- ベストアンサー
SpySheriff感染前に戻せない
基本的にInternetExplorerを利用しないので気付かなかったのですが、 たった今IEを起動する必要があった為、起動したら感染している事に気付きました。 SpySheriffだそうで、NortonInternetSecurity2007にて、すぐさま遮断していたようですが (その際、NISのUpdateは確実に行っています)、どうやら完全ではなかったようです。 というのも、以下のURLにて記されているファイルとレジストリは存在しません。 http://www.symantec.com/region/jp/avcenter/venc/data/jp-adware.spysheriff.html しかし、IE起動時のURLが「c:\secure32.html」となってしまっており、直す事が出来ません。 直しても再度IEのプロパティを見ると書き換えられています。 以下のレジストリを直接変更しても、F5を押して最新状態を取得した時点で書き換えられてしまいます。 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Default_Page_URL HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Local Page HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page HKEY_LOCAL_MACHINEも同様。 これを正常に戻したいのですが、どこをどうすれば良いのでしょうか? 私が行った対応は以下の通りです。 ・http://www.symantec.com/region/jp/avcenter/venc/data/jp-adware.spysheriff.html の手順に従って実ファイルの確認とレジストリの確認。 (どれも存在せず) ・いつも利用しているユーザーのCookiesとTemp、Temporary Internet Files、 Temporary Internet Files\Content.IE5内のファイルを全て削除。 (感染自体はサイトを読み込んだか何かの拍子にTemporary Internet Files\Content.IE5内に ファイルをダウンロードしてしまった様子) どうか直す方法をご教示下さい。
- めとろいと(@naktak)
- お礼率66% (482/721)
- ウィルス・マルウェア
- 回答数6
- ありがとう数1
- みんなの回答 (6)
- 専門家の回答
質問者が選んだベストアンサー
「SpySheriff」であれば「SUPERAntiSpyware」「SmitFraudFix」で駆除できるんですが、スタートページやサーチサイトを修復しても、パソコンを再起動すると、不正なサイトに書き戻されてしまうのであれば「CoolWebSearch」系のスパイウエアの可能性があります。 下記のファイルが存在しないか調べてみてください。 C:\windows\SYSTEM32\avpe32.dll C:\windows\system32\avpe64.sys なお、avpe32.dll等が使われている場合は、下記の記事では解決できませんし「HijackThis」では検出できません。。 http://hjdb.higaitaisaku.com/database.cgi?cmd=dp&num=37 http://www.higaitaisaku.com/removereg32.html
その他の回答 (5)
- FMVNB50GJ
- ベストアンサー率27% (411/1520)
http://hjdb.higaitaisaku.com/database.cgi?cmd=dp&num=37 http://www.higaitaisaku.com/removereg32.html ハイジャックジス http://www.higaitaisaku.com/hijackthis.html リカバリを視野に入れなくてもバックアップは常日頃からしたほうがいいです。
- dion0622
- ベストアンサー率25% (112/441)
http://iwata.way-nifty.com/home/2004/10/1017.htm リカバリの方法です わたしも今日は補足要求と雪の片付けに追われて疲れました
- dion0622
- ベストアンサー率25% (112/441)
まだウイルスが常駐しています http://64.233.179.104/translate_c?hl=ja&sl=en&u=http://www.delphifaq.com/faq/windows_user/f1005.shtml&prev=/search%3Fq%3Dc:%255Csecure32.html%26hl%3Dja%26lr%3D%26rls%3DGFRC,GFRC:2006-53,GFRC:ja%26sa%3DG 対応策です (1)強制終了(Crtrl+Alt+Drlete) (2)タスクマネージャーで Paytime.exe・・・を入れる (3)同exeを削除 (4)削除ツール:「c:secure32.htm」 (5)スキャン実行:何も見つからない場合 検索のデフォルト設定
補足
あ、ごめんなさい。 シマンテックにはその対応記されていませんね・・・。 paytime.exeは存在していないようで、プロセスを見ても実行されていません。 同様にC:\secure32.htmlというファイルも存在しません。 憶測になりますが、多分そこら辺はNISが駆除してくれたんだと思います。 NIS2007(ウィルスパターン最新)で完全スキャン後、何も発見されませんでした。 分からないので2,3回はスキャンしました・・・。結果は予測できましたが^^; 蔓延したりするのも嫌なので、ちょっと大分面倒ですがリカバリーを考え中です。
- doki2
- ベストアンサー率51% (440/860)
ノートンの記事では、最終更新日 2006年04月27日ですが、「SpySheriff」はその後、 何度も更新されていますので、役に立たないと思います。 また、一部の「DLL」ファイルがエキスプローラによってロックされているため通常の方法では駆除できません。 この手のワルを退治してくれるソフトに「SUPERAntiSpyware」と「SmitFraudFix」というソフトがあります。 「SUPERAntiSpyware」の場合、パソコンの再起動でファイルを削除するのではないかと思います。 「SmitFraudFix」ではエキスプローラおよびエキスプローラから呼び出されているファイルをすべて強制終了させるという荒業を使います。 「SUPERAntiSpyware」 http://www.superantispyware.com/ 参考「SUPERAntiSpyware」 http://fine.tok2.com/home/heto2/ SmitFraudFix v2.132 (WinXP, Win2K) http://siri.urz.free.fr/Fix/SmitfraudFix_En.php 参考「SmitFraudFix」とは http://fine.tok2.com/home/heto2/0700SecurityApp/0100FixAndRemove/SmitFraudFix/0100.htm こちらは昨年暮れから「CMD」ファイルから「EXE」ファイルに変わり使いやすくなっています。 1.ダウンロードされるファイル「SmitfraudFix.exe」をダブルクリックします。 2.DOS画面が開きます。 3.しばらく待つと、Explorer.exeが強制終了され、エキスプローラ、デスクトップアイコン、タスクバーが消えますが、パソコンの再起動で回復できるので心配ありません。 4.効能書きが現れますが特に意味はないのでリターンキーで次へ 5.メニュー画面で「2」リターンで実行開始 6.「Do you want to clean the registry ? (y/n)」で「Y」リターン 「ディスククリーニング」の画面が出る場合は時間がかかるので「キャンセル」 作業が終了するとメモ帳が開き「Raport.txt」が表示されます。
- yoshi-thk
- ベストアンサー率38% (2059/5283)
スパイウェアですので、次のサイトの手順を経て質問掲示板を利用して駆除するか、リカバリした方がよいです。 higaitaisaku.com 被害対策 http://www.higaitaisaku.com/menu1.html 他のサイトで質問する時には、こちらの質問はポイント無しで締め切ってください。
お礼
ありがとうございます。 なんか、ファイルを見たり調べたりしても直せなかったので 結局リカバリーしました^^;