• 締切済み

Spybotを使ってもすぐに変な画面が出てしまいます

だいぶ前からネットに接続中にエッチな画面が現れるのに困っています。そのためにOSの再インストールしてみましたがそれでもまた少しすると出てくるようになってしまいました。 Spybotでそうゆう画面が出るたびに駆除しているのですが、毎日毎日インターネットをやると出てくるのであまり意味がありません。 決まって出てくるのはgooのフリーメールでメールをごみ箱に捨てるときにクリックすると必ずと言っていいほど現れます。gooに対処方を聞いたこともありますが、わからないとのこと。 なんとか出なくなる方法はないでしょうか。 ちなみにインストールしなおしてから変なサイトは行かないようにしていました。

みんなの回答

  • heto2
  • ベストアンサー率43% (227/525)
回答No.15

お久し振りです。お手すきのときに目を通してみてください。 >Spybotをかけてもなにもひっかからないということです 「Spybot-S&D」必ずしも万能ではありません。 特に、日本、アジア地域で出没するスパイウエアについては殆ど検出できません。 また、スパイウエアの件で、よく話題になる「被害対策の部屋」でも、一番多いのが「Spybot-S&D」でも「Ad-aware 6」でも検出できないスパイウエアです。 この場合、最低必要になるのが「HijackThis」のログファイルです。 最近では、ウィルス対策ソフトの各社がスパイウエアにも対応し始めたので、少なくともどんなスパイウエアが入っているかがわかるようになって来ました。 miwawanさんのケースでも、ひょっとすると、ウィルス対策ソフトで手がかりがつかめるかもしれません。 >あまり難しいことすると熱が出るので(笑) 「被害対策の部屋」でよく見かけるのが、スパイウエアの被害で困っているお母さんたちです。 家事、育児に加え、最近では、家庭でパソコンを管理する仕事がお母さんに押し付けられているようです。 その上、仕事もお持ちなら熱が出るのも無理ありませんよ ☆セキュリティレベル「高」 「インターネットオプション」の「セキュリティ」「レベルのカスタマイズ」で、レベルを「高」にして様子を見るのはどうですか? ☆「HijackThis」のログ 「Hijack Thisの紹介」 http://www.dream-seed.com/server/hijackthis.html 気分のいいときにでも、一度ご覧になってください。 簡潔にまとめておられます。

  • heto2
  • ベストアンサー率43% (227/525)
回答No.14

「ドンと来い」というのは、あまり、よくなかったようです。お詫びします。 ご説明の内容ではメッセンジャーより、スパイウエアの可能性が高いと思います。 しかし、手がかりが殆どありません。 先日、msinfo32.exeでスタートアップリストを貼り付けていただきましたが、貼り付けていただいたデータの行数が非常に少ないんです。 普通ですと漢字変換のプログラム、ウィルスチェックプログラムなどが出てくるはずですが見当たりませんでした。 msinfo32.exeが全て読み込めなかったのか。ログが途中で切れていたのか。 1.IEの「履歴」を調べる。 2.HTMLファイルがスタートアップに登録されていないか調べる 3.起動直後、タスクマネージャを開き、IExplorerが起動されていないか調べる。 4.「Spybot-S&D」のログを調べる 5.「Ad-aware 6」のログを調べる 6.「Autoruns」とか「Starter」を使う 7.「msinfo32」で「実行中のタスク」を調べる 8.「msinfo32」で「インターネットの設定」で「キャッシュ」「オブジェクトの一覧」を調べる 色々方法があるにはありますが、どうせやるなら「HijackThis」を使う方が早道です。 ログファイルを書き出す操作自体は簡単ですので一度考えてみてください。 http://higaitaisaku.web.infoseek.co.jp/hijackthis.html 過去の実例から 1.会社の昼休み、社員がアダルトサイトに遭遇 2.すぐに、IE右上の「X」(閉じる)ボタンで画面を全部閉じた。 3.昼休みが終わり、仕事中に突如どぎつい画面が! 4.調べてみると、サイズが0x0ピクセルの「見えない画面」が一つ、(10000,20000)とかの、とんでもない座標位置に残されていて、このページの中に、ランダムな間隔でポップアップ画面を表示させるようなスクリプトが仕込まれていた この種のスパイウエアの場合、タスクマネージャでIExplorerを全部終了させるか、タスクバーのIEのアイコンを右クリックして「グループを閉じる」で「見えない画面」も閉じられてそれ以降ポップアップは表示されないようになります。 この程度の操作はJavaScriptだけでも実現できると思いますが、最近では、独立したVBSやHTAを使う例が増えています。 この場合は、スタートアップでWScript.exeやMSHTA,exeが起動されます。 ☆Script Sentry ScriptSentryというソフトを常駐させると効果があると思われる http://www.jasons-toolbox.com/scriptsentry.asp スクリプトが実行される直前に警告画面が表示され実行するか否かを選択出来る。 また、そのとき、HTMLのソースを見るとどんなスクリプトかが確認できる 再インストールも結構ですが、再発の可能性が高いので原因突き止めるのも重要ですね。 冗長、かつ、支離滅裂になってきましたが、なんとか解決出来ればと思っています。

miwawan
質問者

お礼

ごぶさたです。 相変わらずの状況ですが、よくわかないのは、そのHな画面が出たあとにSpybotをかけてもなにもひっかからないということです。 そこで、簡単な解決策を見つけたんですが、gooメールの削除は家のパソコンではやらずに、会社でやる。 これだけでかなりストレスが減りました。 あまり難しいことすると熱が出るので(笑)いろいろ教えていただいたことはすこしずつ時間のあるときに実行していきたいと思います。 本当にお世話になりました。

  • heto2
  • ベストアンサー率43% (227/525)
回答No.13

1.prefetch Windows XPで新規に追加された「先読み」機能ですね。 OSやアプリケーションの起動時間を短縮するための「PF」ファイルが「c:\windows\prefetch」フォルダに保存されています。 OSが自動的に作成するこの種のファイルを一般のユーザーが削除云々するのはあまりいいことではないと思います。 とりあえず、そのまま、様子を見るのがいいと思います。 c:\windows\system32\unldrexe.exe自体が消滅していれば「PF」ファイルはなにもできないと思います。 2.性善説 「Unldrexe」の「Unldr」というのは「Unloader」の略ではないでしょうか。 なんらかのアプリケーションが常駐させていたプログラムを次回起動時常駐解除させる。 用済み後、プログラム自体を削除する。 この種のファイルの場合有害ではありません。 3.性悪説 ウィルス/スパイウエアの中には次々に名前を変えてユーザーを惑わすものがあります。 「msinfo32.exe」等のツールでスタートアップで起動されるファイルを監視してください。 4.あまり神経質にならないように インターネットをやっているといろんなことがあります。 MSNメッセンジャのように相方向機能を使ったソフトをインストールしている場合ある程度のお邪魔虫は仕方ないと思います。 いつ出てくるか判らないポップアップにびくびくしているのは体によくありません。 どんと来いという気持ちでネットを楽しみましょう。

miwawan
質問者

お礼

ありがとうございます。 大人だけの環境ならどんと来いの気持ちでいられるのですが、うちはリビングにパソコンを置いていて小さな子供のいる私のうちではひやひやものなのです。子供も自分でインターネット使うようになりましたし。先日はそれが出ているのに気づかず、子供がそれを見ていたときには死にそうになりました(号泣)ワイセツ度も以前よりかなり増しています。 主人がよくMSNメッセンジャーを使っているので仕方のないことなのですかね・・・と言ってる場合ではないです!また再インストールするかもしれません。

  • heto2
  • ベストアンサー率43% (227/525)
回答No.12

No.11の件 1.「Unldrexe」 なぜスタートアップにこのプログラムが登録されているのかわかりません。 心当たりあれば教えてください。 もし判らなければ、c:\windows\system32\unldrexe.exeを選択して 右クリックメニューのプロパティでプロパティ画面の「バージョン情報」タブで そのプログラムの概略がわかります。 特に「会社名」が怪しげであったり、空白の場合、疑うべきです。 2.メッセンジャースパムの可能性。 下記ページ参照して症状が似ていないか調べてください。 http://higaitaisaku.web.infoseek.co.jp/messengerspam.html http://support.microsoft.com/default.aspx?scid=kb;ja;330904 3.MSNメッセンジャー msnmsgr "c:\program files\msn messenger\msnmsgr.exe" /background 私はあのポップアップが嫌いなので、MSNメッセンジャーを使っていません。 従って、このソフトに絡む症状については他の方のアドバイスや下記ページ参考にしてみてください。 http://messenger.msn.co.jp/Help/

miwawan
質問者

補足

お世話になります。 今system32を見てみましたら、Unldrexeがなくなっていました。 unldrexeで検索してみたら、c:\windows\prefetchの中にUNLDREXE.EXE-3295112D.pfというのが見つかりました。更新日が丁度例の画面が出てきた日時でしたので、あやしいなと思います。 削除していいのでしょうか。

  • heto2
  • ベストアンサー率43% (227/525)
回答No.11

「MSInfo32.exe」を使ってみる。 「HijackThis」も優れたツールなのですが、一般の人には取っ付き難いかもしれませんね。 Windows標準添付の「MSInfo32.exe」を使う方法があります。 よろしければ試してみてください。 1.「MSInfo32.exe」の起動 「スタート」「ファイル名を指定して実行」で「msinfo32」と入力。 「システム情報」という画面が表示されます。 2.「スタートアッププログラム」のレポート  A)「ソフトウエア環境」   画面左側のウィンドウで「ソフトウエア環境」という項目があります。   左側の「+」をクリックするとサブリストが表示されます。  B)「スタートアッププログラム」   「スタートアッププログラム」を選択すると、画面右側に、スタートアップで起動されているプログラムが一覧表示されます。  C)「全て選択」   メニューバーの「編集」をクリック、サブメニューで「全て選択」をクリックすると右画面全体が反転表示されます。  D)コピー   メニューバーの「編集」をクリック、サブメニューで「コピー」をクリックすると選択されたデータがクリップボードに保存されます。  E)貼り付け  掲示板の入力画面を開き「Ctrl+V」でデータを貼り付けることが出来ます。   (参考)スパイウエアの多くはOSの起動と同時に起動され、メモリーに常駐して行動を始めます。 この場合「スタートアッププログラム」のレポートを掲示板に貼り付けることが出来れば初心者の方でも、ある程度、的確な情報提供が出来ます。 3.DPFフォルダのレポート(C:\WINDOWS\Downloaded Program Files)  A)「インターネットの設定」   画面左側のウィンドウで「インターネットの設定」「Internet Explorer」「キャッシュ」「オブジェクトの一覧」を選択します。  B)「全て選択」   メニューバーの「編集」をクリック、サブメニューで「全て選択」をクリックすると右画面全体が反転表示されます。  D)コピー   メニューバーの「編集」をクリック、サブメニューで「コピー」をクリックすると選択されたデータがクリップボードに保存されます。  E)貼り付け  掲示板の入力画面を開き「Ctrl+V」でデータを貼り付けることが出来ます。   ☆参考 Windowsには「C:\WINDOWS\Downloaded Program Files」というフォルダがあります。 WindowsやOfficeの自動修復やアップデート等に利用されるフォルダです。 このフォルダにActiveXコントロールというのが登録されると、ユーザーのパソコンにファイルがインストールされるときに、警告画面が表示されないようになります。 これを悪用したスパイウエアが沢山あり、ユーザーが有害なプログラム等を見つけて削除しても知らぬ間に復旧されてしまうのです。 所がこのフォルダは特殊なフォルダでエキスプローラを使ってファイルリストを書き出すことが出来ません。

miwawan
質問者

補足

お世話になります。 教えていただいた通りに貼り付けてみました。 よろしくお願いいたします! Unldrexe c:\windows\system32\unldrexe.exe All Users HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ctfmon.exe ctfmon.exe NT AUTHORITY\SYSTEM HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ctfmon.exe ctfmon.exe NT AUTHORITY\LOCAL SERVICE HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ctfmon.exe ctfmon.exe NT AUTHORITY\NETWORK SERVICE HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ctfmon.exe c:\windows\system32\ctfmon.exe COMPUTERNAME\miwa HKU\S-1-5-21-270800707-1439906313-590260106-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ctfmon.exe ctfmon.exe .DEFAULT HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run desktop desktop.ini NT AUTHORITY\SYSTEM スタートアップ desktop desktop.ini COMPUTERNAME\miwa スタートアップ desktop desktop.ini .DEFAULT スタートアップ desktop desktop.ini All Users 共通スタートアップ msnmsgr "c:\program files\msn messenger\msnmsgr.exe" /background COMPUTERNAME\miwa HKU\S-1-5-21-270800707-1439906313-590260106-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  • heto2
  • ベストアンサー率43% (227/525)
回答No.10

No.5へのご回答の中に、「夜10時以降に突然現れてる」という気になるご説明がありましたね。 そのページのURL教えていただけませんか? それでもわからない場合は「HijackThis」というソフトを使って徹底的に調べるしかないと思います。 世界中のBBSで使われているソフトです。 操作自体は非常に簡単です。 このソフトで作成したログを貼り付けていただければ、殆どの場合、どんなプログラムが起動されているかとか、が一覧表示されます。

  • heto2
  • ベストアンサー率43% (227/525)
回答No.9

No,8の件。下記、お答えください。 1.スタートアップフォルダの中に拡張子が「VBS」のファイルがありますか? 2.タスクマネージャのプロセスタブを開いて「WScript.exe」が起動されているかどうか調べてください。

miwawan
質問者

補足

VBSのファイルもWScript.exeもないようです。 いろいろお調べいただいてすみません。。

  • heto2
  • ベストアンサー率43% (227/525)
回答No.8

No.4へのご回答有難うございます。 1.「上書きインストール」ということになりますね。 この場合、Windowsのシステムファイルは復旧されますが、それ以前にスパイウエア等によって書き込まれたファイルやレジストリ設定は削除されません。 従ってスパイウエアによって汚染されたままになります。 2.ご回答にあるURL自体はスパイウエアを含んでいないと思います。 3.No.5へのご回答の中に、「夜10時以降に突然現れてる」という気になるご説明がありました。 私が過去に遭遇したスパイウエアの中に「VBS」ファイルを使ったものがあり、どこか似通っているように思います。 殆どのスパイウエアはパソコンの起動と同時に起動され、なんらかの症状が出ますが、この種のスパイウエアの場合、一定の、または、特殊な計算式を使ったランダムな間隔で特定の画面を表示させます。 スクリプトの内容によっては、(メールを削除するとかの)特定のコマンドを実行したときに特定の画面を表示させることが出来るかもしれません。 「VBS」ファイルは、スタートアップフォルダ(多分、ログインユーザーでなく、All Users)に登録されパソコンの起動と同時に実行されます。 (ただし、実行直後は何もせず、スリープ状態になります。) 「VBS」ファイルを実行するには「WScript.exe」を起動させる必要があります。 タスクマネージャのプロセスタブを開いて「WScript.exe」が起動されていれば何らかの「VBS」ファイルが実行されていると考えていいでしょう。 また、「msconfig」の「スタートアップ」タブを開いて確認できるかと思います。 以下、「Search.vbs」の実例を参考にしてみてください。 ☆スクリプトの記述例 While 1 WScript.Sleep(3600000) Set SearchWWW = CreateObject("InternetExplorer.Application") SearchWWW.Navigate "(URL)" WEnd ☆症状 スタートアップでSearch.vbsが実行され、スクリプトの内容に従って 1.WScript.exeが起動され、3600000ミリ秒(1時間)スリープ状態になる。 2.スリープ終了後、IEが起動され、指定したURLにあるページを開く 3.While ~ Wend 文でこの状態が繰り返される。 ☆対策 スタートアップフォルダのSearch.vbsを削除 ☆注意 C:\WINDOWS\System32\WScript.exe このファイルはWindowsの正規のファイルですので削除してはいけません。

miwawan
質問者

補足

ありがとうございます。 仕組みはなんとなくわかってきましたが、スタートアップフォルダの中にSearch.vbsというのはないようです。 中にあるファイルの名前を全部挙げればどれがあやしいかわかりますか?

回答No.7

すでにお手上げ状態です 貴殿がもし宜しければ以下のURLに質問をされてみてください 掲示板がありますので解決してくださるかもしれません 個人的にはスパイウェアにかなり詳しいサイトであると 思っています http://higaitaisaku.web.infoseek.co.jp/adaware.html

参考URL:
http://higaitaisaku.web.infoseek.co.jp/adaware.html
  • yappe
  • ベストアンサー率42% (901/2135)
回答No.6

SpyBotで見つかる Cookies を削除する前に覗いて URLらしきものを見つけたら それを常にブロックするように指定してみましょう インターネットオプション プライバシー Webサイト 編集 URLを入れて ブロック  OK Webで感染するものには一応有効みたいです

miwawan
質問者

お礼

アドバイスありがとうございます。 昨日教えていただいた方法でブロックしてみましたが、今日また出てきてしまいました(泣) 一日のうちでそれが出てくるのはその日初めてメール捨てるのに「ごみ箱」をクリックしたときと、夜10時以降(たぶん)にいつのまにか現れてるといった感じです。

関連するQ&A