- ベストアンサー
スパイウェアがパソコンに寄生してしまいました…。
症状 1.インターネットエクスプローラを起動するとHOMEに何を設定しても必ず同じ外国のサイトに繋げられます。 2.パソコンのOSやIPアドレスなどが読み取られているようで、インターネットを使うとたしかYour PCなど英語でなんか書かれていて自分の使用しているOSやIPアドレスが画面にポップアップ表示されています。 3.そこでなんか英語で「あなたのパソコンはスパイウェアが寄生しています」???のような感じで出てきて「このソフトをダウンロードしてください」のようなことが英語で出てきてよく分からなくてちょっと怪しいと思ったけどそれをインストールして検索しました。 そしたら、いろいろ寄生しているものが検索されたのはいいんですけどそのパラサイトを削除するボタンを押すとなんか自分の名前とメールアドレスを登録してなんかお金を払わなければならない!?(なぜなら$29.3など書いてある)ようでなんか危ないかもと思って登録しないでいるんですが。ちなみにそのソフトはNoAdwareとかいうやつです。 どうしたらいいでしょうか?どんな個人情報が読み取られてしまうのでしょうか?パラサイトを削除するにはどうすればいいでしょうか?とても困っています。よろしくお願いします。
- みんなの回答 (26)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
最終回です。(お互いに調べてつかれたね) > C:\WINDOWS\system32\netoe32.exe > プロセスのところでnetoe32.exeを削除するというこ> とでしょうか?削除しても大丈夫なのですか?? タスクマネジャでnetoe32.exeを指定して タスクの終了ボタンをクリックする その他のアプリケーションに影響が出ていない事を 確認する。(まだ正体がわからないので削除はしない) >HijackThisで再度検査して >netoe32.exeが検出できるか確認してください。 >C:\WINDOWS\system32\netoe32.exeが検出・・ netoe32.exeは通常検索すると検索に引っかからない でもHijackThisで検査すると存在している 通常の検索設定が合っていないのでは? 直接system32のフォルダーを調べて netoe32.exe確認する プロパティーの内容を確認する 正体がわかれば対処する
その他の回答 (25)
追伸その2 現状確認です。 IE6はほぼ正常に起動していますか? ポップアップ表示はでますか? 他のアプリケーションに影響はありませんか? インターネットオプションでWebの設定のリセットを おこなって下さい。 再起動してIE6の画面で マイクロソフトのHPが表示されますか? > タスクマネージャのプロセスで「netoe32.exe」・・ netoe32.exeのタスクを終了させると なにかソフトが影響しますか? HijackThisで再度検査して netoe32.exeが検出できるか確認してください。 netoe32.exeをネットでいろいろ検索しても 情報が得られませんでした。 パソコンが正常に動作しているならばおわります END
お礼
04/07/05/23:10記述 こまめに回答をいただき本当にありがとうございます。 IE6はほぼ正常に起動しています。 ポップアップ表示はホームに常にYAHOOを設定しなおせば出てきません。他のアプリケーションに特に影響はありません。 > タスクマネージャのプロセスで「netoe32.exe」・・ >netoe32.exeのタスクを終了させると >なにかソフトが影響しますか? C:\WINDOWS\system32\netoe32.exe プロセスのところでnetoe32.exeを削除するということでしょうか?削除しても大丈夫なのですか?? >HijackThisで再度検査して >netoe32.exeが検出できるか確認してください。 C:\WINDOWS\system32\netoe32.exeが検出できました。 念のためウィルススキャンしてみましたが、ウィルスは検出されませんでした。
追伸です。 > ちなみに「about:blank Search for型」の > 症状です。空欄にならず同様の検索エンジンが > 表示されます。 ANO.21に書き込みしています。 IE6の画面がabout:blankになった場合 参考URLです http://higaitaisaku.web.infoseek.co.jp/removeaboutblank.html を参考に対策をおこなって下さい。
お礼
04/07/05/22:32記述 だいぶ前の時点では「about:blank Search for型」になっていたんですが、今念のためホームにabout:blankを設定してみたらちゃんと空白が出て前なっていた英語の検索エンジンが出ませんでした。これは素人の僕の考えで行きますと#20の補足で書いたようにAd-awareを使用した事によりCoolWebSearchが除去されたためと考えられますがいかがでしょう。 いまタスクマネージャでプロセス全てに対して1つずつ明らかに大丈夫と分かるものを除き検索しました。 検索するとほとんど引っかかってプロパティも確認しました。今のところあやしそうではないのでこれらの検索に引っかかったものの詳細を述べるのは控えさせていただきますが、1つだけ検索しても引っかからないものがありました。 それはタスクマネージャのプロセスで「netoe32.exe」となっているものです。プロセスに表示されているのに検索に引っかからないというのはどういうことでしょう。これぞ怪しいと思いました。でも何故引っかからないのか~う~んわかんないです…。
単純な探索方法 其の2 何時も感染する場所として、ウィルス、スパウェアが潜伏する場所は C:\WINDOWSのフォルダー内と C:\WINDOWS\system32内がもっとも多く潜伏する C:\Program Filesにも潜伏する 今回の場合は C:\Program Files\Internet Explorer内も確認する C:\Program Files\Internet Explorer\Connection Wizard内も確認する C:\Program Files\Internet Explorer\PLUGINS内も確認する C:\Program Files\Internet Explorer\SIGNUP内も確認する (rbtyl.dllのリンク関係のファイル名も含めて探す) パソコンが感染した日から考えて C:\WINDOWSのフォルダー内と C:\WINDOWS\system32 内で インストールされたファイルを直接見て探す つい最近インストールされた日時のファイルを探す 他のファイルと比較して、 ファイルで日付と時間が他と違っている *****.dll を探す、及び *****.exe を探す (注意、各ファイルをダブルクリックして動作させないこと) ウィルス、スパイウェアが隠しファイルとなっている場合を考えて フォルダオプションの設定は全て表示を選択する、及び 拡張子は表示するように変更と 保護されたオペレションシステムのチェックをはずす (これでファイルが全て確認できます、操作には注意する事) 判断ポイント ファイルの日付として、こちらのPCでは2003/04/03 21:00が多いです それ以前のファイルについては日付と時間は同じ物が そろっていれば対象からはずす、ただし日時がずれている場合は プロパティの内容を確認する(バージョン、社名、製品名などを他と比較する) (不明スパイが運良く見つかればラッキー) 以上 ここで おわります
単純な探索方法 其の1 何もソフトを起動させない通常状態において確認する タスクマネジャーを表示させて、常駐起動している*****.exeファイルを比較する (下記の****.exeはこちらの手持ちPCの二台にて 共通しているファイルです。比較対処から外してください) csrss.exe ctfmon.exe lsass.exe pccguide.exe PCClient.exe PCCPFW.exe services.exe smss.exe svchost.exe ローカル svchost.exe ネットワーク svchost.exe システム svchost.exe システム System System Idle Process Tango service.exe taskmgr.exe Tmntsrv.exe TMOAgent.exe tmproxy.exe winlogon.exe 上記以外の****.exeファイルを各自のPC内で検索して、 起動アプリケーションを確認する 及び異常に動作している、*****.exeファイルを調べる ( system Idle Process )はCPU待機状態において99から95の数字が正常です 次にIE6を起動させて、増えた*****.exeファイルについて調べる ここでIE6内でポップアップ表示させている*****.exeが見つかれば超ラッキー
C:\WINDOWS\System32\blank.htm about:blankは IE6のツールをクリック インターネットオプションをクリック 全般タブの内容において ホームページ欄にある、空白を使用で 表示される、blank.htmです 最終的にIE6の画面がabout:blankになった場合 参考URLです http://higaitaisaku.web.infoseek.co.jp/removeaboutblank.html こちらが、確認したいのは IE6の動作において、 " res://rbtyl.dll/index.html#96676 "を ポップアップで表示させている スパイウェア本体の名前とPC内の場所です PC内でrbtyl.dll "を検索して、存在すれば プロパティとリンクを確認して下さい #96676 もPC内を検索して下さい 重要確認事項 レジストリ検索した時に何処のフォルダーに " res://rbtyl.dll/index.html#96676 "が 書き込まれていたのか、わかりますか? (二箇所削除した所のフォルダー名) そのフォルダー名を確認して書き込みして下さい レジストリのフォルダーと同じ名前のフォルダーが PC内のWINDOWSのフォルダー内又は C:\Program Filesなどにあるはずです そちらで正体がわかれば、フォルダーを 丸ごと削除して下さい。 現段階においてレジストリを部分修正しても スパイウェア本体を削除しないと復活して しまう事はわかりました 注意 感染しているPCをインターネットに接続して 各HPを表示すると再度感染します。
お礼
レジストリ検索した時 (名前)Search Page(種類)REG_SZ(データ)res://C:\WINDOWS\system32\rbtyl.dll/sp.html#96676 (名前)Local Page(種類)REG_SZ(データ)C:\WINDOWS\system32\blank.html となっています。それでC:\WINDOWS\system32の中を見てみたのですがrbtyl.dllもblank.htmlも見つかりません。なんででしょうか!? ちなみに「about:blank Search for型」の症状です。空欄にならず同様の検索エンジンが表示されます。 rbtyl.dllを 検索→ファイルやフォルダ→ファイルとフォルダすべてで検索したのですが見つかりません。検索の仕方が悪いのでしょうか。ちゃんとフォルダは隠しではなくすべて表示にしています。
補足です。 > しかし、気になる怪しいのが >(サービス)SmartLinkService(重要)空欄(製造 > 元)空欄(状態)実行中 >(サービス)Network Security Service(重要) > 空欄(製造元)不明(状態)実行中 > の二つです。なぜ怪しいかと思ったかというと > 製造元が空欄であるのと製造元が不明と > なっていて実行中であることです。 前に載せましたが、ウイルス検査をしてください オンライン検査の参考URLです ウイルスバスターオンラインスキャン http://www.trendmicro.co.jp/hcall/index.asp シマンテックにてオンライン検査とセキュリティ http://www.symantec.com/region/jp/securitycheck/index.html 上記検査はPCによって長時間になります。 (二箇所のURLにて全体を検査してください)
お礼
そしてセーフモードにしてもう一度Ad-awareを使うと 4つ検出され POSSIBLE BROWSER HIJACK ATTEMPT ッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッ obj[0]=RegData : Software\Microsoft\Internet Explorer\Main obj[1]=RegData : Software\Microsoft\Internet Explorer\Main VX2 ッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッッ obj[2]=RegValue : Software\Microsoft\Windows\CurrentVersion\Run obj[3]=File : c:\windows\system32\rqoplfo.exe をさらに削除しました。
補足
念のためAd-aware 6を使って削除した7/5/12:30頃のデータです。 CoolWebShreaderを使ったはずなのにCoolWebSearchが検出されました。残念ながらOkwebは2000文字までらしいので詳しいデータは省略してVender?の部分だけ書きます。全部で83個検出されました。CoolWebSearchがいっぱい入ってました。 ArchiveData(auto-quarantine- 05-07-2004 00-36-28.bckp) ====================================================== POSSIBLE BROWSER HIJACK ATTEMPT WIN32.ADVERTS.TROJANDOWNLOADER WINFAVORITES COOLWEBSEARCH 180SOLUTIONS ALEXA VX2 TRACKING COOKIE CLICKSPRING
確認の結果から AhnSD.exeはV3 ウィルスブロックの検査データ 検索に引っかからないsoap.exeはHijackThisで削除 > 5.再びIE起動いつもの > res://rbtyl.dll/index.html#96676 はパソコン内で" rbtyl.dll "を検索して プロパティを確認する レジストリ内を調べて(検索)、削除する 怪しそうなプログラム 「Home Search Assistant」 「Search Extender」 「Shopping Wizard」 をパソコン内検索でアプリケーションソフト確認する あと出来ることは Internet Explorer関連レジストリの完全なリセット http://higaitaisaku.web.infoseek.co.jp/cleanfixreg.html システムの復元をおこなってみる レジストリキー修正 http://higaitaisaku.web.infoseek.co.jp/hkeyusers.html レジストリ確認ポイント (res://rbtyl.dll/index.html#96676)について 検索する レジストリエディタで編集をクリック 検索をクリック、検索する値(res://rbtyl.dll/index.html#96676)を入力 表示された値を削除する 今まで調べた自動起動ソフトを確認する HKEY_CURRENT_USER +Softwares +Microsoft +Windows +CurrentVersion +Run(ここの中身全部) HKEY_CURRENT_USER +Softwares +Microsoft +Windows +Internet Explorer +Main(ここの中身全部) HKEY_LOCAL_MACHINE +Softwares +Microsoft +Windows +CurrentVersion +Run(ここの中身全部) 注意事項 レジストリについて理解する http://www.remus.dti.ne.jp/~anfiny/reg/index.html レジストリを変更する前に 必要なユーザーデータのバックアップをする レジストリのバックアップ レジストリを変更して、不安定になっても 元に戻せません(最悪の場合ハードを壊します) 自己責任です。 むりな、レジストリの編集は止めて OSの再セットUPインストールをする事 以上です。
お礼
回答ありがとうございます。 >レジストリ確認ポイント >(res://rbtyl.dll/index.html#96676)について >検索する >レジストリエディタで編集をクリック >検索をクリック、検索する値 >(res://rbtyl.dll/index.html#96676)を入力 >表示された値を削除する これをやったら30個くらい??でしょうかいっぱいでてきました。その中でres://rbtyl.dll/index.html#96676となっているのが二つあったので消去しておきました。あとのやつはそうはなっておらず微妙で判別不可能なのでとりあえずやめときました。大事なレジストリを消去すると大変っぽいので。 ちなみに、現在2004/7/5/2:00頃Ad-awareおよび上記レジストリ2つ消去もホームにはいまだにres://rbtyl.dll/index.html#96676で変化なしであります。 しかし、変化があったといえばあったことがあります。 「問題が発生したため、iexplore.exe を終了します。 ご不便をおかけして申し訳ありません。」となってブラウザが閉じてしまう症状が以前増発していたのですが、soap.exeの消去以降でしょうか、「問題が発生したため、iexplore.exe を終了します。 ご不便をおかけして申し訳ありません。」となってブラウザが閉じてしまう症状がまったく起こっていません。
補足
2004/7/5/2:13頃記述。 僕はレジストリでres://rbtyl.dll/index.html#96676の表示のあるものを全て削除しても変化なし。そしてホームをYAHOOに設定しなおす。またres://rbtyl.dll/index.html#96676のレジストリが再生。なんか癌みたいですね。僕はそこでこの癌には核があるのではと思いました。なんとなく有力な核は (名前)Local Page(種類)REG_SG(データ)C:\WINDOWS\System32\blank.htm だと思うのですがどうでしょうか? about:blankというのとなんらかの関連をもっていそうな感じがします。 これを試しに削除しようと思うのですが、山勘が違った場合偉い事になるという恐怖感があります。 バックアップというのをとれば消してもまた直せるのでしょうか?またやり方は簡単でしょうか? よろしくお願いします。
検索内容から ウィルス 04- [AHNSD]のAhnSD.exe O4 - HKLM\..\Run: [AHNSD] "C:\Program Files\Ahnlab\Smart Update Utility\AhnSD.exe" スパイウェア 04- [System Soap Pro]のsoap.exe min O4 - HKCU\..\Run: [System Soap Pro] C:\PROGRA~1\SYSTEM~1\soap.exe min 削除する前に、各アイコンのプロパティーを確認する リンク、社名、バージョン、などでアプリケーション ソフトを確認する。 msconfigを起動させて、上記2個をスタートUP項目 からはずしてください それによって症状がとまれば、ウィルスとスパイ 確定すれば直接削除する (不安な場合はパックアップコピーを別の場所に作る) パソコン内検索方法 スタートから検索をクリック 検索が表示されます。 AhnSD.exeを入力してPC内ファイル、フォルダーの 全てを検索するように設定する soap.exeについても同じです。 各場所のフォルダー直接調べて、そのアイコンを マウスの右クリックでプロパティーを確認する それによって関連(リンク)がわかります 上記2個がウィルスとスパイの場合 HijackThisのログ内容と同じ場所の レジストリーを削除する必要があるかもしれません その他 HijackThisのログにあったほかの部分も 検索しましたが、はっきりとした検索が出来なかった ので、上記2個以外は、多分大丈夫でしょう
お礼
ずっといままで付き添って頂いて本当にありがとうございますm(_ _)m >パソコン内検索方法 >スタートから検索をクリック >検索が表示されます。 >AhnSD.exeを入力してPC内ファイル、フォルダーの >全てを検索するように設定する >soap.exeについても同じです。 >各場所のフォルダー直接調べて、そのアイコンを >マウスの右クリックでプロパティーを確認する >それによって関連(リンク)がわかります AhnSD.exeは検索に引っかかったのですが、soap.exeは引っかからなかったです。ということは逆に考えればsoap.exeは検索に引っかからないような悪い奴なのかも?素人の考えですいません。こんなことぐらいしか考えれないです…。 あとなんか見つけたのは システム構成ユーティリティのサービスの項目で 左から順に サービス 重要 製造元 状態 とあるのですが、ほとんどのものは有名な製造元のものMicrosoftなどです。 しかし、気になる怪しいのが (サービス)SmartLinkService(重要)空欄(製造元)空欄(状態)実行中 (サービス)Network Security Service(重要)空欄(製造元)不明(状態)実行中 の二つです。なぜ怪しいかと思ったかというと製造元が空欄であるのと製造元が不明となっていて実行中であることです。
補足
実験結果 1.msconfig起動→スタートアップ→AhnSD.exeとsoap.exeのチェックをはずす 2.IEでホームにYAHOOを設定しなおす. 3.再起動 4.IE起動→おっYAHOOだ!直ったのか…!しかしお気に入りの中に入っているOKwebへ。 「問題が発生したため、iexplore.exe を終了します。 ご不便をおかけして申し訳ありません。」 5.再びIE起動いつものres://rbtyl.dll/index.html#96676に。 1つ分かったことがあります。 AhnSDは僕が使用しているV3 ウィルスブロックというアンチウイルスソフトに関係したものっぽいです。だからたぶんいいやつだと思います。今回の起動ではいつも右下に出ていたV3 ウィルスブロックのアイコンが消えたのでこのことからもAhnSDはいいやつだということが結構確信できると思います。
以下の部分について確認検索しました。 不明 02- BHO: (no name)のntrg32.dll DVD関係04- [ezShieldProtector for Px]のezSP_Px.exe real関係 04- [TkBellExe]のrealsched.exe ウィルス 04- [AHNSD]のAhnSD.exe 不明 04- [sysry.exe]のsysry.exe 不明 04- [gqezlze]のrqoplfo.exe 不明 04- [appuy.exe]のappuy.exe スパイウェア 04- [System Soap Pro]のsoap.exe min 不明 04- [ntpw32.exe]のntpw32.exe 不明 04- [crmr32.exe]のcrmr32.exe 不明 04- [sysfl.exe] のsysfl.exe 参考確認URLです http://gang.jp/~eko/2004/06/realplayer.html http://higaitaisaku.web.infoseek.co.jp/removewasher.html http://www.trendmicro.co.jp/vinfo/virusencyclo/default.asp " AhnSD.exe "で検索すると数種類表示されます。
お礼
最近よく 「問題が発生したため、iexplore.exe を終了します。 ご不便をおかけして申し訳ありません。」となってブラウザが閉じてしまう症状が増えてきました。
補足
>以下の部分について確認検索しました。 >ウィルス 04- [AHNSD]のAhnSD.exe >スパイウェア04- [System Soap Pro]のsoap.exe min とウィルスとスパイウェアということはこの二つは削除した方がいいということでしょうか?
その他(予備知識) HijackThisのログについて、比較表の参考URLです。 http://higaitaisaku.web.infoseek.co.jp/iru.html http://ix86house.mydns.jp/vir/vir004.htm
お礼
スパイウェア 04- [System Soap Pro]のsoap.exe min はインターネットで自分でも調べたところどうやら削除してもよさそうな感じなので思い切って2004/7/4/19:20頃削除しましたが、ダメでした。
補足
パターン4 タイトル"Welcome to the System Performance Wizard - Microsoft Internet Explorer" クライアント領域の文章 OS Check: 「(青)xxxxxxxxxxx」 detected 「(緑)Clean」 Browsers Check: 「(青)IE x.x」 detected 「(緑)Clean」 SpyWare Check: (赤)「WARNING!!!」Your PC may be infected with 「Spyware」. Click OK below to scan your system Absolutely FREE for potentially harmful SpyWare installed on your PC. 今までのパターンと同様「」は太字を表しています。
お礼
>最終回です。(お互いに調べてつかれたね) 本当ですね。bastard2さんが一番お疲れのことと思います。こんな素人のために今まで自分の時間を割いてまでもとても丁寧に回答くださったこと心より感謝いたします。本当にありがとうございました!!とりあえずここでいったんこの質問は締め切ります。 何かあったらまた改めて質問することにします。 最後の報告です。 Ad-awareをもう一度やってみたらnetoe32.exeは削除できたようです。これもどうやらCoolWebSearchのものでした。最近のAd-awareで引っかかるものはcoolWebSearchです。HijackThisとCoolWebShreaderとAd-awareを検出されなくなるまで一度繰り返しやっていこうと思います。何回もAd-awareをやるのも効果がある傾向があります。今まで検出されなかったものが新しく検出されることがありました。