- ベストアンサー
ワンクリック詐欺サイトに誤アクセス後、解析の助力をお願いします
先日、ワンクリック詐欺サイトにアクセスしてしまい、進行インジケータがでて、ダウンロードのようなものが一秒位、別枠で見えた後、詐欺文章のウィンドウが現れました。今の所、症状は無いが心配になり解析を試みてみました。不安なので、大丈夫かお力添えをお願いします。 Higaitaisakuサイトでは症状が出て無いと質問が禁じられているようなので、こちらで質問しました。解析手法はHigaitaisakuサイトを参考にしました。 Norton Internet Security 2005では通常モードでもセーフモードでもマルウェアは見つからなかったです。Higaitaisakuサイト内で見た感じでは該当マルウェアは無いようです。例題として挙げられて無いマルウェアがあるかも知れません。以下はセーフモードでHijackThisログを出してみました。(とりあえず冒頭のみ) Logfile of HijackThis v1.99.1 Scan saved at 21:41:35, on 2006/12/03 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Documents and Settings\ユーザー名\デスクトップ\HijackThis\HijackThis.exe
- みんなの回答 (11)
- 専門家の回答
質問者が選んだベストアンサー
1、ワンクリック詐欺については下記に詳しい情報と対策が書かれているので参考にしてください。 http://oc42.jp/ abcdefのワンクリウェア試験記録/Test record of oneclick-ware by abcdef http://www.whynot.jp/bluesbb+topic.top+1.htm ネット詐欺相談室 - 相談掲示板->ワンクリック詐欺相談室 http://www57.tok2.com/home/keiline/ -=-Volk's Line-=- 2.アクセスしたサイトのアドレスがわかれば下記のツールで駆除できる場合があります。 http://sasi40dx.hp.infoseek.co.jp/test/sample.shtml ワンクリウェア駆除ツール(test版) >#9さんが懸念を示して居ますので このカテゴリーでは、何の回答もできずに「アダ被」へ行けとか、リカバリーせよという「回答」が氾濫しています。 「アダ被」へ行きたくてこのサイトに投稿される質問者は稀でしょうし、リカバリーしたくないから助けを求める方がほとんどだと思います。 ほかに回答者もなく長期間放置されてでもいない限り、この種の投稿は無視するしかないと思います。 せめて「アダ被」で同種の質問の解決例を見つけて参照する程度の努力が回答者には必要ではないでしょうか。
その他の回答 (10)
- FMVNB50GJ
- ベストアンサー率27% (411/1520)
http://hjdb.higaitaisaku.com/ そこでキーワード検索できます たとえば C:\WINNT\system32\po a ts.exe O4 - HKLM\..\Run: [ImageViewer] C:\WINDOWS\ImageViewer.exe /s などのエントリーを見ることができます。 ノートン2005のときにワンクリックありましたがなんでもなかったことがありました ノートンのいろいろなログに何か記載されていれば遮断したかも。 2chにアクセスしたときに奇妙な遮断がありましたが、そういう遮断で不正プログラムが侵入できなかったかも。別のところからのアクセスがノートンによって危険なものと判断されて遮断。 心配でたまらないなら「被害対策」の専門家に見てもらうのもいいと思います。 P2Pソフトをやっていたら止めることを勧めます。
お礼
マルウェアのエントリーはここにあったんですか。見落としていました。 ワンクリックの時、やはり、ダウンロードやスキャンの進行インジケータが出ましたか。 ノートンのログを見ました。 ルール「Bla トロイの木馬のデフォルト遮断」がコンピュータ名(IPアドレス)ローカルホストを遮断しました 上記はワンクリックの前も後も時々出て居ますが問題ないと思います。 機能;スクリプト遮断 リスク名;疑わしいスクリプト 結果;アクセスが許可されました 項目の種類;スクリプト 発生先:適用なし 疑わしい動作;Windows Script Host Shell Object ウィルス定義バージョン;適用なし 上記はセキュリティーリスクのログです。3回ほど出て居ますが何の事やら良く分かりません。 もちろん、遮断を経験した事あります。タスクバーのノートンのアイコンから警告メッセージがプルアップされました。ワンクリックの時は メッセージはでませんでした。 #9のお礼欄にも書いた通りで、ほんとは被害対策でやりたいのです。 P2Pソフトは使っていません。 ありがとうございました。
- yoshi-thk
- ベストアンサー率38% (2059/5283)
No2ですけれど、ここのサイトにいろいろと補足などを利用して、書き込みするのは、問題があります。 自力解決したい気持ちはわかりますが、ここよりもhigaitaisaku.comで相談することを勧めます。 その方が、より詳しく表示出来ますし、このような問題に関して専門の方がいるのでそちらで質問し直してください。 そのときには、こちらの質問を締め切ってください。 higaitaisaku.com http://www.higaitaisaku.com/ 質問専用掲示板に、HijackThisログと質問内容を表示して待っていてください。
お礼
私もとてもその掲示板を利用したいのですが、事前に以下のようなコメントがあるので、とても残念で、困ってこちらに来ました。 {以下は、このサイトの質問掲示板についての一般的な注意事項です。長々と羅列してますが、見出しだけでもどうか眺めておいてください。 症状が無いのに質問するのはご遠慮ください 現在特に困っている症状が無いのに質問するのはやめてください。「症状は無いけど、大丈夫かどうか安心したいのでログをチェックしてくれ」という奴です。} 特に症状がないと質問欄に書きましたが、敢えて気になる点を挙げれば、このOK WAVEに以前はログインできたのが、今はNorton Internet Securityのプライバシー制御をオフにしないとログインできなくなっています。私的には自力解決中のイレギュラーだと思います。 yoshi-thkさんがもし、higaitaisaku.comのスタッフで、この質問を掲示板に許可してくださると私も望むところでとても助かります。
- doki2
- ベストアンサー率51% (440/860)
>以下はセーフモードでHijackThisログを出してみました。 セーフモードでは現れないものがあるので通常モードでのログを別途書き込んでください。
- doki2
- ベストアンサー率51% (440/860)
ANo.6 追記 プロパティの件 SiSPower.dllのことです。 多分、C:\WINDOWS\system32フォルダにあると思います。
- doki2
- ベストアンサー率51% (440/860)
ANo.4 >O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent ネットの一部のサイトで怪しいとの指摘がありますが、プロパティを調べて下記に該当すれば問題ありません。 会社名:Silicon Integrated Systems Corporation 著作権:Copyright (C) Silicon Integrated Systems Corp http://www.spywareterminator.com/item/711/SiSPower.html Spyware Terminator - Software Database まだ続きがあると思いますので追記してください。
お礼
HijackThisログをUPしようと思いましたが#9さんが懸念を示して居ますので、しばらくお待ちください。
補足
SiSPower.dllを調べてみました。会社名は同上です。著作権はその後に 1998-2004 と年が付いています。問題なさそうですね。 参考URLではDescription: Safe となっていますから、安全と言うことでしょうか。 以降の枠に重複するかも知れませんが、通常モードをUPします。
- dion0622
- ベストアンサー率25% (112/441)
http://oshiete1.goo.ne.jp/qa1002634.html これは補足の1つの項目をコピペして検索した結果表れた資料です 参考になると思います
お礼
どの項目の事でしょうか。 AcroIEHelper.dll ですか。 時間かけて探しましたが分かりませんでした。
- doki2
- ベストアンサー率51% (440/860)
よろしければ、続きを書き込んでみてください。 お礼欄、補足欄、自由にお使いください。 足りない場合は、追加で補足をお願いしますから、面倒でしょうが、いくらでも書き込めます。
お礼
助かります。 セーフモードでHijackThisログ本体部が以下です。 O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\yt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Yahoo!ツールバー - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\yt.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll 私の知識内ではマルウェアは見つかりませんがいかがでしょうか。
補足
入力できないので分けて入れます。 O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent O4 - HKLM\..\Run: [HKSERV.EXE] C:\Program Files\Sony\HotKey Utility\HKserv.exe O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [VAIO Update 2] "C:\Program Files\Sony\VAIO Update 2\VAIOUpdt.exe" /Stationary O4 - HKLM\..\Run: [VZRemoteCommander] C:\Program Files\Sony\Do VAIO Remocon\AvRmtCtr.exe O4 - HKLM\..\Run: [IMJPMIG9.0] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMJP9\IMJPMIG.EXE /Preload /Migration32 O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [EEventManager] C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
- mat39
- ベストアンサー率52% (348/660)
>不安なので、大丈夫かお力添えをお願いします。 > 何が不安なのですか?身内等にワンクリック詐欺サイトにアクセスした事を知られる事ですか?今やワンクリック詐欺サイト=アダルトサイトでは無い筈。 質問者様の不安→疑心暗鬼→人知れず自己解決を試みる→該当サイトにアクセス→個人情報を伝える。 此れが相手(ワンクリック詐欺サイト)の思う壺ですヨ。 クリックしただけでは相手に此方の情報は解りません。此方からアクセスする事で初めて伝わります。 不安なら「ワンクリック詐欺サイト被害」のサイトを御覧になっては如何ですか? http://sagi-0.bne.jp/pc/index.html 其れでも不安なら、「知る限りの対策ソフトを駆使する」。其れでも不安なら「リカバリ」を行う。其れでも不安?ならLANケーブルを抜く… 最も必要なのは被害者の「毅然たる態度」です。
お礼
参考URLみました。higaitaisakuでも警視庁やその他のサイトでも「毅然たる態度」を推奨しているので、了解していますが、PC内の悪さを懸念して相談しております。ありがとうございました。
- yoshi-thk
- ベストアンサー率38% (2059/5283)
スパイウェアの類を心配するのであれば、次のサイトに書いている手順を実行してください。 higaitaisaku.com 被害対策 http://www.higaitaisaku.com/menu1.html それだけでは、判断出来ないので。
お礼
PCのお掃除でスキャンディスク、キャシュやクッキーの削除をしました。また、自力で問題解決を行う手順も一応しましたが、どれがワンクリックウェア(マルウェア)なのかが分かりませんでした。何日かかけて、higaitaisakuは読み漁りました。私の見落としもあるとは思います。英語のURLで3つほど案内されて居ましたが、URLを開いて、どのようにマルウェアを検索したら良いのか難解な英語で分かりませんでした。そこで、こちらに相談に来ました。 ありがとうございました。
- dion0622
- ベストアンサー率25% (112/441)
ワ-ムの心配はないようです 心配ばかりしているとストレス症候群になります 参考の資料は取り違えたかな? http://internet.watch.impress.co.jp/cda/special/2006/07/26/12786.html
お礼
不正なプログラムがインストールされたかのように思えました。 それがワンクリックウェアなのかアニメーションGIFなのかわかりません。 参考のURLの説明の中で、一瞬の進行インジケータと詐欺メッセージボックスは現れたが、WINDOWS エクスプローラのフォルダ画面は現れませんでした。 「ユーザーに“ワンクリックウェア”と呼ばれる不正プログラムをインストールさせるケースも増えてきたという。ワンクリックウェアは、アダルトサイトの利用料金を請求するメッセージボックスを表示したり、勝手にブラウザを起動して特定のWebサイトを表示させるような被害をもたらす。」とありますが、勝手にブラウザは起動しないので、メッセージボックスを起動するプログラムだったのかと、この資料からは推察できました。ありがとうございました。
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_1_thumbnail_img_sm.png)
お礼
察していただき、痛み入ります。 参照URLは以前尋ねたところもありますが、その他貴重な情報がありました。感謝します。