- ベストアンサー
スパイウェアを削除しても・・・
OSはWINDOWS2000です。 スパイウェア駆除ソフトAdawareでスパイウェアをスキャンしたらHKEY_LOCAL_MACHINE:SOFTWARE\roimo\ と HKEY_LOCAL_MACHINE:SOFTWARE\ssprint\ というレジストリキーが検出されるのですが、何度削除しても、毎回検出されるんです。原因がどうしても分からないので、詳しい方教えて下さい。宜しくお願いします。
- truewhite
- お礼率16% (21/126)
- ウィルス・マルウェア
- 回答数2
- ありがとう数4
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
1.今回の件では下記のようなことが推測されます。 AAA.「Ad-aware 6」がスパイウエア(roings, roimoi, ssprint)を検知する。 BBB.ユーザー選択により一旦削除される。 CCC.次回、パソコン起動時に、スパイウエアが削除されているのがわかると、インストーラーが起動され、再インストールされる。 ActiveXを使って復活させる場合は「HijackThis」のログで簡単にFixできます。 下記の設定を使う例が報告されいずれも解決しています。 O16 - DPF: {FF65677A-8977-48CA-916A-DFF81B037DF3} (WMService Class) - http://download.overpro.com/WildApp.cab O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} (IObjSafety.DemoCtl) - http://cabs.roings.com/cabs/downplain.cab O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} - http://cabs.roings.com/cabs/chedownzip.cab 2.問題は、ActiveXではなく、別途インストーラーが存在するケースです。 LavaSoftのサポートフォーラムでも殆ど未解決になっています。 http://www.lavasoftsupport.com/index.php?&act=ST&f=34&t=25347 下記のファイルを削除して解決した例があるようですが、調べてみてください。 ただし、ファイル名が色々変化するので全ての感染例に当てはまるとはいえません。 artmmp.ini ast_4_mm.exe at.aut cpr.exe DictComp3s.exe dszal.dll optimize.exe tempf.txt usta32.ini qsldo.dll unstall.exe slqdc.exe wsem217.dll wlxwezyyo.dll 3.最近作成されたファイル 野暮ったいやり方ですが、感染した日以降に作成されたファイルを調べ上げる方法があります。 「Ad-aware 6」で削除し、再起動したときに幾つかのファイルが生成されると思います。 名前はランダムに作成されると思いますが、誕生日はごまかせないと思います。 そのためのバッチファイルを作ってみました。 対象とするファイル:「DLL」「EXE」「INI」 対象とするフォルダ:「%SYSTEMRoot%」「%SYSTEMRoot%\system32」等 7つありますので、別々に作成して実行してください。 :~~~~~~DirDLL.batはじめ~~~~~~~ echo 「DLL」ファイル一覧日付順 %SYSTEMRoot% > c:\DirDLL.txt echo\ >> c:\DirDLL.txt c: cd %SYSTEMRoot% dir *.dll /O-D >> c:\DirDLL.txt notepad c:\DirDLL.txt exit :~~~~~~DirDLL.bat終わり~~~~~~~ :~~~~~~DirDLL2.batはじめ~~~~~~~ echo 「DLL」ファイル一覧日付順 %SYSTEMRoot%\system32 > c:\DirDLL2.txt echo\ >> c:\DirDLL2.txt c: cd %SYSTEMRoot%\system32 dir *.dll /O-D >> c:\DirDLL2.txt notepad c:\DirDLL2.txt exit :~~~~~~DirDLL2.bat終わり~~~~~~~ :~~~~~~DirEXE1.batはじめ~~~~~~~ echo 「EXE」ファイル一覧日付順 %SYSTEMRoot% > c:\DirEXE1.txt echo\ >> c:\DirEXE1.txt c: cd %SYSTEMRoot% dir *.exe /O-D >> c:\DirEXE1.txt notepad c:\DirEXE1.txt exit :~~~~~~DirEXE1.bat終わり~~~~~~~ :~~~~~~DirEXE2.batはじめ~~~~~~~ echo 「EXE」ファイル一覧日付順 %SYSTEMRoot%\system32 > c:\DirEXE2.txt echo\ >> c:\DirEXE2.txt c: cd %SYSTEMRoot%\system32 dir *.exe /O-D >> c:\DirEXE2.txt notepad c:\DirEXE2.txt exit :~~~~~~DirEXE2.bat終わり~~~~~~~ :~~~~~~DirINI0.batはじめ~~~~~~~ echo 「INI」ファイル一覧・日付順 C:\ > c:\DirINI0.txt echo\ >> c:\DirINI0.txt c: cd\ dir *.ini /O-D >> c:\DirINI0.txt notepad c:\DirINI0.txt exit :~~~~~~DirINI0.bat終わり~~~~~~~ :~~~~~~DirINI1.batはじめ~~~~~~~ echo 「INI」ファイル一覧・日付順 %SYSTEMRoot% > c:\DirINI1.txt echo\ >> c:\DirINI1.txt c: cd %SYSTEMRoot% dir *.ini /O-D >> c:\DirINI1.txt notepad c:\DirINI1.txt exit :~~~~~~DirINI1.bat終わり~~~~~~~ :~~~~~~DirINI2.batはじめ~~~~~~~ echo 「INI」ファイル一覧・日付順 %SYSTEMRoot%\system32 > c:\DirINI2.txt echo\ >> c:\DirINI2.txt c: cd %SYSTEMRoot%\system32 dir *.ini /O-D >> c:\DirINI2.txt notepad c:\DirINI2.txt exit :~~~~~~DirINI2.bat終わり~~~~~~~ お役に立てばいいんですが。
その他の回答 (1)
- heto2
- ベストアンサー率43% (227/525)
正確には「roimo」でなく「Roing」ではないかと思います。 「Ad-aware 6」が対応していると思います。 最新のデータにアップデートしてスキャンしてみてください。 駆除後、パソコンを再起動してもう一度スキャンしてみてください。 もし駄目なら「HijackThis」での作業になります。 下記の項目が表示されると思います。 O2 - BHO: (no name) - {09D3C18B-BA78-4DD6-B38B-7B8C4E978E3C} - C:\WINDOWS\soppfaifn.dll O16 - DPF: {FF65677A-8977-48CA-916A-DFF81B037DF3} (WMService Class) - http://download.overpro.com/WildApp.cab その行の左端のチェックボックスにチェックを入れ「Fix checked」をクリック。 パソコンを再起動してください。
補足
回答ありがとうございます。heto2さんがおっしゃるように、「Roing」です。 教えていただいたとうりに、「Adware」をアップデートして、スキャンし駆除後、再起動しもう一度スキャンしましたが、ダメでした。 「HijackThis」で項目を探しましたが、見つかりませんでした。(以前に一度「Hijack This」を使用した時にもしかしたら削除したかもしれません・・・) もし何かまだ、削除できる可能性があれば、教えていただければと思います。ありがとうございました。
お礼
おかげさまで解決できました。 大変なアドバイスありがとうございました。