• ベストアンサー

CoolWebSearchによるしつこいスパイウェアhttp://www.okweb.ne.jp/kotaeru.php3?q=912517

http://www.okweb.ne.jp/kotaeru.php3?q=912517 の続きの質問です。 C:\WINDOW\system32\sysry.exe C:\WINDOW\system32\appuy.exe はCoolWebSearchによるスパイウェアでしょうか? Ad-awareを使って検出はされてチェックを入れて削除しても実際は削除されていないことってあるんでしょうか?

質問者が選んだベストアンサー

  • ベストアンサー
noname#10679
noname#10679
回答No.5

Rossanaさんが怪しい削除できないソフトが あると気が付いた 「Home Search Assistant」 「Search Extender」 「Shopping Wizard」 が全てスパイウェアーだったのかもしれませんね 上記のソフトがどんな物かは、私の方では使用した事 がないので、なんともいえません sysry.exe、netoe32.exe、appuy.exe #96676、rbtyl.dll、rbtyl.dll soap.exe、Search Extender このかなり怪しい***.exeは全てスパイの 一部だったのかな? レジストリーを削除した為、最後のしぶとい 部分がさっぱりして、Winのシステムがすっきり したのかな? 最後に システムファイルの破損をチェックし 破損があれば修復する、コマンド命令です。 Win-XPのCD-ROM又はリカバリーCD-ROMが 必要になる場合があります、事前用意してから 手順です。 スタートから ファイル名を指定して実行をクリック " scf /scannow "を入力してOKボタンをクリック 後は表示にしたがって進める (scfと/の間にスペースを入れて入力する) お疲れ様でした

Rossana
質問者

お礼

>"scf /scannow "を入力して sfc /scannowのことですね。今回のスパイウェアの対策をいろいろして行く上で、bastard2さんには非常にお世話になり、また非常に勉強させていただきました。 レジストリ、セーフモード、システムファイルチェッカーなど今まで知らなかった事を覚えることができました。何か問題が起こるということはまた新たな発見があるということでやっぱ人間困らなくちゃダメですね。スパイウェアもある意味僕たちに勉強をさせているのかもしれませんね(いや、そんなことはない!)。 sfc /scannowでシステムファイルチェッカーを実行した結果何も出てこなかったのでおそらくシステムは大丈夫なのですね。

その他の回答 (4)

noname#10679
noname#10679
回答No.4

スパイウェアの無力な残骸が残ったについて >「popup5.php?pin=96676」で検索したら何にも > 出てこなかったのですが、96676で検索したら > スパイウェアの残骸レジストリと見られるものが > 一杯出てきました。 > その詳細を補足に書いておきます。 「補足に書いておきます。」て、まだ調べるの? レジストリーデータは個々のPCによって 違ってきます。人間の指紋みたいに、 使用環境とアプリソフトの種類、設定状態など によって、まったく同じにならないです よって「96676」はこちらのPCにはありません。 残っている数字のみ「96676」の部分だけを削除する 参考例です。 appuy.exe のルートキー HKEY_CURRENT_USER  + Software   + Microsoft    + Search Assistant     + 5603の中で 名前ad 000 種類REG_SZ 値のデータappuy.exe の場合で、値のデータappuy.exe#96676となっていたら #96676だけを削除する、他は残す事 その他 レジストリ ルートキー・フォルダーについて 検索した、こちらの自己パソコンには 以下のexeファイルは存在していません (感染状況とアプリソフトが違う為) MonSvcNT.exe の存在無し #96676 の存在無し rbtyl.dllの存在無し rbtyl.dllの存在無し soap.exeの存在無し AhnSD.exeの存在無し Search Extenderの存在無し 123.epsの存在無し Stationaryの存在無し hihi.psの存在無し netoe32.exe の存在無し slserv.exe の存在無し ezSP_Px.exeの存在無し AplEvm12.exeの存在無し MonsysNT.exe の存在無し AplSts12.exe の存在無し あとがき 成功例を検証して自分なりにまとめてみてください まとめポイントとして ウイルス本体名、と起動しているファイル名 対策使用ソフトとダウンロードURLの記録 対策作業手順 検索方法、レジストリ変更箇所詳細 対策参考URLの記録 各種注意点、必要知識、必要情報 対策に要した時間 気が付いた点など 以上でおわります

Rossana
質問者

お礼

回答ありがとうございます。 bastard2さんに是非報告したいことが昨日07/06あったのですが、 sysry.exe netoe32.exe appuy.exe #96676 rbtyl.dll rbtyl.dll soap.exe Search Extender を念のためバックアップをとったあと レジストリからこれらを削除しました。 そのあと、アプリケーションの追加と削除をみました。 すると!!! http://www.okweb.ne.jp/kotaeru.php3?q=912517の ANo.#5で書いた 「Home Search Assistant」 「Search Extender」 「Shopping Wizard」 がなくなっていたのです。

  • ittochan
  • ベストアンサー率64% (2667/4137)
回答No.3

>検索するとまだそのパッチファイルは残っています。>消した方がいいのでしょうか? 消した方がいいですが、 どこに、どのような形で存在するのですか? 他の困ったチャンのためにも書いてね。

Rossana
質問者

お礼

ありがとうございます。 パッチじゃなくPrefetchというやつでした。 PrefetchはXPから搭載されたようで高速化するためのものらしいですね。 Prefetchは消してもいいようなので消してしまいました。そしたらHijackThisでScanしても出なくなりました。

noname#10679
noname#10679
回答No.2

お疲れ様です sysry.exe appuy.exe は前回いろいろ検索したけど、検索不明だった そちらのPCのアプリソフトの一部では なかったのですか? Ad-aware6.0で検出されたのならスパイかな? 対策ソフトについて 使用状況から推測すると Hijack Thisの検査内容を見ると 常駐起動されるファイルを検出する用に見えます 起動しているファイルのレジストリーだけを削除して いる用に感じます 詳細はHijack Thisのソフトを製作した本人にメールで 聞いてみて下さい Ad-aware6.0はスパイウェアの検査データを持っている ソフトです。そのデータとスパイを照合検査して 結果を表示しているのかな? 検査時間が短いので、レジストリー内をスキャンして いる用に見えます 消去する場合は、スパイ関連のレジストリと 書き込まれているファイル本体も削除するのかな? ただし動作しているファイルは削除しない為、残る? 詳細はのAd-aware6.0ソフトを製作した本人にメールで 聞いてみて下さい その他 ポッフアップすると言っていた内容で 「popup5.php?pin=96676」 「popup4.php?pin=96676」 「popup3.php?pin=96676」 「popup2.php?pin=96676」 「popup1.php?pin=96676」 上記をレジストリー内の検索をしてみては どうでしょうか? 前回の方法で検索した手順で > レジストリエディタで編集をクリック > 検索をクリック、検索する値 > (res://rbtyl.dll/index.html#96676)を入力 > 表示された値を削除する カッコ内を「  」の内容で各検索してみる > 本日スパイウェアに勝利したようです。 おめでとう

Rossana
質問者

お礼

bastard2さんのおかげでもうホームに勝手に設定される英語のサーチエンジン&ポップアップは出てこないようになりました!YAHOOに設定したら何回起動してもYAHOOです。本当にありがとうございました。今度は僕もbastard2さんが僕を助けてくれたように同じ被害者の方のアドバイスをしていきたいと思います。 スパイウェアの核は破壊できたようでスパイウェアの無力な残骸が残ったようです。 >その他 ポッフアップすると言っていた内容で >「popup5.php?pin=96676」 >「popup4.php?pin=96676」 >「popup3.php?pin=96676」 >「popup2.php?pin=96676」 >「popup1.php?pin=96676」 >上記をレジストリー内の検索をしてみては >どうでしょうか? 「popup5.php?pin=96676」で検索したら何にも出てこなかったのですが、96676で検索したらスパイウェアの残骸レジストリと見られるものが一杯出てきました。 その詳細を補足に書いておきます。

Rossana
質問者

補足

「96676」検索結果 データの部分 sysry.exe netoe32.exe slserv.exe MSIMN.EXE IEXPLORE.EXE msmsgs.exe ezSP_Px.exe AplEvm12.exe appuy.exe MonsysNT.exe AplSts12.exe alg.exe mdm.exe MonSvcNT.exe scardsvr.exe #96676 rbtyl.dll rbtyl.dll soap.exe AhnSD.exe Search Extender 123.eps Stationary hihi.ps CTAN

  • ittochan
  • ベストアンサー率64% (2667/4137)
回答No.1

私のWindowsXPには C:\WINDOW\system32\sysry.exe C:\WINDOW\system32\appuy.exe はありませんでした。 製造元が空白なら怪しいです。 >Ad-awareを使って検出はされてチェックを入れて >削除しても実際は削除されていないことって >あるんでしょうか? ↑のプログラムが実行中の場合は削除はできません 他の怪しいプログラムが ネット経由で↑のプログラムを勝手にダウンロード&実行している可能性 または、 他の怪しいプログラムが ↑のプログラムを勝手に生成&実行している可能性もありえます。

Rossana
質問者

お礼

回答ありがとうございます。 本日スパイウェアに勝利したようです。 Ad-awareで気付かなかったんですが消去されていたようです。今EXEファイルは見つからない&プロセスに入っていないですがでも検索するとまだそのパッチファイルは残っています。消した方がいいのでしょうか?特に問題はないのでそのまま残していますが。安易に手を出すと危ないので。

Rossana
質問者

補足

C:\WINDOW\system32の中を見るとsysry.exeとappuy.exeはないのにHijack ThisではScanされます。 なんで見つからないのにScanで引っかかるんですか? こんなことあるんですか?