- ベストアンサー
hidden data sendingについて
カスペルスキー7.0を導入したのですが、インターネットエクスプロアーを使おうとするたびに、 プロセスが疑わしい動作を見せています。 リスクウェア hidden data sending とでます。 詳細を調べると プロセス c:\Program Files \Internet Explorer \iexplore.exe アプリケーションを使用してデータ通信を試みています。 宛先アドレス ttp://script.webguide.co.kr (筆者注:怪しいアドレスなので、一部のみ書いておきます) 暗号化されたデータ affiliate jd=undef&card=number(以下略) とでます。 宛先アドレスに心当たりはありません。 card nmuberとあるので、もしかしたらクレジットカードの番号がもれてるのかもしれません。 ちなみに、ウイルスチェックをしたところアドウェアに感染していまして、not-a-virus Adware.win32.CashOn.aoというアドウェアに感染していました。 こわくて、ネットができない状態なのですが、(ちなみにこれは他のパソコンから投稿しています)、どうしたらいいのでしょうか? ちなみにOSはウィンドウズXPです。
- gigoparapara
- お礼率35% (15/42)
- ウィルス・マルウェア
- 回答数5
- ありがとう数4
- みんなの回答 (5)
- 専門家の回答
質問者が選んだベストアンサー
ANo.1さんがHijackThisのリンクを貼られていらっしゃるので web-guide.co.krで検索すると McAfee SiteAdvisor の情報 http://www.siteadvisor.com/sites/web-guide.co.kr http://www.siteadvisor.com/sites/rewardnetwork.net/downloads/5936548/ | ADD [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3CB0CF42-DA54-47d2-8999-23928A2DEA42}] | ADD [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F90BB714-01B6-438B-8993-F6E46ACBFA24}] Trackware.Rewardnet symantec http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2006-042715-2154-99&tabid=2 | 次のレジストリサブキーを作成します。 | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F90BB714-01B6-438B-8993-F6E46ACBFA24} | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{86BA3446-BCC4-323B-9EC5-EEE4D1EB8DB3} Browser Helper Objectsに怪しげなものが登録されていませんか? HijackThis 2.0.2のダウンロード http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis HijackThisのBHOの説明 http://www.higaitaisaku.com/htkaiseki.html#O2 もし O2 - BHO: の項目に {F90BB714-01B6-438B-8993-F6E46ACBFA24}とか {3CB0CF42-DA54-47d2-8999-23928A2DEA42} {86BA3446-BCC4-323B-9EC5-EEE4D1EB8DB3} があると上記マルウェアなどに感染している可能性が高いと思います。
その他の回答 (4)
- FMVNB50GJ
- ベストアンサー率27% (411/1520)
c:\program files\WebGuide インストールしたんですね。 プログラム追加と削除から削除していないことですね。 リカバリ、いいですよ。 難しいことないです。 データの保存さえしておけばたいしたことないです。 どの程度危険なのかわかりませんが、ブラウズのたびにデータを送信するとか、更新があるのか確認するとか、そういうことするかもね。 当方にもありますよ、そのソフトを起動するたびに更新がないか確認するものですけど。 パンドラTV たまに目にしますね。 Trackware.Rewardnet シマンテックのサイトを見ました、いや、たくさん登録するんですね、 限りなくスパイに違いないもの?グレーというやつですか。 自分で便利だと思って使っているのであれば、少々のデータ送信程度は大目に見るか、ですが。
お礼
おかげさまでHijackthisでキレイに直せました。 ありがとうございました。
- ns35006
- ベストアンサー率84% (11/13)
すみません。今確認したら、削除ツールじゃなくて、Spyware Doctorをダウンロードさせますね。 評判は。。。なので、困りました。 higaitaisaku.comで質問されたほうがいいような気がしてきました。
お礼
Kasperskyの設定で「脅威と除外」検知するマルウェアの分類で 「リスクウェア・・・」にチェックを入れてチェックしてみましたが、なにも出ませんでした。 そこで、HijackthisのFix機能を使って治してみました。 すると、WebGuide\webguide7b_P.dllはキレイさっぱり消えたし、「データ転送の試み」も検出されなくなりました。 やっぱりコイツが原因だったみたいです。他にもカスペルスキーの警告が頻繁に出ていたんですが、それもなくなりました。 ありがとうございました
- ns35006
- ベストアンサー率84% (11/13)
あらら、当たっちゃいましたか。 > ただ、WebGuide\webguide7b_P.dllをカスペルスキーでチェックしても何もでてきませんでした。 Kasperskyの設定で「脅威と除外」検知するマルウェアの分類で 「リスクウェア・・・」にチェックが入っているか確認してください。 (デフォルトではチェックされていないはず) それでも検出しない場合は、Kasperskyは対応していないので、別の方法で削除するしかないです。 お探しになられた駆除ツールでできるかどうかわかりませんが、試す価値はあると思います。 もしくは、higaitaisaku.comの質問掲示板で相談されるか。 http://bbs.higaitaisaku.com/wizard/wizard.cgi (3/22から掲示板の障害が発生していて断続的にしか接続できないので解決には時間を要すると思います。) いよいよ、手詰まりになってしまったら、リカバリすることも考えられたほうがいいと思います。 (手間はかかりますが、これが一番すっきりします)
- FMVNB50GJ
- ベストアンサー率27% (411/1520)
よくわからないですが、 自分のパソコンがどのサイトになぜつなぐのかわからないと難しいですね。 たとえばfire foxを入れるとアクセス先のサイトだけでなくほかのところにもつながります。自分はそういうことを把握していますが、 http://www.higaitaisaku.com/hijackthis.html 何がどうしてそうするのか調べないと。 たとえばノートンを入れていれば、自動でHTTP通信します。 IEのアドオンを調べても出てくるはず。 参考まで。
補足
私もあまり覚えがないのですが、唯一心当たりがあるのが パンドラTVを見ようとして変なツールをインストールしてしまったことがありました。 韓国のサイトにつながろうとしていたこと、webguideが動画に関するファイルらしいことからすると、多分それかもしれません。
補足
残念ながらHijackThisで調べてみたら O2 - BHO: WebGuide Class - {F90BB714-01B6-438B-8993-F6E46ACBFA24} - c:\program files\WebGuide\webguide7b_P.dll とでてしまいました。 ただ、WebGuide\webguide7b_P.dllをカスペルスキーでチェックしても何もでてきませんでした。 じつは今月中旬ごろノートンアンチウイルスで調べたら Trackware.Rewardnet が検出されたのですが、駆除方法が分からず、放置しておいたのです。 でも、不安だったのでノートンをアンインストールしてカスペルスキー でチェックして、いくつかアドウェアを削除したのですが、結局改善してなかったみたいです。 どうやって治したらいいのでしょうか? あまりパソコンに詳しくないので、難しい操作はちょっと・・・ http://www.2-spyware.com/remove-rewardnet.html というサイトに駆除ツールがあるようなのですが、使っても大丈夫でしょうか?