- ベストアンサー
spazbox.netに接続しようとするスパイウェア
普段は「答える」方が多いのですが、今回はお手上げなのでよろしくお願いします。 以下のような初心者の知り合いのパソコンが、W32.Spybot.wormに感染したというので預かって、Symantecのウィルス対策情報に従って修復しました。 パソコン:VAIOの液晶一体型デスクトップ、Pen4 2.3GHz OS:Windows XP Home SP1 ウィルス対策:Norton AnriVirus 2003 Windows Update:SP2以前のUpdate済み ウィルスの影響は回避できたと判断して、初めてネットに接続してみますと... 勝手にブラウザ(IE6)が起動し、タイトルにも書きました「spazbox.net/pay.html(頭にhttp://が付きます)」というURLに接続しようとします。ブラウザを閉じるとまた立ち上がり、今度は「www.ruby-eye.com/~bean/beanos/index.html」に接続しようとします。 どう見てもスパイウェアの仕業のように見えましたので、Spybot 1.3、AD-Aware6SE、Spyware Blsterなどをインストールし、徹底的に検索・削除したのですが、一向に症状が治まりません。そこで、怪しいと思われるプログラムのアンインストール、怪しいレジストリ項目の検索、そしてmsconfigを起動し、スターアップ項目を一つ一つチェックを外して再起動してみましたが、やはり直りません。そこでWindows XP Professionalの上書きインストールもしてみました。それでもダメでした... 現時点で残る手段は、再フォーマットとリカバリしかないかなと思っております。CnsMinも退治した経験があるのですが、こんなにしつこいスパイウェアは初めてです。 そもそもこれはスパイウェアなのか? それとも他のウィルス(ワーム)の仕業なのか? 何でも結構です。何か心当たりのある方、情報をください! どうぞよろしくお願いします。
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
欧米のフォーラムで情報集めてみました。 1.「arsetup.exe」というプログラムが「spazbox」に接続しようとしているようです。 2.「arsetup.exe」は微妙にファイル名を変えたり、インストールされる場所を変えたりします。 3.他に幾つかのファイルの存在が指摘されていますが、「spazbox」に関連するものか、それとも複合汚染の結果なのか私にはわかりません。 4.ごく最近の情報なので、どのウィルス対策ソフト、スパイ対策ソフトも対応できていないと思われます。 AAA.when I open IE a window opens attempting to load something with the name spazbox. http://www.helpforums.co.uk/forum/viewtopic.php?p=122937 1.インストールされるファイル C:\WINDOWS\System32\winmon32.exe C:\windows\arsetup.exe 2.「HijackThis」での表示 O4 - HKLM\..\Run: [WIN32] C:\windows\arsetup.exe O4 - HKLM\..\Run: [Window Monitor] winmon32.exe O4 - HKLM\..\Run: [Win32 Wmls Driver] winitr32.exe O4 - HKLM\..\Run: [Win32 Configuration] videosd32.exe O4 - HKLM\..\RunServices: [Window Monitor] winmon32.exe O4 - HKLM\..\RunServices: [Win32 Wmls Driver] winitr32.exe O4 - HKLM\..\RunServices: [Win32 Configuration] videosd32.exe O4 - HKCU\..\Run: [Win32 Wmls Driver] winitr32.exe O4 - HKCU\..\Run: [Win32 Configuration] videosd32.exe O4 - HKCU\..\Run: [Window Monitor] winmon32.exe O4 - HKCU\..\RunServices: [Window Monitor] winmon32.exe O4 - HKLM\..\RunOnce: [Win32 Wmls Driver] winitr32.exe O4 - HKLM\..\RunOnce: [Win32 Configuration] videosd32.exe O4 - HKCU\..\RunOnce: [Win32 Wmls Driver] winitr32.exe O4 - HKCU\..\RunOnce: [Win32 Configuration] videosd32.exe BBB.Anybody Out There Been Hit With Spazbox http://www.askmehelpdesk.com/cgi-bin/yabb/YaBB.cgi?board=computers_for_beginners;action=display;num=1093133691;start=15 1.インストールされるファイル C:\asetup.exe C:\asetup32.exe C:\arsetup32.exe C:\Program Files\Common Files\Microsoft Shared\dasetup.exe C:\WINDOWS\system32\W32usb2.exe winboot32.exe winmom32.exe 2.レジストリキーと設定される値 レジストリキー HKEY_LOCAL_MACHINE->Software->Microsoft->Windows->CurrentVersion->Run 設定される値 rundll32.exe "C:\WINDOWS\Download Program Files\bridge.dll", Load winboot32.exe winmom32.exe REGSRV32.EXE レジストリキー HKEY_LOCAL_MACHINE->Software->Microsoft->Windows->CurrentVersion->RunSer vices 設定される値 REGSRV32.EXE winboot32.exe winmom32.exe 3.「HijackThis」での表示例 O4 - HKCU\..\Run: [regsrv32.exe] regsrv32.exe (regsrv32.exe 不正なファイル) (regsvr32.exe は正規のファイルです。要注意)
その他の回答 (3)
- zoro2
- ベストアンサー率50% (105/208)
>初めてネットに接続してみますと勝手にブラウザ(IE6)が起動し これがどうも解りません。 パソコンを起動すると・・・ならわかるんですが。 >spazbox.net/pay.html ★windupdates.com へアクセスして「f119e8fb1c2d2dcee9bf8d7fd7049」というActiveXコントロールをダウンロードさせようとします。 ★xxxtoolbar.com へアクセスして 「xxxtoolbar」 をダウンロードさせようとします。 ★data.overpro.com へアクセスしてクリックビジネスに誘い込もうとします。 ★www.mt-download.com へアクセスして「mtrslib2.js」というスクリプトファイルをダウンロードさせようとします。 いずれも非常に危ないものです。 >www.ruby-eye.com/~bean/beanos/index.html 現時休業中です。 >SymantecのW32.Spybot.worm すでにスパイウエアを駆除された後だからか、現状では、参考になる情報はなさそうです。 Spybot.wormというのには色々種類があって、そのうちのどれに該当するか特定する必要があるのですが、これでは何も解りません。 とりあえず、前記二つのホームページを開いているメカニズムを調べる必要があります。 ☆「HijackThis」 「HijackThis」を使って見てください。 下記でダウンロードし、適当なフォルダに保存してください。 http://www.download.com/3000-8022-10227353.html 1.起動直後は殆ど白紙の状態です。 2.「HijackThis」以外のウィンドウを全て閉じます。 3.左下の「Scan」をクリック 4.スタートアップ設定の一覧が表示され、「Scan」ボタンが「SaveLog」に変わります。 5.「SaveLog」をクリックするとスキャン結果が保存されメモ帳に表示されます。 スキャンログの中で次の三つのキーワードを検索してください。 「f119e8fb1c2d2dcee9bf8d7fd7049」 「xxxtoolbar」 「mtrslib2.js」
お礼
ご回答ありがとうございます! > パソコンを起動すると・・・ならわかるんですが。 ウィルスの痕跡を消すまではネットに接続してなくて、その時には何も起こらなかったのですが、いざLANケーブルを挿すと、待ってましたとばかりIEが立ち上がるのです。その後もパソコンのスイッチを入れただけでは起動せず、LANケーブルを挿してネット接続が可能になるとIEが起動します。つまり外部接続の状態を常にモニターしている感じです。そこでタスクマネージャを立ち上げておいてプロセスを見張ってみて、怪しいプロセスをオフにしてみたのですがダメでした。一瞬何が立ち上がって消えたように見えたのですが、、、、分かりませんでした。 > Spybot.wormというのには色々種類があって、そのうちのどれに該当するか特定する必要があるのですが、これでは何も解りません。 そうなんです。実は私の所に届いたときには、すでに駆除された後で、そのウィルス名のみがメモされていました。とりあえず、その名前に該当する対策情報を元に作業をしました。NAV2003で全スキャンしても何も出てきませんでした。シマンテックのサイトでは、その名前のウィルスは一つだけでした。トレンドマイクロのサイトも参照して、該当する情報からファイルやレジストリの検索は行いました。ただ一つ気になるのが、このウィルスはKaZaAというファイル共有ソフトで感染するとあるのですが、パソコンにインストールされた形跡はありませんし、オーナーは「添付ファイルを開けて感染した」と言っていることです。 > 「HijackThis」を使って見てください。 了解しました。パソコンが戻ってきたら試してみます。ありがとうございました。
- manapi2929
- ベストアンサー率54% (328/604)
クールウェブシュレッダーは試されたでしょうか? あらゆるトコに飛ばされるってあたり どうもクールウェブサーチ系のように感じます 別に感染してなくても試す事は出来ます 試されてはどうでしょうか?
お礼
ご回答ありがとうございます! なるほど、そういうソフトもあるんですね! 今はちょっと手元にない(とりあえずオーナーさんにお返しした)ので、またこちらに入院したら試してみます。 ありがとうございました。
- kozo_k
- ベストアンサー率29% (55/188)
見当違いだったらごめんなさい。 >そもそもこれはスパイウェアなのか? 一度参考URLのオンラインスキャンをお試しください。 PESTPATROLのオンラインスキャンです。 (ちなみに当方はこれのパッケージ版を使用しています。)
- 参考URL:
- http://www.pestpatrol.jp/
お礼
ご回答ありがとうございます! 「そうそう、ペストパトロールを忘れていた!」と喜び勇んでオンラインスキャンしてみましたら、3件ほど怪しい項目が出てきました。そこで、そのファイルならびにレジストリ項目をばっさり削除してみたのですが... やっぱりダメでした...がっくり... しかも今日の朝からは昨日までのSpazbox.netではなく、EveryDNSとかいうページが開くようになりました。いったいどうなっているのでしょ?! とにかくありがとうございました。
お礼
さきほどパソコンが戻ってきましたので、早速試してみましたら... ビンゴです!! まさしく arsetup.exe が元凶だったようです。プロセスをオフにしてからファイルを削除し、レジストリからも削除しました。再起動してネット接続してもIEは立ち上がらなくなりました! 実はタスクマネージャのプロセスには前から現れていて、怪しいなと思っていましたので、てっきりオフにして試していたと勘違いしていたようです。しかしmsconfigのスタートアップを見ても出ていないのです。巧妙ですよね。ご指摘の通り、ファイルとレジストリは以下の項目に存在しました。 ファイル: C:\WINDOWS\ レジストリ: HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run お陰様で原因が分かりホッとしております。ありがとうございました!
補足
皆様のご回答を元に無事に原因を究明することが出来ました。本当は全員にポイントを差し上げたいのですが、申し訳ないのですが、貢献度の高い順に差し上げることにしました。しかし、今回の一件は大変勉強になりました。ありがとうございました。又の機会もよろしくお願いします。