- ベストアンサー
お願いします助けてください!
ULWindowSeekとULWindowLINKというのが、セットで20分おきくらいに勝手にあらわれます! osはxpsp2です。 色々と調べてみたんですが、spybot、ad-aware、nortonアンチウィルス、ewido、X-cleaner(評価版)のどれを使っても検出できません。全部最新版です。。 とても困っているので、駆除するためのどんな情報でもいいので教えてくださいお願いします。 いまのところ、C:\WINDOWS\Tempのところにwinxx.tmp.exeというファイルが作成(xxはころころかわります)されます。 そこからULWindowの2つが起動し、情報を送信しようとしているらしいということはわかったんですが、tempフォルダの中身を消してもいつのまにかまた作成されています。 あと、セーフモード(オフライン)にしていても起動してきます。。
- komomo1985
- お礼率100% (7/7)
- スパイウェア
- 回答数3
- ありがとう数4
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
感染しているのはこちらと思われます。 http://www.viruslist.com/de/viruses/encyclopedia?virusid=112642 PC起動時に悪玉活動するようにセットされていますから手動で削除しか駆除の方法はありません。 1/ まずはHijackThisログを取ってください。 http://www.higaitaisaku.com/hijackthis.html O20エントリーを確認します…たぶん以下のような感じだと思います。 >O20 - Winlogon Notify: winjks32 - C:\WINDOWS\SYSTEM32\win???32.dll 2/ 強削をダウンロードしてデスクトップに解凍して保存してください。 http://www.vector.co.jp/soft/win95/util/se298257.html 3/ セーフモードで起動 http://higaitaisaku.com/safemode.html 4/ C:\WINDOWS\TEMPフォルダを開きます。 Ctrl」+「A」でファイルすべて反転させて削除して下さい。 5/ HijackThisログで「C:\WINDOWS\SYSTEM32\win???32.dll」ファイル名を確認 そのファイルを強削で削除します。 その後再起動 6/ HijackThisでO20エントリーをFixします。 http://www.higaitaisaku.com/hijackthis.html#jyokyo いったんHijackThisを閉じて再度起動させてO20エントリーが消えたか確認して下さい。 以上で症状が取れていれば一応「C:\WINDOWS\Tempのところにwinxx.tmp.exeというファイルが作成」に関しては解決のはずです。 ULWindowSeek・・・もたぶんwinxx.tmp.exeに関連あると思われますが日本語サイトではこの感染質問が少なく(質問者さん消えてその後分からず)なので因果関係がはっきり分かりません。 上記処置で解決しない場合はサイトの移動をお願いします。 もちろんご自身でHijackThisの判断が難しいなどで駆除に自信無い場合もサイトの移動を…。 (いくつかログを取って調べてみたいので協力願います) アダ被(Wizard適度に飛ばして投稿を) http://bbs.higaitaisaku.com/cbbs.cgi
その他の回答 (2)
- mama_ane
- ベストアンサー率69% (136/197)
HijackThisログを取るのにはフォルダオプションの設定は必要無いです。 ですが感染ファイルを探す時にまれに姿を現さないファイルがあります。 この場合はフォルダオプションの設定が必要になります。 で・・・今回問題としたファイルはこの設定無しでも見えるファイルです。 なので手順から外しています。 日頃もやたら透明ファイルが見えてややこしいのでチェックをお勧めします。 1/ こちらもFixしておいてください。 O20 - Winlogon Notify: Applets - C:\WINDOWS\system32\IzResRn.dll (file missing) (file missing)=ファイルが無い 何かに感染していた「形跡」かな? 2/ 以下のお掃除だけやっておいてください。 システムの復元機能を一旦無効にして再度復元ポイントを作成して下さい。 http://service1.symantec.com/SUPPORT/INTER/tsgeninfojapanesekb.nsf/jdocid/20020407222052953 ATF-Cleanerの実行 http://wiki.higaitaisaku.com/wiki.cgi?action=ID&b=QnjG_DUJDH25XZmJYzwYRQ OKでの回答はここまでが限界です。(文字制限) 何かに感染していた形跡もありますし他感染が気になるようなら先のサイトへ移動してください。 何も無ければ解決としておいてください。
お礼
どうもありがとうございます。 おかげさまで今のところは他に異常は見当たりません! もしこれから先なにかあれば、参照先のサイトで検索や質問をさせてもらおうとおもいます! 本当にありがとうございました!
HijackThisログを取る前に、念のためXPなら スタート→コントロールパネル→デスクトップと表示のテーマ→フォルダオプション→表示→保護されたオペレートシステムを○○のチェックをはずした方が良いかもしれません。 020エントリーですが、 O20 - Winlogon Notify : win○○○32 - C:\WINDOWS\SYSTEM32\win○○○32.dll の○○○の部分はいくつかの名称がありますが、fixしてください。
お礼
そうなんですか、ありがとうございます。 もしまた今度なにかあったときは、チェックを外してログをとることにします。 問題のファイルですが、確かに私も名称が違いましたが、fixしてから30分以上たっても起動しないことを確認しました! no.1の方への補足にもなりますが、教えてくださった手順で、非常に簡単に短時間で取り除く事ができました! 本当に感謝しています。 ありがとうございます!
お礼
ありがとうございます!!!!!! ちょっといまから試してみます!!
補足
いま作業が終わりました。 いまのところ活動は確認していませんが、いつも少し時間がたってから起動していたので様子を見てみます。 でも本当にありがとうございます!! ログを上書きしてしまっていたようなので、fixしたあとのものしかありませんが、出きる限りお返しをしたいと思います! "O20エントリー"に関しては私は2つありました。 O20 - Winlogon Notify: Applets - C:\WINDOWS\system32\IzResRn.dll (file missing) というものと、問題のファイルです。 #私の場合はwinjtb32.dllでした。 今まで苦労していたのが嘘のように、手順通りでうまくいきました! 唯一、手順5では消去できないというようなダイアログが出ましたが、リブート時に消去を選択したらあっさりと消えました!! まだはっきりと駆除できたと確信できるわけではないですが、必要な情報があれば開示します! それと、さらに15分ほど様子をみてから活動があったかどうかも追記したいと思います。 とてもご丁寧に回答くださってとても感謝しています!