- 締切済み
CoolWebSearchにやられました
MSのAntiSpyWareを導入して、大方駆除することができたと思うのですが(ホームページの書き換えなどはなくなりました)、WINDOWSフォルダに「SvcHost」というファイルが何度消しても自動作成され、そのたびにAntiSpyWareが「書き換えをブロックしました」やら「書き込みを許しました」やら英語で大奮闘します。Ad-aware、CWSシュレッダー、AntiSpyWareで何度も検索をかけていますが、何も発見しません。駆除の方法を教えていただけませんか。
- みんなの回答 (7)
- 専門家の回答
みんなの回答
- ksuzuki
- ベストアンサー率69% (25/36)
HijackThisのログ拝見しました。しかし、最初の部分が記されていませんので、WindowsがXPなのか何なのか、WindowsUpdateが行われているのかいないのかなどが分かりません。HijackThisのログの最初の部分も含めて、ANo.6の補足とお礼に記されていない部分を全て記してください。なお、svchost.exeにはシステム関連の必要なものもありますが、それは、C:\WINDOWS\System32フォルダにあるはずで、C:\Windowsフォルダにあるものは、ウイルス (例:TROJ/BANKER-AE TROJAN参考HP↓ http://www.sophos.com/virusinfo/analyses/trojbankerae.html の「Advanced」)などによる偽者のようです。 また、 O15 - Trusted Zone: *.slotchbar.com O15 - Trusted Zone: *.slotchbar.com (HKLM) はSlotchbarというウイルスです。参考↓ http://www.higaitaisaku.com/database/database.cgi?cmd=dp&num=272 O4 - HKLM\..\Run: [NMFTASK] NMFTASK.EXE /RESET は不明です。 O9 - Extra 'Tools' menuitem: Sun の Java コンソール - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll は問題なさそうなのですが、これがあった人の多くにトラブルがあります。「Sun」とか「Java」とか、心当たりがありますか? O16は削除する方が良さそうです。削除しても問題なさそうですから。 O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll があるところを見ると、「BKDR_HAXDOOR.BC」というウイルスに感染している(あるいはしていた)ようですね。参考↓ http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=BKDR_HAXDOOR.BC&VSect=T 本当にリカバリがお勧めなのですが、 > リカバリCDがないので ・・とは?どういうことですか?コンピューターによっては、「再セットアップ」とか、「工場出荷時の状態に戻す」とか、「OSのクリーンインストール」とか、他の名前で呼ばれる場合もあります。 対策方法を調べる時間は今、小生にはありません。取り合えず、インターネットの利用を控えてください。
- ksuzuki
- ベストアンサー率69% (25/36)
WindowsUpdateを実行していますか?していないのなら、以下を参考にして実行して下さい。 ウイルスバスター2003は、契約更新(アップデートとかアップグレード)されていますか?つまり、今でも、最新のウイルス定義ファイル(パターンファイル)を利用できますか?そうでなければ、以下の方法でウイルスバスターをアンインストールし、AVGかAvastをご利用ください。 まず、AVGかAvastのインストーラーをダウンロードしてください。そして、インターネットへの接続を切断してから、ウイルスバスター2003を、「コントロールパネル」の「プログラム(アプリケーション)の追加と削除」でアンインストールしてください。その後、AVGかAvastをインストールしてください。その後、インターネットへ接続し、それらのアップデートを行ってください。アップデート後、スキャンし見つかったものを全て駆除(修正)してください。 ちなみに、HijackThisのログをお待ちしています。
お礼
補足の続きです。 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun の Java コンソール - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O15 - Trusted Zone: *.slotchbar.com O15 - Trusted Zone: *.slotchbar.com (HKLM) O16 - DPF: {096ABB46-65A8-4049-9513-5051A8C95285} (IMBBGooACX01 Control) - http://number.goo.ne.jp/baseball/npb/live/gooBBa.cab O16 - DPF: {68253470-5D4F-4CDF-8D9C-353C14A2F013} (SVPorsche Control) - http://seevideo.co.kr/pub/seevideo2003/svporsche.cab O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\ati2evxx.exe O23 - Service: NT Meter - Unknown owner - C:\WINDOWS\system32\NTMETER.exe O23 - Service: PC-cillin Personal Firewall (PccPfw) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Virus Buster 2003\PccPfw.exe O23 - Service: ReadSector (ReadSctService) - Unknown owner - C:\Smdata\ReadSctService.exe O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Virus Buster 2003\Tmntsrv.exe O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Virus Buster 2003\tmproxy.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe もう正直リカバリしたくてたまらんのですが、リカバリCDがないので・・・。
補足
HijackThisは↓ C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\notepad.exe C:\Documents and Settings\○○\デスクトップ\新しいフォルダ (2)\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: ラジオ(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [NMFTASK] NMFTASK.EXE /RESET O4 - HKLM\..\Run: [NECMFK] C:\Program Files\necmfk\necmfk.exe O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [imjpmig] C:\Program Files\Common Files\Microsoft Shared\IME\IMJP\imjpmig.exe /RemAdvDef /AIMEREG /Migration /SetPreload O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Virus Buster 2003\pccguide.exe" O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\Virus Buster 2003\PCCClient.exe" O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\Virus Buster 2003\Pop3trap.exe" O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Program Files\Trend Micro\Virus Buster 2003\TMOAgent.exe" /run O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [System] C:\WINDOWS\svchost.exe O8 - Extra context menu item: Microsoft Excel にエクスポート(&X) - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
- ksuzuki
- ベストアンサー率69% (25/36)
複数のウイルスに感染していそうなので、駆除できない可能性が高いです。やはりリカバリをお勧めします。 長い時間かけて駆除を試みても結局駄目かも知れないですが、それでも駆除してみたい場合は、以下を試みてください。ただし、パソコンが起動しなくなる可能性がありますので、自己責任で行ってください。心配なら、まず、必要なデータをバックアップしておいてください。 ウイルス対策ソフトは何をインストールしていますか?インストールしていないのなら、無料で利用できるAVGかAvastをお勧めします。 セーフモードで起動し、ウイルス対策ソフトでスキャンして駆除を試みてください。 その後、もう一度、セーフモードでAntidoteでスキャンして、検出されたものをこちらに記してください。 また、セーフモードで、MSのAntiSpywareでスキャンして駆除を試みてください。セーフモードでAdAwareSEとSpybotでも駆除を試みてください。 HijackThisのログをこちらの補足・お礼に記してください。 P.S. ANo.4ではAntidoteのリンク先が現在は記されていません(削除された?)が、どうして、Antidoteをご存知なのですか?
お礼
色々なサイトを見て勉強しました。ウイルス対策ソフトは、一応ウイルスバスター2003を入れています。セーフモードでは試したことがないので、やってみます。AdAwareSEとSpybotもセーフモードではまだやってないので。リカバリしたいんですが、NECのPCを使っていて、OSを新しく購入しないといけないらしいんです。 とりあえず上記の方法試してみます。今忙しくて、時間がかかるかもしれませんが、ご指導お願いしますm(_)m
- ksuzuki
- ベストアンサー率69% (25/36)
他の方の回答でも直らない場合、リカバリ(再セットアップ、クリーンインストール)をお勧めします。ただし、その際には、予め、必要なデータファイルを、コンピューターの内蔵ハードディスク以外の場所にコピーし、またインターネットの接続設定などの設定を記録しておく必要があります。 そのようなコピーや記録が面倒で、パソコンをリカバリせずに修復したいのであれば、以下に従って、あなたのパソコンの情報を調べ、こちらに記してください。ただし、悪質なウイルスなどに感染している場合には、結局リカバリが必要な場合もあります。 以下の★までを実行してみてください。私も陰ながら応援します。(ANo.2の方が書かれているとおりで、HijackThisで自分で修正します。) 以下のHPを読んで、セーフモードで起動して、HijackThisとAntidoteを使用し、ログをテキストファイルに保存し、その内容(ただし、Antidoteについては一部だけ)をこちらに貼ってください。★ 参考: A)セーフモードでの起動方法(Tef-room) http://www.tef-room.net/tips/Safemode-Dos.html B)HijackThisの使用方法(アダルトサイト被害対策の部屋) http://www.higaitaisaku.com/hijackthis.html やり方が分らなければ、具体的に何が分らないのかを記してください。
お礼
丁寧な解説ありがとうございます。とりあえず↓に貼ります。ひくぐらいありますよ。 【Antidote】 20 C:\Documents and Settings\○○\Local Settings\Temp\temp.frF81E\sr32.dll = ウイルス感染 : Trojan-Proxy.Win32.Agent.x 458 C:\Program Files\Microsoft AntiSpyware\Quarantine\439324FB-B447-4CDF-BE11-A7CF54\AD2AA783-CB63-4024-A638-D00624 = ウイルス感染 : Trojan.Win32.Delprot.a 518 C:\WINDOWS\system32\cz.dll = ウイルス感染 : Backdoor.Win32.Haxdoor.cn 519 C:\WINDOWS\system32\dktibs.exe = ウイルス感染 : Trojan-Downloader.Win32.Delf.dg 520 C:\WINDOWS\system32\hz.sys = ウイルス感染 : Backdoor.Win32.Haxdoor.cn 523 C:\WINDOWS\system32\vdmt16.sys = ウイルス感染 : Backdoor.Win32.Haxdoor.cn 525 C:\WINDOWS\system32\winlow.sys = ウイルス感染 : Backdoor.Win32.Haxdoor.cg 527 C:\WINDOWS\system32\wz.sys = ウイルス感染 : Backdoor.Win32.Haxdoor.cg 530 C:\WINDOWS\system32\config\systemprofile\Templates\winword.doc = 圧縮ファイル : Embedded これらに加えて、 457 C:\Program Files\Microsoft AntiSpyware\DeactivatedItems\(FBEAB4E1-D33E-41B6-8534-E09F79).asq = ウイルス感染 : Trojan-PSW.Win32.PdPinch.gen の()内が違うだけのものが、200個以上あります。()は自分でつけました。
- HIPPO1023
- ベストアンサー率63% (47/74)
>「SvcHost」というファイルが何度消しても自動作成され、 再起動後再作成されるのであれば、一度システムの復元を無効にして削除されてはいかがでしょうか?? (1)システムの復元を無効にする (2)再起動 (3)SvcHost 削除 (4)再起動 (5)SvcHost が自動作成されていなければ、システムの復元を有効にして再起動。 の順です。
手動で削除する方法があります。詳しくは ↓のURLを参照ください。
- subarun
- ベストアンサー率23% (13/55)
こちらは参考にならないですか? @IT:svchost.exeプロセスとは? http://www.atmarkit.co.jp/fwin2k/win2ktips/400svchost/svchost.html MS:Svchost.exe の説明 http://support.microsoft.com/default.aspx?scid=kb;ja;250320 MS:Windows XP の Svchost.exe の詳細 http://support.microsoft.com/default.aspx?scid=kb;ja;314056
お礼
お礼が遅くなってしまい、申し訳ありませんでした。おかげさまでリカバリに成功し、問題は解決しました。さまざまなアドバイスありがとうございます。今後の参考にさせていただきたいと思います。