。私も陰ながら応援します。 以下のHPを読んで、セーフモードで起動して、HijackThisを使用し、ログをテキストファイルに保存し、その内容をこちらの補足に貼る。(ただし、文字数制限があるので、一部しか記せない場合もあります。その場合には、他の回答者の方の補足欄・お礼欄に書きこんでいただければ幸いです。) 参考: A)セーフモードでの起動方法(Tef-room) http://www.tef-room.net/tips/Safemode-Dos.html B)HijackThisの使用方法(アダルトサイト被害対策の部屋) http://www.higaitaisaku.com/hijackthis.html 戦う気がないなら、私のコメントは無視してください。御免なさい。
お礼
HijackThisログ-2 O8 - Extra context menu item: Arachmoでダウンロード(&H) - C:\Program Files\0 フリーソフト\Arachmo\SpiderMenu.html O8 - Extra context menu item: Bookshelfで検索(&L) - res://C:\Program Files\Microsoft Reference\Microsoft Bookshelf 3.0\bsdef.dll/#1001 O8 - Extra context menu item: GASでダウンロード - C:\PROGRA~1\0フリ~1\GETASF~1\ie_MenuExt.htm O8 - Extra context menu item: ImageDownloaderに登録 - res://C:\PROGRA~1\IMAGED~1\ImgDown.exe/ie_menu1.htm O8 - Extra context menu item: ImagePageCreator - C:\Documents and Settings\taka\デスクトップ\ipc100\ipc100\IPC.html O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Net Transportでダウンロード - C:\Program Files\Xi\NetTransport 2\NTAddLink.html O8 - Extra context menu item: surfingFOLiO - C:\Program Files\B's Recorder GOLD7\Plugin\surfingFOLiO\bssurf.htm O8 - Extra context menu item: WeBoXでこのページを取り込む(&1) - H:\0 マイ ドキュメント\プログラム\webox0.95B\webox_dl.html O8 - Extra context menu item: この画像をダウンロードNinjaでダウンロード(&I) - C:\Program Files\1 インストール\GetImg.htm O8 - Extra context menu item: 全てをImageDownloaderに登録 - res://C:\PROGRA~1\IMAGED~1\ImgDown.exe/ie_menu2.htm O8 - Extra context menu item: 全てをNet Transportでダウンロード - C:\Program Files\Xi\NetTransport 2\NTAddList.html O8 - Extra context menu item: 選択範囲のリンクをImageDownloaderに登録 - res://C:\PROGRA~1\IMAGED~1\ImgDown.exe/ie_menu2.htm O8 - Extra context menu item: 選択範囲をURLとしてImageDownloaderに登録 - res://C:\PROGRA~1\IMAGED~1\ImgDown.exe/ie_menu3.htm O8 - Extra context menu item: 選択範囲をダウンロードNinjaでダウンロード(&S) - C:\Program Files\1 インストール\GetPart0.htm
補足
ご回答ありがとうございます。仕事の都合で明日はこのサイトを見れませんがよろしくお願いします。 HijackThisログ-1 Logfile of HijackThis v1.99.1 Scan saved at 1:09:34, on 2005/05/02 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Documents and Settings\taka\デスクトップ\HijackThis\HijackThis.exe O1 - Hosts: auto.search.msn.com 127.0.0.1 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file) O3 - Toolbar: Ninja バー(&J) - {8C39E9C0-D990-11d3-A2FE-0000C0776AF8} - C:\Program Files\1 インストール\njbar.dll (file missing) O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [imjpmig] C:\Program Files\Common Files\Microsoft Shared\IME\IMJP\imjpmig.exe /RemAdvDef /AIMEREG /Migration /SetPreload O4 - HKLM\..\Run: [csrss] C:\WINDOWS\csrss.exe O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ABRECEIVER] "C:\Program Files\Melco Inc\BroadStation ユーティリティ\ABRECEIVER\ABReceiver.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe O4 - HKLM\..\Run: [Multimedia Keyboard] FTMKEY.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [HH] C:\Program Files\MA\hh.exe
- Yoshi-Kou
- ベストアンサー率28% (2/7)
No,2です。 以下の確認をしてみてください。 1、ゴミ箱は空になっているか。 2、Cookieやインターネット一時ファイルは削除されているか。 3、プログラムの追加と削除に、見知らぬものや怪しいものがないか。 4、ウィルス検査で、ウィルスの検出又は感染が無いか。
お礼
ご回答ありがとうございます。 1と2+コンピュータの復元監視を削除してSpybot~3つを実行しましたが同様でした。3については特に怪しいのは見つかりませんでした。その後、Norton AntiVirusを実行したところウィルスの検知はなく C:\WINDOWS\system32\bln02nqv.exe→Adware.SAHAgent C:\WINDOWS\Downloaded Program Files\HDPlugin1101.dll → Adware.Gator C:\Program Files\Media Access\MediaAccC.dll→ Adware.WinTaskAd C:\Program Files\Media Access\MediaAccC.dll→ Adware.Windupdates C:\Program Files\Media Access\MediaAccess.exe→Adware.MediaPass C:\Program Files\Media Access\MediaAccK.exe→ Adware.WinTaskAd が検知されました。
補足
HijackThisログ-3 O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Ninja バー - {EDF5C580-EA1B-11d3-A2FE-0000C0776AF8} - C:\Program Files\1 インストール\njbar.dll (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O10 - Unknown file in Winsock LSP: c:\program files\adsl ninja\nwcq9nsp.dll O10 - Unknown file in Winsock LSP: c:\program files\adsl ninja\nwcq9nsp.dll O10 - Unknown file in Winsock LSP: c:\program files\adsl ninja\nwcq9lsp.dll O10 - Unknown file in Winsock LSP: c:\program files\adsl ninja\nwcq9lsp.dll O10 - Unknown file in Winsock LSP: c:\program files\adsl ninja\nwcq9lsp.dll O10 - Unknown file in Winsock LSP: c:\program files\adsl ninja\nwcq9lsp.dll O13 - DefaultPrefix: http://web.all-find.org/best.php?url= O13 - WWW Prefix: http://web.all-find.org/best.php?url= O13 - Home Prefix: http://web.all-find.org/best.php?url= O13 - Mosaic Prefix: http://web.all-find.org/best.php?url= O14 - IERESET.INF: START_PAGE_URL=http://prius.hitachi.co.jp/go/prius/index.htm O16 - DPF: {26FD5192-A97C-4B48-A5D7-2420CFDCFDF2} - http://new.tnc4u.com/MCInst.cab O16 - DPF: {4CF5275B-CDBC-11D3-A8AF-0090279A5978} - http://www.sexxx-direct.com/BHO.CAB O16 - DPF: {527196A4-B1A3-4647-931D-37BA5AF23037} - http://www.all-find.org/mih2/web.exe O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://207.188.7.150/03dfac29cccae38a3f14/netzip/RdxIE601_ja.cab O16 - DPF: {855FB119-4791-423B-BC32-BA7E9F037BB1} - http://www.sweet-honey.net/bb/DialerX.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe O23 - Service: HITACHI HPEPGRD (HPEPGRD) - Unknown owner - C:\Program Files\HITACHI\Prius Navistation\HPEPGRD.exe O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~3\SPEEDD~1\nopdb.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\Sptisrv.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
- Yoshi-Kou
- ベストアンサー率28% (2/7)
CWShredderというスパイウェア駆除ソフトを使用してみてはどうでしょうか? これで削除できるものの中には、スタートページを書き換えるものもあります。 それに、これで削除できるものは、SpyBotやAd-Awareでは削除できないものです。 詳細はhttp://enchanting.cside.com/security/cwshredder.html それと、IE系のブラウザを使用しているのであれば、思い切って、非IE系のブラウザを使用してみてはいかがでしょうか? 個人的にはFireFoxをお勧めします。 詳細はhttp://www.mozilla-japan.org/
お礼
ご回答ありがとうございました。 早速CWShredderをダウンロードし、Spybot→Ad-Aware→ CWShredderと実行しました。実行後、Ad-Awareでスキャンを行ったところ、ANo.1に記入しましたレジストリーは検知されず、IEのホームページをもとに登録し直し、何度かIEの起動→終了→起動を繰り返し試してみましたが、「All-Find」には書き換えられませんでした。しかし、念のため、再度、Ad-Awareのスキャン(それまでの間、OCNのホームページを表示させただけで、他のサイトには接続していませんでした。)したところ、ANo.1に記入しましたレジストリーが検知されてしまい、IEを起動したところ、「All-Find」に書き換えられてしまっていました。非IEのブラウザに変更するのも一つの手段だとは思いますが、このままスパイウェアを放置したままでも良いのでしょうか?
可能性があるとすれば、次のウィルスが関係していると思われます。 Trojan.Anicmoo.D http://www.symantec.co.jp/region/jp/avcenter/venc/data/jp-trojan.anicmoo.d.html 念のために、シマンテック・セキュリティチェックで確認してみてください。 シマンテック・セキュリティチェック http://www.symantec.com/region/jp/securitycheck/index.html
お礼
ご回答ありがとうございました。 Norton AntiVirusでUpdete後にスキャンを行ったところ、ウィルスの検知はなく、アドウェアの検知がありましたが削除できませんでした。再度、Ad-Awareでスキャンしたところ、タイプ:レジストリデーター、カテゴリ:Vulnerabilityで HKEY_LOCAL_MACHINE:software\microsoft\windows\currentversion\url\defaultprefix"" (http://web.all-find.org/best.php?url=) HKEY_LOCAL_MACHINE:software\microsoft\windows\currentversion\url\prefixes"home" (http://web.all-find.org/best.php?url=) HKEY_LOCAL_MACHINE:software\microsoft\windows\currentversion\url\prefixes"mosaic" (http://web.all-find.org/best.php?url=) HKEY_LOCAL_MACHINE:software\microsoft\windows\currentversion\url\prefixes"www" (http://web.all-find.org/best.php?url=) の4つが検知されました。削除処理はできるのですが、再度スキャンするとまた検知され、実際には削除できていないようです。 シマンテックのセキュリティチェックも行いましたが、特に問題はありませんでした。
- 1
- 2
お礼
書き込みが遅くなり申し訳ありません。 C:\RECYCLERはごみ箱だったんですね。確認したところ、全て:\C:RECYCLERでした。土日の2日間パソコンを使用しましたが、特に問題なく動いています。SafeModeでのスキャンも実行しました。 毎回、丁寧な説明をいただき感謝しています。ほんとうにありがとうございました。